Professional Documents
Culture Documents
丁 旋
(清华大学计算机科学与技术系,北京,100084)
关键词:Great Firewall,GFW,Censorship,Anti-Censorship,翻墙
1 引言
GFW 的主要作用在于分析和过滤中国境内外网络的资讯互相访问,也就是说,GFW 不
仅对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站
[3]。由于网络环境的限制,本文主要探讨的是前一种情形。
2 术语和约定
盾、墙:GFW 的别称。
Google.com:本文所出现“Google.com”均指代http://www.google.com/ncr 1,而非国内
访问http://www.google.com自动重定向之http://www.google.cn。
Google.cn:特指http://www.google.cn。
3 GFW 的工作原理
1
ncr,no country redirect,不使用国家重定向
人们对于 GFW 工作原理的猜测从来没有停息过,因此尽管其真实的实现细节仍然无从
知晓,一些有着强烈好奇心的学者以及国内的翻墙爱好者们还是瞥见了一些端倪。普遍的看
法[1][3]是,GFW 的工作机制主要包括 IP 黑名单、内容审查和 DNS 劫持等三种,下面我们逐
一举例探讨。
3.1 IP 黑名单
3.1.1 一个例子
视频分享网站Youtube在国内遭到封禁已是众所周知的事实,由于使用域名访问会存在
DNS劫持问题(详见第 3.3 小节的讨论) 里 直接以其IP地址之一 208.65.153.238 来举例说
,这
明GFW的IP黑名单机制。
用浏览器访问http://208.65.153.238有如下结果:
执行 ping 命令也有超时现象:
上面两幅图均表明,目标主机未能(或无法)及时响应我们的请求,为了一探究竟,我
们进一步执行 tracert 命令如下:
3.1.2 另一个例子
访问网站牛博国际存在同样的问题,对其IP地址执行tracert也有类似结果:
3.1.3 猜测
3.1.4 IP 黑名单的缺点
显而易见,这种对被封禁的网站采用黑名单而不是对被允许访问的网站采用白名单的过
滤机制,难免会有漏网之鱼的存在,Youtube的另外一个地址 208.117.240.37 就是一个很好
的例子(直到本文成文为止,该地址都可以直接进行访问) :
3.2 内容审查
3.2.1 一个简单的例子
用 Google.com 搜索关键词“freegate”,起初我们还能够得到搜索结果:
但是与此同时,我们收到了大量“从 Google 发来的”TCP 连接重置包。下图是使用
Wireshark[7]抓包的结果:
刷新页面会发现已经无法访问:
并且 Google.com 也变得无法访问:
3.2.2 一个极端的例子
与前面的例子类似,访问http://chinagfw.org/search/label/anti-censorship会收到数以百计
的TCP连接重置包:
3.2.3 猜测
进一步,GFW 还会在一个临时的黑名单中记录遭到封禁的源主机和目标主机的地址,
并保存一段有限长的时间。一旦发现被封禁的源主机在封禁期间再次请求目标主机,将直接
返回 TCP 连接重置包(此时可能是单向的),而无需扫描新的请求数据包。
另一个发现是,这种内容审查机制并非对所有站点起作用,例如,使用 Google.cn 搜索
同样的关键词“freegate”就不会出现被盾的现象。一种可能的原因是,GFW 启用了一张 IP
监视名单,而 Google.com 的地址正是其中之一;另一种可能是,访问 Google.cn 不会经过
GFW 设备,也就不会触发 TCP 连接重置,而位于 GFW 之外的 Google.com 则难逃此劫。
3.3 DNS 劫持
3.3.1 一个例子
除第 3.1 小节所述IP黑名单技术外,GFW还采用了DNS劫持的手段来达到对Youtube的封
禁目的。
进一步,即使使用国外的DNS服务器,如OpenDNS来进行解析,也不能得到Youtube的真
实地址:
并且每次返回的结果可能大相径庭:
然而,如果使用在线nslookup服务,例如http://www.kloth.net/services/nslookup.php,则
可以得到Youtube的真实地址:
3.3.2 猜测
GFW至少使用了两种DNS劫持机制:一方面,GFW对国内DNS服务器进行了缓存污染,
这种污染体现在使用国内DNS服务器对Youtube进行解析会得到稳定的、虚假的IP地址;另一
方面,GFW会拦截和应答试图从国内发往国外的DNS解析请求(也可能是对国外DNS服务器
的应答进行了篡改),这体现在使用OpenDNS进行解析时观察到的可变的、虚假的IP地址。
