什么是GFW?
sitalen
--
昨夜星辰昨夜风,画楼西畔桂堂东。
身无彩凤双飞翼,心有灵犀一点通。
隔座送钩春酒暖,分曹射覆蜡灯红。
嗟余听鼓应官去,走马兰台类转蓬。
Aaron Liang
一般情况下防火长城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由于中国网络审查较为完备,中国国内的不合适网站会直接行政干预和关闭,故防火长城主要作用在于对中国境内外的网络资讯互相访问进行分析、过滤、阻断。
主要技术有域名劫持、国家入口网关的IP封锁、主干路由器关键字过滤阻断、HTTPS证书过滤
http://zh.wikipedia.org/wiki/GFW
谷歌治印 http://google.blogoscoped.cn/
sitalen
013231 013231
013231 013231
防火长城
维基百科,自由的百科全书
防火长城,也称中国防火墙或中国国家防火墙,指 中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统。其英文名称 Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。
一般情况下防火長城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由於中國網絡審查較為完備,中國國內的不合適網站會直接行政乾預和關閉,故防火長城主要作用在於對中國境內外的網絡資訊互相訪問進行分析、過濾、阻斷。
目录[隐藏] |
[编辑] 主要技术
[编辑] 域名劫持
-
主条目:域名劫持
全球一共有13组根(Root)级别的DNS服务器,目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制,所以中国大陆方面未能从根本上控制网站域名。
2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。
暂时不影响到海外以及港、澳的用戶(但给大陆网民带来极大的麻烦)。
[编辑] 国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、 高能所和公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于IP封锁,用普通 Proxy技术就可以绕过。只要找到一个普通的海外Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。但网络封锁部门也就开始把人们常用的Proxy加入了IP封锁列表。
[编辑] 主干路由器关键字过滤阻断
请参看: 防火长城关键字列表
在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。 思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是IDS(Intrusion Detection System)--- 入侵检测系统[1]。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合既定的规则,则向用户发送IP欺骗性质(从前后 IP报头TTL值相差较大可知)的FIN终止或RST复位包,干扰用户与服务器的正常TCP连接,使数据流中断,而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。
所以在访问境外网站时,如果数据流里敏感字符时,即会被提示"该页无法显示",随后在1-3分钟的时间内无法用同一IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如在百度搜索 一塌糊涂BBS),国外含有关键词的网站在国内不可访问。(Google.cn除外,原因是国外DNS服务器会将此域名同样指向美国的Google服务器)。
关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。
被屏蔽过滤的关键词主要是法轮功、民运、 人权、钓鱼岛、七一游行、 天安门事件、六四事件、赵紫阳、 屠杀、无界浏览、游行示威、边疆独立、部分国家领导人姓名、境外媒体、色情、 破网软件等字眼上,最近更将"zh.wikipedia.org"维基百科中文网的网址也列入了屏蔽关键词中,故导致无论使用什么类型或网址的代理服务器都不能正常登入维基中文版。
对于google.com的查询返回结果有报道称是专门过滤的,即GFW针对google.com返回结果中的网页地址进行过滤,对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google.com返回的大量网页,中国网络审查更经济而有效的方法便是像前面所说的一样,而且事实上对于google.com的审查也正是如此。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。
