域名被墙查询

当前位置: 主页 > 域名被墙 >

早期扶墙方式的和GFW的工作原理(技术篇)

时间:2020-11-22 14:31来源:域名被墙处理 作者:域名查墙 点击:
最近的一段时间我主要会用来填坑,扶墙的那些事/技术篇的主要内容有
  最近的一段时间我主要会用来填坑,扶墙的那些事/技术篇的主要内容有
 
  GFW的工作原理、早期扶墙方式的工作原理、当今主流扶墙方式的工作原理,以及常见协议和线路的简单介绍
 
  由于这一部分的内容实在是太多了,所以本篇只讲解前两个方面
 
  提示:那些使用VPN的朋友们,本篇推文值得一看
 
  至于如何扶墙,我在第一篇推文中已经说的很清楚了,教授他人扶墙属于违法行为,具体处罚内容可点击蓝字参考扶墙的那些事/普法篇
 
  在科普前我要先说清楚一件事,因为很多朋友会说,小编口口声声说教授别人扶墙是违法行为,自己却在这里科普扶墙的内容,这也太双标了吧。
 
  首先,本推文对大家掌握如何扶墙无实质性帮助,科普不等同于教授,毕竟核裂变的原理大家中学都学过,也不见得每个人都能造出原子弹。其次,并不是说法律规定不能谈论GFW、VPN等,百度百科是有相关资料来帮助大家认识GFW的,最后,不是说所有的扶墙方式都是违法,中国移动的Cmlink了解一下。闲话少说,现在开始科普。
 

  01/GFW的简介

 
  GFW的全称是Great Firewall of China,简写为Great Firewall,译为中国国家防火墙,指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,也就是我们俗称的墙。
 
  注:以上内容中加下划线的部分均源为百度百科
 

  02/GFW的工作原理

 
  假设在没有GFW的完美条件下,一个网络通讯的数据包是这样运作的。首先从本地计算机发出一个数据包请求,经过你的本地网络,接入骨干网,经由DNS,也就是Domain Name Service域名解析,就是要把你输入的字符究竟要连接到哪个服务器的真实地址解析出来,经过解析之后到达国际出口,最后接入到对应的服务器,服务器会对你的数据进行处理,然后返回一个数据包,再发回到你的计算机。
 
  有了GFW之后,同样的一个本地数据包,经过你的本地网络,接入骨干网,DNS域名解析。此时,GFW开始发挥作用,它会污染DNS*,因为你发送数据包的方式是http,是一种明文流量,GFW可以探测到流量的部分内容,一看到你访问的是Google、youtube等网站,过滤关键字*,于是就给你解析出一个错误的地址,所以你就不能成功的访问了。
 
  除此之外,GFW还会在某些特定的IP服务器的主机的特定端口进行端口阻断*,来切断VPN或者是SSL的链接,比如443、22这些端口,经过一段时间的运作,GFW还会把记录到的大量IP地址进行屏蔽*,导致很多网站被封锁。
 
  以上就是GFW的基本工作原理,但是不限于此,随着时间的推进,还会有很多新的方式来阻断连接。
 
  注:所有加下划线标*的部分均源自百度百科
 

  03/早期扶墙的工作原理

 
  GFW部署之后,我们根据其工作原理判断出,只要GFW无法探明数据包的真实意图,我们就可以通过连接一台GFW认为合理的服务器作为中转,来替代我们想要做的事情,整个过程全部加密,那么这一套逻辑就很合理了,这套逻辑也就是很多初期http代理、VPN、SSH代理等,突破封锁的实现方式。
 
  以SSH为例,本地网络上的计算机发送一个请求建立加密通道的数据包,接入到骨干网,DNS域名解析,GFW发现我访问的并非Google、youtube,而是一台允许访问的国外服务器,于是放行,数据包经过中转服务器解密出我真实想要访问的地址,转到Google、youtube,然后返回数据给中转服务器,再经过GFW,再传回本地计算机,你会发现这样就完美规避掉了GFW一切有效的检测手段。
 
  首先,由于数据流量不再是明文,GFW看不到我的关键字,DNS解析的时候,发现我访问的对象是你允许的服务器,那么DNS也可以正常解析。然而这里有一个问题,那就是GFW发现越来越多的流量都是以这种类似的模式,先发送一个数据包请求和一个服务器建立这种加密连接,然后紧跟着一个代理请求,这个时候GFW就开始有所察觉了,它针对这种特征明显的流量做了两件事
 
  1.屏蔽掉VPN用的端口,政企用户需要申请审核
 
  2.慢慢积累这种提供VPN服务的主机IP,然后屏蔽掉这些IP
 
  经过以上操作,这些早期的扶墙方式就开始慢慢的被弃用了。
 
  但是也不尽然,据我保守估计,国内扶墙群体中,依旧有一半以上的人将VPN作为其主流的扶墙方式,纵使现在的VPN已经被GFW全面识别和封锁。现在使用VPN,无疑是相当于明晃晃的告诉GFW自己在扶墙。
 
  那么VPN依旧还活着的原因是什么呢?个人感觉主要还是低廉的价格和极低的上手门槛。或者说你使用的根本就不是VPN,因为现在很多小厂的客户端压根就没有采用VPN的底层协议,说白了它就是相当于是一个封闭的shadowsocks客户端,你也不用订阅节点,因为它都给你做死在里面了。
 
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容
友情链接 域名查询域名检测工具网站查询网