The Great Fire Wall of China的简写, 意指“中国网络防火墙”(字面意为“中国防火长城”),这是对“国家公共网络监控系统”的俗称,国内简称“防火长城”。
GFW是“金盾工程”的一个子功能。 “金盾工程”是以公安信息网络为先导,以各项公安工作信息化为主要内容,建立统一指挥、快速反应、协同作战机制,在全国范围内开展公安信息化的工程,主要 包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心等。该项目2003年开始生效。一般所说的GFW,主要指 公共网络监控系统,尤其是指对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。
防火长城,也称中国防火墙或中国国家防火墙,是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗 称。其名称得 自于2002年5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW,戏称功夫网(Gong Fu Wang)。随着使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容 的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干 预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。
然而,利用防火长城等技术手段对网络 内容的审查限制了言论自由,进行网络审查一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。
中 国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。
主要技术
域名劫持
全 球一共有13组根域名服务器(root server),目前中国大陆有 F、I、J 这3个根域DNS镜像。
2002年左右,中国大陆网络安全 单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
国家入口网关的IP封锁
从 90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效 的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的网站的 网址加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然 而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商 服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免(如刘德华的个人网站),内容并无不当之处,但网站使用的是虚拟主机 托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:202.134.71.244封禁了。随 之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。
Firefox的“连线被重设”错误讯息。当碰触到 GFW设定的关键词后,即可能马上出现这种画面。
当Google新闻中的图片地址含有某些敏感字符时被GFW拦截的画面,在图中可以见到网页只 开启了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时,就会导致全站所有透过Google服务器下载的图片全部 无法显示或突然出错(画面中的情况是第一条新闻的图片链接是被关键字过滤的网址“philly.com”)。
主干路由器关键字过滤阻断
在 2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立,最主要的就是 IDS(Intrusion Detection System)— 入侵检测系统。这个系统能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安 全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较 大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
被屏蔽过滤的关键词主要是与民运、法轮功相 关的词汇及部分网站的网址上。
在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致“该页无法显示”。
任 何海外网站网页中如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错、停止或立即出现“该页无法显示”。
某 些特定的海外网站网址会被列入关键字过滤,即使IP地址未被封锁,也不能访问。
不 过,GFW对于网页中含有的关键字字符并不是100%可以过滤 成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系 统失效,此时部分只被网址关键字过滤的网站就能正常使用(如my.opera.com)。
有报道称,防火长城会专门过滤Google.com的查 询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明,对于Google.com和Google.cn返回的大量网页,防火长城使用了更经济而有 效的方法审查。
