1、GFW的重要工作方式之一是在網(wǎng)絡(luò)層的針對(duì)IP的封鎖。事實(shí)上，GFW采用的是一種比傳統(tǒng)的訪問(wèn)控制列表（Access Control List，ACL）高效得多的控制訪問(wèn)方式一一路由擴(kuò)散技術(shù)。分析這種新的技術(shù)之前先 看看傳統(tǒng)的技術(shù)，并介紹幾個(gè)概念。訪問(wèn)控制列表（ACL）ACL可以工作在網(wǎng)絡(luò)的二層（鏈路層）或是三層（網(wǎng)絡(luò)層），以工作在三層的ACL為例，基本原理如 下：想在某個(gè)路由器上用ACL控制（比如說(shuō)是切 斷）對(duì)某個(gè)IP地址的訪問(wèn)，那么只要把這個(gè)IP地址通 過(guò)配置加入到ACL中，并且針對(duì)這個(gè)IP地址規(guī)定一個(gè)控制動(dòng)作，比如說(shuō)最簡(jiǎn)單的丟棄。當(dāng)有報(bào)文經(jīng)過(guò)這 個(gè)路由器的時(shí)候，在轉(zhuǎn)發(fā)報(bào)文之前首先對(duì)ACL進(jìn)行

2、匹配，若這個(gè)報(bào)文的目的IP地址存在于ACL中，那么 根據(jù)之前ACL中針對(duì)該IP地址定義的控制動(dòng)作進(jìn)行 操作，比如丟棄掉這個(gè)報(bào)文。這樣通過(guò)ACL就可以 切斷對(duì)于這個(gè)IP的訪問(wèn)。ACL同樣也可以針對(duì)報(bào)文的源地址進(jìn)行控制。如果ACL工作在二層的話，那么 ACL控制的對(duì)象就從三層的IP地址變成二層的MAC地址。從ACL的工作原理可以看出來(lái)，ACL是在正 常報(bào)文轉(zhuǎn)發(fā)的流程中插入了一個(gè)匹配ACL的操作，這肯定會(huì)影響到報(bào)文轉(zhuǎn)發(fā)的效率，如果需要控制的IP 地址比較多，則ACL列表會(huì)更長(zhǎng)，匹配ACL的時(shí)間也更長(zhǎng)，那么報(bào)文的轉(zhuǎn)發(fā)效率會(huì)更低，這對(duì)于一些骨 干路由器來(lái)講是不可忍受的。路由協(xié)議與路由重分發(fā)而GFW的網(wǎng)絡(luò)

3、管控方法是利用了 OSPF等路由協(xié)議的路由重分發(fā)（redistribution）功能，可以說(shuō)是“歪 用”了這個(gè)本來(lái)是正常的功能。動(dòng)態(tài)路由協(xié)議說(shuō)路由重分發(fā)之前先簡(jiǎn)單介紹下動(dòng)態(tài)路由協(xié)議。正常情況下路由器上各種路由協(xié)議如OSPF、IS-IS、B GP等，各自計(jì)算并維護(hù)自己的路由表，所有的協(xié)議生成的路由條目最終匯總到一個(gè)路由管理模塊。對(duì)于 某一個(gè)目的IP地址，各種路由協(xié)議都可以計(jì)算出一條路由。但是具體報(bào)文轉(zhuǎn)發(fā)的時(shí)候使用哪個(gè)協(xié)議計(jì)算 出來(lái)的路由，則由路由管理模塊根據(jù)一定的算法和原則進(jìn)行選擇，最終選擇出來(lái)一條路由，作為實(shí)際使用 的路由條目。靜態(tài)路由相對(duì)于由動(dòng)態(tài)路由協(xié)議計(jì)算出來(lái)的動(dòng)態(tài)路由條目，還有一種路由不

4、是由路由協(xié)議計(jì)算出來(lái)的，而是由管 理員手工配置下去的，這就是所謂的靜態(tài)路由。這種路由條目?jī)?yōu)先級(jí)最高，存在靜態(tài)路由的情況下路由管 理模塊會(huì)優(yōu)先選擇靜態(tài)路由，而不是路由協(xié)議計(jì)算出來(lái)的動(dòng)態(tài)路由。路由重分發(fā)剛才說(shuō)到正常情況下各個(gè)路由協(xié)議是只維護(hù)自己的路由。但是在某些情況下比如有兩個(gè)AS （自治系統(tǒng)）， AS內(nèi)使用的都是OSPF協(xié)議，而AS之間的OSPF不能互通，那么兩個(gè)AS之間的路由也就無(wú)法互通。 為了讓兩個(gè)AS之間互通，那么要在兩個(gè)AS之間運(yùn)行一個(gè)域間路由協(xié)議BGP，通過(guò)配置，使得兩個(gè)AS 內(nèi)由OSPF計(jì)算出來(lái)的路由，能通過(guò)BGP在兩者之間重分發(fā)。BGP會(huì)把兩個(gè)AS內(nèi)部的路由互相通告給 對(duì)方AS，兩

