从上个星期五开始,位于上海张江的盛大创新院就发现企业网络问题[ref=https://twitter.com/virushuo] [ref=https://twitter.com/tinyfool],整个公司办公网络无法访问国外网站,最严重的是 MSN 之类走 TCP 长连接的 IM 根本无法正常使用(这个大家致函微软多次,微软中国均未正面回应,可以看出些许端倪),他们公司接出来的是上海联通网络,往国外 traceroute 是在上海联通的骨干网路由的一跳上断掉的。接下来经过他们测试,把企业里最后一跳路由的 MAC 地址伪装后这种情况就完全消失了,能够正常访问国外网络。当时猜测是联通等 ISP 定点过滤企业路由 MAC 地址。
由于所述现象发生于电信/联通线路上,以联通线路最为严重,而我这里是走北京教育网直接出国,故没有观察到出国的异常,但是走 VPN 后从美国 xeex 线路进来走亚洲网通再走中国联通进来的堵我是观察到了的。
当然发生状况的不止盛大一家,上海的诸多IT/金融公司分别使用上海电信/上海联通网络均出现类似问题。其它城市,杭州的阿里巴巴也汇报有这个问题(另外阿里内部邮件透露访问国外网站均需报备域名/IP/访问原因),北京也有,天津也有,深圳也有。同时联通线路出国丢包非常严重[ref=https: //twitter.com/paveo],到 fmt 60% ~ 70%,到 la 也是过半。同时我这里测试联通线路入境丢包也非常严重,虽然平时也很渣,在 8% 左右,这次飙升到 20% ~ 30%,导致开 VPN 后国内网站几乎访问不能。
毫无疑问这么大规模的大动作一定是属于 GFW 的实验,但是也有很奇怪的一点是,这次波及到的只是沿海省份。内陆地区长沙,成都[ref=https://twitter.com/cosbeta]等地的对应线路均正常。不过方老爷子总是那么让人捉摸不透。
虽然地域分布情况并不能影响我们分析它实验的目的到底是什么,但还是有奇怪的地方,传统的 GFW 关键词封锁和 IP filter 都是在国内的最后一两跳骨干路由上部署的,我们一直以为是串联接入的,但这一次好像直接被地方的路由给断了,这不由得不让我们猜测,GFW 已经并联加入各地路由,具有分布式计算能力。
让我们来列举一下今年二月以来的 GFW 新举措:
1. 加强关键词过滤,访问英文网站也不正常了,这在以前是从来没有的,像江青的英文维基词条都被 URL 过滤了我想不通目的为何。
2. 多次阻挠国外服务网站,原来大型网站只是对国外 UGC 网站的过滤 (facebook, twitter, tumblr, youtube 等),当然还有一些轮子的网站。二月以来,最新的举措就是干扰 Google 服务。还不说 appspot 整体撞墙了多少次,Gmail 在3月21日以来一直处于不正常的状态。众所周知,Gmail 登录 auth 是走 https 的,形式是
https://www.google.com/ServiceLogin?*。倘若完全封锁
www.google.com 和 mail.google.com 的 443 端口会导致整个 Gmail 都无法访问。考虑到在华有很多外企、外籍人士使用 Gmail,完全封锁的后果我相信不堪设想。所以现在的情况是
www.google.com 和 mail.google.com 所属的几十个 IP 的 443 端口是处于周期性被封锁状态,具体表现为每十几分钟可以访问,接下来十几分钟不能访问,如此往复。造成了 Gmail 服务端不稳定的假象,这不由得不让我们猜测,这是一个精心预谋,有长远打算的计划,从前我都不相信温水煮青蛙是真的,没想到现在自己就已经开始被煮了。另外由于 google 几乎所有服务 (如 profile, reader, calendar) 的 https 都是在
www.google.com 这个域上的,于是这一计划直接导致 google 全线服务不正常。
(说到这里我还要强烈谴责一下 DNS 污染这种流氓行径,大家一般都是先访问一个网站发现撞墙了于是翻墙再尝试,但是我们在墙内访问的话会把墙内对该域名的 DNS 解析 cache 下来,如果这个解析被污染的话,翻墙后再次尝试都是访问一个被污染的、不存在的地址,我不得不说高,实在是高,用这么卑劣的手段达到如此完美的效果,我认为这种行为是违反 ICANN 规定的,完全足够被逐出国际互联网和 WTO)
3. 基于路由 MAC 地址识别的阻断连接,方校长曾经对环球时报记者说过[ref=http://china.globaltimes.cn/society/2010-12/603375.html],他一定有办法战胜 VPN,我想现在我们观察到的基于路由 MAC 地址识别的阻断连接就是他的方法吧。但目标我猜可能并不是针对那些 IT 企业,而是由于这些 IT 企业的国外流量太大导致 GFW 认为这个地方有问题于是自动阻断连接。这样为什么沿海地区的个人用户没有被太大的波及也可以解释了。所以我认为他们的思路是以后基于对路由 MAC 地址识别来分析你的出国流量成分,然后给你定性,判断是否阻断连接。
4. 未来我认为会有白名单,中国电信一直都有针对外企的 VPN 业务,实行白名单后对外企影响不大,但是倘若真这样的话我就只有去买一台海事卫星电话了,到时候就靠我的各位已经肉身翻墙的新老同学们了。
