公告:关于前两天本站无法打开的原因 + GFW拦截规则原理剖析

  • A+
所属分类:lcx

大家可能发现了,本站前两天无法访问,原因其实很简单,GFW在国内主要骨干网出入口完全屏蔽了本站域名及IP!

起因如何呢?

众所周知,本站服务器一直在国外,并且本站部分内容常年被GFW屏蔽。

大约是一个半月之前吧,我将网站搬到国内某服务器了,起先呢,速度刚刚的,被屏蔽的连接也可以正常浏览,因为GFW是在国际出口屏蔽的,而服务器在国内的话,数据不走该端口,所以无法拦截……

国内速度就是快,爽了好一阵,然后呢,一个多月之后有状况发生了,先是不定时的网站无法访问,ping不通,直到前几天,所有国内网络运营商均无法访问本站域名及IP。

经过技术性排查,发现数据居然在电信骨干网被拦截了(其他网络运营商的骨干网一样),强行掐断通讯,于是推测,被国内GFW墙了!(但仍有极少数网络运营商的网络可以访问本站,原因是这些网络运营商没有加入GFW,或尚未实行拦截措施,具体见相关内容)

原因是,如果GFW永久屏蔽某个站点、IP、URL后,并不是从此不管了,而是有工作人员定期检查这些站点、Url等的存活性、是否可访问、Url是否变更,间隔时间不等,几小时、几天都有,如果发现仍可访问,则实行另外的拦截策略。

GFW为了检查被封站点的存活性,动用了全国各地、各种网络运营商的数台服务器群(见:公布 GFW 防火墙旗下部分子服务器 IP),以实现全网拦截的目的。

这些服务器分布范围极广,全国各地都有,并且每个 ISP 运营商都有驻扎(电信、联通、移动、网通……),很有规律,具体的就不多说了,本站有很多分析、追踪GFW服务器地址的文章,可以看看(底下列出)……

原则上,GFW只是轻量级拦截,也就是说它只屏蔽部分敏感内容的Url,而不会整个域名或某IP所有通讯都拦截,目的是为了维稳,让其敏感内容无法访问即可。

但是为什么本站整个域名、IP所有通讯全部屏蔽了呢?

我个人推测如下,国内各大ISP运营商骨干网部署的GFW拦截设备,尚未有特定数据包或特定Url拦截的功能,所以当它发现本站被屏蔽的链接又可以访问,并且服务器又在国内的时候,它只好将整个域名、IP所有通讯全部拦截……

那为什么之前会时好时坏呢?这个就和互联网构成有关了……

当你发送一个数据包到目标地址的时候,途中经过无数个路由器,其中就包含骨干网主服务器,并且每次都不是固定的路由转发你的数据,所以当你的数据这次正好由特殊路由(骨干网拦截设备)转发的时候,就会被拦截。

关于路由跃点,各位可以使用 tracert lcx.cc 命令简单的追踪一下数据包传播路径,如果数据包被拦截了,那么最后一个途径的路由就是可疑目标,通常这个目标是骨干网路由或国际出口……

时好时坏,是因为它的拦截规则,并不是同时生效(或者是先小区域测试拦截效果,然后大规模部署拦截规则),有时间差,而且数据包如果没有走骨干网络的时候,它是无法拦截的……

直到三两天后,大规模拦截规则生效,那么lcx.cc就全网无法访问了……

国内真是个是非之地,不宜久留,本站现已搬回国外服务器,可以正常访问了,部分被屏蔽敏感链接除外……

大家跟我一起说:

操!!!!!!!!!!!!!!!!!!

相关内容:

定位GFW的python脚本,如何找到GFW设备的IP地址

找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置

公布 GFW 防火墙旗下部分子服务器 IP

探索网络出口GFW的强度与翻墙

相关知识:

GFW = 中国国家防火墙,即翻墙的“墙”。

防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙、长城防火墙或万里防火墙),是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。随着使用的拓广,中文“墙”和英文“GFW”已被用于动词,“GFWed”及“被墙”均指被防火长城所屏蔽。

GFW即指中国网络防火长城,该项目取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW,网友戏称功夫网(Gong Fu Wang)。随著使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。

中国防火长城也称“中国防火墙”或“中国国家防火墙”,这是对“国家公共网络监控系统”的俗称,国内简称“防火长城”。指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括金盾系统和相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。

留言评论(旧系统):

Mxxz @ 2013-03-11 16:28:30

操!!!

本站回复:

操!!!!!!!!!!!!!!!!!!

佚名 @ 2013-03-11 16:33:27

话说。。有没有方法对付星外。。不支持ASPX很蛋疼...

本站回复:

╮(╯_╰)╭

佚名 @ 2013-03-11 16:34:59

下午一段时间访问不了

本站回复:

一小时前刚刚恢复,现在应该正常了。

佚名 @ 2013-03-11 17:56:53

虽然已经说了很多遍,还是要在这里再说一遍,祝我们伟大的方老师早日光荣

本站回复:

啥?

新来的 @ 2013-03-11 19:33:02

操!!!!!!!!!!!!!!!!!!!!!!!!!!!!

本站回复:

fuck!!!!!!!!!!!!!!!!

佚名 @ 2013-03-11 20:35:36

祝方校长早日被病魔战胜

本站回复:

方只是一枚棋子,背后才是主谋。

evil @ 2013-03-11 21:45:41

狗日的电信!!!!!!!!!!

