長(zhǎng)城防火墻TheGreatFireWallofChina(GFW)

人生(雜談)  /  管理員 發(fā)布于 3年前   48562

長(zhǎng)城防火墻，也稱(chēng)為中國(guó)國(guó)家防火墻，英文名稱(chēng)為T(mén)heGreatFireWallofChina，簡(jiǎn)稱(chēng)GFW。

是用于抵御國(guó)外非法、不健康、不合時(shí)宜的網(wǎng)站的網(wǎng)絡(luò)審查機(jī)制。

境外網(wǎng)站（包括國(guó)內(nèi)的人在境外租用空間開(kāi)設(shè)的網(wǎng)站）一旦被列入黑名單，中國(guó)大陸任何地方均不能訪(fǎng)問(wèn)到它。

創(chuàng)建人

被稱(chēng)為"中國(guó)國(guó)家防火墻(GFW)之父" 的工程院院士、北京郵電大學(xué)校長(zhǎng)方濱興

八卦一下：

據(jù)南方日?qǐng)?bào)曾報(bào)道，2011年5月19日下午，
北京郵電大學(xué)校長(zhǎng)方濱興在武漢大學(xué)計(jì)算機(jī)學(xué)院出席一場(chǎng)學(xué)術(shù)交流活動(dòng)時(shí)被在場(chǎng)學(xué)生用鞋子砸中，
引起坊間熱議。

報(bào)道曾稱(chēng)，方濱興被稱(chēng)為“中國(guó)國(guó)家防火墻(GFW)之父”，
(GFW)對(duì)認(rèn)為不符合中國(guó)官方要求的傳輸內(nèi)容，進(jìn)行干擾、阻斷、屏蔽，許多國(guó)外新聞網(wǎng)站以及如
 Facebook 和 Twitter Youtub等社會(huì)媒體被GFW屏蔽。
 學(xué)生們認(rèn)為GFW嚴(yán)重影響中國(guó)網(wǎng)民正常訪(fǎng)問(wèn)Facebook、Twitter 和 ，
 而這幾個(gè)網(wǎng)站恰恰是在世界范圍內(nèi)最有影響的幾大網(wǎng)站。

“我的家用電腦上有6個(gè)VPN，用以訪(fǎng)問(wèn)某些被屏蔽的網(wǎng)站?！?br/>方濱興稱(chēng)“我對(duì)任何反政府信息毫無(wú)興趣。此舉是為測(cè)試VPN是否能成功翻越我建立的GFW。”

方也承認(rèn)GFW會(huì)造成誤殺，如果一個(gè)網(wǎng)站包含敏感字，GFW由于 “技術(shù)限制”，
只能簡(jiǎn)單粗暴地將其屏蔽了事，他認(rèn)為GFW在未來(lái)會(huì)變得更先進(jìn)。
方濱興指出，VPN和GFW之間的戰(zhàn)爭(zhēng)將會(huì)永久持續(xù)下去，GFW還有很大的改進(jìn)空間。

2010年年底，方濱興曾經(jīng)開(kāi)通過(guò)新浪微博，被網(wǎng)民發(fā)現(xiàn)后遭到“圍攻”，
3個(gè)小時(shí)內(nèi)有上萬(wàn)人留言質(zhì)問(wèn)、辱罵。最終，方濱興被迫關(guān)閉微博，
成為微博史上壽命最短的微博賬號(hào)。

GFW（長(zhǎng)城防火墻）的工作原理和封鎖技術(shù)：

1.關(guān)鍵字過(guò)濾

大家都知道，比如 Http 協(xié)議數(shù)據(jù)包頭部是明文的，所以 GFW 一旦發(fā)現(xiàn)連接有敏感詞，馬上就會(huì)偽裝成連接兩方，向真正的對(duì)方發(fā)送 RST 數(shù)據(jù)包，真正的雙方一看，出現(xiàn)異常了，那把連接關(guān)閉吧。

所以，有時(shí)候你會(huì)發(fā)現(xiàn)有的頁(yè)面正在打開(kāi)，然后過(guò)了一會(huì)又沒(méi)了，顯示無(wú)法連接。

