中国禁闻 – 禁书网 2013年08月11日 6:54
维基媒体国际大会第九届会议9日在香港召开,维基百科创办人卫詹美Jimmy Wales在会上告诉来自全球的数百个维基人,维基目前正考虑发展一个有别于“八卦”媒体的网上严肃新闻媒体,因为他认为新闻业正处于本世纪一个最大的改革机会。卫詹美在接受港媒访问时又强调,中共政府将无法继续对网民进行资讯封锁,因“互联网会战胜审查”。他又批评大陆网站百度百科抄袭维基内容、试图垄断中国网络市场的行为。
维基百科虽然是全球流量第六大的网站,但在中国却经常遭到当局封锁,敏感字眼例如刘晓波、艾未未、六四等都被屏障,但卫詹美表示,网上没有刘晓波的名字,不代表中国网民不知道他的存在。卫詹美认为,中国是需要互联网的,尽管当局对一些网站进行封锁,但他仍对中国互联网的前景显得乐观,指中共政府很快会知道,只有自由讨论才可保持社会稳定,“互联网会战胜审查”。
对有关外界认为大陆的百度百科涉嫌抄袭维基从而能够在短时间崛起,卫詹美首次明白的批评百度百科的做法,认为这是“不OK”的。他告诉苹果日报记者,他个人的感觉是(百度百科)违反了人权,“对我来说,并不OK。”他认为,中国无非想达到两个目的,“一是控制人民和政治资讯,二是保护主义”,妨碍自由竞争。不过,他说,“中国人是很聪明的,懂得分辨资讯的真假,在搜寻文章和资料时,大家亦会看文章的参考内源和可靠性……百度就是百度,维基就是维基”。
卫詹美在大会上同时又探讨发展一个严肃媒体的可行性,因为他认为新闻事业目前正处于本世纪一个很大的改革机会,“我们活在一个人人都可以爆料的时代,因此是一个严肃的时代,也是需要一个严肃的媒体的时代”。
他相信维基媒体可以做到这个工作,“我们不会像八卦传媒那般的唠唠叼叼,直接就道出事实的真相”。
来自北京出席会议的一名维基人Filip表示,中共政府封锁网页情况严重,国家主席习近平上场后不见得有改善,如无法在维基百科搜寻达赖喇嘛;来自河北的Leo批评,中国“山寨”百科网站为所欲为,在维基发布资讯,迅速会被山寨版抄足,反映中国人公民意识甚低。
http://www.bannedbook.org/ Email订阅禁闻 阿波罗网来源: 法广
原文地址:http://www.bannedbook.org/bnews/fanqiang/20130811/162279.html
中共网络防火墙何时倒塌?
华盛顿—中共中央总书记习近平在关于《中共中央关于全面深化改革若干重大问题的决定》的说明中称,“随着互联网媒体属性越来越强,网上媒体管理和产业管理远远跟不上形势发展变化。特别是面对传播快、
影响大、覆盖广、社会动员能力强的微客、微信等社交网络和即时通信工具用户的快速增长,如何加强网络法制建设和舆论引导,确保网络信息传播秩序和国家安
全、社会稳定,已经成为摆在我们面前的现实突出问题。”
观察人士认为,习近平的这番话预示中国将进一步收紧互联网控制。
不过,互联网发明者伯纳斯•李在接受路透社采访时表示,“柏林墙倒塌了,中国的防火墙我认为也会倒塌。我的希望是,一点一点,静悄悄地,一个网站一个网站,将开始放松。”
伯纳斯•李创办的互联网基金会11月22号星期五发表了一个81国排名表,全面衡量在这些国家中,互联网在多大程度上促进了正面的社会和政治变化。中国在81个国家中排名第57。
伯纳斯•李说,“一个国家如果准许全面开放网络,这个国家就会有活力,在经济上也将是一个强壮的国家。”他希望中共政府明白,防火墙不符合他们的利益。
此前,11月20号星期三,谷歌总裁施密特在约翰•霍普金斯大学的一次学术会议上预言,先进的网络技术有望在10年内使全球的网络审查终结。施密特说,对付网络监督的办法就是对网络系统进行加密,更先进的网络加密可以帮助民众战胜政府的监管。
另外,一家促进网络信息自由的网站“中国的网络审查”日前发表声明,宣称他们找到了一个新的办法,可以不必使用翻墙软件就浏览被中共政府屏蔽的网站。声明 说,突破中国防火墙的关键是为被屏蔽网站设立镜像网站,让中国防火墙不敢轻易下手,除非它愿意封锁大量正常网站,并造成相当大的经济损失。
观察人士认为,习近平的这番话预示中国将进一步收紧互联网控制。
不过,互联网发明者伯纳斯•李在接受路透社采访时表示,“柏林墙倒塌了,中国的防火墙我认为也会倒塌。我的希望是,一点一点,静悄悄地,一个网站一个网站,将开始放松。”
伯纳斯•李创办的互联网基金会11月22号星期五发表了一个81国排名表,全面衡量在这些国家中,互联网在多大程度上促进了正面的社会和政治变化。中国在81个国家中排名第57。
伯纳斯•李说,“一个国家如果准许全面开放网络,这个国家就会有活力,在经济上也将是一个强壮的国家。”他希望中共政府明白,防火墙不符合他们的利益。
此前,11月20号星期三,谷歌总裁施密特在约翰•霍普金斯大学的一次学术会议上预言,先进的网络技术有望在10年内使全球的网络审查终结。施密特说,对付网络监督的办法就是对网络系统进行加密,更先进的网络加密可以帮助民众战胜政府的监管。
另外,一家促进网络信息自由的网站“中国的网络审查”日前发表声明,宣称他们找到了一个新的办法,可以不必使用翻墙软件就浏览被中共政府屏蔽的网站。声明 说,突破中国防火墙的关键是为被屏蔽网站设立镜像网站,让中国防火墙不敢轻易下手,除非它愿意封锁大量正常网站,并造成相当大的经济损失。
阿波罗网责任编辑:zhongkang 来源:美国之音
任重:互联网封不住 中共为何还要封?
拆除中共网络防火墙就像当年拆除柏林墙一样势不可挡。(Getty
Images)11月22日BBC刊登了《互联网之父:中国最终会拆除防火墙》一文,称互联网发明者蒂姆•伯纳斯•李爵士相信,中共当局最终会自己取消针
对中国网民的“防火墙”,因为这样做将促进中国经济。他还说“柏林墙倒塌了,中国的防火墙,我认为也会倒塌。我的希望是,一点一点,静悄悄地,一个网站一
个网站,(防火墙)将开始放松。”
前一天,即21日BBC还刊登了《谷歌总裁:十年内将战胜网络审查》的文章,称谷歌总裁埃里克•施密特大胆预言,先进的网络技术有望在10年内使全球的网络审查终结。施密特说,对付政府网络监督的办法就是对网络系统进行加密。互联网发明人蒂姆•伯纳斯•李和谷歌总裁埃里克•施密特这两个互联网大腕,同时针对中国大陆等国家的网络封锁问题发表权威性见解,让人们再一次看到,中共对网络封锁的愚蠢可笑,拆除中共网络防火墙就像当年拆除柏林墙一样势不可挡。
那么,难道中共真的就看不到这个趋势吗?如果中共知道防火墙不防火,为什么还要投巨资坚持围墙呢?
这不得不从中共的斗争哲学说起。中共宣扬“人定胜天”,毛贼则大肆宣传“与天斗其乐无穷,与地斗其乐无穷,与人斗其乐无穷”。那么中共的斗争结果如何呢?
让我们先来看看,由江泽民李鹏办成的“铁案”长江三峡水利枢纽工程,耗费巨资不说,使150多万当地移民陷入无土地、无工作、无前途的“三无”境地,工程质量如同奶酪一般不堪一击。自从三峡大坝开建以来,长江中下游连年出现反常气候,地震、大旱、水灾等灾难接踵而至,尤其是崩岸明显增加。不仅中共宣传的三峡工程防洪、抗旱、发电、航运、环保等效益没有真正实现,相反却因此引发了各种用途之间的矛盾、移民、生态环境破坏等诸多问题,使三峡工程变成一个越快炸掉越好的大祸害。
中共哪里懂得借鉴我们祖先大禹留下治水的宝贵经验呢?大禹总结了其父亲用堵截办法治水失败的教训,以疏导河川治水为主导,用水利向低处流的自然趋势,疏通了九河,把平地的积水导入江河,再引入海洋。消除中原洪水泛滥的灾祸。
中共不仅与天地斗,在处理百姓生育和上访的等诸多问题上也是一样的斗争哲学。按说人生不生孩子,生几个孩子是属于个人私事范畴,也就是最基本的人 权。中共完全可以采取鼓励或奖励少生的人,同时采取最简单有效的减少人口的办法,即提高全民受教育水平,尤其是提高妇女的文化程度。因为世界各国的事实就 是,受教育程度越高,人们生育孩子的数量越少,有关这方面的数字不仅联合国有,其实中共自己也有一套数字。
再说上访,正常情况下,有谁愿意放着家里老婆孩子热炕头的好日子不过,而偏要长途跋涉的进京上访呢?可以想像,人若不被逼迫到一定的程度,不冤屈到 了极点是不会冒着被抓、被关、被勒索钱财,甚至被失踪,甚至是失去生命的危险而进京上访的。中共对上访者的做法,是不管不问百姓为什么上访,不管不问中共 地方官员是如何欺压百姓的,只是采取你死我活的斗争哲学,强硬的抓、遣返、关黑监狱及判刑等等。
这就不难理解中共为什么明知网络不可能完全被封锁,却强行而为之的道理了。中共对网络的封锁,就像中共强行建设三峡工程,强行对妇女堕胎和对“超 生”家庭横镇暴敛,以及强行遣返、迫害上访者一样,最终要付出更加沉重的代价。所不同的是,互联网是中共斩不尽杀不绝梦魇,因为互联网的上游技术是中共始 终所不能掌握和控制的。
更让中共胆寒的是,越来越多的仁人志士加入到抵制中共网络封锁的行动中来。根据美国国会参议院15号公布的报告显示,由法轮功学员研发的自由门和无界网络是目前最有效的翻墙软件。同时也是在大陆最受欢迎,使用人数最多的软件,尤其在知识份子和年轻人当中享有很高知名度。
正如施密特说:“首先,他们试图封锁你;然后,他们试图渗透你;但最终,你却取得了胜利。”施密特还说,这其实就是政府和互联网用户之间一场猫捉老鼠的游戏。魔高一尺,道高一丈。这场游戏的最终胜利者将是亿万网民。
没错,习惯了与天斗、与地斗与人斗取乐的中共,最后将斗败在互联网脚下。大陆网民终将和其他民主国家的百姓一样,在拥有自由的空气和自由的水的同时,也拥有自由的网络,这一天终究会到来的。
阿波罗网责任编辑:zhongkang 来源:DJY
转:猜想祖国的伟大的围墙的原理
防民之口,甚于防川。
引用自百度百科的对于“防民之口,甚于防川”的启示:
景德镇的国域网
景德镇的国域网对外的出口线路不多,只要在这些出口处架设好强大的过滤器,便可以保障国民思想安全性。这样过滤不会太麻烦,因为出口就这么几个,派兵守住就好。
在网络课上,刘孜文老师给我们讲了一个他的经历,我大致复述一下(语文很差,希望不会扭曲原意):
老师的一个同学在收到领导指示,要弄一个省级的防火墙,这样可以方便警察叔叔将一些骗子网站、黄色网站过滤掉。于是他的同学开始鸭梨巨大了,因为一个省的对外的线路有很多很多条,很难在每一条出口安上防火墙,因为线路太多了。
这个例子说明,一个国家级的要比一个省级的围墙容易得多,原因是关口少,不像省与省之间的线路四通八达。
那么我们知道了在国域网对外的出口处有各种Cisco等强大的怪兽守住,我们来探讨一下这些怪兽的机制。
工作机制
在普遍的看法,我们伟大的围墙工作机制主要包括IP黑名单、内容过滤和DNS劫持。
IP黑名单
怪兽手里肯定把握着一份黑名单,上面写着Facebook、twitter、youtube等的ip地址,一旦发现镇民发往黑名单中地址的请求数据包,就直接无情地丢弃,当镇民等到花儿都谢了都没有收到服务器发回的包,他便生了一种叫超时的病而放弃了。
温总理曾说过:中国财富再多,除以13亿人,就少得可怜了;中国问题再小,乘以13亿人,也就很大了。
一个秒钟一个请求*13亿,就是一个很大的请求了。请问怪兽如何可以高速地在IP黑名单中查询这个ip在不在呢?
对于ipv4,每个ip地址32位,可以看作32位无符号整形。也就是2^32个ip地址。黑名单应该也不小,怎么也有几千几万几十万吧。那么怪兽怎么处理呢?
怪兽如果很2B的话,它会拿着收到数据包的ip一个一个地和黑名单中的ip比较,如果在黑名单里面就将其丢弃,不在那就放过它。这样怪兽花的时间是O(n),n为黑名单的大小。
怪兽智商稍微高一点的话,它会将黑名单中的排好序,然后使用伟大的二分查找法术,就可以花O(log(n))的时间判断那个ip在不在黑名单里面。
怪事如果智商不错的话,它会构建一个4G个单位的哈希表blacklist,然后直接将ip作为索引,初始化哈希表 blacklist,blacklist[ip] = 1, if ip in ip_blacklist,这样,在一个请求过来的时候,怪兽只需要花费O(1)的时间就可以知道ip在不在黑名单里面。
对于一个4G个单位的ip黑名单hash table,我们可以一个bit来表示一个ip是不是属于特殊对待ip。于是我们的ip hash table大小为:
我们来看一段代码,描述了高效判断是否在黑名单的方法。
当然可能还有更好的方法,请赐教~
内容过滤
曾经在一个人博客看到程序员的工作环境怎样为好,里面有一句让我影响无比深刻“访问Google的服务没有障碍”。这个真滴非常重要呀,虽然现在Google的https可以用了,不过好慢好慢,受不了啊。
像我们如果在Google搜索某些关键词后,我们从Google打开了某些网址后,不仅那些网站访问不了,而且Google就会被怪兽吃了。
Google不作恶啊,为什么要对Google那么狠……
例如我们在Google中搜索
翻墙
然后就会发现Google被吃了。
怪兽做了什么?
怪兽首先伪造Google的ip发了许多RST包给镇民的浏览器,然后怪兽也可能伪造镇民的ip发了很多RST给Google,挑拨离间,最后镇民和Google在经过一段努力后发现还是无法沟通就不再继续通信了。
怪兽应该对http包进行了扫描,看看有没有什么敏感词,有的话就伪装成对方开始卑鄙地发送RST,来挑拨离间最终实现断开连接。
DNS劫持
有一部分怪兽应该会专门负责污染国内DNS服务器的缓存,导致我们解析到了错误的ip。有一部分怪兽会篡改国外DNS发回的响应,导致镇民获得了错误的ip。
结言
防民之口,甚于防川。过度地压制景德镇的镇民似乎并不太好,希望未来的祖国会更加开放、更加发达。
天朝威武~
转载自:http://everet.org/2012/05/gfw.html
引用自百度百科的对于“防民之口,甚于防川”的启示:
中国历史上有很多统治者荒淫无道,但他们又怕人民议论,就采取了压制社会言论的措施,以为可以高枕无忧、平安无 事。实际上这是最愚蠢的作法,它 不仅使下情无法上达,错误的政策得不到纠正,加剧社会矛盾。更可怕的在于虽然民众口上不说,但心里却充满了仇恨,只要社会矛盾到达临界点,大规模的暴乱必 然爆发,给社会生产力造成极大破坏。正可谓“防民之口,甚于防川。”中国人是世界上最能忍受暴政的民族,但也是爆发起义最多的国家。无逻辑的舆论的控制,究竟会引发什么后果呢?或许多年后答案便自己浮现。
* 本文原文链接:转:猜想祖国的伟大的围墙的原理 - 美博园 *
暂且不谈论我们伟大的围墙的对于人民生活的影响,我们来看看它的技术方面的实现。景德镇的国域网
景德镇的国域网对外的出口线路不多,只要在这些出口处架设好强大的过滤器,便可以保障国民思想安全性。这样过滤不会太麻烦,因为出口就这么几个,派兵守住就好。
在网络课上,刘孜文老师给我们讲了一个他的经历,我大致复述一下(语文很差,希望不会扭曲原意):
老师的一个同学在收到领导指示,要弄一个省级的防火墙,这样可以方便警察叔叔将一些骗子网站、黄色网站过滤掉。于是他的同学开始鸭梨巨大了,因为一个省的对外的线路有很多很多条,很难在每一条出口安上防火墙,因为线路太多了。
这个例子说明,一个国家级的要比一个省级的围墙容易得多,原因是关口少,不像省与省之间的线路四通八达。
那么我们知道了在国域网对外的出口处有各种Cisco等强大的怪兽守住,我们来探讨一下这些怪兽的机制。
工作机制
在普遍的看法,我们伟大的围墙工作机制主要包括IP黑名单、内容过滤和DNS劫持。
IP黑名单
怪兽手里肯定把握着一份黑名单,上面写着Facebook、twitter、youtube等的ip地址,一旦发现镇民发往黑名单中地址的请求数据包,就直接无情地丢弃,当镇民等到花儿都谢了都没有收到服务器发回的包,他便生了一种叫超时的病而放弃了。
温总理曾说过:中国财富再多,除以13亿人,就少得可怜了;中国问题再小,乘以13亿人,也就很大了。
一个秒钟一个请求*13亿,就是一个很大的请求了。请问怪兽如何可以高速地在IP黑名单中查询这个ip在不在呢?
对于ipv4,每个ip地址32位,可以看作32位无符号整形。也就是2^32个ip地址。黑名单应该也不小,怎么也有几千几万几十万吧。那么怪兽怎么处理呢?
怪兽如果很2B的话,它会拿着收到数据包的ip一个一个地和黑名单中的ip比较,如果在黑名单里面就将其丢弃,不在那就放过它。这样怪兽花的时间是O(n),n为黑名单的大小。
怪兽智商稍微高一点的话,它会将黑名单中的排好序,然后使用伟大的二分查找法术,就可以花O(log(n))的时间判断那个ip在不在黑名单里面。
怪事如果智商不错的话,它会构建一个4G个单位的哈希表blacklist,然后直接将ip作为索引,初始化哈希表 blacklist,blacklist[ip] = 1, if ip in ip_blacklist,这样,在一个请求过来的时候,怪兽只需要花费O(1)的时间就可以知道ip在不在黑名单里面。
对于一个4G个单位的ip黑名单hash table,我们可以一个bit来表示一个ip是不是属于特殊对待ip。于是我们的ip hash table大小为:
4G bit = 4 / 8 G Byte = 0.5 GB = 512 MB怪兽只需要有512MB的空闲内存就可以构建这么一个hash表,然后无论是多线程模式的还是多进程模式的设计都可以共享这块放hash表的内存, 中途如果有新增或者取消话都可以直接更新hash表,当然可能会因为有缓存而导致不一致,但是在这个大环境下也不一那么较真,让正确率100%,所以连锁 都可以不用加,这样怪兽的负担会轻很多。不过bitmap在IPv6下是不那么实际的,因为使用内存会非常巨大,2^128bit,会消耗 39614081257132168796771975168GB的内存来放bitmap。可能这也是怪兽没有对ipv6下手的原因。
我们来看一段代码,描述了高效判断是否在黑名单的方法。
#include <string.h>
#include <stdlib.h>
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#define BITSPERWORD 32
#define SHIFT 5 // 2 ^ 5 = 32
#define MASK 0x1F // 0x1F = (11111)b
#define SET(a, i) ((a)[(i)>>SHIFT] |= (1<<((i) & MASK)))
#define CLR(a, i) ((a)[(i)>>SHIFT] &= ~(1<<((i) & MASK)))
#define TEST(a, i) ((a)[(i)>>SHIFT] & (1<<((i) & MASK)))
inline void test_block(int* blacklist, char* ip)
{
if (TEST(blacklist, inet_addr(ip)))
printf("%s is blocked.\n", ip);
else
printf("%s is pass.\n", ip);
}
int main(int argc, char *argv[])
{
const unsigned long long N = 4294967295;
const unsigned int SIZE = N / BITSPERWORD + 1;
int* blacklist = (int*)malloc(SIZE * sizeof(int));
memset(blacklist, SIZE, 0xff);
SET(blacklist, inet_addr("243.185.187.39"));
SET(blacklist, inet_addr("8.8.4.4"));
SET(blacklist, inet_addr("202.84.125.66"));
SET(blacklist, inet_addr("222.221.31.55"));
SET(blacklist, inet_addr("183.182.44.111"));
SET(blacklist, inet_addr("255.255.255.156"));
test_block(blacklist, "8.8.4.4");
test_block(blacklist, "222.222.222.222");
test_block(blacklist, "202.84.125.66");
test_block(blacklist, "88.54.32.156");
test_block(blacklist, "255.255.255.156");
free(blacklist);
return 0;
}
当然可能还有更好的方法,请赐教~
内容过滤
曾经在一个人博客看到程序员的工作环境怎样为好,里面有一句让我影响无比深刻“访问Google的服务没有障碍”。这个真滴非常重要呀,虽然现在Google的https可以用了,不过好慢好慢,受不了啊。
像我们如果在Google搜索某些关键词后,我们从Google打开了某些网址后,不仅那些网站访问不了,而且Google就会被怪兽吃了。
Google不作恶啊,为什么要对Google那么狠……
例如我们在Google中搜索
翻墙
然后就会发现Google被吃了。
怪兽做了什么?
怪兽首先伪造Google的ip发了许多RST包给镇民的浏览器,然后怪兽也可能伪造镇民的ip发了很多RST给Google,挑拨离间,最后镇民和Google在经过一段努力后发现还是无法沟通就不再继续通信了。
怪兽应该对http包进行了扫描,看看有没有什么敏感词,有的话就伪装成对方开始卑鄙地发送RST,来挑拨离间最终实现断开连接。
DNS劫持
有一部分怪兽应该会专门负责污染国内DNS服务器的缓存,导致我们解析到了错误的ip。有一部分怪兽会篡改国外DNS发回的响应,导致镇民获得了错误的ip。
结言
防民之口,甚于防川。过度地压制景德镇的镇民似乎并不太好,希望未来的祖国会更加开放、更加发达。
天朝威武~
电子书(pdf+doc+txt+htm):《中国互联网监控被用来迫害法轮功修炼者的调查报告》--翻墙花园
《中国互联网监控被用来迫害法轮功修炼者的调查报告》电子书简介
在过去一年,金盾工程的基础工作已经完成,中国的保安机器开始向西方企业购买一些非常复杂的监视技术。最终目标是将一个巨大的联机数据库与及一个围绕各方面的监视网络综合--- 引入言语和面貌识别、闭路电视、智能卡、信用记录和互联网监视技术。—— 加拿大国际人权和民主发展中心,,2001 年10 月
金盾工程前期耗资8 亿美元,折合人民币64 亿。
——中国中央电视四台,2002 年
在中国因网上发表异议或交换信息而被捕、遭禁的人数激增,仅仅在2003 年一年中,被捕的人数就比往年急剧增加了60%。目前中国至少有54 人因为在网上发电子邮件,建立网站或者交换法轮功信息而受到囚禁。
——大赦国际,2004 年1 月28 日
从1999 年7 月到2004 年4 月期间,不完全统计有108 名法轮功学员由于上网而被监禁、劳教,三名法轮功学员被迫害致死。李长军, 法轮功学员,1968 年出生,华中理工大学硕士研究生毕业,原北武汉地税局职员,2001 年5 月16 日李长军在武汉与其他法轮功学员在一起从网络下载和制做法轮功资料被警察非法抓走(一同被抓的还有六名法轮功学员,这七人均至少是研究生学位),经过40 多天的摧残和折磨,李长军于6 月27 日晚10 点零8 分离开了人间。其亲人见到的遗体骨瘦如柴,双脸青紫,脖子紫黑,双拳紧握,牙齿变形,相貌变形,后背像烫熟了一样,惨不忍睹。陈秋兰, 法轮功学员,黑龙江省大庆人,2001 年7 月因在网络张贴法轮功材料而被捕,2001 年8 月14 日在东北黑龙江省大庆一所拘留中心被迫害致死,死时仅47 岁。白秀华,黑龙江省阿城市法轮功学员,原为阿城市哈尔滨建成分厂派出所户籍员。由于学习上互联网准备作法轮功资料, 于2002 年7 月份被警察再次抓至哈尔滨市公安七处,押在第二看守所,后被送往哈市万家劳教所。白秀华于2002 年8 月28 日被迫害致死,遗体火化后才通知家人。
——追查迫害法轮功国际组织,2004 年5 月
“空气是自由的,水是自由的,为什么网络不能是自由的??”
“今天我又收到了你的软件,非常感谢你的技术开发,你我们提供了一丝‘清新的空气’,在高压的形势下,人们接近窒息,我们是多么需要你们的帮助啊!”
