热点新闻排行

·突破网络封锁:网络专家与最新技术
·破网初学:如何让flashget配合自由门软件下载
·破网工具自由门被误认为木马另有原因?
·破网初学:如何开始第一步(基础介绍)(1)
·中国网络封锁技术漫谈:国家入口网关的IP封锁
·动态网总裁针对上网安全顾虑答记者问
·中国网络封锁技术漫谈:国家级别的关键字过滤
·卫星播出协议成功签署 新唐人更新接收信号数据

本类推荐新闻

·动态网总裁针对上网安全顾虑答记者问
·卫星播出协议成功签署 新唐人更新接收信号数据
·中国网络封锁技术漫谈:国家级别的关键字过滤
·中国网络封锁技术漫谈:国家入口网关的IP封锁
 

您的位置:首页>>技术文摘>>突破封锁>>

破网初学:如何开始第一步(基础介绍)(2)

文章出处:清心论坛 发布时间:2005-11-03 作者:
 
【宇明网】

基础知识介绍:国家级别的关键字过滤

在上一篇中谈过了国家网关的IP封锁,这次来谈谈国家级别的关键字过滤技术。仅仅封锁IP的效率已经没法满足中共的封锁要求了,那么它也就投入了巨大的力量来发展更加严密的封锁技术。

在千兆以上的带宽中(比如主干路由上),监听和过滤所有的信息,普通软件级别的过滤技术是不行的。需要在骨干路由器上有这样的设备。CISCO等公司高级的路由设备中,就提供了这样的系统,最主要的就是IDS(Intrusion Detection System)--- 入侵检测系统。它能够从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为。

这样的设备能够干什么呢?他能够检测所有经过的网络数据,如果数据内容有匹配的关键字的话,就可以进一步分析,然后决定对该数据流的处理。比如说吧,用户想到美国之音的网站看英语新闻,http://www.voanews.com/ 。输入这个地址后,那么浏览器会发出一个网络请求,其中就包含着VOA这样的字符。 那么这个请求到真正的网站之前,就会经过路由的检测系统。如果系统设置了VOA为关键字,那这个网络数据流就会被检测到。然后路由器会给用户和网站都发送一个重置(reset)的数据包。然后用户就会看到页面无法显示。一般检测设备可能会保持这个用户和这个网站的重置(reset)状态大约十几分钟,然后又恢复正常状态。这个时候用户又可以连上这个网站了。

这样的系统有几个弱点,一个就是IDS的反应都有延迟,因为IDS从抓取数据包,监测关键字,产生RESET包,到最后发出RESET整个过程都要消耗一定的时间。所以在实际用户浏览中,可能会遇到这样的情况,可以看到第一页或者是开始几个连接,但过几十秒后就是页面无法显示。

再一个弱点就是有很大的误报率,不过以中共的宁枉勿纵的手段,只要偷偷的做,一般人也不会知道。即使有人抱怨,也可以说是电信的什么临时故障等等,一推了之。个别人要较真,那就用国家安全的理由吓唬一下,反正"泄露国家机密”是个后备的万金油,什么都可以安上。

再一个就是这样的监测,在数据流量很大的时候,会拖慢整个网络。中国大陆的到海外的网络速度慢,其中一个原因就是在国家出口网关上有这么多的过滤、监视的程序。

从具体应用的角度讲,它主要有3个方面可以过滤。第一个是网址的过滤,就是过滤网络地址中的关键字。比如第一次封锁Google然后又恢复的时候,大陆的人们就发现,一个优秀的功能"网页快照”不好使了!想进一步具体浏览的网址也可能出现页面无法显示的现象。它能够实现这样,就是所有的Google的默认快照的网址中,都有类似这样的字符串http://216.239.59.104/search?q=cache: , 其中的Search?q=cache就被过滤了。 如果用户手动把其中的"search"改为"custom",那就又可以看到优秀的快照功能了。

第二个是对网页内容的过滤。网址的数据量在具体的网络流量中是很少的,监测所消耗的资源也可以容易承受。而对所有网页内容的监测,这个在国际出口上就是一个非常大的消耗,而效果却比较差劲。在2002年左右,中共研发了这样一套系统,并开始悄悄的强制在各个ISP应用。具体过滤的关键字主要是6.4、法轮大法等。这样过滤的效果并没有很大作用,却消耗了很大的网络资源。因为从监测到处理发出重置(reset)命令需要比较长的时间,往往用户已经把网页都下载完了,系统才检测到。比如用 Google 搜索前一段时间比较热门的关键字"起诉江泽民”(注:目前google早已屈服中共压力,在国内用google已经搜索不到这些“敏感”信息了),大陆的网民就可能看到整个的页面,而继续看下去的时候,才可能只出现半个页面,然后才出现无法显示。到2003年下半年,很多ISP开始把这个功能搁置起来了,因为对他们来讲实在是得不偿失。消耗了那么多资源,却没什么用。现在只有很少的部分ISP还在运行这个系统。

   
在访问https加密网站时,往往会弹出这个窗口,应该选择“是”以继续浏览

因为这个过滤技术原来是用于入侵监测的,现在被中共重点应用在了信息过滤上。那么他也有一个致命的弱点,就是对加密的信息就无能为力了。通常我们使用的加密网址(https://xxx.xxx.xxx.xxx,https指的是一种加密的协议,该协议能够将网站内容加密后再进行传输。s指的是ssl,是一种加密算法。)即可解决这个问题。采用ssl加密算法加密的信息在实际应用中被破解的可能性几乎为零,所以是有足够适用的安全度。在访问该类网站时,往往会弹出一个窗口,问是否接受这个安全证书(Certificate),请选择接受,才能够继续浏览。网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础,这个后面会谈到。

随着破网软件的不断出现,中共也发现,仅仅有上面的过滤手段是没法封住可以加密的网站的,也同时开始研发了一套DNS劫持的系统,在2002年下半年开始悄悄地大面积应用。这个就是第三个能够过滤的,就是过滤所有DNS请求,凡是有关键字的,就返回一个假的IP地址。这个技术在世界上确实是独一无二的,中共为了研发这套系统,也是花了很大的代价。

宇明固定域名 http://yuming.flnet.org
当前大陆专用域名(加密访问) https://ym21.deaftone.com

[宇明论坛] [悄悄话] [返回顶部↑]

相关文章:
  ·破网初学:如何开始第一步(基础介绍)(1)
·破网初学:如何让flashget配合自由门软件下载
·突破网络封锁:网络专家与最新技术
·动态网总裁针对上网安全顾虑答记者问
·卫星播出协议成功签署 新唐人更新接收信号数据
·中国网络封锁技术漫谈:国家级别的关键字过滤
·中国网络封锁技术漫谈:国家入口网关的IP封锁
·破网工具自由门被误认为木马另有原因?