AI 摘要

GFW(长城防火墙)是Great Fire Wall的缩写,是用于监控和过滤互联网内容的软硬件系统。它主要由服务器、路由器和相关应用程序组成。GFW的工作原理主要包括关键字过滤、IP封锁、DNS污染和劫持、特定端口封锁以及加密连接的干扰。GFW不仅干扰国内读者访问中国境外的网站,还干扰国外读者访问中国大陆网站。然而,一些工具如VPN和加密代理可以绕过GFW的限制。

GFW是Great Fire Wall的缩写,即“长城防火墙”。这个工程由若干个部分组成,实现不同功能。长城防火墙主要指TG监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。

首先,需要强调的是,由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,所以GFW的主要作用在于分析和过滤中国境内外网络的资讯互相访问。

GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。

 

先来科普下 GFW 是怎么挡住我们的,我们一条条来看:

 

关键字过滤

大家都知道,比如 Http 协议数据包头部是明文的,所以 GFW 一旦发现连接有敏感词,马上就会伪装成连接两方,向真正的对方发送 RST 数据包,真正的双方一看,出现异常了,那把连接关闭吧。
所以,有时候你会发现有的页面正在打开,然后过了一会又没了,显示无法连接。

 

IP 封锁

GFW可以在出境的网关上加一条伪造的路由规则,这样对于一些被过滤了的 IP 的数据包就无法正确地被送达,所以也就无法访问了。
GFW 封路由可是很凶残的,直接封独立 IP ,这样可能因为某个敏感站点,导致跟他同一台主机的其他站点也无法访问,理解起来就像旁注。

 

DNS 污染、劫持

DNS也就是域名解析服务,GFW 会对所有经过骨干出口路由的在 UDP 的 53 端口上的域名查询进行检测,一旦发现有黑名单里的域名,它就会伪装成目标域名的解析服务器给查询者返回虚假结果。由于 UDP 是一种无连接不可靠的协议,查询者只能接受最先返回的结果。
而即便我们用可靠的 TCP 协议来查询,虽然 GFW 不能污染 DNS 了,但是可能会被重置(发送 RST),查询者也无法得到返回的 IP 。

 

特定端口封锁

对于一些特点的 IP ,GFW 会丢弃特定端口上的数据包,使得某些功能无法使用,比如 443端口SSL,22端口的SSH。
GWF 曾经干过一件事,针对 Google 的一些 IP 上的443端口,实施间歇性封锁,不明所以的用户就会觉得这是 Google 抽风了,久而久之自然不能忍受 “老是出问题” 的产品。

 

加密连接的干扰

加密连接不总是加密的,公钥还是明文的,所以 GFW 就能识别出特定服务的证书。然后在遇到 “黑名单” 加密连接时,它会发送RST数据包,干扰双方正常的 TCP 连接,进而切断加密连接的握手。
即使 GWF 有这么多阴招,我们还是有办法的,本文主要也是说这个的。

 

VPN

VPN 叫虚拟专用网络,顾名思义你连上 VPN 后,就等于接进了一个 “局域网”,这个局域网里的传输都是强制加密的,你的数据先传到 VPN 服务器,然后再传给真正目标。正是因为加密,所以 GFW 就封锁不了了。
但是,如果某个 VPN 特别猖狂,GFW 直接把 VPN 服务器的域名、 IP 封掉,那这个 VPN 也就用不了了。

 

加密代理FanQiang

说到底,都是加密数据。代理的作用就是:把你要访问的目标告诉它,它访问成功后把数据加密返回给你,从而间接使你访问到了被 Q 的目标。
同样,GFW 也可以把代理服务器封掉。

 

直接访问 IP

毕竟过滤 IP 是黑名单,不可能更新那么及时,而 Google 服务那么多,镜像 IP 很多的。
只希望不要落入 GFW 的黑名单。。。

俺と禰豆子の絆は誰にも引き裂けない!
最后更新于 2023-07-27