在千兆以上的帶寬中(比如主幹路由上),監聽和過濾所有的信息,普通軟件級別的過濾技術是不行的。需要在骨幹路由器上有這樣的設備。CISCO等公司高級的路由設備中,就提供了這樣的係統,最主要的就是IDS(Intrusion Detection System)--- 入侵檢測係統。它能夠從計算機網絡係統中的關鍵點收集信息,並分析這些信息,檢查網絡中是否有違反安全策略的行為。
這樣的設備能夠幹甚麽呢?他能夠檢測所有經過的網絡數據,如果數據內容有匹配的關鍵字的話,就可以進一步分析,然後決定對該數據流的處理。比如說吧,用戶想到美國之音的網站看英語新聞,http://www.voanews.com/ 。輸入這個地址後,那麽瀏覽器會發出一個網絡請求,其中就包含著VOA這樣的字符。 那麽這個請求到真正的網站之前,就會經過路由的檢測係統。如果係統設置了VOA為關鍵字,那這個網絡數據流就會被檢測到。然後路由器會給用戶和網站都發送一個重置(reset)的數據包。然後用戶就會看到頁麵無法顯示。一般檢測設備可能會保持這個用戶和這個網站的重置(reset)狀態大約十幾分鍾,然後又恢複正常狀態。這個時候用戶又可以連上這個網站了。
這樣的係統有幾個弱點,一個就是IDS的反應都有延遲,因為IDS從抓取數據包,監測關鍵字,產生RESET包,到最後發出RESET整個過程都要消耗一定的時間。所以在實際用戶瀏覽中,可能會遇到這樣的情況,可以看到第一頁或者是開始幾個連接,但過幾十秒後就是頁麵無法顯示。
再一個弱點就是有很大的誤報率,不過以中共的寧枉勿縱的手段,隻要偷偷的做,一般人也不會知道。即使有人抱怨,也可以說是電信的甚麽臨時故障等等,一推了之。個別人要較真,那就用國家安全的理由嚇唬一下,反正「泄露國家機密」是個後備的萬金油,甚麽都可以安上。
再一個就是這樣的監測,在數據流量很大的時候,會拖慢整個網絡。中國大陸的到海外的網絡速度慢,其中一個原因就是在國家出口網關上有這麽多的過濾、監視的程序。
從具體應用的角度講,它主要有3個方麵可以過濾。第一個是網址的過濾,就是過濾網絡地址中的關鍵字。比如第一次封鎖Google然後又恢複的時候,大陸的人們就發現,一個優秀的功能「網頁快照」不好使了!想進一步具體瀏覽的網址也可能出現頁麵無法顯示的現象。它能夠實現這樣,就是所有的Google的默認快照的網址中,都有類似這樣的字符串 http://216.239.59.104/search?q=cache: , 其中的Search?q=cache就被過濾了。 如果用戶手動把其中的「search」改為「custom」,那就又可以看到優秀的快照功能了。
第二個是對網頁內容的過濾。網址的數據量在具體的網絡流量中是很少的,監測所消耗的資源也可以容易承受。而對所有網頁內容的監測,這個在國際出口上就是一個非常大的消耗,而效果卻比較差勁。在2002年左右,中共研發了這樣一套係統,並開始悄悄的強製在各個ISP應用。具體過濾的關鍵字主要是6.4、法輪大法等。這樣過濾的效果並沒有很大作用,卻消耗了很大的網絡資源。因為從監測到處理發出重置(reset)命令需要比較長的時間,往往用戶已經把網頁都下載完了,係統才檢測到。比如用 Google 搜索前一段時間比較熱門的關鍵字「起訴江澤民」,大陸的網民就可能看到整個的頁麵,而繼續看下去的時候,才可能隻出現半個頁麵,然後才出現無法顯示。到2003年下半年,很多ISP開始把這個功能擱置起來了,因為對他們來講實在是得不償失。消耗了那麽多資源,卻沒甚麽用。現在隻有很少的部份ISP還在運行這個係統。
因為這個過濾技術原來是用於入侵監測的,現在被中共重點應用在了信息過濾上。那麽他也有一個致命的弱點,就是對加密的信息就無能為力了。網址的關鍵字和網頁的關鍵字都可以用不同的手段來加密,從而使這樣的信息過濾係統從根本上失去作用。不同的加密手段也是後來所有突破網絡封鎖軟件的基礎,這個後麵會談到。
隨著破網軟件的不斷出現,中共也發現,僅僅有上麵的過濾手段是沒法封住可以加密的網站的,也同時開始研發了一套DNS劫持的係統,在2002年下半年開始悄悄地大麵積應用。這個就是第三個能夠過濾的,就是過濾所有DNS請求,凡是有關鍵字的,就返回一個假的IP地址。這個技術在世界上確實是獨一無二的,中共為了研發這套係統,也是花了很大的代價。具體詳細的內容,下次再談吧。有甚麽意見、建議,歡迎到動態網的論壇上去交流哦。http://www.dongtaiwang.com (大陸需要用該網站上的最新域名來訪問)
11/26/2003 2:05:58 PM