Feb 18, 2010

评一条读者留言

我们收到了一条有趣的留言

听前同事说起这个文章,今天闲得无聊上网来看下。感觉写这篇文章的老兄看来知道不少情况,但是有些东西的实情其实也并不清楚。举几个例子来说吧:
1、GFW的经费可比金盾工程的多了不知道几十倍!
2、方滨兴之流的根本就不是什么真正的技术专家,只是众多“叫兽”之一而已。(说实话,就方滨兴、云晓春、刘欣然之流的,他们那点儿技术水平都是给我当学生过来的。)
3、GFW的技术水平其实就像作者所说的那样,发现特征、阻断,不行的话就封IP,根本谈不到什么高水平。
4、CNCERT的技术支持一直就是启明星辰,连工作人员都是从启明星辰借调的。

而在数十分钟之后,自曲新闻又有一条几乎相同的留言,似乎这位留言者存在某种混淆。

关于这条留言,我有一些看法:

  1. 可查证的资料显示,GFW的经费是十亿数量级的,而金盾工程是百亿数量级的。
  2. 这位自称学术地位比方滨兴还要高,同时又使用“‘叫兽’”这样的语言,表达出一种随意而悠闲的思想感情,说明这位的身份是非常有意思的。
  3. 关于GFW的技术水平,至少方滨兴等人的论文看起来并不激动人心,在研究过程中GFW经常会让人产生这样的感觉:“啊,为什么这里这么偷工减料。”虽然GFW背后的技术力量的确是中国顶尖的,但做出来的东西却不一定能够摆脱“山寨的本性”。
  4. 启明星辰的确在GFW中起到重要作用,但是而启明星辰对GFW的作用到底怎么定性,只是运维,还是研发,还是参与技术决策?技术支持又是怎样一种角色?字面上理解,技术支持只是配角。总之这些情况因为保密不得而知,也许不同人看启明星辰的角色都有不同的角度。

至于“但是有些东西的实情其实也并不清楚”,我想引一段话,出自人渣经济笔记:

在改革开放以前,中国对外界而言,基本就有点像一个黑洞——巨大但几乎没有什么可靠的信息出来,特别是中国经济的状况。几年前,哈佛的Dwight Perkins教授在他的非正式退休讲演中就说,改革开放以前,他和不少研究东亚和中国经济的经济学家,一直要做的一件事情就是,在官方数据不可得或者不可相信的情况下,估算中国经济的大小。 Perkins教授曾跟我说起,为了了解情况,他当年甚至读了不少可以收集到的大陆出版的小说。然后改革开放之后,中国一下开始公布这些数据了,Perkins教授开玩笑说:坏消息是我们这些多年的工作一下就没什么用了,好消息是我们发现当年我们猜得那些数据还是比较准确的。

事实上我们也是面对GFW这个黑洞从一片迷茫开始,阅读了大量公开可搜索的信息甚至科幻小说(今年3月份津妇联在何处崭露头角?ww),在理解能力之内对事实进行了最可能的估计。我们的确“对有些东西的实情并不清楚”,然而“清楚”或者对信息的占有并非一种值得夸耀的资本。我们在这里进行这样写作的目的,并非是作为某种“知道分子”(知道毛,知道不该知道的东西,爆米局就会曾经追查此事,无果)来传达或者泄漏某种专有的信息以显得自己对于GFW了解深厚,或者证明自己的推测是正确的。也许GFW体制内的人看着这样那样的推测会感到可笑,不过重要的并非一个人已经知道了什么,而是这个人将会知道些什么、能够知道些什么。读者能够指出文章中的错误是比文章本身更有价值的事情,因为价值在于思考和学习。

这样一些系列从零到有的文章,是要展示一种对GFW进行全面理解的学习过程和方法,表达一种对GFW进行逆向工程的趣味。读者不应该仅仅作为一个信息的接收者,而是应该有自己积极的思考。如果读者中有百分之一开始自己思考关于GFW的问题,千分之一开始自己动手研究GFW,如果有万分之一开始将原理付诸实践,那就是很好的结果。如果所有人都只是伸手而没有动力去自行了解GFW,那么就只会让GFW越来越强大,而自己被动挨打被GFW追得到处跑。GFW在背后技术力量的推动下变动不居,不断地被更新、不断地发生变化,对GFW永远正确的认知或者一劳永逸的翻墙方法并不存在,只有与之对抗的方法和学习动力能留存下来。而这种动力并非来自某种对GFW的仇恨或者某种对言论自由的向往,而是一种简单的想法——“工部的走卒们,你们的这点把戏是难不倒我们的。”

展望一下未来

距上次文章已经过去了近几个月,这几个月发生了很多事情。在广电开始灭绝人性之前,我们曾认为中国互联网面临的最大威胁是强力的网络封锁,现在看来就算是能够分泌GDP的网络部门照样被一刀剁头,彻底关闭互联网反而是更加现实和直接的威胁。而最近超法规组织『中央政法委』的会议上放出的狠话更加强了这种预期。GFW越来越广泛地使用粗粒度的IP封锁策略,使得在网络层以上的努力都趋于无效。必须承认,私有SSH代理和私有VPN才是当前状况下的最优解决方案。但是由于这两种方法有较高的成本,其他一些低成本但有一些缺点的方法也暂时作为折中而继续存在研究价值。

