没有不透风，也没有推不倒的墙

来源： http://cuiweicui.blogspot.com/2009/06/gfw_14.html

GFW建成之后，网民们也并不是呆子。随着不能访问的网站越来越多，用代理进行对比之后，网友们逐渐了解到一个阻碍他们访问网络的事物的存在。通过各种黑箱分析、测试、与国外友人的通力合作，大家对GFW的结构和原理已经有大概的了解。中间的种种细节略去不表，单说网友们得到的结论。

GFW主要的网络屏蔽方式有：

1、DNS劫持

DNS服务器的功能，是把域名和IP地址对应起来。比如baidu.com可能对应某个或某几个IP地址，浏览器把baidu.com发给DNS服务器，服务器再告诉浏览器IP地址，然后浏览器再前往那个地址浏览。当然，用户一般不用关心这一步。

全世界有13台最主要的DNS服务器，没有一台在中国，这是件好事。不过，中国有其中3台服务器的镜像服务器。在这13台根服务器下面，还有许许多多低等级的DNS服务器，它们会缓存一些地址数据，如果某个地址它们无法解析，就会向上级服务器发出询问。

DNS 数据是通过UDP 43端口传送的，GFW现在并没有彻底封闭这个端口。不过，GFW会"污染"一些低等级的DNS服务器的缓存，比如你输入的是google.com，结果低级DNS服务器给你解析成了baidu.com，并且会把你带到baidu的页面，这种事情在05年大规模发生过，后来有所收敛。另外，GFW也会阻断某些特定站点的DNS请求，让我们无法解析地址，例如现在针对Youtube的封锁和今年针对Twitter的短时间封锁，都包括了DNS劫持的手段。一般中国的ISP商提供的DNS服务都有或多或少的劫持行为，有时候跟GFW并无关系，例如像四川电信这种地方ISP商搞什么114网址导航等等自动跳转的页面，都是通过DNS劫持实现的。

针对DNS劫持，常用的办法是自己手动指定DNS解析服务器，例如指定为香港和记电讯DNS地址：202.45.84.58, 202.45.84.59，以及著名的OpenDNS: 208.67.222.222, 208.67.220.220。使用它们可以保证解析的准确性。不过，香港的DNS访问iTunes Store容易超时，可能是商业原因；使用OpenDNS无法在谷歌音乐下载歌曲，所以需要时，也可以自己临时切换。最后，用户可以手动修改本地的 hosts文件来彻底避免劫持。

2、域名封锁

这是封锁特定的域名。比如说www.xe.com被列入了封锁名单，你以后每次输入这个地址就会被屏蔽。然而，这种封锁是比较低级的，有几种办法可以直接绕过。第一，你可以直接输入网站的IP地址，它就没用了。第二，如果网站支持https（如果支持的话），你就用https。Twitter有段时间就是这种待遇，如果输入 http://twitter.com，没用；输入https://twitter.com，访问就正常了。实际上，Twitter下面有很多二级地址仍然是这种待遇，用https统统可以绕过去。一般而言，浏览有https支持的网站应该尽量用https，这是为安全和个人隐私考虑，例如Gmail、 Google Reader等就该这样。

3、IP封锁

IP封锁是直接封锁某台服务器的IP，凡是访问对应于这个IP上的网站都不能看。这也是那些被"连累"的网站被屏蔽的主要原因。例如，如果他们是租用别人的主机，不幸和某个反动站点在同一台服务器上，那么GFW封掉这个IP会导致该IP上所有网站都挂掉。很多共享软件站点和外国技术论坛就是这么被屏蔽的，PyMOL公司的站点就是我遇到的一个例子。

4、关键字审查与暂时访问限制

用一般的www.google.com（而不是cn）搜索一个敏感字，会导致页面不能访问，并且接下来的一分多钟的时间里你也不能访问 google.com。这种关键字触发的屏蔽，是GFW的一个重要特征。这种特性相当于一种警告，一般是暂时让你没法访问，隔一会儿后恢复正常。

