互联网档案馆 存档於 2017 年 4 月 21 日:https://web.archive.org/web/20170421092911/http://blog.renren.com/share/200487056/5148854419
時間表
1998 年 9 月 22 日,公安部部長辦公會議通過研究,決定在全國公安機關開展全國公安工作信息化工程――” 金盾工程” 建設。
1999 年 4 月 20 日,公安部向國家計委送交金盾工程立項報告和金盾工程項目建議書。
1999 年 6 月,國家計算機網絡與信息安全管理中心成立,局級事業單位。
1999-2000 年,在哈爾濱工業大學任教多年的方濱興調任國家計算機網絡與信息安全管理中心副總工程師。
1999 年 12 月 23 日,國務院發文成立國家信息化工作領導小組,國務院副總理吳邦國任組長。其第一下屬機構計算機網絡與信息安全管理工作辦公室設在已經成立的國家計算機網絡與信息安全管理中心,取代計算機網絡與信息安全管理部際協調小組,對” 公安部、安全部、保密局、商用密碼管理辦公室以及信息產業部” 等部門的網絡安全管理進行組織協調。
2000-2002 年,方濱興在國家計算機網絡與信息安全管理中心任總工程師、副主任、教授級高級工程師。
2000 年 4 月 20 日,公安部成立金盾工程領導小組及辦公室。
2000 年 5 月,005 工程開始實施。
2000 年 10 月,信息產業部組建計算機網絡應急處理協調中心。
2000 年 12 月 28 日,第九屆全國人民代表大會常務委員會第十九次會議通過《關於維護互聯網安全的決定》。
2001 年,方濱興” 計算機病毒及其預防技術” 獲國防科學技術三等獎,排名第一。
2001 年,方濱興獲國務院政府特殊津貼、信息產業部” 在信息產業部重點工程中出突出貢獻特等獎先進個人” 稱號,中組部、中宣部、中央政法委、公安部、民部、人事部等聯合授予” 先進個人” 稱號。
2001 年 1 月 19 日,國家計算機網絡與信息安全管理中心上海分中心成立,位於上海市黃浦區中山南路 508 號 6 樓。國家計算機網絡應急技術處理協調中心上海分中心是工業和信息化部直屬的中央財政全額撥款事業單位。
2001 年 4 月 25 日,” 金盾工程” 經國務院批准立項。
2001 年 7 月,計算機網絡與信息安全管理工作辦公室批准哈爾濱工業大學建立國家計算機信息內容安全重點實驗室,胡銘曾、方濱興牽頭。
2001 年 7 月 24 日,國家計算機網絡與信息安全管理中心廣州分中心成立,位於廣州市越秀區建中路 2、4 號。
2001 年 8 月 8 日,國家計算機網絡與信息安全管理中心組建國家計算機網絡應急處理協調中心,縮寫 CNCERT/CC。
2001 年 8 月 23 日,國家信息化領導小組重新組建,中央政治局常委、國務院總理朱鎔基任組長。
2001 年 11 月 28 日,國家計算機網絡與信息安全管理中心上海互聯網交換中心成立。提供” 互聯網交換服務,互聯網骨幹網華東地區數據交換,數據流量監測與統計,網間通信質量監督,交換中心設備維護與運行,網間互聯費用計算,網間互聯爭議協調”,位於上海市黃浦區中山南路 508 號。
2001 年 11 月 28 日,國家計算機網絡與信息安全管理中心廣州互聯網交換中心成立,位於廣州市越秀區建中路 204 號。
2001 年 12 月,在北京的國家計算機網絡與信息安全管理中心綜合樓開始興建。
2001 年 12 月 17 日,國家計算機網絡與信息安全管理中心湖北分中心成立。
2002 年,方濱興任中國科學院計算技術研究所客座研究員、博士生導師、信息安全首席科學家。2002-2006 年,方濱興在國家計算機網絡與信息安全管理中心任主任、總工程師、教授級高級工程師,升遷後任其名譽主任。
2002 年 1 月 25 日,報導稱:” 國家計算機網絡與信息安全管理中心上海互聯網交換中心日前開通並投入試運行,中國電信、中國網通、中國聯通、中國吉通等 4 家國家級互聯單位首批接入。中國移動互聯網的接入正在進行之中,近期可望成為第五家接入單位。”
2002 年 2 月 1 日,國家計算機網絡與信息安全管理中心新疆分中心成立。
2002 年 2 月 25 日,國家計算機網絡與信息安全管理中心貴州分中心成立。
2002 年 3 月 20 日,多個國家計算機網絡與信息安全管理中心省級分中心同時成立。
2002 年 9 月 3 日,Google.com 被封鎖,主要手段為 DNS 劫持。
2002 年 9 月 12 日,Google.com 封鎖解除,之後網頁快照等功能被封鎖,手段為 TCP 會話阻斷。
2002 年 11 月,經費 6600 萬的國家信息安全重大項目” 大範圍寬帶網絡動態阻斷系統”(大範圍寬帶網絡動態處置系統)項目獲國防科學技術二等奖。雲曉春排名第一,方濱興排名第二。哈爾濱工業大學計算機網絡與信息內容安全重點實驗室李斌、清華大學計算系網絡技術研究所、清華大學網格計算研究部楊廣文有參與。
2003-2007 年,方濱興任信息產業部互聯網應急處理協調辦公室主任。
2003 年 1 月 31 日,經費 4.9 億的國家信息安全重大項目” 國家信息安全管理系統”(005 工程)獲 2002 年度國家科技進步一等奖,方濱興排名第一,胡銘曾排名第二,清華大學排名第三,哈爾濱工業大學排名第四,雲曉春排名第四,北京大學排名第五,鄭緯民排名第七,中國科學院計算技術研究所有參與。
2003 年 2 月,在北京的國家計算機網絡與信息安全管理中心綜合樓工程竣工。
2003 年 7 月,國家計算機網絡應急處理協調中心更名為國家計算機網絡應急技術處理協調中心。
2003 年 9 月 2 日,全國” 金盾工程” 會議在北京召開,” 金盾工程” 全面啟動。
2004 年,國家信息安全重大項目” 大規模網絡特定信息獲取系統”,經費 7000 萬,獲國家科技進步二等奖。