2.IP 封鎖

GFW 可以在出境的網(wǎng)關(guān)上加一條偽造的路由規(guī)則，這樣對(duì)于一些被過(guò)濾了的 IP 的數(shù)據(jù)包就無(wú)法正確地被送達(dá)，所以也就無(wú)法訪(fǎng)問(wèn)了。

GFW 封路由可是很兇殘的，直接封獨(dú)立 IP ，這樣可能因?yàn)槟硞€(gè)敏感站點(diǎn)，導(dǎo)致跟他同一臺(tái)主機(jī)的其他站點(diǎn)也無(wú)法訪(fǎng)問(wèn)，理解起來(lái)就像旁注。

3.DNS 污染、劫持

DNS 也就是域名解析服務(wù)，GFW 會(huì)對(duì)所有經(jīng)過(guò)骨干出口路由的在 UDP 的 53 端口上的域名查詢(xún)進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)有黑名單里的域名，它就會(huì)偽裝成目標(biāo)域名的解析服務(wù)器給查詢(xún)者返回虛假結(jié)果。由于 UDP 是一種無(wú)連接不可靠的協(xié)議，查詢(xún)者只能接受最先返回的結(jié)果。

而即便我們用可靠的 TCP 協(xié)議來(lái)查詢(xún)，雖然 GFW 不能污染 DNS 了，但是可能會(huì)被重置（發(fā)送 RST），查詢(xún)者也無(wú)法得到返回的 IP 。

4.特定端口封鎖

對(duì)于一些特點(diǎn)的 IP ，GFW 會(huì)丟棄特定端口上的數(shù)據(jù)包，使得某些功能無(wú)法使用，比如 443端口SSL，22端口的SSH。

GWF 曾經(jīng)干過(guò)一件事，針對(duì) Google 的一些 IP 上的443端口，實(shí)施間歇性封鎖，不明所以的用戶(hù)就會(huì)覺(jué)得這是 Google 抽風(fēng)了，久而久之自然不能忍受 “老是出問(wèn)題” 的產(chǎn)品。

5.加密連接的干擾

加密連接不總是加密的，公鑰還是明文的，所以 GFW 就能識(shí)別出特定服務(wù)的證書(shū)。然后在遇到 “黑名單” 加密連接時(shí)，它會(huì)發(fā)送RST數(shù)據(jù)包，干擾雙方正常的 TCP 連接，進(jìn)而切斷加密連接的握手。

即使 GWF 有這么多陰招，我們還是有辦法的，本文主要也是說(shuō)這個(gè)的。

跳過(guò)GFW的技術(shù)淺析：

1.VPN

VPN 叫虛擬專(zhuān)用網(wǎng)絡(luò)，顧名思義你連上 VPN 后，就等于接進(jìn)了一個(gè) “局域網(wǎng)”，這個(gè)局域網(wǎng)里的傳輸都是強(qiáng)制加密的，你的數(shù)據(jù)先傳到 VPN 服務(wù)器，然后再傳給真正目標(biāo)。正是因?yàn)榧用?，所?GFW 就封鎖不了了。

但是，如果某個(gè) VPN 特別猖狂，GFW 直接把 VPN 服務(wù)器的域名、 IP 封掉，那這個(gè) VPN 也就用不了了。

2.加密代理

翻墻說(shuō)到底，都是加密數(shù)據(jù)。代理的作用就是：把你要訪(fǎng)問(wèn)的目標(biāo)告訴它，它訪(fǎng)問(wèn)成功后把數(shù)據(jù)加密返回給你，從而間接使你訪(fǎng)問(wèn)到了被 Q 的目標(biāo)。

同樣，GFW 也可以把代理服務(wù)器封掉。

3.直接訪(fǎng)問(wèn) IP

畢竟過(guò)濾 IP 是黑名單，不可能更新那么及時(shí)，而 Google 服務(wù)那么多，鏡像 IP 很多的。

只要不要進(jìn)GFW的黑名單還是能用的，進(jìn)入黑名單回天無(wú)力

世界上很多國(guó)家都根據(jù)自己的政治現(xiàn)狀建立了自己的防火墻，但也有很多民主國(guó)家沒(méi)有這個(gè)墻。

墻的建立主要功用還是防止意識(shí)形態(tài)的滲透與演變。通過(guò)軟件和相應(yīng)的技術(shù)突破墻的封鎖俗稱(chēng)翻墻。