简介#
中国网络墙(即"中国国家防火墙",英文Great Firewall of China,简称GFW), 是中国政府建立的综合网络审查系统,通过多种技术手段实现对互联网内容的监管 国防火长城,官方名为金盾工程,是由政府运作的一个互联网审查监控项目。在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统。其英文名称Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。随着使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。
特点#
| 实现方案 | 工作原理 | 典型现象 | 技术细节佐证 |
|---|---|---|---|
| 1. DNS污染 | 当你的电脑向境外DNS服务器(如8.8.8.8)查询被禁域名时,GFW会抢先伪造一个错误的IP地址返回给你,让你“找不到”网站。 | 域名ping不通,但IP可能能ping通。 | GFW伪造的DNS响应包格式非常固定,IP地址来自一个特定的池子(约48个),且通常没有正常的附加信息,这反而为对抗技术(如iptables的u32模块过滤)提供了可能。 |
| 2. IP封锁 | 这是最直接的封锁方式。GFW维护着一个被禁IP地址的黑名单。一旦检测到数据包的目的IP在此名单中,就会直接中断连接。 | 直接ping IP地址都不通(超时或目标不可达)。 | 早期技术,但仍是基础。其高效实现依赖于上面提到的路由扩散技术,将大量IP牵引至“黑洞”。 |
| 3. 连接重置 | 这是最“聪明”且高效的方式。GFW像一个“中间人”,实时监控国际出口的流量。当它检测到一个HTTP(80端口)请求中包含敏感关键词,或试图连接被禁的HTTPS网站时,它会同时向你和目标服务器伪造发送一个TCP的RST(重置)包,让双方都误以为对方要断开连接,从而“干净利落”地掐断会话。 | 浏览器提示“连接被重置”或“peer reset”。 | 这种方式不需要封锁整个IP,只需要在检测到“违规”流量的瞬间介入,对其他正常访问该IP的流量毫无影响,效率和精确度极高。 |
| 4. 深度包检测 | GFW不仅仅是看IP和端口,它能深入到应用层,对数据包的内容进行解析。 | - 访问含有敏感词的网页被重置。 | |
| - 使用Shadowsocks等代理,即使加密也可能被识别并阻断。 | 现代GFW具备强大的DPI能力。像开源的OpenGFW项目就复现了这种能力:它能对HTTP、TLS(通过SNI,即服务器名称指示)、QUIC、DNS等协议进行解析,甚至能通过流量特征检测出Shadowsocks等“全加密流量”并进行阻断。 |
- IP地址封锁:对特定国家或地区的IP地址范围进行阻断
- DNS污染:对DNS查询进行干扰,返回伪造IP地址
- 深度包检测(DPI):对网络流量进行深度分析,识别特定内容
- 关键词过滤:对传输内容进行实时扫描,阻断包含敏感词汇的数据流
- SNI检测:在TLS握手阶段分析服务器名称,识别并拦截特定域名
防火墙是如何运作的?
1,DNS封锁
当网民输入URL时,DNS会查找IP地址,如果DNS被设不返回IP地址用户就无法登陆网站。表现方式为:“找不到网站”
全球一共有13组根(Root)级别的DNS服务器,目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制,所以中国大陆方面未能从根本上控制网站域名。
2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。
2,连接阶段
监控电脑会将你的请求与被禁IP地址名单对照。如果属于被禁地址,服务器会中止请求。表现方式为“连接被重置”。
3,URL关键词封锁
尽管URL不在黑名单上,如果被请求的URL含有禁词,连接也会被重置。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,中国的路由器80%是思科公司的。表现形式为”服务器正在将请求重新定向“。
例如好友杨涛的xjp.cc正是因为与国家领导人名字的类似,所以被墙了,被屏蔽过滤的关键词主要是、部分国家领导人姓名、境外媒体、色情、破网软件等字眼上。
4,页面扫描
一旦网民进入了你请求的网站,监控系统会扫描整个网页,判断是否可以通过。导致用户可能在几分钟甚至是一小时内无法连接该网站,表现形式为”无法显示网页“。比如Gmail。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。
企业非法翻墙:企业私自搭建 / 使用未批准的跨境信道,是违法行为