本文作者为0xffffff。
本文使用CC-BY-NC-SA知识共享许可协议。
本文仅供技术研究使用。请严格遵守所在国家/地区的法律法规。请勿将其用于违法用途。
网络运营者应当履行网络安全保护义务,不得提供危害国家安全、泄露国家秘密或者破坏国家统一的工具、产品或者服务。——《中华人民共和国网络安全法》
未经许可,任何单位和个人不得擅自建立或者使用其他信道进行国际联网。——《中华人民共和国计算机信息网络国际联网管理暂行规定》(1996年国务院令第195号批准施行)
请注意,本文仅涉及技术研究,不涉及立场。
什么是防火长城?
防火长城,英语Great Firewall,简称GFW,也被网信办称为跨境数据安全网关。
这是一套软硬件的集合。它会监控所有进出国际网关的流量。
防火长城由中国工程院院士,北京邮电大学前校长 方滨兴 主持建设。
防火长城的工作原理
1-DNS污染(DNS Pollution):对于UDP协议的DNS查询请求,早期的GFW会返回固定且已经被封锁的IP地址。2015年后,防火长城开始返回动态的可访问的境外网站IP地址。这使得大量境外网站受到来自中国的DDoS攻击。对于TCP协议的DNS请求,防火长城会返回”连接已重置“。
2014年1月21日15:30,中华人民共和国DNS解析出现故障,三分之二的网站被解析到了65.49.2.178。有观点认为这是防火长城工作人员操作失误所致。
境外DNS查询途经中国时也会受到DNS污染的影响。因此,很多境外递归DNS服务器的缓存也被污染。2010年6月,一份匿名研究发现109个国家的三成递归DNS服务器被GFW污染。
在防火长城以外,很多地区运营商的DNS服务也会经常性地出现DNS劫持。2023年,code.visualstudio.com被重定向到国家反诈中心和工信部反诈中心的页面。此事件是DNS劫持中比较知名的案例。
2-TCP重置(TCP Connection Reset):在TCP通信双方连接的过程中,GFW会发送伪造的”连接已重置“包,使双方认为对方已终止连接。基于TCP协议的HTTP/HTTPS/SMTP通信都可以用该方式阻断。
此外还有深度包检测、IP封锁等技术。
2011年10月后,防火长城会通过主动探测区分正常的服务器和用于翻墙的代理服务器,并将后者封锁。
除了主动探测,防火长城还会用深度学习技术进行被动的流量分析。2021年11月,GFW已经可以通过对信息熵的分析大规模封禁完全加密的代理通信。Shadowsocks协议成为被打击的重灾区。(请访问https://gfw.report/publications/usenixsecurity23/zh/以了解技术细节)
2015年,部分国外VPN服务在中华人民共和国大陆地区无法正常使用,包括L2TP/IPSec和PPTP协议。2016年,GFW已经能够识别TLS代理。
主流的代理软件
注意:本文不会提供任何下载链接。
1-Clash:一款跨平台的代理软件,支持Shadowsocks(R),Vmess,Trojan等协议。
Clash在各个操作系统都有发行版,它们都基于开源的Clash Core开发,其中最广为人知的是Fndroid开发的Clash for Windows,它本身及其premium内核都是闭源的。
2023年11月2日,Fndroid在Telegram上宣布永久停更,并且删除了Clash for Windows在GitHub上的Repository。不久,clash for Android在Google Play下架。Clash系主流软件及其开源替代的GitHub Repository在两天之内全部被作者删除/设为私密。
2-V2Ray:一款跨平台的代理软件,支持Shadowsocks(R),Vmess,,Trojan等协议。该软件完全开源。
此外,各个操作系统都有自己独有的代理软件。
外链
警告:以下外链可能包含不受欢迎的内容。如果感到不适,请立即退出。
本站不对外链内容的正确性和安全性负责。
请严格遵守所在国家/地区的法律法规。
https://duangks.com/archives/115
https://github.com/TsingJyujing/blogs/blob/master/spam/gfw-history.md
https://zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E
Comments NOTHING