摘 要 ：該文以Shadowsocks-rss軟件為例簡單介紹了長城防火墻對新型翻墻軟件及其使用了帶有的新型抗干擾協(xié)議進行加密的數(shù)據(jù)包的檢測能力，并以圖、表的形式對一系列測試的結(jié)果進行了解釋。最后對我國長城防火墻自設(shè)立以來所起的作用及其意義進行了辯證的評價。

關(guān)鍵詞 ：翻墻；翻墻軟件；長城防火墻

DOI：10.16640/j.cnki.37-1222/t.2017.22.104

0 前言

2017年1月，我國工業(yè)和信息化部下發(fā)了《工業(yè)和信息化部關(guān)于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)市場的通知》，其中第（二）條第4點指出：未經(jīng)電信主管部門批準，不得自行建立或租用專線（含虛擬專用網(wǎng)絡(luò)VPN）等其他信道開展跨境經(jīng)營活動[1]。其后國內(nèi)各VPN提供商紛紛響應(yīng)國家的政策，下架其旗下的產(chǎn)品。

但據(jù)筆者了解到，VPN的屏蔽在一定程度上僅限于政策及法律法規(guī)層面，還未能完全在技術(shù)層面上進行屏蔽。

1 長城防火墻的工作模式

讓我們先分析一下長城防火墻[2]的屏蔽方式，如圖1所示：

據(jù)了解，GFW的屏蔽手段主要為：（1）域名解析服務(wù)緩存污染、（2）針對境外的IP地址封鎖、（3）IP地址特定端口封鎖、（4）無狀態(tài)TCP協(xié)議連接重置、（5）對加密連接的干擾、（6）TCP協(xié)議關(guān)鍵字阻斷[3]。

由于GFW的作用，大量的境外網(wǎng)站在中國大陸境內(nèi)無法進行正常的訪問，故國內(nèi)網(wǎng)民逐漸開始使用各種“翻墻”軟件繞過GFW的封鎖。針對網(wǎng)上各類突破長城防火墻的翻墻軟件，GFW也在技術(shù)上也采取了應(yīng)對措施以減弱翻墻軟件的繞過能力。一般的做法是利用前文中羅列的各種屏蔽技術(shù)以及各種其他途徑打擊“翻墻”軟件，盡可能最大化地限制“翻墻”軟件的繞過及傳播。

1.1 簡析新型翻墻軟件

有網(wǎng)民指出，GFW現(xiàn)已有能力對基于PPTP和L2TP協(xié)議的VPN連接進行監(jiān)控和封鎖，這使得大陸網(wǎng)民繞過長城防火墻的封鎖變得更加困難。2015年1月起，部分國外VPN服務(wù)在中國大陸無法正常使用，正是由于這些VPN使用的是IPSec、L2TP/IPSec或PPTP協(xié)議。于是有網(wǎng)民開發(fā)出了一款基于Socks5協(xié)議的名為Shadowsocks[4]的“翻墻”軟件，后來經(jīng)過其他網(wǎng)民的修改，衍生了其衍生版本，名為Shadowsocks-rss[5]（以下簡稱SSR），并加入了混淆協(xié)議，本文將著重分析后者。

SSR的增加了兩類插件：協(xié)議（Protocol）插件及混淆（obfs）插件，如表1所示：

從上表可以看出各個協(xié)議及插件所具有的特點，TCP協(xié)議中有不同的抗攻擊辦法，而混淆插件可以偽裝的方式也有幾種，通過筆者最近的詳細測試，在中國電信寬帶（50M光纖）的網(wǎng)絡(luò)環(huán)境下，測試了如下數(shù)據(jù)，如表2所示：

注：錯誤率的統(tǒng)計是依據(jù)SSR客戶端內(nèi)內(nèi)建統(tǒng)計模塊得出。

1.2 小結(jié)

由此可見，GFW的重放攻擊及CCA攻擊僅對特征明顯的數(shù)據(jù)包進行干擾，對于抗干擾能力較強的協(xié)議，GFW的干擾效果便會大打折扣。但隨著DPI[ DPI（深度報文檢測）：英文全稱Deep Packet Inspection，是一種基于數(shù)據(jù)包的深度檢測技術(shù)，針對不同的網(wǎng)絡(luò)應(yīng)用層載荷（例如HTTP、DNS等）進行深度檢測，通過對報文的有效載荷檢測決定其合法性。]技術(shù)的發(fā)展，數(shù)據(jù)包分析量的增大，GFW對使用以上協(xié)議的數(shù)據(jù)包的識別的準確率理論上必有所提升。但由于tls協(xié)議被廣泛用于https協(xié)議中，不可能一刀切地將所有tls數(shù)據(jù)包丟棄。要找到一個折中的解決方案，還須GFW維護人員們的努力。

2 結(jié)語

自1998年我國設(shè)立長城防火墻以來，其對國內(nèi)的網(wǎng)絡(luò)環(huán)境的凈化作用不容小覷：大量涉及暴力、色情、恐怖等內(nèi)容的網(wǎng)站被阻擋在防火墻外，對青少年的健康成長有著不容忽視的作用。然而任何事物都兩面性，GFW曾屏蔽過許多幾乎無害，甚至是有積極意義的網(wǎng)站，如著名編程語言Python的官方網(wǎng)站、國外最大的開源軟件社區(qū)Github（現(xiàn)兩者均已解封），而著名的社交網(wǎng)站Facebook，Twitter等，仍然被GFW屏蔽，使得國內(nèi)外網(wǎng)民的交流受到了一定的阻礙。

筆者個人認為，長城防火墻的設(shè)立是利大于弊的?？偟膩砜矗覈鴩裰写罅看嬖谖幕潭容^低的人群，這部分群眾極有可能被居心叵測者加以利用，加之民眾對事件真相的辨別能力不高，很容易接受一些錯誤的思想，以訛傳訛，極有可能造成惡劣影響。

[1]：http：//www.miit.gov.cn/n1146290/n4388791/c5471946/content.html.

[2]長城防火墻：又稱長城防火墻，英文名：The Great Firewall，簡稱GFW.

[3]維基百科：https：//zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E.

[4]Shadowsocks：簡稱SS，一款基于Socks5協(xié)議的開源代理軟件，配合境外服務(wù)器使用.

[5]Shadowsocks-rss：簡稱SSR，在ss的基礎(chǔ)上進行了改進.

[6]DPI（深度報文檢測）：英文全稱Deep Packet Inspection，是一種基于數(shù)據(jù)包的深度檢測技術(shù)，針對不同的網(wǎng)絡(luò)應(yīng)用層載荷（例如HTTP、DNS等）進行深度檢測，通過對報文的有效載荷檢測決定其合法性.

作者簡介：韓瀟（2000-），男，四川成都人，高中在讀。endprint