金盾工程技术分析

作者 | 2008-05-29 16:01 | 类型 专题分析, 弯曲推荐 | 27条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




image      很多人都有过这样的体验,在中国访问一些国际网站,感觉速度比较慢。这其中有多种原因,中国国内网络的带宽不够,到国际网站的服务器需要经过多层路由器转接,到欧洲的网站一般需要在美国中转,等等。还有一个重要原因不一定每个人都知道,那就是所有从中国到国外的数据包都要经过一个巨大的防火墙(Firewall)过滤。这个防火墙是世界上功能最强大的网络控制机构之一,国际上的研究人员称之为“Great Firewall of China”,简称GFC,可译为“中国防火长城”(长城英文是“Great Wall of China”)。国内的正式名称是“金盾工程”。

      “金盾工程”(Golden Shield Project)的核心项目是一个综合的网络封锁和监视系统,涉及技术(电信与网络服务提供商ISP)、行政、公安、国安、宣传等很多部门的系统工程,总体工程规划五年内完成,分两期建设。一期工程在2003年建成并全面启动。据中央电视台报道,至2002年为止,金盾工程共花费了人民币六十四亿元。二期工程从2006年开始实施。据估计,目前参与金盾工程日常运作的人员(主要来自公安部门)超过三万人。

      GFC(以下用GFC表示金盾工程)的主要功能包括封锁国外的一些网站,监控一些网吧和个人的上网行为,收集网络情报,有时也破坏网络通讯,如劫持域名,劫持个人电脑等。下面我们就具体分析一下GFC的构成和工作原理。

      国际互联网(Internet)起源于美国军方的网络研究项目ARPANET,其设计目的是一个没有中心机构的分布式网络。如果在战争情况下某些节点遭到破坏,其他部分还能正常工作。如果美国政府有一天决定要监控所有进出美国的网络数据,他们也无法办到,因为美国与世界各地的连接太多,有些连接并不在政府控制之下,要监控所有的国际数据无论在技术、法律或财力上都是不可行的。

      同理,如果中国政府要监控国内、国际所有的网络通信也不可能。但是,只监控中国到国外的互联网通信是可行的,因为中国到国外的互联网接口只有有限的几个,主要的只有三个。北方的一个是北京-青岛-天津,接到日本;上海有一个国际接口,也接到日本;南方广州有一个,接到香港。除此以外,还有一些卫星国际连接,但是速度很慢,收费很高。中国西部还有通过中亚到俄国的线路,但数据传输量也很少。中国互联网国际出口少的坏处在2006年台湾地震时暴露得很明显,几条海底电缆的破坏就使得中国互联网国际通信受到巨大影响。好处也有,如果在这几个国际出口各放一套防火墙设备,就可监控所有的国际数据通信。GFC就是这样做的。

      GFC主要设备供应商是思科(Cisco),核心设备是一种路由器,“Mirroring Router”。这种路由器在转发每个数据包的同时,都会复制一份进行分析。根据分析的结果,可以允许这次通信正常进行,或者中断这次通讯,更加严重的,可以封掉这个国际网站或IP地址。由于参与GFC的建设,思科公司曾受到美国国内多方的强烈批评。但现在这种路由器已经不是什么尖端技术,很多网络设备厂商都可以制造,包括中国的华为,中国不必非从思科购买。目前GFC的技术更新工作主要在软件方面,这由中国方面独立进行,思科并不参与。

      GFC截断国际通信的技术手段有几种,最严厉的一种是封锁域名(DNS Block)。例如,用户要访问www.google.com,首先需要域名服务器(DNS Server)先返回一个IP地址,然后再用这个IP地址和谷歌的服务器交换数据。封锁域名就是在用户查询谷歌的IP地址时,GFC截获这个请求并返回一个零地址,或假地址。用户的浏览器就会显示“无法找到网站”,使得用户无法访问google.com。有时GFC还会更进一步,把访问一个网站的请求转到另一个网站。例如,在2002年有几个月,访问www.google.cn的请求都被转到百度的网站,www.baidu.com

      假如谷歌的域名被封,但如果你知道谷歌的IP地址,那你还可以直接用IP地址访问谷歌的网站。所以,GFC还有另一个手段,封锁IP。这和域名封锁类似,都是有一个黑名单,在黑名单上的域名和IP地址一概不能访问。黑名单有两种,一个是永久的,一个是临时的。上榜永久黑名单的网站那是没有办法了,临时名单要好些,它有时间限制,敏感时期过后,或表现良好,名单中的网站就有可能被去掉。

      还有一种手段是URL关键字封锁。也就是说,即使google.com没被封锁,但如果该网站的某一页面的名字中含有某个关键字(对不住,这儿就不举例子了),那么这一页面就可能被封。最后一个手段,也是最先进的,就是实时扫描每一页的内容。如果页面中含有GFC不喜欢的字或词,GFC会马上中断这次通信,在一定的时间内还不准再试(一般为30分钟)。

      后面这两种手段更人性化一点儿,不像前两种封掉整个网站那么粗暴,打击面也小一些,可以精确到页面,而不是整个网站。当然,本质是一样的,在遇到页面无法访问时,用户都不知道是怎么回事儿。是我的PC坏了,网线断了,电信的机器坏了,网站的服务器当机,还是它今天被封了?都有可能,这种不确定性也使得GFC的威力更加强大。不像其他政府,如新加坡政府等,封掉一个网页后,还会告诉你,“…对不起,这个网页含有不适当的内容,不能访问…”,幼稚了不是?

