Categories
Cloud in China

中国的防火墙如何运作- 所有你需要知道的

中国大陆的防火墙如何运作-所有你需要知道的

更新:本文已过时。新版本位于我们的新网站

在本文中,我想解释中国大陆是如何控制他们的互联网的。

正如我所说的,中国大陆正在运行一个"大陆内联网",受中国防火墙(GFW)的保护。

迷你办公室防火墙

我们可以将这与您的办公室或家庭进行比较,您的路由器可保护您的计算机。路由器具有本地"家长",如允许访问 Internet 的设置,但它也控制或阻止具有可能有害内容的网站。这就是一些公司在办公时间屏蔽Facebook的方式。

更大的路由器– 更的墙

GFW 的工作原理相似,但规模要大得多。GFW不是只处理你的小办公室,而是过滤进出中国大陆的所有交通。

我将解释互联网流量如何以简短和简单的方式工作,不,你不需要是一个极客来理解它。

了解互联网流量规则

那么,如何通过互联网发送或接收实际的电子邮件?我们如何浏览网站或流式传输电影?

数据要快速来回移动,必须遵循互联网流量规则。使用这些规则,所有数据都以小 IP 数据包的形式传递。所以,让我们想象一下,我们想看看Youtube上一个有趣的猫视频。我们点击加载视频,Youtube 服务器将该视频分解成数千个小数据包,并将其发送到您的笔记本电脑。然后,这些数据包再次重新组装回视频中。这种情况发生得非常快。

所有你需要知道的,所有的互联网流量在小数据包中传播。

IP 地址

那么,Youtube是如何知道在哪里发送这些小包的呢?在互联网上每个目的地:计算机、网站或手机必须具有 IP 地址才能在互联网上发送和接收数据。谷歌为"我的IP",你可以看到自己的IP地址。IP 地址是一堆数字,因为计算机可以将它们转换为 1 和 0,但我们需要域名,以便我们可以记住它。

否则,您将看到 52.79.32.36,而不是nihaocloud.com。不是最令人难忘的网址吧?

什么是 DNS?

为了"互联网"了解这些域名,我们有域名服务 (DNS)。DNS 服务器将域名转换回 IP 地址。

nihaocloud.com = 13.124.52.38)。有成千上万的 DNS 服务器将域名转换为 IP 地址。

好吧,足够枯燥无味的理论,回到中国的防火墙如何,它是如何工作的。

DNS 欺骗

阻止网站的第一个也是最有效的方法是通过 DNS 欺骗或"DNS 缓存中毒"

因此,让我们回到我们的猫视频。当我们在浏览器上键入youtube.com时,DNS 服务器会收到一个请求,以检查youtube.com的含义,并将您发送到正确的 IP 地址。这个过程发生在任何互联网通信,如网页浏览等。

任何在中国大陆以外网站的 DNS 请求将由 GFW 进行深度包装检查 (DPI)。这意味着,每个小 IP 包将被打开并检查内容,如海关控制。

如果发现的任何模式,该包匹配不需要的内容,一个虚假的IP地址将返回,网站将不会打开…

这就是为什么如果你在中国,并试图达到Youtube.com你会得到这个网站:

VPN + 加密流量

即使 GFW 知道此流量是加密的,但它只能猜测里面是什么。这是获得整个 GFW 流量的最大机会。现在GFW是不确定的,无论是一个简单的Youtube访问,可以被阻止,或这是最重要的连接金融交易,通过切断这种连接可能会给经济造成巨大的损害。

 

不确定性-这是GFW最头疼的问题。

此处的关键字是"附带损坏",这可能是由阻止加密数据包造成的。此附带损害必须保持在最低限度。

那么,GFW正在对此做些什么呢?

此处的关键字是"附带损坏",这可能是由阻止加密数据包造成的。此附带损害必须保持在最低限度。

我们可以想象GFW背后的工作人员并不愚蠢,他们想出了一个"主动探测"机制。GFW 现在正在寻找加密流量并猜测加密/VPN 协议。

然后,GFW 的探测服务器获取加密数据包并将包转发到接收方,然后等待答复。从这些答复中,GFW 可以决定如何处理该包、丢弃该包或让它通过该包。

因此,总结一下GFW正在以两种方式工作:

 

DNS 中毒

 

主动探测

更有趣的是,中国大陆的不同网络正在通过不同的过滤运行。虽然像中国联通或电信这样的公共网络拥有最强的过滤器,但大学网络(如CERNet-中国教育研究网)的过滤不那么严厉。

我们应该记住,GFW是一个非常动态的动物。它总是试图在附带损害和有效阻止互联网之间找到最佳平衡。因此,某些服务今天可能会被阻止,但明天又不能再次被阻止。

居住在中国内地的人知道,在大型公共活动或假日期间,GFW的控制比往常要强硬得多。此外,GFW正在学习,并不断发展和改进。因此,我们今天所理解的明天可能会改变。

我们所知道的一切可以通过研究和测试找到,但没有人会解释它是如何工作的。我还想提一下,这篇文章不仅基于我在中国本土20年的IT经验,而且基于在汉堡CCC-Chaos计算机俱乐部年会上提出的研究

因此,GFW 和 VPN 提供商之间总会有一场战斗,并且总会有附带损害的问题,没有人愿意伤害经济。

GFW 已做好充分准备,并将始终如此。此外,不要忘记,中国内地也已发出法律通告,以打击这场战斗离线。

更新:尼浩云接受了英国广播公司《商业日报》的采访,关于中国互联网隐私的压制。你可以在这里听完整的情节

Leave a Reply

Your email address will not be published. Required fields are marked *