——中国大陆网民在突破网络封锁的网站“花园网”上的留言
中国互联网监控被用来迫害法轮功修炼者的调查报告 |
电子书目录
1.“金盾”工程背景2.江绵恒介入金盾工程、策划全国监控系统
3.网络监控的违法性和网络封锁对知情权的剥夺
4.金盾工程的其他主要参与者
5.庞大的公安和国安网络监控系统和数十万的网络警察
6.五花八门的封锁和监控技术—— 上网必须使用身份证“真善忍”“法轮大法”聊天室被禁
7.江绵恒是研制非法“过滤、监控”技术后的主要责任人
8.在中国被封锁的知名网站一览表
电子书下载地址
谷歌Docs在线观看(pdf)https://docs.google.com/file/d/0B_CFdY2AQ9P1VHFhMmg2Qll3alE/edit?usp=sharing
谷歌Docs在线观看(txt)
https://docs.google.com/file/d/0B_CFdY2AQ9P1cngzbkk1VkF1c0U/edit?usp=sharing
Dropbox网盘,pdf+doc+txt+htm网页格式,打包下载:(466.58 KB)
https://www.dropbox.com/s/acoxdm12m7h1b2m/中国互联网监控被用来迫害法轮功修炼者的调查报告.rar
本文地址:http://fanqianghuayuan.blogspot.com/2013/06/ebook-gfw-falungong-report.html
电子书(pdf+doc+txt+htm):揭开中国网络监控机制的内幕--翻墙花园
《揭开中国网络监控机制的内幕》简介
作者:陶西喆(“记者无国界组织”、“维权网”协助编辑、翻译、发行)
中国政府为了维护其集权统治,牢牢地控制着传统三大媒体(报刊、电视、广播),导致普通民众没有自由发表言论的场所。而网络的出现,使普通大众终于有了结束这种禁制的工具和机会。
2007年7月18日,中国互联网络信息中心(CNNIC)发布了《第20次中国互联网络发展状况统计报告》。报告显示,截止到2007年6月30日,中 国网民总人数达到1.62亿,半年来平均每分钟新增近100个网民,互联网普及率也达到了12.3%;我国网站数量达到131万个网民。
起初,网络只是以传统媒体的电子版形式出现,但网民可以在文章后面发表简短的评论性言论。1999年BBS的出现,网民开始“以事件为中心”进行讨论,发 表自己或长或短的言论。如1999年北约军队轰炸中国驻南斯拉夫大使馆事件就吸引了许多网民的参与。2002年BLOG(博客)在中国的出现,网络开始从 “以事件为中心”
变成了“以人为中心”,网民在网络上终于拥有了自己的“一亩三分地”。博客受到热烈追捧,2005年出现“博客热”,以至于任何一家“像样”的网站都有自 己的博客,标志中国进入第二代互联网时代。在中国互联网络信息中心(CNNIC)2005年6月份开始的的第十六次网上调查问卷中,首次将博客 (BLOG,网络日志)列入用户“常使用的网络服务”项目之一,在7月21日发布的《中国互联网络发展状况统计报告》(7/2005)显示,将博客列为经 常使用的网络服务的用户比例为10.5%。2005年7月7日,社科院副研究员郭良发布《05年中国5城市互联网使用现状及影响调查报告》,其中有一项相 关数据表明,“有29%的网民开始使用博客”。 到2007年4月,仅新浪网一家的博客注册用户就已突破400万。估计全国的博客注册用户已超过1500万。
在中国,由于媒体牢牢地控制在官方手里,只允许“党的宣传机器”存在,不允许独立的民营媒体存在。而且,媒体也不允许外资进入。而网络的出现,对这一状况 产生了一定改变,大多数网络是民营媒体,大的网络媒体甚至是海外上市公司,如中国著名的三大门户网站腾讯、新浪、网易,分别在香港与美国纳斯达克上市。需 要指出的是,在中国虽然大多数网络是民营媒体,但仍然不是独立媒体,不能独立于中国官方而存在,中国政府通过其所掌控的政治权力与国家机器对媒体包括网络 实行严格的控制,特别拨出巨款建造所谓的“金盾工程”来进行网络封锁,而网络只能在中国政府的控制下,以“自阉”与“被阉”的方式存在。中国是世界上为网 络封锁投入资金最多, 监控最严厉的国家。中国政府动用大量人力物力封锁,监控网上关于人权、自由、民主的言论以及信仰自由的信息,对互联网实施严密监控。
中国的网络监控制度目前是世界上最严厉的网络控制制度。 但是网民们已经开始使用宪法和法律中关于保障人权与公民基本自由的条款为武器,奋起维权,一点一点地扩展网民的言论表达和信息自由空间。比如像贺卫方、浦 志强、萧翰、许志永致书新浪博客,要求新浪博客公开解释删贴的理由。 也有网民尝试通过法律手段突破禁制。中国政府为了加强对互联网的控制,先后出台了等行政法规,对网络媒体尤其是民办网络媒体严加限制,动辄给予处罚、查禁 甚至取缔。但民办网络媒体和广大网民决不会听之任之、任其宰割,他们已经要求有关部门审查这些法规的违宪性。许多网民投入揭露网络控制的真实面目,呼吁国 际社会广泛关注,对中国政府施加压力,迫使其收敛明目张胆的封网行径。如“世纪中国”、“爱琴海网”被关闭或查封后,中国知识界与广大网民曾共同发出强大 的抗议声浪,使得其在国际上的形象受到很大挫伤。
这份报告就中国网络控制的内在监控机制做了详尽的研究。撰写本报告的作者陶西喆先生(化名)是一位中国网络技术专家。本报告的焦点是中国政府行政部门-- 新闻办系统--如何控制网络的操作机制以及网民的对策, 同时也 涉及到一些关于中国"网络警察 "的操作情况。中国是世界上唯一拥有数万" 网络检察员"与" 网络警察"的国家。 几年前, 中国各地省、市公安系统都建立了网络监控特殊部队,但是, 由于这个系统的工作仍然被视为国家机密, 无人知道系统内部具体的操作方式。"网络警察 " 在过去十年中逮捕了几百名网络作家和互联网异议人士。 这篇报告揭示了网监和网警行使相当大的权力, 通过行政命令迫使网络公司快速清除网络上不利当局的信息。在离奥运会开幕不到一年的时候,这份报告让人们看到中国的一个严峻现实:中国政府没有兑现其申办奥运的人权承偌,尚未解除、甚至加强了对中国网民言论表达、出版和信息自由的严厉的、系统性的压制和监控。
电子书目录
引言一、国家网络管理机构控制网络的方式
1、管理机构
2、培训网络从业人员实行自律、协助监控
3、网络管理机构与网站的沟通方式
4、网站触禁后遭受到的处罚
5、权力膨胀的北京市网管办二、通过行政指令进行日常控制
1、禁止类指令信息
2、网络炒热后禁止类指令信息
3、宣传类指令信息
三、网络商采用“关键词”禁制、协助监控
1、凤凰论坛、百度、新浪博客对网民发帖的“关键词”禁制对比
2、网民如何突破“关键词”禁制
四、中国网络控制的几大特点
五、突破网络控制
附件: 北京市网络管理办公室,在2006年5、6 两月向北京各大网站发布的“指令”信息
下载地址
(资源来自网上,版权归原作者所有)谷歌Docs在线观看(pdf格式)
https://docs.google.com/file/d/0B_CFdY2AQ9P1T0x0VUNvb1NWRm8/edit?usp=sharing
谷歌Docs在线观看(txt格式)
https://docs.google.com/file/d/0B_CFdY2AQ9P1Wjh4ajFVRWFmaWM/edit?usp=sharing
Dropbox网盘,pdf+doc+txt+htm格式打包下载地址
https://www.dropbox.com/s/vqalewwz4taiudx/揭开中国网络监控机制的内幕.zip
本文地址:http://fanqianghuayuan.blogspot.com/2013/06/ebook-wangluo-jiankong-neimu.html
巴基斯坦网民致中国网民的一封公开信--翻墙花园
转载自:美博园翻墙博客:巴基斯坦网民致中国网民的一封公开信http://allinfa.com/pakistani-internet-users-netizens-china.html
【美博园2012.12.4】
本文是最近由巴基斯坦网民致中国网民的一封公开信。文中讲述了巴基斯坦网络的现状,流氓党不仅仅对国内网络封锁,还把网络封锁输出到国外行恶,看来老天是
要尽快收拾它们了。不管怎样,网络就象空气和水一样是封锁不住的,只有愚蠢的邪恶才会干封锁网络的蠢事,总有一天那些作恶者对广大网民放下的罪恶会得到清
算。
To the Netizens of China,
致中国网民,
I am writing this letter to you on behalf of many Pakistani Internet users who are currently fighting their government’s attempt to restrict their access to information. The 20 million Internet users in Pakistan are on the brink of being monitored, filtered and possibly silenced for their views, and we fear that the government of China and Chinese spy-tech companies are aiding this human rights violations. It is distressing that Chinese companies have been named as being involved in aiding authoritarian regimes. Chinese companies like ZTE Corp and Huwaei have been accused of aiding censorship in Libya and Iran. Although it is difficult to track China’s involvement, there are no qualms about China’s censorship model being an ideal for developing countries and authoritative regimes.
我代表很多巴基斯坦网民写这封信,是因为希望你们了解我们正在与政府限制访问互联网信息的举措进行抗争。 巴基斯坦超过2000万网络用户正处于被监控、过滤和噤声的边缘。我们担心中国政府和中国的监控技术公司也帮助了这种侵犯人权的行为,所以希望你们知情和 支持。 一些中国公司,例如中兴通讯和华为公司,都有辅助官方的审查计划,在利比亚和伊朗的网络审查中也被揭参与。虽然很难追查他们的具体参与细节,但是毫无疑问 中国的审查模式已经被这些发展中国家和独裁政权所效仿。
We reach out to you to appeal for solidarity. We hope that you will stand by us and strengthen our appeal to Chinese surveillance companies and the government of China to not aid the Government in Pakistan in shrinking our space and eventually silencing our voices.
我们希望这封信能够得到你们的支援和共鸣。我们希望你们能够与我们站在一起,加强对中国企业和政府的诉求之声,不要协助巴基斯坦政府压缩我们的言论空间,甚至完全让我们消声。
For the past few years, the government has been using religion and morality as a ploy to restrict and monitor information. This is a dangerous precedent in a country marred by censorship imposed by military dictators and civilian governments. Consider how the people of Balochistan, one of our largest provinces, took to the blogosphere to report illegal abductions and extra-judicial killings by state agencies. In turn, the authorities responded by blocking access to these sites. In the absence of mainstream media coverage, the Baloch people have no other medium to voice their protest against the human rights violations taking place. As mutilated dead bodies keep turning up on roadsides, their families continue to be silenced. Moreover, the censors are rampant and irrational. For one, a website selling handmade shoes was blocked and without legal recourse, small businesses had to suffer the most.
在过去一段时间,我们的政府已经运用各种理由,包括宗教和道德借口,限制和监控信息。 在军事独裁者下的平民政府实施网络审查是一个非常糟糕的先例。 例如在最大的俾路支省,在博客空间报道了非法的绑架和国家机构法外处决的暴行后,官方马上用封杀这些博客站点来响应。 在主流媒体缺位的情况下,俾路支省的民众失去了让外界了解他们抗议人权遭受侵犯的媒介。 被杀害的人们尸陈野路,家人却投告无门。 更甚之,审查者缺少常识,粗暴无礼,连卖手工制作的鞋子的网站都加以封杀。 (相信这与中国的某些情况类似)
But how does all this relate to you? For as long as we have known, our history books have taught us that China is our friend, our ally, and is considered an ideal model to follow for development and advancement in technology. While the authorities remain enamored by China’s fast growing economic model, they have also long been eyeing the China’s system of censorship and surveillance. When rights advocates, academics, policy makers and entrepreneurs speak to the government regarding the repercussions of blanket surveillance and censorship, the government authorities point to the China example citing it as an exemplary model. We know that is not entirely true, for we have witnessed mainland Chinese netizens seeking to bypass Internet filters and protesting against blanket surveillance – a complete space rather than a filtered version provided by the state. Where we hold hands in solidarity is the increasing absurd nature of censorship: from banning the word “shoe” in Pakistan, to filtering the words … “jasmine” “river crab” “18th congress” etc. in China
但是这些是否与你们有关呢? 在很长时间,我们的历史课本上教导我们中国是我们朋友、盟友,是值得效仿的发展与进步典范。虽然我们的政府醉心于中国这种发展模式,他们也同时对中国的审 查和监控系统崇拜有加。 当这里的权利倡导者、学界、政策顾问以及企业家想政府陈述地毯式监控和审查的坏处,政府当局往往搬出中国的发展模式加以辩护。 我们知道这并非全部,因为千千万万的中国大陆网民也在寻找穿越网络过滤的努力中,也在抗议地毯式网络监控带来的压制,希望获得一个完整的言论空间,而不是 被政府意愿所左右。 我们有足够理由团结一致,在这里“鞋子“这个词被封杀,正如在中国,”茉莉花“,“河蟹”,”十八大“, 等文字被“和谐”一样。
Over the decades, our social spaces have shrunk, hubs of culture and art have been eradicated and human rights are now competing with ad hoc measures under the guise of counter-terrorism. For now the only space that allows many of us to remain anonymous or debate issues considered controversial is also shrinking.
过往几十年,我们的社会空间在萎缩,文化艺术的通路被挤压到窒息,人权保护被所谓的反恐外衣所钳制。 就连那些网络所带来的匿名讨论空间也在不断消失中。。。。
Your solidarity will help save our voice.
我相信你们的支持会最大程度地帮助我们
Best,
Sana Saleem
Bolo Bhi “Speak Up”
Netizen from Pakistan
致敬
莎娜·萨利姆
巴基斯坦网友
摘引自:http://advocacy.globalvoicesonline.org/2012/12/01/to-the-netizens-of-china-from-a-netizen-of-pakistan/
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/bajisitan-zhongguo-wangmin-gongkaixin.html
相关文章:
To the Netizens of China,
致中国网民,
I am writing this letter to you on behalf of many Pakistani Internet users who are currently fighting their government’s attempt to restrict their access to information. The 20 million Internet users in Pakistan are on the brink of being monitored, filtered and possibly silenced for their views, and we fear that the government of China and Chinese spy-tech companies are aiding this human rights violations. It is distressing that Chinese companies have been named as being involved in aiding authoritarian regimes. Chinese companies like ZTE Corp and Huwaei have been accused of aiding censorship in Libya and Iran. Although it is difficult to track China’s involvement, there are no qualms about China’s censorship model being an ideal for developing countries and authoritative regimes.
我代表很多巴基斯坦网民写这封信,是因为希望你们了解我们正在与政府限制访问互联网信息的举措进行抗争。 巴基斯坦超过2000万网络用户正处于被监控、过滤和噤声的边缘。我们担心中国政府和中国的监控技术公司也帮助了这种侵犯人权的行为,所以希望你们知情和 支持。 一些中国公司,例如中兴通讯和华为公司,都有辅助官方的审查计划,在利比亚和伊朗的网络审查中也被揭参与。虽然很难追查他们的具体参与细节,但是毫无疑问 中国的审查模式已经被这些发展中国家和独裁政权所效仿。
We reach out to you to appeal for solidarity. We hope that you will stand by us and strengthen our appeal to Chinese surveillance companies and the government of China to not aid the Government in Pakistan in shrinking our space and eventually silencing our voices.
我们希望这封信能够得到你们的支援和共鸣。我们希望你们能够与我们站在一起,加强对中国企业和政府的诉求之声,不要协助巴基斯坦政府压缩我们的言论空间,甚至完全让我们消声。
For the past few years, the government has been using religion and morality as a ploy to restrict and monitor information. This is a dangerous precedent in a country marred by censorship imposed by military dictators and civilian governments. Consider how the people of Balochistan, one of our largest provinces, took to the blogosphere to report illegal abductions and extra-judicial killings by state agencies. In turn, the authorities responded by blocking access to these sites. In the absence of mainstream media coverage, the Baloch people have no other medium to voice their protest against the human rights violations taking place. As mutilated dead bodies keep turning up on roadsides, their families continue to be silenced. Moreover, the censors are rampant and irrational. For one, a website selling handmade shoes was blocked and without legal recourse, small businesses had to suffer the most.
在过去一段时间,我们的政府已经运用各种理由,包括宗教和道德借口,限制和监控信息。 在军事独裁者下的平民政府实施网络审查是一个非常糟糕的先例。 例如在最大的俾路支省,在博客空间报道了非法的绑架和国家机构法外处决的暴行后,官方马上用封杀这些博客站点来响应。 在主流媒体缺位的情况下,俾路支省的民众失去了让外界了解他们抗议人权遭受侵犯的媒介。 被杀害的人们尸陈野路,家人却投告无门。 更甚之,审查者缺少常识,粗暴无礼,连卖手工制作的鞋子的网站都加以封杀。 (相信这与中国的某些情况类似)
But how does all this relate to you? For as long as we have known, our history books have taught us that China is our friend, our ally, and is considered an ideal model to follow for development and advancement in technology. While the authorities remain enamored by China’s fast growing economic model, they have also long been eyeing the China’s system of censorship and surveillance. When rights advocates, academics, policy makers and entrepreneurs speak to the government regarding the repercussions of blanket surveillance and censorship, the government authorities point to the China example citing it as an exemplary model. We know that is not entirely true, for we have witnessed mainland Chinese netizens seeking to bypass Internet filters and protesting against blanket surveillance – a complete space rather than a filtered version provided by the state. Where we hold hands in solidarity is the increasing absurd nature of censorship: from banning the word “shoe” in Pakistan, to filtering the words … “jasmine” “river crab” “18th congress” etc. in China
但是这些是否与你们有关呢? 在很长时间,我们的历史课本上教导我们中国是我们朋友、盟友,是值得效仿的发展与进步典范。虽然我们的政府醉心于中国这种发展模式,他们也同时对中国的审 查和监控系统崇拜有加。 当这里的权利倡导者、学界、政策顾问以及企业家想政府陈述地毯式监控和审查的坏处,政府当局往往搬出中国的发展模式加以辩护。 我们知道这并非全部,因为千千万万的中国大陆网民也在寻找穿越网络过滤的努力中,也在抗议地毯式网络监控带来的压制,希望获得一个完整的言论空间,而不是 被政府意愿所左右。 我们有足够理由团结一致,在这里“鞋子“这个词被封杀,正如在中国,”茉莉花“,“河蟹”,”十八大“, 等文字被“和谐”一样。
Over the decades, our social spaces have shrunk, hubs of culture and art have been eradicated and human rights are now competing with ad hoc measures under the guise of counter-terrorism. For now the only space that allows many of us to remain anonymous or debate issues considered controversial is also shrinking.
过往几十年,我们的社会空间在萎缩,文化艺术的通路被挤压到窒息,人权保护被所谓的反恐外衣所钳制。 就连那些网络所带来的匿名讨论空间也在不断消失中。。。。
Your solidarity will help save our voice.
我相信你们的支持会最大程度地帮助我们
Best,
Sana Saleem
Bolo Bhi “Speak Up”
Netizen from Pakistan
致敬
莎娜·萨利姆
巴基斯坦网友
摘引自:http://advocacy.globalvoicesonline.org/2012/12/01/to-the-netizens-of-china-from-a-netizen-of-pakistan/
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/bajisitan-zhongguo-wangmin-gongkaixin.html
相关文章:
Skype源码被泄露(附下载地址)--翻墙花园
转载自:美博园翻墙博客:Skype源码被泄露(附下载地址)http://allinfa.com/skype-source-leaked.html
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/skype-source-code-download.html
相关文章:
【美博园2012
年8月21日】Skype是十分流行的网络即时语音沟通工具,特别是在国外。具备IM所需的全面功能,视频聊天、语音会议、多人聊天、传送文件、文字聊天
应有尽有,可以免费高清晰与其他用户语音对话,也可以拨打国内国际电话,无论固定电话、手机、小灵通均可直接拨打,并且可以实现呼叫转移、短信发送等功
能,话费也相当的低廉。
2011年5月11日,微软宣布以85亿美元收购Skype。
之后,skype的信誉却因为后门问题其安全性不断受到质疑。在中国的TOM-Skype最先被发现有后门,之后国际版的Skype也不断有人揭示一些安全问题。
被泄露出来的skype源码下载地址:
注:下面是磁力链下载地址,可用uTorrent下载。
additional details(补充资料可以查看):
http://skype-open-source.blogspot.ch/
skypeopensource@conference.jabber.ru
Skype1.4_binaries
下载页面:http://thepiratebay.se/torrent/6442887
磁力链下载地址:
SkypeKit_sdk+runtimes_370_412.zip
skypekit binaries for Windows and x86_Linux + SDK
下载页面:http://thepiratebay.se/torrent/7190651/
磁力链下载地址:
skype55_59_deobfuscated_binaries (Windows)
下载页面:http://thepiratebay.se/torrent/7238404/
磁力链下载地址:
原文参考:
http://skype-open-source.blogspot.ch/
http://www.pentestit.com/skype-source-code/
------------------------------------------------------
美博园评注:skype源码被披露,这是一把双刃剑,就看各位高手怎么利用了。对于海外一些敏感人士,在skype不断爆出安全隐患的情况下,如果在使用skype使用上丝毫没有引起重视,即使是自己无关紧要,也可能会对他人造成本可以避免的损失。
2011年5月11日,微软宣布以85亿美元收购Skype。
之后,skype的信誉却因为后门问题其安全性不断受到质疑。在中国的TOM-Skype最先被发现有后门,之后国际版的Skype也不断有人揭示一些安全问题。
据国外媒体2012年7月17日最新消息,skype源码在网上被公布,黑客声明:Skype被微软收购后一改之前保护隐私的态度,在产品中加入了后门,从而决定将源代码泄露出来:
AFTER MICROSOFT ACQUIRING SKYPE FOR 8.5 BILLION DOLLARS AND PROCEEDING
TO ADD BACK DOORS FOR GOVERNMENT TO THE PROGRAM, THE SOFTWARE HAS BEEN
HACKED AND IT’S SOURCE CODE RELEASED
被泄露出来的skype源码下载地址:
注:下面是磁力链下载地址,可用uTorrent下载。
additional details(补充资料可以查看):
http://skype-open-source.blogspot.ch/
skypeopensource@conference.jabber.ru
Skype1.4_binaries
下载页面:http://thepiratebay.se/torrent/6442887
磁力链下载地址:
magnet:?xt=urn:btih:4d93c83f807d8b88a4ba4108730caf3e7d6209fb&dn=Skype+protocol+reverse+engineered%2C+source+available+for+download&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.publicbt.com%3A80&tr=udp%3A%2F%2Ftracker.istole.it%3A6969&tr=udp%3A%2F%2Ftracker.ccc.de%3A80
SkypeKit_sdk+runtimes_370_412.zip
skypekit binaries for Windows and x86_Linux + SDK
下载页面:http://thepiratebay.se/torrent/7190651/
磁力链下载地址:
magnet:?xt=urn:btih:3da068082f6ec70be379d4046e4c77bc4578f751&dn=SkypeKit_sdk%2Bruntimes_370_412.zip&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.publicbt.com%3A80&tr=udp%3A%2F%2Ftracker.istole.it%3A6969&tr=udp%3A%2F%2Ftracker.ccc.de%3A80
skype55_59_deobfuscated_binaries (Windows)
下载页面:http://thepiratebay.se/torrent/7238404/
磁力链下载地址:
magnet:?xt=urn:btih:2a93d303ce538a1f5894f93086255837ccc3eeff&dn=skype55_59_deobfuscated_binaries&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.publicbt.com%3A80&tr=udp%3A%2F%2Ftracker.istole.it%3A6969&tr=udp%3A%2F%2Ftracker.ccc.de%3A80
原文参考:
http://skype-open-source.blogspot.ch/
http://www.pentestit.com/skype-source-code/
------------------------------------------------------
美博园评注:skype源码被披露,这是一把双刃剑,就看各位高手怎么利用了。对于海外一些敏感人士,在skype不断爆出安全隐患的情况下,如果在使用skype使用上丝毫没有引起重视,即使是自己无关紧要,也可能会对他人造成本可以避免的损失。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/skype-source-code-download.html
相关文章:
GFW技术分析篇:猜想祖国的伟大的围墙的原理--翻墙花园
转载自美博园翻墙,原文地址:美博园:猜想祖国的伟大的围墙的原理 http://allinfa.com/guess-gfw-principle.html
防民之口,甚于防川。
引用自百度百科的对于“防民之口,甚于防川”的启示:
暂且不谈论我们伟大的围墙的对于人民生活的影响,我们来看看它的技术方面的实现。
景德镇的国域网
景德镇的国域网对外的出口线路不多,只要在这些出口处架设好强大的过滤器,便可以保障国民思想安全性。这样过滤不会太麻烦,因为出口就这么几个,派兵守住就好。
在网络课上,刘孜文老师给我们讲了一个他的经历,我大致复述一下(语文很差,希望不会扭曲原意):
老师的一个同学在收到领导指示,要弄一个省级的防火墙,这样可以方便警察叔叔将一些骗子网站、黄色网站过滤掉。于是他的同学开始鸭梨巨大了,因为一个省的对外的线路有很多很多条,很难在每一条出口安上防火墙,因为线路太多了。
这个例子说明,一个国家级的要比一个省级的围墙容易得多,原因是关口少,不像省与省之间的线路四通八达。
那么我们知道了在国域网对外的出口处有各种Cisco等强大的怪兽守住,我们来探讨一下这些怪兽的机制。
工作机制
在普遍的看法,我们伟大的围墙工作机制主要包括IP黑名单、内容过滤和DNS劫持。
IP黑名单
怪兽手里肯定把握着一份黑名单,上面写着Facebook、twitter、youtube等的ip地址,一旦发现镇民发往黑名单中地址的请求数据包,就直接无情地丢弃,当镇民等到花儿都谢了都没有收到服务器发回的包,他便生了一种叫超时的病而放弃了。
温总理曾说过:中国财富再多,除以13亿人,就少得可怜了;中国问题再小,乘以13亿人,也就很大了。
一个秒钟一个请求*13亿,就是一个很大的请求了。请问怪兽如何可以高速地在IP黑名单中查询这个ip在不在呢?