本站回复:

Fuck....!

TNT @ 2013-03-11 23:12:26

操!!!

本站回复:

fuck!!!!

怪不得这2天上不了 @ 2013-03-11 23:31:23

能不能把防火墙给D死?

操+++++++++++++++

本站回复:

国际出口与骨干网带宽几乎等于无限大。

safe121 @ 2013-03-12 04:01:22

怪不得我这里都无法访问,以为被DDoS+CC了呢....

本站回复:

免疫cc,至于ddos,要看多大流量,这只是一台普通vps,带宽没有多大。

safe121 @ 2013-03-12 04:03:46

老核为啥不配置SSL

本站回复:

你以为你穿个https马甲,gfw就不认识你了么……

佚名 @ 2013-03-12 08:02:01

操··········

本站回复:

fuck.

佚名 @ 2013-04-12 01:54:36

操GFW

本站回复:

╮(╯_╰)╭

佚名 @ 2013-07-27 18:01:09

渗透gfw

本站回复:

╮(╯_╰)╭

bing @ 2013-07-27 23:11:24

站长换成https是否好点?

本站回复:

木用,照样屏蔽……

佚名 @ 2013-07-28 21:09:13

核总,我发觉我爱上你了..

本站回复:

来嘛~ 不要害羞嘛!~ 来~ 让我摸摸……

佚名 @ 2013-08-14 15:34:36

斯诺登曝光美国监控,怎么没人曝光GFW监控

本站回复:

天天都在曝……

佚名 @ 2013-08-18 20:18:57

突然想起一个精包含80M数据
不知道射他几射会怎么样

本站回复:

数据溢出,十月产子

qq484551 @ 2013-08-22 16:50:01

我的域名中的一个论坛文件夹也被墙了www.417600.com/bbs/,博主兄弟,有什么办法吗?
如果我换一个二级域名指向这个文件夹,是不是过不多久又会被屏?
这个论坛是用的DISCUZ,我把其中可能涉及敏感内容,设置为注册用户才可以访问,这样是不是可以避开GFW的拦截?

本站回复:

你说的方法完全正确,试试就知道了。

qq484551 @ 2013-08-22 16:52:40

我的域名中的一个论坛文件夹也被墙了www.417600.com/bbs/,博主兄弟,有什么办法吗?
如果我换一个二级域名指向这个文件夹,是不是过不多久又会被屏?
这个论坛是用的DISCUZ,我把其中可能涉及敏感内容,设置为注册用户才可以访问,这样是不是可以避开GFW的拦截?

本站回复:

你说的方法完全正确,试试就知道了。

qq484551 @ 2013-08-22 16:55:59

站长居然及时在线回复,赞一个。
关于如何处理被GFW拦截的问题,处理的结果,到时我再回来跟大家报告一下。
刚才发布留言重复了,请删除。

本站回复:

嗯,本站留言是QQ即时提醒的,所以一有新留言,本人QQ会收到相关提示,以便第一时间处理。

cain @ 2013-08-23 10:29:23

操。。。棱镜门。。。。。

本站回复:

……

年薪百万寻黑客 @ 2013-08-23 11:53:16

我QQ5248174 求大神入侵欧美网站拿数据 有兴趣可以加我QQ,年薪百万寻黑客!

本站回复:

[暂无回复]

佚名 @ 2013-09-06 22:30:10

全网屏蔽的域名过多久才能解封呢?

本站回复:

这个不清楚,一般到这份上了,基本不解封了……

swpustc @ 2014-12-02 09:32:57

其实国内拦截的原因是没有备案。。。

本站回复:

和备案没关系,备案一样拦。

RainShine @ 2014-12-02 21:05:28

大家跟我一起说:
操!!!!!!!!!!!!!!!!!!

本站回复:

-_-|||

RainShine @ 2014-12-02 21:08:52

哎对了,核总,你的留言还是QQ提醒吗?参见楼下留言~

本站回复:

一直都是。

佚名 @ 2014-12-04 02:30:56

核总的留言QQ即时提醒是怎么做到的?能说说大概的思路吗?

本站回复:

原理很简单,利用QQ邮件即时提醒,参考:http://lcx.cc/?i=800

佚名 @ 2015-02-09 12:25:46

我也想说一声:
操!!!!!!!!!!!!!!!!!!!!!!!!!!!!
GFW,FUCK YOU!

本站回复:

+1

马林 @ 2015-02-13 16:04:22

我的也的域名这几天也屏蔽了,有什么好办法解决

本站回复:

看具体情况。

呵呵 @ 2015-10-10 16:37:52

为毛不上 SSL 加密的 https 呢?在很多情况下 SSL 是无法拦截的,建议上SSL后,再加入 HSTS 列表强制 ssl

本站回复:

对搜索引擎不友好~

FuckGFW! @ 2015-10-11 19:34:03

强烈建议上 SSL 的 https 加密,百度淘宝天猫都 https 了,
都进入 http2.0 时代了你还在拖后腿吗?
GFW 要墙 https 的网站付出的代价相对要大很多,shadowsocks.com 网站在普通的 http 下是完全被关键词墙了的,但 https 依然坚挺!

本站回复:

对搜索引擎不友好。

文章来源于lcx.cc:公告:关于前两天本站无法打开的原因 + GFW拦截规则原理剖析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: