超级军网gfw的几个特征
来源:百度文库 编辑:超级军网 时间:2024/04/28 21:20:11
Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
Sequencenumber(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
DNS回应报文
返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照
向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务
nslookup sina.com google.com 提示timeout 超时
nslookup voanews.com google.com 返回伪造的IP
213.169.251.35
DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测
测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常
另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象
无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击
总而言之 GFW在数据挖掘和协议分析上做的还比较成功 系统还有很大潜力可以挖掘 Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
Sequencenumber(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
DNS回应报文
返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照
向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务
nslookup sina.com google.com 提示timeout 超时
nslookup voanews.com google.com 返回伪造的IP
213.169.251.35
DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测
测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常
另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象
无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击
总而言之 GFW在数据挖掘和协议分析上做的还比较成功 系统还有很大潜力可以挖掘
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
Sequencenumber(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
DNS回应报文
返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照
向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务
nslookup sina.com google.com 提示timeout 超时
nslookup voanews.com google.com 返回伪造的IP
213.169.251.35
DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测
测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常
另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象
无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击
总而言之 GFW在数据挖掘和协议分析上做的还比较成功 系统还有很大潜力可以挖掘 Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
Sequencenumber(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
DNS回应报文
返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照
向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务
nslookup sina.com google.com 提示timeout 超时
nslookup voanews.com google.com 返回伪造的IP
213.169.251.35
DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测
测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常
另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象
无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击
总而言之 GFW在数据挖掘和协议分析上做的还比较成功 系统还有很大潜力可以挖掘
不是据说是cisco帮搞得么。。。
每次看到gfw就想到柏林墙。
这个柏林墙的那边主要是李大师、大和尚和死道友不死贫道的“民主”领袖们在欢迎你。某些人还真有喜感。除非你爬墙头能给自己搞到什么好处,否则就别耽误这个功夫。
这个柏林墙的那边主要是李大师、大和尚和死道友不死贫道的“民主”领袖们在欢迎你。某些人还真有喜感。除非你爬墙头能给自己搞到什么好处,否则就别耽误这个功夫。
听说墙那边还有东热、一本道等等
全看自己定力~靠这玩意能挡住什么啊..菜鸟连个google都不会,老鸟根本拦不住....
tg果然喜欢打麻将....垒长城啊....
全看自己定力~靠这玩意能挡住什么啊..菜鸟连个google都不会,老鸟根本拦不住....
tg果然喜欢打麻将....垒长城啊....
kaka22 发表于 2009-6-22 08:25 
用代理也翻不了墙啊,我用无界上google.com,刚找到几个sex网,还没打开首页就提示找不到网页了
用代理也翻不了墙啊,我用无界上google.com,刚找到几个sex网,还没打开首页就提示找不到网页了
那是是你水平不够。。弄个SIS VIP从来不翻墙直接上:D
lvtom 发表于 2009-6-22 08:18
kao,忘了这个最失民心的事情了,我还当网上愤慨不已的都是有志青年自由战士呢。土工也真是多事,这个东西放进来有助于社会整体稳定,你看日本那帮宅男废柴的,最多也就是多几个闺女遭殃,你看日本满车厢的色狼。大概是因为你们都下不付钱的,不利于土工和日本版权谈判?
kao,忘了这个最失民心的事情了,我还当网上愤慨不已的都是有志青年自由战士呢。土工也真是多事,这个东西放进来有助于社会整体稳定,你看日本那帮宅男废柴的,最多也就是多几个闺女遭殃,你看日本满车厢的色狼。大概是因为你们都下不付钱的,不利于土工和日本版权谈判?
翻墙出去后除了下三路的东东之外,上三路的没啥可看的。:D
用代理翻墙又不是什么高科技的东东
东热、一本道都开始向高清进军了
东热、一本道都开始向高清进军了
每次看到gfw就想到柏林墙。
奥运一段时间又不是没看过,外面也不过如此。作风和我们差不多,只不过是对立面而已。
高手是挡不住的
fire123 发表于 2009-6-22 03:27
轮子和JY好不好,群众自己没有鉴别的眼光?访问一下外国的网站就会被敌特魅惑?劳资想给论文查点技术资料结果国外那坛子也被屏蔽了,这也是轮子民运的网站?
某些人还真有喜感。当然,把广大P民视为智障“保护”起来,上面的更好捞钱,下面的也能给自己多捞五毛,何乐而不为?
轮子和JY好不好,群众自己没有鉴别的眼光?访问一下外国的网站就会被敌特魅惑?劳资想给论文查点技术资料结果国外那坛子也被屏蔽了,这也是轮子民运的网站?
某些人还真有喜感。当然,把广大P民视为智障“保护”起来,上面的更好捞钱,下面的也能给自己多捞五毛,何乐而不为?
nvhua 发表于 2009-6-22 09:59
还是有差别的,外面会报道天朝的大子党、某地不河蟹、政治内幕、腐败情况,而这些正是里面极力不想让大家知道的
还是有差别的,外面会报道天朝的大子党、某地不河蟹、政治内幕、腐败情况,而这些正是里面极力不想让大家知道的
dywhite 发表于 2009-6-22 10:34
您的鉴别能力咱不怀疑,可别忘了中国还有多少亿低素质人口,政府开始打击前轮子信徒有多少,西藏闹事的才有几个,就那么大动静,只要有5%的脑残,那就是几千万,放在哪国不够闹个天翻地覆的?对你生活在中国能有什么好处?某些人还真喜感,自称有鉴别能力却对中国的基本人口素质分布和社会情况都没有概念。
您的鉴别能力咱不怀疑,可别忘了中国还有多少亿低素质人口,政府开始打击前轮子信徒有多少,西藏闹事的才有几个,就那么大动静,只要有5%的脑残,那就是几千万,放在哪国不够闹个天翻地覆的?对你生活在中国能有什么好处?某些人还真喜感,自称有鉴别能力却对中国的基本人口素质分布和社会情况都没有概念。
fire123 发表于 2009-6-22 10:46
。。。。。。。
。。。。。。。
功夫网好像是不允许讨论的.再说了,想看到东西,无非就是adult,工口,其它的没有什么价值.
fire123 发表于 2009-6-22 10:46
所以,你的逻辑就是,为了5%的脑残就要95%的其他人一起受罪?
