首页flash软件电影音乐网摘幽默绘画校园挚友我们的故事文化科学奇谈海外新闻法网恢恢论坛悄悄话

实时加密代理列表(荐)
动态网加密代理列表
支持SSL连接的海外匿名代理列表
突破域名劫持固定访问本站
[绝密电影] 海外公布的绝密电影……
[奇书、禁书下载] 珍藏!

::::推荐文章::::

[幽默]讽刺喜剧大师卓别林轶事
名画欣赏:天使报喜(多图)
中国最神奇最应验的预言书(下)hot!
明心美文:"给他一个希望”
刘颖:把江泽民钉上历史的耻辱柱
纪实文学:"追查国际”在行动─"魏星艳案件”追踪调查(五)
一个北大留学生的人生经历(下)
大陆作家杜导斌:良心不许我再沉默
【震撼强文】新世纪红朝第一谎言
惊天黑幕:"中南海事件”背后的阴谋
龙延:中国民众的和平非暴力不服从运动
暴政肆虐的时候,我们唇亡齿寒---看孙志刚事件
善良的网友:就是被抓我也要发这个帖子
精彩推荐 七月巨献:这个时代因为法轮功而辉煌
包谷:我为什么不能保持沉默?

更多推荐文章>>

 

您的位置:首页 > 软件百宝箱

中国网络封锁技术漫谈:国家级别的关键字过滤

发表日期:2003-11-26

双击鼠标滚屏
 
【宇明小站】
  作者:长剑在手

在上一篇中谈过了国家网关的IP封锁,这次来谈谈国家级别的关键字过滤技术。仅仅封锁IP的效率已经没法满足中共的封锁要求了,那么它也就投入了巨大的力量来发展更加严密的封锁技术。

在千兆以上的带宽中(比如主干路由上),监听和过滤所有的信息,普通软件级别的过滤技术是不行的。需要在骨干路由器上有这样的设备。CISCO等公司高级的路由设备中,就提供了这样的系统,最主要的就是IDS(Intrusion Detection System)--- 入侵检测系统。它能够从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为。

这样的设备能够干什么呢?他能够检测所有经过的网络数据,如果数据内容有匹配的关键字的话,就可以进一步分析,然后决定对该数据流的处理。比如说吧,用户想到美国之音的网站看英语新闻,http://www.voanews.com/ 。输入这个地址后,那么浏览器会发出一个网络请求,其中就包含着VOA这样的字符。 那么这个请求到真正的网站之前,就会经过路由的检测系统。如果系统设置了VOA为关键字,那这个网络数据流就会被检测到。然后路由器会给用户和网站都发送一个重置(reset)的数据包。然后用户就会看到页面无法显示。一般检测设备可能会保持这个用户和这个网站的重置(reset)状态大约十几分钟,然后又恢复正常状态。这个时候用户又可以连上这个网站了。

这样的系统有几个弱点,一个就是IDS的反应都有延迟,因为IDS从抓取数据包,监测关键字,产生RESET包,到最后发出RESET整个过程都要消耗一定的时间。所以在实际用户浏览中,可能会遇到这样的情况,可以看到第一页或者是开始几个连接,但过几十秒后就是页面无法显示。

再一个弱点就是有很大的误报率,不过以中共的宁枉勿纵的手段,只要偷偷的做,一般人也不会知道。即使有人抱怨,也可以说是电信的什么临时故障等等,一推了之。个别人要较真,那就用国家安全的理由吓唬一下,反正"泄露国家机密”是个后备的万金油,什么都可以安上。

再一个就是这样的监测,在数据流量很大的时候,会拖慢整个网络。中国大陆的到海外的网络速度慢,其中一个原因就是在国家出口网关上有这么多的过滤、监视的程序。

从具体应用的角度讲,它主要有3个方面可以过滤。第一个是网址的过滤,就是过滤网络地址中的关键字。比如第一次封锁Google然后又恢复的时候,大陆的人们就发现,一个优秀的功能"网页快照”不好使了!想进一步具体浏览的网址也可能出现页面无法显示的现象。它能够实现这样,就是所有的Google的默认快照的网址中,都有类似这样的字符串 http://216.239.59.104/search?q=cache: , 其中的Search?q=cache就被过滤了。 如果用户手动把其中的"search"改为"custom",那就又可以看到优秀的快照功能了。

第二个是对网页内容的过滤。网址的数据量在具体的网络流量中是很少的,监测所消耗的资源也可以容易承受。而对所有网页内容的监测,这个在国际出口上就是一个非常大的消耗,而效果却比较差劲。在2002年左右,中共研发了这样一套系统,并开始悄悄的强制在各个ISP应用。具体过滤的关键字主要是6.4、法轮大法等。这样过滤的效果并没有很大作用,却消耗了很大的网络资源。因为从监测到处理发出重置(reset)命令需要比较长的时间,往往用户已经把网页都下载完了,系统才检测到。比如用 Google 搜索前一段时间比较热门的关键字"起诉江泽民”,大陆的网民就可能看到整个的页面,而继续看下去的时候,才可能只出现半个页面,然后才出现无法显示。到2003年下半年,很多ISP开始把这个功能搁置起来了,因为对他们来讲实在是得不偿失。消耗了那么多资源,却没什么用。现在只有很少的部分ISP还在运行这个系统。

因为这个过滤技术原来是用于入侵监测的,现在被中共重点应用在了信息过滤上。那么他也有一个致命的弱点,就是对加密的信息就无能为力了。网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础,这个后面会谈到。

随着破网软件的不断出现,中共也发现,仅仅有上面的过滤手段是没法封住可以加密的网站的,也同时开始研发了一套DNS劫持的系统,在2002年下半年开始悄悄地大面积应用。这个就是第三个能够过滤的,就是过滤所有DNS请求,凡是有关键字的,就返回一个假的IP地址。这个技术在世界上确实是独一无二的,中共为了研发这套系统,也是花了很大的代价。具体详细的内容,下次再谈吧。有什么意见、建议,欢迎到动态网的论坛上去交流哦。http://www.dongtaiwang.com:81https://www.dongtaiwang.com(大陆需要用该网站上的最新域名来访问)

(加密访问宇明小站 https://ym04.4irc.com)

[宇明论坛hot!] [悄悄话] [加密访问悄悄话]

相关专题:
突破信息封锁
明心美文
相关文章:
  世界信息峰会论"金盾” 张而平发言     (2003-12-15)
中国网络封锁技术漫谈:突破封锁软件概览(图)     (2003-12-02)
中国网络封锁技术漫谈:国家级别的域名劫持     (2003-11-29)
中国网络封锁技术漫谈:国家级别的关键字过滤     (2003-11-26)
中国网络封锁技术漫谈:国家入口网关的IP封锁     (2003-11-14)
网络封锁事例     (2003-03-08)
更多专题:
科学新见
[震惊] 天安门"自焚”是一场骗局?
聚焦法轮功
重大女生遭警察强
江泽民海外被起诉
香港政治风暴
SARS疫情追踪
国内媒体谎言揭密
 

[ 关 闭 本 页 ]


请使用IE5.0 以上 最佳分辨率800*600
Copyright(C)2003 YuMing site all rights reserved.
版权所有: 宇明小站 Copyright (C)2003 ,保留全部权利 ,欢迎转载