淘客熙熙

主题:【原创】it科普二 蛋疼向研究之GFW -- 浩瀚星辰

共:💬52 🌺62
分页树展主题 · 全看首页 上页
/ 4
下页 末页
  • 家园 【原创】it科普二 蛋疼向研究之GFW

    GFW是什么大家都知道了,我们今天的目标就是来研究下GFW是怎么工作的。

    在国内的朋友可以拿起火狐访问一下 www.youtube.com你会看到

    连接被重置

    载入页面时到服务器的连接被重置。

    * 此站点暂时不可用或者太忙。请稍后重试。

    * 如果您无法载入任何页面,请检查您计算机的网络连接。

    * 如果您的计算机受到防火墙或代理服务器的保护,请确认 Firefox

    被授权访问网页。

    到这里很多人就关掉了,大部分人没兴趣去研究究竟发生了什么,他们只是觉得这个网址被被tg封锁了。也因为这几年长春真人实在是太活跃,也许昨天还上去的一个网站今天再去打开就会无法访问,所以经常就会有人一看到某个网站上不去了就会高呼网站被墙了,例如今天的imdb。我个人认为imdb是否被墙了还值得商榷,因为他和其他被墙网站表现形式不太一样。

    连接超时

    位于 www.imdb.com 的服务器响应时间过长。

    * 此站点暂时不可用或者太忙。请稍后重试。

    * 如果您无法载入任何页面,请检查您计算机的网络连接。

    * 如果您的计算机受到防火墙或代理服务器的保护,请确认 Firefox

    被授权访问网页。

    看到不太一样的地方了吗?

    载入页面时到服务器的连接被重置。

    连接超时

    位于 www.imdb.com 的服务器响应时间过长。

    症状我们已经发现,问题是这个症状下面隐含了什么。

    house:foreman,do a MRI!(不明白这句的请无视)

    Tracing route to us.dd.imdb.com [207.171.166.140]

    over a maximum of 30 hops:

    1 2 ms 1 ms 1 ms localhost [192.168.1.1]

    2 11 ms 7 ms 34 ms 222.129.184.1

    3 7 ms 15 ms 5 ms 125.35.75.13

    4 10 ms 8 ms 9 ms 61.148.157.121

    5 4 ms 10 ms 10 ms bt-229-253.bta.net.cn [202.106.229.253]

    6 14 ms 10 ms 9 ms 123.126.0.29

    7 48 ms 49 ms 38 ms 219.158.8.214

    8 219.158.11.154 reports: Destination host unreachable.

    当然这并不是说没有被墙,而是和正规被墙的情况不太一样,也是为了引出本文的真正主角

    tracert www.youtube.com

    Tracing route to youtube-ui.l.google.com [74.125.153.100]

    over a maximum of 30 hops:

    1 2 ms 1 ms 1 ms localhost [192.168.1.1]

    2 16 ms 23 ms 15 ms 222.129.184.1

    3 10 ms 12 ms 5 ms 61.148.14.81

    4 19 ms 11 ms 11 ms 61.148.157.9

    5 4 ms 11 ms 8 ms 61.148.157.65

    6 5 ms 8 ms 11 ms 123.126.0.5

    7 40 ms 41 ms 42 ms 219.158.4.102

    8 77 ms 83 ms 72 ms 219.158.3.222

    9 * * * Request timed out.

    10 124 ms 112 ms 123 ms 209.85.249.192

    11 113 ms 109 ms 306 ms 209.85.250.86

    12 218 ms 126 ms 112 ms 209.85.250.103

    13 134 ms 113 ms 120 ms 72.14.233.130

    14 119 ms 116 ms 111 ms ty-in-f100.1e100.net [74.125.153.100]

    Trace complete.

    问题在于去往youtube的数据包居然畅通无阻,但是我们什么也看不到。

    之后大家可以联想下在google 搜f l g的效果,往往是一开始能看到些东西,之后就没有返回数据,你要看的东西被动态的墙了。

    现在我们就来解密下gfw的工作原理吧,实际上火狐已经告诉大家是怎么回事了你的链接被重置了,但问题是重置是怎么回事恐怕一般人不知道.