那么,我是不是也可以认为因为公务员里面至少有5%的人腐败,所以我国应该把全部公务员全部拉出去突突了?
原来阁下本意是想反党反国家啊!罪过罪过!
所以,你的逻辑就是,为了5%的脑残就要95%的其他人一起受罪?
那么,我是不是也可以认为因为公务员里面至少有5%的人腐败,所以我国应该把全部公务员全部拉出去突突了?
原来阁下本意是想反党反国家啊!罪过罪过!
GFW还是比较出色的
看了17楼的话后感悟:
别搞什么民主监督了 还是建立全国人口素质考核制度吧 合格者颁发对应等级素质证书 不同等级素质证书代表你可以上哪些外国网站 比如老胡老温 以及全国人大委员 各部头头 就可以访问ming惠网 cnn nbc youtube等
而普通本科的民众 为避免被毒害 只准上ibm apple intel等纯科技网站
初中毕业?算了 英文你看不懂 一个都不准看。
至于黄网嘛 为减免公安部打黄扫非压力 全国人民全部禁看。
别搞什么民主监督了 还是建立全国人口素质考核制度吧 合格者颁发对应等级素质证书 不同等级素质证书代表你可以上哪些外国网站 比如老胡老温 以及全国人大委员 各部头头 就可以访问ming惠网 cnn nbc youtube等
而普通本科的民众 为避免被毒害 只准上ibm apple intel等纯科技网站
初中毕业?算了 英文你看不懂 一个都不准看。
至于黄网嘛 为减免公安部打黄扫非压力 全国人民全部禁看。
传说中的一本道和东京热。。。。俺没翻墙也看过呀????
说说一本道和东京热,tnnd,因为偶不想费力气去翻墙,于是就用某软件的对方货物功能下载,有时花大半天时间下载的片子,一看那女的就不爽,只能删除,浪费我时间啊[:a5:]
要是能直接先看看介绍,这事情就不会出现鸟
当然,在目前,这个想法只能在梦里实现:sleepy:
要是能直接先看看介绍,这事情就不会出现鸟
当然,在目前,这个想法只能在梦里实现:sleepy:
008love 发表于 2009-6-22 11:13
学习下怎么翻墙,别用IE了,火狐和OPERA哪个都比它好使……
学习下怎么翻墙,别用IE了,火狐和OPERA哪个都比它好使……
下片前不看介绍哪行啊?
知识是力量的源泉啊,现在知道这句话的威力了吧:D
知识是力量的源泉啊,现在知道这句话的威力了吧:D
fire123 发表于 2009-6-22 03:27
真当网民是智障了。
真当网民是智障了。
fire123 发表于 2009-6-22 03:27
像猪一样生活吧~~你太幸福了
像猪一样生活吧~~你太幸福了
fire123 发表于 2009-6-22 03:27
原来youtube是“李大师”开的……
原来youtube是“李大师”开的……
fire123 发表于 2009-6-22 10:46
阁下自我感觉良好,不过在本人看来阁下的素质比多少亿都低不少……
阁下自我感觉良好,不过在本人看来阁下的素质比多少亿都低不少……
youtube算啥
sourceforge.net被封了一年多 。。。。。。。。
一堆.mil的访问不了.......想偷米军机密都不给....
sourceforge.net被封了一年多 。。。。。。。。
一堆.mil的访问不了.......想偷米军机密都不给....
Tor+Firefox
翻墙利器,隆重推荐!
翻墙利器,隆重推荐!
fire123 发表于 2009-6-22 10:46
就凭这素质就能赚钱,羡慕……
就凭这素质就能赚钱,羡慕……
IE带套也不错
fire123 发表于 2009-6-22 10:46
无毛JY大喊,民智未开,吾等使命未完啊。
无毛JY大喊,民智未开,吾等使命未完啊。
25# sheaghe
偶现在用chrome,tor感觉太慢,代理经常要换,麻烦
偶现在用chrome,tor感觉太慢,代理经常要换,麻烦
这个帖子很有喜感……
看表演呀看表演。
PS,最近收了不少东京热的高清套图,感觉比看视频好。
看表演呀看表演。
PS,最近收了不少东京热的高清套图,感觉比看视频好。
进来 拜一下 "低素质"教主......
fire123 发表于 2009-6-22 03:27
你真得很幽默,本兽现在就在墙的这头,天天被李大师,大和尚包围,要不你过来拯救一下本兽?:D
你真得很幽默,本兽现在就在墙的这头,天天被李大师,大和尚包围,要不你过来拯救一下本兽?:D
fire123 发表于 2009-6-22 10:46
5毛开始公然站在“几亿低素质”屁民的对立面了啊。
屁民的素质再低,难道比那几百万“公仆”的素质(如果它们有这个东西的话)还低?
5毛开始公然站在“几亿低素质”屁民的对立面了啊。
屁民的素质再低,难道比那几百万“公仆”的素质(如果它们有这个东西的话)还低?