2005 年,方濱興任國防科學技術大學兼職教授、特聘教授、博士生導師。
2005 年,方濱興被遴選為中國工程院院士。
2005 年,” 該系統” 已經在北京、上海、廣州、長沙建立了互相鏡像的 4 套主系統,之間用萬兆網互聯。每套系統由 8CPU 的多節點集群構成,操作系統是紅旗 Linux,數據庫用的是 OracleRAC。2005 年國家計算機網絡與信息安全管理中心(北京)就已經建立了一套 384*16 節點的集群用於網絡內容過濾(005 工程)和短信過濾(016 工程)。該系統在廣州、上海都有鏡像,互相以十萬兆網鏈接,可以協同工作,也可以獨立接管工作。
2006 年 11 月 16 日,” 金盾工程” 一期在北京正式通過國家驗收,其為” 為中華人民共和國公安部設計,處理中國公安管理的業務,涉外飯店管理,出入境管理,治安管理等的工程”。
2007 年 4 月 6 日,國家計算機網絡與信息安全管理中心上海分中心機房樓奠基,位於康橋鎮楊高南路 5788 號,投資 9047 萬元,”…… 是國家發改委批准實施的國家級重大項目,目前全國只有北京和上海建立了分中心,它是全國互聯網信息海關,對保障國家信息安全擔負著重要作用。”
2007 年 7 月 17 日,大量使用中國國內郵件服務商的用戶與國外通信出現了退信、丟信等普遍現象。
2007 年 12 月,方濱興任北京郵電大學校長。
2008 年 1 月 18 日,信息產業部決定免去方濱興的國家計算機網絡與信息安全管理中心名譽主任、信息產業部互聯網應急處理協調辦公室主任職務,” 另有職用”。
2008 年 2 月 29 日,方濱興當選第十一屆全國人民代表大會安徽省代表。
2009 年 8 月 10 日,方濱興在” 第一屆中國互聯網治理與法律論壇” 上大力鼓吹網絡實名制。
機構關係
國家計算機網絡與信息安全管理中心(安管中心)是原信產部現工信部的直屬部門。
安管中心與國家信息化工作領導小組計算機網絡與信息安全管理工作辦公室與國家計算機網絡應急技術處理協調中心(CNCERT/CC,互聯網應急中心)是一個機構幾塊牌子的關係。比如方濱興簡歷中”1999-2000 年在國家計算機網絡應急技術處理協調中心任副總工” 與” 計算機網絡應急處理協調中心” 的成立時間兩種說法就有著微妙的矛盾。實際上幾個機構的人员基本一致。安管中心下屬互聯網交換中心與國家互聯網交換中心是不同的機構。各安管中心省級分中心一般掛靠當地的通信管理局。
安管中心的主要科研力量來自” 哈爾濱工業大學一定會興盛” 方濱興當博導有一批學生的哈工大以及關係良好的中科院計算所,這兩個機構是那三個國家信息 安全重大項目的主要參與者,之後還在不斷吸引人才並為安管中心輸送人才和技術。在方濱興空降北郵之後,往安管中心輸血的成分中哈工大的逐漸減少,北郵的逐漸增多。
CNCERT/CC 的國內” 合作夥伴” 有中國互聯網協會主辦北京光芒在線網絡科技有限公司承辦的中國互聯網用戶反垃圾郵件中心,是個沒有實權的空殼;國家反計算機入侵及防病毒研究中心、國家計算機病毒應急處理中心,是公安部、科技部麾下;違法和不良信息舉報中心是國新辦勢力範圍;國家計算機網絡入侵防範中心是中科院研究生院的機構,同樣直接支撐 CNCERT/CC。
CNCERT/CC 的應急支撐單位中民營企業最初領跑者是綠盟,後來綠盟因其台諜案被罷黜,啟明星辰取而代之。而安管中心具有一些資質認證、準入審 批的行政權力,這可能是民間安全企業趨之若鶩的原因。不過,民營企業並未參與到國家信息安全的核心項目建設中,安管中心許多外圍項目交給民企外企做,比如 像隔離器之類的訪問限制設備外包給啟明星辰以作為輔助、備用,或者在與他們在網絡安全監測上有所交流。
GFW 與金盾沒有關係
敏銳的讀者從時間表應該已經看出這樣的感覺了。實際上,GFW 與金盾就是沒有關係,兩者泾渭分明,有很多區別。
公安系統搞網絡監控的是公安部十一局
GFW 是 “國家信息關防工程” 的一個子工程,直接上級是國家信息化工作領導小組和信息產業部是政治局親自抓的國防工程。這個工程主要監測發現有害網站和信息,IP 地址定位,網上對抗信息的上報,跟蹤有害短信息和及時進行封堵。 江澤民,朱鎔基,胡錦濤,李岚清,吳邦國等多次視察該工程
“國家信息關防工程” 包括 “國家信息安全管理系統 工程代號為 005。還有國家信息安全 016 工程等等
GFW 主要是輿情情報系統的工具,而金盾主要是公安系統的工具。GFW 的總支持者是負責宣傳工作的李長春,和張春江 江綿恒 最初的主要需求來自政治局 政法委 安全部 610 辦 ;而金盾的總支持者是公安系統的高層人士,主要需求來自公安部門。GFW 主外,作網絡海關用;而金盾主內,作偵查取證用。GFW 建設時間短,花費少,成效好;而金盾 建設時間長,花費巨大(GFW 的十倍以上),成效不顯著。GFW 依附於三個國家級國際出入口骨幹網交換中心從 CRS GSR 流量分光鏡像到自己的交換中心搞入侵檢測,再擴散到一些放在 ISP 那裡的路由封 IP,位置集中,設備數量少;而金盾則是公安內部信息網絡,無處不在,數量巨大。GFW 的科研實力雄厚,國內研 究信息安全的頂尖人才和實驗室有不少在為其服務,比如哈工大信息安全重點實驗室、中科院計算所 軟件所 高能所 國防科大總參三部 安全部 9 局 北郵 西電 、 上海交大 北方交大 北京電子科技學院 解放軍信息工程學院 解放軍裝甲兵工程學院 信產部中電 30 所 總參 56 所等等;另外幾乎所有 985 211 高校都參與此工程 一些公司商業機構也參與某些外圍工程項目如 Websense packeteer BlueCoat 華為 北大方正 港灣 啟明星辰 神州數碼也提供了一些輔助設備 中搜 奇虎 北京大正 雅虎等等參與了搜索引擎安全管理系統 在某些省市級的網絡機房裡,接入監控的部門就五花八門了,有安全、公安、紀檢、部隊,等等部署的設備也是五花八門 正規軍 雜牌軍 洋外援各自為戰.
