用Google搜索涉及“敏感词”现在都会短暂性休克？

YangFan

我只是看到习近平访俄想查一下涛哥的任期而已
妈的现在连URL都是审查的吗
也难怪网速越搞越慢
再多查几次是不是要来抓我了哦
太威武了

71917111

防火长城，也称中国防火墙或中国國镓防火墙，是对中华人民共和国炡椨在其管辖互联网内部建立的多套网络审查系统（包括相关行政审查系统）的俗称。其名称得自於2002年5月17日Charles R. Smith所写的一篇关於中国网路审查的文章《TheGreat Firewall of China》[1]，取与GreatWall（长城）相谐的效果，简写为Great Firewall ，缩写GFW[2]，戏称功夫网(Gong Fu Wang)。随著使用的广泛，GFW已被用於动词，GFWed及某某网站“被墙”均指被防火长城所屏蔽。

一般情况下，防火长城主要指中国炡椨监控和过滤互联网内容的软硬件系统，由服务器和路由器等设备，加上相关的应用程序所构成。由於中国网络审查广泛，中国国内含有“不合适”内容的的网站，会受到炡椨直接的行政干预，被要求自我审查、自我监管，乃至关闭，故防火长城主要作用在於分析和过滤中国境内外网络的资讯互相访问。

然而，利用防火长城等技术手段对网络内容的审查限制了言论自由，进行网络审查一直是受争议的话题。也有报告认为，防火长城其实是一种圆形监狱式的全面监控，以达到自我审查的目的[3]。

中国拥有防火长城外，还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。近期炡椨强制电脑安装绿坝的要求，也被认为是防火长城的一部分。此外，一些文章指出，GFW之父是中国工程院院士、北京邮电大学校长方滨兴[4]。
目录
1 主要技术
1.1
域名劫持
1.2
國镓入口网关的IP封锁
1.3
主干路由器关键字过滤阻断
1.3.1 关键字过滤-复位包分析
1.4
HTTPS证书过滤

1.5
对破网软件的反制2 对电子邮件通讯的拦截3 GFW测试
3.1 中国大陆境外
3.2
中国大陆境内4 会被过滤的网站5 北京澳运与GFW6注释7 参考文献8参见9 外部链接

主要技术
域名劫持

全球一共有13组根域名伺服器（rootserver），目前中国大陆有F、I、J 这3个根域DNS镜像[5]。

2002年左右，中国大陆网络安全单位开始采用域名劫持技术，用路由器提供的IDS监测系统来进行域名劫持，防止了一般民众访问被过滤的网站。

國镓入口网关的IP封锁
从90年代初期，中国大陆只有教育网、高能所和公用数据网3个國镓级网关出口，中国炡椨对认为违反中国國镓法律法规的站点进行IP封锁。当时，这是一种有效的封锁技术。但是，只要找到一个普通的海外Proxy，然后通过Proxy就可以绕过这种封锁。现在，网络安全部门通常会将中国炡椨认为特别反动的网站的网址加入关键字过滤系统，以防止民众透过普通海外HTTP代理服务器访问。

一般情况下，GFW对于海外「非法」网站会采取独立IP封锁技术。然而，部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP的主机托管服务，这就会造成了封禁某个IP，就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃，就算是内容健康、正当的网站，也不能幸免（如刘德华的个人网站(http://www.andylau.com/)），内容并无不当之处，但网站使用的是虚拟主机托管服务，而因为有一个香港BBS亦使用该托管服务，这就造成了GFW为了封锁该BBS，直接把这个固定IP：202.134.71.244封禁了。随之，有82个香港网站由于GFW封锁了这个IP地址，不论合法与否，都不能在中国大陆访问）。

主干路由器关键字过滤阻断
在2002年左右，中国大陆研发了一套关键字过滤系统，并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立，最主要的就是IDS（Intrusion Detection System）---入侵检测系统[注2]。这个系统能够从计算机网络系统中的关键点（如國镓级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤，如果符合既定的规则，则向该连接两端的计算机发送IP欺骗性质（从前后IP报头TTL值相差较大可知）的RST复位包，干扰两者间正常的TCP连接，使数据流中断，而在终端主机上会显示连接失败。

