中国大陆的防火墙如何运作-所有你需要知道的
更新:本文已过时。新版本位于我们的新网站上。
在本文中,我想解释中国大陆是如何控制他们的互联网的。
正如我所说的,中国大陆正在运行一个"大陆内联网",受中国防火墙(GFW)的保护。
迷你办公室防火墙
我们可以将这与您的办公室或家庭进行比较,您的路由器可保护您的计算机。路由器具有本地"家长",如允许访问 Internet 的设置,但它也控制或阻止具有可能有害内容的网站。这就是一些公司在办公时间屏蔽Facebook的方式。
更大的路由器– 更大的墙
GFW 的工作原理相似,但规模要大得多。GFW不是只处理你的小办公室,而是过滤进出中国大陆的所有交通。
我将解释互联网流量如何以简短和简单的方式工作,不,你不需要是一个极客来理解它。
了解互联网流量规则
那么,如何通过互联网发送或接收实际的电子邮件?我们如何浏览网站或流式传输电影?
数据要快速来回移动,必须遵循互联网流量规则。使用这些规则,所有数据都以小 IP 数据包的形式传递。所以,让我们想象一下,我们想看看Youtube上一个有趣的猫视频。我们点击加载视频,Youtube 服务器将该视频分解成数千个小数据包,并将其发送到您的笔记本电脑。然后,这些数据包再次重新组装回视频中。这种情况发生得非常快。
所有你需要知道的,所有的互联网流量在小数据包中传播。
IP 地址
那么,Youtube是如何知道在哪里发送这些小包的呢?在互联网上每个目的地:计算机、网站或手机必须具有 IP 地址才能在互联网上发送和接收数据。谷歌为"我的IP",你可以看到自己的IP地址。IP 地址是一堆数字,因为计算机可以将它们转换为 1 和 0,但我们需要域名,以便我们可以记住它。
否则,您将看到 52.79.32.36,而不是nihaocloud.com。不是最令人难忘的网址吧?
什么是 DNS?
为了"互联网"了解这些域名,我们有域名服务 (DNS)。DNS 服务器将域名转换回 IP 地址。
(nihaocloud.com = 13.124.52.38)。有成千上万的 DNS 服务器将域名转换为 IP 地址。
好吧,足够枯燥无味的理论,回到中国的防火墙如何,它是如何工作的。
DNS 欺骗
阻止网站的第一个也是最有效的方法是通过 DNS 欺骗或"DNS 缓存中毒"。
因此,让我们回到我们的猫视频。当我们在浏览器上键入youtube.com时,DNS 服务器会收到一个请求,以检查youtube.com的含义,并将您发送到正确的 IP 地址。这个过程发生在任何互联网通信,如网页浏览等。
任何在中国大陆以外网站的 DNS 请求将由 GFW 进行深度包装检查 (DPI)。这意味着,每个小 IP 包将被打开并检查内容,如海关控制。
如果发现的任何模式,该包匹配不需要的内容,一个虚假的IP地址将返回,网站将不会打开…
这就是为什么如果你在中国,并试图达到Youtube.com你会得到这个网站:
VPN + 加密流量
即使 GFW 知道此流量是加密的,但它只能猜测里面是什么。这是获得整个 GFW 流量的最大机会。现在GFW是不确定的,无论是一个简单的Youtube访问,可以被阻止,或这是最重要的连接金融交易,通过切断这种连接可能会给经济造成巨大的损害。
不确定性-这是GFW最头疼的问题。
此处的关键字是"附带损坏",这可能是由阻止加密数据包造成的。此附带损害必须保持在最低限度。
那么,GFW正在对此做些什么呢?
此处的关键字是"附带损坏",这可能是由阻止加密数据包造成的。此附带损害必须保持在最低限度。
我们可以想象GFW背后的工作人员并不愚蠢,他们想出了一个"主动探测"机制。GFW 现在正在寻找加密流量并猜测加密/VPN 协议。
然后,GFW 的探测服务器获取加密数据包并将包转发到接收方,然后等待答复。从这些答复中,GFW 可以决定如何处理该包、丢弃该包或让它通过该包。
因此,总结一下GFW正在以两种方式工作:
DNS 中毒
主动探测
更有趣的是,中国大陆的不同网络正在通过不同的过滤运行。虽然像中国联通或电信这样的公共网络拥有最强的过滤器,但大学网络(如CERNet-中国教育研究网)的过滤不那么严厉。
我们应该记住,GFW是一个非常动态的动物。它总是试图在附带损害和有效阻止互联网之间找到最佳平衡。因此,某些服务今天可能会被阻止,但明天又不能再次被阻止。
居住在中国内地的人知道,在大型公共活动或假日期间,GFW的控制比往常要强硬得多。此外,GFW正在学习,并不断发展和改进。因此,我们今天所理解的明天可能会改变。
我们所知道的一切可以通过研究和测试找到,但没有人会解释它是如何工作的。我还想提一下,这篇文章不仅基于我在中国本土20年的IT经验,而且基于在汉堡CCC-Chaos计算机俱乐部年会上提出的研究。
因此,GFW 和 VPN 提供商之间总会有一场战斗,并且总会有附带损害的问题,没有人愿意伤害经济。
GFW 已做好充分准备,并将始终如此。此外,不要忘记,中国内地也已发出法律通告,以打击这场战斗离线。
更新:尼浩云接受了英国广播公司《商业日报》的采访,关于中国互联网隐私的压制。你可以在这里听完整的情节。