而金盾的科研實力較弱,公安系統的公安部第三研究所信息網絡安全研發中心、國家反計算機入侵與防病毒研究中心都缺乏科研力量和科研成果,2008 年 8 月成立信息網絡安全公安部重點實驗室想 與哈工大的重點實驗室抗衡,還特意邀請方濱興來實驗室學術委員會,不過這個實驗室光是電子數據取證的研究方向就沒什麼前景,而且也沒什麼研究成果。GFW 之父方濱興沒有參與金盾工程,而工程院里在支持金盾工程的是沈昌祥;實際上那個公安部重點實驗室的學術委員會名單很是有趣,沈昌祥自然排第一,方濱興因為最近聲名太顯赫也不好意思不邀請他,方濱興可能也有屈尊與公安系統打好關係的用意。
GFW 發展和狀況
GFW 主要使用的硬件來自曙光和華為,沒有思科、Juniper,軟件大部為自主開發。原因很簡單,對國家信息安全基礎設施建設,方濱興在他最近的 演講《五個層面解讀國家信息安全保障體系》中也一直強調” 信息安全應該以自主知識產權為主”。何況 GFW 屬於保密的國防工程而且 GFW 沒有閒錢去養洋老爺,肥水不流外人田。李國杰是工程院信息工程部主任、曙光公司董事長、中科院計算所所長,GFW 的大量伺服器設備訂單都給了曙光。方濱興還將安管中心所需的大型機大訂單給李國杰、國防科大盧錫城、總參 56 所陳左寧三位院士所在單位各一份。所以 GFW 為什麼那麼多曙光的設備,GFW 為什麼那麼多中科院計算所的科研力量,為什麼方濱興成為 中科院計算所和國防科大都有顯赫的兼職,為什麼方濱興從老家哈爾濱出來打拼短短 7 年時間就入選工程院盧浮宮?就是因為方濱興頭腦靈活,做事皆大歡喜。
網上有人諷刺 GFW 夜郎自大,事實上這是盲目樂觀,無知者無畏。GFW 的技術是世界頂尖的,GFW 集中哈工大、中科院、北郵貨真價實的頂尖人才, 科研力量也是實打實地雄厚,什麼動態 SSL Freenet VPN SSH TOR GNUnet JAP I2P Psiphon 什麼 Feed Over Email 算什麼蔥。所有的翻牆方法,只要有人想得到,GFW 都有研究並且有反制措施的實驗室方案儲備。
比如說:串接式封堵 采用中間人攻擊手段來替換加密通信雙方所用的沒有經過可信賴 CA 簽名保護的數字證書網關 / 代理間的證書協調,在出口網關上進行解密檢測也就是所謂深度內容檢測 七層過濾 HTTPS 是需要認證的。客戶端訪問伺服器時,伺服器端提供 CA 證書,但有些實現也可以不提供 CA 證書那麼對於不提供 CA 證書的伺服器,防火牆處理很簡單,一律屏蔽掉另外檢測默認的 CA 發證機構,如果證書不是這些機構(Verisign、Thawte Geotrust)發的,殺無赦就是在客戶端與伺服器端進行 https 握手的階段,過濾掉一切無 CA 證書或使用不合法 CA 證書的 https 請求。這一步是廣譜過濾,與伺服器的 IP 地址無關。
GFW 主要是入侵防禦系統,檢測 - 攻擊兩相模型。#
所有傳輸層明文的翻牆方案,檢測然後立即進行攻擊是很容易的事情;即使傳輸層用 TLS 之類的加密無法實時檢測,那種方案面向最終用戶肯定是透明的,誰也不能阻止 GFW 也作為最終用戶來靜態分析其網絡層可檢測特徵。
入侵檢測然後 TCP 會話重置攻擊算是乾淨利落的手段了,最不濟也能通過人工的方式來查出翻牆方 法的網絡層特徵(僅僅目標 IP 地址就已經足夠)然後進行定點清除。
如果是一兩個國家的敵人,GFW 也能找到集群來算密鑰。GFW 是難得能有中央財政喂奶的科研項目。那些在哈工大地下室、中科院破樓里的窮研究生即使沒有錢也能搞出東西來,現在中央財政喂奶,更是幹勁十足了。
GFW 什麼都行,就是 P2P 沒辦法,因為匿名性太好了,既不能實時檢測出來,也無法通過靜態分析找到固定的、或者變化而可跟蹤的網絡層特徵。就這樣也能建兩個陷阱節點搞點小破壞,而且中科院的 242 項目”P2P 協議分析與測量” 一直都沒停。什麼時候國外開學術會議還是 Defcon 誰誰發一篇講 Tor 安全性的 paper,立即拿回來研究一番實現一下,已然緊跟學術技術最前沿了。不過實際上,即使 GFW 這樣一個中國最頂尖的技術項目也擺脫不了山寨的本性,就是做一個東西出來很容易,但是要把東西做細致就不行了。
不過可能有人就疑問,為什麼 GFW 什麼都能封但又不真的封呢?我的這個翻牆方法一直還是好好的嘛。其實 GFW 有它自己的運作方式。GFW 從性質上講 是純粹的科研技術部門,對政治勢力來說是一個完全沒有主觀能動性的工具。GFW 內部有很嚴格權限管理,技術與政治封裝隔離得非常徹底。封什麼還是解封什麼,都是完全由上峰決定,黨指揮槍,授權專門人員操作關鍵詞列表,與技術實現者隔離得很徹底,互相都不知道在做什麼。所以很多時候一些莫名其妙的封禁比如 封 freebsd.org 封 freepascal.org(可能都聯想到 freetibet.org),或者把跟輪子的 GPass 八杆子打不著的”package.debian.org/zh-cn/lenny/gpass” 列為關鍵詞,都是那些擺弄著 IE6 的官僚們的頤指氣使,技術人員要是知道了都得氣死。
方濱興在他最近的講話《五個層面解讀國家信息安全保障體系》中講一個立足國情的原則,說:” 主要是強調綜合平衡安全成本與風險,如果風險不大就沒有必要花太大的安全成本來做。在這裡面需要強調一點就是確保重點的,如等級保護就是根據信息系統的重要性來定級,從而施加適當強度的保護。”
所以對於小眾的翻牆方式,GFW 按照它的職能發現了也就只能過一下目心裡有個底,上峰根本都不知道有這麼一種方式所以也根本不會去封、GFW 自己也沒權限封,或者知道了也懶得再花錢花精力去布置。槍打出頭鳥,什麼時候都是這樣。
目前的狀況是對於敏感數據能通過封鎖基本上就是安全的,否則就被過濾掉了,對於龐大的網絡數據用人來分析是不可能的,敏感數據只能基於過濾技術根據數據流裡面的一些特徵來發現,目前的解密技術對於龐大數據流量和加密技術想使用解密的方法是不可能實現的,只要加密數據流沒有可識別的特徵,過濾技術就不會有任何記錄和反映,因此過濾技術是無法真正實現網絡封鎖的,因此必需加入新的參數,它們選擇了量,即保存你的一段時間的數據。
現在的破網方法用的比較多得是動態網,無界,花園,等等,由於接點相對來說是有限的和可知的,因此保存一段時間的數據就有了意義,由於使用破網軟件的人很多,不可能人人都抓,可以根據量來區分出重點,和經常使用破網軟件的人,當然你可已通過代理來連接這些可知接點來解決這個問題,破網軟件也提供了這樣的方法,但是通過代理聯接可知的接點的請求還是可能被截獲的方濱興一個人把 GFW 崛起過程中的政治勢能全部轉化為他的動能之後就把 GFW 扔掉了。