5、個(gè)AS就實(shí)現(xiàn)了路由互通。這種情況 就是通過(guò)BGP協(xié)議重分發(fā)OSPF協(xié)議的路由條目。另外一種情況，管理員在某個(gè)路由器上配置了一條靜態(tài)路由，但是這條靜態(tài)路由只能在這臺(tái)路由器上起 作用。如果也想讓它在其他的路由器上起作用，最笨的辦法是在每個(gè)路由器上都手動(dòng)配置一條靜態(tài)路由， 這很麻煩。更的方式是讓OSPF或是IS-IS等動(dòng)態(tài)路由協(xié)議來(lái)重分發(fā)這條靜態(tài)路由，這樣通過(guò)動(dòng)態(tài)路由協(xié) 議就把這條靜態(tài)路由重分發(fā)到了其他路由器上，省去了逐個(gè)路由器手工配置的麻煩。GFW路由擴(kuò)散技術(shù)的工作原理前面說(shuō)了是“歪用”，正常的情況下靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路 由，這條路由最起碼要是正確的，可以引

6、導(dǎo)路由器把報(bào)文轉(zhuǎn)發(fā)到正確的目的地。而GFW的路由擴(kuò)散技術(shù) 中使用的靜態(tài)路由其實(shí)是一條錯(cuò)誤的路由，而且是有意配置錯(cuò)誤的。其目的就是為了把本來(lái)是發(fā)往某個(gè)IP 地址的報(bào)文統(tǒng)統(tǒng)引導(dǎo)到一個(gè)“黑洞服務(wù)器”上，而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個(gè)黑洞服務(wù)器上可以什 么也不做，這樣報(bào)文就被無(wú)聲無(wú)息地丟掉了。更多地，可以在服務(wù)器上對(duì)這些報(bào)文進(jìn)行分析和統(tǒng)計(jì)，獲取 更多的信息，甚至可以做一個(gè)虛假的回應(yīng)。評(píng)價(jià)有了這種新的方法，以前配置在ACL里的每條IP地址就可以轉(zhuǎn)換成一條故意配置錯(cuò)誤的靜態(tài)路由信息。這條靜態(tài)路由信息會(huì)把相應(yīng)的IP報(bào)文引導(dǎo)到黑洞服務(wù)器上，通過(guò)動(dòng)態(tài)路由協(xié)議的路由重分發(fā)功能，這些 錯(cuò)誤的路由信息可以發(fā)布到整

7、個(gè)網(wǎng)絡(luò)。這樣對(duì)于路由器來(lái)講現(xiàn)在只是在根據(jù)這條路由條目做一個(gè)常規(guī)報(bào)文 轉(zhuǎn)發(fā) 動(dòng)作，無(wú)需再進(jìn)行ACL匹配，與以前的老方法相比，大大提高了報(bào)文的轉(zhuǎn)發(fā)效率。而路由器的這個(gè) 常規(guī)轉(zhuǎn)發(fā)動(dòng)作，卻是把報(bào)文轉(zhuǎn)發(fā)到了黑洞路由器上，這樣既提高了效率，又達(dá)到了控制報(bào)文之目的，手段 更為高明。這種技術(shù)在正常的網(wǎng)絡(luò)運(yùn)營(yíng)當(dāng)中是不會(huì)采用的，錯(cuò)誤的路由信息會(huì)擾亂網(wǎng)絡(luò)。正常的網(wǎng)絡(luò)運(yùn)營(yíng)和管控體 系的需求差別很大，管控體系需要屏蔽的IP地址會(huì)越 來(lái)越多。正常的網(wǎng)絡(luò)運(yùn)營(yíng)中的ACL條目一般是固定 的，變動(dòng)不大、數(shù)量少，不會(huì)對(duì)轉(zhuǎn)發(fā)造成太大的影響。而這種技術(shù)直接頻繁修改骨干路由表，一旦出現(xiàn)問(wèn) 題，將會(huì)造成骨干網(wǎng)絡(luò)故障。所以說(shuō)GFW是歪用了路

8、由擴(kuò)散技術(shù)，正常情況下沒(méi)有那個(gè)運(yùn)營(yíng)商會(huì)把一條錯(cuò)誤的路由信息到處擴(kuò)散， 這完全是歪腦筋?；蛘呦鄬?duì)于正常的網(wǎng)絡(luò)運(yùn)營(yíng)來(lái)說(shuō)，GFW對(duì)路由擴(kuò)散技術(shù)的應(yīng)用是一種小聰明的做法。 正常的路由協(xié)議功能被濫用至此，而且非常之實(shí)用與高效，？朝在這方面真是人才濟(jì)濟(jì)。測(cè)量GFW動(dòng)態(tài)路由系統(tǒng)概括起來(lái)就是：人工配置(c)樣本路由器(sr)的靜態(tài)路由(r)，向各ISP的出入口路由器 (or)擴(kuò)散此路由(r)，將特定網(wǎng)絡(luò)流量轉(zhuǎn)到黑洞服務(wù)器(fs )進(jìn)行記錄。因此可以進(jìn)行測(cè)量的項(xiàng)目有：(r)被封鎖的IP列表：可以通過(guò)協(xié)作報(bào)告機(jī)制收集用戶(hù)報(bào)告，也可通過(guò)掃描著名站點(diǎn)獲得；(傳言：GF W動(dòng)態(tài)路由系統(tǒng)的容量是幾十萬(wàn)條規(guī)則)(or)受到GFW影