資源描述:
《解密中國長城防火墻》由會(huì)員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�����、解密中國長城防火墻(科普貼��,天天說翻墻�����,但大部分人都不知道翻的是什么墻�����。����。。GWF=GreatFireWall?防火長城����,也稱中國防火墻或中國國家防火墻,指中華人民共和國政府在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱�����,包括相關(guān)行政審查系統(tǒng)����。其英文名稱GreatFirewallofChina(與長城GreatWall相諧的效果),簡寫為GreatFirewall�����,縮寫GFW�。隨著使用的廣泛���,GFW已被用于動(dòng)詞,GFWed是指被防火長城所屏蔽���。?一般情況下防火長城主要指中國對互聯(lián)網(wǎng)內(nèi)容進(jìn)行自動(dòng)審查和過濾
2�、監(jiān)控��、由計(jì)算機(jī)路由器等網(wǎng)絡(luò)設(shè)備所構(gòu)成的軟硬件系統(tǒng)����。由于中國網(wǎng)絡(luò)審查較為完備,中國國內(nèi)的不合適網(wǎng)站會(huì)直接行政干預(yù)和關(guān)閉��,故防火長城主要作用在于對中國境內(nèi)外的網(wǎng)絡(luò)信息互相訪問進(jìn)行分析��、過濾��、阻斷����。?主要技術(shù)?域名劫持?全球一共有13組根(Root)級(jí)別的DNS服務(wù)器,目前中國大陸已有多臺(tái)DNS鏡像����。但沒有一組受中國大陸直接控制��,所以中國大陸方面未能從根本上控制網(wǎng)站域名。?2002年左右���,中國大陸開始采用域名劫持手段�����,他們用路由器提供的IDS監(jiān)測系統(tǒng)來進(jìn)行域名劫持����,防止了人們訪問被過濾的網(wǎng)站��。同時(shí)���,為了防止高
3��、級(jí)用戶自己直接使用有正常功能的境外的域名服務(wù)器����,中國大陸也開始不斷地封鎖海外的DNS服務(wù)器����,已經(jīng)封鎖了幾百個(gè)北美的DNS服務(wù)器���。?暫時(shí)不影響到海外以及港、澳的用戶(但給大陸網(wǎng)民帶來極大的麻煩)��。?國家入口網(wǎng)關(guān)的IP封鎖?從90年代初期�����,中國大陸只有教育網(wǎng)���、高能所和公用數(shù)據(jù)網(wǎng)3個(gè)國家級(jí)網(wǎng)關(guān)出口����,中國政府對認(rèn)為具有顛覆性質(zhì)的站點(diǎn)進(jìn)行IP封鎖�����,這是有效的封鎖手段��。對于IP封鎖���,用普通Proxy技術(shù)就可以繞過��。只要找到一個(gè)普通的海外Proxy���,然后通過Proxy就可以瀏覽自己平時(shí)看不到的資訊了����。但網(wǎng)-絡(luò)*封#鎖
4���、部門也就開始把人們常用的Proxy加入了IP封鎖列表。?主干路由器關(guān)鍵字過濾阻斷?在2002年左右�����,中國大陸研發(fā)了一套系統(tǒng)�����,并規(guī)定各個(gè)因特網(wǎng)服務(wù)提供商必須使用����。思科等公司的高級(jí)路由設(shè)備幫助中國大陸實(shí)現(xiàn)了關(guān)鍵字過濾,最主要的就是IDS(IntrusionDetectionSystem)---入侵檢測系統(tǒng)“思科公司為中國特制了數(shù)據(jù)包級(jí)別的內(nèi)容過濾路由器(contentfilteringrouter)�,而中國的路由器80%是思科公司的?�!闭谶M(jìn)行中的“金盾工程”是一個(gè)與Novell的合作項(xiàng)目。這個(gè)工程將包括生
5��、化監(jiān)控���、人工智能�、自動(dòng)識(shí)別等技術(shù)���。���。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)(如國家級(jí)網(wǎng)關(guān))收集分析信息,過濾�、嗅探指定的關(guān)鍵字,并進(jìn)行智能識(shí)別�,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進(jìn)行網(wǎng)址的過濾和網(wǎng)頁內(nèi)容的過濾��,如果符合既定的規(guī)則����,則向用戶發(fā)送IP欺騙性質(zhì)(從前后IP報(bào)頭TTL值相差較大可知)的FIN終止或RST復(fù)位包,干擾用戶與服務(wù)器的正常TCP連接��,使數(shù)據(jù)流中斷���,而在終端主機(jī)上會(huì)顯示連接失敗��。不同的IDS甚至有可能在一段預(yù)定或隨機(jī)的時(shí)間內(nèi)試圖阻止從用戶主機(jī)發(fā)出的所有通信�。?所以在訪問境外網(wǎng)
6、站時(shí)��,如果數(shù)據(jù)流里敏感字符時(shí)�,即會(huì)被提示“該頁無法顯示”,隨后在1-3分鐘的時(shí)間內(nèi)無法用同一IP瀏覽此域名或IP地址上的內(nèi)容�����,屏蔽時(shí)間據(jù)猜測和敏感詞等級(jí)以及所屬網(wǎng)站有關(guān)����。此種過濾是雙向的�����,也就是說���,國內(nèi)含有關(guān)鍵詞的網(wǎng)站在國外不可訪問����,國外含有關(guān)鍵詞的網(wǎng)站在國內(nèi)不可訪問。(Google.cn除外��,原因是國外DNS服務(wù)器會(huì)將此域名同樣指向美國的Google服務(wù)器)����。?關(guān)鍵字過濾的弱點(diǎn)就是對已加密的信息無能為力,而網(wǎng)址的關(guān)鍵字和網(wǎng)頁的關(guān)鍵字都可以用不同的手段來加密��,從而使這樣的信息過濾系統(tǒng)從根本上失去作用���。不
7�����、同的加密手段也是后來所有突破網(wǎng)-絡(luò)*封#鎖軟件的基礎(chǔ)�。?被屏蔽過濾的關(guān)鍵詞主要是(為防止本站被GFWed��,此處刪除若干內(nèi)容)��、部分國家領(lǐng)導(dǎo)人姓名��、境外媒體�、色情、破網(wǎng)軟件等字眼上���,最近更將"zh.wikipedia.org"維基百科中文網(wǎng)的網(wǎng)址也列入了屏蔽關(guān)鍵詞中��,故導(dǎo)致無論使用什么類型或網(wǎng)址的代理服務(wù)器都不能正常登入維基中文版���。?對于google.com的查詢返回結(jié)果有報(bào)道稱是專門過濾的��,即GFW針對google.com返回結(jié)果中的網(wǎng)頁地址進(jìn)行過濾�����,對關(guān)鍵字的過濾并不嚴(yán)格�。而google.cn對返回結(jié)
8����、果的過濾僅只是對網(wǎng)頁網(wǎng)址的����,這就說明對于google.com返回的大量網(wǎng)頁,中國網(wǎng)絡(luò)審查更經(jīng)濟(jì)而有效的方法便是像前面所說的一樣����,而且事實(shí)上對于google.com的審查也正是如此。?從GFW的分布來看����,審查過濾系統(tǒng)主要位于國際出口處�����,但最近通過對審查過濾系統(tǒng)返回的RST復(fù)位包IP頭進(jìn)行(TTL值)分析�,發(fā)現(xiàn)存在兩個(gè)欺騙源�,其一位于國際出口處,另一個(gè)位于骨干網(wǎng)省級(jí)接入處����。因此推測GFW對于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是���,對于境
