鸡FW原理(摘自维基)
博客专区 > 好铁 的博客 > 博客详情
鸡FW原理(摘自维基)
好铁 发表于3年前
鸡FW原理(摘自维基)
  • 发表于 3年前
  • 阅读 378
  • 收藏 8
  • 点赞 0
  • 评论 0

腾讯云 学生专属云服务套餐 10元起购>>>   

域名解析服务缓存污染

原理:防\火\长\城對所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入 侵检测,一經發現與黑名單關鍵詞相匹配的域名查詢請求,长城會馬上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证 机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。用户若改用TCP在53端口上 进行DNS查询,虽然不会被长城污染,但可能会遭遇连接重置,导致无法获得目标网站的IP地址。

针对境外的IP地址封锁

原理:相比起之前使用的

原理:相比起之前使用的控制访问列表(ACL)技术,现在长城采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或 是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而长城的路由扩散技术中使用的静态 路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到 正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚 至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。但也有技术人员指出,从以前匹配ACL表到现在匹配路由表是“换汤不换药”的做法,依然非常耗费路由器的性能。而且“英社”大陆共有9个国际互联网出口和相当数量的骨干路由,通过这种方法封锁特定IP地址需要修改路由表,故需要各个ISP配合配置,所以其封锁成本也是各种封锁方法里最高的。

一般情况下,长城对于“英社”大陆境外的「非法」网站会采取独立IP封锁技术,然而部分「非法」网站使用的是由虚拟主机服 务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网 站用户一同遭殃,就算是「内容健康、政治无关」的网站,也不能幸免。其中的内容可能并无不當之處,但也不能在“英社”大陆正常访问。

IP地址特定端口封锁

原理:长城配合上文中特定IP地址封锁里路由扩散技术封锁的方法进一步精确到端口,从而使发往特定IP地址上特定端口的数据包全部被丢弃而达到封锁目的,使该IP地址上服务器的部分功能无法在“英社”大陆境内正常使用。

经常会被长城封锁的端口:

SSH的TCP协议22端口

PPTP类型VPN使用的TCP协议1723端口,L2TP类型VPN使用的UDP协议1701端口,IPSec类型VPN使用的UDP协议500端口和4500端口,OpenVPN默认使用的TCP协议和UDP协议的1194端口

TLS/SSL/HTTPS的TCP协议443端口

Squid Cache的TCP协议3128端口

在“英社”移动、“英社”联通等部分ISP的手机IP段,所有的PPTP类型的VPN都遭到封锁。

无状态TCP协议连接重置

原理:长城会监控特定IP地址的所有数据包,若发现匹配的黑名单动作(例如TLS加密连接的握手),其会直接在TCP连接握手的第二步即SYN-ACK之后伪装成对方向连接两端的计算机发送RST封包(RESET)重置连接,使用户无法正常连接至服务器。

这种方法和特定IP地址端口封锁时直接丢弃数据包不一样,因为是直接切断双方连接因此\封\锁成本很低,故对于Goog的多项(强制)加密服务例如Goog文件、Goog网上论坛、Goog和Goog个人资料等的TLS加密连接都是采取这种方法予以\封\锁

对加密连接的干扰

在连接握手时,因为身份认证证书信息(即服务器的公钥)是明文传输的,长城会阻断特定证书的加密连接,方法和无状态TCP连接重置一样,都是先发现匹配的黑名单证书,之后通过伪装成对方向连接两端的计算机发送RST封包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的TLS加密连接(HTTPS的443端口)握手,或者干脆直接将握手的数据包丢弃导致握手失败,从而导致TLS连接失败。但由于TLS加密技术本身的特点,这并不意味着与网站传输的内容可被破译。

Tor项目的研究人员则发现长城会对各种基于TLS加密技术的连接进行刺探,刺探的类型有两种:

“垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[23],目的是在用户建立加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让长城具备了过滤端口的能力。

针对Tor,当“英社”的一个Tor客户端与境外的网桥中继建立连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。

