Tuesday, May 24, 2016

GFW 防火墙的原理

Great Firewall的技术原理


防火长城,也称中国防火墙或中国国家防火墙,指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统。其英文名称为Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。

一般情况下防火长城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由于中国网络审查较为完备,中国国内的不合适网站会直接行政干预和关闭,故防火长城主要作用在于对中国境内外的网络资讯互相访问进行分析、过滤、阻断。


域名劫持
域名解析(DNS)的基本原理是把网络地址(域名,以一个字符串的形式,比如 http://www.google.com)对应到真实的计算机能够识别的网络地址(IP地址,比如216.239.53.99 这样的形式),以便计算机能够进一步通信,传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问http://163.com/ ,可以把访问改为http://220.181.29.154/ ,从而绕开域名劫持(虚拟主机不能简单如此配置)。

2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。



国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于IP封锁,用普通Proxy技术就可以绕过。只要找到一个普通的海外
Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。所以,网络封锁部门现在通常会将中国政府认为特别敏感的网站的网址加入关键字过滤系统,以防止民众透过普通海外http代理服务器突破。

一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP 的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免。由于许多大陆地区的网站主机服务器地址位于海外,GFW同样对大部分海外服务商的IP进行封锁。


主干路由器关键字过滤阻断

2002年,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是IDS(Intrusion Detection System)— 入侵检测系统[3]。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。从目前已知的情况看,这种关键字过滤技术只对TCP连接(且只针对HTTP报头)有效,对UDP及其他第四层协议无效,对明文数据有效,对加密数据无效。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

所以在访问境外网站时,如果数据流里敏感字符时,即会立即被提示“该页无法显示”或网页开启一些后突然停止,随后在1-3分钟的时间内无法用同一 IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内不可访问。(Google.cn除外,原因是国外DNS服务器会将此域名同样指向美国的Google服务器)。

被屏蔽过滤的关键词主要是法轮功、民运、人权、钓鱼岛、七一游行、天安门事件、六四事件、赵紫阳、屠杀、无界浏览、游行示威、边疆独立、部分国家领导人姓名、境外媒体、色情、破网软件等字眼上,最近更将”zh.wikipedia.org”维基百科中文网的网址也列入了屏蔽关键词中,故导致无论使用什么类型或网址的代理服务器都不能正常登入维基中文版。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站就能正常使用(如 my.opera.com)。
对于google.com的查询返回结果有报道称是专门过滤的,即GFW针对google.com返回结果中的网页地址进行过滤,对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google.com返回的大量网页,中国网络审查更经济而有效的方法便是像前面所说的一样,而且事实上对于google.com的审查也正是如此。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。

从2007年2 月前后,GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被阻断。2007年2月8日后,原本可以通过Google.cn移动版访问维基百科的方法也证实失败。估计原因是中国移动在GPRS网关处也安装了一台GFW设备。

No comments:

Post a Comment