主题：【原创】it科普二 蛋疼向研究之GFW -- 浩瀚星辰

能应付动态墙，可以屏蔽你访问的ip.

还有楼下的https 中间人问题

一天，一个男子坐飞机，向空中小姐要了一杯矿泉水。过了很久都没有送来，男人正要提醒小姐，突然听到后面有人说：“你大爷呀，我要的XO那？你MB忘了吧！！！”于是空中小姐乖乖的拿XO去了。男人回头一看是一只鹦鹉在说话，觉得很好玩。这时空中小姐送XO来了，鹦鹉又说：“你大爷，我TMD要的是矿泉水，你 Y是傻子吧！！”空中小姐又一边说对不起一边拿矿泉水去了……男人琢磨：原来空中小姐怕横的！于是他大叫：“我*你MLB！我的矿泉水呢？！”果然空中小姐过来了，可是他身后还跟着一个大壮汉，大壮汉在小姐的指示下，一下就把男人给扔了出去。

　　男人在下落过程中苦苦思索，为什么我还没有一个鹦鹉面子大呢？忽然他发现鹦鹉也被扔了出来……鹦鹉飞到男人身边，看看他说："傻B，你Y不会飞还那么牛B呀?!"

http://www.ccthere.com/thread/2367538

http://dev.chromium.org/spdy

没必要这么完美，旁路网络流量然后很多机器一起匹配就是，比如10万个关键字，一个cpu就匹配100个，数据分成1000份分给1000个电脑，这样用1000台机器就可以，匹配成功后把相关信息送入后台修改过滤规则，无非就是滞后一点，你第一次访问可能还没匹配出来。1分钟后规则就进去了，你就访问不了了，如果没那么多计算机还可以随机丢弃数据，比如就匹配10%的数据，这样速度提高10倍。

第一个问题我已经说过了，必须大规模应用才有效，否则GFW可以屏蔽所有此类连接。但从另一方面来说，如果应用的规模很小，比如只是在西西河论坛，用普通的http包来实行这个协议，比如握手和解码用js，而GFW并不知道你正在进行这样的协议通信，那么GFW也是挡不住的。

中间人攻击对于GFW来说比较特殊。要注意的是，我们并不是要尽一切可能不让GFW知道我们的通信内容。我们的目的是，不让GFW能实时分析通信的内容。这和https的目的是完全不同的。在我前面一个帖子中的方案下，如果GFW想知道某个特定的http请求和回答的内容，它都是可以做到的。但是它无法实时地知道所有（或者绝大部分的）http请求和回答的内容，于是无法实时分析。

虽然是server单方认证，man-in-the-middle attacker无法伪造server的证书,只能forward真正server得证书，这样也就无法计算加密的密钥。因此通讯依然是安全的。

原理可能跟你说的不太一样。不过我看出来都有共同点，就是要法规强制所有ISP都支持，无偿做中转。

可能只要你传输的是某种形式的加密信息，GFW理论上就可以拦截，拒绝访问。所以，不管怎样，都必须逼迫所有的ISP都来发送加密信息才行。

http://www.technologyreview.com/communications/38207/?mod=chthumb