浅析长城防火墙对新型翻墙软件的应对能力
2017-11-20韩潇
摘 要 :该文以Shadowsocks-rss软件为例简单介绍了长城防火墙对新型翻墙软件及其使用了带有的新型抗干扰协议进行加密的数据包的检测能力,并以图、表的形式对一系列测试的结果进行了解释。最后对我国长城防火墙自设立以来所起的作用及其意义进行了辩证的评价。
关键词 :翻墙;翻墙软件;长城防火墙
DOI:10.16640/j.cnki.37-1222/t.2017.22.104
0 前言
2017年1月,我国工业和信息化部下发了《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,其中第(二)条第4点指出:未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动[1]。其后国内各VPN提供商纷纷响应国家的政策,下架其旗下的产品。
但据笔者了解到,VPN的屏蔽在一定程度上仅限于政策及法律法规层面,还未能完全在技术层面上进行屏蔽。
1 长城防火墙的工作模式
让我们先分析一下长城防火墙[2]的屏蔽方式,如图1所示:
据了解,GFW的屏蔽手段主要为:(1)域名解析服务缓存污染、(2)针对境外的IP地址封锁、(3)IP地址特定端口封锁、(4)无状态TCP协议连接重置、(5)对加密连接的干扰、(6)TCP协议关键字阻断[3]。
由于GFW的作用,大量的境外网站在中国大陆境内无法进行正常的访问,故国内网民逐渐开始使用各种“翻墙”软件绕过GFW的封锁。针对网上各类突破长城防火墙的翻墙软件,GFW也在技术上也采取了应对措施以减弱翻墙软件的绕过能力。一般的做法是利用前文中罗列的各种屏蔽技术以及各种其他途径打击“翻墙”软件,盡可能最大化地限制“翻墙”软件的绕过及传播。
1.1 简析新型翻墙软件
有网民指出,GFW现已有能力对基于PPTP和L2TP协议的VPN连接进行监控和封锁,这使得大陆网民绕过长城防火墙的封锁变得更加困难。2015年1月起,部分国外VPN服务在中国大陆无法正常使用,正是由于这些VPN使用的是IPSec、L2TP/IPSec或PPTP协议。于是有网民开发出了一款基于Socks5协议的名为Shadowsocks[4]的“翻墙”软件,后来经过其他网民的修改,衍生了其衍生版本,名为Shadowsocks-rss[5](以下简称SSR),并加入了混淆协议,本文将着重分析后者。
SSR的增加了两类插件:协议(Protocol)插件及混淆(obfs)插件,如表1所示:
从上表可以看出各个协议及插件所具有的特点,TCP协议中有不同的抗攻击办法,而混淆插件可以伪装的方式也有几种,通过笔者最近的详细测试,在中国电信宽带(50M光纤)的网络环境下,测试了如下数据,如表2所示:
注:错误率的统计是依据SSR客户端内内建统计模块得出。
1.2 小结
由此可见,GFW的重放攻击及CCA攻击仅对特征明显的数据包进行干扰,对于抗干扰能力较强的协议,GFW的干扰效果便会大打折扣。但随着DPI[ DPI(深度报文检测):英文全称Deep Packet Inspection,是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。]技术的发展,数据包分析量的增大,GFW对使用以上协议的数据包的识别的准确率理论上必有所提升。但由于tls协议被广泛用于https协议中,不可能一刀切地将所有tls数据包丢弃。要找到一个折中的解决方案,还须GFW维护人员们的努力。
2 结语
自1998年我国设立长城防火墙以来,其对国内的网络环境的净化作用不容小觑:大量涉及暴力、色情、恐怖等内容的网站被阻挡在防火墙外,对青少年的健康成长有着不容忽视的作用。然而任何事物都两面性,GFW曾屏蔽过许多几乎无害,甚至是有积极意义的网站,如著名编程语言Python的官方网站、国外最大的开源软件社区Github(现两者均已解封),而著名的社交网站Facebook,Twitter等,仍然被GFW屏蔽,使得国内外网民的交流受到了一定的阻碍。
笔者个人认为,长城防火墙的设立是利大于弊的。总的来看,我国国民中大量存在文化程度较低的人群,这部分群众极有可能被居心叵测者加以利用,加之民众对事件真相的辨别能力不高,很容易接受一些错误的思想,以讹传讹,极有可能造成恶劣影响。
[1]:http://www.miit.gov.cn/n1146290/n4388791/c5471946/content.html.
[2]长城防火墙:又称长城防火墙,英文名:The Great Firewall,简称GFW.
[3]维基百科:https://zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E.
[4]Shadowsocks:简称SS,一款基于Socks5协议的开源代理软件,配合境外服务器使用.
[5]Shadowsocks-rss:简称SSR,在ss的基础上进行了改进.
[6]DPI(深度报文检测):英文全称Deep Packet Inspection,是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性.
作者简介:韩潇(2000-),男,四川成都人,高中在读。endprint