从 GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析, 发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网 络内容的审查主要是通过ICP备案来实现的。
从2007年2月前后,GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤,原本在移动版 Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的 Google链接后,5分钟内再次访问Google被阻断。
关键字过滤-复位包分析
Flickr图片服务器网址被列入关键字系统导致无法 显示任何图片。分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包,只考虑TCP连接本身,忽略DNS、ARP及其他。分析进站 RST复位包IP头TTL字段值可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方便叙述,将它们分别称为“伪源1”和“伪源2”,伪源1 离客户端PC路由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳计数较小,逻辑位置大致在互联网运营商骨干网省级大节点 处。
-----------------------------------------------
GFW主要的网络屏蔽方式有:
1、DNS劫持
DNS服务器的功能,是把域名和IP地址对应起来。比如baidu.com可能对应某个或某 几个IP地址,浏览器把baidu.com发给DNS服务器,服务器再告诉浏览器IP地址,然后浏览器再前往那个地址浏览。当然,用户一般不用关心这一步。
全世界有13台最主要的DNS服务器,没有一台在中国,这是件好事。不过,中国有其中3台服务器的镜像服务器。在这13台根服务器下面,还有许许多多低等级的DNS服务器,它们会缓存一些地址数据,如果某个地址它们无法解析,就会向上级服务器发出询问。
DNS 数据是通过UDP 43端口传送的,GFW现在并没有彻底封闭这个端口。不过,GFW会”污染”一些低等级的DNS服务器的缓存,比如你输入的是google.com,结果 低级DNS服务器给你解析成了baidu.com,并且会把你带到baidu的页面,这种事情在05年大规模发生过,后来有所收敛。另外,GFW也会阻断 某些特定站点的DNS请求,让我们无法解析地址,例如现在针对Youtube的封锁和今年针对Twitter的短时间封锁,都包括了DNS劫持的手段。一 般中国的ISP商提供的DNS服务都有或多或少的劫持行为,有时候跟GFW并无关系,例如像四川电信这种地方ISP商搞什么114网址导航等等自动跳转的 页面,都是通过DNS劫持实现的。
针对DNS劫持,常用的办法是自己手动指定DNS解析服务器,例如指定为香港和记电讯DNS 地 址:202.45.84.58, 202.45.84.59,以及著名的OpenDNS: 208.67.222.222, 208.67.220.220。使用它们可以保证解析的准确性。不过,香港的DNS访问iTunes Store容易超时,可能是商业原因;使用OpenDNS无法在谷歌音乐下载歌曲,所以需要时,也可以自己临时切换。最后,用户可以手动修改本地的 hosts文件来彻底避免劫持。
2、域名封锁
这是封锁特定的域名。比如说www.xe.com被 列入 了封锁名单,你以后每次输入这个地址就会被屏蔽。然而,这种封锁是比较低级的,有几种办法可以直接绕过。第一,你可以直接输入网站的IP地址,它就没用 了。第二,如果网站支持https(如果支持的话),你就用https。Twitter有段时间就是这种待遇,如果输入 http://twitter.com, 没用;输入https://twitter.com, 访问就正常了。实际上,Twitter下面有很多二级地址仍 然是这种待遇,用https统统可以绕过去。一般而言,浏览有https支持的网站应该尽量用https,这是为安全和个人隐私考虑,例如Gmail、 Google Reader等就该这样。
3、IP封锁
IP封锁是直接封锁某台服务器的IP,凡是访问 对应于这个IP上的网站都不能看。这也是那些被”连累”的网站被屏蔽的主要原因。例如,如果他们是租用别人的主机,不幸和某个反动站点在同一台服务器上, 那么GFW封掉这个IP会导致该IP上所有网站都挂掉。很多共享软件站点和外国技术论坛就是这么被屏蔽的,PyMOL公司的站点就是我遇到的一个例子。
4、关键字审查与暂时访问限制
用 一般的www.google.com(而不是cn)搜索一个敏感字,会导致页面不能访问,并且接下来 的一分多钟的时间里你也不能访问 google.com。这种关键字触发的屏蔽,是GFW的一个重要特征。这种特性相当于一种警告,一般是暂时让你没法访问,隔一会儿后恢复正常。
我 们知道Google.cn是会过滤搜索结果的,如果想要看没被过滤的结果,我们需要先点google.cn下方的Google in English,才能进入Google.com,然后你再把自己的Search Preferences(搜索偏好)设置为用简体中文显示,这样你就可以像使用cn一样正常使用Google.com原版了。或者,你可以直接输入这个地 址:http://www.google.com/ncr, 这个地址会直接带你到原版Google页面。
5、流量限制
最新研究发现,如果某个外国网站在某段时间内访问量飙升,GFW会自动阻断国内对这个网站的 访问!这是一项伟大的发明,这意味着中国国内已经没法对国外服务器实施DDOS攻击了。这个性质应该是今年才出来的,究竟是长期使用还是纯属实验性质,尚 待观望。
6、GFW屏蔽相关的奇闻轶事
以上是GFW常用的网络屏蔽手段。还有一些和GFW的网络屏蔽息息相关的轶事,我列表在这 里,供大家参考:?
