临渊观水,不如退而翻墙:之二,GFW是如何屏蔽网络的

来源: http://cuiweicui.blogspot.com/2009/06/gfw_14.html

GFW建成之后,网民们也并不是呆子。随着不能访问的网站越来越多,用代理进行对比之后,网友们逐渐了解到一个阻碍他们访问网络的事物的存在。通过各种黑 箱分析、测试、与国外友人的通力合作,大家对GFW的结构和原理已经有大概的了解。中间的种种细节略去不表,单说网友们得到的结论。

GFW主要的网络屏蔽方式有:

1、DNS劫持


DNS服务器的功能,是把域名和IP地址对应起来。比如baidu.com可能对应某个或某几个IP地址,浏览器把baidu.com发给DNS服务器,服务器再告诉浏览器IP地址,然后浏览器再前往那个地址浏览。当然,用户一般不用关心这一步。

全世界有13台最主要的DNS服务器,没有一台在中国,这是件好事。不过,中国有其中3台服务器的镜像服务器。在这13台根服务器下面,还有许许多多低等级的DNS服务器,它们会缓存一些地址数据,如果某个地址它们无法解析,就会向上级服务器发出询问。

DNS 数据是通过UDP 43端口传送的,GFW现在并没有彻底封闭这个端口。不过,GFW会"污染"一些低等级的DNS服务器的缓存,比如你输入的是google.com,结果 低级DNS服务器给你解析成了baidu.com,并且会把你带到baidu的页面,这种事情在05年大规模发生过,后来有所收敛。另外,GFW也会阻断 某些特定站点的DNS请求,让我们无法解析地址,例如现在针对Youtube的封锁和今年针对Twitter的短时间封锁,都包括了DNS劫持的手段。一 般中国的ISP商提供的DNS服务都有或多或少的劫持行为,有时候跟GFW并无关系,例如像四川电信这种地方ISP商搞什么114网址导航等等自动跳转的 页面,都是通过DNS劫持实现的。

针对DNS劫持,常用的办法是自己手动指定DNS解析服务器,例如指定为香港和记电讯DNS地 址:202.45.84.58, 202.45.84.59,以及著名的OpenDNS: 208.67.222.222, 208.67.220.220。使用它们可以保证解析的准确性。不过,香港的DNS访问iTunes Store容易超时,可能是商业原因;使用OpenDNS无法在谷歌音乐下载歌曲,所以需要时,也可以自己临时切换。最后,用户可以手动修改本地的 hosts文件来彻底避免劫持。

2、域名封锁


这是封锁特定的域名。比如说www.xe.com被列入 了封锁名单,你以后每次输入这个地址就会被屏蔽。然而,这种封锁是比较低级的,有几种办法可以直接绕过。第一,你可以直接输入网站的IP地址,它就没用 了。第二,如果网站支持https(如果支持的话),你就用https。Twitter有段时间就是这种待遇,如果输入 http://twitter.com,没用;输入https://twitter.com,访问就正常了。实际上,Twitter下面有很多二级地址仍 然是这种待遇,用https统统可以绕过去。一般而言,浏览有https支持的网站应该尽量用https,这是为安全和个人隐私考虑,例如Gmail、 Google Reader等就该这样。

3、IP封锁


IP封锁是直接封锁某台服务器的IP,凡是访问 对应于这个IP上的网站都不能看。这也是那些被"连累"的网站被屏蔽的主要原因。例如,如果他们是租用别人的主机,不幸和某个反动站点在同一台服务器上, 那么GFW封掉这个IP会导致该IP上所有网站都挂掉。很多共享软件站点和外国技术论坛就是这么被屏蔽的,PyMOL公司的站点就是我遇到的一个例子。

4、关键字审查与暂时访问限制

用 一般的www.google.com(而不是cn)搜索一个敏感字,会导致页面不能访问,并且接下来的一分多钟的时间里你也不能访问 google.com。这种关键字触发的屏蔽,是GFW的一个重要特征。这种特性相当于一种警告,一般是暂时让你没法访问,隔一会儿后恢复正常。

