狠狠撸

骋贵奥工作原理&补尘辫;解决方案

冯斌@正点科技

2012-8-15 ZhuHai

GFW介绍

? Great Firewall、中国国家防火墙、功夫网

骋贵奥相的人和组织
? 方滨：
GFW之父、北邮校长

? 严望佳：
启明星辰，GFW当前维护者

? 齐向东、石晓虹？
奇虎360，搜索引擎安全管理系统

? 华为！思科？

GFW软硬件
? 曙光4000L集群，Red Hat系列

? GFW是曙光4000L的主要需求源？

? GFW（北京）拥有16套曙光4000L，每套
384节点，其中24个服务和数据库节点，360
个计算节点。每套价格约千万到三千万？

? GFW提供云过滤API？

GFW八卦-方滨
? 99年前在哈工大
? 年后获得国务院特殊津贴
? 05年成了院士
? 07年成了校长
? 建成GFW原型后就不管了

骋贵奥八卦-后台系
? 方滨
《五个层面解读国家信息安全保障体系》

? GFW本身只是一个科研成果，无权过问
? 与金盾工程系不大
? 技术上领先金盾工程很多，费用为1/10 ?

浏览网页的流程
简单流程说明

忽略HTTP、TCP、窗口、差错控制等等细节

DNS解释

? twitter.com > 199.59.150.7
? 珠海正点科技有限公司 > 珠海吉大 ....

IP路由

? 路由：
区(市) > 骨干网 > 中国 > 美国 > twitter

? 快递：
海珠区?> 广州 > 珠海 > 吉大

TCP连接

? 浏览器 (客户端) 与服务器相互认

? 快递前先认地址是否存在

下载内容到本地

? twitter > 本地
? 公司 > 家

DNS污染

? 国家级DNS服务器发布错误解释条目
? 国际网络已不再信任中国的DNS服务器
? 告诉你错误的地址

DNS劫持

? 使用8.8.8.8，DNS解释包被换

? 电信114网站
? 问对了人，但信息被中间人换

TCP重置

? YouTube 多媒体数据
? TCP通信过程中被插入重置信号
? 不用问了，你说的地址不存在...
? 不要快递了，你说的地址现在不存在了

IP封锁

? 直接丢弃指定 IP(段) 所有数据包
? 就是要丢掉你的快递

SSL(TLS)证书封锁

? 黑名单
? 加密无法过滤键字，那就不让你加密

键字检测

? 对含有指定键字的各协议数据包，
采取各手段封锁

? 违禁物品不得快递

选择性丢包

? Gmail
? 国际路由出口
? 在不知不觉间，劣化Gmail等国外、不可
控的服务，让用户转而使用可监控可监
管的同类国内服务

GFW日志

? 记录海量的流量信息
? 如果没有会用代理和加密，从IP对应到人
只是时间问题

原则

? “强调综合平衡安全成本与风险，如果风
险不大就没有必要花太大的安全成本来
做。”

更换DNS服务器

? GoogleDNS
? OpenDNS

反TCP重置

? 西厢计
? YouTube、Facebook

HTTPS加密

? Google Search、Gmail

IPv6

? IPv6默认使用加密连接
? 使用IPv6访问支持IPv6的服务
? 杀手级协议：IPSec
? 普及之路漫长

Forward Proxy

? SOCKS5
? SSH
? VPN

Reverse Proxy

? 红杏计
? GappProxy

我是怎样翻墙的？

VPN

VPS

? OpenVPN
? PPTP
? L2TP
? IPSec

多平台支持

? Windows / Linux / Mac OS X
? Android 1.6+
? iOS (iPhoneOS) 3+
? ...

OpenVPN

? 基于TCP或UDP
? SSL加密通信
? 端口号可选
? 伪装成HTTP(S)、DNS、FTP、NTP...

OpenVPN
? 反键词过滤
? 反DNS攻击
? 反协议过滤
? 配置方便简单
? 虚拟网卡，应用程序零设置

How GFW work