    我们先看看tcp的包结构

    0 1 2 3

    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Source Port | Destination Port |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Sequence Number |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Acknowledgment Number |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Data | |U|A|P|R|S|F| |

    | Offset| Reserved |R|C|S|S|Y|I| Window |

    | | |G|K|H|T|N|N| |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Checksum | Urgent Pointer |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | Options | Padding |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    | data |

    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

    其中我们本次的主角就是

    Control Bits: 6 bits (from left to right):

    URG: Urgent Pointer field significant

    ACK: Acknowledgment field significant

    PSH: Push Function

    RST: Reset the connection

    SYN: Synchronize sequence numbers

    FIN: No more data from sender

    这个RST就是让大家看不到想看东西的元凶。

    接下来我们就可以分析一下这个东西是怎么工作的,他蹲在主要出口路由上,只要敏感字符到达一个限制就马上向你机器推送一个伪装成你目标主机含有rst被置1的数据包,接下来你的计算机告诉你,载入页面时到服务器的连接被重置,于是你就看不到下面的东西了。

    tcp数据包结构看不清的可以去看

    http://www.faqs.org/rfcs/rfc793.html

    rfc 793

    • 家园 如果更改HTTP协议能否穿墙?

      https的协议比较麻烦,需要证书啊认证啊什么的。从穿墙的角度看,需要攻击的就是墙本身,我们并不需要保密,而是为了让墙不work。

      如果更改HTTP协议,要求每个HTTP请求时浏览器和服务器都作一次DH握手,决定一个较短的密钥,比如64-bits的,这样的计算量对双方都能接受,但是对于GFW来说,如果进行中间人攻击,它就需要记住所有请求的密码。

      另一种方式是服务器单方面的加密。服务器在回应每个请求时,将传送结果以随机选择的密钥加密,并在传送完加密内容后发出密钥。这样的话,如果GFW需要分析传送的内容,就必须保存前面所有的包。

      当然这必须大规模应用才行,否则GFW可以简单地阻挡这样的网站。

      • 家园 好像有人有新想法了

        原理可能跟你说的不太一样。不过我看出来都有共同点,就是要法规强制所有ISP都支持,无偿做中转。

        可能只要你传输的是某种形式的加密信息,GFW理论上就可以拦截,拒绝访问。所以,不管怎样,都必须逼迫所有的ISP都来发送加密信息才行。

        http://www.technologyreview.com/communications/38207/?mod=chthumb

      • 家园 没有金刚钻 不揽瓷器活,不会飞还敢这么牛B

        一天,一个男子坐飞机,向空中小姐要了一杯矿泉水。过了很久都没有送来,男人正要提醒小姐,突然听到后面有人说:“你大爷呀,我要的XO那?你MB忘了吧!!!”于是空中小姐乖乖的拿XO去了。男人回头一看是一只鹦鹉在说话,觉得很好玩。这时空中小姐送XO来了,鹦鹉又说:“你大爷,我TMD要的是矿泉水,你 Y是傻子吧!!”空中小姐又一边说对不起一边拿矿泉水去了……男人琢磨:原来空中小姐怕横的!于是他大叫:“我*你MLB!我的矿泉水呢?!”果然空中小姐过来了,可是他身后还跟着一个大壮汉,大壮汉在小姐的指示下,一下就把男人给扔了出去。

          男人在下落过程中苦苦思索,为什么我还没有一个鹦鹉面子大呢?忽然他发现鹦鹉也被扔了出来……鹦鹉飞到男人身边,看看他说:"傻B,你Y不会飞还那么牛B呀?!"

        http://www.ccthere.com/thread/2367538

        http://dev.chromium.org/spdy

      • 家园 这不就是https么

        能应付动态墙,可以屏蔽你访问的ip.

        还有楼下的https 中间人问题

        • 家园 中间人攻击对于GFW来说比较特殊

          第一个问题我已经说过了,必须大规模应用才有效,否则GFW可以屏蔽所有此类连接。但从另一方面来说,如果应用的规模很小,比如只是在西西河论坛,用普通的http包来实行这个协议,比如握手和解码用js,而GFW并不知道你正在进行这样的协议通信,那么GFW也是挡不住的。

          中间人攻击对于GFW来说比较特殊。要注意的是,我们并不是要尽一切可能不让GFW知道我们的通信内容。我们的目的是,不让GFW能实时分析通信的内容。这和https的目的是完全不同的。在我前面一个帖子中的方案下,如果GFW想知道某个特定的http请求和回答的内容,它都是可以做到的。但是它无法实时地知道所有(或者绝大部分的)http请求和回答的内容,于是无法实时分析。

