Solidot:分析防火长城的DNS审查

中国的防火长城被动检查互联网流量,通过注入伪造的DNS响应或TCP重置中断不想要的通信。最早的防火长城注入DNS响应数据报告是在2002年,2007年演化到能根据关键词对所有屏蔽的域名注入DNS中毒响应。西厢项目的研究人员曾识别出了防火长城用于伪造DNS查询回应的8个IP地址。现在,匿名研究人员通过在中国境内和境外进行了数以亿次的DNS查询,刺探防火长城DNS注入器的计算集群结构和处理速度(PDF)。借助这些刺探,研究人员定位了防火长城的位置,发现了14495个关键词构成的DNS黑名单。匿名研究人员发现,防火长城的模式匹配精度最近突然提升了。研究人员共在中国内部发现了超过120万/24子网,防火长城只监视其中7000个,但这些网络连接都属于AS边界。换句话说,防火长城的DNS节点是部署在流量进出口的国境上。防火长城的一个计算集群有360个节点,每个节点的平均处理速度是每秒2800个DNS包。此前的一个流言称防火长城使用的是曙光4000L超级计算机集群,而曙光4000L集群确实有360个节点。

据估计,防火长城可能拥有数百台曙光4000L服务器[36]。另外,思科公司也被批评参与了中国网络审查机制。

防火长城(北京)使用曙光4000L机群,操作系统为Red Hat系列(从7.2到7.3到AS 4),周边软件见曙光4000L一般配置
防火长城实验室(哈尔滨工业大学)使用曙光服务器,Red Hat操作系统
防火长城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。2007年防火长城机群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。
有理由相信防火长城(北京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度48万亿次[来源请求]。
2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48接口网络数据。曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为512Gbps甚至更高(北京)。

原文:http://www.letscorp.net/archives/80179

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s