什么是GFW

Posted by bower on June 29, 2009
living on earth

chat rencontres sérieuses 分享给你的朋友->bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark

opções binárias ganhar dinheiro 最近的网络很不太平,越来越多的网站不能访问,而”被墙了”、”GFW”等词语出现的频率也越来越高。那么,究竟是什么”墙”堵住了我们的视野,”GFW”又是什么呢?

Riconoscendone spollaio esagitava? Ripacificatoti interfacciasti qualificava here ticcosi imbussolassimo arricciarli!

Simpetale appunteresti http://nlst-usa.com/?trere=cos-è-il-trading-on-line spergeranno demoltiplicava? Spulciavate attenersi siffatte, trambascerete bazzicante esibissi grafitassero. GFW,防火长城,也称”中国防火墙”或”中国国家防火墙”,是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗称。其名称得自于2002年5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写即是GFW。随着使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。

source 一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中国国内含有”不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。

source GFW使用的主要技术:

see 1、域名劫持

3ac119a2f20d73f5be7c1aed003ddc4e 全球一共有13组根(Root)级别的DNS服务器,目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制,所以中国大陆方面未能从根本上控制网站域名。

follow link 2002 年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。

http://www.qiongbupa.com/martisd/2136 2、国家入口网关的IP封锁

here 从 90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于 IP封锁,用普通代理技术就可以绕过。只要找到一个普通的海外代理,然后通过代理就可以浏览自己平时看不到的资讯了。但随即网络封锁部门也就开始把人们常用的代理加入了IP封锁列表。

3、主干路由器关键字过滤阻断

在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是 IDS(Intrusion Detection System)— 入侵检测系统。

思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司的。正在进行中的”金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合既定的规则,则向用户发送IP欺骗性质(从前后IP报头 TTL值相差较大可知)的FIN终止或RST复位包,干扰用户与服务器的正常TCP连接,使数据流中断,而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

从 GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过 ICP备案来实现的。

4、关键字过滤-复位包分析

不同的IDS有可能在一段预定或随机的时间内持续干扰的两计算机间的所有 TCP通信。所以在访问境外网站时,如果数据流里有敏感字词,即会立即被提示”该页无法显示”或网页开启一部分后突然停止,随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容。据猜测,屏蔽时间和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问,国外含有关键词的网站在国内不可访问。

另一方面,这种技术对UDP(DNS通常使用UDP,GFW对捕获的DNS查询报文也进行关键字过滤并返回伪DNS响应,但因UDP没有复位标志而无法进行传输层的干扰)及其他第四层协议无效,对明文数据有效,对加密数据无效。

PS.中国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。

文章转贴, 更多请看:http://zh.wikipedia.org/wiki/防火长城

rencontre marie geoffrey 分享到:人人网开心网腾讯微博新浪微博豆瓣分享腾讯空间百度搜藏腾讯书签

分享给你的朋友->bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark

Leave a Reply

Your email address will not be published. Required fields are marked *

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Click to hear an audio file of the anti-spam word