現在 GFW 是平穩期,完全是清水衙門,既沒有什麼後台,也無法 再有什麼政治、資金上的利益可以攫取,也無法再搞什麼新的大型項目,連 IPv6 對 GFW 來說都成了一件麻煩事情。方濱興在他最近的講話《五個層面解讀國家信息安全保障體系》中也感慨道:” 比如說 Web 2.0 概念出現後,甚至包括病毒等等這些問題就比較容易擴散,再比如說 IPv6 出來之後,入侵檢測就沒有意義了,因為協議都看不懂還檢測什麼……”
GFW 一直就沒有地位,一直就是一個沒人管的蘿莉,國新辦、網監、廣電、版權、通管局之類的怪蜀黍都壓在上面要做這做那。所以方濱興在他最近的講話《五個層面解讀國家信息安全保障體系》中也首先強調一個機制,” 需要宏觀層面,包括主管部門予以支持。” 所以,想解封網站,不要去找 GFW 本體,那沒用,要去找 GFW 的上峰,隨便哪個都行。而 ISP 就根本跟 GFW 沒關係了,都不知道 GFW 具體搞些什麼,起訴 ISP 完全屬於沒找到脈門。
不過 GFW 現在還是運行得很好,工作能力還有很大潛力可挖,唯一害怕的就是 DDoS 死撞牆。GFW 的規模在前面的時間表裡也有數字可以估計,而且 GFW 現在的網站封禁列表也有幾十萬條之多。網絡監控和對 MSN YMSG ICQ 等 IM 短信監控也都盡善盡美。GFW 在數據挖掘和協議分析上做的還比較成功多媒體數據如音頻 視頻 圖形圖像的智能識別分析 自然語言語義判斷識別模式匹配 p2p VoIP IM 流媒體 加密內容識別過濾 串接式封堵 等等是將來的重點不過 GFW 也沒有像機器學習之類的自組織反饋機制來自動生成關鍵詞,因為它 本身沒有修改關鍵詞的權限,所以這種技術也沒必要,況且國內這種技術也是概念吹得多論文發得多實踐不成熟。現在 GFW 和金盾最想要的就是能夠從萬草從中揪出一小撮毒草的數據挖掘之類的人工智能技術。
方濱興在他最近的講話《五個層面解讀國家信息安全保障體系》中提到” 輿情駕馭核心能力”,“首先要能夠發現和獲取,然後要有分析和引導的能力”。怎麼發現?就靠中科院在研的 973 課題” 文本識別及信息過濾” 和 863 重點項目” 大規模網絡安全事件監控” 這種項目。
金盾工程花大錢搞出來,好評反而不如 GFW,十一局的幹警們臉上無光無法跟老一輩交代啊。公安系統的技術力量跟 GFW 沒法比,不過公安系統有的是錢,隨便買個幾十萬個攝像頭幾萬台刀片幾十 PB 硬盤接到省市級網絡中心,把什麼東西都記錄下來。問題是記下來不能用,只能靠公安幹警一頁一頁地翻 Excel。所以說,雖然看起來 GFW 千瘡百孔,金盾深不可測,只是因為公安部門比起 GFW 來比較有攻擊性,看到毒草不是給你一個 RST 而是給你一張拘留證。反而是 GFW 大多數時候都把毒草給擋住了,而大多數毒草金盾都是沒發現的。
國家信息安全話語範式
境外網上而來的大量網絡宣傳讓從未有過網絡化經驗的中央無所適從、毫無辦法、十分著急。這些東西對中央來說都是難以忍受的安全威脅,為這些威脅又發生在網上,自然國家網絡安全就被提上了首要議程。適逢信息化大潮,電子政務概念興起,中央下決心好好應對信息化的問題,於是就成立了國家信息化工作領導小 組。我們可以看到,首批組成名單中,安全部門和宣傳部門占了大多數席位,而且其第一下屬機構就是處理安全問題,第二下屬才是處理信息化改革,安全需求之強 烈,可見一斑。正是這個時候,一貫對信息安全充滿獨到見解的方濱興被信產部的張春江調入了安管中心練級。方濱興對信息安全的見解與高層對網絡安全的需求不謀而合。
方濱興在他最近的講話《五個層面解讀國家信息安全保障體系》中說:” 一定要有一個信息安全法,有了這個核心法你才能做一系列的工作。” 國家信息安全體系的首要核心就是以信息安全為綱的法律保障體系,通過國家意志――法律來定義何謂” 信息安全”。信息安全本來是純技術、完全中性的詞語,通過國家意志的定義,將” 煽動… 煽動… 煽動… 煽動… 捏造… 宣揚… 侮辱… 損害… 其他…” 定義為所謂的網絡攻擊、網絡垃圾、網絡有害信息、網絡安全威脅,卻在實現層面完全技術性、中立性地看待安全,絲毫不考慮現實政治問題。這樣既在技術上實現完備的封裝,也給了用戶以高可擴展性的安全事件定義界面。對國家安全與技術安全實現充滿隱喻的捆綁,對意識形態與信息科學進行牢不可破的焊接,這就是方濱興帶給高層的開拓性思維,這就是方濱興提出的國家信息安全話語範式。
這個話語範式是如此自然、封裝得如此徹底,以至於幾乎所有人都沒有意識到中國的網絡化發展出現了怎樣嚴重的問題。幾乎所有網民都沒有意識到,給他們帶來巨大麻煩和沮喪的 GFW 竟然是本來應該為網民打黑除惡的國家互聯網應急響應中心;幾乎所有網民都沒有意識到,自己在網上某處的一畝三分地修剪花草對於國家來說竟然是網絡安全攻擊事件;幾乎所有決策者都沒有意識到,那個看似立竿見影的防火牆實際上具有怎樣強大的副作用、會給互聯網發展帶來怎樣大的傷害;幾乎所有決策者都沒有意識到,使用 GFW 這樣專業的安全工具來進行網絡封鎖意味著什麼。意識形態面對網絡化這樣變幻莫測的景色無法忍受,就只能用眼罩封閉住眼睛。
在討論網絡化的中文理論文本中,擺到首要位置佔據最多篇幅的便是網絡安全和網絡威脅。國家信息化工作領導小組第一下屬機構便是處理安全問題。這樣,在網絡本身都沒有發展起來的時候,就在理論上對網絡進行種種限制和控制;在網絡仍然自發地成長起來以後,便在文化上對網絡進行系統性妖魔化,在地理上 對網絡中國進行閉關鎖國。更嚴重的是,在根本不了解技術本質和副作用的情況下使用國家信息安全工具,就像一個不懂事的小孩把玩槍械。在維護安全的話語之下,決策者根本不知道使用 GFW 進行網絡封鎖就是在自己的網絡國土上使用軍隊進行鎮壓,切斷網線就是在自己的網絡國土上使用核武器。
更悲哀的是,GFW 的建設者們大多都沒有意識到他們在做的究竟是什麼事情,在簽訂保密協議之後就無意識中投身黨國事業滾滾長江東逝水。像雲曉春這種 跟著方濱興出來打江山的,方濱興倒是高飛了,雲曉春們就只能鞠躬盡瘁幹死技術,在安管中心反而被王秀軍、黃澄清之輩後來居上。而當初在哈工大跟著方濱興的窮研究生們,最後也陸陸續續去了百度之類的公司。GFW 面臨與曼哈頓工程一樣的倫理困局。科學本是中立的,但科學家卻被政治擺弄。技術工作者們只關心也只被允許關心如何實現安全,並不能關心安全的定義到底如何。他們缺乏學術倫理精神,不能實踐” 對自己工作的一切可能後果進行檢驗和評估;一旦發現弊端或危險,應改變甚至中斷自己的工作;如果不能獨自做出抉擇,應暫緩或中止相關研究,及時向社會報警” 的準則。結果就算他們辛辛苦苦做研究卻也不能造福民生,反而被扣上 “扼殺中國人權”,“納粹幫兇” 的帽子,不可謂不是歷史的悲哀。