龙帅

据说是國镓网络安全机构在DNS服务器上按的过滤器  所有通过国外搜索引擎检索出来的7万条敏感词都会被直接返回空包 IP也会被封10秒
71917111 发表于 2010-3-24 19:31

71917111

被屏蔽过滤的关键词主要是与民运、琺囵糼相关的词汇及部分网站的网址上。

在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时，会马上触发GFW导致「该页无法显示」。任何海外网站网页中如果含有防火长城关键字列表的小部分关键字时，就有机会触发GFW而导致网页下载突然出错、停止或立即出现「该页无法显示」。

某些特定的海外网站网址会被列入关键字过滤[注3]，即使IP地址未被封锁，也不能访问。

不过，GFW对于网页中含有的关键字字符并不是100%可以过滤成功，即使某些网页被成功拦截并导致「该页无法显示」，此时只要在浏览器进行多番刷新就有机会显示出来。而且，GFW还会偶尔出现故障而导致关键字过滤系统失效，此时部分只被网址关键字过滤的网站就能正常使用（如my.opera.com）。

有报道称，防火长城会专门过滤Google.com的查询返回结果中的网页地址，但对关键字的过滤并不严格。这就说明，对于Google.com和Google.cn返回的大量网页，防火长城使用了更经济而有效的方法审查。
从GFW的分布来看，审查过滤系统主要位于国际出口处，但最近通过对审查过滤系统返回的RST复位包IP头进行（TTL值）分析，发现存在两个欺骗源，其一位于国际出口处，另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是，对于境内网络内容的审查主要是通过ICP备案来实现的。

从2007年2月前后，GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤，原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问，连带的就是在访问含有「zh.wikipedia.org」的Google链接后，5分钟内再次访问Google被阻断。

关键字过滤-复位包分析
分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包，只考虑TCP连接本身，忽略DNS、ARP及其他。分析进站RST复位包IP头TTL字段值可认为逻辑上存在两个欺骗源（实际可能只是初始TTL不同），为方便叙述，将它们分别称为「伪源1」和「伪源2」，伪源1离客户端PC路由跳计数较大，逻辑位置大致在互联网运营商国际出口处，伪源2离客户端PC路由跳计数较小，逻辑位置大致在互联网运营商骨干网省级大节点处。

IP头部分：
1. Identification（标识）字段：在第一批RST包中，伪源1和伪源2将其设置为一个固定的值，而正常的处理方式是发送的每个IP报文都有不同的标识值，一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。

2. Flags（分片标志）字段：伪源1和伪源2处理方式不同，例如伪源1将DF（不分片）标志置0，伪源2将DF标志置1。
3. Time to Live（生存时间）字段：如前所述，伪源1的RST包到达客户端PC时经过的跳计数较大，而伪源2较小，且可推测与真正的源物理位置有差距。

TCP头部分：
1. Sequence number（序列号）字段：关键字过滤系统很可能会偶而繁忙导致本地出口堵塞，以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC，造成RST包被客户端PC丢弃，从而整个过滤干预行为失败。考虑到这个因素，伪源还具有序列号预测功能，例如伪源2相邻的3个RST包中该值分别相差1460（以太网默认MSS值）和2920（即1460*2）。
2. Window size（窗口大小）字段：伪源1和伪源2处理方式不同，例如伪源1似乎为该字段设置了一个随机值，伪源2将其置0。正常的RST包是将该字段置0。

这种关键字过滤-复位技术对TCP连接有效。如今被广泛应用的HTTP协议，正是使用TCP作为传输层协议。从目前来看，GFW对HTTP报文的过滤似乎仅限于HTTP头，通常URL请求就位于HTTP头部分，而GFW对HTTP数据部分很可能不作过滤[注4]，这正是某些用PHP编写的HTTP在线代理能避开关键字过滤的原因，例如PHProxy，因为它将明文的URL请求放在HTTP数据部分。由于GFW发送的RST复位包是伪造的，也有人在探讨绕开它的途径[6]。

