Sunday, June 12, 2016
长城防火墙工作原理及突破技术(翻越长城)
防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙),是对tianchao在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。一般情况下,防火长城主要指tianchao gover^nment监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合tianchao官方要求的传输内容,进行干扰、阻断、屏~蔽。由于兲朝网络审查广泛,tianchao国内含有“不合适”内容的的网站,会受到gover^nment直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤兲朝境内外网络的资讯互相访问。一些文章指出,GFW之父是tianchao工程院院士、北京邮电大学校长方滨兴,社区昨天也有人说是江绵恒。tianchao还有一套公开在公共安全专家部辖下的网络安全项目——金盾工程,金盾工程和防火长城的关系一直没有明确的认定。普遍的看法是,长城的工作机制主要包括IP黑名单、内容审查和DNS劫持等三种。先来科普下 GFW 是怎么挡住我们的:[*]关键字过滤[*]IP 封锁[*]DNS 污染、劫持[*]特定端口封锁[*]加密连接的干扰我们一条条来看:[*]关键字过滤大家都知道,比如 Http 协议数据包头部是明文的,所以 GFW 一旦发现连接有敏感词,马上就会伪装成连接两方,向真正的对方发送 RST 数据包,真正的双方一看,出现异常了,那把连接关闭吧。所以,有时候你会发现有的页面正在打开,然后过了一会又没了,显示无法连接。[*]IP 封锁GFW 可以在出境的网关上加一条伪造的路由规则,这样对于一些被过滤了的 IP 的数据包就无法正确地被送达,所以也就无法访问了。GFW 封路由可是很凶残的,直接封独立 IP ,这样可能因为某个敏感站点,导致跟他同一台主机的其他站点也无法访问,理解起来就像旁注。[*]DNS 污染、劫持DNS 也就是域名解析服务,GFW 会对所有经过骨干出口路由的在 UDP 的 53 端口上的域名查询进行检测,一旦发现有黑名单里的域名,它就会伪装成目标域名的解析服务器给查询者返回虚假结果。由于 UDP 是一种无连接不可靠的协议,查询者只能接受最先返回的结果。而即便我们用可靠的 TCP 协议来查询,虽然 GFW 不能污染 DNS 了,但是可能会被重置(发送 RST),查询者也无法得到返回的 IP 。Youtube在国内遭到封禁已是众所周知的事实,由于使用域名访问会存在DNS劫持问题,这里直接以其IP地址之一208.65.153.238来举例说明IP黑名单机制。用浏览器访问http://208.65.153.238有如下结果:[*]特定端口封锁对于一些特点的 IP ,GFW 会丢弃特定端口上的数据包,使得某些功能无法使用,比如 443端口SSL,22端口的SSH。GWF 曾经干过一件事,针对 Google 的一些 IP 上的443端口,实施间歇性封锁,不明所以的用户就会觉得这是 Google 抽风了,久而久之自然不能忍受 “老是出问题” 的产品。[*]加密连接的干扰加密连接不总是加密的,公钥还是明文的,所以 GFW 就能识别出特定服务的证书。然后在遇到 “黑名单” 加密连接时,它会发送RST数据包,干扰双方正常的 TCP 连接,进而切断加密连接的握手。即使 GWF 有这么多阴招,我们还是有办法的,本文主要也是说这个的。[*]VPNVPN 叫虚拟专用网络,顾名思义你连上 VPN 后,就等于接进了一个 “局域网”,这个局域网里的传输都是强制加密的,你的数据先传到 VPN 服务器,然后再传给真正目标。正是因为加密,所以 GFW 就封锁不了了。但是,如果某个 VPN 特别猖狂,GFW 直接把 VPN 服务器的域名、 IP 封掉,那这个 VPN 也就用不了了。[*]加密代理FanQiang 说到底,都是加密数据。代理的作用就是:把你要访问的目标告诉它,它访问成功后把数据加密返回给你,从而间接使你访问到了被 Q 的目标。同样,GFW 也可以把代理服务器封掉。[*]直接访问 IP毕竟过滤 IP 是黑名单,不可能更新那么及时,而 Google 服务那么多,镜像 IP 很多的。只希望不要落入 GFW 的黑名单。。。一般我所知道的姿势就这些了,还有些比如 Tor 之类的,我也没有实践过,所以就不说了。tianchao总体上是采取对外开放的政策,但是tianchao和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反tianchao法律的事情。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机。 至2016.6,谷歌的服务Y、B等在tianchao境内都不可以直接访问。
on
Sunday, June 12, 2016
Email ThisBlogThis!Share to XShare to FacebookShare to Pinterest
Labels:
Security
No comments:
Post a Comment
Newer Post
Older Post
Home
Subscribe to:
Post Comments (Atom)
YouTube Channel
Search This Blog
Categories
AI
(2)
Architecture
(2)
Blog
(7)
Checkpoint
(20)
Cisco
(39)
Cloud
(7)
Coding
(6)
CyberArk
(4)
English
(4)
F5
(3)
Finance
(2)
Fitness
(10)
Free
(2)
Hacker
(5)
Juniper
(23)
Linux
(11)
Mac
(2)
Management
(4)
Multimedia
(3)
Music
(2)
Network
(20)
Office
(6)
Other
(24)
Pen Test
(11)
Phones
(4)
Photography
(15)
Security
(65)
SIEM
(1)
Software
(37)
Sports
(6)
System
(4)
Threat Hunting
(3)
VM
(8)
VPN
(3)
Windows
(9)
About this site
Please enable / Bitte aktiviere JavaScript!Veuillez activer / Por favor activa el Javascript![ ? ]
Network Security Blog Archive
Network Security Blog Archive
March 2025 (2)
November 2024 (3)