這種話語範式浸透了社會的方方面面。在這種話語之下,中國有了世界上最強大的防火牆,但中國的網絡建設卻遠遠落後於世界先進水平;中國有了世界上最龐大的網癮治療產業鏈,但中國的網絡產業卻只會山寨技;中國有了世界上最多的網民,但在互聯網上卻聽不見中國的聲音。GFW 已經實現了人們的自我審查,讓人們即使重獲自由也無法飛翔,完成了其根本目的。現在即使對 GFW 的 DDoS 的技術已經成熟,然而推倒牆卻也變得沒有意義,只能讓公安系統的金盾得勢,更 多的網民被捕,最終新牆豎起。這一切都出自意識形態化現代性與網絡化後現代性之間巨大斷裂,以及 “國家信息安全話語” 這種致命的讳疾忌醫。
GFW 實體是安管中心(CNCERT/CC),是事業單位。這個事業單位的政治地位可以想是很低的,凡是它的上級都可以向它下指令進行網絡封鎖,而它本身則沒有任何主觀能動性,專於業務,勤勤懇懇抓好國家安全基礎設施的建設。如果轉換角度,從 GFW 的視角來考慮,那麼 GFW 所做的事情其實並不神秘,其實恰恰符合了它自己的名義。我們來看看精美的 “寬帶網絡環境下惡意代碼監測系統”,你們訪問一下 blogger、wordpress 那就是 URL 攻擊啊,而且要比一般的釣魚攻擊和病毒更嚴重,因為危害的是黨和國家的安全啊。GFW 的研發也與一般的網絡安全公司所做別無二致,監視分析網絡流量,逆向工程有害軟件,阻斷惡意攻擊,區別只在於:GFW 為了國家安全也要處理一下你們這些反革命的攻擊;另外 GFW 還開了金錢無限、人口無限和無敵秘笈。
GFW 與網民的生態系統
政府、GFW 與網民構成了一個生態系統,政府與 GFW 共生於食物鏈的上端,網民處於食物鏈的下端。有人稱之為 “貓和老鼠的遊戲”。觀 GFW 與網民的互動歷史,可以歸結為相互提升技術水準的軍備競賽,但儘管如此兩者的關係也從來沒有打破 GFW 越來越善於主動追捕網民越來越善於被動逃避的模式。從最開始的普通 HTTP 代理、SOCKS 代理,到加密代理軟件,到種類繁多的網頁代理,到 VPN、SSH 代理,到 p2p 網絡,以及混合方法。然而這些方法都未曾徹底免於 GFW 的封鎖,這是因為 GFW 很善於進攻,而網民們迄今為止只會不斷地四處尋找新的逃避辦法。
這種互動模式的問題在於,隨著軍備競賽的繼續,GFW 越來越完善越強大,而網民不斷地失去手中的牌,翻牆的難度和成本越來越高。GFW 是這個領域(網絡安全)的專業人士,而網民雖然富有群體智慧,但是其技術能力缺乏有效組織不能與 GFW 對等。因此如果稍微看得遠一些就會了解到,這種模式對於網民來說是不可持續的,總有一天 GFW 會超過絕大多數網民的技術基準線。所以,唯一的出路便是改變方式,突破這種模式。
應對 GFW#
網民突破當前被動態勢方法的基本原理,在後面的章節中我們會看到,在於利用 GFW 在善於進攻的同時不善於防守的特點。與其把 GFW 看作國家網絡暴力機關,不如把 GFW 看作一個網絡安全機構,事實上它也是一個網絡安全機構(CNCERT/CC)。任何安全系統必然都有漏洞和弱點,它所提供的這個 GFW 安全解決方案(國家信息安全管理系統)也不例外。網民並非缺乏技術,而是技術沒有得到有效組織,沒有往這個方向進行有效投射。實際上 GFW 漏洞和弱點並不少,有一些甚至是理論上無法解決的,這在以後會詳細論述。正如《閱後即焚》一文所言,GFW 儘管是中國少有的頂尖科研力量與國家強力支持結合的產物,“但也無法擺脫山寨的本性 —— 做一個東西出來很容易,但是要把這個東西做得細致嚴格就不行了”。
更進一步,除了利用 GFW 本身的問題以外,網民甚至還可以考慮採取網絡正當防衛的方式阻止 GFW 的非法行為。像 GFW 這種機構,無行政立法,無輿論監督,無申訴渠道,被少數別有用心的人利用,濫用國家安全之名義,封鎖與國家安全毫無關係的網站,對合法的網絡通信進行干擾和攻擊,“對計算機信息系統正在進行傳輸的合法數據進行篡改,向計算機信息系統進行攻擊令其無法正常運行”,甚至曾多次造成全國性網絡故障,已觸犯《中華人民共和國刑法》第二百八十六條,情節特別嚴重,後果特別惡劣,等等。
然而另一方面,GFW 與網民之間已經或者即將形成某種穩態,這種穩態是雙方鬥爭狀況下的動態平衡,是需要有意識維護的。一個無法控制的網絡是無法被政府所容忍的,當網絡無法控制時政府是不吝於切斷一切網絡的(你一定知道我在說什麼),穩態的破壞也就意味著環境的毀滅。一個理想的穩態就是網絡處於 “看起來” 可以控制的狀態,讓 GFW 處於不斷取得小型封鎖成功的虛幻勝利感之中,網民個人各自掌握非中心化的翻牆方法。一個中心化的大眾翻牆方法(最典型的例子就是設置 hosts 靜態解析)必定無法避免被當局發現並被 GFW 封鎖。下一代的翻牆方法應該是去中心化的(p2p)、小眾的、多樣化的、混合型的、動態更新的。
參考文獻#
有兩篇重要文獻在這裡要推薦。
首先是 Thomas Ptacek 等在 98 年發表的Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection
初識 DNS 污染#
DNS(Domain Name System)污染是 GFW 的一種讓一般用戶由於得到虛假目標主機 IP 而不能與其通信的方法,是一種 DNS 緩存投毒攻擊(DNS cache poisoning)。其工作方式是:對經過 GFW 的在 UDP 端口 53 上的 DNS 查詢進行入侵檢測,一經發現與關鍵詞相匹配的請求則立即偽裝成目標域名的解析伺服器(NS,Name Server)給查詢者返回虛假結果。由於通常的 DNS 查詢沒有任何認證機制,而且 DNS 查詢通常基於的 UDP 是無連接不可靠的協議,查詢者只能接受最先到達的格式正確結果,並丟棄之後的結果。對於不了解相關知識的網民來說也就是,由於系統默認使用的 ISP 提供的 NS 查詢國外的權威伺服器時被劫持,其緩存受到污染,因而默認情況下查詢 ISP 的伺服器就會獲得虛假 IP;而用戶直接查詢境外 NS(比如 OpenDNS)又可能被 GFW 劫持,從而在沒有防範機制的情況下仍然不能獲得正確 IP。然而對這種攻擊有著十分簡單有效的應對方法:修改 Hosts 文件。但是 Hosts 文件的條目一般不能使用通配符(例如 *.blogspot.com),而 GFW 的 DNS 污染對域名匹配進行的是部分匹配不是精確匹配,因此 Hosts 文件也有一定的局限性,網民試圖訪問這類域名仍會遇到很大麻煩。
觀測 DNS 污染
