2009年7月1日星期三

【存档】最新出炉的GFW分析报告――更新了关于绿坝的信息以及包含DNS列表

原文出自Google Doc,为了保护源链接,我就不提供链接了。

GFW建成之后,网民们也并不是呆子。随着不能访问的网站越来越多,用代理进行对比之后,网友们逐渐了解到一个阻碍他们访问网络的事物的存在。通过各种黑 箱分析、测试、与国外友人的通力合作,大家对GFW的结构和原理已经有大概的了解。中间的种种细节略去不表,单说网友们得到的结论。

GFW主要的网络屏蔽方式有:


1、DNS劫持

DNS服务器的功能,是把域名和IP地址对应起来。比如baidu.com可能对应某个或某几个IP地址,浏览器把baidu.com发给DNS服务器,服务器再告诉浏览器IP地址,然后浏览器再前往那个地址浏览。当然,用户一般不用关心这一步。

全世界有13台最主要的DNS服务器,没有一台在中国,这是件好事。不过,中国有其中3台服务器的镜像服务器。在这13台根服务器下面,还有许许多多低等级的DNS服务器,它们会缓存一些地址数据,如果某个地址它们无法解析,就会向上级服务器发出询问。

DNS 数据是通过UDP 43端口传送的,GFW现在并没有彻底封闭这个端口。不过,GFW会"污染"一些低等级的DNS服务器的缓存,比如你输入的是google.com,结果 低级DNS服务器给你解析成了baidu.com,并且会把你带到baidu的页面,这种事情在05年大规模发生过,后来有所收敛。另外,GFW也会阻断 某些特定站点的DNS请求,让我们无法解析地址,例如现在针对Youtube的封锁和今年针对Twitter的短时间封锁,都包括了DNS劫持的手段。一 般中国的ISP商提供的DNS服务都有或多或少的劫持行为,有时候跟GFW并无关系,例如像四川电信这种地方ISP商搞什么114网址导航等等自动跳转的 页面,都是通过DNS劫持实现的。

针对DNS劫持,常用的办法是自己手动指定DNS解析服务器,例如指定为香港和记电讯DNS地 址:202.45.84.58, 202.45.84.59,以及著名的OpenDNS: 208.67.222.222, 208.67.220.220。使用它们可以保证解析的准确性。不过,香港的DNS访问iTunes Store容易超时,可能是商业原因;使用OpenDNS无法在谷歌音乐下载歌曲,所以需要时,也可以自己临时切换。最后,用户可以手动修改本地的 hosts文件来彻底避免劫持。

2、域名封锁

这是封锁特定的域名。比如说www.xe.com被列入 了封锁名单,你以后每次输入这个地址就会被屏蔽。然而,这种封锁是比较低级的,有几种办法可以直接绕过。第一,你可以直接输入网站的IP地址,它就没用 了。第二,如果网站支持https(如果支持的话),你就用https。Twitter有段时间就是这种待遇,如果输入 http://twitter.com,没用;输入https://twitter.com,访问就正常了。实际上,Twitter下面有很多二级地址仍 然是这种待遇,用https统统可以绕过去。一般而言,浏览有https支持的网站应该尽量用https,这是为安全和个人隐私考虑,例如Gmail、 Google Reader等就该这样。

3、IP封锁

IP封锁是直接封锁某台服务器的IP,凡是访问 对应于这个IP上的网站都不能看。这也是那些被"连累"的网站被屏蔽的主要原因。例如,如果他们是租用别人的主机,不幸和某个反动站点在同一台服务器上, 那么GFW封掉这个IP会导致该IP上所有网站都挂掉。很多共享软件站点和外国技术论坛就是这么被屏蔽的,PyMOL公司的站点就是我遇到的一个例子。

4、关键字审查与暂时访问限制
用 一般的www.google.com(而不是cn)搜索一个敏感字,会导致页面不能访问,并且接下来的一分多钟的时间里你也不能访问 google.com。这种关键字触发的屏蔽,是GFW的一个重要特征。这种特性相当于一种警告,一般是暂时让你没法访问,隔一会儿后恢复正常。

我 们知道Google.cn是会过滤搜索结果的,如果想要看没被过滤的结果,我们需要先点google.cn下方的Google in English,才能进入Google.com,然后你再把自己的Search Preferences(搜索偏好)设置为用简体中文显示,这样你就可以像使用cn一样正常使用Google.com原版了。或者,你可以直接输入这个地 址:http://www.google.com/ncr,这个地址会直接带你到原版Google页面。

