这个应该算是一个比较敏感的话题,所以我先声明一下几点内容:在这篇文章里,我不会提及任何关于突破内容审查机制的关键词,如果为了技术一定要提及,我会只留首字母,不介绍、传播、扩散任何关于突破内容审查机制的工具。任何技术探究均在个人局域网中完成,使用的信道均为国家网络运营商提供的合法有效的信道。
我写这一篇的目的,是为了科普 GFW 的相关知识,并澄清大家通常关于 VPN 技术的误解,同时探讨一些网络方面的技术知识。
友情提示:突破 GFW 的行为,虽然并未有法律条文明确规定违法,但是存在因为此类行为被拘捕的案件,请各位自重。
一、 GFW 的工作原理
没有人知道 GFW 现在确切的工作原理,和工作位置,但有很多猜测都是有依据的。
一开始封锁某些网站的时候,GFW 会采取关键词侦察强制丢包、DNS 污染等方式。其中最重要的方式就是 DNS 污染。当你键入域名时,需要你的 DNS 服务器将域名解析成 IP 地址并进行访问,显然,我们只需要将这条路堵死,返回一个错误的 IP 地址便可以了。后来大家找到了最简单的对策:更改 DNS 服务器或修改 hosts 文件,以获取真正的 IP 地址。于是 DNS 污染的方式再度增加,当解析完的 IP 地址返回到你的电脑时,一定会经过运营商的服务器,于是便对这种流量进行篡改,让你仍然无法得到想要访问的 IP 。后又有对于重点域名直接封锁,从这些域名来的所有网络包强制丢包,让你无法连接。还有一种方式是封 IP,让你的访问请求进入一个只进不出的黑洞,也可以做到封锁的效果。
后来,由于此类方法被突破,根据新的特点, GFW 又进行了加固:监听所有的出入流量并进行关键词分析,直接进行封锁,当然,这是在出入流量均为明文,即为 http socks 的代理方式或 tcp 包的情况下起作用的。对于加密的流量,GFW 对协议和证书进行了深度的研究,对于专门用于突破内容审查的协议直接封杀。但是它可以封杀 https 的加密协议,这就让人感到敬畏了,看来 GFW 对加密证书的研究非常透彻。
当然,GFW 很重要的一环就是人工审查,在人工审查,加入黑名单后,直接封锁对应的 IP 和端口。
拿大白话来说,访问网站就像找人,封锁(欺骗)的方式就那几种,让你找不到人、让你喊不出声、告诉你错误的地址……
可以去看看这篇文章 https://cloud.tencent.com/developer/article/1740977
二、VPN 扫盲
总有人觉得 VPN 是一个很刑的东西,不能拿到台面上来说,这种想法就跟菜刀可以杀人所以要禁止菜刀一样可笑……虽然国内的搜索引擎搜索到的有关 VPN 的信息里,真的有关的很少,但是你们哪怕在百度百科看看 VPN 是啥也不至于啥都不知道吧……其实 VPN 是虚拟专用网络,不过就是把你的电脑接入一个虚拟的、非物理的局域网环境中罢了,所以 VPN 在高校和企业中的应用是非常广泛的,例如,员工出差到外地,学生放假回家,想要访问企业/学校内网的资源,就会通过企业/学校提供的 VPN 服务来访问。所以使用 VPN 这个词来作为突破网络长城的代名词实在是太污名化 VPN 了。更何况,GFW 现在已经可以准确地封锁 VPN 协议的流量,任何声称是 VPN 的工具都不使用 VPN 的加密方式,而是一些其他的新加密协议。VPN 本身只是前期技术相对不成熟时的借用工具,其原意并非为了突破 GFW。
后面的东西似乎不太属于原理范围……等仔细斟酌之后吧。