本文来源转自:
https://github.com/net4people/bbs/issues/128我们证实中国的防火长城已经屏蔽了google.com及其所有的子域名。这一封锁策略影响超过1100个相关域名以及大量的流行服务。在这篇文章中,我们介绍观察到的审查者的两次大动作。我们同时分享测量网站审查的方法。
审查者首先在北京时间2022年9月22日星期四,早上6点23分到晚上7点33分之间的某一时刻将google.com和*.google.com加入到SNI黑名单中。GFW会检查所有TLS ClientHello包,如果其中的SNI与黑名单匹配,GFW就会立即发送伪造的TCP RST包来切断TCP连接。
八天之后,审查者又在北京时间2022年9月30日星期五,下午1点56分到下午2点35分之间的某一刻将google.com和*.google.com加入到DNS黑名单中。GFW会检查所有DNS请求包,如果请求的域名与黑名单相匹配,GFW就会立即发送伪造的、含有错误IP地址的应答包给客户端。
下面是一些常见问题:
Q: 被审查的域名都有哪些?
所有符合google.com或*.google.com规则的域名都受到了审查。比如,谷歌翻译的域名translate.google.com就被审查了。
我们还确认*google.com和google.com.*还不是黑名单规则。比如说,madgoogle.com还有translate.google.com.co就还没被审查。
Q: 这次审查有何影响?
包括一些热门服务在内的超过1100个域名受到了审查。比如说,firebase.google.com,translate.google.com,maps.google.com,scholar.google.com,feedburner.google.com,还有ads.google.com。
我们已经将受到影响的域名附在了这篇帖子上。名单地址:
https://github.com/net4people/bbs/files/9690188/affected_google_domains.txtQ: 你们有没有观察到被白名单豁免的域名?
没有。我们测试的1147个*.google.com域名全都被屏蔽了,无一例外。
Q: 你们还观察到了什么?
SNI审查和DNS审查的开始时间均在中国的工作时间内。
google.com被GFW的三种不同的DNS审查机器列入黑名单;而*.google.com则只被2号和3号机器列入黑名单。(每个机器发的DNS伪造包的指纹详见
这篇论文的Table 3。)
Q: 你们是怎么知道这次屏蔽事件的?
我们通过发送含有不同域名的DNS请求包和含有不用SNI的ClientHello包,来持续地监测中国的网站审查。当新的域名遭到审查时,我们就留下了相应的记录。
我们鼓励读者你也独立地测量和监控互联网审查。因为独立测量审查的人越多,我们作为一个集体就越能更快速地发现新的审查事件。
测量一个域名是否受到DNS审查的办法是:向境外的非DNS服务器发送一个含有该域名的请求包。选择境外服务器是为了让你的包经过国际网络出口,从而让GFW看到。因为你发送请求的目的地服务器不是DNS服务器,因此如果你收到了任何DNS应答包,那么都是中间人伪造的(常见的中间人就是GFW)。比如说如果你想测试google.com是否被审查了,则可以:
dig @23.197.152.0 google.com
因为23.197.152.0是一台境外的非DNS服务器,所以如果你收到了任何DNS响应包的话,就证明google.com被审查了。
测量一个域名是否受到SNI审查的办法是:向境外服务器的开放端口发送一个含有该域名的TLS Clienthello包。选择境外服务器是为了让你的包经过国际网络出口,从而让GFW看到。如果你收到了TCP RST包,那么有可能是因为你的连接被GFW阻断了。比如说如果你想测试google.com是否被审查了,则可以:
openssl s_client -servername google.com -tlsextdebug -msg -connect 96.17.116.205:80
其中96.17.116.205是一台境外服务器,80是它的一个开放的端口。
如果openssl报错write:errno=104,那么说明你的连接被TCP重置了。而这就证明google.com有可能被审查了。我们说“有可能”是因为有假阳性的可能。为了减少假阳性的可能,你应该用一个不太可能被审查的域名设置一个对照组(比如用baidu.com)。然后观察向同一个服务器的同一个端口发送含有baidu.comSNI的ClientHello,连接是不是就不会被重置。
全文完。
有兴趣访问谷歌查询资料的,可以移步到这里的梯子:
星链全球,注册帐号由大家自行任意编辑属于自己独特的个性邮箱帐号(如:aaa@aaa.com,
1024@1024.com),并承诺不会收集客户使用期间访问的信息和日志(但是还是请大家注意在国外网站也需要谨言慎行),将最大程度保护用户的隐私。有兴趣的可以试试:
星链全球。
赞(59)