什么是GFW?
GFW(Great Firewall,防火长城)是中国网络审查系统的俗称。它并非一个单一的防火墙设备,而是一套部署在中国国际互联网出口处的复杂审查系统,负责对跨境网络流量进行监控、过滤和屏蔽。
GFW从2003年左右开始逐步部署,经过二十多年的发展,已经成为全球最复杂的网络审查体系之一。它能屏蔽Google、YouTube、Twitter、Facebook等数千个境外网站和服务。
GFW的核心封锁技术
1. DNS污染(DNS Poisoning)
这是GFW最基础也是最常见的封锁手段。当你在国内访问被封网站时,DNS请求会被GFW截获,返回一个错误的IP地址,导致你无法连接到真正的服务器。
例如,你查询google.com的IP,正常应该返回类似142.250.x.x的地址,但GFW会返回一个无效IP或指向其他服务器的地址。
应对方式:使用DoH(DNS over HTTPS)或DoT(DNS over TLS)加密DNS查询,或者直接在本地hosts文件中指定正确的IP。
2. IP封锁(IP Blocking)
GFW维护着一个庞大的IP黑名单。所有发往这些IP地址的数据包会被直接丢弃(DROP),连接无法建立。
这种封锁方式简单粗暴但非常有效。Google、Facebook、Twitter等大型服务的服务器IP段几乎全部在黑名单中。VPN和代理服务器的IP一旦被识别,也会被加入黑名单。
3. 深度包检测(DPI)
深度包检测是GFW最核心的技术。它不仅检查数据包的头部信息(源IP、目标IP、端口等),还会分析数据包的内容特征。
通过DPI,GFW可以识别出:
- VPN协议的流量特征(如OpenVPN的握手包特征)
- Shadowsocks等代理协议的流量模式
- 未加密HTTP请求中的敏感关键词
- TLS握手中的SNI(Server Name Indication)字段
这就是为什么普通VPN协议越来越容易被封的原因——GFW能从流量特征中识别出你在使用VPN。
4. SNI检测与阻断
即使你使用HTTPS加密连接,TLS握手过程中的SNI字段仍然是明文的。SNI字段包含你要访问的域名,GFW可以据此判断你是否在访问被封网站。
这就是为什么近年来ECH(Encrypted Client Hello)技术受到关注——它可以加密SNI字段,防止中间人窥探你的访问目标。
5. TCP重置攻击(TCP Reset)
当GFW检测到可疑流量时,会向通信双方发送伪造的TCP RST包,强制中断连接。你会看到连接突然断开或页面加载到一半失败。
这种方式常用于中断已建立的VPN连接,表现为VPN频繁断线重连。
6. 主动探测(Active Probing)
这是GFW近年来越来越多使用的高级手段。当GFW怀疑某个服务器是代理服务器时,会主动向该服务器发起连接请求,尝试进行协议握手。
如果服务器回应了代理协议的握手,GFW就会确认这是一个代理服务器并将其封锁。Shadowsocks在2019年之后频繁被封,主要就是因为主动探测技术。
为什么有些翻墙工具更难被封?
了解了GFW的工作原理,就能理解各种翻墙工具的设计思路:
| 技术 | 对抗策略 |
|---|---|
| Trojan | 伪装成正常的HTTPS网站流量,GFW难以区分 |
| VLESS+XTLS | 流量与真实TLS几乎无法区分,抗检测能力强 |
| Hysteria2 | 基于QUIC协议,利用UDP优势突破TCP层面的封锁 |
| Shadowsocks+插件 | 通过混淆插件改变流量特征,对抗DPI |
GFW的封锁时间规律
GFW的封锁力度并非恒定,通常在以下时期会加强:
- 敏感时期:每年的重大会议、纪念日前后
- 晚间高峰:晚上8点到12点是审查相对严格的时段
- 突发事件:发生重大社会事件时会临时加强封锁
平时使用正常的翻墙工具,在这些时期可能会出现速度变慢或连接中断的情况,这属于正常现象。建议多准备几个不同协议的备用节点。
总结
GFW是一个持续进化的系统,封锁技术不断升级。翻墙工具和GFW之间是一场长期的技术博弈。理解GFW的工作原理,有助于你选择更合适的翻墙工具、排查连接问题,以及在封锁加强时做出正确的应对。