“知己知彼,百戰不殆”。這一節我們需要用到前面提到的報文監聽工具,以及參考其 DNS 劫持診斷一節。在 Wireshark 的 filter 一欄輸入 udp.port eq 53 可以方便地過濾掉其他無關報文。為了進一步減少干擾,我們選擇一個並沒有提供域名解析服務的國外 IP 作為目標域名解析伺服器,例如 129.42.17.103。運行命令 nslookup -type=A www.youtube.com 129.42.17.103。如果有回答,只能說明這是 GFW 的偽造回答,也就是我們要觀測和研究的對象。
伪包特征
經過一番緊密的查詢,我們可以發現 GFW 返回的 IP 取自如下列表:
4.36.66.178
203.161.230.171
211.94.66.147
202.181.7.85
202.106.1.2
209.145.54.50
216.234.179.13
64.33.88.161
關於這八個特殊 IP,鼓勵讀者對這樣兩個問題進行探究:1、為什麼是特定的 IP 而不是隨機 IP,固定 IP 和隨機 IP 各自有什麼壞處;
2、為什麼就是這 8 個 IP 不是別的 IP,這 8 個 IP 為什麼倒了 GFW 的霉?關於搜索這類信息,
除了 www.google.com 之外,www.bing.com 有專門的搜索 IP 對應網站的功能,使用方法是輸入 ip地址搜索。
www.robtex.com 則是一個專門收集域名解析信息的網站。歡迎讀者留下自己的想法和發現。
從 Wireshark 收集到的結果分析(實際上更好的辦法是,將結果保存為 pcap 文件,或者直接使用 tcpdump,由 tcpdump 顯示成文本再自行提取數據得到統計),我們將 GFW 發送的 DNS 污染包在 IP 頭部的指紋特徵分為兩類:
一型:
ip_id == ____(是一個固定的數,具體數值的查找留作習題)。
沒有設置 “不分片” 選項。
沒有設置服務類型。
對同一對源 IP、目標 IP,GFW 返回的污染 IP 在上述 8 個中按照給出的順序循環。與源端口無關、與源 IP 目標 IP 對相關。
TTL 返回值比較固定。TTL 為 IP 頭部的 “Time to Live” 值,每經過一層路由器這個值會減 1,TTL 為 1 的 IP 包路由器將不再轉發,多數路由器會返回源 IP 一條 “ICMP time to live exceed in transit” 消息。
二型:
每個包重複發送 3 次。
沒有設置 “不分片” 選項。
設置了 “保障高流量” 服務類型。
(ip_id + ? * 13 + 1) % 65536 == 0,其中?為一個有趣的未知數。ip_id 在同一個源 IP、目標 IP 對的連續查詢之間以 13 為單位遞減、觀測到的 ip_id 的最小值和最大值分別為 65525(即 - 11,溢出了!)和 65535。
對同一對源 IP、目標 IP,GFW 返回的污染 IP 在上述 8 個中按照給出的順序循環。與源端口無關、與源 IP 目標 IP 對相關。
對同一對源 IP、目標 IP,TTL 返回值時序以 1 為單位遞增。TTL 在 GFW 發送時的取值有 64 種。注:源 IP 接收到的包的 TTL 被路由修改過,所以用戶觀測到的 TTL 不一定只有 64 種取值,這是由於網絡拓撲變化的原因導致的。一型中的 “比較固定” 的 “比較” 二字也是考慮到網絡拓撲偶爾的變化而添加的,也許可以認為 GFW 發送時的初始值是恆定的。
(以上結果僅保證真實性,不保證時效性,GFW 的特徵隨時有可能改變,尤其是時序特徵與傳輸層特徵相關性方面。最近半年 GFW 的特徵在很多方面的變化越來越頻繁,在將來介紹 TCP 阻斷時我們會提到。)
還可以進行的實驗有:由於當前二型的 TTL 變化範圍是 IP 個數的整數倍,通過控制 DNS 查詢的 TTL 使得恰好有 GFW 的返回(避免動態路由造成的接收者觀察到的 TTL 不規律變化),觀察 IP 和 TTL 除以 8 的餘數是否有對應關係,在更改源 IP、目標 IP 對之後這個關係是否仍然成立。這關係到的 GFW 負載平衡算法及響應計數器(hit counter)的獨立性和一致性。事實上對 GFW 進行窮舉給出所有關於 GFW 的結果也缺乏意義,這裡只是提出這樣的研究方法,如果讀者感興趣可以繼續探究。
每次查詢通常會得到一個一型包和三個完全相同的二型包。更換查詢命令中 type=A 為 type=MX 或者 type=AAAA 或者其它類型,可以看到 nslookup 提示收到了損壞的回覆包。這是因為 GFW 的 DNS 污染模塊做得十分粗制濫造。GFW 偽造的 DNS 應答的 ANSWER 部分通常只有一個 RR 組成(即一條記錄),這個記錄的 RDATA 部分為那 8 個污染 IP 之一。對於二型,RR 記錄的 TYPE 值是從用戶查詢之中直接複製的。於是用戶就收到了如此奇特的損壞包。DNS 響應包的 UDP 荷載內容特徵:
一型
DNS 應答包的 ANSWER 部分的 RR 記錄中的域名部分由 0xc00c 指代被查詢域名。
RR 記錄中的 TTL 設置為 5 分鐘。
無論用戶查詢的 TYPE 是什麼,應答包的 TYPE 總是設置為 A(IPv4 地址的意思)、CLASS 總是設置為 IN。
二型
DNS 應答包的 ANSWER 部分的 RR 記錄中的域名部分是被查詢域名的全文。
RR 記錄中的 TTL 設置為 1 天。
RR 記錄中的 TYPE 和 CLASS 值是從源 IP 發送的查詢複製的。
其中的術語解釋:RR = Resource Record:dns 數據包中的一條記錄;RDATA = Resource Data:一條記錄的數據部分;TYPE:查詢的類型,有 A、AAAA、MX、NS 等;CLASS:一般為 IN [ternet]。
觸發條件
實際上 DNS 還有 TCP 協議部分,實驗發現,GFW 還沒有對 TCP 協議上的 DNS 查詢進行劫持和污染。匹配規則方面,GFW 進行的是子串匹配而不是精確匹配,並且 GFW 實際上是先將域名轉換為字符串進行匹配的。這一點值得特殊說明的原因是,DNS 中域名是這樣表示的:一個整數 n1 代表以 “.” 作分割最前面的部分的長度,之後 n1 個字母,之後又是一個數字,若干字母,直到某次的數字為 0 結束。例如 www.youtube.com 則是 "\x03www\x07youtube\x03com\x00"。因此,事實上就可以觀察到,對 www.youtube.coma 的查詢也被劫持了。
現狀分析
4.36.66.178,關鍵詞。whois:Level 3 Communications, Inc. 位於 Broomfield, CO, U.S.