4 突破 GFW
4.1 在线代理
在线代理是一种在网页上运行的代理服务器程序,它们通常会使用一些复杂的脚本,以
便绕过过滤器和防火墙(如 GFW)来访问被屏蔽或封锁的网站。用户使用在线代理服务非
常简单,不需要设置浏览器,也不需要安装额外的软件,只要访问在线代理网站,然后输入
要访问网站的网址,就可以享受免费的代理服务[11]。
4.1.1 普通在线代理
如SneakME[12]、Cspeed[13]等。
如Go2[14]、Mirror[15]、Quick-Proxy[16]等。
尽管打开在线代理、输入网址、敲下回车这样的步骤并不能算复杂,但是却也绝对称不
上方便。实际上,这种使用在线代理的方式扰乱了人们所习惯的地址栏访问模式,如果浏览
器能够自动根据使用者输入的网址来决定是否要使用在线代理,以及使用哪一个在线代理,
世界就会更美好。
Gladder[17]就是为了满足这一需求而诞生的自动在线代理软件,或者更准确的说,是一
款基于 Firefox 浏览器的插件,其主要功能就是根据一个可定制的被盾网站列表来判断和决
定是否需要通过在线代理来访问即将访问的页面。
4.2 代理工具
4.2.1 Freegate
根据维基百科的说法,Freegate[18]利用了互联网上一系列地址动态可变的开放代理服
务器来提供服务[19],包括 HTTP 代理和 HTTPS 代理。种种迹象表明,Freegate 通过一套复
杂的内部机制向用户隐藏了代理服务器细节,实现了较为可靠的传输协议。
4.2.2 GPass
GPass 将应用层数据包进一步封装,然后通过不同形式的动态通道加密传输到位于世界
各地的 GPass 服务器,这些服务器再将数据解包后传输到目的网站[20],从而达到翻墙的目
的。
4.2.3 Tor
Tor 是一款分布式匿名路由软件、一种分布式路由协议、一个构建于互联网之上的虚拟
网络,目的是为了保护使用者的隐私、抵御流量分析[21]。尽管其设计目的并不是为了翻墙,
但是由于其路由方式的特殊性,使得它多少具备了翻墙的本领。
4.2.4 GAppProxy
4.3.1 AnchorFree
4.3.2 Alonweb
4.4.1 MyEnTunnel
4.5 RSS 订阅
在 Web2.0 时代,并不是只有主动翻墙才能获取信息,随着越来越多的网站开始提供对
RSS 格式的支持,RSS 阅读器也逐渐普及开来。如果被盾网站有合适的 RSS 源,就可以利用
RSS 订阅的方式来轻松绕过 GFW。
Google Reader[29]是Google的一款在线RSS阅读器,好处是支持HTTPS,在GFW无处不在
的今天,这是一个难能可贵的优点。
4.6 其它
4.6.1 Google 语言工具
让人意想不到的是,Google的语言工具[31]也可以被用来翻墙[30]。仍以Youtube为例,
打开Google的语言工具后,在“翻译网页”部分填入Youtube的网址,并选择语种为从“中
文”翻译到“中文(简体)”,如下图所示:
点击“翻译”按钮即可成功访问Youtube:
5 几种突破技术的比较
5.1 测试项目
设置测试项目如下:
1. 访问http://208.65.153.238
2. 访问http://www.google.com/search?hl=en&q=freegate&aq=f&oq=(连续两次)
3. 访问http://chinagfw.org/search/label/anti-censorship
4. 访问http://www.youtube.com
5. 访问http://www.youtube.com/watch?v=tG7cM5Yvhz4&feature=channel_page 2
5.2 比较结果
突破方法 项目 1 项目 2 项目 3 项目 4 项目 5 备注
SneakME[12] OK 被盾 被盾 OK OK
Cspeed[13] OK 被盾 OK OK 无法观看
3
在线代理 Go2[14] OK OK OK OK 无法观看 HTTPS
Mirror[15] OK OK OK OK 无法观看 HTTPS
Quick-Proxy[16] OK OK OK OK 无法观看 HTTPS
Freegate[18] OK OK OK OK OK
代理工具 GPass[20] OK OK 很慢 OK 很慢
Tor[21] OK OK 很慢 OK 无法观看
2
第 5 项测试为第 4 项通过后的附加项,目的是为了测试突破方法的性能。
3
Firefox + Gladder 组合的测试结果受其代理选择机制影响较大,故不作单独测试。
GAppProxy[21] OK OK OK OK 无法观看
4
VPN n/a n/a n/a n/a n/a n/a
SSH Tunnel MyEnTunnel[26] OK OK OK OK OK