5、流量限制
最新研究发现,如果某个外国网站在某段时间内访问量飙升,GFW会自动阻断国内对这个网站的访问!这是一项伟大的发明,这意味着中国国内已经没法对国外服务器实施DDOS攻击了。这个性质应该是今年才出来的,究竟是长期使用还是纯属实验性质,尚待观望。

6、GFW屏蔽相关的奇闻轶事

以上是GFW常用的网络屏蔽手段。还有一些和GFW的网络屏蔽息息相关的轶事,我列表在这里,供大家参考:?
1、GFW是双向的,国外的同胞访问国内的咸湿站可能遭阻断。

2、 GFW的地理位置,应该在几大海底光缆上岸的那些城市,以及重要的网络节点城市,这就应当包括上海(崇明、南汇)、北京、青岛、福建某地(实际出口在台 北,GFW只能放在福建)、深圳(实际出口在香港)等等,但通常在我们测试GFW的实验中能够查到的、和Tor网络中一眼可以分辨的那种黑节点,基本都在 北京和上海。

3、至今似乎没有网友说认识过或搭讪过任何在GFW工作的人员并曝内幕。另外,在那些探测GFW的实验中,可以得到一些网络审查用仪器的设备信息,发现仍然是Cisco当年卖给贵国的那些东东。

4、 有理论认为,GFW并不是直接架设在主干网络上的,而是和主干网络进行并联。当数据来到服务器时,会被复制一份,然后两份数据同时通过出国端口和GFW设 备。如果GFW认为这信息不良,会向主线路上追加发送数据包,阻断网络访问请求。这种"并联"的方式,应该说可以方便GFW的检修,减少对主干网的影响, 也可以解释在某些高流量的状态下,GFW会偶尔顾不过来的情况。

5、尽管如此,网络审查设备会老化,网络会发展,数据流量在猛增。近一两年来,每次GFW调整的那一两天,都会明显影响到平时本来不会封锁的那些国外网站,特别是整个网络访问国外网站的速度都在下降。不知道GFW会做出什么升级和改动。

6、 也许是因为这种审查负担不断地加大,以及高等公仆们对于视频、图像、声音信息过滤审查的需求,才导致了"绿坝"这种东东的出现。如果每个人机器上的数据都 能预先审查屏蔽一番,GFW的压力会大大减轻。所以"绿坝"尽管很山寨很SB,却代表了一个很不好的方向,意味着在贵国言论尺度会不断收紧。这让人想起 《1984》里,"The Big Brother is watching you.",或者马伯庸的那个山寨版作品《静寂之城》。

7、 为什么中国的IPV6网络普及很慢呢?因为GFW对IPV6是无效的!现在,中国教育网用户是有IPV6地址的,如果他们的操作系统也支持IPV6(例如 OS X,Vista及以上),他们可以在IPV6版的Google(ipv6.google.com)上搜索任何敏感字而不被临时屏蔽!所以,中国主干网要想 用上IPV6,看来要先等GFW把IPV6的屏蔽搞定了再说。

有时候,别人会告诉我说,我们不过下点动漫,不会惹事的。我对此的看法是, 你当然可以不关心政治,但是政治会关心你,特别是由于"你不为任何人说话"而到了"没有人为你说话"的那一步的时候。对于我而言,让更多的人了解墙,教会 更多的人翻墙,也正是防止自己落入那个地步的必做之事。

DNS(Domain Name System)是域名解析服务器的意思,它在互联网的作用是把域名转换成为网络可以识别的IP地址。目前国内电信运营商通过使用DNS劫持的方法,干扰用 户正常上网,使得用户无法访问Google、Gmail、Google AdSense、Google Maps等常用服务,昨天我介绍了使用OpenDNS的方法解决这个问题,由于OpenDNS的服务器在美国,如果使用的人多了有可能会速度变慢,因此今 天我介绍一些其他国外的DNS服务器地址,供大家选择。

  通常来说,香港、韩国、日本等国的DNS服务器速度会比较快,大家可以多用几个试试,尽量选择一个自己访问最快的DNS服务器,中国的电信运营商都是流氓,DNS服务器,早换早轻松。

  港澳台DNS服务器地址

  香港:
  205.252.144.228
  208.151.69.65
  202.181.202.140
  202.181.224.2

  澳门:
  202.175.3.8
  202.175.3.3

  台湾:
  168.95.192.1
  168.95.1.1

  国外DNS服务器地址

  美国:
  208.67.222.222
  208.67.220.220
  165.87.13.129
  165.87.201.244
  205.171.3.65
  205.171.2.65
  198.41.0.4
  198.41.0.4
  198.32.64.12
  192.33.4.12
  192.203.230.10
  192.5.5.241
  192.112.36.4
  192.36.148.17
  192.58.128.30
  192.9.9.3
  193.0.14.129
  128.9.0.107
  128.8.10.90
  66.33.206.206.
  208.96.10.221
  66.33.216.216
  205.171.3.65
  205.171.2.65
  165.87.13.129
  165.87.201.244