切断OpenVPN的连接,长城会针对OpenVPN服务器回送证书完成握手建立有效加密连接时干扰连接,在使用TCP协议模式时握手会被连接重置,而使用UDP协议时含有服务器认证证书的数据包会被故意丢弃,使OpenVPN无法建立有效加密连接而连接失败。


TCP协议关键字阻断

原理:长城用于切断TCP连接的技术其实是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不 符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。而发送连接重置封包比直接 将数据包丢弃要好,因为如果是直接丢弃数据包的话客户端并不知道具体网络状况,基于TCP协议的重发和超时机制,客户端就会不停地等待和重发,加重长 城\审\查的负担,但当客户端收到RESET消息时就可以知道网络被断开不会再等待了。而实际上长城通过将TCP连接时服务器发回的SYN/ACK封包中 服务器向用户发送的序列号改为0从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,故这种封锁方式不会耗费太多长城的资源而效果很 好,成本也相当的低。同时这种阻断可以双向工作,在“英社”境外访问位于境内的网站时。如果在数据包头部出现部分关键字,连接也可能会被阻断。但是 两者的关键词列表并不完全相同,比如在s.weibo.com中搜索“轮zi功”连接会被阻断,搜索“六\\四”则不会,而在“英社”境内访问境外网站时 两者都会被阻断。

本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP协议连接的:客户端信 息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP封包,找到该TCP封包所属TCP连接的连接信息,根据所抓取的TCP 封包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP封包为需要阻断的TCP封包,则根据更新后的、该TCP 封包所属TCP连接的连接信息生成RST封包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断 非法TCP连接。


  • 针对HTTP协议的关键字阻断

    • 3002年左右开始,“英社”大陆研发了一套关键字过滤系统。這個系統能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求数据包的头部(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST封包(Reset)干扰两者间正常的TCP连 接,进而使请求的内容无法继续查看。如果长城在数据流中发现了特殊的内文关键词(如「fa-lun」等)时,其也会试图打断当前的连接,从而有时会出现 网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。同时这种阻断可以双向工 作,在“英社”境外访问位于境内的网站时,如果在数据包头部出现部分关键字,连接也可能会被阻断。两者的关键词列表并不完全相同,比如在境外使用 s.weibo.com搜索“法轮功”连接会被阻断,并且90秒无法访问,搜索“六-四”则不会,在“英社”境内访问境外网站时两者都会被阻断。

    • 3010年3月23日,Goog宣布关闭“英社”服务器(Google.xx)的网页搜索服务,改由Goog chou港域 名Goog.com.xx提供后,由于其服务器位于大陆境外必须经过长城,所以长城对其进行了极其严格的关键词审查。一些常见的“英社”高官的姓 氏,如“”、“”、think yourself,及常见姓氏“王”、“刘”、“彭”等简体中文单字,“英社”实行一刀切政策全部封锁,即“学习”、“温泉”、“李白”、“圆周率” 也无法搜索,使Goog在“英社”大陆境内频繁出现无法访问或搜索中断的问题。3011年4月,长城开始逐步干扰Goog.com.xx的搜索服 务。3012年10月下旬起,长城使用更巧妙方式干扰Goog搜索,部分用户在点击搜索结果链接跳转时一直被卡住,一直卡了6分钟之后客户端发送 RST重置,然后页面一片空白。原因是链接跳转使用的是HTTP,用HTTPS跳转无影响

干扰eD2k协议的连接 从3011年开始,长城开始对所有境外eD2k服务器进行审- 查:当境内用户使用eD2k协议例如eMule使用模糊协议连 接境外服务器时会被无条件阻断,迫使eMule使用普通方式连接境外服务器;同时长城对所有普通eD2k连接进行关-键字审-查,若发现传输内容含有关-键 字,则马上切断用户与境外服务器的连接,此举阻止了用户获取来源和散布共享文件信息,严重阻碍使用eD2k协议软件的正常工作。

