GFW技术细节猜想之一

作者：gs  来源：http://www.gsea.com.cn/blog/post/266/

首先说一个现象，似乎这个现象目前也慢慢开始被人们注意到了，那就是GFW的封锁是有地域性的。我自己就经历过一次。

不 久之前Xmarks被墙，我在cnBeta和Ubuntu中文论坛上都看到了很多人说Xmarks被墙了，而与此同时，我的Xmarks却还跑得好好的。 那时候大概是10月上旬到中旬左右，Xmarks在全国各地似乎都被墙了的情况下，我的Xmarks还用得好好的，直连服务器完全没有问题。因为我没受到 影响，所以还不在意，不过在那时就有感觉觉得GFW开始变得有地域性了。嗯，这个是不是说更加智能化了呢。

10 月底实习结束要回校上课。在我回校前一天，在百色，Xmarks还是用得好好的，18点的航班，我下午4点出门，出来之前Xmarks还能正常地同步。 19点左右降落桂林，回到宿舍弄好电脑好像已经是21点左右了。桂林的计算姬三个多月没有开机了，第一步要做的自然是同步数据。哎呀可是这个时候我发 现，Xmarks同步不能了。

如果我RP坍缩的话，才能说我在不到10小时的时间内撞上了GFW，这个RP还真是糟糕的说，根据RP守恒定律，我接下来是不是应该去买彩票？

好像后来我还用3389登录了留在百色的计算二姬，发现使用百色电信的话Xmarks还是可以正常使用的，而桂林电信这边就不能使用。看来不是我RP问题啊，幸好没有去买彩票。

于是下面开始猜测GFW的诡异技术。

GFW 有两种屏蔽机制，一种是静态屏蔽，根据已有的屏蔽列表来确定哪些网站或IP需要被屏蔽。虽然说是静态列表，但可能有专人维护，其更新频率可能比动态列表的 更新频率还高。静态列表中的网站可能包括大纪元、阿波罗新闻网、自由门的IP地址等非常不和谐的服务器。其实想想也知道，区区草民能用的自由门天朝不可能 不知道，要屏蔽也很容易，你们能搞到自由门的渠道，天朝的专人自然也能搞到。不封杀自由门可能只是因为其影响不算大（用自由门的人都是相对较高级的用户， 不容易受煽动），而且也能给高端用户留下一个访问国外比较正常的网站的体验较好的方法（不得不说自由门的服务器还是很快的），天朝能屏蔽自由门从60岁生 日那次就能看出来，当时我几个版本的门都不能用了。

GFW还有一个动态列表，这个动态列表是由GFW自动维护的。维护列表的方法可能是这 样的：GFW有一个强大的跟踪系统，当某个用户使用自由门时（你要连接到自由门服务器的IP就认为你使用了自由门），就在一定的时间内，比如1小时，跟踪 这个用户访问过的网站。接着，把用户在此期间访问过的网站保存到一个数据库里面，这个数据库里面保存了一段时间以来天朝上下使用过自由门的用户访问过的网 站列表。GFW认为，在使用自由门的用户访问过的网站中，哔——网站的访问频率要比和谐网站高，所以，只要在数据库里面找出访问频率最高的网站，就将其认 为是哔——网站。

有统计哔——网站的机制，当然也要有统计和谐网站的机制。以前就有人发现，在访问某些不和谐网站失败后（如访问维基百科 上的“西藏”词条，不过现在好像这个词条已经解禁了吧），去”主旋律“网站刷几个页面，连接到不和谐网站的连接很快就能恢复，比什么都不做恢复的速度要快 很多。这个现象可能就表明GFW也会统计用户登录”主旋律”网站的频率，如果一个用户经常登录“主旋律”网站，那么这个用户就是比较和谐的，这个用户访问 的网站相对来说和谐网站的比率也应该大于不和谐网站的比率。

根据上面两个方法统计了和谐用户和不和谐用户访问的网站列表以后，GFW就会根据这些数据判断哪些网站是不和谐的，哪些网站是和谐的。举例子来说，可能就像下面这样子：

Xmarks刚刚出来的时候，GFW还没有墙之。使用Xmarks的用户都是火狐狸的用户，而火狐狸的用户相对使用IE的用户来说知道自由门存在的人应该会更多。于是，这些使用自由门的用户访问过的网站（或请求解析过的域名）就被GFW给记录起来了。
随 着Xmarks的流行，GFW数据库中记录的Xmarks的访问次数也越来越多。并且，相对来说，Xmarks被访问的频率要比其他网站高。因为，每次打 开和关闭火狐狸，Xmarks都会与服务器同步。这样，Xmarks在数据库中记录的访问次数就会远高于其他网站的访问次数。
当Xmarsk的用户数达到一定数量后，GFW中Xmarks的”一段时间内的访问次数与一段时间内所有网站访问平均数”的比值就会超过阈值，接着，GFW就自动把Xmakrs给屏蔽了。

实 在想不懂Xmakrs上有什么东西会让GFW去主动屏蔽之。而如果GFW有像上面描述的机制的话，那Xmarks被墙也就可以解释了。另 外，Youtube、twitter、blogspot被墙也可能是自动被墙的（不过显然，这三个网站都是被人为地加入到静态列表中的）。

GFW 在追踪用户访问数据的时候，还会分地区进行统计。可能广州有自己的一张用户访问表，百色又有自己的一张用户访问表。广州的网络用户显然比百色的用户更高 端，访问哔——网站的频率自然也要比百色用户访问哔——网站的频率高，于是广州的Xmarks就先被墙了，而百色的Xmarks还用得好好的。

至 于大面积的Xmarks被墙则可能是这样的，在华东片区（其实就是沿海片区）的各个城市，如果有超过10%的城市墙了Xmarks，GFW就立即在整个华 东片区墙掉Xmakrs。目前互联网上的声音主旋律还是沿海地区的，于是在网络上表现的现象就好像是Xmarks在全国范围内被墙掉了。