个人使用vpnquot翻墙quot是否违法 基于规范性法律文件 案例以及相关计算机技术的分析
免责声明:本人不承担任何法律责任,文章转载自微信公众号 不能使用该名称,作者王宇扬
此文为第二段,如果没有看第一部分请移步:
个人使用vpn翻墙是否违法?—基于规范性法律文件、案例以及相关计算机技术的分析1
GFW的原理
首先,我们反复强调,GFW这个概念在当前一切公开的规范性法律文件中都是不存在的。因此,对“翻墙”进行处罚、甚至将“翻墙”这个词写在一个法律文书中简直是无中生有、自取其辱,是非常荒谬的行为。
其次,在学习了以下原理之后,你将清楚地认识到:现行法律规定的所谓“信道”都是在物理层的,而GFW和翻墙的较量基本上都发生在传输层、网络层、会话层、应用层(参见OSI模型)等等,这些层级是法外之地。
在看下文之前,可以同时回顾——你究竟是如何能够访问一个网站的页面的。GFW目前已知的原理有以下几种:
(1)基于UDP协议的域名解析服务劫持/DNS缓存污染
简而言之,DNS域名污染就好比你想在电话号码簿上查询朋友的电话号码,但是不曾想,电话号码簿被人掉包了,你拿到的是假的电话号码簿,原本正确的手机号码被替换成了错误的号码,导致你无法打通电话。而该系统触发的规则使用了类似正则表达式的结构,例如规定“对于一切*.google.com的域名解析到某个不存在的ip地址”。
直接使用windows的ping命令就可以亲眼看到DNS污染的运作效果。谷歌官网的服务器明明架设在美国科罗拉多丹佛,但从下图可以看见,在国内从DNS服务器请求到的ip地址却是93.46.8.90这个来自意大利的无效IP地址。
此项技术不仅是2012年前后人们无法再访问Google的直接原因,其在运转过程中更是殃及了全球DNS域名解析服务的正常运作。
这种DNS污染的方式曾经向中国大陆以外的用户造成影响。2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了ATT、Level德国电信、Qwest和西班牙电信等多个国家的大型ISP。
维基百科 链接:
DNS污染殃及全球用户的基本原理很简单,就是诸多国外用户的DNS请求被他们的ISP电信运营商随机分发给了全球的根域名缓存服务器(也就是那个优先级最低的电话簿),而碰巧,他们请求被分发给了来自中国的根域名服务器,而因为GFW的存在,其提供的是错误的、虚假的DNS解析服务,其造成的后果可想而知。
因此在这里我忍不住插一句题外话。我曾亲耳听见一个计算机专业毕业的人谈及中国的互联网安全现状。他说,因为全球大部分根域名服务器都设立在美国,所以美国掌握互联网的底层,中国必须建立GFW来保障互联网安全。现在,你应该可以体会到这种言论的恶毒之处。因为现在你终于了解到,电话簿可以随时复制,根域名服务器根本就不是什么互联网的底层,而是最高层(应用层)中一个很简单的技术,你的浏览器永远最先访问本地DNS缓存,往往一般都无须根域名服务器就能解析IP地址;而中国的根域名服务器会对境外服务器域名解析错误的ip地址,因此现实情况是中国的DNS污染在影响全球的互联网运行,而非美国影响了中国的互联网安全,这是完全的颠倒是非。
(2)IP地址或传输层端口人工封锁——BGP路由劫持/“路由黑洞”
我们依稀记得BGP好像是各个ISP主干网之间路由节点共享信息的协议,BGP劫持就是伪造位于主干道的路由节点的路由表,将其根本没有或者不可能连通的ip地址导入路由表,诱骗邻近节点相信该节点拥有这一ip地址的访问通道。GFW通过人工方式维护一个针对特定IP地址封锁的列表,从而实现特定ip地址的路由欺骗,这样一个节点我们将其称之为“路由黑洞”。因为基于BGP协议,各个节点之间是无条件信任的,所以这个“谎言”一传十传百,只要一个主干道路由节点被诱骗,其连接的所有节点都会被骗,成为GFW运作的帮凶。而BGP劫持的“可传染性”特征曾经导致全球互联网访问故障。
2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了ATT、Level德国电信、Qwest和西班牙电信等多个国家的大型ISP。
A Chinese ISP Momentarily Hijacks the Internet. PC World. 2010-04-09 [2011-05-19]. (原始内容存档于2011-06-22).