  加拿大:
  209.166.160.36
  209.166.160.132

  英国:
  193.0.14.129

  日本
  202.12.27.33
  202.216.228.18

  韩国:
  164.124.101.31
  203.248.240.31
  168.126.63.60
  168.126.63.61

  新西兰:
  202.27.184.3

  泰国:
  209.166.160.132
  202.44.8.34
  202.44.8.2

  印度:
  202.138.103.100
  202.138.96.2

  国内各省市DNS服务器地址

  北京:
  202.96.199.133
  202.96.0.133
  202.106.0.20
  202.106.148.1
  202.97.16.195
  202.138.96.2

  深圳:
  202.96.134.133
  202.96.154.15

  广州:
  61.144.56.100
  61.144.56.101

  广东:
  202.96.128.86
  202.96.128.143

  上海:
  202.96.199.132
  202.96.199.133
  202.96.209.5
  202.96.209.133

  天津:
  202.99.96.68
  202.99.104.68

  广西:
  202.96.128.68
  202.103.224.68
  202.103.225.68

  河南:
  202.102.227.68
  202.102.245.12
  202.102.224.68

  河北:
  202.99.160.68

  福建:
  202.101.98.54
  202.101.98.55

  厦门:
  202.101.103.55
  202.101.103.54

  湖南:
  202.103.0.68
  202.103.96.68
  202.103.96.112

  湖北:
  202.103.0.68
  202.103.0.117
  202.103.24.68

  江苏:
  202.102.15.162
  202.102.29.3
  202.102.13.141
  202.102.24.35

  浙江:
  202.96.102.3
  202.96.96.68
  202.96.104.18

  陕西:
  202.100.13.11
  202.100.4.16
  202.100.4.15
  202.100.0.68

  山东:
  202.102.154.3
  202.102.152.3
  202.102.128.68
  202.102.134.68

  山西:
  202.99.192.68
  202.99.198.6

  四川:
  202.98.96.68
  61.139.2.69

  重庆:
  61.128.128.68

  成都:
  202.98.96.68
  202.98.96.69

  辽宁:
  202.98.0.68
  202.96.75.68
  202.96.75.64
  202.96.69.38
  202.96.86.18
  202.96.86.24

  安徽:
  202.102.192.68
  202.102.199.68
  10.89.64.5

  吉林:
  202.98.5.68
  202.98.14.18
  202.98.14.19

  江西:
  202.101.224.68
  202.109.129.2
  202.101.240.36

  新疆:
  61.128.97.74
  61.128.97.73

  贵州:
  202.98.192.68
  10.157.2.15

  云南:
  202.98.96.68
  202.98.160.68

  黑龙江:
  202.97.229.133
  202.97.224.68
  219.150.32.132

  海南:
  202.100.192.68
  202.100.199.8

  宁夏:
  202.100.0.68
  202.100.96.68

  甘肃:
  202.100.72.13

  内蒙古:
  202.99.224.68

  青海:
  202.100.128.68

  全球路由DNS服务器

  全球只有13台路由DNS根服务器,在13台路由服务器中,名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。下表是这些机器的管理单位、设置地点及最新的IP地址。

  名称  管理单位及设置地点    IP地址
  A INTERNIC.NET(美国,弗吉尼亚州) 198.41.0.4
  B 美国信息科学研究所(美国,加利弗尼亚州) 128.9.0.107
  C PSINet公司(美国,弗吉尼亚州) 192.33.4.12
  D 马里兰大学(美国马里兰州) 128.8.10.90
  E 美国航空航天管理局[NASA](美国加利弗尼亚州) 192.203.230.10
  F 因特网软件联盟(美国加利弗尼亚州) 192.5.5.241
  G 美国国防部网络信息中心(美国弗吉尼亚州) 192.112.36.4
  H 美国陆军研究所(美国马里兰州) 128.63.2.53
  I Autonomica公司(瑞典,斯德哥尔摩) 192.36.148.17
  J VeriSign公司(美国,弗吉尼亚州) 192.58.128.30
  K RIPE NCC(英国,伦敦) 193.0.14.129
  L IANA (美国,弗吉尼亚州) 198.32.64.12


TimNew
------------
Release you passion
To Realize you potential
---------------------------------
Tip Of the Day:
Thomas Fuller  - "Every horse thinks its own pack heaviest."

Posted via email from timnew's posterous

没有评论:

发表评论