1、GFW是双向的,国外的同胞访问国内的咸湿站可能遭阻断。
2、 GFW的地理位置,应该在几大海底光缆上岸的那些城市,以及重要的网络节点城市,这就应当包括上海(崇明、南汇)、北京、青岛、福建某地(实际出口在台 北,GFW只能放在福建)、深圳(实际出口在香港)等等,但通常在我们测试GFW的实验中能够查到的、和Tor网络中一眼可以分辨的那种黑节点,基本都在 北京和上海。
3、至今似乎没有网友说认识过或搭讪过任何在GFW工作的人员并曝内幕。另外,在那些探测 GFW的实验中,可以得到一些网络审查用仪器的设备信息,发现仍然是Cisco当年卖给贵国的那些东东。
4、 有理论认为,GFW并不是直接架设在主干网络上的,而是和主干网络进行并联。当数据来到服务器时,会被复制一份,然后两份数据同时通过出国端口和GFW设 备。如果GFW认为这信息不良,会向主线路上追加发送数据包,阻断网络访问请求。这种”并联”的方式,应该说可以方便GFW的检修,减少对主干网的影响, 也可以解释在某些高流量的状态下,GFW会偶尔顾不过来的情况。
5、尽管如此,网络审查设备会老化,网络会发展,数据流量在猛增。近一两年来,每次GFW调 整的那一两天,都会明显影响到平时本来不会封锁的那些国外网站,特别是整个网络访问国外网站的速度都在下降。不知道GFW会做出什么升级和改动。
6、 也许是因为这种审查负担不断地加大,以及高等公仆们对于视频、图像、声音信息过滤审查的需求,才导致了”绿坝”这种东东的出现。如果每个人机器上的数据都 能预先审查屏蔽一番,GFW的压力会大大减轻。所以”绿坝”尽管很山寨很SB,却代表了一个很不好的方向,意味着在贵国言论尺度会不断收紧。这让人想起 《1984》里,”The Big Brother is watching you.”,或者马伯庸的那个山寨版作品《静寂之城》。
7、 为什么中国的IPV6网络普及很慢呢?因为GFW对IPV6是无效的!现在,中国教育网用户是有IPV6地址的,如果他们的操作系统也支持IPV6(例如 OS X,Vista及以上),他们可以在IPV6版的Google(ipv6.google.com)上搜索任何敏感字而不被临时屏蔽!所以,中国主干网要想 用上IPV6,看来要先等GFW把IPV6的屏蔽搞定了再说。
有时候,别人会告诉我说,我们不过下点动漫,不会惹事的。我对此的看法是, 你当然可以不关心政治,但是政治会关心你,特别是由于”你不为任何人说话”而到了”没有人为你说话”的那一步的时候。对于我而言,让更多的人了解墙,
教会 更多的人翻墙,也正是防止自己落入那个地步的必做之事。
DNS(Domain Name System)是域名解析服务器的意思,它在互联网的作用是把域名转换成为网络可以识别的IP地址。目前国内电信运营商通过使用DNS劫持的方法,干扰用 户正常上网,使得用户无法访问Google、Gmail、Google AdSense、Google Maps等常用服务,昨天我介绍了使用OpenDNS的方法解决这个问题,由于OpenDNS的服务器在美国,如果使用的人多了有可能会速度变慢,因此今 天我介绍一些其他国外的DNS服务器地址,供大家选择。
通常来说,香港、韩国、日本等国的DNS服务器速度会比较快,大家可以多用几个试试,尽 量选择一个自己访问最快的DNS服务器,中国的电信运营商都是流氓,DNS服务器,早换早轻松.
GFW是“金盾工程”的一个子功能。 “金盾工程”是以公安信息网络为先导,以各项公安工作信息化为主要内容,建立统一指挥、快速反应、协同作战机制,在全国范围内开展公安信息化的工程,主要 包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心等。该项目2003年开始生效。一般所说的GFW,主要指 公共网络监控系统,尤其是指对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。
防火长城,也称中国防火墙或中国国家防火墙,是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗 称。其名称得 自于2002年5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW,戏称功夫网(Gong Fu Wang)。随着使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容 的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干 预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。
然而,利用防火长城等技术手段对网络 内容的审查限制了言论自由,进行网络审查一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。
中 国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。
主要技术
域名劫持
全 球一共有13组根域名服务器(root server),目前中国大陆有 F、I、J 这3个根域DNS镜像。
2002年左右,中国大陆网络安全 单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
国家入口网关的IP封锁
从 90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效 的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的网站的 网址加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然 而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商 服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免(如刘德华的个人网站),内容并无不当之处,但网站使用的是虚拟主机 托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:202.134.71.244封禁了。随 之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。
Firefox的“连线被重设”错误讯息。当碰触到 GFW设定的关键词后,即可能马上出现这种画面。
当Google新闻中的图片地址含有某些敏感字符时被GFW拦截的画面,在图中可以见到网页只 开启了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时,就会导致全站所有透过Google服务器下载的图片全部 无法显示或突然出错(画面中的情况是第一条新闻的图片链接是被关键字过滤的网址“philly.com”)。
主干路由器关键字过滤阻断
在 2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立,最主要的就是 IDS(Intrusion Detection System)— 入侵检测系统。这个系统能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安 全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较 大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