5
RSS订阅 n/a n/a n/a n/a n/a n/a
其它 语言工具[31] OK OK OK OK 无法观看
5.3 结果分析
6 结束语
7 致谢
感谢段海新老师提供在线代理Cspeed。
8 参考文献
[1] 维基百科:防火长城,http://zh.wikipedia.org/wiki/GFW
4
由于实验环境的限制,VPN 一项无法进行测试。
5
不具可比性。
[2] Charles R. Smith, “The Great Firewall of China”,
http://archive.newsmax.com/archives/articles/2002/5/17/25858.shtml
[3] 周曙光,“中国政府的网络封锁技术方案与网民的反网络封锁技术方案” ,
http://www.zuola.com/weblog/?p=1353
[4] Jason Ng,“什么是GFW?图解GFW”,http://www.kenengba.com/post/430.html
[5] Sarah Lai Stirland, “Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers”,
http://www.wired.com/threatlevel/2008/05/leaked-cisco-do/
[6] Nmap,http://nmap.org
[7] Wireshark,http://www.wireshark.org
[8] OpenDNS,http://www.opendns.com
[9] 维基百科:DNS Cache Poisoning,http://en.wikipedia.org/wiki/DNS_cache_poisoning
[10] http://chinagfw.org/search/label/anti-censorship
[11] 维基百科:在线代理,http://zh.wikipedia.org/wiki/在线代理
[12] SneakME,http://www.sneakme.net
[13] Cspeed,http://cspeed.net
[14] Go2,https://go2http.appspot.com
[15] Mirror,https://soproxy.appspot.com
[16] Quick-Proxy,https://quick-proxy.appspot.com
[17] Gladder,http://gneheix.googlepages.com/gladder
[18] Freegate,http://www.dongtaiwang.com
[19] 维基百科:Freegate,http://en.wikipedia.org/wiki/Freegate
[20] GPass,http://gpass1.com/gpass
[21] Tor,https://www.torproject.org
[22] Tor概述,https://www.torproject.org/overview.html
[23] GAppProxy,http://code.google.com/p/gappproxy
[24] AnchorFree,http://www.anchorfree.com
[25] Alonweb,http://alonweb.com
[26] MyEnTunnel,http://nemesis2.qx.net/pages/MyEnTunnel
[27] PuTTY: A Free Telnet/SSH Client,http://www.chiark.greenend.org.uk/~sgtatham/putty
[28] fuckGFW,“Be Free to SSH-D”,https://dl.getdropbox.com/u/873345/index.html
[29] Google Reader,https://www.google.com/reader
[30] NetPuter,“用 Google 的梯子翻墙吧”,
http://orzdream.cn/2008/09/use-google-language-tools-to-skip-gfw
[31] Google语言工具,http://www.google.cn/language_tools
[32] R. Clayton, S. J. Murdoch, and R. N. M. Watson, “Ignoring the Great Firewall of China”, I/S: A
Journal of Law and Policy for the Information Society, 2007