      那么,如何破解GFC?

      破解GFC也很简单,两种办法最有效,代理服务器(Proxy)和虚拟私有网(VPN)。Proxy就是通过国外的另一台服务器中转一下,掩盖最终地址,逃过GFC的审查;VPN的办法是使用数据加密,GFC无法知道通信双方的域名或IP地址。国外的Proxy很多,IP经常变化,GFW无法把它们都列入黑名单封掉。而且Proxy都是免费,就是需要经常换新的。使用VPN要求较高,如果国外没有服务器可连,就需要付费。VPN的数据都经过加密,GFC看不懂,只好放行。那么,有没有可能有一天GFC会把所有看不懂的、加密过的VPN数据都封掉?不会,因为成本太大。成千上万的外企、银行每天都使用VPN与其总部通信和传递财经数据,封掉VPN,他们马上就没法在中国做生意了。只要中国的改革开放政策不变,这就不会发生。

      既然这么简单就可以攻破GFC,为什么政府还要花巨资建设它?因为GFC虽然不能挡住所有人,但它设置的障碍足够挡住绝大多数不熟悉互联网技术的人。一些外商或国内精英人士可以绕过GFC,这并不一定是件坏事情,至少并不严重。另外,由于GFC的存在,多数国内外的网站(包括《弯曲评论》)都会严格自律,非常小心,以避免被封。所以,从这种意义上讲,GFC还是非常有效的。

(16个打分, 平均:4.88 / 5)

工具箱
本文链接 | | 打印此页 | 27条用户评论 »

雁过留声

“金盾工程技术分析”有27个回复

  1. guest 于 2008-05-29 11:48 下午

    还有一点有点就是:GFW可以有效的切断从国外网站发起的对国内网络中的非法访问。这对于美国和其它西方国家几乎是不可思议的。所以难怪有些西方人会惊呼:他们(中国)可以向我们发起网络攻击,而他们自己却可以(通过GFW)将自己保护起来。
    想一想,也挺有意思。

  2. 匿名 于 2008-06-12 2:20 上午

    什么玩意

  3. 匿名 于 2008-09-12 1:40 上午

    哈哈, 怎么发这种文章上来啊. 太神奇,太强大.

  4. 匿名 于 2008-09-14 11:55 下午

    >国际互联网(Internet)起源于美国军方的网络研究项目ARPANET,其设计目的是一个没有中心机构的分布式网络。如果在战争情况下某些节点遭到破坏,其他部分还能正常工作。如果美国政府有一天决定要监控所有进出美国的网络数据,他们也无法办到,因为美国与世界各地的连接太多,有些连接并不在政府控制之下,要监控所有的国际数据无论在技术、法律或财力上都是不可行的。

    不对吧?这种说法很明显有问题。

  5. 中兴之象 于 2008-09-15 2:57 上午

    4楼匿名同学,哪里不对?
    请指出

  6. 愚朽 于 2008-09-15 6:04 下午

    中兴之象:如果某种原因,切断了根域名解析服务器,网络还能正常运行吗?

  7. 中兴之象 于 2008-09-15 8:29 下午

    对于商用的来讲(VPN),以及cn的域名解析,是不需要根域名.

    你以为你在国内真的无障碍的使用根域名的服务?GFW会修改/劫持根传来的数据.

  8. mrcui 于 2009-05-10 7:58 上午

    我对金盾工程又进一步了解啦,我是用破网软件突破封锁的,速度不错,开头我用Proxy速度非常慢,可能是网络的原因。

  9. Leopard 于 2009-10-31 4:49 上午

    我从vpn来,路过

  10. 高飞 于 2009-10-31 8:51 上午

    就算是正常的解析下(不考虑比如.cn彻底独立或者VPN情况)根域名解析服务器也不是每次DNS访问都必须的。

  11. cal 于 2009-10-31 2:26 下午

    并没有为金盾辩护的意思,只是提醒大家客观看待这个问题

    任何问题都要辩证的看, 金盾的目标人群并不是知道proxy, vpn甚至ssh tunnel的人, 而是以为ie图标就是internet的普通网民.他们搜索用baidu,邮箱用网易,聊天用qq.金盾对他们来说不是坏事.