我们知道Google.cn是会过滤搜索结果的，如果想要看没被过滤的结果，我们需要先点google.cn下方的Google in English，才能进入Google.com，然后你再把自己的Search Preferences（搜索偏好）设置为用简体中文显示，这样你就可以像使用cn一样正常使用Google.com原版了。或者，你可以直接输入这个地址：http://www.google.com/ncr，这个地址会直接带你到原版Google页面。

5、流量限制

最新研究发现，如果某个外国网站在某段时间内访问量飙升，GFW会自动阻断国内对这个网站的访问！这是一项伟大的发明，这意味着中国国内已经没法对国外服务器实施DDOS攻击了。这个性质应该是今年才出来的，究竟是长期使用还是纯属实验性质，尚待观望。

6、GFW屏蔽相关的奇闻轶事

以上是GFW常用的网络屏蔽手段。还有一些和GFW的网络屏蔽息息相关的轶事，我列表在这里，供大家参考： 
1、GFW是双向的，国外的同胞访问国内的咸湿站可能遭阻断。

2、 GFW的地理位置，应该在几大海底光缆上岸的那些城市，以及重要的网络节点城市，这就应当包括上海（崇明、南汇）、北京、青岛、福建某地（实际出口在台北，GFW只能放在福建）、深圳（实际出口在香港）等等，但通常在我们测试GFW的实验中能够查到的、和Tor网络中一眼可以分辨的那种黑节点，基本都在北京和上海。

3、至今似乎没有网友说认识过或搭讪过任何在GFW工作的人员并曝内幕。另外，在那些探测GFW的实验中，可以得到一些网络审查用仪器的设备信息，发现仍然是Cisco当年卖给贵国的那些东东。

4、有理论认为，GFW并不是直接架设在主干网络上的，而是和主干网络进行并联。当数据来到服务器时，会被复制一份，然后两份数据同时通过出国端口和GFW设备。如果GFW认为这信息不良，会向主线路上追加发送数据包，阻断网络访问请求。这种"并联"的方式，应该说可以方便GFW的检修，减少对主干网的影响，也可以解释在某些高流量的状态下，GFW会偶尔顾不过来的情况。

5、尽管如此，网络审查设备会老化，网络会发展，数据流量在猛增。近一两年来，每次GFW调整的那一两天，都会明显影响到平时本来不会封锁的那些国外网站，特别是整个网络访问国外网站的速度都在下降。不知道GFW会做出什么升级和改动。

6、也许是因为这种审查负担不断地加大，以及高等公仆们对于视频、图像、声音信息过滤审查的需求，才导致了"绿坝"这种东东的出现。如果每个人机器上的数据都能预先审查屏蔽一番，GFW的压力会大大减轻。所以"绿坝"尽管很山寨很SB，却代表了一个很不好的方向，意味着在贵国言论尺度会不断收紧。这让人想起《1984》里，"The Big Brother is watching you."，或者马伯庸的那个山寨版作品《静寂之城》。

7、为什么中国的IPV6网络普及很慢呢？因为GFW对IPV6是无效的！现在，中国教育网用户是有IPV6地址的，如果他们的操作系统也支持IPV6（例如 OS X，Vista及以上），他们可以在IPV6版的Google（ipv6.google.com）上搜索任何敏感字而不被临时屏蔽！所以，中国主干网要想用上IPV6，看来要先等GFW把IPV6的屏蔽搞定了再说。

有时候，别人会告诉我说，我们不过下点动漫，不会惹事的。我对此的看法是，你当然可以不关心政治，但是政治会关心你，特别是由于"你不为任何人说话"而到了"没有人为你说话"的那一步的时候。对于我而言，让更多的人了解墙，教会更多的人翻墙，也正是防止自己落入那个地步的必做之事。