主题:【老铁请进】到底是谁墙了西西河? -- Che
家园 ZT:穿越GFW的技术 家园 谢谢太守兄指教,另向参与讨论的各位各送花一朵 ^_^
家园 铁手速度改成https访问 家园 GFW做的应用层的过滤 如果用firefox上西西河的话,会提示连接被重置。
也就是说在国际出口边缘的gfw设备检测到http的get报文中含有www.ccthere.com的内容就好向两端发出tcp的reset包,中断tcp连接。
这一点可以通过抓包来验证。
家园 关键字是".ccthere.com" 网上有一篇剑桥学者对GFW的研究,论文标题是《Ignoring the Great Firewall of China》。
从firefox和chrome的提示看,应该就是连接被重置了,中间结点路由直接给两方发了reset.可以规到论文中描述的基于内容的过滤。
但是:
1. 直接用IP 68.233.230.142是可以访问到ccthere的,只不过显示内容是“请通过域名访问”,说明不是基于IP过滤的,应该是基于内容的。
2. 在IP后面加上ccthere,也就是“68.233.230.142/ccthere",结果是"The requested URL /ccthere was not found on this server",说明请求和回复正常来回了,关键字不是ccthere
3.换成"http://68.233.230.142/www.ccthere.com",马上变成连接被重置。可以猜测关键字就是www.ccthere.com。而且连接被重置得非常快,猜测过滤的是我的请求。
4.换成www.google.com/www.ccthere.com,http://www.huawei.com/www.ccthere.com连接都会被重置
5. 换成国内网站http://www.gov.cn/www.ccthere.com,www.baidu.com/www.ccthere.com,由该网站是示找不到www.ccthere.com这个页面,说明过滤只是在出口地方有,也说明华为的网站原来是布在国外的
6.最后渐近地用ccthere的IP+后缀的方式试了一下,暂时发现最小的过滤单元是".ccthere.com”
7.但是如果用地址"https://www.ccthere.com"或"http://www.ccthere.com:8080"访问,并不会连接被重置,当然也打不开页面,无响应,因为ccthere没开这几个端口。再试了一下"http://www.ccthere.com:80",当然是被重置。说明过滤除了关键字也基于端口80。
9. 如果用google搜索ccthere.com,结果正常显示,说明过滤并不是基于http回复,或者不是基于全文的,应该是只是基于http包头的;当然这样也说得过去,基于回复的话因为没有http请求的包头了,只能查http内容,但查http内容的话这个工作量就太大了,不太现实。
10. 随便找了一个可以发表评论的海外网站,在上面发表一个评论,里面带上"www.ccthere.com",并未被重置。再次说明过滤只基于了http 的头,因为post请求是包在http消息内部的。
综合一下,GFW的过滤的是我们的http 80端口的包头里有".ccthere.com"的请求。按照这个分析,那ccthere让国内访问的比较简单的方式可以有:
1. 开放IP访问
2. 换端口,比如常见的http代理端口8080
以上是一点实战+猜测,仅供参考。
家园 分析的透彻 有一批文章 穿越GFW的技术 外链出处写的不错。
另外用http://ccthere.com访问也被连接重置了,似乎最小过滤单元是ccthere.com
家园 俺的Tracert结果,供方家参考 C:\Documents and Settings\new>tracert www.ccthere.com
Tracing route to ccthere.com [68.233.230.142]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.0.99
2 7 ms 8 ms 15 ms 114.83.196.1
3 6 ms 6 ms 5 ms 124.74.29.1
4 9 ms 8 ms 16 ms 124.74.211.85
5 9 ms 9 ms 9 ms 61.152.86.178
6 11 ms 9 ms 12 ms 202.97.33.26
7 10 ms 9 ms 9 ms 202.97.33.54
8 189 ms 192 ms 188 ms 202.97.51.150
9 170 ms 170 ms 169 ms 202.97.50.58
10 188 ms 188 ms 189 ms 218.30.54.114
11 253 ms 253 ms 253 ms WBS-CONNECT.ae0.405.ar2.TPA1.gblx.net [208.178.6
3.42]
12 254 ms 254 ms * tr1.core02.hivelocity.net [69.46.31.98]
13 222 ms * * ccthere.com [68.233.230.142]
14 * 221 ms 221 ms ccthere.com [68.233.230.142]
Trace complete.
