听前同事说起这个文章，今天闲得无聊上网来看下。感觉写这篇文章的老兄看来知道不少情况，但是有些东西的实情其实也并不清楚。举几个例子来说吧：

1、GFW的经费可比金盾工程的多了不知道几十倍！

2、方滨兴之流的根本就不是什么真正的技术专家，只是众多“叫兽”之一而已。（说实话，就方滨兴、云晓春、刘欣然之流的，他们那点儿技术水平都是给我当学生过来的。）

3、GFW的技术水平其实就像作者所说的那样，发现特征、阻断，不行的话就封IP，根本谈不到什么高水平。

4、CNCERT的技术支持一直就是启明星辰，连工作人员都是从启明星辰借调的。

而在数十分钟之后，自曲新闻又有一条几乎相同的留言，似乎这位留言者存在某种混淆。

关于这条留言，我有一些看法：

1. 可查证的资料显示，GFW的经费是十亿数量级的，而金盾工程是百亿数量级的。
2. 这位自称学术地位比方滨兴还要高，同时又使用“‘叫兽’”这样的语言，表达出一种随意而悠闲的思想感情，说明这位的身份是非常有意思的。
3. 关于GFW的技术水平，至少方滨兴等人的论文看起来并不激动人心，在研究过程中GFW经常会让人产生这样的感觉：“啊，为什么这里这么偷工减料。”虽然GFW背后的技术力量的确是中国顶尖的，但做出来的东西却不一定能够摆脱“山寨的本性”。
4. 启明星辰的确在GFW中起到重要作用，但是而启明星辰对GFW的作用到底怎么定性，只是运维，还是研发，还是参与技术决策？技术支持又是怎样一种角色？字面上理解，技术支持只是配角。总之这些情况因为保密不得而知，也许不同人看启明星辰的角色都有不同的角度。

至于“但是有些东西的实情其实也并不清楚”，我想引一段话，出自人渣经济笔记：

在改革开放以前，中国对外界而言，基本就有点像一个黑洞——巨大但几乎没有什么可靠的信息出来，特别是中国经济的状况。几
年前，哈佛的Dwight
Perkins教授在他的非正式退休讲演中就说，改革开放以前，他和不少研究东亚和中国经济的经济学家，一直要做的一件事情就是，在官方数据不可得或者不
可相信的情况下，估算中国经济的大小。
Perkins教授曾跟我说起，为了了解情况，他当年甚至读了不少可以收集到的大陆出版的小说。然后改革开放之后，中国一下开始公布这些数据
了，Perkins教授开玩笑说：坏消息是我们这些多年的工作一下就没什么用了，好消息是我们发现当年我们猜得那些数据还是比较准确的。

事实上我们也是面对GFW这个黑洞从一片迷茫开始，阅读了大量公开可搜索的信息甚至科幻小说（今
年3月份津妇联在何处崭露头角？ww），在理解能力之内对事实进行了最可能的估计。我们的确“对有些东西的实情并不清楚”，然而“清楚”或者对信息的占有
并非一种值得夸耀的资本。我们在这里进行这样写作的目的，并非是作为某种“知道分子”（知道毛，知道不该知道的东西，爆米局就会曾经追查此事，无果）来传
达或者泄漏某种专有的信息以显得自己对于GFW了解深厚，或者证明自己的推测是正确的。也许GFW体制内的人看着这样那样的推测会感到可笑，不过重要的并
非一个人已经知道了什么，而是这个人将会知道些什么、能够知道些什么。读者能够指出文章中的错误是比文章本身更有价值的事情，因为价值在于思考和学习。

这样一些系列从零到有的文章，是要展示一种对GFW进行全面理解的学习过程和方法，表达一种对GFW进行逆向工程的趣味。读者不应该仅仅作为一个信
息的接收者，而是应该有自己积极的思考。如果读者中有百分之一开始自己思考关于GFW的问题，千分之一开始自己动手研究GFW，如果有万分之一开始将原理
付诸实践，那就是很好的结果。如果所有人都只是伸手而没有动力去自行了解GFW，那么就只会让GFW越来越强大，而自己被动挨打被GFW追得到处跑。
GFW在背后技术力量的推动下变动不居，不断地被更新、不断地发生变化，对GFW永远正确的认知或者一劳永逸的翻墙方法并不存在，只有与之对抗的方法和学
习动力能留存下来。而这种动力并非来自某种对GFW的仇恨或者某种对言论自由的向往，而是一种简单的想法——“工部的走卒们，你们的这点把戏是难不倒我们
的。”

展望一下未来

距上次文章已经过去了近几个月，这几个月发生了很多事情。在广电开始灭绝人性之前，我们曾认为中国互联网面临的最大威胁是强力的网络封锁，现在看来
就算是能够分泌GDP的网络部门照样被一刀剁头，彻底关闭互联网反而是更加现实和直接的威胁。而最近超法规组织『中央政法委』的会议上放出的狠话更加强了
这种预期。GFW越来越广泛地使用粗粒度的IP封锁策略，使得在网络层以上的努力都趋于无效。必须承认，私有SSH代理和私有VPN才是当前状况下的最优
解决方案。但是由于这两种方法有较高的成本，其他一些低成本但有一些缺点的方法也暂时作为折中而继续存在研究价值。

私有SSH代理和VPN可能遇到什么问题（VPS甚至托管主机就太高端这里不考虑）：

1. 提供SSH服务的提供商是有限可识别的，GFW在22端口（理论上可以做到端口无关）上检测SSH协议证书并阻断；效果不好时直接IP封锁。
2. 提供私有收费VPN服务的提供商也是有限可识别的，VPN协议比SSH稍复杂，直接用IP封锁。
3. 依据《商用密码管理条例》和《电子签名法》对密钥使用加强管理，对未备案的密钥和密码进行封锁。

网络层可能会出现什么情况：

1. 发动网评员转职成网络巡查员，依靠自然智能人工检测目标，克服机器检测的简陋性，然后广泛使用黑洞路由封锁，让网络变得半残。
2. 借鉴伊朗的做法，在出入口用QoS或者直接限速，造成网络极为缓慢但又无法说断网了。（TPE都修好多久了，怎么出国带宽不见涨呢）

备战备荒

1. 学习电话线上56K调制解调器的使用方法，在断网情况下能够在电话线路上开对等代理。
2. 留意拨号网络下的标准信息交流平台：各个telnet论坛。
3. 了解卫星上网知识，掌握卫星上网发展动向。
4. 在深圳的同学可以考虑搞微波通信或者激光大气通信跟对岸连起来，“以任何形式设置国际通信出入口”（大误

另外顺便说一点闲话，重新审阅了一下中文维基的防火长城条目，有这样一些错误，读者可以对比看看自己的观念中是不是还有这些误解：

• 域名劫持的入侵检测系统与路由器无关。
• “已经封锁了几百个北美的DNS服务器”来源不可靠，OpenDNS和GoogleDNS从来都挺好的。
• IP封锁不在国际出入口，而在ISP级别的AS边界路由器。
• 关键字过滤阻断不是在主干路由器上完成的，旁路。
• 实现关键字过滤阻断的入侵检测系统是自主研制开发的，与思科无关。
• 不存在省级GFW，正文所述实验不严谨，结论错误；实际上由不同TTL判断出的那个所谓的“省级”GFW是我们所称的“二型”——TTL随时序连续变化。

因为维基百科的非原创研究方针所以我也懒得去改了，这些都是没有来源的原创研究。