203.161.230.171,關鍵詞。whois:POWERBASE-HK 位於 Hong Kong, HK.
211.94.66.147,whois:China United Network Communications Corporation Limited 位於 Beijing, P.R. China.
202.181.7.85,關鍵詞。whois:First Link Internet Services Pty Ltd. 位於 North Rocks, AU.
202.106.1.2,whois:China Unicom Beijing province network 位於 Beijing, CN.
209.145.54.50,反向解析為 dns1.gapp.gov.cn,新聞出版總署的域名解析伺服器?目前 dns1.gapp.gov.cn 現在是 219.141.187.13 在 bjtelecom。whois:World Internet Services 位於 San Marcos, CA, US.
216.234.179.13,關鍵詞。反向解析為 IP-216-234-179-13.tera-byte.com。whois:Tera-byte Dot Com Inc. 位於 Edmonton, AB, CA.
64.33.88.161,反向解析為 tonycastro.org.ez-site.net, tonycastro.com, tonycastro.net, thepetclubfl.net。whois:OLM,LLC 位於 Lisle, IL, U.S.
可見上面的 IP 大多數並不是中國的。如果有網站架設到了這個 IP 上,全中國的 Twitter、Facebook 請求都會被定向到這裡 —— 好在 GFW 還有 HTTP URL 關鍵詞的 TCP 阻斷 ——HTTPS 的請求才構成對目標 IP 的實際壓力,相當於中國網民對這個 IP 發起 DDoS 攻擊,不知道受害網站、ISP 是否有索賠的打算?
我們嘗試用 bing.com 的 ip 反向搜索功能搜索上面那些 DNS 污染專用 IP,發現了一些有趣的域名。顯然,這些域名都是 DNS 污染的受害域名。
例如倒霉的 edoors.cn.china.cn,寧波中國門業網,其實是因為 edoors.cn 被 dns 污染。一起受害的 * 還有 chasedoors.cn.china.cn,美國蔡斯門業(深圳)有限公司。
還有 *.sf520.com,似乎是一個國內的遊戲私服網站。www.sf520.com 也是一個私服網站。可見國內行政體系官商勾結之嚴重,一個 “國家信息安全基礎設施” 竟然還會用來保護一些網遊公司的利益。
此外還有一些個人 blog。www.99tw.net 也是一個遊戲網站。
還有 www.why.com.cn,名字起得好。
還有 www.999sw.com 廣東上九生物降解塑料有限公司生物降解樹脂 | 增粘母料 | 高效保水劑 | 防洪 郵編:523128…… 這又是怎麼一回事呢?不像是被什麼反動網站連坐的。還有人問怎麼回事怎麼會有那麼多 IP 結果。
www.facebook.comwww.xiaonei.com,怎麼回事呢?其實是因為有人不小心把兩個地址連起來了,搜索引擎以為這是一個鏈接,其實這個域名不存在,但是解析的時候遭到了污染,就以為存在這個域名了。
倒霉的 www.xinsheng.net.cn—— 武漢市新勝電腦有限公司,因為 www.xinsheng.net 被連坐。
DNS 劫持的防範和利用
之前我們已經談到,GFW 是一套入侵檢測系統,僅對流量進行監控,暫沒有能力切斷網絡傳輸,其 “阻斷” 也只是利用網絡協議容易被會話劫持(Session hijacking)的弱點來進行的。使用無連接 UDP 的 DNS 查詢只是被 GFW 搶答了,真正的答案就跟在後面。於是應對 GFW 這種攻擊很自然的想法就是:
根據時序特性判斷真偽,忽略過早的回覆。
通常情況對於分別處於 GFW 兩端的 IP,其 RTT(Round-trip time,往返延遲)要大於源 IP 到 GFW 的 RTT,可以設法統計出這兩個 RTT 的合適的均值作為判斷真偽的標準。另外由於 GFW 對基於 TCP 的 DNS 請求沒有作處理,因此可以指定使用 TCP 而不是 UDP 解析域名。也可以通過沒有部署 GFW 的線路到沒有被 DNS 污染的 NS 進行查詢,例如文章一開始提到的 “遠程解析”。但黑體字標出的兩個條件缺一不可,例如網上廣為流傳的 OpenDNS 可以反 DNS 劫持的說法是以訛傳訛,因為到 OpenDNS 伺服器的線路上是經由 GFW 的。
本質的解決辦法是給 DNS 協議增加驗證機制,例如 DNSSEC(Domain Name System Security Extensions),客戶端進行遞歸查詢(Recursive Query)而不查詢已經被污染了的遞歸解析伺服器(Recursive/caching name server)。然而缺點是目前並非所有的權威域名解析伺服器(Authoritative name server)都支持了 DNSSEC。Unbound 提供了一個這樣的帶 DNSSEC 驗證機制的遞歸解析程序。
另外 GFW 的 DNS 劫持還可能被黑客利用、帶來對國際國內互聯網的嚴重破壞。一方面,GFW 可能在一些緊急時刻按照 “國家安全” 的需要對所有 DNS 查詢都進行污染,且可能指定污染後的 IP 為某個特定 IP,使得全球網絡流量的一部分直接轉移到目標網絡,使得目標網絡立刻癱瘓。當然我們偉大的祖國鄭重承諾 “不率先使用核武器”… 另一方面,GFW 將偽造的 DNS 返回包要發送給源 IP 地址的源端口,如果攻擊者偽造源 IP,會怎樣呢?將會導致著名的增幅攻擊:十倍於攻擊者發送 DNS 查詢的流量將會返回給偽源 IP,如果偽源 IP 的端口上沒有開啟任何服務,很多安全配置不嚴的系統就需要返回一條 ICMP Port Unreachable 消息,並且將收到的信息附加到這條 ICMP 信息之後;如果偽源 IP 的端口上開啟了服務,大量的非法 UDP 數據涌入將使得偽源 IP 該端口提供的服務癱瘓。如果攻擊者以 1Gbps 的速度進行查詢,一個小型 IDC(DNSpod 被攻擊事件)甚至一個地域的 ISP 也會因此癱瘓(暴風影音事件)。攻擊者還可能設置 TTL 使得這些流量恰好通過 GFW 產生劫持響應,並在到達實際目標之前被路由丟棄,實現流量 “空對空不落地”。攻擊者還可能將攻擊流量的目標 IP 設置偽造成與偽源 IP 有正常通信或者其他關聯的 IP,更難以識別。這樣實際上就將一個國家級防火牆變成了一個國家級反射放大式拒絕服務攻擊跳板。
最為嚴重的是,這種攻擊入門難度極低,任何一個會使用 C 語言編程的人只要稍微閱讀 libnet 或者 libpcap 的文檔,就可能在幾天之內寫出這樣的程序。而 GFW 作為一套入侵防禦系統,注定缺乏專門防範這種攻擊的能力,因為如果 GFW 選擇性忽略一些 DNS 查詢不進行劫持,網民就有機可乘利用流量掩護來保證真正的 DNS 通信不被 GFW 污染。尤其是 UDP 這樣一種無連接的協議,GFW 更加難以分析應對。“反者道之動,弱者道之用。”
參考文獻#
闫伯儒,方濱興,李斌,王垚. "DNS 欺騙攻擊的檢測和防範". 計算機工程,32 (21):130-132,135. 2006-11.
