深入理解GFW:总论

来源:http://gfwrev.blogspot.com/2009/10/gfw.html

GFW,Great Firewall of China,防火长城,通常把它看作一个国家级的网络审查系统。关于网络审查,人们通常首先会有一番政治性的话要说,不过政治批评这个角度的言论实在是过 多,GFW的实体在"GFW"这个这个巨大的外壳之下隐藏了多年,人们只是对着"GFW"这个词空发怒气却并不知道它究竟是什么。实际上GFW除了是一个 让网民十分不舒服的系统之外,在技术上它还是一个非常复杂有趣的黑箱,一个通关奖品是网络自由的解谜游戏。接下来一段时间我们便会对GFW进行深入的探索 和理解,大家很快就会了解到它的趣味。提示:阅读此"深入理解GFW"系列之前建议读者对TCP/IP协议族、网络安全、反向工程有基本的了解。

GFW的技术结构

知己知彼,百战不殆,我们应该先对GFW有清晰的技术性认识。防火长城条目称GFW的主要技术是域名劫持、IP封锁、关键字过滤阻断、HTTPS证 书过滤。实际上这些技术在实现上可以归结为两种技术:IP封锁和入侵检测,其中入侵检测是核心。IP封锁因为比较底层,接近于切光缆拔网线,没有什么技术 可言,这种封锁实施以后除了绕道而过也没有更好的解决办法。而入侵检测则是GFW最为强大灵活的功能。

传输层的TCP和UDP解析都是入侵检测业界的标准配置。UDP通常用来做DNS查询劫持,一个附加效果就是国内的域名缓存充满了�。TCP主要用 作阻断,方式很多了,总之只要把攻击者的连接关闭掉/阻止攻击者进行连接就行了。应用层就更加百花齐放了,因为解析一个协议实在不是一件困难的事情。所谓 的SSL证书拦截也不过是稍微做了一下SSL/TLS协议的解析而已,并无神秘之处。这就是入侵检测的强大之处。

入侵检测的灵活之处在于它的部署和撤销都很便捷无副作用无延迟,匹配精确无误伤。举一例,要防止一些反动软件通过https访问google docs获取信息,怎么做?在应用层检测证书显然是杀鸡用牛刀浪费性能了;用动态路由封特定IP的特定端口是不行的,因为解析结果在不断地变,动态路由的 变化跟不上;用域名污染更不行了,把80端口的web业务也搞掉了,影响太大;所以就在传输层乱发RST做无状态的连接阻断,写个脚本定时更新解析结果, 这也就是google的数据中心只有在中国解析出来的那部分被封掉的原因。什么时候领导对谷歌的红包满意了,随时撤掉。

GFW的设备有两种,一种是在北京、上海、广州搭在总交换中心上做旁路监听的入侵检测设备,一种是放在ISP那里的动态路由设备。一般来说入侵检测 总是比动态路由来得灵活,所以RST要比封IP更常用。另外,碰到网站无法访问然后traceroute发现线路死在ISP骨干上于是责怪ISP,这是不 合理的。中国的ISP的一项主要业务就是接待各个强力部门的插入,纪检、军队、公安之类的部门都会长期插入。

GFW的工作方式

GFW的日常工作方式:当国新办发现了反动文宣,当公安部十一局发现了色情图片,当版署发现了海盗网站,总之当有关部门发现了有害非法信息,就发指 令给GFW,然后GFW的政策部门研究一下采取怎样的具体封锁措施为宜,然后将具体操作交给技术部门执行封锁。解封也是一样的渠道,简而言之就是领导一句 话胜过千军万马,至于让领导发这一句话靠的就是PR了。举一例,受到NED暗中操控的twitter长期以来充满反动有害信息,但做技术的人都明白 twitter的这种架构是没有办法封的。对twitter.com什么办法都用了,效果不大好,结果领导不满意地催促了。这个交不了差是很严重的事情 啊,怎么办呢,就对twitter搞破坏吧。凡是跟twitter有关的第三方网站,见一个斩一个,领导你看我都把twitter诛九族了,这已经是自古 以来用刑的极致了。再举一例,如何封掉一个网站?先在这个网站上放置一些有害非法信息,再去违法和不良信息举报中心(后台国新办)举报之,等十天就成了。

GFW的研发方式:"国家信息安全管理系统"建设的历史参见《阅后即焚》。当有关部门发现了一个反革命翻墙方法,就告诉GFW,然后GFW的逆向工 程人才研究一下这个方法的工作方式,找到它的特定模式和弱点,制定相应的封锁预案。当有关部门指示实施封锁的时候,预案便付诸实施。p2p方面的反动软件 比较不好办,于是在第一生产力院成立242项目"P2P协议分析与测量"专门研究之。

GFW实体是安管中心(CNCERT/CC), 是事业单位。一个事业单位的政治地位可以想是很低的,凡是它的上级都可以向它下指令进行网络封锁,而它本身则没有任何主观能动性,专于业务,勤勤恳恳抓好 国家安全基础设施的建设。如果转换角度,从GFW的视角来考虑,那么GFW所做的事情其实并不神秘,其实恰恰符合了它自己的名义。我们来看看精美的"宽带网络环境下恶意代码监测系统", 你们这些反革命访问一下blogger、wordpress那就是URL攻击啊,而且要比一般的钓鱼攻击和病毒更严重,因为危害的是党和国家的安全啊。 GFW的研发也与一般的网络安全公司所做别无二致,监视分析网络流量,逆向工程有害软件,阻断恶意攻击,区别只在于:GFW为了国家安全也要处理一下你们 这些反革命的攻击;另外GFW还开了金钱无限、人口无限和无敌秘笈。