71917111

不同的IDS有可能在一段预定或随机的时间内持续干扰的两计算机间的所有TCP通信。所以在访问境外网站时，如果数据流里有敏感字词，即会立即被提示「该页无法显示」或网页开启一部分后突然停止，随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容。据猜测，屏蔽时间和敏感词等级以及所属网站有关。此种过滤是双向的，也就是说，国内含有关键词的网站在国外不可访问（如在百度搜索一塌糊涂BBS），国外含有关键词的网站在国内不可访问[注5]。

另一方面，这种技术对UDP（DNS通常使用UDP，GFW对捕获的DNS查询报文也进行关键字过滤并返回伪DNS响应[注6]，但因UDP没有复位标志而无法进行传输层的干扰）及其他第四层协议无效，对明文数据有效，对加密数据无效。
HTTPS证书过滤部分人发现少数特定证书的传输被阻断，导致HTTPS连接中断。由于HTTPS本身的特点，这并不意味着与网站传输的内容可被破译。

对破网软件的反制
针对网上突破防火长城的各类破网软件，防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。

针对Tor，但另一方面，tor节点的大量增加很可能仅仅是因为国内用户增加的缘故，即使存在有虚假节点，对于使用图形界面Vidalia的用户也可以轻松将含有境内节点的路由删除，以确保安全。

对电子邮件通讯的拦截
2007年7月17日，大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象，症状为：

中国国内邮箱给国外域发信收到退信，退信提示「Remotehost said: 551 User not local; please try <forward-path>」中国国内邮箱用户给国外域发信，对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。中国国内邮箱给国外域发信收到退信，退信提示「Connectedto ***.***.***.*** but connection died. (#4.4.2)」国外域给中国国内邮箱发信时收到退信，退信提示「Remotehost said: 551 User not local; please try <forward-path>」国外域给中国国内邮箱发信后，中国国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

对此，新浪的解释是「近期互联网国际线路出口不稳定，国内多数大型邮件服务提供商均受到影响，在此期间您与国外域名通信可能会出现退信、丢信等现象。为此，新浪VIP邮箱正在采取措施，力争尽快妥善解决该问题。」而万网客户服务中心的解释是「关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象，万网公司高度重视，一直积极和國镓相关机构汇报沟通，并组织了精良的技术力量努力寻找解决方案。」[7]

有网友推测由於GFW会过滤进出邮件，当发现敏感（关键）字后往两边各发送三个伪造的reset断掉连接，通常都发生在数据传输中间，所以会干扰到内容。

GFW测试
测试网站IP是否被屏蔽或网址是否被列入了关键字过滤名单，可以使用以下方法。
中国大陆境外打开这个网站(http://www.websitepulse.com/help/testtools.china-test.html) ，然后按指引测试（仅测试IP是否被屏蔽）。打开百度(http://www.baidu.com) ，输入要测试网站网址的全部或要测试的关键字，若返回「无法显示」就证明该字符的关键字过滤生效。

中国大陆境内对于境外所有不能直接访问的网址：
在浏览器中设置一位于境外的有效的普通HTTP代理服务器。如果能访问，说明该网址可能是被域名劫持或IP封锁（或两者同时生效），需要进一步排查；如果还不能访问，排除网站故障的因素，则该网址已被列入关键字过滤黑名单。使用操作系统的traceroute命令对网址进行IP路由跟踪，windows系统使用tracert-d命令（加参数-d以避免逆向DNS解析等待）。如果在运营商骨干网段出现「timeout」或者「reports: Destination host unreachable」，说明IP封锁生效（也可能是域名劫持，两者很难区分，可以通过设置不同的DNS服务器进行比较）。如果同时出现设置普通HTTP代理服务器仍无法访问并且traceroute路径中断，则IP封锁和关键字过滤同时生效。

71917111

会被过滤的网站

所有境外的网站都受到关键词过滤的影响，可能出现暂时不可访问。被固定封锁的网站类型包括：部分色情论坛和网站；所有涉及民运、琺囵糼或具有琺囵糼背景的以及在中国大陆被查禁的宗教的网站；大部分人权组织的网站；台塆的部分炡椨网站；大多数香港、台塆的新闻网站或综合网站中提供新闻的分站甚至与政治毫无关联的学术网站；部分海外提供Web2.0或个人网站服务的知名或影响较大的站点；部分个人网站；部分文件寄存网站。

