功夫网简介

2012/06/23
一,什么是墙(GFW)
墙被约定俗成叫做防火长城,GFW,功夫网。专业点被叫做中国国家防火墙,它的实质是管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)。
墙本质上是监控系统,技术上是分布式IDS,目前规模和技术上绝对的中国第一,世界第一。
墙始于1998年,GFW之父北邮校长方滨兴,金盾工程子项目(“金盾工程”是中华人民共和国电子政务建设的12个重要系统建设项目之一。其他金字工程还有金桥(公用经济信息)、金关(对外贸易)、金卡(电子货币)、金财(财政管理)、金农(农业信息)、金税(税收)、金水(水利信息)、金质(质量监督)等。),其中包括网络内容过滤(005工程),短信过滤(016工程)。
墙是分布式IDS,由数百台曙光4000L服务器(每套造价两千到三千万)组成,北京16套360节点,哈尔滨工业大学(防火长城实验室)64节点,上海128节点,还包括广州,长沙等,全部100G连接,总计6000节点,12000cpu,12000G内存,峰值计算48万亿次,计算能力超强,其中北京GFW总吞吐率为线速512Gbps,目前中国9大国际出口均有GFW作为网关。GFW节点间即可单独工作又可联动工作。国外以CISCO为主的厂商也为墙的建设提供了不可或缺的基础硬件和技术。
虽然墙的存在尽人皆知,但从没被官方承认过它的存在,一切对墙的了解均来自“猜测和旁证”。
二,为什么被墙(GFWed)
大家都听说过被墙目前被墙的包括:成人,民运疆独藏独法轮,国际人权,台湾政府,部分香港,国际广播电台BBC,视频类,社交类,文件分发,免费主机,图片,免费VPNSSH代理,维基百科,google等。
技术类网站里SF,FreeBSD,Python被墙过,不知道为什么。
被墙的主要手段包括
1.域名劫持,DNS污染 中国大陆原有F I两个根域服务器镜像,目前因为DNS污染严重危害信息安全已被国际组织禁止同步DNS。
2.封锁IP,使用“错误”路由,动态路由扩散,路有重分发等技术,无需acl效率高,但需要isp配合成本最高。
3.封锁端口,经常封锁22,1723,443等。 2011年3月以来开始对gmail特定间断封锁。
4.TCP连接重置,目前主要使用的方法,GFW发送RST包进行阻断,对google文档,论坛,+等,性能好,成本低。
5.TLS证书阻断
6.明文HTTP协议关键字过滤,2002年开始,关键字过滤包括HTTP头和内容,2011年4月开始干扰google.com.hk搜索结果。
7.对翻墙软件反制,间歇完全封锁国际出口
8.对IPv6封锁,由于IPv4不关心安全性,而IPv6默认开启IPSec,导致GFW无法审查内容。 方滨兴在他的讲话《五个层面解读国家 信息安全保障体系》中说:“比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么。”
9.对电子邮件拦截
三,如何翻墙(CFW)
翻墙出去干嘛?看youtube,别看不健康不和谐内容。
从使用技术分为
1.修改host文件,dns2socks
2.http代理,效果差,不稳定
3.网页代理,PHP,CGI代理,广告,不稳定,缺少部分图片等
4.webpage-tunnel,hyk-proxy,GAE
5.socks代理,Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、 HTTP 层代理不同,Socks 代理只是简单地传递数据包,而不必关心是何种应用协议。
6.VPN
7.SSH
程序工具
psiphon3 赛风3(VPN SSH类)
flexamail(用电子邮件翻墙)
stunnel(ssl通道)
tor(带套穿墙)
iodine+tunnel(iodine:tool for tunneling IPv4 data through a DNS server,debian源直接安装,有DNS的地方就能上网)
不推荐工具:safeweb,Puff,世界通,火凤凰,动态网(自由门 逍遥游 动网通),无界浏览,花园网,张生翻墙
p2p:自由网(freenet)
技术流的:西厢计划,TCP连接混淆,反DNS劫持,入侵检测注入,直连,不使用中转速度快,需要linux netfilter支持。
全局代理软件:Proxifier

最后,建设和谐社会做守法公民。

转自http://www.chinagfw.org/2012/06/blog-post_3628.html

Related Posts