[GFW深度解析 II] GFW的技术武器库：深度解析核心封锁与干扰技术

引言：拆解“看不见的手”

在上一篇 [GFW的前世今生] 中，我们回顾了长城防火墙（GFW）的演进历史。现在，我们将深入其内部，像拆解一台精密的、自动化运作的机器一样，逐一检视它的核心部件——那些用于审查、过滤和干扰网络流量的技术武器。

正是这些技术的协同运作，构成了我们日常感知到的“墙”。理解它们，能帮助我们清晰地诊断出连接失败、速度缓慢等各种“疑难杂症”背后的根本原因。本文将用通俗的比喻，为您深度解析GFW最核心的几大技术武器。

武器一：DNS污染与劫持 (DNS Pollution & Hijacking)

这是GFW最常用、也是最基础的第一道防线。

它是什么？ 一种让你的“导航系统”失灵的技术。

它是如何工作的？ 当你试图访问 www.youtube.com 时，你的电脑需要先通过DNS查询，将这个域名解析成一个IP地址。GFW的DNS污染，就是在你查询的过程中进行抢答。在真正的DNS服务器返回正确IP之前，它会伪造一个错误的、无效的IP地址给你。

一个生动的比喻： 你打电话给114查号台，想问“市图书馆”的地址。一个冒牌接线员抢先接了电话，并告诉你一个错误的、或根本不存在的地址。于是，你永远也到不了真正的图书馆。

用户体验到的现象： 浏览器显示“无法访问此网站”或 ERR_CONNECTION_REFUSED。你无法访问目标网站，但你的网络连接本身是好的。

武器二：IP地址封锁 (IP Address Blocking)

这是GFW最直接、最“暴力”的封锁手段。

它是什么？ 将特定服务器的IP地址拉入“黑名单”。

它是如何工作的？ GFW部署在中国的国际互联网出口，像一个巨大的路由器。当它发现一个IP地址属于被封锁的服务（如某个VPN服务商的服务器）时，它会直接丢弃所有发往该IP地址的数据包。

一个生动的比喻： 你不仅被告知了错误的地址，或者就算你知道了正确地址，但通往那栋“大楼”的所有道路，都已被警察设置了路障，任何车辆都无法靠近。

用户体验到的现象： 你的VPN客户端或代理工具长时间连接超时，ping 该IP地址会显示“请求超时(Request timed out)”。

武器三：端口封锁 (Port Blocking)

如果封锁整个IP影响面太大，GFW会采用更精细化的端口封锁。

它是什么？ 封锁特定IP地址的特定“通信大门”。

它是如何工作的？ 任何网络服务都需要通过端口进行通信，例如网页是80/443端口。如果GFW发现某个IP的1194端口（OpenVPN常用端口）上存在大量可疑流量，它可以不封锁整个IP，而只封锁这个IP的1194端口。

一个生动的比喻： 通往“大楼”的道路是通畅的，但大楼的“1194号大门”被水泥封死了，你无法从这个门进入。

用户体验到的现象： 同样是连接超时，但可能只影响特定的服务。更换VPN的端口或协议后，有时又能连接上。

武器四：关键字过滤与TCP连接重置

这种技术让GFW具备了在未加密流量中进行内容审查的能力。

它是什么？ 实时检测数据内容，发现敏感词就立即切断连接。

它是如何工作的？ 当你访问一个未加密的HTTP网站或使用未加密的协议时，你的数据包就像一张“明信片”。GFW会实时读取上面的内容，一旦匹配到其黑名单中的“关键字”，它会立刻伪装成通信的双方，互相发送一个“TCP重置(Reset)”包，强制中断你们之间的TCP连接。

一个生动的比喻： 你和朋友写信聊天，邮局的审查员在偷看你们的信件。当他看到信里有不该说的内容时，他不仅会销毁这封信，还会立刻伪造你们双方的笔迹，分别给对方写一封“绝交信”，让你们的通信关系瞬间破裂。

用户体验到的现象： 网页加载到一半突然中断，显示“连接已重置”。或者SSH连接、游戏连接突然断开。

武器五：深度包检测 (DPI - Deep Packet Inspection)

这是GFW从“简单”走向“智能”的关键，主要用于识别加密流量的特征。

它是什么？ 一种不关心内容，只关心流量“指纹”的识别技术。

它是如何工作的？ 即使你的数据经过了VPN加密，就像装进了保险箱，但不同VPN协议（如OpenVPN, WireGuard）打包“保险箱”的方式、以及运输“保险箱”的流程，都有其独特的、可被识别的“流量特征”。DPI系统就是通过识别这些加密流量的“指纹”，来判断你是否在使用VPN。

一个生动的比喻： 你虽然把机密文件锁在了一个无法被打开的“外交邮袋”里，但这个邮袋本身的材质、形状、封口方式都极具特色。经验丰富的安保专家（DPI）一眼就能认出这是一个“外交邮袋”，从而进行拦截。

用户体验到的现象： VPN连接成功后，几秒或几分钟内就被精准地切断。

武器六：流量分析与主动探测

这是DPI的进阶应用，更具“进攻性”。

它是什么？ 通过机器学习分析行为模式，并主动出击进行身份验证。

它是如何工作的？ GFW的系统会长期监控网络流量。当它发现某个海外IP有大量来自国内、且特征可疑的连接时，它就会将此IP列为“疑似目标”。随后，它会发起主动探测——伪装成一个客户端，用已知的协议（如Shadowsocks）去连接这个IP。如果服务器“上钩”并返回了预期的回应，GFW就确认了它的“代理服务器”身份，并立刻执行封锁。

一个生动的比喻： 警察注意到一间小屋（服务器）人来人往，行迹可疑。于是，他们派了一个便衣警察，用“黑话”（协议）去敲门。如果里面的人用同样的“黑话”回应，身份就暴露了，警察立刻破门而入。

用户体验到的现象： 自己搭建的代理服务器，安稳运行了一段时间后，突然IP或端口就被封了。

武器七：“大炮” (The Great Cannon)

如果说以上都是“防御性”或“侦察性”武器，那么“大炮”就是GFW武器库中的“战略级攻击武器”。

它是什么？ 一个国家级的网络流量劫持与攻击系统。

它是如何工作的？ “大炮”可以拦截经过中国骨干网的、流向任意网站的巨大流量（例如，访问百度的大量正常用户的流量），并将这些流量进行“重定向”，像洪水一样注入到某个被指定的攻击目标（例如，某个被认为“不友好”的网站或服务，如GitHub）。

一个生动的比喻： 正常情况下，全国的车辆都在高速公路上正常行驶。而“大炮”系统，可以在瞬间修改所有路牌，让成千上万的无辜车辆全部驶向同一个小小的出口，造成史无前例的大拥堵，从而让这个出口彻底瘫痪（DDoS攻击）。

用户体验到的现象： 这并非针对个人用户，而是针对平台级的攻击。普通用户无法直接感知，但它证明了GFW具备了在全球网络中发起主动攻击的能力。

结论：多层次的“纵深防御”体系

通过拆解GFW的武器库，我们可以看到，它并非单一技术，而是一个由DNS、IP、端口、内容、流量特征等多维度、多层次的检测与阻断技术构成的“纵深防御”体系。

正是因为这个体系的存在，才催生了像Trojan这样，致力于将自身流量完美伪装成最普遍的HTTPS流量的新一代工具——因为只有这样，才有可能“骗”过上述几乎所有的检测武器。

在详细了解了GFW的“技术武器”之后，这些武器对我们的数字生活究竟造成了哪些具体影响？欢迎继续阅读本系列的第三篇深度解析：

[“墙”内外的世界：GFW对个人、开发者与企业的全面影响]

如果您想回顾GFW的全貌，可以返回我们的[GFW总览：一份理解中国网络防火墙的入门指南]。