从2007年2月前后,GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有"zh.wikipedia.org"的Google链接后,5分钟内再次访问Google被阻断。 2007年2月8日后,原本可以通过Google.cn移动版访问维基百科的方法也宣告失败。估计是ISP在内部也安装了一台GFW设备。
[编辑] HTTPS证书过滤
部分人发现少数特定证书的传输被阻断,导致https连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
[编辑] GFW测试
测试网站网址或关键字是否被列入了关键字过滤,可以使用一下方法。
[编辑] 中国大陆境外
- 打开Greatfirewall.net,然后按指引测试。
- 打开百度,输入要测试网站网址的全部或要测试的关键字,若返回"无法显示"就证明该字符的关键字过滤生效。
[编辑] 中国大陆境内
- 打开Google.com,输入该网站网址的全部或关键字,若"无法显示"就证明该字符的关键字过滤生效。
- 直接打开网址,若"无法显示",就有3种可能,1为IP封锁,2为关键字过滤,要确定属于哪一种,可以继续下面步骤;
- Tracert该网址,若可成功到达对发服务器IP,即表明IP并未被屏蔽,但网址被列入关键字过滤。若在第8步或之前"timeout"就证明目标IP被屏蔽但可能网址并未被关键字过滤。若使用普通透明代理服务器也不能访问该站,即表明IP封锁与网址关键字过滤同时运作(如中文维基百科网址"zh.wikipedia.org")。
[编辑] 被审查网站不完全列表
所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问(比如Gmail)。被固定封锁的网站类型包括:色情论坛或网站;所有 民运、法轮功及在大陆被查禁的宗教的网站;台湾的大多数政府网站与论坛;绝大多数台湾的新闻网站或综合网站中提供新闻的分站;海外提供 blog或个人网站服务的知名站点或影响较大的讨论或网志型网站。
这些类型的网站被封锁的根本原因是因为其网站上发布中国政府不能接受的政治等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对于google、维基百科的全面封锁。部分被封锁的知名网站列举如下:
- blog、wiki、论坛等影响较大的参与式网站
- 中文维基百科以及所有维基媒体;
- 未名空间(网址列入关键字过滤);
- Technorati[1](2006年5月起);
- LiveJournal[2](2007年2月起);
- Xanga[3](2007年3月起,网址列入关键字过滤);
- MediaWiki[4](网址列入关键字过滤);
- Windows Live Spaces [5](可能会不定时无法访问,部分人士的Blog可能会被关键字过滤或只有中国大陆以外才可以浏览,这与GFW及微软的IP识别有关);
- 香港讨论区 [6];
- 香港大众;
-
- Google Blogger Custom Domains,封锁IP为:64.233.179.121。(从2007年1月12日起);
- Blogger/Blogspot。封锁IP为:72.14.207.190/191,现在中国可以正常打开Blogger主页,但注册的Blogspot域名(例:***.blogspot.com)均无法访问,即等于无法使用Blogger服務;(曾于2007年3月20日至28日下午4点被封,28日下午4点至30日上午10点短暂解封,接着封锁,于4月2日至5日早上10点解封,接着封锁,于4月15日解封至今)
- Google的Blogger服务网站。所有用blogspot二级域名的网站在中国部分地区可能会不定时无法访问;
- 如果使用香港的DNS服务器,Google.com就无法访问,封锁IP为:72.14.205.104,日期大概在2007年2月28日前后,包括Gmail在内的Google大部分功能会无法使用。只有Google新闻可以正常连接;
- Google网站搜索敏感词,不一定可以全部列出,有时会有答非所问的网站列出。尤其是 google.cn, 如果搜索敏感词汇,会得到如下提示:"据当地法律法规和政策,部分搜索结果未予显示。";
- Google收录的位于Usenet上的部分新闻组,如 TPC和ACT(已解禁)等。(但使用如 OE或Forté Agent这类Usenet客户端可以访问 )
- Google网页快照(IP并未被封锁,但"search?q=cache:"这段网址中的代码被列入了关键字过滤,故此IP等于无法访问);
- 注: 部分地区长时间无法使用GOOGLE所有服务,例如中国广东中山教育网曾经有近一年不能使用所有Google的服务,包括搜索引擎、Gmail、GoogleGroup等;
- 新闻类网站:
- BBC中文网[7];
- BBC新闻网[8];
- 美国之音[9];
- "德国之声"中文部网站(主页可访问,主页中所有链接被封)以及 德国之声"中文部节目 MP3 下载页面";
- 自由亚洲电台 [10];
- 聯合新聞網(聯合報系);
- 东森新闻报;
- TVBS 無線衛星台;
- 明报新聞網[11];
- 中時電子報(中國時報系);
- 自由時報;
- 新唐人电视台 [12];
- 多维新闻网;
- 文学城;
- 新浪香港新闻版;