    • 家园 【讨论】GFW断网的一些细节问题

      关于GFW的原理,浩瀚星辰兄的帖子里面说的比较清楚,看了大家的讨论对于一些细节的问题可能还有些疑问,这里借浩瀚星辰兄的帖子简单的说说。

      实现连接关闭的方法有很多很多,无非都是在TCP协议包上做手脚,这里只说一种GFW可能使用的方法。

      client(ie, firefox, opera...) - GFW - server(www.xxx.com)

      实际上GFW是双向工作,当收到client的数据包之后,GFW会伪装xxx.com的地址将RST数据包返回给client,并将访问xxx.com的数据包丢弃,同时伪装成client地址发送FIN ACK数据包关闭连接。后续的由xxx.com发来ACK数据包可以直接丢弃掉。

      为什么使用RST而不使用FIN包?使用RST包的好处就是接收到RST数据包的一端会立刻重置连接(表现为网络断开),不会再发出后续响应数据包。

      因此即使修改了tcp/ip的协议驱动仍然无法继续访问被GFW封锁的网站。唯一的方法是使用没有被GFW封锁的代理。

      突破GFW的方法比较多。

      1、找一些免费的代理服务器,google搜索“免费代理”会有很多,需要一个一个实验。

      2、使用tor,jap等代理软件,不过网速会比较慢。

      3、如果国外有没被GFW封锁的主机,可以使用ssh转socks5的方式。

      4、使用国外一些免费的VPN,google搜索“free vpn”,免费的会有流量限制。

      • 家园 需要强调的是

        需要强调的是,HTTPS不是100%安全的。

        非对称密钥体系要求通信的双方可以相互认证(信任基于第三方的CA)。但是,由于便捷性和费用等种种原因,大部分HTTPS/VPN/SSH仅仅要求单方身份认证。这就导致了经典的中间人攻击。

        要做中间人,就必须要求数据从中间人节点路由(GFW很合适),中间人对CLIENT伪装成目标SERVER,对SERVER伪装成发起连接的CLIENT;截获并且中继CLIENT和SERVER的通信。

        目前还没有见过GFW使用中间人攻击,不过同样原理的安全产品(关键字 HTTPS扫描)已经在市场上存在很久了。

        • 家园 不是很同意

          虽然是server单方认证,man-in-the-middle attacker无法伪造server的证书,只能forward真正server得证书,这样也就无法计算加密的密钥。因此通讯依然是安全的。

      • 家园 谢谢补充

        那么我老师的故事有问题?或者是gfw升级过?

        顺便说句还有一种ipv6翻墙法

        有兴趣的可以自己搜索ipv6翻墙

        基本方法就是将下面东西扔到C:\WINDOWS\system32\drivers\etc\hosts里,注意这种方法适用范围有限,你连着的路由未必开着ipv6路由

        # Twitter

        2001:470:83f2::710:1 twitter.com

        2001:470:83f2::710:1 www.twitter.com

        2001:470:83f2::710:1 m.twitter.com #Twitter Mobile

        2001:470:83f2::710:1 search.twitter.com #Twitter Serach

        2001:470:83f2::710:1 integratedsearch.twitter.com #TimelineController?

        2001:470:83f2::710:1 api.twitter.com

        2001:470:83f2::710:1 s.twimg.com #Twitter Serach

        2001:470:83f2::710:1 a0.twimg.com

        2001:470:83f2::710:1 a1.twimg.com

        2001:470:83f2::710:1 a2.twimg.com

        2001:470:83f2::710:1 a3.twimg.com

        2001:470:83f2::710:1 twitpic.com

        2001:470:83f2::710:1 twitgoo.com

        # Youtube

        2001:4860:c004::68 www.youtube.com

        2001:4860:c004::68 tw.youtube.com

        2001:4860:c004::68 youtu.be

        2001:4860:c004::68 gdata.youtube.com

        2001:4860:c004::68 help.youtube.com

        2001:4860:c004::68 upload.youtube.com

        2001:4860:c004::68 insight.youtube.com

        2001:4860:c004::68 img.youtube.com

        2001:4860:c004::68 s2.youtube.com

        2001:4860:c004::68 youtube.com

        2001:4860:c004::68 apiblog.youtube.com

        2001:4860:c004::68 clients1.youtube.com

        2001:4860:c004::68 d.yimg.com

        2001:4860:c004::68 s.ytimg.com

        2001:4860:c004::68 i.ytimg.com

        2001:4860:c004::68 i1.ytimg.com

        2001:4860:c004::68 i2.ytimg.com

        2001:4860:c004::68 i3.ytimg.com

        2001:4860:c004::68 i4.ytimg.com

        2001:470:83f2::710:1 v1.lscache1.c.youtube.com

        2001:470:83f2::710:1 v1.lscache2.c.youtube.com

        2001:470:83f2::710:1 v1.lscache3.c.youtube.com

        2001:470:83f2::710:1 v1.lscache4.c.youtube.com

        2001:470:83f2::710:1 v1.lscache5.c.youtube.com

        2001:470:83f2::710:1 v1.lscache6.c.youtube.com

        2001:470:83f2::710:1 v1.lscache7.c.youtube.com

        2001:470:83f2::710:1 v1.lscache8.c.youtube.com

        2001:470:83f2::710:1 v2.lscache1.c.youtube.com

        2001:470:83f2::710:1 v2.lscache2.c.youtube.com

        2001:470:83f2::710:1 v2.lscache3.c.youtube.com

        2001:470:83f2::710:1 v2.lscache4.c.youtube.com

        2001:470:83f2::710:1 v2.lscache5.c.youtube.com

        2001:470:83f2::710:1 v2.lscache6.c.youtube.com

        2001:470:83f2::710:1 v2.lscache7.c.youtube.com

        2001:470:83f2::710:1 v2.lscache8.c.youtube.com

        2001:470:83f2::710:1 v3.lscache1.c.youtube.com

        2001:470:83f2::710:1 v3.lscache2.c.youtube.com

        2001:470:83f2::710:1 v3.lscache3.c.youtube.com

        2001:470:83f2::710:1 v3.lscache4.c.youtube.com

        2001:470:83f2::710:1 v3.lscache5.c.youtube.com

        2001:470:83f2::710:1 v3.lscache6.c.youtube.com

        2001:470:83f2::710:1 v3.lscache7.c.youtube.com

        2001:470:83f2::710:1 v3.lscache8.c.youtube.com

        2001:470:83f2::710:1 v4.lscache1.c.youtube.com

        2001:470:83f2::710:1 v4.lscache2.c.youtube.com

        2001:470:83f2::710:1 v4.lscache3.c.youtube.com

        2001:470:83f2::710:1 v4.lscache4.c.youtube.com

        2001:470:83f2::710:1 v4.lscache5.c.youtube.com

        2001:470:83f2::710:1 v4.lscache6.c.youtube.com

        2001:470:83f2::710:1 v4.lscache7.c.youtube.com

        2001:470:83f2::710:1 v4.lscache8.c.youtube.com

        2001:470:83f2::710:1 v5.lscache1.c.youtube.com

        2001:470:83f2::710:1 v5.lscache2.c.youtube.com

        2001:470:83f2::710:1 v5.lscache3.c.youtube.com

        2001:470:83f2::710:1 v5.lscache4.c.youtube.com

        2001:470:83f2::710:1 v5.lscache5.c.youtube.com

        2001:470:83f2::710:1 v5.lscache6.c.youtube.com

        2001:470:83f2::710:1 v5.lscache7.c.youtube.com

        2001:470:83f2::710:1 v5.lscache8.c.youtube.com

        2001:470:83f2::710:1 v6.lscache1.c.youtube.com

        2001:470:83f2::710:1 v6.lscache2.c.youtube.com

        2001:470:83f2::710:1 v6.lscache3.c.youtube.com

        2001:470:83f2::710:1 v6.lscache4.c.youtube.com

        2001:470:83f2::710:1 v6.lscache5.c.youtube.com

        2001:470:83f2::710:1 v6.lscache6.c.youtube.com

        2001:470:83f2::710:1 v6.lscache7.c.youtube.com

        2001:470:83f2::710:1 v6.lscache8.c.youtube.com

        2001:470:83f2::710:1 v7.lscache1.c.youtube.com

        2001:470:83f2::710:1 v7.lscache2.c.youtube.com

        2001:470:83f2::710:1 v7.lscache3.c.youtube.com

        2001:470:83f2::710:1 v7.lscache4.c.youtube.com

        2001:470:83f2::710:1 v7.lscache5.c.youtube.com

        2001:470:83f2::710:1 v7.lscache6.c.youtube.com

        2001:470:83f2::710:1 v7.lscache7.c.youtube.com

        2001:470:83f2::710:1 v7.lscache8.c.youtube.com

        2001:470:83f2::710:1 v8.lscache1.c.youtube.com

        2001:470:83f2::710:1 v8.lscache2.c.youtube.com

        2001:470:83f2::710:1 v8.lscache3.c.youtube.com

        2001:470:83f2::710:1 v8.lscache4.c.youtube.com

        2001:470:83f2::710:1 v8.lscache5.c.youtube.com

        2001:470:83f2::710:1 v8.lscache6.c.youtube.com

        2001:470:83f2::710:1 v8.lscache7.c.youtube.com

        2001:470:83f2::710:1 v8.lscache8.c.youtube.com

        2001:470:83f2::710:1 v9.lscache1.c.youtube.com

        2001:470:83f2::710:1 v9.lscache2.c.youtube.com

        2001:470:83f2::710:1 v9.lscache3.c.youtube.com

        2001:470:83f2::710:1 v9.lscache4.c.youtube.com

        2001:470:83f2::710:1 v9.lscache5.c.youtube.com

        2001:470:83f2::710:1 v9.lscache6.c.youtube.com

        2001:470:83f2::710:1 v9.lscache7.c.youtube.com

        2001:470:83f2::710:1 v9.lscache8.c.youtube.com

        2001:470:83f2::710:1 v10.lscache1.c.youtube.com

        2001:470:83f2::710:1 v10.lscache2.c.youtube.com

        2001:470:83f2::710:1 v10.lscache3.c.youtube.com

        2001:470:83f2::710:1 v10.lscache4.c.youtube.com

        2001:470:83f2::710:1 v10.lscache5.c.youtube.com

        2001:470:83f2::710:1 v10.lscache6.c.youtube.com

        2001:470:83f2::710:1 v10.lscache7.c.youtube.com

        2001:470:83f2::710:1 v10.lscache8.c.youtube.com

        2001:470:83f2::710:1 v11.lscache1.c.youtube.com

        2001:470:83f2::710:1 v11.lscache2.c.youtube.com

        2001:470:83f2::710:1 v11.lscache3.c.youtube.com

        2001:470:83f2::710:1 v11.lscache4.c.youtube.com

        2001:470:83f2::710:1 v11.lscache5.c.youtube.com

        2001:470:83f2::710:1 v11.lscache6.c.youtube.com

        2001:470:83f2::710:1 v11.lscache7.c.youtube.com

        2001:470:83f2::710:1 v11.lscache8.c.youtube.com

        2001:470:83f2::710:1 v12.lscache1.c.youtube.com

        2001:470:83f2::710:1 v12.lscache2.c.youtube.com

        2001:470:83f2::710:1 v12.lscache3.c.youtube.com

        2001:470:83f2::710:1 v12.lscache4.c.youtube.com

        2001:470:83f2::710:1 v12.lscache5.c.youtube.com

        2001:470:83f2::710:1 v12.lscache6.c.youtube.com

        2001:470:83f2::710:1 v12.lscache7.c.youtube.com

        2001:470:83f2::710:1 v12.lscache8.c.youtube.com

        2001:470:83f2::710:1 v13.lscache1.c.youtube.com

        2001:470:83f2::710:1 v13.lscache2.c.youtube.com

        2001:470:83f2::710:1 v13.lscache3.c.youtube.com

        2001:470:83f2::710:1 v13.lscache4.c.youtube.com

        2001:470:83f2::710:1 v13.lscache5.c.youtube.com

        2001:470:83f2::710:1 v13.lscache6.c.youtube.com

        2001:470:83f2::710:1 v13.lscache7.c.youtube.com

        2001:470:83f2::710:1 v13.lscache8.c.youtube.com

        2001:470:83f2::710:1 v14.lscache1.c.youtube.com

        2001:470:83f2::710:1 v14.lscache2.c.youtube.com

        2001:470:83f2::710:1 v14.lscache3.c.youtube.com

        2001:470:83f2::710:1 v14.lscache4.c.youtube.com

        2001:470:83f2::710:1 v14.lscache5.c.youtube.com

        2001:470:83f2::710:1 v14.lscache6.c.youtube.com

        2001:470:83f2::710:1 v14.lscache7.c.youtube.com

        2001:470:83f2::710:1 v14.lscache8.c.youtube.com

        2001:470:83f2::710:1 v15.lscache1.c.youtube.com

        2001:470:83f2::710:1 v15.lscache2.c.youtube.com

        2001:470:83f2::710:1 v15.lscache3.c.youtube.com

        2001:470:83f2::710:1 v15.lscache4.c.youtube.com

        2001:470:83f2::710:1 v15.lscache5.c.youtube.com

        2001:470:83f2::710:1 v15.lscache6.c.youtube.com

        2001:470:83f2::710:1 v15.lscache7.c.youtube.com

        2001:470:83f2::710:1 v15.lscache8.c.youtube.com

        2001:470:83f2::710:1 v16.lscache1.c.youtube.com

        2001:470:83f2::710:1 v16.lscache2.c.youtube.com

        2001:470:83f2::710:1 v16.lscache3.c.youtube.com

        2001:470:83f2::710:1 v16.lscache4.c.youtube.com

        2001:470:83f2::710:1 v16.lscache5.c.youtube.com

        2001:470:83f2::710:1 v16.lscache6.c.youtube.com

        2001:470:83f2::710:1 v16.lscache7.c.youtube.com

        2001:470:83f2::710:1 v16.lscache8.c.youtube.com

        2001:470:83f2::710:1 v17.lscache1.c.youtube.com

        2001:470:83f2::710:1 v17.lscache2.c.youtube.com

        2001:470:83f2::710:1 v17.lscache3.c.youtube.com

        2001:470:83f2::710:1 v17.lscache4.c.youtube.com

        2001:470:83f2::710:1 v17.lscache5.c.youtube.com

        2001:470:83f2::710:1 v17.lscache6.c.youtube.com

        2001:470:83f2::710:1 v17.lscache7.c.youtube.com

        2001:470:83f2::710:1 v17.lscache8.c.youtube.com

        2001:470:83f2::710:1 v18.lscache1.c.youtube.com

        2001:470:83f2::710:1 v18.lscache2.c.youtube.com

        2001:470:83f2::710:1 v18.lscache3.c.youtube.com

        2001:470:83f2::710:1 v18.lscache4.c.youtube.com

        2001:470:83f2::710:1 v18.lscache5.c.youtube.com

        2001:470:83f2::710:1 v18.lscache6.c.youtube.com

        2001:470:83f2::710:1 v18.lscache7.c.youtube.com

        2001:470:83f2::710:1 v18.lscache8.c.youtube.com

        2001:470:83f2::710:1 v19.lscache1.c.youtube.com

        2001:470:83f2::710:1 v19.lscache2.c.youtube.com

        2001:470:83f2::710:1 v19.lscache3.c.youtube.com

        2001:470:83f2::710:1 v19.lscache4.c.youtube.com

        2001:470:83f2::710:1 v19.lscache5.c.youtube.com

        2001:470:83f2::710:1 v19.lscache6.c.youtube.com

        2001:470:83f2::710:1 v19.lscache7.c.youtube.com

        2001:470:83f2::710:1 v19.lscache8.c.youtube.com

        2001:470:83f2::710:1 v20.lscache1.c.youtube.com

        2001:470:83f2::710:1 v20.lscache2.c.youtube.com

        2001:470:83f2::710:1 v20.lscache3.c.youtube.com

        2001:470:83f2::710:1 v20.lscache4.c.youtube.com

        2001:470:83f2::710:1 v20.lscache5.c.youtube.com

        2001:470:83f2::710:1 v20.lscache6.c.youtube.com

        2001:470:83f2::710:1 v20.lscache7.c.youtube.com

        2001:470:83f2::710:1 v20.lscache8.c.youtube.com

        2001:470:83f2::710:1 v21.lscache1.c.youtube.com

        2001:470:83f2::710:1 v21.lscache2.c.youtube.com

        2001:470:83f2::710:1 v21.lscache3.c.youtube.com

        2001:470:83f2::710:1 v21.lscache4.c.youtube.com

        2001:470:83f2::710:1 v21.lscache5.c.youtube.com

        2001:470:83f2::710:1 v21.lscache6.c.youtube.com

        2001:470:83f2::710:1 v21.lscache7.c.youtube.com

        2001:470:83f2::710:1 v21.lscache8.c.youtube.com

        2001:470:83f2::710:1 v22.lscache1.c.youtube.com

        2001:470:83f2::710:1 v22.lscache2.c.youtube.com

        2001:470:83f2::710:1 v22.lscache3.c.youtube.com

        2001:470:83f2::710:1 v22.lscache4.c.youtube.com

        2001:470:83f2::710:1 v22.lscache5.c.youtube.com

        2001:470:83f2::710:1 v22.lscache6.c.youtube.com

        2001:470:83f2::710:1 v22.lscache7.c.youtube.com

        2001:470:83f2::710:1 v22.lscache8.c.youtube.com

        2001:470:83f2::710:1 v23.lscache1.c.youtube.com

        2001:470:83f2::710:1 v23.lscache2.c.youtube.com

        2001:470:83f2::710:1 v23.lscache3.c.youtube.com

        2001:470:83f2::710:1 v23.lscache4.c.youtube.com

        2001:470:83f2::710:1 v23.lscache5.c.youtube.com

        2001:470:83f2::710:1 v23.lscache6.c.youtube.com

        2001:470:83f2::710:1 v23.lscache7.c.youtube.com

        2001:470:83f2::710:1 v23.lscache8.c.youtube.com

        2001:470:83f2::710:1 v24.lscache1.c.youtube.com

        2001:470:83f2::710:1 v24.lscache2.c.youtube.com

        2001:470:83f2::710:1 v24.lscache3.c.youtube.com

        2001:470:83f2::710:1 v24.lscache4.c.youtube.com

        2001:470:83f2::710:1 v24.lscache5.c.youtube.com

        2001:470:83f2::710:1 v24.lscache6.c.youtube.com

        2001:470:83f2::710:1 v24.lscache7.c.youtube.com

        2001:470:83f2::710:1 v24.lscache8.c.youtube.com

        • 家园 GFW的脚步一直没有停下来

          GFW一直都在改进中。早期的GFW情况不是太清楚,现在是工作在双向的。。。

    • 家园 shhtp对话也能过滤?
    • 家园 GFW 工作原理可以去看这个

      GFW通过DPI实现

      华为下面这个产品介绍说得很明白了

      外链出处

      • 家园 这个三个好像都无法用到GFW的实际中

        华为这个玩意应该还是应用于网管,用在GFW上似乎差点意思

        主要是大数据量的问题

        1.特征字是最简单的,但是在大数据量的情况下应该是跟不上的,比方说GFW的要过滤的关键字有10万条,而且关键字还在不断增加中,每秒过交换机有100万个包(实际应该远远大于这个数字),平均每个包的长度如果按500个字节算,可以想象在对每个包进行过滤时候的运算量。除非分散到若干台机器中,但这个数字也是很恐怖的,比较现实的做法是限定某些范围的IP包的比较(比如只对GoogleIP地址进行过滤,先用IP地址过滤一次,由于IP地址是直接比较,这样运算量能降下几百倍,在数据量降下几万倍之后(Google的数据估计只占整个网络数据的几万分之一,甚至更低)然后对来自这些IP地址的数据进行过滤。

        2.应用层网关识别耗的是内存,因为需要根据控制流来建立Session,每秒维持上百份甚至更多的Session,而且需要考虑到异常情况,也就是某个Session没有正常结束,挂在哪儿了,怎么办?而且这种识别是死编码,增加一个业务,就需要重新对这种业务进行编码,对于复杂的控制流,CPU运算量也是很大的。

        3.3同2一样,太耗CPU和内存,只能用于特定场合,而且识别率有问题。

        1,2我都用过,在运营商那里实时分析一个省的全部数据(用于网管的业务分析),小的省还可以,大点的地方根本不敢去,做到最后,不是死在了CPU上,就是死在了内存上。海量数据处理才是这个技术的核心,协议分析都是浮云。能做的几家,硬件上投资都很大,而且效果不佳。

分页树展主题 · 全看首页 上页
/ 4
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河