我 们知道Google.cn是会过滤搜索结果的,如果想要看没被过滤的结果,我们需要先点google.cn下方的Google in English,才能进入Google.com,然后你再把自己的Search Preferences(搜索偏好)设置为用简体中文显示,这样你就可以像使用cn一样正常使用Google.com原版了。或者,你可以直接输入这个地 址:http://www.google.com/ncr,这个地址会直接带你到原版Google页面。

5、流量限制

最新研究发现,如果某个外国网站在某段时间内访问量飙升,GFW会自动阻断国内对这个网站的访问!这是一项伟大的发明,这意味着中国国内已经没法对国外服务器实施DDOS攻击了。这个性质应该是今年才出来的,究竟是长期使用还是纯属实验性质,尚待观望。

6、GFW屏蔽相关的奇闻轶事


以上是GFW常用的网络屏蔽手段。还有一些和GFW的网络屏蔽息息相关的轶事,我列表在这里,供大家参考:

1、GFW是双向的,国外的同胞访问国内的咸湿站可能遭阻断。

2、 GFW的地理位置,应该在几大海底光缆上岸的那些城市,以及重要的网络节点城市,这就应当包括上海(崇明、南汇)、北京、青岛、福建某地(实际出口在台 北,GFW只能放在福建)、深圳(实际出口在香港)等等,但通常在我们测试GFW的实验中能够查到的、和Tor网络中一眼可以分辨的那种黑节点,基本都在 北京和上海。

3、至今似乎没有网友说认识过或搭讪过任何在GFW工作的人员并曝内幕。另外,在那些探测GFW的实验中,可以得到一些网络审查用仪器的设备信息,发现仍然是Cisco当年卖给贵国的那些东东。

4、 有理论认为,GFW并不是直接架设在主干网络上的,而是和主干网络进行并联。当数据来到服务器时,会被复制一份,然后两份数据同时通过出国端口和GFW设 备。如果GFW认为这信息不良,会向主线路上追加发送数据包,阻断网络访问请求。这种"并联"的方式,应该说可以方便GFW的检修,减少对主干网的影响, 也可以解释在某些高流量的状态下,GFW会偶尔顾不过来的情况。

5、尽管如此,网络审查设备会老化,网络会发展,数据流量在猛增。近一两年来,每次GFW调整的那一两天,都会明显影响到平时本来不会封锁的那些国外网站,特别是整个网络访问国外网站的速度都在下降。不知道GFW会做出什么升级和改动。

6、 也许是因为这种审查负担不断地加大,以及高等公仆们对于视频、图像、声音信息过滤审查的需求,才导致了"绿坝"这种东东的出现。如果每个人机器上的数据都 能预先审查屏蔽一番,GFW的压力会大大减轻。所以"绿坝"尽管很山寨很SB,却代表了一个很不好的方向,意味着在贵国言论尺度会不断收紧。这让人想起 《1984》里,"The Big Brother is watching you.",或者马伯庸的那个山寨版作品《静寂之城》。

7、 为什么中国的IPV6网络普及很慢呢?因为GFW对IPV6是无效的!现在,中国教育网用户是有IPV6地址的,如果他们的操作系统也支持IPV6(例如 OS X,Vista及以上),他们可以在IPV6版的Google(ipv6.google.com)上搜索任何敏感字而不被临时屏蔽!所以,中国主干网要想 用上IPV6,看来要先等GFW把IPV6的屏蔽搞定了再说。

有时候,别人会告诉我说,我们不过下点动漫,不会惹事的。我对此的看法是, 你当然可以不关心政治,但是政治会关心你,特别是由于"你不为任何人说话"而到了"没有人为你说话"的那一步的时候。对于我而言,让更多的人了解墙,教会 更多的人翻墙,也正是防止自己落入那个地步的必做之事。

2 条评论:

Unknown 说...

纠正一下,DNS是UDP 53端口。

匿名 说...

Thanks for some other fantastic post. Where
else may anyone get that type of info in such an ideal method of writing?
I have a presentation next week, and I am on the search for such info.


my site - Buying A Car
my page: buying a car with bad credit,buy a car with bad credit,how to buy a car with bad credit,buying a car,buy a car,how to buy a car