这些类型的网站被封锁的主要原因是因为其网站上发布中国炡椨不能接受的政治内容或未经国内政治审查过的新闻（比如中国2003年的SARS倳件在中国炡椨揭露事实真相前关于SARS的相关报道和讨论）等方面的内容，有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁，例如对Google的全面封锁。

北京澳运与GFW

据法新社报道，中国炡椨曾讨论是否在北京澳运会期间放宽GFW的屏蔽范围[8]。在澳运前夕，曾一度被限制访问的Blogger、《中国时报》、《明报》等网站陆续被解除封锁，中文维基、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[9]，但部分被禁网站仍然未被解禁，包括琺囵糼网站、覀藏流亡炡椨网站以及和六四倳件相关的网站[10]。
《齐鲁晚报》报道，有外国媒体指责中国炡椨违背先前全面开放互联网的承诺，奥组委发言人孙伟德表示，澳运期间将提供媒体“充分”的网络使用权，但外国记者上网不会完全不受限制。根据中国的法律，不得通过互联网传播违反法律的信息，如宣扬琺囵糼，以危害國镓利益。希望媒体尊重中国有关法律法规”。但文中没有解释为何众多与琺囵糼完全无关的新闻机构、博客、社交和视频网站也无法访问的原因。[11]国际奥委会新闻委员会主席高斯帕也表示，国际奥委会一些官员和中国当局已达成协议，同意中国封锁一些被认为是敏感的、同澳运无关的网站[12]。

澳运会结束数月后，中国炡椨对海外新闻网站的封锁又重新开始。至2008年12月，重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿大广播电台等新闻机构的中文网站。此外，根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿，这次遭中国炡椨封闭的还有一些被视为敏感的网站，包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示，中国总体上是采取对外开放的政策，但是中国和其他國镓一样，对于网站还是要依法做必要的管理，某些网站确实存在违反中国法律的事情[13]。有评论认为，当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机[14]。

注释
1. ^ 这一例子的特殊性在于--Google新闻中的图片地址都是以news.google.com开头，因此当请求的图片链接中有关键字被检测到，例如来自BBC新闻的news.bbc.co.uk，所有来自news.google.com的数据都会被暂时干扰中断。另外值得一提的是，Google的web服务几乎都采用gzip压缩编码，因此HTTP数据部分即显示的页面内容不太可能被过滤，只有位于客户端HTTP头的请求URL内含有关键字才可能被检测到。
2. ^ 「思科公司为中国特制了数据包级别的内容过滤路由器（contentfiltering router），而中国的路由器80％是思科公司的。」正在进行中的「金盾工程」是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。
3. ^ 例如维基百科中文网的网址（zh.wikipedia.org）列入了屏蔽关键词中，故导致无论使用什么类型或网址的代理服务器都不能正常登入维基中文版。
4. ^ 大陆境内可以做这样的简单验证实验：在本地主机安装HTTP服务端程序，例如Apache，不要加载任何压缩或加密模块，调试完成后（完成的标志是在其他主机上能访问本地页面）在本地主机上用浏览器浏览本地页面，浏览器预先设置一普通的海外HTTP代理服务器，本地页面文件名不要带敏感关键字，例如默认index.html即可，页面内容任意填充GFW 敏感关键字，结果是浏览无碍；然后将页面文件名改名，带敏感关键字，例如falungong.html（琺囵糼），结果是访问页面被重置。本地浏览器设置海外代理的作用是强制HTTP数据通过GFW，也可以在海外的某主机上直接浏览本地页面，只要数据经过GFW即可。
5. ^ Google.cn除外，原因是国外DNS服务器会将此域名同样指向美国的Google服务器。
6. ^ 例如直接使用海外DNS查询主机名6park.com，用sniffer记录进站数据包可以看到若干伪DNS响应，均指向Google，而真正的主机地址是70.85.39.9

黑郁金香

这文章已经很老了，墙早就升级换代了。

黑郁金香

这文章已经很老了，墙早就升级换代了。

dantemustdie

总之是敏感词汇