一、GFW 的起源与早期封锁(2000–2009)

  • 起源背景
    2000 年前后,中国互联网快速普及,但政府担心境外信息影响国内舆论环境,于是逐步建立 防火长城(Great Firewall, GFW)

  • 早期封锁手段

    1. DNS 污染:向用户返回错误的域名解析结果,导致无法访问境外网站。
    2. IP 封锁:直接屏蔽敏感网站的服务器 IP 地址。
    3. HTTP 关键字过滤:对明文流量检测,发现敏感词后中断连接。
  • 当时的科学上网方式

    1. 早期代理(HTTP/HTTPS Proxy):用户手动设置代理服务器。
    2. VPN(PPTP、L2TP、OpenVPN):主流是企业级 VPN 技术,用于绕过 GFW。
    3. SSH 隧道:通过 ssh -D 提供 SOCKS5 代理,简单又隐蔽。

二、协议识别与深度检测的兴起(2010–2015)

  • GFW 技术升级

    1. 深度包检测(DPI, Deep Packet Inspection):分析数据包特征识别 VPN、代理流量。
    2. 流量指纹识别:比如识别 OpenVPN 的握手模式、Tor 的协议特征。
    3. 主动探测:疑似代理 IP 会被 GFW 主动连接验证。
  • 科学上网的反制手段

    1. **Shadowsocks (SS)**:2012 年出现的轻量级加密代理,流量特征弱化,取代传统 VPN。
    2. Obfs 混淆插件:通过伪装流量(如伪装成 HTTPS),对抗 DPI。
    3. Tor 的 Obfsproxy:提供多种混淆传输方式。

三、全面升级的攻防战(2016–2019)

  • GFW 新的封锁手段

    1. SNI 检测与封锁:利用 TLS 握手中的 SNI 字段识别被访问的网站。
    2. 机器学习流量分析:利用 AI 模型分析加密流量特征(包长度、时序等)。
    3. 大规模主动扫描:针对 Shadowsocks、V2Ray 节点进行批量探测。
  • 科学上网的演进

    1. **V2Ray (VMess 协议)**:2015 年诞生,具备更强的流量伪装和多协议支持。
    2. Trojan 协议:利用标准 TLS 流量伪装,几乎与正常 HTTPS 难以区分。
    3. TLS 伪装 + CDN 中转:借助 Cloudflare、AWS 等 CDN,提升抗封锁性。

四、GFW 的智能化与多层封锁(2020–2025)

  • GFW 最新封锁趋势

    1. TLS 指纹封锁:检测 TLS ClientHello 的特征字段(JA3 指纹)。
    2. QUIC/HTTP3 流量阻断:对 UDP/QUIC 协议进行特殊管控。
    3. 分布式封锁:不同地区运营商策略不同,分散测试难度。
    4. 经济性封锁:通过限速、丢包等“软封锁”方式,提高科学上网体验成本。
  • 科学上网的最新发展

    1. **Reality (Xray/VLESS)**:通过真实 TLS 流量特征伪装,几乎无法主动探测。
    2. Hysteria、TUIC:基于 QUIC 的抗干扰传输协议,提升速度与隐蔽性。
    3. **域前置 (Domain Fronting)**:借助大型 CDN 的合法域名隐藏真实流量。
    4. 多重代理链路:本地混淆 + 中转服务器 + 出口代理,多层抗封锁。

五、攻防战的未来趋势

  • GFW 可能的发展方向

    1. AI 辨识流量:更智能的模式识别,实时学习新协议。
    2. 精细化限速:在不完全封锁的情况下,降低科学上网体验。
    3. 立法与处罚:辅以法律和社会层面的管控。
  • 科学上网的对策

    1. 零特征协议:让代理流量完全等同于正常 HTTPS/QUIC。
    2. 隐匿式中继:P2P 节点与动态出口,避免单点被封。
    3. 去中心化工具:如基于区块链或 DHT 的代理网络。

结语

二十多年来,GFW 与科学上网的攻防战始终处于拉锯状态。
每一次封锁升级,都催生了新的反制技术;而每一次突破,也推动 GFW 不断演进。

这不仅是一场技术对抗,更是关于信息自由、网络主权与全球化的博弈。
未来,这场攻防战仍将持续,而技术的创新与对抗也会成为互联网历史中重要的一部分。