- 新浪台湾新闻版;
- 大纪元[13];
- 香港星岛日报[14];
- 香港苹果日报 [15];
- 台湾中央廣播電台 [16];
- 香港明报[17];
- 博讯新闻;
- 中国报道周刊;
- 香港亚洲电视(其子域名 app.hkatv.com 可以访问);
- 香港人民廣播電台 [18];
- 亚洲周刊[19];
- 个人blog
- 周曙光的blog(首页可打开,次页被关键字过滤);
- 曾被封锁的网站(一些已解禁的博客网站,可能是由于技术上已实现有的放矢地封杀在GFW认为不合规的部分博客网页,而对整体网站实行解禁。)
- 维基百科及维基媒体基金会其他网站(封锁四次,最后一次解除在2006年11月仅短短4天)。
- Google[27](如果使用香港DNS就无法访问);
- 朝鮮日報中文网[28](已解禁);
- 纽约时报[29](已解禁);
- BBC(新闻与中文版除外)[30];
- 中国广播公司 [31](已解禁);
- 香港电台[32](已解禁)(但目前香港电台的新闻网页又被重新封锁);
- blog-city(已解禁);
- weblogs(已解禁);
- CNN(已解禁);
- Yahoo!GeoCities托管的所有个人主页[33] (已解禁);
- 香港網站BBS(曾于2005年5月至2006年被封);
- Yahoo雅虎台湾(奇摩);(包括 新闻)(已解禁);
- 美国国务院-美国参考(已解禁);
- 香港电视广播有限公司(TVB) [34](已解禁);
- Google资讯中国版(已解禁,但经常因为敏感字符触发GFW而导致"该页无法显示")此为Google.com的中国资讯版,内容也像香港版和台湾版一样,内容自动生成,所以GFW也对其起作用,而Google.cn资讯版就是经过人工干预删除敏感新闻;
- Google新闻台湾版(已解禁,但经常因为敏感字符触发GFW而导致"该页无法显示")不过里面的新闻连接大多被封,图片也因某些网址被关键字过滤的原因而无法正常显示;
- Google新闻香港版(已解禁,但经常因为敏感字符触发GFW而导致"该页无法显示")不过里面的新闻连接大多被封,图片也因某些网址被关键字过滤的原因而无法正常显示;
- Blogger(已解禁,由于目前Blogspot域名处于封锁状态,故Blogger等于无法使用);
- Sourceforge的部分虚拟主机 Sourceforge.net首页(曾于2006年2月至2006年11月被封,已解禁);
- 香港成报[35](已解禁);
- 台湾中天電視[36] (已解禁);
- Google Code - Project Hosting(已解禁);
- Windows Live Spaces [37](已解禁,在过往曾多次被封锁);
[编辑] 注释
- ↑ "思科公司为中国特制了数据包级别的 内容过滤路由器(content filtering router),而中国的路由器80%是思科公司的。"正在进行中的" 金盾工程"是一个与Novell的合作项目。这个工程将包括生化监控、 人工智能、自动识别等技术。
[编辑] 参见
[编辑] 外部连接
绷带猪
xingxing
在 07-5-3,绷带猪<gta...@gmail.com> 写道:
--
我的网站
http://pcxingxing.net.ru
论坛
http://bbs.pcxingxing.net.ru/
xingxing
--
xingxing
site: http://pcxingxing.net.ru/
forum: http://star-bbs.org.ru/
E-MAIL>alk: xingx...@gmail.com
Alex.W
sitalen
great firewall的简写,翻译就是中国防火墙,不过这个防火墙的确值得fuck
Great Fucking fireWall.
On 6/24/07, xingxing <xingx...@gmail.com> wrote:
On 5/3/07, 绷带猪 <gta...@gmail.com> wrote:
> 难道你上这么久GFANS还不懂得用代理呀!!~~
>
> 在07-5-3,sitalen <sit...@gmail.com> 写道:
> > 那个链接进不去
> >
> >
> > 在07-5-3,Aaron Liang <aaro...@gmail.com> 写道:
E-MAIL>alk:xingx...@gmail.com
--
掘网部落,和您一起分享网络
http://digthenet.blogspot.com/
CHEN,Zizhao
On Monday 25 June 2007 17:05, sitalen wrote:
> 不要误人子弟啊
--
CHEN Zizhao
GTalk/Jabber:nco...@gmail.com
E-Mail:CH...@Sep24th.COM
sitalen
绷带猪
林中预约比萨
xingxing
http://www.great-firewall.com/
--
xingxing
site: http://pcxingxing.net.ru/
forum: http://star-bbs.org.ru/
E-MAIL>alk: xingx...@gmail.com