见招拆招:GFW各种阴招的应对策略
公告:igfw.tk域名停用,启用新域名 igfw.net 请大家收藏夹和RSS订阅(谷歌阅读器)里重新收藏订阅,同时欢迎关注我推特帐号zzug一起交流,感谢大家支持。
按 网传的技术文章看,GFW的阴招主要是IP封锁、端口封锁、DNS劫持、TCP会话阻断、https证书过滤,而且这些手段都特么是世界领先的。除此之 外,据信有关部门还在开发封锁IPv6、P2P、SSL解密神马的技术,这可不是危言耸听,GFW可是吃着中央财政的奶长大的,又有李长春、刘云山做后 台,北邮、哈工大、中科院的Geeks不遗余力地贡献着脑汁⋯⋯
阴招1:IP封锁
这是老技术了,连你家里的路由器都有这功能,GFW把某个IP封掉后墙内的人就不能正常访问此IP,要是封锁了IP段那就更灾难了,整个IP段都不能访问。
封锁效果请猛击此处
解决手段:连接代理绕过封锁。
阴招2:端口封锁
2011年初出现的阴招,间歇性封禁特定IP的端口,主要用来干扰加密连接的Gmail和Google Reader,给人造成一种不稳定的假象,俗称网络劣化。
解决手段:解析到其他未受影响的IP,可修改hosts文件
阴招3:DNS劫持
GFW监控着所有出国的DNS请求,如果有人想请求解析形如twitter.com的地址,GFW就会伪装成DNS服务器抢先返回一个假的IP地 址,由于 UDP协议的缺陷,从DNS返回的正确IP会被丢弃。对于国内的DNS,GFW则直接在国家级DNS上作DNS污染,由于DNS缓存机制,错误的解析信息 会一直错到用户电脑的DNS缓存中。
解决手段:1、在本地自建一个DNS服务器,比如Acrylic。2、使用TCP向国外干净的DNS服务器发送DNS请求。3、修改hosts文件。4、Firefox用户可设置远程解析。
阴招4:TCP会话阻断
这个很深奥,简单来说就是比如你想上YouTube,访问www.youtube.com之后YouTube开始向你回应,然后GFW就从中间搞破 坏,向 双方发出“哎,停止传输吧”的指令,然后用户就会得到“连接已重置”的信息,然后YouTube也停止了数据的传输。这要涉及到TCP协议的3次握手神马 的,解释起来比较麻烦。不过大部分用户对此深有体会,这也是上网时最窝火的事情。
阻断效果请猛击此处
解决手段:如果网站支持https,使用https连接,必要时修改hosts文件。
阴招5:https证书过滤
TLS加密连接的证书是不加密的,所以GFW会封锁特定证书的连接,手段和TCP会话阻断一般黑,打断特定IP地址之间的TLS握手,让用户的连接失败。
肉身翻墙
SSH
GAE类
VPN
修改hosts文件
翻墙软件(自由门、赛风等)
IPv6
网页代理
有人问为什么Twitter的IP不会封完,能改hosts文件上。
我解释下,GFW只是一帮技术宅的产物,本来跟政治半点关系没有,但是被土共看上了,所以沦为这么一个反人类工具。
其 实封什么、封多久、封多厉害都是那些官僚们的颐指气使,那些当官的除了IE6别的什么都不会,当方滨兴养的学生发现Twitter换IP了、有新服务器了 之类的向官僚们报告,然后官僚们可能还会用IE6上百度百科搞明白,然后才下令封锁IP,然后下文件、盖章⋯⋯添加到封锁列表⋯⋯这才完成了封锁,所以低 调扩散IP⋯⋯就是这个原因,每次出现可用IP都能用一段时间也是这个原因。
有意思,又了解多了一点信息。