对于ipv4,每个ip地址32位,可以看作32位无符号整形。也就是2^32个ip地址。黑名单应该也不小,怎么也有几千几万几十万吧。那么怪兽怎么处理呢?
怪兽如果很2B的话,它会拿着收到数据包的ip一个一个地和黑名单中的ip比较,如果在黑名单里面就将其丢弃,不在那就放过它。这样怪兽花的时间是O(n),n为黑名单的大小。
怪兽智商稍微高一点的话,它会将黑名单中的排好序,然后使用伟大的二分查找法术,就可以花O(log(n))的时间判断那个ip在不在黑名单里面。
怪事如果智商不错的话,它会构建一个4G个单位的哈希表blacklist,然后直接将ip作为索引,初始化哈希表 blacklist,blacklist[ip] = 1, if ip in ip_blacklist,这样,在一个请求过来的时候,怪兽只需要花费O(1)的时间就可以知道ip在不在黑名单里面。
对于一个4G个单位的ip黑名单hash table,我们可以一个bit来表示一个ip是不是属于特殊对待ip。于是我们的ip hash table大小为:
我们来看一段代码,描述了高效判断是否在黑名单的方法。
当然可能还有更好的方法,请赐教~
内容过滤
曾经在一个人博客看到程序员的工作环境怎样为好,里面有一句让我影响无比深刻“访问Google的服务没有障碍”。这个真滴非常重要呀,虽然现在Google的https可以用了,不过好慢好慢,受不了啊。
像我们如果在Google搜索某些关键词后,我们从Google打开了某些网址后,不仅那些网站访问不了,而且Google就会被怪兽吃了。
Google不作恶啊,为什么要对Google那么狠……
例如我们在Google中搜索
翻墙
然后就会发现Google被吃了。
怪兽做了什么?
怪兽首先伪造Google的ip发了许多RST包给镇民的浏览器,然后怪兽也可能伪造镇民的ip发了很多RST给Google,挑拨离间,最后镇民和Google在经过一段努力后发现还是无法沟通就不再继续通信了。
怪兽应该对http包进行了扫描,看看有没有什么敏感词,有的话就伪装成对方开始卑鄙地发送RST,来挑拨离间最终实现断开连接。
DNS劫持
有一部分怪兽应该会专门负责污染国内DNS服务器的缓存,导致我们解析到了错误的ip。有一部分怪兽会篡改国外DNS发回的响应,导致镇民获得了错误的ip。
结言
防民之口,甚于防川。过度地压制景德镇的镇民似乎并不太好,希望未来的祖国会更加开放、更加发达。
天朝威武~
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/caixiang-gfw-yuanli.html
相关文章:
防民之口,甚于防川。
引用自百度百科的对于“防民之口,甚于防川”的启示:
中国历史上有很多统治者荒淫无道,但他们又怕人民议论,就采取了压制社会言论的措施,以为可以高枕无忧、平安无事。实际上这是最愚蠢的作法,它不仅使下情无法上达,错误的政策得不到纠正,加剧社会矛盾。更可怕的在于虽然民众口上不说,但心里却充满了仇恨,只要社会矛盾到达临界点,大规模的暴乱必然爆发,给社会生产力造成极大破坏。正可谓“防民之口,甚于防川。”中国人是世界上最能忍受暴政的民族,但也是爆发起义最多的国家。无逻辑的舆论的控制,究竟会引发什么后果呢?或许多年后答案便自己浮现。
暂且不谈论我们伟大的围墙的对于人民生活的影响,我们来看看它的技术方面的实现。
景德镇的国域网
景德镇的国域网对外的出口线路不多,只要在这些出口处架设好强大的过滤器,便可以保障国民思想安全性。这样过滤不会太麻烦,因为出口就这么几个,派兵守住就好。
在网络课上,刘孜文老师给我们讲了一个他的经历,我大致复述一下(语文很差,希望不会扭曲原意):
老师的一个同学在收到领导指示,要弄一个省级的防火墙,这样可以方便警察叔叔将一些骗子网站、黄色网站过滤掉。于是他的同学开始鸭梨巨大了,因为一个省的对外的线路有很多很多条,很难在每一条出口安上防火墙,因为线路太多了。
这个例子说明,一个国家级的要比一个省级的围墙容易得多,原因是关口少,不像省与省之间的线路四通八达。
那么我们知道了在国域网对外的出口处有各种Cisco等强大的怪兽守住,我们来探讨一下这些怪兽的机制。
工作机制
在普遍的看法,我们伟大的围墙工作机制主要包括IP黑名单、内容过滤和DNS劫持。
IP黑名单
怪兽手里肯定把握着一份黑名单,上面写着Facebook、twitter、youtube等的ip地址,一旦发现镇民发往黑名单中地址的请求数据包,就直接无情地丢弃,当镇民等到花儿都谢了都没有收到服务器发回的包,他便生了一种叫超时的病而放弃了。
温总理曾说过:中国财富再多,除以13亿人,就少得可怜了;中国问题再小,乘以13亿人,也就很大了。
一个秒钟一个请求*13亿,就是一个很大的请求了。请问怪兽如何可以高速地在IP黑名单中查询这个ip在不在呢?
对于ipv4,每个ip地址32位,可以看作32位无符号整形。也就是2^32个ip地址。黑名单应该也不小,怎么也有几千几万几十万吧。那么怪兽怎么处理呢?
怪兽如果很2B的话,它会拿着收到数据包的ip一个一个地和黑名单中的ip比较,如果在黑名单里面就将其丢弃,不在那就放过它。这样怪兽花的时间是O(n),n为黑名单的大小。
怪兽智商稍微高一点的话,它会将黑名单中的排好序,然后使用伟大的二分查找法术,就可以花O(log(n))的时间判断那个ip在不在黑名单里面。
怪事如果智商不错的话,它会构建一个4G个单位的哈希表blacklist,然后直接将ip作为索引,初始化哈希表 blacklist,blacklist[ip] = 1, if ip in ip_blacklist,这样,在一个请求过来的时候,怪兽只需要花费O(1)的时间就可以知道ip在不在黑名单里面。
对于一个4G个单位的ip黑名单hash table,我们可以一个bit来表示一个ip是不是属于特殊对待ip。于是我们的ip hash table大小为:
4G bit = 4 / 8 G Byte = 0.5 GB = 512 MB怪兽只需要有512MB的空闲内存就可以构建这么一个hash表,然后无论是多线程模式的还是多进程模式的设计都可以共享这块放hash表的内存, 中途如果有新增或者取消话都可以直接更新hash表,当然可能会因为有缓存而导致不一致,但是在这个大环境下也不一那么较真,让正确率100%,所以连锁 都可以不用加,这样怪兽的负担会轻很多。不过bitmap在IPv6下是不那么实际的,因为使用内存会非常巨大,2^128bit,会消耗 39614081257132168796771975168GB的内存来放bitmap。可能这也是怪兽没有对ipv6下手的原因。
我们来看一段代码,描述了高效判断是否在黑名单的方法。
#include <string.h>
#include <stdlib.h>
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#define BITSPERWORD 32
#define SHIFT 5 // 2 ^ 5 = 32
#define MASK 0x1F // 0x1F = (11111)b
#define SET(a, i) ((a)[(i)>>SHIFT] |= (1<<((i) & MASK)))
#define CLR(a, i) ((a)[(i)>>SHIFT] &= ~(1<<((i) & MASK)))
#define TEST(a, i) ((a)[(i)>>SHIFT] & (1<<((i) & MASK)))
inline void test_block(int* blacklist, char* ip)
{
if (TEST(blacklist, inet_addr(ip)))
printf("%s is blocked.\n", ip);
else
printf("%s is pass.\n", ip);
}
int main(int argc, char *argv[])
{
const unsigned long long N = 4294967295;
const unsigned int SIZE = N / BITSPERWORD + 1;
int* blacklist = (int*)malloc(SIZE * sizeof(int));
memset(blacklist, SIZE, 0xff);
SET(blacklist, inet_addr("243.185.187.39"));
SET(blacklist, inet_addr("8.8.4.4"));
SET(blacklist, inet_addr("202.84.125.66"));
SET(blacklist, inet_addr("222.221.31.55"));
SET(blacklist, inet_addr("183.182.44.111"));
SET(blacklist, inet_addr("255.255.255.156"));
test_block(blacklist, "8.8.4.4");
test_block(blacklist, "222.222.222.222");
test_block(blacklist, "202.84.125.66");
test_block(blacklist, "88.54.32.156");
test_block(blacklist, "255.255.255.156");
free(blacklist);
return 0;
}
当然可能还有更好的方法,请赐教~
内容过滤
曾经在一个人博客看到程序员的工作环境怎样为好,里面有一句让我影响无比深刻“访问Google的服务没有障碍”。这个真滴非常重要呀,虽然现在Google的https可以用了,不过好慢好慢,受不了啊。
像我们如果在Google搜索某些关键词后,我们从Google打开了某些网址后,不仅那些网站访问不了,而且Google就会被怪兽吃了。
Google不作恶啊,为什么要对Google那么狠……
例如我们在Google中搜索
翻墙
然后就会发现Google被吃了。
怪兽做了什么?
怪兽首先伪造Google的ip发了许多RST包给镇民的浏览器,然后怪兽也可能伪造镇民的ip发了很多RST给Google,挑拨离间,最后镇民和Google在经过一段努力后发现还是无法沟通就不再继续通信了。
怪兽应该对http包进行了扫描,看看有没有什么敏感词,有的话就伪装成对方开始卑鄙地发送RST,来挑拨离间最终实现断开连接。
DNS劫持
有一部分怪兽应该会专门负责污染国内DNS服务器的缓存,导致我们解析到了错误的ip。有一部分怪兽会篡改国外DNS发回的响应,导致镇民获得了错误的ip。
结言
防民之口,甚于防川。过度地压制景德镇的镇民似乎并不太好,希望未来的祖国会更加开放、更加发达。
天朝威武~
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/caixiang-gfw-yuanli.html
相关文章:
奇闻录-新华网刊登翻墙技术文章--翻墙花园
Win7下如何设置VPN服务器
很多朋友可能不知道VPN到底是什么?但大家都一定知道,如果我们现在想上某些国外的网站,就不得不翻墙,有了VPN之后就可以随意浏览了,简而言之,就是开辟了一条私有网络。那么在介绍如何在Win7设置VPN之前,先简要介绍一下什么是VPN。
VPN
英文全称是"Virtual Private
Network",翻译过来就是"虚拟专用网络"。VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网
络的安全、稳定隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、
商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、
密钥管理技术和使用者与设备身份认证技术。
VPN可以通过特殊加密的通讯协议连接到互联网上,
在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好
比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,在交换机,防火墙设备或
Windows 2000及以上操作系统中都支持VPN功能。总而言之,VPN的核心就是利用公共网络建立虚拟私有网。
下面,我们来看看如何在Win7架设VPN服务器――
第一步:点击右下角的网络图标,然后选择"打开网络和共享中心",再选择"更改适配器设置"。
第二步:在"菜单栏"点击"文件", 如果没有看到菜单栏,请按下键盘上的Alt按键,即可显示菜单栏,选择"新建传入连接"(这个比较的重要)。
第三步:勾选选择允许使用VPN连接到本机的用户,如果用户还未创建,请点击"添加用户"。
选择其他用户连接VPN的方式,这里选择"通过Internet",如果你的显示多项,请选择正确的方式。
第
四步:接着设置网络参数,如果对方连接后可以使用本地网络的DHCP服务器,那么可以跳过此设置。如果本地网络没有DHCP服务器,必须就必须设置一下,
请点击"Internet协议版本4(TCP/IP)",点"属性"按钮,选择"指定IP地址",比如我的IP是192.168.1开头的,那么这里设置
一个没有被使用的IP段即可,比如从192.168.1.180到192.168.1.199。设置后请按确定,然后点击"允许访问"。
第
五步:按照上述设置之后,其他用户就可以利用上面的账号以及你的IP地址利用VPN连接到你的网络了。此外,如果你有防火墙请允许1723和1701端
口;如果你是内网用户请在路由器上做1723和1701端口的映射,一般做1723就行了。还有,现在一般稳定的VPN都需要支付一些费用。 王燕
来源:新华网
关于翻墙――翻墙之后能做些什么?--翻墙花园
我为什么要翻墙呢?对于这个的回答,比较好的一篇文章是这个:x.co/a9gP。搞得我都想转载了,不过还是只弄一段来:
我们来看一下GFW的三大定律:
- GFW 第一定律:只要是 “用户产生内容”(User-generated content, UGC) 的国外网站都会被和谐。
- GFW 第二定律:只要是被和谐的网站,国内一定会有个克隆版。
- GFW 第三定律:没有被和谐的网站一定不是同类竞争者中最出色的。
鲁迅先生原来弃医从文,现在说来可能有些夸张,但我觉得这个情况多少是类似的,墙外的人该做的事也是同样的:不是能救多少个郭宝峰,而是能影响多少墙内的人,能让多少人注意到墙的存在,如何让更多的人站在墙外。另外一篇列举了很多的现象,也可以一看:x.co/a9gW。关于中国翻墙网民状况调查:x.co/a9gZ。我主要看的就这三篇了。
我也没什么意见。先就到这。
- 如果你想随便看看视频, 去 http://www.youtube.com, 里面有学习的好资料, 搜索: open courseware, TED.
- 如果你想看看全世界的微博, 你可以去 http://www.twitter.com , 关注我吧, 搜索: linjunhalida
- 如果你想看看百科全书以及40年前中国到底发生了什么, 你可以去cn.wikipedia.org, 搜索对应的年份和事件.
- 如果你只是想看妹子, 去 http://boards.4chan.org/s/
- 如果你想看美剧而你的英语又比较好的话, 上 http://www.hulu.com
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/about-fanqiang-1.html
相关文章:
GFW翻墙手册(技术篇)(电子书):《GFW的工作原理及突破技术-丁旋.pdf》--翻墙花园
《GFW的工作原理及突破技术-丁旋.pdf》
Dropbox下载地址:https://www.dropbox.com/s/04i297a038r7shw/GFW的工作原理及突破技术-丁旋.pdf
资源来自网上,感谢原作者。
目录
1. 引言
2. 术语和约定
3. GFW的工作原理
3.1 IP黑名单
3.2 内容审查
3.3 DNS劫持
4. 突破GFW
4.1 在线代理
4.2 代理工具
4.2.1 自由门Freegate
4.2.2 世界通GPass
4.2.3 Tor
4.2.4 GAppProxy
4.3 VPN
4.4 SSH Tunnel
4.5 RSS订阅
4.6 其它
5. 几种突破技术的比较
5.1 测试项目
5.2 比较结果
5.3 结果分析
6. 结束语
7. 致谢
8. 参考文献
简介
《GFW的工作原理及突破技术-丁旋》 (清华大学计算机科学与技术系)
摘要:GFW备受争议,几家欢喜几家愁。本文从实例出发,探讨了GFW的工作原理,总结了当前针对GFW的突破技术,并对这些突破技术进行了比较和分析。
关键词:Great Firewall,GFW,Censorship,Anti-Censorship,翻墙
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-gongzuoyuanli-tupojishu-dingxuan.html
相关文章:
GFW翻墙手册(电子书):《100个免费翻墙工具-中文.pdf》--翻墙花园
翻墙花园在网上找到了一本不错的翻墙入门手册,原出处应该是精品博客吧,介绍了一些简便、有效、常用、好用的翻墙方法,包括在线代理、自由门/无界/花园等老牌稳定的翻墙软件、VPN、SSH,还有介绍了一些被墙的网站,等等。
Dropbox下载地址:
https://www.dropbox.com/s/53dy1md9krbn0qb/100个免费翻墙工具-中文.zip
《100个免费翻墙工具-中文.pdf》
目录
前言:我的互联网自由宣言
第一章:100个免费在线代理
第二章:7大免费客户端代理
第三章:免费VPN
第四章:免费SSH代理
第五章:Proxy、SSH和VPN的区别
第六章:如何通过Google Reader翻墙
第七章:如何通过Hosts文件翻墙
第八章:如何通过gogoCLIENT翻墙
第九章:如何检测某个网站是否被墙
第十章:附录
1.10 大被墙的国外网站
2.哪些国家墙了 Facebook?
3.信息是封锁不住的
4.我国 Twitter 上的第一个文字狱
5.中国茉莉花革命
后记:大家翻墙GFW倒
前言:我的互联网自由宣言
至于什么叫做互联网自由,目前尚没有一个流行的定义,不过却有人列出了互联网自由的 5 个基本原则,即自由表达、快速上网、不用翻墙、保护
创新以及保障隐私。
作为一个生活在有中国特色的社会主义国家的网民,我 100% 赞成这 5 个原则并且觉得互联网自由是 100% 重要的,因为如果互联网没有自由,
那么你就可能因为在网上说了一句话而被劳教,所在地区霎时间长时间断网,不翻墙就无法访问 Facebook、Twitter、YouTube 以及其他多个资本主义的网站,自己的网站会因为某篇文章而导致服务器被封号,甚至连下载 A 片都会被警察破门而入,类似的荒唐事不胜枚举。
听起来很恐怖,是吧?但是上面提到的事都曾活生生地出现在中国互联网上, 而如果中国互联网没有改善,类似的事情将会发生在你我身上 ——而且已经发生在我的身上。2009 年,精品博客发表了一篇叫做《操 GFW 10 大简易招式》的文章,几个月之后,网站的服务器因为这篇文章被封号;后来,我把博客的服务器搬到国外,继续介绍翻墙工具和方法,结果导致整个博客被墙,至今没有解封。
如果没有墙,那我也就没有必要翻墙,更没有必要去折腾翻墙工具,可惜没有如果,所以我就只好翻墙,不断地尝试各种翻墙工具,并且用中文分享到精品博客以及用英文分享到 Free Nuts 博客。
到目前为止,我已经测试并介绍了 100 个免费翻墙工具,其中包括 VPN、Proxy、SSH、等等,当然,随着时间的推移,这些工具里面有些已经不能翻墙了,不过值得庆幸的是,一直都会有新的翻墙工具出现,而我也将继续测试并介绍它们,直到互联网不再有墙。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-bannedbook-100-free-fanqiang-tools.html
相关文章:
Dropbox下载地址:
https://www.dropbox.com/s/53dy1md9krbn0qb/100个免费翻墙工具-中文.zip
《100个免费翻墙工具-中文.pdf》
目录
前言:我的互联网自由宣言
第一章:100个免费在线代理
第二章:7大免费客户端代理
第三章:免费VPN
第四章:免费SSH代理
第五章:Proxy、SSH和VPN的区别
第六章:如何通过Google Reader翻墙
第七章:如何通过Hosts文件翻墙
第八章:如何通过gogoCLIENT翻墙
第九章:如何检测某个网站是否被墙
第十章:附录
1.10 大被墙的国外网站
2.哪些国家墙了 Facebook?
3.信息是封锁不住的
4.我国 Twitter 上的第一个文字狱
5.中国茉莉花革命
后记:大家翻墙GFW倒
前言:我的互联网自由宣言
至于什么叫做互联网自由,目前尚没有一个流行的定义,不过却有人列出了互联网自由的 5 个基本原则,即自由表达、快速上网、不用翻墙、保护
创新以及保障隐私。
作为一个生活在有中国特色的社会主义国家的网民,我 100% 赞成这 5 个原则并且觉得互联网自由是 100% 重要的,因为如果互联网没有自由,
那么你就可能因为在网上说了一句话而被劳教,所在地区霎时间长时间断网,不翻墙就无法访问 Facebook、Twitter、YouTube 以及其他多个资本主义的网站,自己的网站会因为某篇文章而导致服务器被封号,甚至连下载 A 片都会被警察破门而入,类似的荒唐事不胜枚举。
听起来很恐怖,是吧?但是上面提到的事都曾活生生地出现在中国互联网上, 而如果中国互联网没有改善,类似的事情将会发生在你我身上 ——而且已经发生在我的身上。2009 年,精品博客发表了一篇叫做《操 GFW 10 大简易招式》的文章,几个月之后,网站的服务器因为这篇文章被封号;后来,我把博客的服务器搬到国外,继续介绍翻墙工具和方法,结果导致整个博客被墙,至今没有解封。
如果没有墙,那我也就没有必要翻墙,更没有必要去折腾翻墙工具,可惜没有如果,所以我就只好翻墙,不断地尝试各种翻墙工具,并且用中文分享到精品博客以及用英文分享到 Free Nuts 博客。
到目前为止,我已经测试并介绍了 100 个免费翻墙工具,其中包括 VPN、Proxy、SSH、等等,当然,随着时间的推移,这些工具里面有些已经不能翻墙了,不过值得庆幸的是,一直都会有新的翻墙工具出现,而我也将继续测试并介绍它们,直到互联网不再有墙。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-bannedbook-100-free-fanqiang-tools.html
相关文章:
GFW相关的段子--翻墙花园
转载自:http://x.zetng.com/duanzi_tag_GFW.htm?page=1
【信息科技】
还是 GFW 有先见之明,几年前就帮 Google 把大部分产品都关闭了。
【信息科技】
科学家最新研究发现:从任意一个网页,最多只需经过最多19次点击,即可抵达互联网上任意另一个网页。这不科学,19次点击还没碰到中国的GFW?
【笑而不语】
【码农大起义】秦末,gfw大升级,码农李伟不能完成工作,劳累而亡;其妻孟江女来到长城前,三哭而气绝,长城塌一角。码农遂峰起。
【信息科技】
程序员:“不是说好了只封闹事的github pages么,怎么连ssl的github也封了?” gfw:“呵呵”
【笑谈古今】
别说那个身份证能在十米之外被扫描的谣言了,我还见过一个公司禁止使用无线鼠标,问何故,答曰无线鼠标的信号被别有用心的人监测可能会泄密…这需要比gfw更智能的行为分析技术和更大运算量吧…”
【信息科技】
杭州程序员小张被路上狂奔的快递电动车撞成植物人。好基友们想尽一切办法帮他恢复。后来听说,跟他说话就能让他唤醒。于是基友每天在他耳边说话,直到有一天,基友想起来他以前总骂 GFW 的事情来,就跟他说「快起来吧,GFW 永久解封了」小张立刻睁开了眼睛问:「Twitter能访问了么?」
【笑而不语】
以后GFW彻底无敌的时候,会不会有推友在北京机场送好友出国,递给他一张纸条,上边一段段文字,下属一个帐号一个密码,说:去了美国,帮我把这些发推上,谢谢了。。。
【笑而不语】
电面了个人,技术貌似还凑合,但是不知道 GFW 是啥,肿么办呢?” // 刚做了个电面,那人问我GFW是啥,这风口浪尖的我才不会范傻呢,话说他是傻逼吗?这都还要问…
【笑而不语】
据说修建gfw或者维护gfw的人最终会死于直肠癌,因为这类人让网民网络便秘,受到了诅咒自己便秘。
【信息科技】
被鞋砸中后,方滨兴怒斥主办方:“听说他们在讲座之前就在Twitter上讨论这个事情了,你们怎么没有一点应对措施?”主办方一脸无辜地说:“那个网站(Twitter)我们打不开,被GFW屏蔽了,不知道他们说了什么。”
【笑而不语】
地震局专家表示,因为GFW的缘故,美国地震局的网站不能直接访问,他们现在正在寻找翻墙工具。所以暂时无法接受采访。请各大报社记者少安毋躁。
【笑而不语】
爷爷年轻的时候半夜收听敌台,爸爸年轻的时候偷看禁书,儿子从小就学会了翻越 GFW,这就是一批中国人生生不息的故事。 爷爷带红卫兵砸过孔庙,爸爸在初夏的广场上当过军队指挥,儿子从学生会主席顺利考上公务员最后参加了金盾工程二期项目,这是另一批中国人生生不息的故事。
【笑而不语】
人家在玩儿推倒呢,你还在玩儿推特;人家正和gf战斗呢,你还在草gfw~~~
【笑而不语】
3G时代的“三个代表”包括:GDP(国内生产总值)代表先进生产力的发展要求;GFW(防火长城)代表先进文化的前进方向;Government(政府)代表 最广大人民的“根本利益”
【笑而不语】
翻墙不忘筑墙人,每天问候方滨兴,FUCK GFW, FUCK FBX!
