岳伟梁转自barry观察
此文我希望从一个普通互联网用户的角度去看待中国防火墙,没有技术词汇,纯粹是从应用层面的需求出发,告诉你哪些问题才是你应该关心的。
中国网络长城防火墙,是中国政府针对中国境内网络实行的一种互联网边界网络审查系统。英语叫做:Great Firewall,简称:GFW。它的英文名称来自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,在中国的互联网用户也将其叫做:墙、防火墙、功夫网、网络长城等。由此,为了访问被GFW屏蔽阻隔的网络,例如:Google、YouTube、Facebook、Twitter等,中国网民有发明了很多新的词汇,例如:翻墙、科学上网、梯子、魔法上网等。自2013年以来由“国家互联网信息办公室” 参考文献或叫做“网络安全和信息化委员会办公室”简称“CAC”负责运营操作。
长城防火墙目前采用的阻隔机制
自长城防火墙创建以来截止目前,它依然采用的是黑名单机制来阻隔其希望限制用户访问网站和App。两套机制的区别在于:黑名单机制是指将特定的网站设置为不可访问,例如现在全球有100个网站,GFW将其中的10个设置为不可访问,那么剩余的90个是可以访问的,同时如果有人新建了1个网站,只要没有被纳入GFW的范围之内,那么就可以访问第91个网站。
白名单机制则是刚好相反,例如全球有100个网站,GFW将其中10个纳入为可访问的,那么剩余的90个则是不可访问的,同时如果有人新建了一个网站,但是这个网站是还没有被纳入GFW的,那么这个网站也是无法访问的。这就是两种机制的最大的区别,现在如果服务器放在中国大陆的网站,在网站或App上线之前都必须得到“工业和信息化部” 参考文献进行实名审核备案,审核通过了,这个网站才可以上线,不然就无法上线。
但是如果你网站的服务器如果是放在香港、台湾、美国等其它地区,那么就不需要进行实名审核备案就可以正常上线。而且上线之后中国大陆地区也是可以正常访问的。由此可以验证目前GFW是采用黑名单机制而非白名单机制。也正是采用这样一种机制,所以目前才会存在各种VPN和翻墙工具。如果一旦相关部门采用白名单机制来阻隔限制网络之后,那么所有的VPN及翻墙工具都将失效。中国互联网将变成真正的局域网。
长城防火墙阻隔访问的技术手段
DNS劫持与污染
DNS劫持是指:通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。
DNS污染是指:一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache poisoning)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。
参考文献1:DNS劫持和DNS污染的区别(来自:月光博客)
参考文献2:域名服务器缓存污染 (来自:维基百科)
中间人攻击
中间人攻击参考文献(英语:Man-in-the-middle attack,缩写:MITM)指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
举例说明 参考文献
1、假设 Tom 想和 Jerry 交换一些秘密信息,然而 Tom 又不想跑到 Jerry 家里,于是 Tom 叫来了邮递员,给了邮递员一封信。信的内容是希望 Jerry 给 Tom 一个盒子(这个盒子有两把钥匙)和其中一把钥匙(另一把在 Jerry 手里)。
2、邮递员在拿到 Tom 给的信件以后,把 Tom 的信拆开看了一遍,了解到 Tom 希望 Jerry 给 Tom 一个有锁的盒子,又用另一个信封装了回去,并交给了 Jerry。
3、Jerry 在收到 Tom 的信(实际已经被邮递员拆阅过了)之后,给了邮递员一个有锁的盒子和其中一把钥匙。
4、邮递员想知道他们的通信内容,于是他把 Jerry 给 Tom 的盒子换成了他自己的盒子,并附上了自己盒子中的一把钥匙,并在之后将自己的盒子交给了 Tom。
5、Tom 在收到盒子之后,以为这个盒子是 Jerry 给他的,于是就把秘密的信件放进了盒子里,并把钥匙留下了,之后又交给了邮递员。
6、邮递员在拿到盒子之后,用自己的另一把钥匙打开盒子,看了里面的信件。之后将信件调换之后放进了 Jerry 给的盒子,交给了 Jerry。
7、Jerry 在拿到邮递员给他的盒子之后,并不知道这个盒子里的信件其实已经被邮递员调换过了,所以 Jerry 认为盒子里的信件是来自 Tom 且未被修改过的。之后 Jerry 把回信放进了盒子里,又交给了邮递员。
8、邮递员再次调换盒子里的信件,交给了 Tom。
其它方式
GFW还有非常多的方法来阻止用户访问相应的网站或服务器:例如IP封锁、TCP连接重置等等,这里不做详细的介绍。如果你希望了解更多内容,Google一下将能找到更多,因此我就不在这里做重复的介绍。
防火墙全年的强度表现情况
作为一个第三方观察者我无法深入到内部进行了解。但是从各方的网络资料及VPN每日测速栏目 参考文献来看,虽然全年之中防火墙都始终存在的,但却存在不同时间段强度表现不同的情况。根据以往的经验判断,一年之中强度最大的网络封锁期有三个。第一个是在3月份,持续时间一般在15天左右。第二个是在6月份,持续时间一般在30天左右。第三个是在10月份持续时间一般40-45天左右。具体为什么是这三个时间段,应该不用我多说了吧。当然有时也不能排除一些突发事件而导致防火墙加高的情况,但那一般影响的范围及时间都较短。
防火墙在未来是否有取消的可能
大家都知道该“知识库”板块是10Beasts博客的一部分,很多提供的内容都多多少少会存在一些主观性的因素。对于“防火墙在未来是否会取消”这样一个问题。我只能从个人的主观意识出发给大家一些参考,但我会尽力保持客观!
根据近期中美关系、HK问题、TW问题、经济问题、以及一系列的国内经济、言论等政策表现来看。在可见的未来中国网络防火墙不会取消,而且还在向着越来越严的方向走着。同时我也很担心,中国以后会不会和North Korea一样,实行白名单的网络审查机制。