GFW 是啥
总的来说,GFW 是一个分布式的入侵检测系统,并不是一个严格意义上的防火墙。不是说每个出入国境的 IP 包都需要先经过 GFW 的首可。做为一个入侵检测系统,GFW 把你每一次访问 facebook 都看做一次入侵,然后在检测到入侵之后采取应对措施,也就是常见的连接重置。
手段
IP 黑名单
RST 包中断
TCP 协议规定,只要看到 RST 包,连接立马被中断。从浏览器里来看就是连接已经被重置。我想对于这个错误大家都不陌生。据我个人观感,这种封锁方式是 GFW 目前的主要应对手段。大部分的 RST 是条件触发的,比如 URL 中包含某些关键字。目前享受这种待遇的网站就多得去了,著名的有 facebook。还有一些网站,会被无条件 RST。也就是针对特定的 IP 和端口,无论包的内容就会触发 RST。比较著名的例子是 https 的 wikipedia。GFW 在 TCP 层的应对是利用了 IPv4 协议的弱点,也就是只要你在网络上,就假装成任何人发包。所以 GFW 可以很轻易地让你相信 RST 确实是 Google 发的,而让 Google 相信 RST 是你发的。
DNS 劫持
这也是一种常见的人工检测之后的应对。人工发现一个不和谐网站,然后就把这个网站的域名给加到劫持列表中。其原理是基于 DNS 与 IP 协议的弱点,DNS 与 IP 这两个协议都不验证服务器的权威性,而且 DNS 客户端会盲目地相信第一个收到的答案。所以你去查询 facebook.com 的话,GFW 只要在正确的答案被返回之前抢答了,然后伪装成你查询的 DNS 服务器向你发错误的答案就可以了。
规避方法
●使用 /etc/hosts 文件
●直接指定 IP 地址访问
●本地 DNS 缓存
DNS 污染
DNS(Domain Name System)污染是 GFW 的一种让一般用户由于得到虚假目标主机 IP 而不能与其通信的方法,是一种 DNS 缓存投毒攻击(DNS cache poisoning)。其工作方式是:对经过 GFW 的在 UDP 端口 53 上的 DNS 查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。由于通常的 DNS 查询没有任何认证机制,而且 DNS 查询通常基于的 UDP 是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。
规避方法
●使用 OpenDNS
●8.8.8.8
IP 路由劫持
深度包检测
规避方法
- 加密代理法
- TOR
- ssh -D
- gappproxy
- Psiphon
- 无界
- 自由门
- 变更协议
- UDP
- IPv6
- SDPY (不成熟)
- VPN 法
- PPTP
- L2TP
- OpenVPN
探索 GFW 在哪里
https://github.com/fqrouter/qiang
其原理是基于一个 IP 协议的特性叫 TTL。TTL 是 Time to Live 的简写。IP 包在每经过一次路由的时候,路由器都会把 IP 包的 TTL 减去 1。如果 TTL 到零了,路由器就不会再把 IP 包发给下一级路由。然后我们知道 GFW 会在监听到不和谐的 IP 包之后发回 RST 包来重置 TCP 连接。那么通过设置不同的 TTL 就可以知道从你的电脑,到 GFW 之间经过了几个路由器。比如说 TTL 设置成 9 不触发 RST,但是 10 就触发 RST,那么到 GFW 就是经过了 10 个路由器。另外一个 IP 协议的特性是当 TTL 耗尽的时候,路由器应该发回一个 TTL EXCEEDED 的 ICMP 包,并把自己的 IP 地址设置成 SRC(来源)。结合这两点,就可以探测出 IP 包是到了 IP 地址为什么的路由器之后才被 GFW 检测到。有了 IP 地址之后,再结合 IP 地址地理位置的数据库就可以知道其地理位置。
Reference
- Internet Censorship in China: Where Does the Filtering Occur? - http://web.eecs.umich.edu/~zmao/Papers/china-censorship-pam11.pdf
- The Great Firewall Revealed - http://www.internetfreedom.org/files/WhitePaper/ChinaGreatFirewallRevealed.pdf
- Ignoring the Great Firewall of China - https://www.cl.cam.ac.uk/~rnc1/ignoring.pdf
- 全面学习 GFW - https://cokebar.info/archives/253
- 深入理解 GFW:DNS 污染 - http://gfwrev.blogspot.com/
- GFW 的工作原理(3)——IP 封锁,最可恶的手段 - https://xijie.wordpress.com/2015/01/28/gfw%E7%9A%84%E5%B7%A5%E4%BD%9C%E5%8E%9F%E7%90%86%EF%BC%883%EF%BC%89ip%E5%B0%81%E9%94%81%EF%BC%8C%E6%9C%80%E5%8F%AF%E6%81%B6%E7%9A%84%E6%89%8B%E6%AE%B5%EF%BC%81/
- [扫盲] 介绍一下 GFW 的工作原理和封锁技术 - https://blog.csdn.net/eerstar/article/details/47866703
- GFW 的工作原理及突破技术 - https://markmail.org/download.xqy?id=xx5ti2rn76jyizr6&number=1
- http://www.chinagfw.org/
- 深入理解 GFW:DNS 污染 - http://gfwrev.blogspot.com/2009/11/gfwdns.html
- 3 DNS 污染与应对 - https://github.com/lifetyper/FreeRouter/wiki/3-DNS%E6%B1%A1%E6%9F%93%E4%B8%8E%E5%BA%94%E5%AF%B9