【笑而不语】
据说 Linkedin 被 GFW 是为了 IPO 的公关行为。因为近年硅谷流行下面的段子: 没有被山寨的网站就不曾存在过。 没有被GFW的网站就不曾成功过。
【信息科技】
微博,微信,微云,微创新。
G+,GR,Gcom,GFW。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-duanzi.html
相关文章:
【信息科技】
还是 GFW 有先见之明,几年前就帮 Google 把大部分产品都关闭了。
【信息科技】
科学家最新研究发现:从任意一个网页,最多只需经过最多19次点击,即可抵达互联网上任意另一个网页。这不科学,19次点击还没碰到中国的GFW?
【笑而不语】
【码农大起义】秦末,gfw大升级,码农李伟不能完成工作,劳累而亡;其妻孟江女来到长城前,三哭而气绝,长城塌一角。码农遂峰起。
【信息科技】
程序员:“不是说好了只封闹事的github pages么,怎么连ssl的github也封了?” gfw:“呵呵”
【笑谈古今】
别说那个身份证能在十米之外被扫描的谣言了,我还见过一个公司禁止使用无线鼠标,问何故,答曰无线鼠标的信号被别有用心的人监测可能会泄密…这需要比gfw更智能的行为分析技术和更大运算量吧…”
【信息科技】
杭州程序员小张被路上狂奔的快递电动车撞成植物人。好基友们想尽一切办法帮他恢复。后来听说,跟他说话就能让他唤醒。于是基友每天在他耳边说话,直到有一天,基友想起来他以前总骂 GFW 的事情来,就跟他说「快起来吧,GFW 永久解封了」小张立刻睁开了眼睛问:「Twitter能访问了么?」
【笑而不语】
以后GFW彻底无敌的时候,会不会有推友在北京机场送好友出国,递给他一张纸条,上边一段段文字,下属一个帐号一个密码,说:去了美国,帮我把这些发推上,谢谢了。。。
【笑而不语】
电面了个人,技术貌似还凑合,但是不知道 GFW 是啥,肿么办呢?” // 刚做了个电面,那人问我GFW是啥,这风口浪尖的我才不会范傻呢,话说他是傻逼吗?这都还要问…
【笑而不语】
据说修建gfw或者维护gfw的人最终会死于直肠癌,因为这类人让网民网络便秘,受到了诅咒自己便秘。
【信息科技】
被鞋砸中后,方滨兴怒斥主办方:“听说他们在讲座之前就在Twitter上讨论这个事情了,你们怎么没有一点应对措施?”主办方一脸无辜地说:“那个网站(Twitter)我们打不开,被GFW屏蔽了,不知道他们说了什么。”
【笑而不语】
地震局专家表示,因为GFW的缘故,美国地震局的网站不能直接访问,他们现在正在寻找翻墙工具。所以暂时无法接受采访。请各大报社记者少安毋躁。
【笑而不语】
爷爷年轻的时候半夜收听敌台,爸爸年轻的时候偷看禁书,儿子从小就学会了翻越 GFW,这就是一批中国人生生不息的故事。 爷爷带红卫兵砸过孔庙,爸爸在初夏的广场上当过军队指挥,儿子从学生会主席顺利考上公务员最后参加了金盾工程二期项目,这是另一批中国人生生不息的故事。
【笑而不语】
人家在玩儿推倒呢,你还在玩儿推特;人家正和gf战斗呢,你还在草gfw~~~
【笑而不语】
3G时代的“三个代表”包括:GDP(国内生产总值)代表先进生产力的发展要求;GFW(防火长城)代表先进文化的前进方向;Government(政府)代表 最广大人民的“根本利益”
【笑而不语】
翻墙不忘筑墙人,每天问候方滨兴,FUCK GFW, FUCK FBX!
【笑而不语】
据说 Linkedin 被 GFW 是为了 IPO 的公关行为。因为近年硅谷流行下面的段子: 没有被山寨的网站就不曾存在过。 没有被GFW的网站就不曾成功过。
【信息科技】
微博,微信,微云,微创新。
G+,GR,Gcom,GFW。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-duanzi.html
相关文章:
关于GFW翻墙的一篇技术文章:如何忽略GFW防火长城--翻墙花园
本文转载自美博园,对于想研究GFW翻墙、GFW工作原理与GFW突破技术的技术人员和爱好者来说应该值得一读,原文地址:http://allinfa.com/ignore-gfw.html
美博园注:这篇文章发表已久,本站觉得作为重要资料收集还是很有价值,故收录于此。原文:如何忽略防火长城。
摘要:所谓“防火长城”之部分工作原理即是检测传输控制协议(TCP)报文中需要封锁的关键词。如果出现关键词,TCP复位报文(即RST标志置位的报
文)即向连接两端发送,连接随之关闭。而原报文完好通过防火墙,如果双方完全忽略防火墙的复位,那么连接仍可顺畅进行而防火墙失效。一旦连接被封锁,防火
墙还会进而尝试封锁双方的继发连接。后种特性可能被利用来对第三方进行拒绝服务攻击。
1 引言
中华人民共和国运行的互联网过滤系统,普遍认为是世界上最复杂的系统之一。[1]其部分工作原理即是检测网络(HTTP)流量判断是否出项特定关键词。[2]这些关键词涉及一些中国政府封杀的组织、不可接受的政治意识形态、不愿讨论的历史事件。[3]
直观判断,关键词封锁发生在连接中国与外界网络的路由器组内部。[4]这些路由器利用基于入侵检测系统(IDS)技术的设备来判断报文内容是否匹配 中国政府制订的过滤规则。[5]如果客户端与服务器的一个连接需要封锁,路由器则会在数据流中注入伪TCP复位报文,于是双方便会断开连接。[6]这种封 锁一旦触发,便会持续数分钟,相同方向上的继发连接都会被伪复位直接打断。
在本文第2节我们将讨论国家阻止其公民访问特定网络内容的方法,以及以往调查者认定的优点和缺点。在第3节我们提供了从中国防火墙系统封锁的连接两 端获取的一组报文。第4节我们提出了这个防火墙的一个模型,来解释我们获得的结果。然后第5节我们将展示,通过忽略防火墙发出的TCP复位我们成功传输了 本来应该被封锁的内容,并讨论为什么这种手段防火墙难以应付。第6节我们展示了防火墙的封锁行为如何可以被利用来对第三方进行拒绝服务攻击。最后在第7 节,我们讨论了这种规避审查的方法的优缺点,并思考了中国以外的网站如何免于封锁降低访问难度,还提出公共政策能怎样鼓励人们规避审查的问题。
2 内容封锁系统
有三种显著的内容封锁手段:报文丢弃、DNS污染、内容检测。研究北威州封锁右翼纳粹内容的Dornseif的论文[7],和研究英国电信混合封锁系统封锁恋童癖网站的Clayton[8]的论文,一起确定了以上手段。
2.1 报文丢弃方案
在一种报文丢弃方案中,往特定IP地址的所有流量被全部丢弃,于是网站便无法访问。这种方案费用低廉,易于实施──标准的防火墙和路由器便已提供这 些必要特性。报文丢弃方案有两个主要问题。首先,IP地址列表必须保持最新,如果内容提供者不想让ISP轻易封锁他们的网站,保持更新的困难便暴露出来。 [9]其次,系统会导致“过度封锁”──共用同一IP的其他网站被全部封锁。Edelman调查了过度封锁的潜在程度,发现69.8% 的.com、.org和.net网站与50以上其他网站共用IP。[10](虽然一部分域名只是“停放”在一个普通网页上)其详细数字显示网站共用IP数 的连续变化图谱,反映出在一台主机上尽量多挂网站这种盛行的商业做法。
2.2 DNS污染方案
在一种DNS污染方案中,当用户查询域名服务系统(DNS)将文字的域名转换为数字的IP地址时,可以返回错误的应答或者不返回应答导致用户不能正 常访问。这类方案没有过度封锁的问题,因为禁止访问特定网站不会影响到其他网站。不过,邮件传递也需要DNS查询,如果只是封锁网站而不封锁邮件服务的 话,此类方案实现起来容易出错。Dornseif展示的样本中所有的ISP都至少有一次在实现DNS污染时出错。[11]
2.3 内容检测方案
多数内容检测方案是让所有流量通过一个代理服务器。 这个代理通过不提供禁止内容来过滤。这种系统可以做得非常精确,程度可以到屏蔽单个网页或者单个图像而让其他内容顺利通过。这类基于代理的系统没有普遍使 用的原因是,可以应付主干网络或者整个国家网络流量的系统过于昂贵。2004年9月美国宾夕法尼亚州,要求封锁包含儿童色情网站的一条州法令以违宪被裁定 无效[12]。当初由于经费原因,宾夕法尼亚的ISP采用的是报文丢弃和DNS污染的混合策略,导致的过度封锁和“前置审核限制”对地区法庭作此裁决起到 了相当的作用。不过,基于代理的系统已被部署到若干国家比如沙特阿拉伯[13]、缅甸[14],以及挪威的一些网络提供商比如Telenor[15]。 Clayton研究的英国电信的系统是一种混合设计,利用廉价缓存代理处理特定目标IP的报文。不幸这导致用户可以逆向工程得到封禁网站的列表,而这些网 站提供儿童的非法图像,这违背了此系统的公共政策目标。
进行内容检测的另一种手段则是入侵检测系统(IDS)。IDS设备可以检测通过的网络流量并判断其内容是否可接受。如果需要封禁则会调度邻近的防火 墙拦截报文,或者就中国的情况而言,发送TCP复位报文导致威胁性连接关闭。基于IDS的系统显然比其他方案更灵活,更难规避。Dornseif和 Clayton都对如何规避各种封锁进行了深入探讨。[16]然而如果通信保持清晰不加密不变形到IDS无法辨别的程度,那么无论采取什么规避手 段,IDS方法都能够将其检测出来。[17]
3 中国防火墙如何封锁连接
我们在实验中从英国剑桥(墙外)的若干机器连接了中国内的一个网站(墙内)。当前中国的防火墙系统的工作方式是完全对称的[18]──在两个方向上 检测内容并进行过滤。[19]通过从剑桥的终端发出所有的指令我们完全避免了违反中国法律的可能性。一开始我们以正常模式访问一个中国网页并记录双方的报 文流。接下来我们又发起一次有意触发封禁的请求,观察连接是如何被复位报文关闭的。我们继续“正常”的(不包含触发性词汇的)请求,却发现接下来的连接都 意外地被封锁了。接下来我们将详细描述观测结果。
3.1 复位封锁
刚开始我们只是访问一个普通网页,如预期得到完全正常的返回。如下面的转储报文所示,起始的TCP三次握手 (SYN[20],SYN/ACK[21],ACK[22])之后客户端(此实例中使用了53382端口)向服务端http端口(tcp/80)发出了超 文本传输协议(HTTP)的GET指令获取顶级页面(/),传输正常。我们使用netcat(nc)发出这个请求,没有使用网页浏览器,从而避免了无关细节。报文用ethereal截取,用一般格式表示出来。
cam(53382) → china(http) [SYN]
china(http) → cam(53382) [SYN, ACK]
cam(53382) → china(http) [ACK]
cam(53382) → china(http) GET / HTTP/1.0
china(http) → cam(53382) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(53382) ……其余页面内容
cam(53382) → china(http) [ACK]
……接下来这个页面就完整了。
我们发出另一个请求,包含了一小段可能触发封禁的文字,当然这也很快发生了:
cam(54190) → china(http) [SYN]
china(http) → cam(54190) [SYN, ACK] TTL=39
cam(54190) → china(http) [ACK]
cam(54190) → china(http) GET /?falun HTTP/1.0
china(http) → cam(54190) [RST] TTL=47, seq=1, ack=1
china(http) → cam(54190) [RST] TTL=47, seq=1461, ack=1
china(http) → cam(54190) [RST] TTL=47, seq=4381, ack=1
china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……
cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed
china(http) → cam(54190) ……其余页面内容
cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed
china(http) → cam(54190) [RST] TTL=47, seq=2921, ack=25
开头三个复位报文序列号对应了GET报文的序列号+1460和+4380(3 × 1460)。[23]我们认为防火墙发出三个不同的值是想确保发送者接受复位,即使发送者已经从目的地收到了“全长”(1460字节)ACK报文。复位报 文的序列号需要“正确”设定,因为现在多数TCP/IP实现都会严格检查序列号是否落入预期窗口。[24](这个验证序列号的内在漏洞由Watson在 2004年首先提出。[25])
此结果还显示,在连接被打断后仍然收到了从中国机发来的一部分页面。然后剑桥机响应了那两个意外报文,发送了自己的TCP复位。注意它将确认号置零 而没有使用随机初始值的相关值。收到的所有复位报文的TTL[26]都是47,而中国机来的报文的TTL都是39,说明它们来源不同。如果来源的初始值都 是64,这也许说明复位产生的地方距离服务器有8跳(hop)。 traceroute显示那是通信从Sprint网络(AS1239)进入中国网通集团网络(AS9929)后的第二台路由器。
我们也从中国服务器的视角看这次连接封锁:
cam(54190) → china(http) [SYN] TTL=42
china(http) → cam(54190) [SYN, ACK]
cam(54190) → china(http) [ACK] TTL=42
cam(54190) → china(http) GET /?falun HTTP/1.0
china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(54190) ……其余页面内容
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=1485, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=4405, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=2921
cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed
cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed
我们可以看到,当检测到“坏”报文,防火墙也向中国机发送复位(“[RST]”)报文,但都在GET报文(以及其响应报文)后面。最后两个复位报文(零确认号)是剑桥机发送的。
其他到中国机的复位(因为有“falun”而生成的)TTL都是61,这意味着它们在3跳以外生成,初始值为64。这跟剑桥观测到的8跳偏移不一 样。不过这说明可能有不止一台设备在生成复位──或者初始值经过调整不是64。我们目前对于观测到的这种不对称性没有确定的解释。
开始三个复位的序列号也设置在一定范围(+25,+1485,+4405)以确保命中,事实上+25报文就已经重置了连接。[27]第四、五个复位报文检查确认号发现,它们可以视作连接重置前中国机成功发送的两个报文的响应。
3.2 直接重置连接
防火墙不仅检测内容,还有其他封锁规则。我们发现,只要进行一次“坏”连接,在短时间内相同两主机之间的所有网络通信在经过检查之前就都被封锁了。前面也是连接被封搜,不过现在开始继发连接也会被封锁了。比如,在上面一例以后立刻继续,我们看到:
cam(54191) → china(http) [SYN]
china(http) → cam(54191) [SYN, ACK] TTL=41
cam(54191) → china(http) [ACK]
china(http) → cam(54191) [RST] TTL=49, seq=1
复位报文从防火墙而来(也往服务器而去)随之客户端便关闭了连接。如果客户端在复位到达前成功发送GET报文,便会接着收到多个防火墙发来的复位 (即使GET报文是完全无毒的)。接下来便是从服务端来的复位──服务器收到复位后便会立刻在GET到达前关闭连接。由于GET发来时不再存在打开的连 接,服务端便按照协议返回一个复位。值得注意的是,防火墙在SYN阶段(三次握手阶段一)没有试图重置连接,而是等到了SYN/ACK(阶段二)。虽然可 以在客户端一发出SYN就给它复位报文,但只有等到SYN/ACK才能构造出对服务端起作用的有效复位。[28]
在实验中我们发现,节点被阻断通信的时间是可变的。有时候是几分钟,有时候可能是一小时。平均时间大概在20分钟,不过由于观测到时间值有在特定值 附近聚集的显著趋势,我们怀疑不同的防火墙组件有不同的时间延迟设定;这就需要深入理解是到底是谁在处理通信,才能较准确地预测封锁周期。
3.3 其他中国网络的情况
我们获取了中国自治系统(AS)的一个列表,并从中生成了在全球路由表中所有中国子网的列表。[29]然后我们利用了一个修改过的 tcptraceroute,判断出通信是通过哪个AS从国际网络进入中国,并从中得知了中国主干边际网络的实体。结果便 是:AS4134,AS4837,AS7497,AS9800,AS9808,AS9929,AS17622,AS24301和AS24489。然后我们 在各个AS中挑选了样例服务器测试,发现所有网络都有都跟前面描述相似的复位行为(除了AS24489:跨欧亚信息网)。以此我们可以推出:我们的结果正 展示了典型的“防火长城”系统。情况在2006年5月下旬是这样的,但并不一定普遍适用。[30]
4 防火长城的设计
基于以上实验结果,以及中国使用的技术设备类型的描述──比如思科的“安全入侵检测系统”[31]──我们提出以下模型来描述中国防火墙中路由器的工作方式(此模型很符合观测,但仍是推论性的,因为中国的网络提供商没有发布关于这些系统的任何技术规格):
当报文到达路由便被立刻放入适当的向前传输队列。此报文也被送到带外IDS设备进行内容检测。如果IDS(关键词匹配)认为此报文“不好”,那么便为连接两端各生成三个TCP复位报文(有三个不同的序列号)交由路由器传输。[32]
IDS在逻辑上是与路由器分离的,很难从路由传输队列中去除或者延迟“坏”报文。然而发出复位关闭连接是相对简单的。如果路由器相对繁忙,而IDS 工作正常,复位报文会在“坏”报文之前发送;这也是我们在实验中观测到的主要情况,虽然有时候复位报文会拖在后面。复位报文的设定值充分显示出,设计者担 心与路由器相比IDS的拥塞导致“坏”报文跑在复位报文前面。这种设计中如果不发送附加的复位,在繁忙情况下防火墙是无法保证封锁的可靠性的。
一旦IDS检测到需要封锁的行为,它也可以向主路由器添加一条简单的丢弃规则而不发出复位。[33]我们相当怀疑这种做法在主干高速路由器上扩展性差,而在IDS内的封锁简单而廉价。
我们还观测封锁的时长得知,提供防火墙功能的设备不止一个。我们进行了进一步实验,发送256个包含威胁性字串的报文通过防火墙,虽然是从一个机器 上发出的,但将它们的源地址设置分别为256个连续的IP地址值,即中国防火墙会认为这是256个不同机器在发送需要封锁的内容。结果是,我们观测到有时 候返回的复位报文是乱序的。然而现代互联网处理报文基本上是用FIFO(先进先出)队列,[34]那么对于这种失序的最简单解释便是,不同的报文给了不同 的IDS,它们各有各的FIFO队列但在发送复位时负载不一样。可惜我们发现这个实验引起了很多的报文丢失(不是所有的连接都返回了应有的复位报文),不 能对报文失序程度有直观感受。这样我们也没法(通过队列建模)确定平行IDS设备的数量下界。我们计划以后再做这个实验。
4.1 防火墙“状态”
没有证据证明带外IDS设备互相通信,并共享网络连接“状态”的记录。实验表明在一个边际网络触发防火墙不影响通过其他边际网络的通信。
而在“状态”本来应该保留的地方(IDS设备中)却没有关于TCP状态的检查。设备孤立地检查报文,于是将?falun分散到相邻两个报文就足以避 免检测。更有甚者,这些设备对于是否有连接存在也不关注,我们的许多测试中甚至没有进行三次握手打开连接就直接发送GET报文。事实上除了初始检测之后的 持续封锁,没有证据证明IDS设备做了其他什么特别的事情,IDS只是一次检查一个报文而已。
5 有意忽略复位
防火墙完全依赖于终端节点以标准兼容方式实现TCP协议[35],在收到复位报文时中断连接。如上所述,虽然有时候防火墙有点超常,复位报文跑在 GET报文前面结果被仔细验证一番以后丢掉了,不过在下一个报文到达防火墙的时候连接就会被防火墙摧毁所以,总得来说还是没有什么区别。
不过现在考虑如果终端节点不遵守标准然后TCP复位被彻底忽略的情况,我们会想到,即使触发了IDS,防火墙也对HTTP传输没有任何影响。于是我 们进行了深入实验两边的终端节点都忽略TCP复位的情况。这有许多方法可以实现,我们选择设置合适的报文过滤防火墙规则。在Linux可以安装 iptables并使用此命令:
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
来丢弃传入的RST置位报文。如果是FreeBSD的ipfw那么命令是这样的:
ipfw add 1000 drop tcp from any to me tcpflags rst in
当双方都丢弃TCP复位时我们发现网页传输确实没有被封锁。在剑桥端检测传输的结果:
cam(55817) → china(http) [SYN]
china(http) → cam(55817) [SYN, ACK] TTL=41
cam(55817) → china(http) [ACK]
cam(55817) → china(http) GET /?falun HTTP/1.0
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(55817) ……其余页面内容
cam(55817) → china(http) [ACK] seq=25, ack=2921
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) [RST] TTL=49, seq=1461
china(http) → cam(55817) [RST] TTL=49, seq=2921
china(http) → cam(55817) [RST] TTL=49, seq=4381
cam(55817) → china(http) [ACK] seq=25, ack=4381
china(http) → cam(55817) [RST] TTL=49, seq=2921
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) ……其余页面内容
cam(55817) → china(http) [ACK] seq=25, ack=7301
china(http) → cam(55817) [RST] TTL=49, seq=5841
china(http) → cam(55817) [RST] TTL=49, seq=7301
china(http) → cam(55817) [RST] TTL=49, seq=4381
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) [RST] TTL=49, seq=8761
……接下来这个页面就完整了。
网页以正常方式传输,除了中间夹杂一些防火墙的TCP复位报文。由于被完全忽略(一共28个复位),它们对客户端的TCP/IP栈没有任何影响。客户端仍然继续接收网页,正常发送ACK。中国端也能看到类似的正常传输夹杂复位的情形。
这样,只是简单地忽略防火长城发出的报文我们就让它完全失效了!这无疑会让它的实现者大为恼火。
5.1 迷惑封锁
一方面是在连接建立以后通过发出TCP复位来阻断继发连接,另一方面我们也观察到一些防火墙有时还有附加策略。在一些节点(当然是随机的),我们看 见了防火墙发来的伪SYN/ACK报文。显然其序列号是随机而且无效的。如果防火墙的SYN/ACK报文比真报文先到那么连接失效──客户端从伪SYN /ACK中获取了随机的序列号并发给服务端错误的ACK,于是服务端便返回复位报文,导致客户端关闭连接。实际上,如果客户端发送GET比较快,还会收到 一批其他报文,导致防火墙和服务端的进一步复位:
cam(38104) → china(http) [SYN]
china(http) → cam(38104) [SYN, ACK] TTL=105
cam(38104) → china(http) [ACK]
cam(38104) → china(http) GET / HTTP/1.0
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [SYN, ACK] TTL=37
cam(38104) → china(http) [RST] TTL=64, seq=1
china(http) → cam(38104) [RST] TTL=49, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=3770952438
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=37, seq=1
china(http) → cam(38104) [RST] TTL=37, seq=1
对付这种防火墙的新策略比处理伪复位报文麻烦许多。因为即使客户端忽略了服务端来的(完全真实的)复位,还是会继续错误理解服务端的序列号,导致不 能与服务端同步以完成三次握手打开连接。当然如果有时候防火墙的伪SYN/ACK跑在真报文后面,就会被客户端忽略不造成任何混淆,不过防火墙仍然会坚持 不懈用复位报文来打断连接但是由于复位报文都被忽略了所以也没有用,网页照样显示。
重要的是确定来的两个SYN/ACK报文谁是真的。在样例中我们觉得它们很好区分,防火墙版的TTL值大不相同,没有DF标志,没有TCP选项。这 些伪SYN/ACK在现在为止还是像伪复位一样很好过滤的,防火长城再次失效。另外,由于只有封锁继发连接时才会使用这种策略,那么客户端可以把服务端的 TTL记下来,而防火墙是搞不清该往伪报文里填什么值的。
