GFW的工作原理(3)——IP封锁,最可恶的手段!

GFW的封锁可是越来越厉害了啊,最新消息是一大堆VPN都失效了。不过封锁VPN这事朝廷一直都在做,就是最近做的比较狠,一下子封锁了一大批付费VPN,所以才引起了注意。

联通是早就协议封锁PPTP VPN了,OPENVPN也已经被GFW干掉了,L2TP一直处于时好时坏的状态,SSTP也差不多,IKEv1和IKEv2以及Cisco anyconnect很多公司都在用所以GFW到现在还没敢下手。VPN并不是为了翻墙而生的,协议指纹非常明显,要进行协议封锁是很容易的一件事,当然ISP知道你在用VPN也很容易[1]。

为了维持经济发展,朝廷是不大可能封锁所有的VPN协议的,否则外企就呆不下去了。我推测朝廷是想在封杀所有不受控制的国外VPN同时扶植起一批服务器受监控的国内VPN服务提供商,这样就可以完全控制翻墙党了。当然,他们不会得逞的:)

那么,如果说是协议封锁,那么不管哪里的VPN都会遭殃,那么这次VPN被大规模封锁,GFW用的是什么手法呢?

事实上GFW采用的是最古老也是最没有技术含量的手法:IP屏蔽。

最早GFW是采用ACL[2](Acess Control List,访问控制列表)的方式来屏蔽IP地址的。ACL顾名思义就是对网络访问进行控制的,可以控制出境流量和入境流量,可以工作在数据链路层或网络层。要屏蔽IP地址,自然是要工作在网络层了(IP协议在网络层啊),而且是路由器负责做这活的。不清楚这些层是怎么一回事的请看这里[3]。

“啊?什么是路由器?”“路由器可是计算机网络中一个非常重要的设备,负责对网络中的数据包(IP packet,路由器工作在网络层)进行转发(存储——转发模式,先暂时存储packet,再根据路由表转发出去),一个个接力存储转发packet,最终将packet送到目的地。简单来说,就像个交警,指挥着车辆们(数据报们)。各种各样的路由协议负责计算路径,实际转发的时候会根据一定的算法找出最佳路径(路由信息),将packet以最有效率的方式送到目的地。”

也就是说,计算机网络中所有数据包都是要经历不同路由器的多次转发才能到目的地的,可以win+r打开运行框,输入cmd之后回车,输入tracert xxx(可以是域名,也可以是IP地址),就能看到中间经过了哪些路由器啦!

“那为什么需要路由器呢?”“你说为什么需要交警呢?路由器的具体功能不是一两句话就能说明白的,有空我会具体说明一下,现在先这样吧。”

ACL实际上就是嵌在路由器中的一个黑名单,当packet到达这个路由器时,路由器就会自动将目的IP与ACL进行匹配,如果匹配成功,那么就执行事先设定的控制动作(对于GFW而言就是直接丢弃packet)。

是个路由器都会有这功能,也就是说GFW并不是完全布置在国际出口的互联网旁路上的,至少国际出口的路由器一定是GFW的一部分(当年思科提供给GFW的技术中就有能存储转发大量流量当然也带着ACL的路由器,当年朝廷是没有制造这么猛的路由器的技术实力的。思科,要钱不要脸啊!)

但即便如此,国际出口的路由器负担还是非常大的,而且ACL本身就是个非常增加路由器负担的存在:每一个packet都要先匹配一遍,效率非常之低,尤其是在黑名单长度增加之后更是如此。而众所周知GFW的IP黑名单是越来越长了,那么路由器的工作效率会受到极大影响,这对于骨干路由器而言在某种程度上是不可接受的。

事实上,GFW可并不是只存在于在国际出口的,各ISP的骨干路由器也是GFW的一部分:GFW路由器通过BGP(Border Gateway Protocol,边界网关协议)[4]直接把黑名单广播给所有骨干路由器,这样那些骨干路由器也会开始封锁IP了。

但即使如此,还是不能减轻多少负担,于是GFW动了一个歪脑筋:管理员是可以手动设置静态路由信息的,这条信息的优先级最高,而且不会像ACL一样给路由器带来沉重负担:路由器工作流程是接受——》存储packet——》路由协议计算路径(路由信息)——》选择最佳路径并转发packet(根据路由表转发),ACL是在接受和存储这一过程中插入了匹配过程,自然降低效率;而静态路由信息是在选择最佳路径这一过程里生效的,并没有多上一步,效率就提高了不少。不过也有人认为这种方法是换汤不换药,IP黑名单长了之后对路由器的负担依旧很大。[5]

具体来说GFW设置了一条错误的路由信息,把对应目标IP从ACL里拉了出来,当对应的packet到达路由器上时,就会直接被转发到一个“黑洞服务器”上,那个黑洞服务器会记录下源IP地址和其他一些信息,并进行分析统计,甚至可以伪造回应(不过GFW没有这么做,而是直接选择不回应,这样就相当于把packet给丢弃了)。同时GFW利用动态路由协议把这条信息重分发到其他骨干路由器上,那些骨干路由器又变成帮凶了。

GFW是人工维护这该死的IP黑名单的!有人发现封IP的时间一般都在白天,考虑到程序自动封IP会很容易造成误伤,最可能的情况就是一群IT败类在维护IP黑名单。[6]

说起来咱们翻墙党真心是非常苦逼的存在啊:花着数一数二的网费,忍受着慢死人的网速,最关键的是上的还是他妈的局域网,还要花钱或者花力气翻墙,而且这他妈的GFW还是用我们的税钱建立维护的!唉,你说为什么咱们这么苦逼呢?

因为咱们没有政治权利啊,没有办法用选票把这群龟孙子们轰下台!

咱们要是有政治权利,那帮龟孙子再怎么想要建立GFW也建不起来:“你想要建立GFW?很好,下台吧!”

把朝廷轰下台是第一步,最终目的是让我们所有人都有政治权利,所有人!

下一篇,聊聊那该死的“连接被重置”吧。

科普文链接集合:https://plus.google.com/109790703964908675921/posts/TpdEExwyrVj

参考资料:
1,GFW的工作原理(1)
                               ————GFW是如何识别并封锁翻墙工具的https://plus.google.com/109790703964908675921/posts/Qs4mjSQEuh7
2,https://en.wikipedia.org/wiki/Access_control_list
3,SSL/TLS的原理以及互联网究竟是如何工作的(1)
                                    ————“每个协议生而平等”
https://plus.google.com/109790703964908675921/posts/jew5dx6V2Lt
4,https://en.wikipedia.org/wiki/Border_Gateway_Protocol
5,http://gfwrev.blogspot.fr/2009/11/gfw_05.html
6,https://docs.google.com/document/d/1mmMiMYbviMxJ-DhTyIGdK7OOg581LSD1CZV4XY1OMG8/edit

原文:https://plus.google.com/109790703964908675921/posts/SJk5dtnpcdX

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s