近来很多人都不了解GFW是什么,普及一下好了,推荐对计算机了解的人看比较专业的GFW技术评论,如果对计算机不了解的,下面尽量说的简单。
GFW就是一套建立在我国骨干网国际出口上的网络内容检测和过滤系统,国内所有的运营商的流量最后全部都要接入GFW的机房之后才能够出国。这套系 统功能就是过滤不和谐的内容,例如www.youtube.com就是不和谐内容。实现的方法是下面三种:IP封锁,DNS污染,关键字检测。
IP封锁最容易理解,家里边用的路由器都带有这个功能,觉得那个网站不和谐直接把IP添加到封锁的列表就行了。家里这么用可以,可是国家要屏蔽的内 容太多了,都添加IP进去把封锁列表弄的老长,每次匹配花的时间也就长,交换机转发效率自然变慢了。自家路由器抓发效率快点慢点你可能没感觉,但是骨干路 由器可不能这样。而且有些网站也不能把人家全封了,要出事情的,比如Google,因此就需要关键字检测这种东西了,后面说。
先说DNS污染,这个其实十分简单。好多外行不知道DNS是干嘛的,DNS说白了就和电话号码本一样,你输入www.twitter.com这个地 址的时候,实际上是要访问twitter.com的IP地址,只不过IP地址太难记了,才弄出个域名这个玩意。首先,你输入这个 www.twitter.com地址以后,先会对比自己机器上的hosts文件和自己的DNS缓存,看看有没有匹配的,如果没有,则向你的网络提供商提供 的DNS服务器查询,你的网络提供商(电信,网通之类的)要是也没有这个记录,则继续向上一级DNS服务器查询,一般来说就是根域名服务器了,还好这个玩 意儿在美国……得到www.twitter.com对应的IP地址之后,网络提供商的DNS服务器会先把这一条记录储存在自己的缓存里,然后在把记录发给 你,你的机器也会把这个记录储存在自己的缓存里,这样在缓存的有效期内,如果你还要访问同样的网站,自然就不用那么费劲去国外兜一圈,直接在自己的缓存里 匹配就好了。如果你的邻居和你用同一个网络提供商,他也输入了www.twitter.com这个网站,虽然他自己的机器缓存里面没有,但是网络提供商的 DNS服务器缓存里面有(之前你查询过的记录,人家已经储存在自己的缓存里了),自然也就不用再去国外的服务器查询了。
看了上面要明白这几个概念,DNS就是一个把IP和网址对应起来的服务;DNS服务器是一级一级的,从你的计算机,到你的网络提供商的DNS服务 器,可能上面还有省级的DNS,再后面还要国家级的DNS,再往后才是国外的根域名服务器。换句话说,如果根域名服务器上记录的IP和网址的对应本身就是 错的,那这一错等于错了一串,一直错到你的电脑。当然,根域名服务器不会错,错只能错在我们自己这边。由于DNS协议本身太差劲(当然,这也不能怪人家, 人家当年是科研用的),本身的查询是通过53端口发送UDP包,毫无任何验证过程。就和寄个明信片一样,那一路寄到你家里不是谁都能在上面写字吗……
GFW就专门干这个写字的活,只要查询的网址是它觉得不和谐的,他就给你在上面乱写字。不过话说最搞的就是,你对着国外DNS服务器查询,然后 GFW修改了你的查询结果;当你对着任意国外IP查询,人家那个IP上根本不是DNS服务器,GFW也返回给你一个结果,当然这个结果肯定是错的。例如你 是冲着菜谱去查询电话号码,正常的结果是返回错误,可是GFW偏偏还真能给你查出个电话号码。这样的结果就是,一些网站你根本无法得到人家正确的IP地 址,自然也就无法访问了,最要命的是由于DNS服务器是一级一级的,GFW在出口上这么搞,结果下面每一级的DNS服务器缓存里都是错的,这么下来一个国 家里所有DNS缓存全错,一直错到你的电脑。
关键字检测算是GFW中最具有技术含量的功能了,而是软件部分是100%自主知识产权。有传言说是思科做的,其实不对,思科应该只是在很久之前卖过 一些设备罢了。GFW可算是国内不多见的自主知识产权产品。这个功能的实现说起来比较复杂,不过可以拟人化的形容一下:你访问youtube,就好象你先 向youtube请求下载它的内容,然后youtube答应给你,接着你开始下载。GFW扮演的角色就好象是在中间捣乱的,你刚向youtube发出请 求,被GFW看到了,然后在youtube还没反应之前,GFW先对假冒youtube对你说,不让你下载,之所以能够这样是因为GFW距离你总是比国外 其他网站要近,自然它的"声音"就先传到你耳朵里。你听到这句话,然后就把门关上了,可是真正的youtube人家同意下载的信息到你这里的时候,发现你 已经关门了,然后就丢弃掉了。更要命的是,接下来的几分钟,会屏蔽你的IP访问相同的地址几分钟,现在你知道为什么有时候Google搜索断开之后,几分 钟内无法使用的原因了。
能够做到关键字深度检测主要还是因为http发送的都是明文,等于你访问的内容,在你到访问网站之间经过的任何地方都是明文,只要人家有心,都是可 以看到的。其实不光http协议上有,telnet上面也有关键字检测。但是https的话,由于使用了SSL加密连接,所以中途是不会被看到的,不然谁 还敢用网上银行。不过话说回来,现在CNNIC也是根证书的发行商,所以SSL也不一定保险,不过这就扯远了。话说到这里,你应该明白了为什么文章一开始 给你的那个链接是打不开的原因了吧。
―――――――――――――――――――――――――――――――――――――――――
需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。
推特用户请点击这里免翻墙上推特
请点击这里下载翻墙软件
更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com
请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙)
没有评论:
发表评论