不过,防火墙越搞越复杂,说不定就能造出没法区分的SYN/ACK报文来了。那客户端直接把第一个收到的SYN/ACK当成防火墙发出的伪报文即 可。不过要是防火墙又来时不时来延时一下才发送伪SYN/ACK(让思维简单的机器通过,打倒思维复杂的机器!)那么这场复杂的“博弈”会升级成更深奥的 战略对决。要注意打开网页常常会有多个连接,那么防火墙即使只是搞掉其中一部分也会觉得有“胜利感”。
一个高效的客户端策略(先决条件是客户端和服务端都丢弃复位报文)是将所有传入SYN/ACK报文视为有效(防火墙以后也许会发好几个过来),然后 检查全部的序列号和确认号直到从服务端收到一个ACK以确认正确的取值。不过这对于像iptables或者ipfw这种简单的报文过滤系统来说太复杂了, 超出实现能力。
新一轮“博弈”也许是防火墙开始针对所有客户端报文伪造ACK。可能客户端可以通过检测从服务端获得的真正RST来看穿防火墙的整个伪连接,于是防 火墙连这些都要开始伪造了──这样下去策略变得不知道有多复杂。不过终端节点确实有优势来最终判断报文是来自(有状态的)对方还是(无状态的)防火墙。要 是防火墙也开始记录“状态”,那么整个主要架构的变化(虽然一定又是一笔巨大的开支)便会带来许多其他可用策略,优势也会决定性地偏向防火墙这边。
可是必须注意到,防火墙的SYN/ACK报文伪造问题不能通过改变服务端的TCP/IP栈来安全地解决。那样的话服务端需要发现客户端持续地响应的 那个“错误”的ACK值并改变自身状态以响应这个从伪SYN/ACK报文中出来的值。但这样就去掉了一个Bellovin记录的重要安全步骤,进而导致恶 意主机伪造源IP地址访问的漏洞。[36]
另外,在可以“嗅探”并伪造报文的对手面前进行安全连接,这在密钥交换协议邻域已经得到充分研究。未决的问题是,如何利用中国防火墙目前的架构性缺陷,通过对现有TCP/IP栈的简单修改来战胜防火长城。
6 拒绝服务攻击
我们前面提到,单个包含?falun之类内容的TCP报文就足以触发节点间至多长达一个小时的封锁。如果伪造源地址,就可以发起(但也是受限的)拒 绝服务(Denial of Service)攻击,阻断特定节点间的通信。不过不同的人有不同的目标,这对某些攻击者来说已经足够。比如,识别并阻止地区政府机构的主机访问 “Windows自动更新”;或者阻止某个部委访问一个联合国网站;或者阻止中国海外使馆访问家乡网站。
我们计算发现,即使是一个人通过单个拨号连接也可以发起相当有效的DoS攻击。这样一个人每秒可以产生大约100个触发性报文,假设封锁时间大约是 20分钟,那么120000对节点便可被永久封锁。当然,现在的DoS攻击几乎不会通过单个拨号方式实现,而是在快得多的网络上以巨大的数量进行。那么 120000便可以乘到你满意。不过防火墙的IDS组件也许没有资源记录如此大量的封锁连接,所以实际的影响要考虑受到此类资源限制的情况。还要注意当 IDS处理DoS攻击的时候它处理其他连接信息的资源就会变少,于是其效用也就暂时降低。
6.1 DoS攻击的限制
进一步实验显示此防火墙的封锁方式比我们迄今为止解释的还要复杂一些;因此DoS攻击的效果不一定有刚才那样说得那么好。
首先,封锁只应用于相似端口上的继发连接。[37]只有端口值前9最高有效位与触发封锁的端口对应时,防火墙才会封锁这一连接,这样的端口每次有 128个。Windows这类系统会连续分配临时端口,于是平均有64个继发连接会被封锁。(有时比如触发封锁的端口是4095那么就不会有继发封锁)反 之OpenBSD之类的系统会随机分配临时端口,于是继发连接被封锁的可能性只有1/500。
我们对防火墙的这种行为没有确定的解释。不看端口直接封锁所有连接似乎还简单有效许多。[38]这么做也许是为了避免误封NAT后面的其他用户,或 者是用来确定发送某报文的IDS。也许这么做只是有意要显得神秘而愈发有威慑力。然而从DoS攻击者的角度,除非有特殊条件可以预测临时端口,要让所有可 能端口段都被封锁所需的报文发送量便增长了500倍。
图1:中国防火墙对“坏”字符串的封锁情况。
图1:中国防火墙对“坏”字符串的封锁情况。
2006年二月上旬我们进行了一次10天的试验,每小时一次从256个相邻IP地址进行连接。这里是前128的结果;其余部分模式也十分相似。黑点表明连 接被封锁,白点表明没有封锁,灰点是结果不定(完全没有响应)。在110小时前后可见防火墙策略的显著变化(封锁更多的IP地址)。
其次,并非所有IP地址的流量都被检测过。我们每小时进行一次突发连接,发送一组256个IP地址连续的含有“?falun”的报文。起初每组报文 只有约三分之二被封锁掉,封掉的地址每次不同。不过几天之后几乎所有报文被封锁。我们无法通过逆向工程确定地址选择的算法,不过IP地址选择确有鲜明的模 式[39],暗示背后的机制可能相当简单。最直接的解释是资源匮乏──流量的三分之二也许就是整个系统可以处理的极限。显然某些时候如果一部分机器没有进 行报文检测的工作,DoS攻击也就不可能通过它们发起。
最终需要注意的就是,这些实验只是在中国内外的少量节点上进行的,虽然我们得到了足够一致的结果,但像“防火长城”这种复杂的系统我们还是可能忽略了它的某些重要特性。因此虽然我们认为DoS攻击可以在许多情况下成功,我们也不能保证任一节点对上的任一次攻击都能成功。
7 战略考虑
要让流量顺利通过中国防火墙就必须要求双方忽略复位。“世界其他地方”的机器如果想在中国也能正常访问,只需稍作调整。但在中国这边的人就不那么愿 意装一些特殊软件了。主要问题是防火墙可能做的,不仅是封锁,还有记录。随之而来的可能就是侦查,安装的特殊软件便会被查获,有人便会对你安装此种软件的 动机产生某种看法。
中国防火墙的报文检查功能也可以通过加密的方法规避。如果当局通过对内容的统计分析检测出加密通信,那么安装特殊软件遭到侦查的问题还是一样的。由 于加密系统一般会话结束后便废弃密钥,通信内容是色情还是政治演讲这是无法分辨的。如果用丢弃复位的方法穿墙,防火墙可以通过日志的方法记录封锁触发内 容,当局便可以检查日志并对这两种通信采取不同措施。这两种方法相比有人觉得丢弃复位法更有优势。
如果复位丢弃广泛以毫不相关的理由应用,中国政府可能不得不对复位丢弃软件采取更加容忍的态度。
关于软件防火墙的一些研究指出如果例行丢弃TCP复位会产生一些副作用。[40]复位报文主要是用来快速报告不受欢迎的传入连接。如果远端机工作良好,那么忽略报文而不响应复位只会产生稍微多一点的流量。
然而,对于不想丢掉所有的TCP复位的人来说,当然这里也有另一种策略。[41]目前TTL校验就是一种检测复位报文真伪的简单方法。特别地,我们 注意到Watson提出的通过第三方伪复位造成连接关闭的复位攻击[42],通常的防御手段是仔细验证序列号。如果再加上复位报文的TTL校验,就可以更 好地识别伪复位。本文作者之一编写了一段20行的FreeBDS补丁[43],可以丢弃TTL值严重偏离的复位报文。到现在用户体验都很好。其他操作系统 和个人防火墙大概也不会觉得添加这个功能很麻烦。
当然,中国防火墙也可以改进,让前面提及的规避方法难以实现。特别是它可以较容易地构造正确TTL的复位报文发往触发报文的相同方向。不过要想获得 相反方向的正确TTL就不大容易了,因为网络路由基本上是非对称的,防火墙不能透视通信的两个方向。更复杂的方法是将报文从路由队列中移除(或者延迟到内 容检测完成才放行)。除非报文在抵达终点前被阻止,我们的基本策略──无视防火墙发出的噪音──将继续有效。
另一套完全不同的防火墙策略则是当封禁被触发后不向该站点转发任何报文。不过我们前面提到此法扩展性极差,因为完成这个“内联”过程需要路由器间的快速通路──而且,全面的封锁无疑增加了DoS攻击的威力。
7.1 打破“防火长城”的公共政策动力
特别是在美国,有相当的政治利益关心着中国之外的公司如何帮助中国政府压制信息、锁定持不同政见者和异见网志作者。特别地,在2006年2月的一次 国会听证会上,相当数量的美国大型公司由于其政策和行为而受到了严厉谴责。[44]不过对于如何绕开中国的过滤技术现在也有更多的关注。比如由CIA部分 资助的SafeWeb,在2000到2003年运营了一个匿名网络代理,同时它还开发出一种昵称TriangleBoy的反审查技术。[45]2006下 半年发起的加拿大的Psiphon计划旨在让“不受审查国家的公民向在他们防火墙背后的朋友和家人提供自由的网络连接”。[46]
可以预测本文所描述的通过忽略复位报文规避中国防火墙的方法也会引起相当的兴趣。当然也会有“军备竞赛”的危险,所以双方采取的策略可能复杂得多。 让防火墙立刻失效方法也是相当直接的;不过实现这个方案需要中国外的服务器和中国内的浏览器同时丢弃复位。服务器一方显然会有动力去实现复位丢弃,因为这 样就让在中国的人可以访问。不过要是看看中国国内的情形和人们改变浏览器(或者操作系统)配置的动力就会知道事情远比这复杂得多。虽然都是运行在中国的机 器上,这些软件却都是在中国以外开发,特别是大多数软件都安装在微软开发的Windows上。
我们这里提出一个关于公共政策的问题:是否应该鼓励或者强制微软修改程序以帮助规避中国防火墙?显然对于中国的审查有着广泛谴责,那么反审查措施当 然会得到政治意见和公共意见的赞同。[47]在本节前面我们提到,对这种改进的技术性反对意见是很有限的,这种改进可以提升对第三方攻击(防火墙只是第三 方干涉网络通信的特例)的防御安全性。然而微软(以及其他操作系统和浏览器开发商)很可能不愿意冒犯中国政府,那么在被强制之前他们会一直拖下去。
一般的常识便是软件容易修改,硬件不易修改。不过把硬件改动的时间与制订新法规的时间相比就会知道,在强制供应商提供规避防火墙功能的法律生效之 前,中国政府就会采用新的封锁硬件。[48]可以推测,新的硬件会考虑到我们提到的问题并对复位丢弃免疫。因此我们认为通过立法(强制供应商)并不是实用 的办法,除非立法是普遍意义上的、不关注技术细节的。让供应商少去讨好中国政府多关心其他所有人,这才是最现实的道路。
8 结论
本文我们展示了基于报文内容检测的“防火长城”。当过滤规则触发时,伪复位报文便发向TCP连接两方。然而真正的报文亦完好通过防火墙,于是通过忽 略这些复位,通信便不受干扰。相同方向上的继发连接也被封锁(只有在端口相关的情况下),不过通过忽略复位通信仍可以顺畅继续。
以上结果对于中国当局具有相当的意义,他们也许会加强他们的系统、修补防火墙的漏洞。当然我们在前面也说,这并不容易。[49]然而对于希望自由访 问网络的中国居民来说,以上结果意义就小得多,因为他们的活动仍然受到记录和监视。只有当丢弃复位报文成为普遍做法以后,人们的才能说他们是无意中翻墙的。这种想法也不能算离谱,因为验证TCP复位是否为伪造也是TCP/IP栈应该做的。
我们还展示了封锁的副作用:为DoS攻击提供了可能性。当然这种DoS攻击只能用在特定节点之间。利用一套封锁机制来封锁什么东西这本身并没什么新意,但如果防火墙不作足够的状态记录,我们也看不到避免这种攻击的简便方法。
我们展示的结果也关系到其他使用类似复位机制来保护自身利益的国家、机构、企业。他们应该谨慎地认识到这种封锁完全依赖于被封锁者的默许。一些相对中国来说的小国家会经受更大的DoS攻击风险,因为他们的终端节点要少得多,防火墙在攻击效果变得显著之前尚不会过载。
9 补记
2007年春另外一组研究者(Jedidiah R. Crandall和其他人的“ConceptDoppler”项目)[50]的一些实验也揭露了这个防火墙的工作细节,但复位机制是基本不变的。不过他们 的测量表明复位现在开始发生在中国互联网的内部,不仅是边际路由器;且与我们一年前观察到的相比封锁在繁忙时段变得更加断断续续。他们的研究手段也让他们 可以发表一份关于被过滤话题的统计列表。
注释
* [1] OpenNet Initiative, “Internet Filtering in China in 2004–2005: A Country Study,” OpenNet Initiative, http://www.opennetinitiative.net/studies/china/ONI_China_Country_Study.pdf (accessed October 21, 2007).
* [2] OpenNet Initiative, “Probing Chinese Search Engine Filtering,” OpenNet Initiative: Bulletin 005, http://www.opennetinitiative.net/bulletins/005/ (accessed October 15, 2007).
* [3] Ronald J. Deibert and others, eds., Access Denied: The Practice and Policy of Global Internet Filtering (Cambridge: MIT Press, 2007).
* [4] Nart Villeneuve, “Censorship is in the Router,” June 3, 2005, http://ice.citizenlab.org/?p=113 (accessed October 15, 2007).
* [5] OpenNet Initiative, “Probing Chinese Search Engine Filtering.”
* [6] RST标志置位的TCP报文。这种报文表明一方要求立即关闭当前连接不再传输。
* [7] See Maximillian Dornseif, “Government Mandated Blocking of Foreign Web Content,” Security, E-Learning, E-Services: Proceedings of the 17 DFN-Arbeitstagung über Kommunikationsnetze, eds. Jan van Knop, Wilhelm Haverkamp, Eike Jessen, 617–646 (Dusseldorf, Germany: GI, 2004).
* [8] Richard Clayton, “Failures in a Hybrid Content Blocking System,” in Privacy Enhancing Technologies: 5th International Workshop Cavtat, Croatia, May 30-June 1, 2005 (Berlin, Germany: Springer, 2006): 78–92.
* [9] Richard Clayton, “Anonymity and Traceability in Cyberspace,” Technical Report (2005), http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-653.pdf (for details of the complexity, see the extensive discussion in “Anonymity and Traceability in Cyberspace”) (accessed October 15, 2007).
* [10] Benjamin Edelman, “Web Sites Sharing IP Addresses: Prevalence and Significance,” Berkman Center for Internet & Society, http://cyber.law.harvard.edu/people/edelman/ip-sharing (accessed October 15, 2007).
* [11] Dornseif, “Government Mandated Blocking,” 626–27.
* [12] Center for Democracy & Technology v. Pappert, 337 F. Supp. 2d 606 (E.D. Penn. 2004).
* [13] King Abdulaziz City for Science and Technology: Local Content Filtering Procedure. Internet Services Unit (2004), http://www.isu.net.sa/saudi-internet/contenet-filtring/filtring-mechanism.htm (accessed October 15, 2007).
* [14] OpenNet Initiative, “Internet Filtering in Burma in 2005: A Country Study,” OpenNet Initiative, http://www.opennetinitiative.net/burma/ONI_Burma_Country_Study.pdf (accessed October 15, 2007).
* [15] Telenor, “Telenor and KRIPOS Introduce Internet Child Pornography Filter,” press release, September 21, 2004, http://presse.telenor.no/PR/200409/961319_5.html (accessed October 15, 2007).
* [16] Dornseif, “Government Mandated Blocking,” 642-44; Clayton, “Failures in a Hybrid Content Blocking System,” 78–92.
* [17] IDS可以将多种不规则的表现转化为标准形式,然后与封锁列表比对作出正确决策。
* [18] 这种对称必须存在,因为防火墙需要同时封禁网络请求和回应。
* [19] Villeneuve, “Censorship is in the Router.”
* [20] SYN(同步)标志标明了打开TCP连接时的第一个报文。
* [21] 这是对SYN报文的回应,其SYN和ACK(确认)置位,用“SYN/ACK”来表示在TCP连接打开过程中的第二个报文。
* [22] 关于TCP的准确细节,和发起连接时交换SYN、SYN/ACK和ACK置位报文的方法原因,可以查阅很多好的网络通信教材,比如W. Richard Stevens, TCP/IP Illustrated, Volume 1, The Protocols (Reading, MA: Addison-Wesley, 1994)。
* [23] 当我们启用TCP时间戳且报文包含12字节TCP附加选项的时候,这个值变成1448的倍数。
* [24] TCP对所有数据报文用序列号进行标记,指示报文包含数据的顺序。当报文丢失、延迟或重复时,可以靠序列号来重建数据流。“窗口”是指在没有收到确认时最 多可以发送的数据量。现在的互联网中,检查序列号落入窗口(复位报文序列号符合预期)是避免第三方干扰连接的重要安全措施。
* [25] Paul A. Watson, “Slipping in the Window: TCP Reset Attacks,” Open Source Vulnerability Database, http://osvdb.org/reference/SlippingInTheWindow_v1.0.doc (accessed October 15, 2007).
* [26] 存活时间(TTL)初始值由报文发送者确定,通过一个路由就减一。这是为了确保报文不在路由间无穷循环,当TTL为零时报文就被丢弃了。于是通过校验TTL值可以推算报文走过的距离。
* [27] 如果复位在GET报文之前到达,则此复位报文不会被接受。服务器是FreeBSD系统,在连接的这个阶段,TCP栈接受的复位的序列号必须精确匹配上次发 送的确认的值,以防止拒绝服务攻击。在GET报文到达前其值为+1,于是这时所有的复位都是无效的。
* [28] SYN/ACK报文含有连接双方选定的序列号。
* [29] AS指特定ISP拥有的骨干网络。我们采用的是CERNET的“China ASN List”,http://bgpview.6test.edu.cn/bgp-view/cur_ana/ipv4cn /china_asnlist.shtml。互联网路由器保存有优化路径列表,而“全球路由表”表达了特定AS对地址的所有权。
* [30] See Jedidiah R. Crandall and others, “ConceptDoppler: A Weather Tracker for Internet Censorship” (14th ACM Conference on Computer and Communications Security, Alexandria, VA, October 29–November 2, 2007) http://www.cs.unm.edu/~crandall/concept_doppler_ccs07.pdf (accessed October 15, 2007).
* [31] Earl Carter, Secure Intrusion Detection Systems (Indianapolis: Cisco Press, 2001).
* [32] 即,检测报文内容的设备是在实际连接“旁边的”于是只能检测“坏”流量而不能对其有任何直接影响。
* [33] 路由器一般都有根据特定标准进行报文过滤的功能。
* [34] Yi Wang, Guohan Lu, and Xing Li, “A Study of Internet Packet Reordering,” Information Networking (Heidelberg, Germany: Springer-Berlin, 2004): 350–359.
* [35] J. Postel, ed., “Transmission Control Protocol, DARPA Internet Program Protocol Specification” (memo, Network Working Group Request for Comments, September 1981) http://www.ietf.org/rfc/rfc793.txt (accessed October 21, 2007).
* [36] S. Bellovin, memorandum, May 1996, in Network Working Group Request for Comments, “Defending Against Sequence Number Attacks,” http://www.ietf.org/rfc/rfc1948.txt (accessed October 15, 2007).
* [37] ──译注,此节所述似已过时。在翻译完成的时候译者测试发现,继发封锁跟初始端口或者继发端口没有关系,所有端口的继发连接都被屏蔽。
* [38] HTTP通信不仅在80端口(tcp/http)上被封锁,还有其他一些端口也受到影响。不过一个端口被封不影响其他邻近端口,比如80端口被封不影响433端口(tcp/https)。
* [39] 见图1。
* [40] See Clayton, “Anonymity and Traceability,” 81.
* [41] 未来中国的防火墙还可能通过FIN报文来打断连接,然而忽略所有FIN报文则会导致不能正常连接,到那时TTL校验法会更好。
* [42] Watson, “Slipping in the Window.”
* [43] Robert N. M. Watson, “Patches Associated with My Academic Research,” http://www.cl.cam.ac.uk/~rnw24/patches (accessed October 15, 2007).
* [44] Suzanne Goldenberg, “Congress Accuses Google of Collusion,” The Guardian, February 16, 2006, http://www.guardian.co.uk/china/story/0,,1710616,00.html (accessed October 15, 2007).
* [45] SafeWeb, “TriangleBoy Whitepaper,” SafeWeb, 2003, http://web.archive.org/web/20030417171335/http://www.safeweb.com/tboy_whitepaper.html (accessed October 15, 2007).
* [46] Psiphon, http://psiphon.civisec.org (accessed October 15, 2007).
* [47] Stokely Baksh, “US Calls for Fall of Great Firewall,” United Press International, February 15, 2006; Kate Allen, “Today, Our Chance to Fight a New Hi-Tech Tyranny,” Observer, May 28, 2006; Cory Doctorow, “See No Evil?,” Guardian, July 6, 2007.opinion. 47
* [48] “此法案是近年来孕育期最长的。导致此法案产生的斯科特报告是在五年半前的1996年2月发表的。保守党政府接受了此报告的提议并立即发出了资讯文书。工 人党1997年的宣言坚定承诺要采取行动。于是1998年出了那本白皮书。不过之后政府就不闻不问于是,过了三年此法案才推出。”Hansard Parliamentary Debates, Commons, 6th ser., vol. 374 (2001), col. 457.
* [49] 本文中描述的实验都是在2006年春进行的,本文的初始版发表在2006年6月的隐私增强技术研讨会上。
* [50] ──译注:见http://www.conceptdoppler.org/。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/ignore-gfw.html
相关文章:
1 引言
中华人民共和国运行的互联网过滤系统,普遍认为是世界上最复杂的系统之一。[1]其部分工作原理即是检测网络(HTTP)流量判断是否出项特定关键词。[2]这些关键词涉及一些中国政府封杀的组织、不可接受的政治意识形态、不愿讨论的历史事件。[3]
直观判断,关键词封锁发生在连接中国与外界网络的路由器组内部。[4]这些路由器利用基于入侵检测系统(IDS)技术的设备来判断报文内容是否匹配 中国政府制订的过滤规则。[5]如果客户端与服务器的一个连接需要封锁,路由器则会在数据流中注入伪TCP复位报文,于是双方便会断开连接。[6]这种封 锁一旦触发,便会持续数分钟,相同方向上的继发连接都会被伪复位直接打断。
在本文第2节我们将讨论国家阻止其公民访问特定网络内容的方法,以及以往调查者认定的优点和缺点。在第3节我们提供了从中国防火墙系统封锁的连接两 端获取的一组报文。第4节我们提出了这个防火墙的一个模型,来解释我们获得的结果。然后第5节我们将展示,通过忽略防火墙发出的TCP复位我们成功传输了 本来应该被封锁的内容,并讨论为什么这种手段防火墙难以应付。第6节我们展示了防火墙的封锁行为如何可以被利用来对第三方进行拒绝服务攻击。最后在第7 节,我们讨论了这种规避审查的方法的优缺点,并思考了中国以外的网站如何免于封锁降低访问难度,还提出公共政策能怎样鼓励人们规避审查的问题。
2 内容封锁系统
有三种显著的内容封锁手段:报文丢弃、DNS污染、内容检测。研究北威州封锁右翼纳粹内容的Dornseif的论文[7],和研究英国电信混合封锁系统封锁恋童癖网站的Clayton[8]的论文,一起确定了以上手段。
2.1 报文丢弃方案
在一种报文丢弃方案中,往特定IP地址的所有流量被全部丢弃,于是网站便无法访问。这种方案费用低廉,易于实施──标准的防火墙和路由器便已提供这 些必要特性。报文丢弃方案有两个主要问题。首先,IP地址列表必须保持最新,如果内容提供者不想让ISP轻易封锁他们的网站,保持更新的困难便暴露出来。 [9]其次,系统会导致“过度封锁”──共用同一IP的其他网站被全部封锁。Edelman调查了过度封锁的潜在程度,发现69.8% 的.com、.org和.net网站与50以上其他网站共用IP。[10](虽然一部分域名只是“停放”在一个普通网页上)其详细数字显示网站共用IP数 的连续变化图谱,反映出在一台主机上尽量多挂网站这种盛行的商业做法。
2.2 DNS污染方案
在一种DNS污染方案中,当用户查询域名服务系统(DNS)将文字的域名转换为数字的IP地址时,可以返回错误的应答或者不返回应答导致用户不能正 常访问。这类方案没有过度封锁的问题,因为禁止访问特定网站不会影响到其他网站。不过,邮件传递也需要DNS查询,如果只是封锁网站而不封锁邮件服务的 话,此类方案实现起来容易出错。Dornseif展示的样本中所有的ISP都至少有一次在实现DNS污染时出错。[11]
2.3 内容检测方案
多数内容检测方案是让所有流量通过一个代理服务器。 这个代理通过不提供禁止内容来过滤。这种系统可以做得非常精确,程度可以到屏蔽单个网页或者单个图像而让其他内容顺利通过。这类基于代理的系统没有普遍使 用的原因是,可以应付主干网络或者整个国家网络流量的系统过于昂贵。2004年9月美国宾夕法尼亚州,要求封锁包含儿童色情网站的一条州法令以违宪被裁定 无效[12]。当初由于经费原因,宾夕法尼亚的ISP采用的是报文丢弃和DNS污染的混合策略,导致的过度封锁和“前置审核限制”对地区法庭作此裁决起到 了相当的作用。不过,基于代理的系统已被部署到若干国家比如沙特阿拉伯[13]、缅甸[14],以及挪威的一些网络提供商比如Telenor[15]。 Clayton研究的英国电信的系统是一种混合设计,利用廉价缓存代理处理特定目标IP的报文。不幸这导致用户可以逆向工程得到封禁网站的列表,而这些网 站提供儿童的非法图像,这违背了此系统的公共政策目标。
进行内容检测的另一种手段则是入侵检测系统(IDS)。IDS设备可以检测通过的网络流量并判断其内容是否可接受。如果需要封禁则会调度邻近的防火 墙拦截报文,或者就中国的情况而言,发送TCP复位报文导致威胁性连接关闭。基于IDS的系统显然比其他方案更灵活,更难规避。Dornseif和 Clayton都对如何规避各种封锁进行了深入探讨。[16]然而如果通信保持清晰不加密不变形到IDS无法辨别的程度,那么无论采取什么规避手 段,IDS方法都能够将其检测出来。[17]
3 中国防火墙如何封锁连接
我们在实验中从英国剑桥(墙外)的若干机器连接了中国内的一个网站(墙内)。当前中国的防火墙系统的工作方式是完全对称的[18]──在两个方向上 检测内容并进行过滤。[19]通过从剑桥的终端发出所有的指令我们完全避免了违反中国法律的可能性。一开始我们以正常模式访问一个中国网页并记录双方的报 文流。接下来我们又发起一次有意触发封禁的请求,观察连接是如何被复位报文关闭的。我们继续“正常”的(不包含触发性词汇的)请求,却发现接下来的连接都 意外地被封锁了。接下来我们将详细描述观测结果。
3.1 复位封锁
刚开始我们只是访问一个普通网页,如预期得到完全正常的返回。如下面的转储报文所示,起始的TCP三次握手 (SYN[20],SYN/ACK[21],ACK[22])之后客户端(此实例中使用了53382端口)向服务端http端口(tcp/80)发出了超 文本传输协议(HTTP)的GET指令获取顶级页面(/),传输正常。我们使用netcat(nc)发出这个请求,没有使用网页浏览器,从而避免了无关细节。报文用ethereal截取,用一般格式表示出来。
cam(53382) → china(http) [SYN]
china(http) → cam(53382) [SYN, ACK]
cam(53382) → china(http) [ACK]
cam(53382) → china(http) GET / HTTP/1.0
china(http) → cam(53382) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(53382) ……其余页面内容
cam(53382) → china(http) [ACK]
……接下来这个页面就完整了。
我们发出另一个请求,包含了一小段可能触发封禁的文字,当然这也很快发生了:
cam(54190) → china(http) [SYN]
china(http) → cam(54190) [SYN, ACK] TTL=39
cam(54190) → china(http) [ACK]
cam(54190) → china(http) GET /?falun HTTP/1.0
china(http) → cam(54190) [RST] TTL=47, seq=1, ack=1
china(http) → cam(54190) [RST] TTL=47, seq=1461, ack=1
china(http) → cam(54190) [RST] TTL=47, seq=4381, ack=1
china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……
cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed
china(http) → cam(54190) ……其余页面内容
cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed
china(http) → cam(54190) [RST] TTL=47, seq=2921, ack=25
开头三个复位报文序列号对应了GET报文的序列号+1460和+4380(3 × 1460)。[23]我们认为防火墙发出三个不同的值是想确保发送者接受复位,即使发送者已经从目的地收到了“全长”(1460字节)ACK报文。复位报 文的序列号需要“正确”设定,因为现在多数TCP/IP实现都会严格检查序列号是否落入预期窗口。[24](这个验证序列号的内在漏洞由Watson在 2004年首先提出。[25])
此结果还显示,在连接被打断后仍然收到了从中国机发来的一部分页面。然后剑桥机响应了那两个意外报文,发送了自己的TCP复位。注意它将确认号置零 而没有使用随机初始值的相关值。收到的所有复位报文的TTL[26]都是47,而中国机来的报文的TTL都是39,说明它们来源不同。如果来源的初始值都 是64,这也许说明复位产生的地方距离服务器有8跳(hop)。 traceroute显示那是通信从Sprint网络(AS1239)进入中国网通集团网络(AS9929)后的第二台路由器。
我们也从中国服务器的视角看这次连接封锁:
cam(54190) → china(http) [SYN] TTL=42
china(http) → cam(54190) [SYN, ACK]
cam(54190) → china(http) [ACK] TTL=42
cam(54190) → china(http) GET /?falun HTTP/1.0
china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(54190) ……其余页面内容
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=1485, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=4405, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1
cam(54190) → china(http) [RST] TTL=61, seq=25, ack=2921
cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed
cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed
我们可以看到,当检测到“坏”报文,防火墙也向中国机发送复位(“[RST]”)报文,但都在GET报文(以及其响应报文)后面。最后两个复位报文(零确认号)是剑桥机发送的。
其他到中国机的复位(因为有“falun”而生成的)TTL都是61,这意味着它们在3跳以外生成,初始值为64。这跟剑桥观测到的8跳偏移不一 样。不过这说明可能有不止一台设备在生成复位──或者初始值经过调整不是64。我们目前对于观测到的这种不对称性没有确定的解释。
开始三个复位的序列号也设置在一定范围(+25,+1485,+4405)以确保命中,事实上+25报文就已经重置了连接。[27]第四、五个复位报文检查确认号发现,它们可以视作连接重置前中国机成功发送的两个报文的响应。
3.2 直接重置连接
防火墙不仅检测内容,还有其他封锁规则。我们发现,只要进行一次“坏”连接,在短时间内相同两主机之间的所有网络通信在经过检查之前就都被封锁了。前面也是连接被封搜,不过现在开始继发连接也会被封锁了。比如,在上面一例以后立刻继续,我们看到:
cam(54191) → china(http) [SYN]
china(http) → cam(54191) [SYN, ACK] TTL=41
cam(54191) → china(http) [ACK]
china(http) → cam(54191) [RST] TTL=49, seq=1
复位报文从防火墙而来(也往服务器而去)随之客户端便关闭了连接。如果客户端在复位到达前成功发送GET报文,便会接着收到多个防火墙发来的复位 (即使GET报文是完全无毒的)。接下来便是从服务端来的复位──服务器收到复位后便会立刻在GET到达前关闭连接。由于GET发来时不再存在打开的连 接,服务端便按照协议返回一个复位。值得注意的是,防火墙在SYN阶段(三次握手阶段一)没有试图重置连接,而是等到了SYN/ACK(阶段二)。虽然可 以在客户端一发出SYN就给它复位报文,但只有等到SYN/ACK才能构造出对服务端起作用的有效复位。[28]
在实验中我们发现,节点被阻断通信的时间是可变的。有时候是几分钟,有时候可能是一小时。平均时间大概在20分钟,不过由于观测到时间值有在特定值 附近聚集的显著趋势,我们怀疑不同的防火墙组件有不同的时间延迟设定;这就需要深入理解是到底是谁在处理通信,才能较准确地预测封锁周期。
3.3 其他中国网络的情况
我们获取了中国自治系统(AS)的一个列表,并从中生成了在全球路由表中所有中国子网的列表。[29]然后我们利用了一个修改过的 tcptraceroute,判断出通信是通过哪个AS从国际网络进入中国,并从中得知了中国主干边际网络的实体。结果便 是:AS4134,AS4837,AS7497,AS9800,AS9808,AS9929,AS17622,AS24301和AS24489。然后我们 在各个AS中挑选了样例服务器测试,发现所有网络都有都跟前面描述相似的复位行为(除了AS24489:跨欧亚信息网)。以此我们可以推出:我们的结果正 展示了典型的“防火长城”系统。情况在2006年5月下旬是这样的,但并不一定普遍适用。[30]
4 防火长城的设计
基于以上实验结果,以及中国使用的技术设备类型的描述──比如思科的“安全入侵检测系统”[31]──我们提出以下模型来描述中国防火墙中路由器的工作方式(此模型很符合观测,但仍是推论性的,因为中国的网络提供商没有发布关于这些系统的任何技术规格):
当报文到达路由便被立刻放入适当的向前传输队列。此报文也被送到带外IDS设备进行内容检测。如果IDS(关键词匹配)认为此报文“不好”,那么便为连接两端各生成三个TCP复位报文(有三个不同的序列号)交由路由器传输。[32]
IDS在逻辑上是与路由器分离的,很难从路由传输队列中去除或者延迟“坏”报文。然而发出复位关闭连接是相对简单的。如果路由器相对繁忙,而IDS 工作正常,复位报文会在“坏”报文之前发送;这也是我们在实验中观测到的主要情况,虽然有时候复位报文会拖在后面。复位报文的设定值充分显示出,设计者担 心与路由器相比IDS的拥塞导致“坏”报文跑在复位报文前面。这种设计中如果不发送附加的复位,在繁忙情况下防火墙是无法保证封锁的可靠性的。
一旦IDS检测到需要封锁的行为,它也可以向主路由器添加一条简单的丢弃规则而不发出复位。[33]我们相当怀疑这种做法在主干高速路由器上扩展性差,而在IDS内的封锁简单而廉价。
我们还观测封锁的时长得知,提供防火墙功能的设备不止一个。我们进行了进一步实验,发送256个包含威胁性字串的报文通过防火墙,虽然是从一个机器 上发出的,但将它们的源地址设置分别为256个连续的IP地址值,即中国防火墙会认为这是256个不同机器在发送需要封锁的内容。结果是,我们观测到有时 候返回的复位报文是乱序的。然而现代互联网处理报文基本上是用FIFO(先进先出)队列,[34]那么对于这种失序的最简单解释便是,不同的报文给了不同 的IDS,它们各有各的FIFO队列但在发送复位时负载不一样。可惜我们发现这个实验引起了很多的报文丢失(不是所有的连接都返回了应有的复位报文),不 能对报文失序程度有直观感受。这样我们也没法(通过队列建模)确定平行IDS设备的数量下界。我们计划以后再做这个实验。
4.1 防火墙“状态”
没有证据证明带外IDS设备互相通信,并共享网络连接“状态”的记录。实验表明在一个边际网络触发防火墙不影响通过其他边际网络的通信。
而在“状态”本来应该保留的地方(IDS设备中)却没有关于TCP状态的检查。设备孤立地检查报文,于是将?falun分散到相邻两个报文就足以避 免检测。更有甚者,这些设备对于是否有连接存在也不关注,我们的许多测试中甚至没有进行三次握手打开连接就直接发送GET报文。事实上除了初始检测之后的 持续封锁,没有证据证明IDS设备做了其他什么特别的事情,IDS只是一次检查一个报文而已。
5 有意忽略复位
防火墙完全依赖于终端节点以标准兼容方式实现TCP协议[35],在收到复位报文时中断连接。如上所述,虽然有时候防火墙有点超常,复位报文跑在 GET报文前面结果被仔细验证一番以后丢掉了,不过在下一个报文到达防火墙的时候连接就会被防火墙摧毁所以,总得来说还是没有什么区别。
不过现在考虑如果终端节点不遵守标准然后TCP复位被彻底忽略的情况,我们会想到,即使触发了IDS,防火墙也对HTTP传输没有任何影响。于是我 们进行了深入实验两边的终端节点都忽略TCP复位的情况。这有许多方法可以实现,我们选择设置合适的报文过滤防火墙规则。在Linux可以安装 iptables并使用此命令:
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
来丢弃传入的RST置位报文。如果是FreeBSD的ipfw那么命令是这样的:
ipfw add 1000 drop tcp from any to me tcpflags rst in
当双方都丢弃TCP复位时我们发现网页传输确实没有被封锁。在剑桥端检测传输的结果:
cam(55817) → china(http) [SYN]
china(http) → cam(55817) [SYN, ACK] TTL=41
cam(55817) → china(http) [ACK]
cam(55817) → china(http) GET /?falun HTTP/1.0
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) [RST] TTL=49, seq=1
china(http) → cam(55817) HTTP/1.1 200 OK (text/html) ……
china(http) → cam(55817) ……其余页面内容
cam(55817) → china(http) [ACK] seq=25, ack=2921
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) [RST] TTL=49, seq=1461
china(http) → cam(55817) [RST] TTL=49, seq=2921
china(http) → cam(55817) [RST] TTL=49, seq=4381
cam(55817) → china(http) [ACK] seq=25, ack=4381
china(http) → cam(55817) [RST] TTL=49, seq=2921
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) ……其余页面内容
cam(55817) → china(http) [ACK] seq=25, ack=7301
china(http) → cam(55817) [RST] TTL=49, seq=5841
china(http) → cam(55817) [RST] TTL=49, seq=7301
china(http) → cam(55817) [RST] TTL=49, seq=4381
china(http) → cam(55817) ……其余页面内容
china(http) → cam(55817) [RST] TTL=49, seq=8761
……接下来这个页面就完整了。
网页以正常方式传输,除了中间夹杂一些防火墙的TCP复位报文。由于被完全忽略(一共28个复位),它们对客户端的TCP/IP栈没有任何影响。客户端仍然继续接收网页,正常发送ACK。中国端也能看到类似的正常传输夹杂复位的情形。
这样,只是简单地忽略防火长城发出的报文我们就让它完全失效了!这无疑会让它的实现者大为恼火。
5.1 迷惑封锁
一方面是在连接建立以后通过发出TCP复位来阻断继发连接,另一方面我们也观察到一些防火墙有时还有附加策略。在一些节点(当然是随机的),我们看 见了防火墙发来的伪SYN/ACK报文。显然其序列号是随机而且无效的。如果防火墙的SYN/ACK报文比真报文先到那么连接失效──客户端从伪SYN /ACK中获取了随机的序列号并发给服务端错误的ACK,于是服务端便返回复位报文,导致客户端关闭连接。实际上,如果客户端发送GET比较快,还会收到 一批其他报文,导致防火墙和服务端的进一步复位:
cam(38104) → china(http) [SYN]
china(http) → cam(38104) [SYN, ACK] TTL=105
cam(38104) → china(http) [ACK]
cam(38104) → china(http) GET / HTTP/1.0
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [SYN, ACK] TTL=37
cam(38104) → china(http) [RST] TTL=64, seq=1
china(http) → cam(38104) [RST] TTL=49, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=3770952438
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=45, seq=1
china(http) → cam(38104) [RST] TTL=37, seq=1
china(http) → cam(38104) [RST] TTL=37, seq=1
对付这种防火墙的新策略比处理伪复位报文麻烦许多。因为即使客户端忽略了服务端来的(完全真实的)复位,还是会继续错误理解服务端的序列号,导致不 能与服务端同步以完成三次握手打开连接。当然如果有时候防火墙的伪SYN/ACK跑在真报文后面,就会被客户端忽略不造成任何混淆,不过防火墙仍然会坚持 不懈用复位报文来打断连接但是由于复位报文都被忽略了所以也没有用,网页照样显示。
重要的是确定来的两个SYN/ACK报文谁是真的。在样例中我们觉得它们很好区分,防火墙版的TTL值大不相同,没有DF标志,没有TCP选项。这 些伪SYN/ACK在现在为止还是像伪复位一样很好过滤的,防火长城再次失效。另外,由于只有封锁继发连接时才会使用这种策略,那么客户端可以把服务端的 TTL记下来,而防火墙是搞不清该往伪报文里填什么值的。
不过,防火墙越搞越复杂,说不定就能造出没法区分的SYN/ACK报文来了。那客户端直接把第一个收到的SYN/ACK当成防火墙发出的伪报文即 可。不过要是防火墙又来时不时来延时一下才发送伪SYN/ACK(让思维简单的机器通过,打倒思维复杂的机器!)那么这场复杂的“博弈”会升级成更深奥的 战略对决。要注意打开网页常常会有多个连接,那么防火墙即使只是搞掉其中一部分也会觉得有“胜利感”。
一个高效的客户端策略(先决条件是客户端和服务端都丢弃复位报文)是将所有传入SYN/ACK报文视为有效(防火墙以后也许会发好几个过来),然后 检查全部的序列号和确认号直到从服务端收到一个ACK以确认正确的取值。不过这对于像iptables或者ipfw这种简单的报文过滤系统来说太复杂了, 超出实现能力。
新一轮“博弈”也许是防火墙开始针对所有客户端报文伪造ACK。可能客户端可以通过检测从服务端获得的真正RST来看穿防火墙的整个伪连接,于是防 火墙连这些都要开始伪造了──这样下去策略变得不知道有多复杂。不过终端节点确实有优势来最终判断报文是来自(有状态的)对方还是(无状态的)防火墙。要 是防火墙也开始记录“状态”,那么整个主要架构的变化(虽然一定又是一笔巨大的开支)便会带来许多其他可用策略,优势也会决定性地偏向防火墙这边。
可是必须注意到,防火墙的SYN/ACK报文伪造问题不能通过改变服务端的TCP/IP栈来安全地解决。那样的话服务端需要发现客户端持续地响应的 那个“错误”的ACK值并改变自身状态以响应这个从伪SYN/ACK报文中出来的值。但这样就去掉了一个Bellovin记录的重要安全步骤,进而导致恶 意主机伪造源IP地址访问的漏洞。[36]
另外,在可以“嗅探”并伪造报文的对手面前进行安全连接,这在密钥交换协议邻域已经得到充分研究。未决的问题是,如何利用中国防火墙目前的架构性缺陷,通过对现有TCP/IP栈的简单修改来战胜防火长城。
6 拒绝服务攻击
我们前面提到,单个包含?falun之类内容的TCP报文就足以触发节点间至多长达一个小时的封锁。如果伪造源地址,就可以发起(但也是受限的)拒 绝服务(Denial of Service)攻击,阻断特定节点间的通信。不过不同的人有不同的目标,这对某些攻击者来说已经足够。比如,识别并阻止地区政府机构的主机访问 “Windows自动更新”;或者阻止某个部委访问一个联合国网站;或者阻止中国海外使馆访问家乡网站。
我们计算发现,即使是一个人通过单个拨号连接也可以发起相当有效的DoS攻击。这样一个人每秒可以产生大约100个触发性报文,假设封锁时间大约是 20分钟,那么120000对节点便可被永久封锁。当然,现在的DoS攻击几乎不会通过单个拨号方式实现,而是在快得多的网络上以巨大的数量进行。那么 120000便可以乘到你满意。不过防火墙的IDS组件也许没有资源记录如此大量的封锁连接,所以实际的影响要考虑受到此类资源限制的情况。还要注意当 IDS处理DoS攻击的时候它处理其他连接信息的资源就会变少,于是其效用也就暂时降低。
6.1 DoS攻击的限制
进一步实验显示此防火墙的封锁方式比我们迄今为止解释的还要复杂一些;因此DoS攻击的效果不一定有刚才那样说得那么好。
首先,封锁只应用于相似端口上的继发连接。[37]只有端口值前9最高有效位与触发封锁的端口对应时,防火墙才会封锁这一连接,这样的端口每次有 128个。Windows这类系统会连续分配临时端口,于是平均有64个继发连接会被封锁。(有时比如触发封锁的端口是4095那么就不会有继发封锁)反 之OpenBSD之类的系统会随机分配临时端口,于是继发连接被封锁的可能性只有1/500。
我们对防火墙的这种行为没有确定的解释。不看端口直接封锁所有连接似乎还简单有效许多。[38]这么做也许是为了避免误封NAT后面的其他用户,或 者是用来确定发送某报文的IDS。也许这么做只是有意要显得神秘而愈发有威慑力。然而从DoS攻击者的角度,除非有特殊条件可以预测临时端口,要让所有可 能端口段都被封锁所需的报文发送量便增长了500倍。
图1:中国防火墙对“坏”字符串的封锁情况。
图1:中国防火墙对“坏”字符串的封锁情况。
2006年二月上旬我们进行了一次10天的试验,每小时一次从256个相邻IP地址进行连接。这里是前128的结果;其余部分模式也十分相似。黑点表明连 接被封锁,白点表明没有封锁,灰点是结果不定(完全没有响应)。在110小时前后可见防火墙策略的显著变化(封锁更多的IP地址)。
其次,并非所有IP地址的流量都被检测过。我们每小时进行一次突发连接,发送一组256个IP地址连续的含有“?falun”的报文。起初每组报文 只有约三分之二被封锁掉,封掉的地址每次不同。不过几天之后几乎所有报文被封锁。我们无法通过逆向工程确定地址选择的算法,不过IP地址选择确有鲜明的模 式[39],暗示背后的机制可能相当简单。最直接的解释是资源匮乏──流量的三分之二也许就是整个系统可以处理的极限。显然某些时候如果一部分机器没有进 行报文检测的工作,DoS攻击也就不可能通过它们发起。
最终需要注意的就是,这些实验只是在中国内外的少量节点上进行的,虽然我们得到了足够一致的结果,但像“防火长城”这种复杂的系统我们还是可能忽略了它的某些重要特性。因此虽然我们认为DoS攻击可以在许多情况下成功,我们也不能保证任一节点对上的任一次攻击都能成功。
7 战略考虑
要让流量顺利通过中国防火墙就必须要求双方忽略复位。“世界其他地方”的机器如果想在中国也能正常访问,只需稍作调整。但在中国这边的人就不那么愿 意装一些特殊软件了。主要问题是防火墙可能做的,不仅是封锁,还有记录。随之而来的可能就是侦查,安装的特殊软件便会被查获,有人便会对你安装此种软件的 动机产生某种看法。
中国防火墙的报文检查功能也可以通过加密的方法规避。如果当局通过对内容的统计分析检测出加密通信,那么安装特殊软件遭到侦查的问题还是一样的。由 于加密系统一般会话结束后便废弃密钥,通信内容是色情还是政治演讲这是无法分辨的。如果用丢弃复位的方法穿墙,防火墙可以通过日志的方法记录封锁触发内 容,当局便可以检查日志并对这两种通信采取不同措施。这两种方法相比有人觉得丢弃复位法更有优势。
如果复位丢弃广泛以毫不相关的理由应用,中国政府可能不得不对复位丢弃软件采取更加容忍的态度。
关于软件防火墙的一些研究指出如果例行丢弃TCP复位会产生一些副作用。[40]复位报文主要是用来快速报告不受欢迎的传入连接。如果远端机工作良好,那么忽略报文而不响应复位只会产生稍微多一点的流量。
然而,对于不想丢掉所有的TCP复位的人来说,当然这里也有另一种策略。[41]目前TTL校验就是一种检测复位报文真伪的简单方法。特别地,我们 注意到Watson提出的通过第三方伪复位造成连接关闭的复位攻击[42],通常的防御手段是仔细验证序列号。如果再加上复位报文的TTL校验,就可以更 好地识别伪复位。本文作者之一编写了一段20行的FreeBDS补丁[43],可以丢弃TTL值严重偏离的复位报文。到现在用户体验都很好。其他操作系统 和个人防火墙大概也不会觉得添加这个功能很麻烦。
当然,中国防火墙也可以改进,让前面提及的规避方法难以实现。特别是它可以较容易地构造正确TTL的复位报文发往触发报文的相同方向。不过要想获得 相反方向的正确TTL就不大容易了,因为网络路由基本上是非对称的,防火墙不能透视通信的两个方向。更复杂的方法是将报文从路由队列中移除(或者延迟到内 容检测完成才放行)。除非报文在抵达终点前被阻止,我们的基本策略──无视防火墙发出的噪音──将继续有效。
另一套完全不同的防火墙策略则是当封禁被触发后不向该站点转发任何报文。不过我们前面提到此法扩展性极差,因为完成这个“内联”过程需要路由器间的快速通路──而且,全面的封锁无疑增加了DoS攻击的威力。
7.1 打破“防火长城”的公共政策动力
特别是在美国,有相当的政治利益关心着中国之外的公司如何帮助中国政府压制信息、锁定持不同政见者和异见网志作者。特别地,在2006年2月的一次 国会听证会上,相当数量的美国大型公司由于其政策和行为而受到了严厉谴责。[44]不过对于如何绕开中国的过滤技术现在也有更多的关注。比如由CIA部分 资助的SafeWeb,在2000到2003年运营了一个匿名网络代理,同时它还开发出一种昵称TriangleBoy的反审查技术。[45]2006下 半年发起的加拿大的Psiphon计划旨在让“不受审查国家的公民向在他们防火墙背后的朋友和家人提供自由的网络连接”。[46]
可以预测本文所描述的通过忽略复位报文规避中国防火墙的方法也会引起相当的兴趣。当然也会有“军备竞赛”的危险,所以双方采取的策略可能复杂得多。 让防火墙立刻失效方法也是相当直接的;不过实现这个方案需要中国外的服务器和中国内的浏览器同时丢弃复位。服务器一方显然会有动力去实现复位丢弃,因为这 样就让在中国的人可以访问。不过要是看看中国国内的情形和人们改变浏览器(或者操作系统)配置的动力就会知道事情远比这复杂得多。虽然都是运行在中国的机 器上,这些软件却都是在中国以外开发,特别是大多数软件都安装在微软开发的Windows上。
我们这里提出一个关于公共政策的问题:是否应该鼓励或者强制微软修改程序以帮助规避中国防火墙?显然对于中国的审查有着广泛谴责,那么反审查措施当 然会得到政治意见和公共意见的赞同。[47]在本节前面我们提到,对这种改进的技术性反对意见是很有限的,这种改进可以提升对第三方攻击(防火墙只是第三 方干涉网络通信的特例)的防御安全性。然而微软(以及其他操作系统和浏览器开发商)很可能不愿意冒犯中国政府,那么在被强制之前他们会一直拖下去。
一般的常识便是软件容易修改,硬件不易修改。不过把硬件改动的时间与制订新法规的时间相比就会知道,在强制供应商提供规避防火墙功能的法律生效之 前,中国政府就会采用新的封锁硬件。[48]可以推测,新的硬件会考虑到我们提到的问题并对复位丢弃免疫。因此我们认为通过立法(强制供应商)并不是实用 的办法,除非立法是普遍意义上的、不关注技术细节的。让供应商少去讨好中国政府多关心其他所有人,这才是最现实的道路。
8 结论
本文我们展示了基于报文内容检测的“防火长城”。当过滤规则触发时,伪复位报文便发向TCP连接两方。然而真正的报文亦完好通过防火墙,于是通过忽 略这些复位,通信便不受干扰。相同方向上的继发连接也被封锁(只有在端口相关的情况下),不过通过忽略复位通信仍可以顺畅继续。
以上结果对于中国当局具有相当的意义,他们也许会加强他们的系统、修补防火墙的漏洞。当然我们在前面也说,这并不容易。[49]然而对于希望自由访 问网络的中国居民来说,以上结果意义就小得多,因为他们的活动仍然受到记录和监视。只有当丢弃复位报文成为普遍做法以后,人们的才能说他们是无意中翻墙的。这种想法也不能算离谱,因为验证TCP复位是否为伪造也是TCP/IP栈应该做的。
我们还展示了封锁的副作用:为DoS攻击提供了可能性。当然这种DoS攻击只能用在特定节点之间。利用一套封锁机制来封锁什么东西这本身并没什么新意,但如果防火墙不作足够的状态记录,我们也看不到避免这种攻击的简便方法。
我们展示的结果也关系到其他使用类似复位机制来保护自身利益的国家、机构、企业。他们应该谨慎地认识到这种封锁完全依赖于被封锁者的默许。一些相对中国来说的小国家会经受更大的DoS攻击风险,因为他们的终端节点要少得多,防火墙在攻击效果变得显著之前尚不会过载。
9 补记
2007年春另外一组研究者(Jedidiah R. Crandall和其他人的“ConceptDoppler”项目)[50]的一些实验也揭露了这个防火墙的工作细节,但复位机制是基本不变的。不过他们 的测量表明复位现在开始发生在中国互联网的内部,不仅是边际路由器;且与我们一年前观察到的相比封锁在繁忙时段变得更加断断续续。他们的研究手段也让他们 可以发表一份关于被过滤话题的统计列表。
注释
* [1] OpenNet Initiative, “Internet Filtering in China in 2004–2005: A Country Study,” OpenNet Initiative, http://www.opennetinitiative.net/studies/china/ONI_China_Country_Study.pdf (accessed October 21, 2007).
* [2] OpenNet Initiative, “Probing Chinese Search Engine Filtering,” OpenNet Initiative: Bulletin 005, http://www.opennetinitiative.net/bulletins/005/ (accessed October 15, 2007).
* [3] Ronald J. Deibert and others, eds., Access Denied: The Practice and Policy of Global Internet Filtering (Cambridge: MIT Press, 2007).
* [4] Nart Villeneuve, “Censorship is in the Router,” June 3, 2005, http://ice.citizenlab.org/?p=113 (accessed October 15, 2007).
* [5] OpenNet Initiative, “Probing Chinese Search Engine Filtering.”
* [6] RST标志置位的TCP报文。这种报文表明一方要求立即关闭当前连接不再传输。
* [7] See Maximillian Dornseif, “Government Mandated Blocking of Foreign Web Content,” Security, E-Learning, E-Services: Proceedings of the 17 DFN-Arbeitstagung über Kommunikationsnetze, eds. Jan van Knop, Wilhelm Haverkamp, Eike Jessen, 617–646 (Dusseldorf, Germany: GI, 2004).
* [8] Richard Clayton, “Failures in a Hybrid Content Blocking System,” in Privacy Enhancing Technologies: 5th International Workshop Cavtat, Croatia, May 30-June 1, 2005 (Berlin, Germany: Springer, 2006): 78–92.
* [9] Richard Clayton, “Anonymity and Traceability in Cyberspace,” Technical Report (2005), http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-653.pdf (for details of the complexity, see the extensive discussion in “Anonymity and Traceability in Cyberspace”) (accessed October 15, 2007).
* [10] Benjamin Edelman, “Web Sites Sharing IP Addresses: Prevalence and Significance,” Berkman Center for Internet & Society, http://cyber.law.harvard.edu/people/edelman/ip-sharing (accessed October 15, 2007).
* [11] Dornseif, “Government Mandated Blocking,” 626–27.
* [12] Center for Democracy & Technology v. Pappert, 337 F. Supp. 2d 606 (E.D. Penn. 2004).
* [13] King Abdulaziz City for Science and Technology: Local Content Filtering Procedure. Internet Services Unit (2004), http://www.isu.net.sa/saudi-internet/contenet-filtring/filtring-mechanism.htm (accessed October 15, 2007).
* [14] OpenNet Initiative, “Internet Filtering in Burma in 2005: A Country Study,” OpenNet Initiative, http://www.opennetinitiative.net/burma/ONI_Burma_Country_Study.pdf (accessed October 15, 2007).
* [15] Telenor, “Telenor and KRIPOS Introduce Internet Child Pornography Filter,” press release, September 21, 2004, http://presse.telenor.no/PR/200409/961319_5.html (accessed October 15, 2007).
* [16] Dornseif, “Government Mandated Blocking,” 642-44; Clayton, “Failures in a Hybrid Content Blocking System,” 78–92.
* [17] IDS可以将多种不规则的表现转化为标准形式,然后与封锁列表比对作出正确决策。
* [18] 这种对称必须存在,因为防火墙需要同时封禁网络请求和回应。
* [19] Villeneuve, “Censorship is in the Router.”
* [20] SYN(同步)标志标明了打开TCP连接时的第一个报文。
* [21] 这是对SYN报文的回应,其SYN和ACK(确认)置位,用“SYN/ACK”来表示在TCP连接打开过程中的第二个报文。
* [22] 关于TCP的准确细节,和发起连接时交换SYN、SYN/ACK和ACK置位报文的方法原因,可以查阅很多好的网络通信教材,比如W. Richard Stevens, TCP/IP Illustrated, Volume 1, The Protocols (Reading, MA: Addison-Wesley, 1994)。
* [23] 当我们启用TCP时间戳且报文包含12字节TCP附加选项的时候,这个值变成1448的倍数。
* [24] TCP对所有数据报文用序列号进行标记,指示报文包含数据的顺序。当报文丢失、延迟或重复时,可以靠序列号来重建数据流。“窗口”是指在没有收到确认时最 多可以发送的数据量。现在的互联网中,检查序列号落入窗口(复位报文序列号符合预期)是避免第三方干扰连接的重要安全措施。
* [25] Paul A. Watson, “Slipping in the Window: TCP Reset Attacks,” Open Source Vulnerability Database, http://osvdb.org/reference/SlippingInTheWindow_v1.0.doc (accessed October 15, 2007).
* [26] 存活时间(TTL)初始值由报文发送者确定,通过一个路由就减一。这是为了确保报文不在路由间无穷循环,当TTL为零时报文就被丢弃了。于是通过校验TTL值可以推算报文走过的距离。
* [27] 如果复位在GET报文之前到达,则此复位报文不会被接受。服务器是FreeBSD系统,在连接的这个阶段,TCP栈接受的复位的序列号必须精确匹配上次发 送的确认的值,以防止拒绝服务攻击。在GET报文到达前其值为+1,于是这时所有的复位都是无效的。
* [28] SYN/ACK报文含有连接双方选定的序列号。
* [29] AS指特定ISP拥有的骨干网络。我们采用的是CERNET的“China ASN List”,http://bgpview.6test.edu.cn/bgp-view/cur_ana/ipv4cn /china_asnlist.shtml。互联网路由器保存有优化路径列表,而“全球路由表”表达了特定AS对地址的所有权。
* [30] See Jedidiah R. Crandall and others, “ConceptDoppler: A Weather Tracker for Internet Censorship” (14th ACM Conference on Computer and Communications Security, Alexandria, VA, October 29–November 2, 2007) http://www.cs.unm.edu/~crandall/concept_doppler_ccs07.pdf (accessed October 15, 2007).
* [31] Earl Carter, Secure Intrusion Detection Systems (Indianapolis: Cisco Press, 2001).
* [32] 即,检测报文内容的设备是在实际连接“旁边的”于是只能检测“坏”流量而不能对其有任何直接影响。
* [33] 路由器一般都有根据特定标准进行报文过滤的功能。
* [34] Yi Wang, Guohan Lu, and Xing Li, “A Study of Internet Packet Reordering,” Information Networking (Heidelberg, Germany: Springer-Berlin, 2004): 350–359.
* [35] J. Postel, ed., “Transmission Control Protocol, DARPA Internet Program Protocol Specification” (memo, Network Working Group Request for Comments, September 1981) http://www.ietf.org/rfc/rfc793.txt (accessed October 21, 2007).
* [36] S. Bellovin, memorandum, May 1996, in Network Working Group Request for Comments, “Defending Against Sequence Number Attacks,” http://www.ietf.org/rfc/rfc1948.txt (accessed October 15, 2007).
* [37] ──译注,此节所述似已过时。在翻译完成的时候译者测试发现,继发封锁跟初始端口或者继发端口没有关系,所有端口的继发连接都被屏蔽。
* [38] HTTP通信不仅在80端口(tcp/http)上被封锁,还有其他一些端口也受到影响。不过一个端口被封不影响其他邻近端口,比如80端口被封不影响433端口(tcp/https)。
* [39] 见图1。
* [40] See Clayton, “Anonymity and Traceability,” 81.
* [41] 未来中国的防火墙还可能通过FIN报文来打断连接,然而忽略所有FIN报文则会导致不能正常连接,到那时TTL校验法会更好。
* [42] Watson, “Slipping in the Window.”
* [43] Robert N. M. Watson, “Patches Associated with My Academic Research,” http://www.cl.cam.ac.uk/~rnw24/patches (accessed October 15, 2007).
* [44] Suzanne Goldenberg, “Congress Accuses Google of Collusion,” The Guardian, February 16, 2006, http://www.guardian.co.uk/china/story/0,,1710616,00.html (accessed October 15, 2007).
* [45] SafeWeb, “TriangleBoy Whitepaper,” SafeWeb, 2003, http://web.archive.org/web/20030417171335/http://www.safeweb.com/tboy_whitepaper.html (accessed October 15, 2007).
* [46] Psiphon, http://psiphon.civisec.org (accessed October 15, 2007).
* [47] Stokely Baksh, “US Calls for Fall of Great Firewall,” United Press International, February 15, 2006; Kate Allen, “Today, Our Chance to Fight a New Hi-Tech Tyranny,” Observer, May 28, 2006; Cory Doctorow, “See No Evil?,” Guardian, July 6, 2007.opinion. 47
* [48] “此法案是近年来孕育期最长的。导致此法案产生的斯科特报告是在五年半前的1996年2月发表的。保守党政府接受了此报告的提议并立即发出了资讯文书。工 人党1997年的宣言坚定承诺要采取行动。于是1998年出了那本白皮书。不过之后政府就不闻不问于是,过了三年此法案才推出。”Hansard Parliamentary Debates, Commons, 6th ser., vol. 374 (2001), col. 457.
* [49] 本文中描述的实验都是在2006年春进行的,本文的初始版发表在2006年6月的隐私增强技术研讨会上。
* [50] ──译注:见http://www.conceptdoppler.org/。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/ignore-gfw.html
相关文章:
Godaddy域名DNS被墙免费解决办法--翻墙花园
继前几天Google服务抽风无法访问后,我们伟大的墙,终于看上我这个小站了,域名解析被屏蔽(IP 地址并没有屏蔽掉),解决办法有两种,1.通过访问电脑的 DNS 到 8.8.8.8,2.在 Host 文件里写一条记录。但是不能要求所有的网站来宾都这样做呀。
添加好域名后,可以点击域名进入 DNS 解析设置,这时可以看到 DNSPOD 已经为这个域名设置了 NS (NameServer) 记录。
这正是我们需要去 Godaddy 为这个域名设置的。
进入 Godaddy 的域名管理,可以看到左下就是 NS设置
将原有的值修改为刚才在 DNSPOD 看到的
F1G1NS1.DNSPOD.NET
F1G1NS2.DNSPOD.NET
修改完后,Godaddy 提示您需要2小时生效,没关系,我们可以先回到 DNSPOD,为域名添加 A 记录以及其他你需要的记录。
DNSPOD 提供域名诊断功能,可以查看域名的解析情况,这个功能可谓是贴心呀。
域名修改 DNS,需要 2 小时生效,耐心等吧。
如果你的域名也被屏蔽了解析(IP 地址没被屏蔽),那么也可以通过这种方法解决国内的访问问题。
原文:http://felixqu.com/index.php/2012/09/07/godaddy-dns-be-banned-solve/
获取最新穿墙软件?请发电邮(最好用gmail)到:cdtcaonima@gmail.com。《中国数字时代》开通IPv6,欢迎穿墙阅
读。翻越防火长城,你可以到达世界上的每一个角落。(Across the Great Firewall, you can reach every
corner in the world.)翻墙利器赛风3下载地址:http://dld.bz/caonima326 http://dld.bz/caonima745
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/godaddy-dns-fanqiang.html
相关文章:
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/godaddy-dns-fanqiang.html
相关文章:
GFW封锁OpenVPN与加密流分类的学术论文--翻墙花园
转载自:hikinggfw.org,原文地址:http://www.hikinggfw.org/wp/?p=1
一篇有方校长署名的一篇综述文章“网络流量分类研究进展与展望(http://jcjs.siat.ac.cn/ch/reader/view_abstract.aspx?file_no=201205006&flag=1)”,其中介绍了流量分类面临的挑战与技术手段,部分内容似乎与最近封锁OpenVPN有关:
4.2 加密流量分类
随着网络资源和带宽的逐渐完善,用户更注意保护隐私,加密应用被广泛使用,加密流分类成为流量 分类中的挑战性问题之一。
传统的基于熟知端口号的流分类方法在大多应用 端口随机可变和端口共用情况下已经失效,而基于有 效负载的流分类方法对加密流量也束手无策,并且存 在隐私侵犯的问题,耗费资源较大。
2006年以来,在流量分类领域,对加密流的分类 问题成为一个重要的研究方面,大多数研究都采用了 基于流特征的统计识别方法。目前研究的加密流量主 要包括四类典型流量:SSH隧道、IPSEC隧道、SSL, 以及P2P的加密流量。其中,对于SSH的研究较多, 主要侧重于对SSH隧道中的应用进行有效的分类识 别,使用的方法基本都是基于流特征的识别,主要使 用机器学习的方法,例如朴素贝叶斯、C4.5决策树、 SVM、k-means、k-nearest neighbor等算法,还有 基于高斯混合模型(Gaussian mixture models)、 隐马尔可夫模型(hidden Markov model, HMM)和 最大似然分类等,另外还有使用基于主机行为的分类 方法[37],主要基于协议连接模型,通过源IP、目的 IP和连接特征等特征值来识别,但这种方法自身具有 一定局限性,且不容易达到高精确度,因此研究者一 般较少使用。
对于SSL和SSH流量的分类通常分为两步[38][39], 第一步根据协议自身特性(如协议首部特定字节的特 征或密钥交换特征等)识别出SSL或SSH流量,第二步 对加密隧道中的不同应用数据流进行分类。Dusi[40] 等人使用高斯混合模型(GMM)和支持向量机(SVM) 技术,对运行在SSH隧道中的应用(假设同一时刻SSH 隧道中只有一种应用)进行分类(包括HTTP、POP3、 POP3S、EMULE、unknown)。实验选取包长度和数据 包方向(服务器到客户端或客户端到服务器)作为特 征值,结果显示两种分类方法对POP3和POP3S类的应 用识别效果最好,真正率均超过了98%,GMM对HTTP应 用的识别准确率高于SVM,对EMULE的识别准确率则低 于SVM。
一些研究者对多种分类方法进行比较,并通过 实验提取出用于识别加密流量的一般性流特征。2007 年,Alshammari[41]等人使用了两种有监督的机器学习 算法AdaBoost和PIPPER识别网络中的SSH流量,并进一 步对SSH应用类型(如ssh,scp,sftp,tunnel等)进行分类,通过两种方法的对比,PIPPER的分类效果要 优于AdaBoost,其准确率达到99%,假正率为0.7%。 实验同时说明了,通过基于流统计特征的方法,而不 使用IP地址、端口、有效载荷等信息对SSH流量进行 精确识别是可行的。之后,Alshammari[42]等人又对以 SSH和Skype为代表的加密流量进行了进一步的研究, 并使用五种机器学习算法(AdaBoost、SVM、朴素贝叶 斯、RIPPER、C4.5决策树)进行对比,对比结果显示 基于C4.5决策树的分类器的分类效果最好。
单独的一种分类方法通常在某方面有优势,但 不可避免的在另一方面存在劣势,为了获得更好的 分类效果,一些研究者使用了一种或多种分类方法 结合的技术进行研究。Bar-Yanai[43]等人提出了一种 实时的加密流量分类方法,将k-means和k-nearest neighbor两种分类器相结合,使用17个流特征,分析 每个流的前100个包的统计信息,并进行分类。传统 的k-nearest neighbor分类算法分类准确率高,但分 类速度慢,而k-means算法则相反。实验将两种分类 器相结合,分类速度快、分类准确率高,比使用单独 一种分类算法的效果要好很多。
SSH隧道下可承载很多类型的应用,虽然识别隧 道应用的存在并不困难,但要识别出隧道中的具体应 用类型就有很大挑战。Tan[44]等人提出了一种利用最 大似然分类器对SSH隧道中的应用进行分类的方法, 该方法首先需要识别出SSH Tunnel流的建立边界,然 后丢弃该边界之前的数据包,只需要分析该边界之后 的连续L个数据包的统计信息,对SSH隧道中的HTTP、 POP3、FTP、SMTP四种类型的应用进行分类,分类的 真正率为90%左右。
为了提供更好的网络服务质量,需要及时识别出 网络中的延迟敏感应用(如VoIP、音视频等),并为 其提供高优先级。这些应用通常使用非标准端口号, 并且其数据被加密,或者被放入加密隧道中执行。 Yildirim[45]等人以包长作为特征值,采用了机器学习 的方法对IPSec隧道中的VoIP和非VoIP流量进行了分 类,并通过对比实验证实了及时识别出VoIP应用并给 予其高优先级对于提高QoS的重要性。
对P2P应用(如BT、Emule、Skype等)进行分类 的挑战主要集中于数据加密和混淆协议,目前使用较 多的方法是基于流特征的统计识别方法,也有一些研 究使用了有效负载和流特征相结合的方法,他们使 用的有效负载往往是一个连接的前几个包的靠前数 据,也是用于统计特征,而不是直接把某个特定字节串作为分类依据。Hjelmvik[46]等人全面展示了利用 统计分析和统计协议识别(statistical protocol identification, SPID)算法对混淆协议进行分类 的有效性,并通过实验总结出了对一些特定模糊协 议(包括BT的MSE、eDonkey的模糊协议、Skype、 Spotify)进行分类的最有效统计属性。
总的说来,加密流量分类是流量分类中最具挑战 性的问题之一,目前的主要研究思路主要集中在各种 行为特征提取及统计分析的方法上。我们认为,基于 主机行为的关联分类方法,辅以主动验证等其它的技 术手段,也是较好的研究思路之一。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-openvpn-article-fangbingxing.html
相关文章:
4.2 加密流量分类
随着网络资源和带宽的逐渐完善,用户更注意保护隐私,加密应用被广泛使用,加密流分类成为流量 分类中的挑战性问题之一。
传统的基于熟知端口号的流分类方法在大多应用 端口随机可变和端口共用情况下已经失效,而基于有 效负载的流分类方法对加密流量也束手无策,并且存 在隐私侵犯的问题,耗费资源较大。
2006年以来,在流量分类领域,对加密流的分类 问题成为一个重要的研究方面,大多数研究都采用了 基于流特征的统计识别方法。目前研究的加密流量主 要包括四类典型流量:SSH隧道、IPSEC隧道、SSL, 以及P2P的加密流量。其中,对于SSH的研究较多, 主要侧重于对SSH隧道中的应用进行有效的分类识 别,使用的方法基本都是基于流特征的识别,主要使 用机器学习的方法,例如朴素贝叶斯、C4.5决策树、 SVM、k-means、k-nearest neighbor等算法,还有 基于高斯混合模型(Gaussian mixture models)、 隐马尔可夫模型(hidden Markov model, HMM)和 最大似然分类等,另外还有使用基于主机行为的分类 方法[37],主要基于协议连接模型,通过源IP、目的 IP和连接特征等特征值来识别,但这种方法自身具有 一定局限性,且不容易达到高精确度,因此研究者一 般较少使用。
对于SSL和SSH流量的分类通常分为两步[38][39], 第一步根据协议自身特性(如协议首部特定字节的特 征或密钥交换特征等)识别出SSL或SSH流量,第二步 对加密隧道中的不同应用数据流进行分类。Dusi[40] 等人使用高斯混合模型(GMM)和支持向量机(SVM) 技术,对运行在SSH隧道中的应用(假设同一时刻SSH 隧道中只有一种应用)进行分类(包括HTTP、POP3、 POP3S、EMULE、unknown)。实验选取包长度和数据 包方向(服务器到客户端或客户端到服务器)作为特 征值,结果显示两种分类方法对POP3和POP3S类的应 用识别效果最好,真正率均超过了98%,GMM对HTTP应 用的识别准确率高于SVM,对EMULE的识别准确率则低 于SVM。
一些研究者对多种分类方法进行比较,并通过 实验提取出用于识别加密流量的一般性流特征。2007 年,Alshammari[41]等人使用了两种有监督的机器学习 算法AdaBoost和PIPPER识别网络中的SSH流量,并进一 步对SSH应用类型(如ssh,scp,sftp,tunnel等)进行分类,通过两种方法的对比,PIPPER的分类效果要 优于AdaBoost,其准确率达到99%,假正率为0.7%。 实验同时说明了,通过基于流统计特征的方法,而不 使用IP地址、端口、有效载荷等信息对SSH流量进行 精确识别是可行的。之后,Alshammari[42]等人又对以 SSH和Skype为代表的加密流量进行了进一步的研究, 并使用五种机器学习算法(AdaBoost、SVM、朴素贝叶 斯、RIPPER、C4.5决策树)进行对比,对比结果显示 基于C4.5决策树的分类器的分类效果最好。
单独的一种分类方法通常在某方面有优势,但 不可避免的在另一方面存在劣势,为了获得更好的 分类效果,一些研究者使用了一种或多种分类方法 结合的技术进行研究。Bar-Yanai[43]等人提出了一种 实时的加密流量分类方法,将k-means和k-nearest neighbor两种分类器相结合,使用17个流特征,分析 每个流的前100个包的统计信息,并进行分类。传统 的k-nearest neighbor分类算法分类准确率高,但分 类速度慢,而k-means算法则相反。实验将两种分类 器相结合,分类速度快、分类准确率高,比使用单独 一种分类算法的效果要好很多。
SSH隧道下可承载很多类型的应用,虽然识别隧 道应用的存在并不困难,但要识别出隧道中的具体应 用类型就有很大挑战。Tan[44]等人提出了一种利用最 大似然分类器对SSH隧道中的应用进行分类的方法, 该方法首先需要识别出SSH Tunnel流的建立边界,然 后丢弃该边界之前的数据包,只需要分析该边界之后 的连续L个数据包的统计信息,对SSH隧道中的HTTP、 POP3、FTP、SMTP四种类型的应用进行分类,分类的 真正率为90%左右。
为了提供更好的网络服务质量,需要及时识别出 网络中的延迟敏感应用(如VoIP、音视频等),并为 其提供高优先级。这些应用通常使用非标准端口号, 并且其数据被加密,或者被放入加密隧道中执行。 Yildirim[45]等人以包长作为特征值,采用了机器学习 的方法对IPSec隧道中的VoIP和非VoIP流量进行了分 类,并通过对比实验证实了及时识别出VoIP应用并给 予其高优先级对于提高QoS的重要性。
对P2P应用(如BT、Emule、Skype等)进行分类 的挑战主要集中于数据加密和混淆协议,目前使用较 多的方法是基于流特征的统计识别方法,也有一些研 究使用了有效负载和流特征相结合的方法,他们使 用的有效负载往往是一个连接的前几个包的靠前数 据,也是用于统计特征,而不是直接把某个特定字节串作为分类依据。Hjelmvik[46]等人全面展示了利用 统计分析和统计协议识别(statistical protocol identification, SPID)算法对混淆协议进行分类 的有效性,并通过实验总结出了对一些特定模糊协 议(包括BT的MSE、eDonkey的模糊协议、Skype、 Spotify)进行分类的最有效统计属性。
总的说来,加密流量分类是流量分类中最具挑战 性的问题之一,目前的主要研究思路主要集中在各种 行为特征提取及统计分析的方法上。我们认为,基于 主机行为的关联分类方法,辅以主动验证等其它的技 术手段,也是较好的研究思路之一。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/gfw-openvpn-article-fangbingxing.html
相关文章:
方滨兴被抛弃,中共网络封锁长城由严望佳接任--翻墙花园
转载自超越防火墙博客,原文地址:http://beyondfirewall.blogspot.com/2012/05/blog-post_9704.html
一直负责研发与管理GFW的北京邮电大学校长方滨兴因涉参与周永康、薄熙来政变,已经被中纪委调查,方滨兴已经失去在中国互联网上的实权,而中共另换北京启明星辰信息技术股份有限公司严望佳上岗,来接替方这个令国人痛恨的网控特务头目角色。
近几个月来,在王立军逃馆事件和陈光诚逃馆事件中,追踪大纪元的中国民众对事件内幕了然于心,看到被中共严密封锁的真相。中共在内部斗争与外部舆论围剿中,几近成解体之势,引发中共极度恐惧。根据网络流量统计公司Alexa的排名,大纪元迅速成为访问量最大的海外中文媒体,大陆中国民众纷纷透过突破网络工具到大纪元新闻网看真相。
方滨兴协助王立军、薄熙来进行窃听中共高层领导人,并负责薄周政变的网络事务,中共最近换新人继续加大封网力度。
中共最新技术软件硬件结合是指通过用户端安装的一切软件实施,众多软件厂商均被要求配合。赛门铁克、卡巴斯基等也未能幸免。硬件是指在各个网络运营商机房全面运行全新过滤网闸。探针嗅探所有发送信息,试图截获大纪元数据包,而不是以往单纯的IP封锁和敏感词筛查。骨干节点匹配指北京、上海、广州三个关键网络节点通过专线协调运作,分时段统计访问动态网流量。人工机器并用指的是除机器以外,每天有专人做实验,检验封网效果。
为封堵中国民众了解真相,中共花费巨额民脂民膏建立防火墙(GFW),但始终未能阻挡大陆民众通过“破网五剑客”来获取外部传来的真实信息。
大纪元自成立以来,始终走在如实报导中国大陆新闻的前列,因此被中共视为眼中钉、肉中刺。为封堵中国民众了解真相,中共不惜违反宪法,不顾国际舆论的谴责花费巨额民脂民膏建立大防火墙(GFW)来拦截大纪元、新唐人、希望之声等海外网站。
不过,大陆民众通过“破网五剑客”突破网络封锁,这些传播真相的网站始终没能被封堵。
中共完成所有这些部署,均需花费大量资金。分析人士估计,中共此次花费最少也在数千万元。
此前,由于被怀疑卷入薄熙来的案子,日本《读卖新闻》报导称方滨兴已经被当局拘捕。当日中国创新工场董事长李开复转发方的微博时调侃称,与其追究《读卖新闻》的责任,不如用其所负责的中国网络防火墙将该报屏蔽:“追究麻烦,墙了它吧!”对此,方回应称“好汉不提当年勇啊,不在其位不谋其政,现在只能追究了”,暗示防火墙项目已不再归他负责。
启明星辰公司主要开发网络安全软硬件,近年来参与中共对网络自由信息的封堵。
索取自由门freeget.one@gmail.com
索取逍遥游freeget.two@gmail.com
Skype
动态网的Skype帐号dongtaiwang.com提供随时更新动态网IP地址和下载自由门最新软件服务.Skype一定要到官方网站http://download.skype.com/SkypeSetupFull.exe下载。注册后,到“联系人”-“添加联系人”--在“Skype用户名”框中输入“dongtaiwang.com”,看到“动态网的Skype版”后---点击“添加”,会出现在主界面的联系人中,发任意讯息给他就可以得到指示。
MSN即时通讯
如果您使用MSN免费即时消息服务的话,可以用MSN免费即时消息给zonghun385@hotmail.com发一个短信,很快就会收到一个IP,10分钟内不要重复索取IP。
(来源: 大纪元2012年05月07日)
www.epochtimes.com/gb/12/5/7/n3583306.htm独家-局势紧急中共增资封网-方滨兴被抛-严望佳接任-?p=all
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/fangbingxing-yanwangjia-gfw.html
相关文章:
一直负责研发与管理GFW的北京邮电大学校长方滨兴因涉参与周永康、薄熙来政变,已经被中纪委调查,方滨兴已经失去在中国互联网上的实权,而中共另换北京启明星辰信息技术股份有限公司严望佳上岗,来接替方这个令国人痛恨的网控特务头目角色。
近几个月来,在王立军逃馆事件和陈光诚逃馆事件中,追踪大纪元的中国民众对事件内幕了然于心,看到被中共严密封锁的真相。中共在内部斗争与外部舆论围剿中,几近成解体之势,引发中共极度恐惧。根据网络流量统计公司Alexa的排名,大纪元迅速成为访问量最大的海外中文媒体,大陆中国民众纷纷透过突破网络工具到大纪元新闻网看真相。
方滨兴协助王立军、薄熙来进行窃听中共高层领导人,并负责薄周政变的网络事务,中共最近换新人继续加大封网力度。
民众纷纷翻墙看高层搏击真相 中共紧急耗巨资用最新技术封网
中共在方滨兴的网络封锁防火长城(GFW)花费数亿资金,这次又不惜再次投入巨额资金与人力加强网络封锁,采用全新控网技术。中共的新技术概括为:软件硬件结合、骨干节点匹配、人工机器并用、“定向爆破”辅助等手段全力攻击大纪元新闻网、动态网。中共最新技术软件硬件结合是指通过用户端安装的一切软件实施,众多软件厂商均被要求配合。赛门铁克、卡巴斯基等也未能幸免。硬件是指在各个网络运营商机房全面运行全新过滤网闸。探针嗅探所有发送信息,试图截获大纪元数据包,而不是以往单纯的IP封锁和敏感词筛查。骨干节点匹配指北京、上海、广州三个关键网络节点通过专线协调运作,分时段统计访问动态网流量。人工机器并用指的是除机器以外,每天有专人做实验,检验封网效果。
为封堵中国民众了解真相,中共花费巨额民脂民膏建立防火墙(GFW),但始终未能阻挡大陆民众通过“破网五剑客”来获取外部传来的真实信息。
大纪元自成立以来,始终走在如实报导中国大陆新闻的前列,因此被中共视为眼中钉、肉中刺。为封堵中国民众了解真相,中共不惜违反宪法,不顾国际舆论的谴责花费巨额民脂民膏建立大防火墙(GFW)来拦截大纪元、新唐人、希望之声等海外网站。
不过,大陆民众通过“破网五剑客”突破网络封锁,这些传播真相的网站始终没能被封堵。
中共完成所有这些部署,均需花费大量资金。分析人士估计,中共此次花费最少也在数千万元。
方滨兴遭中共抛出“墙”
4月27日,方滨兴本人也在其微博中承认,他已经被中共抛弃,不再负责防火墙过滤事宜。此前,由于被怀疑卷入薄熙来的案子,日本《读卖新闻》报导称方滨兴已经被当局拘捕。当日中国创新工场董事长李开复转发方的微博时调侃称,与其追究《读卖新闻》的责任,不如用其所负责的中国网络防火墙将该报屏蔽:“追究麻烦,墙了它吧!”对此,方回应称“好汉不提当年勇啊,不在其位不谋其政,现在只能追究了”,暗示防火墙项目已不再归他负责。
中共网络封堵特务头目严望佳简介
百度百科资料显示,严望佳任北京启明星辰信息技术股份有限公司首席执行官。1969年出生于云南昆明,1990年复旦大学毕业后赴美留学,1996年获宾西法尼亚大学博士学位,同年回国创立启明星辰公司并担任CEO至今,同时担任中国信息安全产业商会副理事长。启明星辰公司主要开发网络安全软硬件,近年来参与中共对网络自由信息的封堵。
破网五剑客 有效破封堵
针对中共的网络封堵,海外有识之士开发的破网五剑客不断更新,始终掌握制高点,使中共疲于奔命而对国内民众破网毫无办法。破网软件索取信箱
使用海外信箱寄一封信(主题不可空白)到以下邮址约十分钟就可以收到下载点。索取自由门freeget.one@gmail.com
索取逍遥游freeget.two@gmail.com
破网IP索取信箱
给freeget.ip@gmail.com发一个电子邮件(标题不可空白),10分钟内会收到回信,拿到几个IP。最好用海外邮箱。邮件可能会被当作垃圾邮件,请检查垃圾邮件文件夹确认是否已收到邮件。Skype
动态网的Skype帐号dongtaiwang.com提供随时更新动态网IP地址和下载自由门最新软件服务.Skype一定要到官方网站http://download.skype.com/SkypeSetupFull.exe下载。注册后,到“联系人”-“添加联系人”--在“Skype用户名”框中输入“dongtaiwang.com”,看到“动态网的Skype版”后---点击“添加”,会出现在主界面的联系人中,发任意讯息给他就可以得到指示。
MSN即时通讯
如果您使用MSN免费即时消息服务的话,可以用MSN免费即时消息给zonghun385@hotmail.com发一个短信,很快就会收到一个IP,10分钟内不要重复索取IP。
(来源: 大纪元2012年05月07日)
www.epochtimes.com/gb/12/5/7/n3583306.htm独家-局势紧急中共增资封网-方滨兴被抛-严望佳接任-?p=all
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/fangbingxing-yanwangjia-gfw.html
相关文章:
网事: NBA明星打败“蠢驴”在中国翻墙, 党国五毛祖宅被拆遭现世报--翻墙花园
转载自大纪元,原文地址:www.epochtimes.com/gb/11/11/19/n3435346.htmNBA明星大陆翻墙-党国五毛现世报
NBA明星兴冲冲来到中国,见识到传说中的网路封锁,恼怒之余,迅速学会翻墙,显见另类“长城”不堪一击;与此同时,党国创建网路“长城”的另类“明星”,却被母党拆了祖宅,讨不到说法,只能欲哭无泪。
美国篮球明星、前NBA丹佛掘金队的史密斯(JR Smith)9月14日和中国浙江稠州银行男篮签约,代表该队来中国征战2011—2012赛季CBA联赛。可笑的是,这位身高1.98米、打球很激情,深受中国球迷喜爱的球员,来中国还没比赛,却先学习了“翻墙”。这是史球员既没料到、又很自豪的事。
据大纪元报导,和美国许多体育明星一样,史密斯一直使用社交媒体,特别是推特,以保持与球迷、朋友、前队友之间的联系,可是搬到中国后却马上遇到困扰—— 很多他喜欢的网站都访问不了,不仅如此,最常用的Skype也无法使用,YouTube也被封锁了,他试图用黑莓手机上推特也遭遇屏蔽。显然之前没有人告诉他推特是中共政府封锁的许多网路服务之一,直气得史密斯大骂中共网路审查是“蠢驴”!
对于这样一个在自由国度长大,随便说话、上网社交就像吃饭睡觉一样简单的西方人来说,当然受不了这种非人的限制,更不能理解中国5亿网民是怎么活下来的,站在他的角度讽刺妄图用科技手段管住人们想什么的当局为“蠢驴”,当然很贴切。
篮球场上的英豪当然也要在网上帅一把。史球员像带球突破那样,试着把蠢驴们击倒,结果他真的做到了。方法很简单,就是极权国家人民,特别是中国网民,用惯了的方法——翻墙。
大纪元说,现在史密斯又可以用推特了,即使在中国。这对他的球迷来说是个好消息,但对中国类似推特的新浪微博和腾讯却失去了一个机会,因为这些大陆网站经常招揽体育明星和名人使用其微博服务。
史球员并不是唯一靠翻墙维持社交权利的外国人。多年来,到党国工作、旅行的自由世界公民,都入乡随“俗”,靠翻墙来对当局的脑残行为说“不”!
据新唐人今年7月报导,习惯用社区网站Twitter、Facebook、Youtube的外国人,刚到中国大陆都会叫苦连天。因为这些传播速度快的网站,在中国都是被封锁的。
因此,那些为了工作不得不来大陆的外国人只好自我训练成为翻墙高手。某驻华外国媒体记者说:“我觉得一般的外国记者习惯了,但是我们当然觉得这个事情不太公平。因为我们来中国报导事情,所以如果我上不了网,这个对我们的工作不好,不方便。但是习惯了,有很多方法可以上网,可以用这个VPN。”
VPN是“虚拟专用网路”的简称,网民可以通过这种代理服务打开被中国屏蔽的网站,也就是俗称的“翻墙”。
日本人更绝,有日本公司专门为到中国旅行的日本人提供免费日本VPN --“GFW Blog(功夫网与翻墙)”via 数位时代 in Google Reader,而且无需注册,直接使用它的测试帐户就可以。发布消息的林汉生称,这是由于中国网路的特殊状况。到中国大陆旅游、经商的外籍人士无法通过 Facebook、Twitter来联络朋友,感到非常不便,所以VPN不仅对中国人来说是上网必备的东西,而且对外国人也是如此。
说到中国的网路封锁,则不得不“归功”于北邮校长方滨兴。方滨兴虽然官至北邮校长,但不仅没有得到应有的尊重,反而成为5亿中国网民的公敌,其主要罪行就是他主持生产了长城防火墙(GFW)。
虽然史明星把它抬举为“蠢驴”,但它有时还真是有效的,比如屏蔽它母亲的名字“方滨兴”三个字时。更加讽刺的是,据方滨兴称,他自己想出国网游一圈,也需要靠VPN访问国外的网站。
他配合独裁政权封锁中国人民获得自由资讯,同样作茧自缚。最近更有网友恶搞他的漫画作品“防火墙之父自毙”在网上海传。
去年方校长想时尚一把,也在新浪开博,没想竟遭千军万马围剿,没两天被迫关闭;今年5月去武大演讲,却被青年学子蛋砸鞋袭,引来网上一片欢呼;现在方校长又被升级为一只猪猡,放进厕所,坐在马桶上出恭。令其尴尬的是,手纸没了。当胖胖的方校长望向墙上的手纸盒盖时,赫然看到自己变成木乃伊都不会忘记的符号:404 error。这正是中国当代网民每时每刻都会遇到的GWF封网提示。正因为这样,方校长才获得5亿中国网民颁发的“最受唾弃公众人物”的褒奖。
法国国际广播电台援引了网民的经典图说,“如果方校长在厕所遇上404问题,用手机发微博求救,之后会发生什么事?答案就是:这个厕所在20分钟内即会被严密封锁。”
网友朝天椒补充说:当年爱因斯坦后悔参与发明原子弹,至今共产党的方院士没有对GFW忏悔。那么我们只好希望方校长如厕愉快,专注地享受404与便秘的快感。
与方校长同病相怜的是中国政法大学吴法天副教授。因为其祖宅被中共地方政府真刀真枪的强拆,吴法天这回真是叫天天不应了。
吴副教授的遭遇也同样被网民们倒喝采,为何?原来吴是个教授级五毛,也是被全国网民拍砖的伪知识分子。
据大纪元报导,10月29日,吴法天在微博诉苦说:“我祖宅因旧村改造被拆了。我拿出档案馆复印的1951年土改时发的土地房屋所有权证,土管局说九十年代办过新房产证,我家没办,老宅后来被收回村里为集体所有,只是登记的产权未转移。我要求依60年前证上的面积确权,被告知拆迁前未重新丈量,所以无法确权。这是赤裸裸的掠夺私产啊!”
吴法天还严厉谴责强拆其祖宅的共产党杨书记:“杨书记,作为父母官,从农民手里一千多元每亩租地,转手六十万元每亩卖给房地产商,觥筹交错中,可对得起香河圈地中失地的乡亲们?温泉饭店内,你太太和地产商、公知(公共知识分子,但在最近,特别是在微博里,已然开始贬义化了。)们吟着梨花体,花天酒店,极尽奢侈,用的可是卖地钱?……你们可曾畏惧过法律和舆论?”
吴副教授拿法律吓唬党书记,可真是找错了人。如果不是看在他的律师、五毛教授的头衔,杨书记肯定会将其升级为北方敌对势力,启动严打预案,差遣当地公安跨省缉捕小吴。
说到畏惧舆论,杨书记会笑出声来。就像“四月青年社区”网友总结的:
著名政法大学教授,资深五毛(指受中国官方雇佣发表有利政府评论的人员),辟谣联盟大师,酒精考验的共党战士──吴法天博士,在多次对弱势群体冷嘲热讽之后,终于在近日,被传言家里祖宅被强拆。
当他们判彭宇输时,你说法官是个好法官,因为你不是彭宇;当他们杀钱云会时,你说只是普通交通事故,因为你不是钱云会;当他们阻碍刘萍参选时,你说程序合法,因为你不是刘萍;当他们拒绝旁听李庄案时,你说法庭都坐满了,因为你不是李庄;他们最后直奔你而去,这时……
和讯网亦忱说,老朽也确实不喜欢他,但由于本人对遭遇强拆的任何人,都无一例外地保有深切的的同情,所以,考虑到吴副教授遭此变故,还是值得给予双份的同情:一份同情他此前不问是非而以立场划界乱挺公权肆虐,一份同情他家遭遇变故竟然在本地讨不到说法。
美国议员要组团跨国探望陈光诚,表现出对中国英雄的力挺和对中共迫害英雄的鄙视。就像一位作家所说:为别人呐喊,就是为自己呐喊。而吴副教授为党呐喊,换来的却是被党妈拆祖宅,逼他亲身体验P民“体谅政府”。如果吴副教授都遭现世报了,还对党妈一味逢迎,网民们只能准备哀悼他了。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/nba-china.html
相关文章:
NBA明星兴冲冲来到中国,见识到传说中的网路封锁,恼怒之余,迅速学会翻墙,显见另类“长城”不堪一击;与此同时,党国创建网路“长城”的另类“明星”,却被母党拆了祖宅,讨不到说法,只能欲哭无泪。
美国篮球明星、前NBA丹佛掘金队的史密斯(JR Smith)9月14日和中国浙江稠州银行男篮签约,代表该队来中国征战2011—2012赛季CBA联赛。可笑的是,这位身高1.98米、打球很激情,深受中国球迷喜爱的球员,来中国还没比赛,却先学习了“翻墙”。这是史球员既没料到、又很自豪的事。
明星打败“蠢驴”
据大纪元报导,和美国许多体育明星一样,史密斯一直使用社交媒体,特别是推特,以保持与球迷、朋友、前队友之间的联系,可是搬到中国后却马上遇到困扰—— 很多他喜欢的网站都访问不了,不仅如此,最常用的Skype也无法使用,YouTube也被封锁了,他试图用黑莓手机上推特也遭遇屏蔽。显然之前没有人告诉他推特是中共政府封锁的许多网路服务之一,直气得史密斯大骂中共网路审查是“蠢驴”!
对于这样一个在自由国度长大,随便说话、上网社交就像吃饭睡觉一样简单的西方人来说,当然受不了这种非人的限制,更不能理解中国5亿网民是怎么活下来的,站在他的角度讽刺妄图用科技手段管住人们想什么的当局为“蠢驴”,当然很贴切。
篮球场上的英豪当然也要在网上帅一把。史球员像带球突破那样,试着把蠢驴们击倒,结果他真的做到了。方法很简单,就是极权国家人民,特别是中国网民,用惯了的方法——翻墙。
大纪元说,现在史密斯又可以用推特了,即使在中国。这对他的球迷来说是个好消息,但对中国类似推特的新浪微博和腾讯却失去了一个机会,因为这些大陆网站经常招揽体育明星和名人使用其微博服务。
史球员并不是唯一靠翻墙维持社交权利的外国人。多年来,到党国工作、旅行的自由世界公民,都入乡随“俗”,靠翻墙来对当局的脑残行为说“不”!
据新唐人今年7月报导,习惯用社区网站Twitter、Facebook、Youtube的外国人,刚到中国大陆都会叫苦连天。因为这些传播速度快的网站,在中国都是被封锁的。
因此,那些为了工作不得不来大陆的外国人只好自我训练成为翻墙高手。某驻华外国媒体记者说:“我觉得一般的外国记者习惯了,但是我们当然觉得这个事情不太公平。因为我们来中国报导事情,所以如果我上不了网,这个对我们的工作不好,不方便。但是习惯了,有很多方法可以上网,可以用这个VPN。”
VPN是“虚拟专用网路”的简称,网民可以通过这种代理服务打开被中国屏蔽的网站,也就是俗称的“翻墙”。
日本人更绝,有日本公司专门为到中国旅行的日本人提供免费日本VPN --“GFW Blog(功夫网与翻墙)”via 数位时代 in Google Reader,而且无需注册,直接使用它的测试帐户就可以。发布消息的林汉生称,这是由于中国网路的特殊状况。到中国大陆旅游、经商的外籍人士无法通过 Facebook、Twitter来联络朋友,感到非常不便,所以VPN不仅对中国人来说是上网必备的东西,而且对外国人也是如此。
方校长遇到404
说到中国的网路封锁,则不得不“归功”于北邮校长方滨兴。方滨兴虽然官至北邮校长,但不仅没有得到应有的尊重,反而成为5亿中国网民的公敌,其主要罪行就是他主持生产了长城防火墙(GFW)。
虽然史明星把它抬举为“蠢驴”,但它有时还真是有效的,比如屏蔽它母亲的名字“方滨兴”三个字时。更加讽刺的是,据方滨兴称,他自己想出国网游一圈,也需要靠VPN访问国外的网站。
他配合独裁政权封锁中国人民获得自由资讯,同样作茧自缚。最近更有网友恶搞他的漫画作品“防火墙之父自毙”在网上海传。
去年方校长想时尚一把,也在新浪开博,没想竟遭千军万马围剿,没两天被迫关闭;今年5月去武大演讲,却被青年学子蛋砸鞋袭,引来网上一片欢呼;现在方校长又被升级为一只猪猡,放进厕所,坐在马桶上出恭。令其尴尬的是,手纸没了。当胖胖的方校长望向墙上的手纸盒盖时,赫然看到自己变成木乃伊都不会忘记的符号:404 error。这正是中国当代网民每时每刻都会遇到的GWF封网提示。正因为这样,方校长才获得5亿中国网民颁发的“最受唾弃公众人物”的褒奖。
法国国际广播电台援引了网民的经典图说,“如果方校长在厕所遇上404问题,用手机发微博求救,之后会发生什么事?答案就是:这个厕所在20分钟内即会被严密封锁。”
网友朝天椒补充说:当年爱因斯坦后悔参与发明原子弹,至今共产党的方院士没有对GFW忏悔。那么我们只好希望方校长如厕愉快,专注地享受404与便秘的快感。
高级五毛遭报
与方校长同病相怜的是中国政法大学吴法天副教授。因为其祖宅被中共地方政府真刀真枪的强拆,吴法天这回真是叫天天不应了。
吴副教授的遭遇也同样被网民们倒喝采,为何?原来吴是个教授级五毛,也是被全国网民拍砖的伪知识分子。
据大纪元报导,10月29日,吴法天在微博诉苦说:“我祖宅因旧村改造被拆了。我拿出档案馆复印的1951年土改时发的土地房屋所有权证,土管局说九十年代办过新房产证,我家没办,老宅后来被收回村里为集体所有,只是登记的产权未转移。我要求依60年前证上的面积确权,被告知拆迁前未重新丈量,所以无法确权。这是赤裸裸的掠夺私产啊!”
吴法天还严厉谴责强拆其祖宅的共产党杨书记:“杨书记,作为父母官,从农民手里一千多元每亩租地,转手六十万元每亩卖给房地产商,觥筹交错中,可对得起香河圈地中失地的乡亲们?温泉饭店内,你太太和地产商、公知(公共知识分子,但在最近,特别是在微博里,已然开始贬义化了。)们吟着梨花体,花天酒店,极尽奢侈,用的可是卖地钱?……你们可曾畏惧过法律和舆论?”
吴副教授拿法律吓唬党书记,可真是找错了人。如果不是看在他的律师、五毛教授的头衔,杨书记肯定会将其升级为北方敌对势力,启动严打预案,差遣当地公安跨省缉捕小吴。
说到畏惧舆论,杨书记会笑出声来。就像“四月青年社区”网友总结的:
著名政法大学教授,资深五毛(指受中国官方雇佣发表有利政府评论的人员),辟谣联盟大师,酒精考验的共党战士──吴法天博士,在多次对弱势群体冷嘲热讽之后,终于在近日,被传言家里祖宅被强拆。
当他们判彭宇输时,你说法官是个好法官,因为你不是彭宇;当他们杀钱云会时,你说只是普通交通事故,因为你不是钱云会;当他们阻碍刘萍参选时,你说程序合法,因为你不是刘萍;当他们拒绝旁听李庄案时,你说法庭都坐满了,因为你不是李庄;他们最后直奔你而去,这时……
和讯网亦忱说,老朽也确实不喜欢他,但由于本人对遭遇强拆的任何人,都无一例外地保有深切的的同情,所以,考虑到吴副教授遭此变故,还是值得给予双份的同情:一份同情他此前不问是非而以立场划界乱挺公权肆虐,一份同情他家遭遇变故竟然在本地讨不到说法。
美国议员要组团跨国探望陈光诚,表现出对中国英雄的力挺和对中共迫害英雄的鄙视。就像一位作家所说:为别人呐喊,就是为自己呐喊。而吴副教授为党呐喊,换来的却是被党妈拆祖宅,逼他亲身体验P民“体谅政府”。如果吴副教授都遭现世报了,还对党妈一味逢迎,网民们只能准备哀悼他了。
本文地址:http://fanqianghuayuan.blogspot.com/2013/05/nba-china.html
相关文章:
订阅:
博文 (Atom)