主题:【原创】it科普二 蛋疼向研究之GFW -- 浩瀚星辰
能应付动态墙,可以屏蔽你访问的ip.
还有楼下的https 中间人问题
一天,一个男子坐飞机,向空中小姐要了一杯矿泉水。过了很久都没有送来,男人正要提醒小姐,突然听到后面有人说:“你大爷呀,我要的XO那?你MB忘了吧!!!”于是空中小姐乖乖的拿XO去了。男人回头一看是一只鹦鹉在说话,觉得很好玩。这时空中小姐送XO来了,鹦鹉又说:“你大爷,我TMD要的是矿泉水,你 Y是傻子吧!!”空中小姐又一边说对不起一边拿矿泉水去了……男人琢磨:原来空中小姐怕横的!于是他大叫:“我*你MLB!我的矿泉水呢?!”果然空中小姐过来了,可是他身后还跟着一个大壮汉,大壮汉在小姐的指示下,一下就把男人给扔了出去。
男人在下落过程中苦苦思索,为什么我还没有一个鹦鹉面子大呢?忽然他发现鹦鹉也被扔了出来……鹦鹉飞到男人身边,看看他说:"傻B,你Y不会飞还那么牛B呀?!"
http://www.ccthere.com/thread/2367538
http://dev.chromium.org/spdy
没必要这么完美,旁路网络流量然后很多机器一起匹配就是,比如10万个关键字,一个cpu就匹配100个,数据分成1000份分给1000个电脑,这样用1000台机器就可以,匹配成功后把相关信息送入后台修改过滤规则,无非就是滞后一点,你第一次访问可能还没匹配出来。1分钟后规则就进去了,你就访问不了了,如果没那么多计算机还可以随机丢弃数据,比如就匹配10%的数据,这样速度提高10倍。
第一个问题我已经说过了,必须大规模应用才有效,否则GFW可以屏蔽所有此类连接。但从另一方面来说,如果应用的规模很小,比如只是在西西河论坛,用普通的http包来实行这个协议,比如握手和解码用js,而GFW并不知道你正在进行这样的协议通信,那么GFW也是挡不住的。
中间人攻击对于GFW来说比较特殊。要注意的是,我们并不是要尽一切可能不让GFW知道我们的通信内容。我们的目的是,不让GFW能实时分析通信的内容。这和https的目的是完全不同的。在我前面一个帖子中的方案下,如果GFW想知道某个特定的http请求和回答的内容,它都是可以做到的。但是它无法实时地知道所有(或者绝大部分的)http请求和回答的内容,于是无法实时分析。
虽然是server单方认证,man-in-the-middle attacker无法伪造server的证书,只能forward真正server得证书,这样也就无法计算加密的密钥。因此通讯依然是安全的。
原理可能跟你说的不太一样。不过我看出来都有共同点,就是要法规强制所有ISP都支持,无偿做中转。
可能只要你传输的是某种形式的加密信息,GFW理论上就可以拦截,拒绝访问。所以,不管怎样,都必须逼迫所有的ISP都来发送加密信息才行。
http://www.technologyreview.com/communications/38207/?mod=chthumb