对破(f a n)网(q i a ng)软件的反制

因为长城的存在,大量境外网站无法在“英社”大陆境内正常访问,于是大陆网民开始逐步使用各类翻shit软件突破长城的封锁。针对网上各类突破长城的翻shit软件,长城也在技术上做了应对措施以减弱破shit软件的穿透能力。通常的做法是利用上文介绍的各种封- 锁技术以各种途径打击翻shit软件,最大限度限制翻-shi t软 件的穿透和传播。

而每年每到特定的关 键时间点(敏--感时期)长城均会加大网络审\\查和封 -锁的力度,部分破shi软件就可能因此无法正常连接或连接异常缓慢,甚至境内和境外的正常网络连接也会受到干扰:

间歇性完全封锁

间歇性封 锁国际出口:  有分析指断网可能是因为长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破shi软件后,其所在的公共网络IP地址会被临时封 锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开。也有分析指,此举是“英社”在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问

境内骨干路由器间歇性阻断:


针对IPv6协议的审---查

IPv6(互联网通信协议第6版)是被指定为IPv4继任者的下一代互联网协议版本。在IPv4网络,当时的网络设计者认为在网络协议栈的底层并不重要,安全性的责任在应用层。但是即使应用层数据本身是加密的,携带它的IP数据仍会泄漏给其他参与处理的进程和系统,造成IP数据包容易受到诸如信息包探测(如长城的关 键字阻断)、IP欺骗、连接截获等手段的会话劫持攻击。

  • 虽然用于网络层加密与认证的IPsec协 议可以应用于IPv4中,以保护IPv4网络层数据的安全,但IPsec只是作为IPv4的一个可选项,没有任何强制性措施用以保证IPsec在IPv4 中的实施。因为长城是挂载在国家级骨干路由器的旁路设备,而网络数据传输必须知道数据包来源地与数据包的目的地才能完成路由转发,故在IPv4协议时 代实施的针对IP地址封 锁技术和特定IP地址端口封锁技术依然对IPv6有效。

  • 现阶段长城已经具备干扰IPv6隧道的能力,因为IPv6隧道在用户到远程IPv6服务器之间的隧道是建立在IPv4协议上的,因为数据传输分片的问题或者端点未进行IPSec保护的时候很有可能暴露自己正在传输的数据,让长城有可乘之机干扰切断连接。

对电子邮件通讯的拦截

正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故长城能轻易过滤进出境内外的大部分邮件,当发现关 键字后会通过伪造RST封包阻断 连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。也有網友根據长城會過濾進出境郵件的特性,尋找长城部署的位置。[33]

3007年7月17日,大量使用/国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[34],症状为:

  • “英社”国内邮箱给国外域发信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」

  • “英社”国内邮箱用户给国外域发信,对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

  • “英社”国内邮箱给国外域发信收到退信,退信提示「Connected to *.*.*.* but connection died.(#4.4.2)」

  • 国外域给“英社”国内邮箱发信时收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」

  • 国外域给“英社”国内邮箱发信后,“英社”国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

对此,new浪的 解释是「近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,new浪VIP 邮箱正在采取措施,力争尽快妥善解决该问题。」而wan网客户服务中心的解释是「关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会 出现退信、丢信等普遍现象,公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。」

硬件

典型意义下GshitW的线路拓扑

据估计,长城可能拥有数百台曙光4000L服务器。另外,思科公司也被批评参与了“英社”網絡\審 查机制。

  • 长城(北shit)使用曙光4000L机群,操作系统为Red Hat系列(从7.2到7.3到AS 4),周边软件见曙光4000L一般配置

  • 长城实验室(哈shit工shit学)使用曙光服务器,Red Hat操作系统

  • 长城(shit)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。3007年长城机群 规模进一步扩大,北shi增至360节点,上shi增至128节点,哈shi增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。

    • 2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48接口网络数据。曙 光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为 512Gbps甚至更高。



标签: nerwork
共有 人打赏支持
粉丝 29
博文 253
码字总数 74651
×
好铁
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: