GFW 和https加密穿墙
一个穿墙的办法是利用https 来访问gmail 或者google的其他服务,几乎google所有的服务都是可以用https的,具体要了解https的同学可以去wikipedia 查询一下: https. 如果不看那冗长的蝌蚪文字,我简单来说一下。
了解https之前,稍微了解一下GFW封锁:
DNS 劫持
DNS 劫持是GFW广泛使用的一种强奸方式。简单来说,DNS是网络访问的第一步,浏览器首先向DNS服务器发起请求返回一个域名对应的IP。 DNS服务器中国都是运营商提供的,所以上次讯雷搞死了电信就是无数客户端向电信同时发起域名查询,把它搞的挂掉了。
那什么是域名劫持呢? 就是你查google.com, 它不给你google.com的ip,而是给你一个错误的ip, 比如中国电信的ip, 更恶心的是可能给你百度的ip.这里有一个范例。 6月24日阵亡,就拜DNS劫持所赐, 没有正确返回ip, 所以全国人民都挂了。
不过DNS劫持是GFW很仁慈的做法,因为,只要换个DNS就可以了。OpenDNS是最广泛使用的一个,208.67.222.222,208.67.220.220是两个常用的网址。
IP 封锁
ip封锁是最牛B的做法,一旦ip加入到黑名单里去了,就好比政府盯上了刘晓波。上一步中,如果从opendns 获取了被访问网站的ip 之后,再次回到了gfw面前,一看,“噢靠,反共的, 不让过”。 所以,你就被退回来了,过不去那堵墙,他们把守了很多年。 因为每个访问都要在那里耽搁一下查询,有时候他的工作太忙了,你就要排队等候,这样以来,访问速度就要下降了。 通常我们访问那边的网站,速度都要下来,怕是有gfw的功劳。
加入到这个黑名单的网站数不玩,例如youtube, blogger, 所有法轮功的网站,见一个加一个。
内容过滤
过了那扇狭窄的门,终于看到了希望,顺利访问,带着网页回来,又遇到了gfw. gfw这次要求检查你带的东西,就像过海关的时候那样。 如果检查的时候,发现你藏有“反共”毒品,那么它是要截流下来的,返回一个错误的数据到浏览器,通常就是你见到的乱七八糟的错误。
但是毒品也可以藏起来的,这就是https加密。 https在传输之前,就把自己给裹起来,然后再运。 到了gfw那里,gfw还是要搜身,不过怎么也认不出来这里面是不是有什么敏感内容,于是就放行了,那么毒品被安全带回。
https也是有前提的,一般普通的网页多半都不会被https,这很简单,因为这些网页都可以被搜索引擎索引,而每个网页都有一个url对应,所以gfw用不着检查你的内容就知道你是不是藏有毒品,那肯定通不过的,所以Blogspot和其他的新闻网站好像都没有https,当然这也和https的成本有关系,具体请看wikipedia.
所有有https的网站一般都是要登录的数据,简单理解就是搜索引擎不管的那一部分。 注意, URL是由域名(.com之前的)和文件路径(.com之后的)两部分组成的,其中.com是域名劫持的对象,而文件路径属于内容过滤的对象。 这就是为什么Friendfeed上说中文挂掉了的原因。
总结一下:
1. 如果DNS劫持,换个dns即可,这属于小问题;
2. IP 劫持,最恐怖,除非用ssh或者proxy, 否则无解;
3. 内容劫持,如果是登录的网站并且访问的网站部署了https,用https可以避免内容被过滤。
显然最怕的就是ip劫持,但这个是gfw最惯用也是最管用的手法,搞定这个,最好的方法是tor和ssh,除非太平洋海底光缆被切断,我本来以为6.4会被切断的,但高估了它们。
P.S. 阅读本文的同时,我们要清醒地了解到,GFW可不是吃素的,没准哪天又升级了,变得更加深不可测,也许本文的一些方法将变得鸡肋无效,但是,我们期待那天的到来,因为我们相信,咱们网民同样是吃过肉的,咱们遇强则更强。
P.S.P.S. 讽刺、挑逗完GFW之后,还要记得,除了互联网,除了GFW,我们的线下生活其实也很美好,多offline一下,多和朋友聚一聚,多上街走一走。
Sent to you by 参考消息 via Google Reader:
via GFW Blog by GFW Blog on 6/27/09
Google被GFW,我们不希望它发生,因为我们的互联网生活已离不开Google;我们可以容忍它偶尔来一次,因为这同时会让更多本不知道GFW的人们了解到,GFW已经直接影响到他们的生活。那么,我们每个人是不是应该对此做一些各自力所能及的事情呢?
而我们能做的,(仅仅)是保证所有正使用我们服务的人能够畅游互联网,这当然包括正常访问、使用Google的所有服务。因此,针对GFW的已知工作原理,让我们一起完成以下的每一个步骤,为Google被GFW做准备。
打开常见问题解答页面:https://dl.getdropbox.com/u/873345/faq.html
1. 按照图文教程实施通过代理服务器进行域名解析和使用OpenDNS的DNS解析服务。
最好立即实施,不要等到Google被封时再去折腾。实施之后可以使GFW的DNS劫持无效。
2. 平时一定要使用加密访问,比如 https://mail.google.com/ ,别看https只比http多一个s,这个多出来的s――即加密访问――可以防止GFW的域名封锁。
就这么简单的两个步骤,再加上使用我们的翻墙服务,你的Google就不会再被GFW夺去。
下面的内容是关于Google的一些小技巧,在这里一并分享给大家,虽然有的已是很火星,但绝对有效、管事。另外,即使没有使用我们的服务,以下技巧同样有效。
1. 使用不被阉割的Google搜索。这个小技巧需要你有一定的英语基础,因为实施之后,Google的所有服务将会默认为英文界面。这里再次仅以Firefox为例。工具――选项――内容――语言(选择显示页面优先显示的语言)――选择。将中文移除,添加美国英语,最终如下图所示。完毕。
然后再访问Google试试,正常的话,你应该会看到下图,注意到"Go to Google China"字样了吗,Google根据当前IP判断你身处中国,但浏览器却默认页面显示美国英语,从而产生这样的"纠结"画面。我相信即使再怎么纠结,今后能够在Google的时候不再被花季护航,也算是在中国大陆上网的一大乐事吧。
2. 将Gmail的加密级别从RC4-128调整为AES-256。方法:Firefox下,在地址栏输入about:config,保证小心,在过滤器输入rc4,将所有true手动调为false,清除浏览器缓存,打开Gmail,查看证书,变为如下图所示。完毕。
从此,不仅仅是Gmail,所有的https加密访问都将强制使用AES-256高强度加密,是不是很爽?这下原本已是不可能的GFW域名劫持变得更加不可能了。
最后,将这篇文章总结为一个公式:ssh-D + network.proxy.socks_remote_dns + https:// = 哭泣的GFW。P.S. 阅读本文的同时,我们要清醒地了解到,GFW可不是吃素的,没准哪天又升级了,变得更加深不可测,也许本文的一些方法将变得鸡肋无效,但是,我们期待那天的到来,因为我们相信,咱们网民同样是吃过肉的,咱们遇强则更强。
P.S.P.S. 讽刺、挑逗完GFW之后,还要记得,除了互联网,除了GFW,我们的线下生活其实也很美好,多offline一下,多和朋友聚一聚,多上街走一走。
Things you can do from here:
- Subscribe to GFW Blog using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
--
鹅是一个兵,来自老百姓
鹅不是老大,天才是老大
您无所不谈,鹅也不例外
鹅是参考消息@无所不坛
janadabc.blogspot.com
墙内请用谷歌阅读器订阅
--~--~---------~--~----~------------~-------~--~----~
您收到此信息是由于您订阅了 Google 论坛"参考消息(G4G)"论坛。
要在此论坛发帖,请发电子邮件到 Go2group@googlegroups.com
要退订此论坛,请发邮件至 Go2group+unsubscribe@googlegroups.com
更多选项,请通过 http://groups.google.com/group/Go2group?hl=zh-CN 访问该论坛
-~----------~----~----~----~------~----~------~--~---
没有评论:
发表评论