GFW与网民的生态系统

政府、GFW与网民构成了一个生态系统,政府与GFW共生于食物链的上端,网民处于食物链的下端。有人称之为"猫和老鼠的游戏"。 观GFW与网民的互动历史,可以归结为相互提升技术水准的军备竞赛,但尽管如此两者的关系也从来没有打破GFW越来越善于主动追捕网民越来越善于被动逃避 的模式。从最开始的普通HTTP代理、SOCKS代理,到以自由门为代表的一批加密代理软件,到种类繁多的网页代理,到VPN、SSH代理,到p2p网 络,以及混合方法。然而这些方法都未曾彻底免于GFW的封锁,这是因为GFW很善于进攻,而网民们迄今为止只会不断地四处寻找新的逃避办法。

这种互动模式的问题在于,随着军备竞赛的继续,GFW越来越完善越来越强大,而网民不断地失去手中的牌,翻墙的难度和成本越来越高。GFW是这个领 域(网络安全)的专业人士,而网民虽然富有群体智慧,但是其技术能力缺乏有效组织不能与GFW对等。因此如果稍微看得远一些就会了解到,这种模式对于网民 来说是不可持续的,总有一天GFW会超过绝大多数网民的技术基准线。所以,唯一的出路便是改变方式,突破这种模式。

应对GFW

网民突破当前被动态势方法的基本原理,在后面的章节中我们会看到,在于利用GFW在善于进攻的同时不善于防守的特点。与其把GFW看作国家网络暴力 机关,不如把GFW看作一个网络安全机构,事实上它也是一个网络安全机构(CNCERT/CC)。任何安全系统必然都有漏洞和弱点,它所提供的这个GFW 安全解决方案(国家信息安全管理系统)也不例外。网民并非缺乏技术,而是技术没有得到有效组织,没有往这个方向进行有效投射。实际上GFW漏洞和弱点并不 少,有一些甚至是理论上无法解决的,这在以后会详细论述。正如《阅后即焚》一文所言,GFW尽管是中国少有的顶尖科研力量与国家强力支持结合的产物,"但 也无法摆脱山寨的本性――做一个东西出来很容易,但是要把这个东西做得细致严格就不行了"。

更进一步,除了利用GFW本身的问题以外,网民甚至还可以考虑采取网络正当防卫的方式阻止GFW的非法行为。像GFW这种机构,无行政立法,无舆论 监督,无申诉渠道,被少数别有用心的人利用,滥用国家安全之名义,封锁与国家安全毫无关系的网站,对合法的网络通信进行干扰和攻击,"对计算机信息系统正 在进行传输的合法数据进行篡改,向计算机信息系统进行攻击令其无法正常运行",甚至曾多次造成全国性网络故障,已触犯《中华人民共和国刑法》第二百八十六 条,情节特别严重,后果特别恶劣,云云。

然而另一方面,GFW与网民之间已经或者即将形成某种稳态,这种稳态是双方斗争状况下的动态平衡,是需要有意识维护的。一个无法控制的网络是无法被 政府所容忍的,当网络无法控制时政府是不吝于切断一切网络的(你一定知道我在说什么),稳态的破坏也就意味着环境的毁灭。一个理想的稳态就是网络处于"看 起来"可以控制的状态,让GFW处于不断取得小型封锁成功的虚幻胜利感之中,网民个人各自掌握非中心化的翻墙方法。一个中心化的大众翻墙方法(最典型的例 子就是设置hosts静态解析)必定无法避免被当局发现并被GFW封锁。下一代的翻墙方法应该是去中心化的(p2p)、小众的、多样化的、混合型的、动态 更新的。

参考文献

有两篇重要文献在这里要推荐。

首先是Thomas Ptacek等在98年发表的Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection。这篇是在入侵检测领域具有里程碑意义的论文,是论述入侵检测原理性漏洞的集大成者。其简明介绍早在07年就出现在英文维基,非专业人士可以一睹为快;专业人士建议仔细阅读原文,以后关于探索GFW漏洞的技术都基于此篇论文所描述的原理。

另外一篇是《阅后即焚:"GFW"》,是一份关于GFW的详尽的社会调查,澄清了大量关于GFW的误解,本文大量引用此文。这篇文章的重要性从侧面 可以发现:前面引用过中文维基的防火长城条目,如果直接访问会发现,这个条目直接访问之后维基百科就被封锁了。这是有原因的,而且原因是可以找到的,寻找 原因的方法将在以后几节介绍,这里长话短说原因就是:这个页面中含有一个关键词:"阅后即焚"。与一般的关键词不同,这个关键词很厉害,随便什么地方出现 这个关键词都会引起有趣的现象,比如这里, 这种现象通常被人们称为深度包检测。像法轮六四这样煽动颠覆的词语都没有成为深度检测关键词,这种顶级过滤的词很少,另一个例子就是GFW头号死敌的名 字:"dongtaiwang.com"。一般来说,越是被禁止,就越有趣;越是被否认,就越接近真相。另外注意到,有一篇内容相似的文章《GFW的前世 今生》,对比两者发现后者似乎被添加了一些不相关或者夸张性的文字,原文应该是首发在自曲新闻的前者。

在下一次的文章中我们将介绍GFW进行黑箱分析的方法,并得到一些有趣的结果。


没有评论: