在上一篇中谈过了国家网关的IP封锁，这次来谈谈国家级别的关键字过滤技术。仅仅封锁IP的效率已经没法满足中共的封锁要求了，那么它也就投入了巨大的力量来发展更加严密的封锁技术。

在千兆以上的带宽中（比如主干路由上），监听和过滤所有的信息，普通软件级别的过滤技术是不行的。需要在骨干路由器上有这样的设备。CISCO等公司高级的路由设备中，就提供了这样的系统，最主要的就是IDS（Intrusion Detection System）--- 入侵检测系统。它能够从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为。

这样的设备能够干什么呢？他能够检测所有经过的网络数据，如果数据内容有匹配的关键字的话，就可以进一步分析，然后决定对该数据流的处理。比如说吧，用户想到美国之音的网站看英语新闻，http://www.voanews.com/ 。输入这个地址后，那么浏览器会发出一个网络请求，其中就包含着VOA这样的字符。 那么这个请求到真正的网站之前，就会经过路由的检测系统。如果系统设置了VOA为关键字，那这个网络数据流就会被检测到。然后路由器会给用户和网站都发送一个重置(reset)的数据包。然后用户就会看到页面无法显示。一般检测设备可能会保持这个用户和这个网站的重置(reset)状态大约十几分钟，然后又恢复正常状态。这个时候用户又可以连上这个网站了。

这样的系统有几个弱点，一个就是IDS的反应都有延迟，因为IDS从抓取数据包，监测关键字，产生RESET包，到最后发出RESET整个过程都要消耗一定的时间。所以在实际用户浏览中，可能会遇到这样的情况，可以看到第一页或者是开始几个连接，但过几十秒后就是页面无法显示。

再一个弱点就是有很大的误报率，不过以中共的宁枉勿纵的手段，只要偷偷的做，一般人也不会知道。即使有人抱怨，也可以说是电信的什么临时故障等等，一推了之。个别人要较真，那就用国家安全的理由吓唬一下，反正"泄露国家机密”是个后备的万金油，什么都可以安上。

再一个就是这样的监测，在数据流量很大的时候，会拖慢整个网络。中国大陆的到海外的网络速度慢，其中一个原因就是在国家出口网关上有这么多的过滤、监视的程序。

从具体应用的角度讲，它主要有3个方面可以过滤。第一个是网址的过滤，就是过滤网络地址中的关键字。比如第一次封锁Google然后又恢复的时候，大陆的人们就发现，一个优秀的功能"网页快照”不好使了！想进一步具体浏览的网址也可能出现页面无法显示的现象。它能够实现这样，就是所有的Google的默认快照的网址中，都有类似这样的字符串 http://216.239.59.104/search?q=cache: ， 其中的Search?q=cache就被过滤了。 如果用户手动把其中的"search"改为"custom"，那就又可以看到优秀的快照功能了。

第二个是对网页内容的过滤。网址的数据量在具体的网络流量中是很少的，监测所消耗的资源也可以容易承受。而对所有网页内容的监测，这个在国际出口上就是一个非常大的消耗，而效果却比较差劲。在2002年左右，中共研发了这样一套系统，并开始悄悄的强制在各个ISP应用。具体过滤的关键字主要是6.4、法轮大法等。这样过滤的效果并没有很大作用，却消耗了很大的网络资源。因为从监测到处理发出重置（reset）命令需要比较长的时间，往往用户已经把网页都下载完了，系统才检测到。比如用 Google 搜索前一段时间比较热门的关键字"起诉江泽民”，大陆的网民就可能看到整个的页面，而继续看下去的时候，才可能只出现半个页面，然后才出现无法显示。到2003年下半年，很多ISP开始把这个功能搁置起来了，因为对他们来讲实在是得不偿失。消耗了那么多资源，却没什么用。现在只有很少的部分ISP还在运行这个系统。

因为这个过滤技术原来是用于入侵监测的，现在被中共重点应用在了信息过滤上。那么他也有一个致命的弱点，就是对加密的信息就无能为力了。网址的关键字和网页的关键字都可以用不同的手段来加密，从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础，这个后面会谈到。

随着破网软件的不断出现，中共也发现，仅仅有上面的过滤手段是没法封住可以加密的网站的，也同时开始研发了一套DNS劫持的系统，在2002年下半年开始悄悄地大面积应用。这个就是第三个能够过滤的，就是过滤所有DNS请求，凡是有关键字的，就返回一个假的IP地址。这个技术在世界上确实是独一无二的，中共为了研发这套系统，也是花了很大的代价。具体详细的内容，下次再谈吧。有什么意见、建议，欢迎到动态网的论坛上去交流哦。http://www.dongtaiwang.com:81或https://www.dongtaiwang.com（大陆需要用该网站上的最新域名来访问）