通俗讲解GFW

来源：http://www.jasonli.cz.cc/?p=3

这是我准备在下学期开学典礼上说的演讲稿，大家先看一下……

另：不要吐槽，本文主要从技术上分析，不考虑政治问题。

政治问题我会在下一篇文章中讲述。

1、GFW的目的

……………………本段已被删除。……………………

2、GFW如何达到这个目的呢？

1、IP地址封锁

举个很形象的例子，在一个班里面，班主任Charlie严格禁止学生早恋，并且要没收情书等“恋爱工具”。

这时出现了一对准情侣：Alice和Bob。Bob已经因为有前科，被Charlie严加监视。

有一天，Alice给Bob写了一封热情洋溢的情书，但在给Bob的过程中，因为爱打小报告的Eve发现，并将此信息提供给Charlie。

于是，这封情书就被没收，而Alice和Bob也在一段时间内被Charlie要求禁止接触。

IP地址封锁其实就是上面的例子：

在一个IP封锁的系统中，Bob（B）是好人/坏人（和谐/不和谐的计算机）是Eve（GFW）评判的唯一标准，也是Alice（A）能否成功传输信息的唯一标准，所以只要Bob（B）换一个身份（IP），该等封锁便可轻松解除。

2、DNS欺骗

又一天，Alice给Bob写了一封热情洋溢的情书，但在给Bob的过程中又被班主任Charlie发现。

Charlie发现Alice和Bob重燃爱火，于是他想了个阴毒的办法：伪造一个Bob。

于是乎，Charlie命令Alice将这封情书给了Edward，一个喜欢Alice的男孩。

于是……Bob和Alice的恋爱计划就在Charlie的操纵下变成了Edward和Alice的恋爱计划。

DNS欺骗的弱点在于，他只能在Eve（指定的DNS）上面监视，如果Alice（A）通过其他人（其他DNS），那么Eve和Charlie将看不到Alice在寻找Bob，自然也就无法欺骗。

3、关键字过滤

Charlie改变了主意，一味的隔断男女同学之间的通信不好，只要屏蔽掉“爱情”之类的关键字就可以了嘛！

于是他指派Eve，对男女同学间的信件监视，发现一个，屏蔽一个。

碰巧，Alice想对Bob表衷肠，于是乎Alice写了一封情书给Bob，但不巧的是这封情书里出现了“爱情”二字，于是被Eve和Charlie发现……下面的不用说了……

在一个关键字过滤系统中，信件里有无“关键字”是GFW评判的唯一标准，所以绕过较为困难，但如果使用加密技术，将关键字加密，亦可轻松绕过封锁，但需小心下一节提到的HTTPS过滤。

4、HTTPS过滤

Bob在屡次表白均被Eve和Charlie发现之后，找到好朋友Steve，Steve想出加密情书的方法。

于是乎……Bob又写了一封情书，并用Steve提供的方法加密。

但Charlie得到了情报，对Eve说：如果发现一堆不知所云的文字，无论有没有关键字，都不要放行！

于是……这封加了密的情书在传输过程中被Eve发现……后面不用说了吧……

在HTTPS过滤的环境中，信息有无使用HTTPS加密，是GFW评判的主要标准，目前针对Google Document的封锁，就属于这种方式。

以上就是GFW所使用的全部封锁方法，实际环境中，通常会结合使用，一般会采取：IP检查——HTTPS检查——关键字检查的三联套作为审查工具。

3、那如何绕过GFW呢？

正所谓魔高一尺，道高一丈，GFW虽然在不断地增强，但实际上其亦有缺点，我们同样举Alice和Bob的例子：

Alice的班上转来了一位男同学叫Walter，他说他愿意做Alice和Bob的中间人，规避Eve和Charlie的审查。

于是Alice传递信息一般都会先传给Walter，因为Walter没有被老师列入“黑名单”，于是传递非常顺利。

然后Walter再将信息传给Bob。这样一来，Alice和Bob就借助Walter成功的传输情书，绕过了Eve和Charlie的审查。

一定程度上，大部分的翻墙软件都可以称之为Walter，因为他们作为第三人来绕过GFW，这也是现在最为广泛使用的方法。

为了规避关键字审查，有时Steve类的加密技术也会被使用，例如SSH、VPN、无界、自由门等技术均是Steve和Walter的结合体。

在电脑技术中，Walter一般成对存在，如上图中的C和B就是一对使用了Steve类技术的Walter，分别存在于墙内和墙外。

如上，所有的翻墙技术都可归类为Walter和Steve两类：

	Walter类（使用代理服务器）	非Walter类（不使用代理服务器）
Steve类（使用加密）	无界、自由门等加密代理及SSH、VPN、Tor、在线代理	Google Reader等RSS阅读器（一般不视为翻墙软件）
非Steve类（不使用加密）	普通HTTP代理，Gappproxy等弱加密代理	西厢计划等

4、致谢

本文参照了维基百科的以下条目：

《突破网络审查》、《IP封锁》、《域名服务器缓存污染》、《中国网络审查》。

本文参照T. Ptacek等在1998年的论文《Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection》撰写。

本文亦有参照Jiehan Zheng于2008年发布的《中国网络审查》及其修订。

本文中有部分内容基于Yifu Dong、Lanly Jin、Simon Yu、George Zhang、Jiehan Zheng所合作撰写的《Internet Censorship》的翻译。

本文对于“西厢计划”的描写基于西厢计划官方网址的介绍。

所有文章及/或幻灯片均于2011年1月26日星期三查阅，在中国大陆可能无法访问。

因以上引用的版权要求，本文以CC-By 2.5版本散出。

感谢您的阅读。

—————————————————————————————————————————

需要翻墙利器赛风? 请阅读和关注中国数字时代。

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到：fanqiang70ma@gmail.com

请阅读和关注中国数字时代、翻墙技术博客GFW BLOG（免翻墙）

请使用Google Reader订阅中国数字时代中文版（http://chinadigitaltimes.net/chinese/feed），阅读最有价值的中文信息；以及GFW BLOG（功夫网与翻墙）http://feeds2.feedburner.com/chinagfwblog，获取最新翻墙工具和翻墙技巧信息。