Graham Lowe, Patrick Winters, Michael L. MarcusThe Great DNS Wall of China
KLZ 畢業. 入侵防禦系統的評測和問題
FW 的重要工作方式之一是在網絡層的針對 IP 的封鎖。事實上,GFW 採用的是一種比傳統的訪問控制列表(Access Control List,ACL)高效得多的控制訪問方式 —— 路由擴散技術。分析這種新的技術之前先看看傳統的技術,並介紹幾個概念。
訪問控制列表(ACL)#
ACL 可以工作在網絡的二層(鏈路層)或是三層(網絡層),以工作在三層的 ACL 為例,基本原理如下:想在某個路由器上用 ACL 控制(比如說是切斷)對某個 IP 地址的訪問,那麼只要把這個 IP 地址通過配置加入到 ACL 中,並且針對這個 IP 地址規定一個控制動作,比如說最簡單的丟棄。當有報文經過這個路由器的時候,在轉發報文之前首先對 ACL 進行匹配,若這個報文的目的 IP 地址存在於 ACL 中,那麼根據之前 ACL 中針對該 IP 地址定義的控制動作進行操作,比如丟掉這個報文。這樣通過 ACL 就可以切斷對於這個 IP 的訪問。ACL 同樣也可以針對報文的源地址進行控制。如果 ACL 工作在二層的話,那麼 ACL 控制的對象就從三層的 IP 地址變成二層的 MAC 地址。從 ACL 的工作原理可以看出,ACL 是在正常報文轉發的流程中插入了一個匹配 ACL 的操作,這肯定會影響到報文轉發的效率,如果需要控制的 IP 地址比較多,則 ACL 列表會更長,匹配 ACL 的時間也更長,那麼報文的轉發效率會更低,這對於一些骨幹路由器來講是不可忍受的。
路由協議與路由重分發#
而 GFW 的網絡管控方法是利用了 OSPF 等路由協議的路由重分發(redistribution)功能,可以說是 “歪用” 了這個本來是正常的功能。
動態路由協議
說路由重分發之前先簡單介紹下動態路由協議。正常情況下路由器上各種路由協議如 OSPF、IS-IS、BGP 等,各自計算並維護自己的路由表,所有的協議生成的路由條目最終匯總到一個路由管理模塊。對於某一個目的 IP 地址,各種路由協議都可以計算出一條路由。但是具體報文轉發的時候使用哪個協議計算出來的路由,則由路由管理模塊根據一定的算法和原則進行選擇,最終選擇出來一條路由,作為實際使用的路由條目。
靜態路由#
相對於由動態路由協議計算出來的動態路由條目,還有一種路由不是由路由協議計算出來的,而是由管理員手工配置下去的,這就是所謂的靜態路由。這種路由條目優先級最高,存在靜態路由的情況下路由管理模塊會優先選擇靜態路由,而不是路由協議計算出來的動態路由。
路由重分發#
剛才說到正常情況下各個路由協議是只維護自己的路由。但是在某些情況下比如有兩個 AS(自治系統),AS 內使用的都是 OSPF 協議,而 AS 之間的 OSPF 不能互通,那麼兩個 AS 之間的路由也就無法互通。為了讓兩個 AS 之間互通,那麼要在兩個 AS 之間運行一個域間路由協議 BGP,通過配置,使得兩個 AS 內由 OSPF 計算出來的路由,能通過 BGP 在兩者之間重分發。BGP 會把兩個 AS 內部的路由互相通告給對方 AS,兩個 AS 就實現了路由互通。這種情況就是通過 BGP 協議重分發 OSPF 協議的路由條目。
另外一種情況,管理員在某個路由器上配置了一條靜態路由,但是這條靜態路由只能在這台路由器上起作用。如果也想讓它在其他的路由器上起作用,最笨的辦法是在每個路由器上都手動配置一條靜態路由,這很麻煩。更好的方式是讓 OSPF 或是 IS-IS 等動態路由協議來重分發這條靜態路由,這樣通過動態路由協議就把這條靜態路由重分發到了其他路由器上,省去了逐個路由器手工配置的麻煩。
GFW 路由擴散技術的工作原理#
前面說了是 “歪用”,正常的情況下靜態路由是由管理員根據網絡拓撲或是基於其他目的而給出的一條路由,這條路由最起碼要是正確的,可以引導路由器把報文轉發到正確的目的地。而 GFW 的路由擴散技術中使用的靜態路由其實是一條錯誤的路由,而且是有意配置錯誤的。其目的就是為了把本來是發往某個 IP 地址的報文統統引導到一個 “黑洞伺服器” 上,而不是把它們轉發到正確目的地。這個黑洞伺服器上可以什麼也不做,這樣報文就被無聲無息地丟掉了。更多地,可以在伺服器上對這些報文進行分析和統計,獲取更多的信息,甚至可以做一個虛假的回應。
評價
有了這種新的方法,以前配置在 ACL 裡的每條 IP 地址就可以轉換成一條故意配置錯誤的靜態路由信息。這條靜態路由信息會把相應的 IP 報文引導到黑洞伺服器上,通過動態路由協議的路由重分發功能,這些錯誤的路由信息可以發布到整個網絡。這樣對於路由器來講現在只是在根據這條路由條目做一個常規報文轉發動作,無需再進行 ACL 匹配,與以前的老方法相比,大大提高了報文的轉發效率。而路由器的這個常規轉發動作,卻是把報文轉發到了黑洞路由器上,這樣既提高了效率,又達到了控制報文之目的,手段更為高明。
這種技術在正常的網絡運營當中是不會