所谓的GFW到底是什么东东?

作者: 段轩 分类: 信息安全 发布时间: 2010-08-12 10:45

刚刚在群里看到有说gfw的,我想了半天也不知道是啥意思,就先谷歌或百度的给搜出来了:

防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙、长城防火墙或万里防火墙),是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。随着使用的拓广,中文“墙”和英文“GFW”已被用于动词,“GFWed”及“被墙”均指被防火长城所屏蔽。

一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。一些文章指出,GFW之父是中国工程院院士、北京邮电大学校长方滨兴。

一般情况下防火长城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由于中国网络审查较为完备,中国国内的不合适网站会直接行政干预和关闭,故防火长城主要作用在于对中国境内外的网络信息互相访问进行分析、过滤、阻断。

目录

* 1 主要技术

1.1 域名劫持

1.2 国家入口网关的IP封锁

1.3 主干路由器关键字过滤阻断

1.4 HTTPS证书过滤

* 2 被审查网站不完全列表

主要技术域名劫持全球一共有13组根(Root)级别的DNS服务器,目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制,所以中国大陆方面未能从根本上控制网站域名。

2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。

暂时不影响到海外以及港、澳的用户(但给大陆网民带来极大的麻烦)。

Guess on China\’s Great Firewall Mechanism.png国家入口网关的IP封锁

从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于IP封锁,用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。但网络封锁部门也就开始把人们常用的Proxy加入了IP封锁列表。

在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是IDS(Intrusion Detection System)— 入侵检测系统“思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司的。”正在进行中的“金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。

它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合既定的规则,则向用户发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的FIN终止或RST复位包,干扰用户与服务器的正常TCP连接,使数据流中断,而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

nImage:GFW firefox.png 所以在访问境外网站时,如果数据流里敏感字符时,即会被提示“该页无法显示”,随后在1-3分钟的时间内无法用同一IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问,国外含有关键词的网站在国内不可访问。

www.google.com.cn除外,原因是国外DNS服务器会将此域名同样指向美国的Google服务器。

关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

被屏蔽过滤的关键词主要是(为防止本站被GFWed,此处删除若干内容)、部分国家领导人姓名、境外媒体、色情、破网软件等字眼上,最近更将\”zh.wikipedia.org”维基百科中文网的网址也列入了屏蔽关键词中,故导致无论使用什么类型或网址的代理服务器都不能正常登入维基中文版。

对于google.com的查询返回结果有报道称是专门过滤的,即GFW针对google.com返回结果中的网页地址进行过滤,对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google.com返回的大量网页,中国网络审查更经济而有效的方法便是像前面所说的一样,而且事实上对于google.com的审查也正是如此。

从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。

从2007年2 月前后,GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被阻断。2007年2月8日后,原本可以通过Google.cn移动版访问维基百科的方法也宣告失败。估计是ISP在内部也安装了一台GFW设备。

HTTPS证书过滤

部分人发现少数特定证书的传输被阻断,导致https连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!