我们依旧可以通过traceroute观察到这一技术的运行效果,我们尝试traceroute一下google.com的真实ip地址,得到如下结果:
可以看见,当数据包跳转给中国电信上海AS4812群组的101.95.120.166路由节点之后,就再也跟踪不到数据包的踪迹了。这是因为在这一节点,存在着一个无效的路由黑洞,其声称自己拥有172.217.24.12这一ip地址的访问可达性,但话音刚落,它就把数据包丢弃在角落了……
与此同时,骨干路由器还有一种ACL Based Forwarding (ABF)的匹配规则,可以在全国骨干路由器同步步数ip端口封锁规则,由于理解不太深入,这里不做专门介绍。
另外,在路由黑洞成为封锁ip的主要途径以前,GFW在早期使用的是访问控制列表(ACL)技术来封锁特定的IP地址,但这种方法有性能不佳的问题。这里不做专门介绍。
(3)TCP RST重置(包括对基于TCP协议的DNS域名解析的重置)
我们依稀记得TCP建立连接前的三次握手,也一定还记得那天在小区里与美女浪漫的邂逅。将TCP RST重置套用到这个浪漫的故事里,可以直接表现为:当你对着妹子招手时,旁边突然冲出来一陌生男子骗你说,“对不起,这是我的女朋友,请不要打扰她”;而随后,他又挡在你面前伪装成你的样子,冲向那位女子说,“刚刚招手的就是我,你别误会,我根本就不是在跟你打招呼,我只是在打蚊子,拜拜”——这个生动的故事为我们展现了,一个无耻的第三人就这样强行闯入了一个纯洁男子和妙龄女子的浪漫邂逅。RST阻断也称为TCP旁路阻断,其运行的原理如下:
通常需要进行阻断的情况是审计控制系统旁路监听内网。旁路监听的方式一般是将主交换机的数据镜像到控制系统,控制系统可以采用libpcap捕获数据包。在这种情况下要阻断tcp连接的建立只要在监听到第一次握手的时候,控制系统伪造服务器发起第二次握手回应,就能阻断客户端与服务器连接的建立。因为我们的系统在内网,发出的报文肯定比服务器快,这样客户端接收到我们伪造的报文以后会回应第三次握手,当服务器真正的报文到达的时候客户端将不再处理,此时客户端再向服务器请求数据,因为seq号和ack号出错,服务器不会受理客户端的请求。
、版权声明:本文为CSDN博主「pluton」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:
TCP协议规定,只要看到RST包,连接立马被中断。从浏览器里来看就是连接已经被重置。大部分的RST是条件触发的,比如URL中包含某些关键字。目前享受这种待遇的网站就多得去了,著名的有facebook。还有一些网站,会被无条件RST。也就是针对特定的IP和端口,无论包的内容就会触发RST。比较著名的例子是https的wikipedia。GFW在TCP层的应对是利用了IPv4协议的弱点,也就是只要你在网络上,就假装成任何人发包。所以GFW可以很轻易地让你相信RST确实是Google发的,而让Google相信RST是你发的。
《G.F.W的原理》
与此同时,DNS解析服务并非全部都使用UDP协议,也有部分使用TCP协议的DNS解析请求,其被封禁也是依靠TCP的RST重置,通过这一技术的反推,有业内人士定位了GFW存在的大致位置。其原理如下:
IP协议的特性叫TTL。TTL是Time to Live的简写。IP包在每经过一次路由的时候,路由器都会把IP包的TTL减去1。如果TTL到零了,路由器就不会再把IP包发给下一级路由。由于GFW会在监听到不和谐的IP包之后发回RST包来重置TCP连接。那么通过设置不同的TTL就可以知道从你的电脑,到GFW之间经过了几个路由器。比如说TTL设置成9不触发RST,但是10就触发RST,那么到GFW就是经过了10个路由器。
另外一个IP协议的特性是当TTL耗尽的时候,路由器应该发回一个TTL EXCEEDED的ICMP包,并把自己的IP地址设置成SRC(来源)。结合这两点,就可以探测出IP包是到了IP地址为什么的路由器之后才被GFW检测到,结合IP地址地理位置的数据库就可以知道其地理位置。
《G.F.W的原理》
我们在上面一段曾了解到,GFW的TCP旁路阻断的前提是“将主交换机的数据镜像到控制系统”。这其实也是目前业内猜测的 GFW系统存在的主要方式——GFW存在于骨干路由器节点,其作为一个设备附着在主干路由器身边,通过“分光”的方式把数据包复制到另外一根光纤上。
基于此,GFW作为一个独立设备就可以作为旁观者分析经过其附着的主干路由器的所有数据包。
(5)深度包检测(机器学习识别翻墙流量→直接阻断)
写到这里已经有点写累了hhh,不知道有多少人看到了这里。当前流行的一切翻墙协议例如shadowsocks、v2ray的VMess 协议等不具有非常显著的特征,而后者可以伪装成其他类型的流量,例如伪装成微信视频等。但无论如何,对于混淆流量和非传统加密协议,GFW正在使用大家耳熟能详的“人工智能”技术,将这些各种各样难以判断和识别的翻墙流量与正规的政企跨境流量相区分开来。
(6)DDoS攻击
不再展开论述,可参考近年来Github网站遭受的攻击。
翻墙的原理
这一部分我不再展开论述,因为是有法律风险的。有一定网络基础知识的人,在看完上述GFW原理之后,应当能够头脑风暴一下,想出很多合理的逃避审查的思路,也能理解为什么我在上文提及“翻墙不等于侵入计算机系统”了。主要的翻墙原理有以下几种。
(1)早期对DNS污染的应对——给hosts文件添加一个离线库就行了
(3)无视GFW发送的RST重置数据包(无视那个第三人,继续暧昧的相遇)
(4)连接境外未被封禁的代理服务器作为中转站,逃过GFW的ip封锁
结语
在文章结尾,我依旧要强调,本文不涉及有关“翻墙”的任何技术指导或方法的具体介绍,同时必须强调——千万不要翻墙访问、发布、传播违法有害信息。
但是我相信,认真学习自己的专业知识,同时广泛地接受和学习其他领域的专业知识,就能轻松避免被网上大肆输出情绪的人鼓动和欺瞒,保持冷静地思考——你真的可以对现状有一个清晰的认识和判断,并在不久的将来参与到各行各业的运行过程中,为社会做出贡献。
而这篇文章,就权当我在学习之余的放松心情、自娱自乐罢。
免责声明:本人不承担任何法律责任,文章转载自微信公众号 不能使用该名称,作者王宇扬
|个人使用vpnquot翻墙quot是否违法、基于规范性法律文件、案例以及相关计算机技术的分析
个人使用vpnquot翻墙quot是否违法 基于规范性法律文件 案例以及相关计算机技术的分析