“被墙”是通过DNS污染、IP封锁、TCP重置、SNI检测和关键词过滤等多重技术组合实现的网络访问限制,由部署在骨干节点的防火长城系统实时拦截境外敏感网站流量。
“被墙”通常指某些网站或网络服务在中国大陆地区无法正常访问的现象,其技术实现主要依赖于一套被称为“防火长城”(Great Firewall, GFW)的网络监管系统。GFW 并非单一技术手段,而是多种技术组合形成的过滤与阻断机制。
DNS(域名解析系统)负责将用户输入的域名(如 google.com)转换为对应的 IP 地址。GFW 会监听用户的 DNS 查询请求,当发现目标域名属于被屏蔽范围时,返回一个伪造的、错误的 IP 地址,使用户无法连接到真实服务器。
例如:用户查询 facebook.com,GFW 截获请求后返回一个无效或指向本地提示页面的 IP,导致连接失败或跳转至警告页。
GFW 维护一份被封锁的 IP 地址列表。当用户的网络流量试图访问这些 IP 时,防火墙会在路由层面直接丢弃数据包或拒绝连接。
这种封锁适用于整个服务器或数据中心。一旦某个境外服务器 IP 被列入黑名单,所有对该 IP 的访问都会被中断。
当用户尝试与被限制的目标服务器建立 TCP 连接时,GFW 会监测到该连接特征(如特定端口、IP 或协议行为),并伪装成通信双方之一发送 TCP RST(复位)包,强制中断连接。
这种方式不需要提前知道所有目标 IP,只需在连接建立过程中识别并干预即可,具有动态拦截能力。
尽管 HTTPS 加密了网页内容,但在 TLS 握手阶段,客户端会通过 SNI(Server Name Indication)明文发送要访问的域名。GFW 可以读取 SNI 字段,判断是否为被屏蔽网站,并提前终止连接。
这意味着即使使用加密连接,只要 SNI 未加密(传统 TLS 1.2 及更早版本),仍可被精准拦截。
对于部分开放性较强的协议(如 HTTP、FTP 等),GFW 还可在数据传输过程中进行深度包检测(DPI),分析数据流中的关键词或特征码,若匹配敏感内容,则中断连接。
这一机制更多用于内容审查而非单纯“被墙”,但在某些场景下也会触发访问阻断。
基本上就这些核心技术手段。它们可以单独使用,也常组合实施,形成多层防御体系。由于 GFW 部署在网络骨干节点上,具备高带宽和实时处理能力,因此能高效覆盖全国范围的跨境流量。
以上就是如何从技术层面解释“被墙”这一现象,它具体是如何实现的?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
767
收藏
