GFW屏蔽的网站
GFW(Great Firewall)屏蔽的网站主要分为以下几类:
境外网站:如Google、Facebook、Twitter等。这些网站被封的原因通常是含有中国政府不能接受的政治内容。
境内敏感网站:包括部分博客、论坛等参与式网站,以及含有少量敏感信息的综合性或技术性网站。
维基媒体:如中文维基百科,以及其他维基媒体站点。
部分境外媒体:如雅虎香港、Blogger/Blogspot等。
含有特定关键词的网站:如含有特定国家领导人姓名、色情、破网软件等字眼的网站。
含有特定URL的网站:如将"zh.wikipedia.org"维基百科中文网的网址列入屏蔽关键词中。
GFW过滤的具体内容
GFW的过滤机制主要分为关键字过滤和URL过滤:
关键字过滤:通过从出口网关收集分析信息,过滤、嗅探指定的关键字。例如,当HTTP请求报文的头部出现特定关键字时,GFW会立即发送RST包干扰正常的TCP连接。
URL过滤:通过将特定网站的URL加入关键字过滤系统,防止民众通过普通海外HTTP代理服务器进行访问。
GFW对特定网站的封锁
GFW对特定网站的封锁主要通过以下几种方式:
IP封锁:通过配置骨干网的BGP路由规则,让国内的骨干路由器加入无效的路由黑洞,使得到特定IP的包被丢弃。
TCP连接重置:通过发送RST包中断TCP连接,这种封锁方式通常是条件触发的,比如URL中包含某些关键字。
端口封锁:利用骨干路由器上的ACL规则对特定的IP或端口进行封禁,包括封端口到封IP,设置选择性丢包等。
GFW对HTTPS加密连接的干扰
GFW对HTTPS加密连接的干扰主要通过以下两种方式:
伪装RST包:通过伪装成对方向发送RST包来干扰正常的TCP连接,进而打断与特定IP地址之间的SSL握手。
DNS劫持和污染技术:通过使用Cisco提供的IDS系统来进行域名劫持,防止访问被过滤的网站。例如,当用户向DNS服务器提交域名请求时,DNS返回虚假(或不解析)的IP地址。
以上信息主要来自于【