June 2024 (2)
May 2024 (4)
April 2024 (2)
March 2024 (2)
February 2024 (1)
January 2024 (2)
November 2023 (2)
October 2023 (1)
June 2023 (1)
October 2022 (4)
November 2021 (1)
October 2021 (5)
December 2020 (1)
November 2020 (5)
July 2020 (2)
June 2020 (1)
April 2020 (2)
March 2020 (10)
February 2020 (2)
December 2019 (2)
November 2019 (9)
October 2019 (6)
September 2019 (4)
August 2019 (1)
July 2019 (2)
June 2019 (1)
May 2019 (2)
April 2019 (5)
March 2019 (2)
February 2019 (3)
January 2019 (4)
December 2018 (14)
November 2018 (7)
October 2018 (1)
September 2018 (4)
August 2018 (1)
July 2018 (5)
June 2018 (1)
May 2018 (6)
April 2018 (4)
January 2018 (11)
November 2017 (3)
October 2017 (1)
September 2017 (1)
August 2017 (1)
July 2017 (4)
April 2017 (2)
March 2017 (2)
January 2017 (5)
December 2016 (2)
November 2016 (23)
October 2016 (1)
September 2016 (4)
August 2016 (4)
July 2016 (2)
June 2016 (6)
May 2016 (4)
April 2016 (3)
March 2016 (2)
January 2016 (1)
December 2015 (15)
November 2015 (2)
August 2015 (6)
July 2015 (6)
June 2015 (3)
March 2015 (2)
February 2015 (6)
January 2015 (2)
December 2014 (4)
October 2014 (2)
September 2014 (5)
August 2014 (3)
July 2014 (1)
June 2014 (5)
April 2014 (3)
March 2014 (5)
February 2014 (3)
January 2014 (5)
December 2013 (6)
November 2013 (5)
September 2013 (8)
August 2013 (8)
July 2013 (2)
June 2013 (2)
May 2013 (9)
April 2013 (2)
March 2013 (22)
February 2013 (9)
January 2013 (14)
September 2012 (1)
August 2012 (3)
July 2012 (3)
May 2012 (5)
April 2012 (2)
March 2012 (7)
February 2012 (27)
January 2012 (21)
January 2007 (1)
Popular Posts in Last 30 Days
5320部 4K 蓝光 原盘 高画质影片 磁力链接
Troubleshooting Account locked out; EventID 4740,4625,4771
Troubleshooting Account locked out; EventID 4740,4625,4771 Troubleshooting Account Lockouts has become an IT admin routine nowadays; Y...
无代码Web UI自动化工具Automa:自动化填写表单、执行重复性任务、屏幕截图、抓取网页信息等功能
Automa 是一个免费、开源的浏览器插件,适用于firefox和Chrome ,它通过目前流行的 No Code 无代码方式,只需要拖拽模块就实现了浏览器自动化,比如自动网站登录、填写表格、执行重复性任务、截图或读取网站数据。
Free接收手机短信验证码网站
国内手机号、短信验证码平台 http://www.smszk.com/ 在线短信验证码接收,手机验证码短信接收平台,最好用的免费云短信网站! https://sms.cm/ 云短信 - 免费在线短信接收,国内免费临时手机号 http...
无损音乐合集和Foobar播放器下载
关于无损音乐科普 常见的MP3、WMA、OGG被称为有损压缩,有损压缩顾名思义就是降低音频采样频率与比特率,输出的音频文件会比原文件小。 另一种音频压缩被称为无损压缩,能够在100%保存原文件的所有数据的前提下,将音频文件的体积压缩的更小,而将压缩后的音频文件还原后,能够实现...
另一种增大内存的方法—zRAM—适合CPU性能过剩但RAM少,硬盘读写不佳(或容量小)的鸡鸡
https://www.nodeseek.com/post-69126-1 前言 之前在玩幻兽帕鲁,自己用了一个 8核8g 的服务器搭了一个服务器,但是我发现 RAM 只有8g是不够用的,分分钟爆了(这游戏内存泄漏是真的严重。。。。 )所以就想到了用 Swap 增大内存容量...
VMware vSphere 6/6.5 Key 序列号
经过测试ESXI6.5也可以使用。 vSphere 6 Hypervisor HY0XH-D508H-081U8-JA2GH-CCUM2 4C4WK-8KH8L-H85J0-UHCNK-8CKQ8 NV09R-2W007-08D38-CA956-33U28 J...
How To Connect AWS RDS With PhpMyAdmin(Debian)
STEP 1. Updating Packages. # apt-get update STEP 2. Installing Web Server. # apt-get install apache2 -y STEP 3. Installing Mysq...
Latest Comments
Translate
Pageviews last month
Contact Form
Name
*
Message
*
Social Media Icons
github
youtube
51Sec Sites
;