    之所以从互联网上很容易得到金盾影响很坏的误导,是因为典型的biased sample,受影响的都懂点技术,有博客,嗓门大.其中有些人以为废除金盾就能带给网民民主自由,其实是非常幼稚的.

  12. zeroflag 于 2009-10-31 9:51 下午

    我知道的金盾工程和这个不是一回事,公安部内网人称金盾网,是中国电子政务网十二金工程之一。我们现在很多的日常应用,如办个身份证,转个户口啥的都是在这张网上完成的。

    而GFW对监听路由器的需求是公安部自己提出的,Cisco和华为做了针对性的开发而已。鉴定结果就是这篇文章的作者根本不了解什么是金盾工程,也不了解GFW。

  13. 理客 于 2009-10-31 11:39 下午

    1、任何国家都要求所有运营商必须提供监听接口给国家安全部门,称为合法监听,因为这是国家法律规定的
    2、过去,没听说国家给C任何机会做这个设备,也许现在开发了,给C机会了?

  14. anonymous 于 2009-11-01 4:55 上午

    想看这篇文章居然也得用代理!GFW这么厉害!

  15. 游客AAA 于 2009-11-10 7:17 上午

    很牛啊,刚开始还能打开这个网站,点了“金盾工程”这个评论就挂了。马上打开在线代理就OK了。GFW果然牛XX

  16. 推荐:弯曲评论(www.tektalk.cn) « The linux mobile development 于 2010-01-08 5:18 下午

    [...] 对华为系统软件的战略思考:上,下 对中国系统软件的思考与建议 金盾工程技术分析 说说美国的大学 [...]

  17. 陈怀临 于 2010-01-08 5:24 下午

    山寨机小魔头李先动,sorry,李先静,推荐弯曲评论了。

    http://www.limodev.cn/blog/archives/1385

    这个比较有召唤力,和说服力。人家小李都在弯曲混了。您不在,那不是丢份不是。。。

  18. 陈怀临 于 2010-01-16 8:36 上午

    “想看这篇文章居然也得用代理!GFW这么厉害!”

    “很牛啊,刚开始还能打开这个网站,点了“金盾工程”这个评论就挂了。马上打开在线代理就OK了。GFW果然牛XX”

    感觉,G.F.W是指用string做match。

    唉,事情做到这个份上,我真是觉得悲哀。

    方教授狠呀,现在是北邮校长了。

    我终于知道谁是方院士了。。。。

    清华土著,你貌似很崇拜方院士的说???

  19. orz 于 2010-01-16 8:38 上午

    不得不翻个墙来留个言。。。

  20. 清华土著 于 2010-01-20 5:05 下午

    QUOTE: 清华土著,你貌似很崇拜方院士的说???
    。。。

    某次方院士视察我们做的设备,我们正在演示过程中他一句话不说上来就把我们其中一根网线拔掉了,并根据拔线后的现象(led变化,smartbit实时数据变化)来判断我们的测试是否真实。。。确实很cool啊!

    。。。后来我们加了热插拔功能,并且没事也自己拔着玩儿,以考察系统稳定。

  21. 老魏 于 2010-03-15 6:45 上午

    楼上的土著,人家直接拔线,说明作假的人太多了。懒得跟您废话,拔了看看再说。。不知道这是否是另一种悲哀。

  22.   于 2010-03-15 5:35 下午

    不需要翻墙  没有屏蔽金盾这个词语

  23. 我的微博生活 | Jadeye 玉眼 于 2010-09-18 7:15 上午

    [...] 注:何为GFW? 中文叫金盾工程,英文Great Firewall,俗称国家防火墙等。简单说就是国家设置在全国各个关键网络节点、对外出口上的信息审查系统。一旦发现网络上有所谓的敏感词、不利于社会和谐的信息,就会把出现该信息的相关网页、网站给屏蔽掉。方法有多种:可能让你个人暂时不能该网页一段时间,或者彻底把该网站给封杀掉,像国外的Facebook、YouTube、Twitter等知名网站,就是被GFW用后一种手段给彻底“掐断了网线”,想要访问这些被“墙”了的网站,就需要使用一些技术手段翻墙。关于GFW的具体信息,可以参考“链接1”、“链接2”以及“链接3”。 [...]

  24. 弯曲不用注册么? 于 2011-02-26 3:52 上午

    作者最后一段话的总结,精辟!

  25. inside 于 2011-02-28 10:02 下午

    第一次发帖,试试看

  26. xiaohanyu 于 2011-05-26 1:06 上午

    看看GFW有多强大。不过这篇文章似乎将GFW和金盾弄混了吧?

  27. 一条虫 于 2011-05-27 5:20 上午

    清华土著怎么一没见过世面的样子……费解。