私有SSH代理和VPN可能遇到什么问题(VPS甚至托管主机就太高端这里不考虑):

  1. 提供SSH服务的提供商是有限可识别的,GFW在22端口(理论上可以做到端口无关)上检测SSH协议证书并阻断;效果不好时直接IP封锁。
  2. 提供私有收费VPN服务的提供商也是有限可识别的,VPN协议比SSH稍复杂,直接用IP封锁。
  3. 依据《商用密码管理条例》和《电子签名法》对密钥使用加强管理,对未备案的密钥和密码进行封锁。

网络层可能会出现什么情况:

  1. 发动网评员转职成网络巡查员,依靠自然智能人工检测目标,克服机器检测的简陋性,然后广泛使用黑洞路由封锁,让网络变得半残。
  2. 借鉴伊朗的做法,在出入口用QoS或者直接限速,造成网络极为缓慢但又无法说断网了。(TPE都修好多久了,怎么出国带宽不见涨呢)

备战备荒

  1. 学习电话线上56K调制解调器的使用方法,在断网情况下能够在电话线路上开对等代理。
  2. 留意拨号网络下的标准信息交流平台:各个telnet论坛。
  3. 了解卫星上网知识,掌握卫星上网发展动向。
  4. 在深圳的同学可以考虑搞微波通信或者激光大气通信跟对岸连起来,“以任何形式设置国际通信出入口”(大误

另外顺便说一点闲话,重新审阅了一下中文维基的防火长城条目,有这样一些错误,读者可以对比看看自己的观念中是不是还有这些误解:

  • 域名劫持的入侵检测系统与路由器无关。
  • “已经封锁了几百个北美的DNS服务器”来源不可靠,OpenDNS和GoogleDNS从来都挺好的。
  • IP封锁不在国际出入口,而在ISP级别的AS边界路由器。
  • 关键字过滤阻断不是在主干路由器上完成的,旁路。
  • 实现关键字过滤阻断的入侵检测系统是自主研制开发的,与思科无关。
  • 不存在省级GFW,正文所述实验不严谨,结论错误;实际上由不同TTL判断出的那个所谓的“省级”GFW是我们所称的“二型”——TTL随时序连续变化。

因为维基百科的非原创研究方针所以我也懒得去改了,这些都是没有来源的原创研究。

21 comments:

  1. 无意间在twitter上看到了你的blog,给你加一个无意义的评论吧,哈哈。

    ReplyDelete
  2. 一路从推上围观到此,留个爪

    ReplyDelete
  3. 启明现在只是那边外部单位人员的1/5,估计还不到。特此更正一下。

    ReplyDelete
  4. 虽然看不太懂,但清楚个大概意思,牛人~~看来当年没调你去参与GFW建设,真是可惜了,哈~~

    ReplyDelete
  5. 据身边了解各省电信系统设备的人说“省级”GFW或者“省级”关键字列表是存在的。

    ReplyDelete
  6. 楼主的思维让我想起了古希腊的那帮人。。。

    ReplyDelete
  7. I am thoroughly convinced in this said post. I am currently searching for ways in which I could enhance my knowledge in this said topic you have posted here. It does help me a lot knowing that you have shared this information here freely. I love the way the people here interact and shared their opinions too. I would love to track your future posts pertaining to the said topic we are able to read.

    ReplyDelete
  8. 正是"因为维基百科的非原创研究方针所以我也懒得去改了,这些都是没有来源的原创研究。"所以才要你来提供嘛,都会原创研究的人也不上来参考维基百科了,方便我们门外汉起码能一窥其中啊。谢谢!

    ReplyDelete
  9. Thanks for your insight for this method great story; this is the kind of feature that continues me though out the day.I’ve long been seeking around for your webpage following I learned about them from a companion and was pleased when I was able to come across it just after browsing for a while.

    ReplyDelete
  10. A very nice post.Thanks for sharing such a useful and helpful information with us.
    It looks that you’ve put a good amount of effort into your article and I want a lot more of these on the World Wide Web these days. I truly got a kick out of your post. I do not have a bunch to to say in reply, I only wanted to register to say special work.Keep Sharing!!!

    ReplyDelete
  11. 额靠着龟速的VPN一路追寻到你这里,不容易啊,留个名

    ReplyDelete
  12. 就现在的Wi-Fi技术而言,Wi-Fi路由器+八木天线就可以有很好的定向发射接收特性,而价格并不昂贵。因此可以用大量廉价家用路由器、八木天线等基础设施建立跨越深圳河、中英街的网络链路。现在的600Mbps 802.11n MIMO技术很廉价,再加上合理的多路负载平衡技术可以比较容易地实现国家出口局规模的数据吞吐规模。

    ReplyDelete
  13. 写的不错 国内的gfw水平。。不行

    ReplyDelete
  14. This comment has been removed by the author.

    ReplyDelete
  15. 还是建议编辑下维基百科的词条,毕竟很多人首先都要从这里了解GFW的

    ReplyDelete