被屏蔽过滤的关键词主要是与民运、法轮功相 关的词汇及部分网站的网址上。
在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致“该页无法显示”。
任 何海外网站网页中如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错、停止或立即出现“该页无法显示”。
某 些特定的海外网站网址会被列入关键字过滤,即使IP地址未被封锁,也不能访问。
不 过,GFW对于网页中含有的关键字字符并不是100%可以过滤 成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系 统失效,此时部分只被网址关键字过滤的网站就能正常使用(如my.opera.com)。
有报道称,防火长城会专门过滤Google.com的查 询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明,对于Google.com和Google.cn返回的大量网页,防火长城使用了更经济而有 效的方法审查。
从 GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析, 发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网 络内容的审查主要是通过ICP备案来实现的。
从2007年2月前后,GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤,原本在移动版 Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的 Google链接后,5分钟内再次访问Google被阻断。
关键字过滤-复位包分析
Flickr图片服务器网址被列入关键字系统导致无法 显示任何图片。分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包,只考虑TCP连接本身,忽略DNS、ARP及其他。分析进站 RST复位包IP头TTL字段值可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方便叙述,将它们分别称为“伪源1”和“伪源2”,伪源1 离客户端PC路由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳计数较小,逻辑位置大致在互联网运营商骨干网省级大节点 处。
-----------------------------------------------
GFW主要的网络屏蔽方式有:
1、DNS劫持
DNS服务器的功能,是把域名和IP地址对应起来。比如baidu.com可能对应某个或某 几个IP地址,浏览器把baidu.com发给DNS服务器,服务器再告诉浏览器IP地址,然后浏览器再前往那个地址浏览。当然,用户一般不用关心这一步。
全世界有13台最主要的DNS服务器,没有一台在中国,这是件好事。不过,中国有其中3台服务器的镜像服务器。在这13台根服务器下面,还有许许多多低等级的DNS服务器,它们会缓存一些地址数据,如果某个地址它们无法解析,就会向上级服务器发出询问。
DNS 数据是通过UDP 43端口传送的,GFW现在并没有彻底封闭这个端口。不过,GFW会”污染”一些低等级的DNS服务器的缓存,比如你输入的是google.com,结果 低级DNS服务器给你解析成了baidu.com,并且会把你带到baidu的页面,这种事情在05年大规模发生过,后来有所收敛。另外,GFW也会阻断 某些特定站点的DNS请求,让我们无法解析地址,例如现在针对Youtube的封锁和今年针对Twitter的短时间封锁,都包括了DNS劫持的手段。一 般中国的ISP商提供的DNS服务都有或多或少的劫持行为,有时候跟GFW并无关系,例如像四川电信这种地方ISP商搞什么114网址导航等等自动跳转的 页面,都是通过DNS劫持实现的。
针对DNS劫持,常用的办法是自己手动指定DNS解析服务器,例如指定为香港和记电讯DNS 地 址:202.45.84.58, 202.45.84.59,以及著名的OpenDNS: 208.67.222.222, 208.67.220.220。使用它们可以保证解析的准确性。不过,香港的DNS访问iTunes Store容易超时,可能是商业原因;使用OpenDNS无法在谷歌音乐下载歌曲,所以需要时,也可以自己临时切换。最后,用户可以手动修改本地的 hosts文件来彻底避免劫持。
2、域名封锁
这是封锁特定的域名。比如说www.xe.com被 列入 了封锁名单,你以后每次输入这个地址就会被屏蔽。然而,这种封锁是比较低级的,有几种办法可以直接绕过。第一,你可以直接输入网站的IP地址,它就没用 了。第二,如果网站支持https(如果支持的话),你就用https。Twitter有段时间就是这种待遇,如果输入 http://twitter.com, 没用;输入https://twitter.com, 访问就正常了。实际上,Twitter下面有很多二级地址仍 然是这种待遇,用https统统可以绕过去。一般而言,浏览有https支持的网站应该尽量用https,这是为安全和个人隐私考虑,例如Gmail、 Google Reader等就该这样。
3、IP封锁
IP封锁是直接封锁某台服务器的IP,凡是访问 对应于这个IP上的网站都不能看。这也是那些被”连累”的网站被屏蔽的主要原因。例如,如果他们是租用别人的主机,不幸和某个反动站点在同一台服务器上, 那么GFW封掉这个IP会导致该IP上所有网站都挂掉。很多共享软件站点和外国技术论坛就是这么被屏蔽的,PyMOL公司的站点就是我遇到的一个例子。
4、关键字审查与暂时访问限制
用 一般的www.google.com(而不是cn)搜索一个敏感字,会导致页面不能访问,并且接下来 的一分多钟的时间里你也不能访问 google.com。这种关键字触发的屏蔽,是GFW的一个重要特征。这种特性相当于一种警告,一般是暂时让你没法访问,隔一会儿后恢复正常。
我 们知道Google.cn是会过滤搜索结果的,如果想要看没被过滤的结果,我们需要先点google.cn下方的Google in English,才能进入Google.com,然后你再把自己的Search Preferences(搜索偏好)设置为用简体中文显示,这样你就可以像使用cn一样正常使用Google.com原版了。或者,你可以直接输入这个地 址:http://www.google.com/ncr, 这个地址会直接带你到原版Google页面。
5、流量限制
最新研究发现,如果某个外国网站在某段时间内访问量飙升,GFW会自动阻断国内对这个网站的 访问!这是一项伟大的发明,这意味着中国国内已经没法对国外服务器实施DDOS攻击了。这个性质应该是今年才出来的,究竟是长期使用还是纯属实验性质,尚 待观望。
6、GFW屏蔽相关的奇闻轶事
以上是GFW常用的网络屏蔽手段。还有一些和GFW的网络屏蔽息息相关的轶事,我列表在这 里,供大家参考:?
1、GFW是双向的,国外的同胞访问国内的咸湿站可能遭阻断。
2、 GFW的地理位置,应该在几大海底光缆上岸的那些城市,以及重要的网络节点城市,这就应当包括上海(崇明、南汇)、北京、青岛、福建某地(实际出口在台 北,GFW只能放在福建)、深圳(实际出口在香港)等等,但通常在我们测试GFW的实验中能够查到的、和Tor网络中一眼可以分辨的那种黑节点,基本都在 北京和上海。
3、至今似乎没有网友说认识过或搭讪过任何在GFW工作的人员并曝内幕。另外,在那些探测 GFW的实验中,可以得到一些网络审查用仪器的设备信息,发现仍然是Cisco当年卖给贵国的那些东东。
4、 有理论认为,GFW并不是直接架设在主干网络上的,而是和主干网络进行并联。当数据来到服务器时,会被复制一份,然后两份数据同时通过出国端口和GFW设 备。如果GFW认为这信息不良,会向主线路上追加发送数据包,阻断网络访问请求。这种”并联”的方式,应该说可以方便GFW的检修,减少对主干网的影响, 也可以解释在某些高流量的状态下,GFW会偶尔顾不过来的情况。
5、尽管如此,网络审查设备会老化,网络会发展,数据流量在猛增。近一两年来,每次GFW调 整的那一两天,都会明显影响到平时本来不会封锁的那些国外网站,特别是整个网络访问国外网站的速度都在下降。不知道GFW会做出什么升级和改动。
6、 也许是因为这种审查负担不断地加大,以及高等公仆们对于视频、图像、声音信息过滤审查的需求,才导致了”绿坝”这种东东的出现。如果每个人机器上的数据都 能预先审查屏蔽一番,GFW的压力会大大减轻。所以”绿坝”尽管很山寨很SB,却代表了一个很不好的方向,意味着在贵国言论尺度会不断收紧。这让人想起 《1984》里,”The Big Brother is watching you.”,或者马伯庸的那个山寨版作品《静寂之城》。
7、 为什么中国的IPV6网络普及很慢呢?因为GFW对IPV6是无效的!现在,中国教育网用户是有IPV6地址的,如果他们的操作系统也支持IPV6(例如 OS X,Vista及以上),他们可以在IPV6版的Google(ipv6.google.com)上搜索任何敏感字而不被临时屏蔽!所以,中国主干网要想 用上IPV6,看来要先等GFW把IPV6的屏蔽搞定了再说。
有时候,别人会告诉我说,我们不过下点动漫,不会惹事的。我对此的看法是, 你当然可以不关心政治,但是政治会关心你,特别是由于”你不为任何人说话”而到了”没有人为你说话”的那一步的时候。对于我而言,让更多的人了解墙,
教会 更多的人翻墙,也正是防止自己落入那个地步的必做之事。
DNS(Domain Name System)是域名解析服务器的意思,它在互联网的作用是把域名转换成为网络可以识别的IP地址。目前国内电信运营商通过使用DNS劫持的方法,干扰用 户正常上网,使得用户无法访问Google、Gmail、Google AdSense、Google Maps等常用服务,昨天我介绍了使用OpenDNS的方法解决这个问题,由于OpenDNS的服务器在美国,如果使用的人多了有可能会速度变慢,因此今 天我介绍一些其他国外的DNS服务器地址,供大家选择。
通常来说,香港、韩国、日本等国的DNS服务器速度会比较快,大家可以多用几个试试,尽 量选择一个自己访问最快的DNS服务器,中国的电信运营商都是流氓,DNS服务器,早换早轻松.
