iGFW

　　众所周知的是，Google+因为其极高的曝光率、运营公司的敏感性和用户能自主产生不受审查的原因，发布仅仅3天即遭防火长城屏蔽而在中国大陆无法正常访问至今。

　　本文章着重研究的是对Google+的封锁方式。

 

• Google+刚刚发布，也就是正在内测的时候，防火长城就已经率先下手：

错误101 (net::ERR_CONNECTION_RESET): 连接已重置

这是Chrome浏览器返回的错误信息，很明显，因为Google+强制使用TLS/SSL加密连接，就算用户使用普通连接也会被跳转到加密连接，这样做变相等于封死了Google+的访问。
对于技术，也就是服务器的IP地址同时在443端口上进行TCP传输层面的连接重置，也就是刚开始的状况。

• Google+正式开放注册的2011年9月21日时，封锁方式又发生了变化，当时访问Google+会获得如下错误信息：

错误 118 (net::ERR_CONNECTION_TIMED_OUT)：操作超时。

显然，此时无法正常访问的原因是数据包无法到达目标服务器，而与此同时访问普通连接却能正常跳转到加密连接，如此可看出这时服务器的443端口被丢包封锁了，也就是TLS/SSL加密连接必须使用的端口，这也变相等于阻断了加密连接。

说了这么多都是以前的信息，我也知道现在绝大多数人的观点也只停留在上面服务器443端口被封的阶段。但事实上，情况早已有所变化：

现在访问Google+获得的错误消息也还是：

错误 118 (net::ERR_CONNECTION_TIMED_OUT)：操作超时。

但事实却没这么简单。大家可以看一下这幅图：

你可能会说：这幅图能说明什么？
这幅截图能告诉我们的信息实在是太多了！

Windows下的命令是 nslookup flweihjgoiwplus.google.com 8.8.8.8
作用是向 8.8.8.8 这个地址发送DNS查询域名 flweihjgoiwplus.google.com

　　问题就出在这里：flweihjgoiwplus.google.com 根本就是不存在的子域名（Google也从来没有做过泛域名），怎么会有解析结果呢？这里大家可以参考维基百科上域名服务器缓存污染的条目：

在中国大陆，对于所有经过防火长城的在UDP的53端口上的域名查询进行IDS入侵检测，一经发现与黑名单关键词相匹配的域名查询请求，其会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制，而且域名查询通常基于的UDP协议是无连接不可靠的协议，查询者只能接受最先到达的格式正确结果，并丢弃之后的结果。

　　显然，这就是防火长城发过来的虚假解析包。于为什么发过来的虚假解析包里的IP地址属于Google？这个大家可以向有关部门咨询。
　　而现在我知道的是，这两个IP地址的443端口被封了，所以事实上请求解析被投毒污染到这些IP地址上，等于无法正常访问，而因为IP地址是Google的，所以不明就里相信表面现象而得出的结果，大概也是人之常情了。

来源：http://chengr28.blogspot.co.uk/2012/11/in-2012-11-20google.html