家园 我的tracert结果 我的tracert结果:
Tracing route to ccthere.com [68.233.230.142]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 10*.5*.1.251
2 1 ms 1 ms <1 ms 21*.2*.11.169
3 1 ms 1 ms 1 ms 22*.13*.66.145
4 2 ms 1 ms 1 ms p6*.16*.253.77
5 15 ms 13 ms 14 ms 22*.1*.224.157
6 28 ms 29 ms 27 ms 219.158.14.225
7 73 ms 75 ms 78 ms 219.158.3.250
8 210 ms 210 ms 210 ms po2-0.core01.sjc03.atlas.cogentco.com [154.54.13.73]
9 202 ms 283 ms 198 ms te2-4.ccr02.sjc03.atlas.cogentco.com [154.54.6.118]
10 198 ms 198 ms 199 ms te8-2.ccr02.sjc01.atlas.cogentco.com [154.54.6.233]
11 218 ms 220 ms 239 ms te8-4.ccr01.lax01.atlas.cogentco.com [154.54.25.185]
12 259 ms 259 ms 259 ms te2-8.ccr01.iah01.atlas.cogentco.com [154.54.0.222]
13 270 ms 270 ms 270 ms te4-2.ccr01.tpa01.atlas.cogentco.com [154.54.29.186]
14 264 ms 263 ms 263 ms 38.104.150.70
15 257 ms 257 ms 258 ms tr2.core02.hivelocity.net [69.46.31.102]
16 272 ms 271 ms 272 ms ccthere.com [68.233.230.142]
Trace complete.
我的路由和楼主差不多,进入美国后也是从cogentco的路由器发往hivelocity.net。ping和tracert都没有什么问题,但是我不能正常访问西西河。
家园 你的判断有的依据不足, 有的是错误的 第一, 你做的试验不能支持
俺可怜的IP包原地踏步的地方——69.46.31.102这个结论.第二, 你在下面帖子里说
从这个路由器发往hivelocity.net的包被正常地进行了DNS解析,转往了西西河这是完全错误的. 域名解析与traceroute上经过的路由器没关系, 路由器只根据目的IP地址进行转发.我想可能你对网络协议和traceroute的工作原理理解有误.
家园 给大家提供一个教育网的结果,仅供参考 声明一下,我不懂。仅根据大家提供的方法试了一下。ip信息部分做了处理。。。。。
注:我现在也是翻墙发帖,直接连无法连通,无法接通开始的时间和大家基本一致。
这个是ping的结果:
C:\Users\xxx>ping www.ccthere.com正在 Ping ccthere.com [68.233.230.142] 具有 32 字节的数据:
来自 68.233.230.142 的回复: 字节=32 时间=356ms TTL=45
来自 68.233.230.142 的回复: 字节=32 时间=367ms TTL=45
来自 68.233.230.142 的回复: 字节=32 时间=356ms TTL=45
来自 68.233.230.142 的回复: 字节=32 时间=367ms TTL=45
68.233.230.142 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 356ms,最长 = 367ms,平均 = 361ms
这个是tracert的结果:
C:\Users\xxx>tracert www.ccthere.com
通过最多 30 个跃点跟踪
到 ccthere.com [68.233.230.142] 的路由:
1 <1 毫秒 <1 毫秒 <1 毫秒 2xx.2xx.1xx.254
2 3 ms 1 ms 1 ms 2xx.1xx.0.53
3 <1 毫秒 1 ms <1 毫秒 2xx.1xx.0.105
4 1 ms 1 ms <1 毫秒 2xx.1xx.0.41
5 <1 毫秒 <1 毫秒 <1 毫秒 2xx.1xx.96.189
6 2 ms 4 ms <1 毫秒 2xx.1xx.61.25
7 7 ms 7 ms 7 ms 202.127.216.38
8 7 ms 9 ms 8 ms 202.112.61.158
9 7 ms 7 ms 7 ms 202.112.61.122
10 43 ms 44 ms 43 ms 202.112.61.18
11 45 ms 46 ms 45 ms 62.153.203.205
12 255 ms 255 ms 256 ms lax-sb2-i.LAX.US.NET.DTAG.DE [62.154.14.106]
13 233 ms 233 ms 233 ms 217.6.51.246
14 243 ms 251 ms 251 ms ae-62-60.ebr2.LosAngeles1.Level3.net [4.69.144.5
1]
15 268 ms 269 ms * ae-3-3.ebr3.Dallas1.Level3.net [4.69.132.78]
16 281 ms 272 ms 271 ms ae-81-88.ebr1.Dallas1.Level3.net [4.69.146.82]
17 289 ms 289 ms 348 ms ae-1-12.bar2.Tampa1.Level3.net [4.69.137.117]
18 290 ms 348 ms 289 ms ae-0-11.bar1.Tampa1.Level3.net [4.69.137.109]
19 290 ms 291 ms 290 ms HIVELOCITY.bar1.Tampa1.Level3.net [4.53.172.2]
20 352 ms 353 ms 361 ms tr1.core02.hivelocity.net [69.46.31.98]
21 364 ms 369 ms 363 ms ccthere.com [68.233.230.142]
跟踪完成。
家园 个人认为可能性不大,最可能的仍然是GFW 不仅从屏蔽的症状来看很像,如此完整并覆盖全国的监控拦截体系,全世界恐怕也是别无分店的。