典型翻墙软件的网络通信特征分析

摘 要:当今时代,迅速发展完善的互联网对于人们生活的影响程度日益加深,且其影响波及的范围也逐渐拓宽,其应用既为人们带来了不可估量的便利也使人们陷入了难以察觉的险境。随着互联网对于不良信息的屏蔽工作的不断发展,网民翻墙上网行为逐渐成为社会的热点话题,如何有效地抵制翻墙行为已经成为网络管理者目前尤为关注的问题。本文通过对翻墙行为以及翻墙软件的工作原理进行分析,谈论了翻墙行为的上线特征及对于翻墙软件的有效检测。

关键词:翻墙;翻墙软件;工作原理;网络通信特征;检测过程

中图分类号:TP393.09 文献标识码:A 文章编号:1674-7712 (2012) 12-0064-01

近年来,网络不良信息的迅速泛滥使得管理人员不得不实施采取屏蔽手段对网络环境进行净化,而网民为了满足其好奇心及探索欲则开始突破层层网络屏蔽进行翻墙上网,对网络屏蔽工作造成了极大的损害。网络安全管理研究人员为了彻底的抵制网络翻墙行为,目前逐渐开展了对于翻墙软件的研究工作。而本文则首先分析了翻墙行为的含义以及翻墙软件的相关工作原理,然后谈论了翻墙软件的网络上线行为特征与对翻墙软件上线进行检测的方式,希望能够为相关的网络管理人员提供一定的帮助。

一、翻墙行为的含义及翻墙软件的工作原理分析

网络翻墙行为指的是某些网络用户对于被屏蔽网络的非法访问,网络用户以特定的软件作为工具绕过网络层层的IP封锁、流量限制及域名劫持和内容过滤等屏蔽墙顺利地进入到那些已被屏蔽或隔离的网络,最终能够非法的阅览其中的信息。目前较为流行的软件工具有逍遥游、自由门等,这些软件专门为冲破网络封锁而设计,能够帮助非法的用户对敏感网站或者是邮件等进行有效获取,而且,这些软件处于时刻不停地升级中,网络安全管理人员采取有效的措施来抵制翻墙软件工作,已经成为网络时代的社会热点。

目前翻墙用户应用的翻墙工具大致分为普通的站点以及特殊翻墙软件两种,站点只需要用户注册可用服务器及端口号,就能够实现翻墙上网。而就翻墙软件来讲,它通过在境内外的网络服务器之间构建安全的通行隧道,为有需求的网络用户提供服务器,以帮助他们访问敏感的数据,而用户首先通过将浏览需求传递到服务器,再由服务器获取对其所要浏览的内容进行获取,最终传递给网络用户。而且,这种服务器还具备极强的缓冲储存功能,其已获取到的信息可以直接提供给其他的网络用户使用。

翻墙软件的工作流程大致由以下三个步骤完成,首先,上线软件持续地对境内外的网站发送数据流量,以检测网络主机有无接入到互联网,进而掌握网络的畅通程度。其次,翻墙软件通过对自己专有的DNS服务器进行访问,以获取其关于更新升级的有效信息,从而生成自动的更新。最后,翻墙软件对某些加密的服务器进行访问,以获取网页中具备的数据信息,进而为翻墙网络用户提供其需要的访问内容。

二、翻墙软件网络通信特征及翻墙行为检测方式

本文主要是以逍遥游这一翻墙软件为例,分析了翻墙软件网络通信的特征,并针对其上线的特征谈论了管理人员对于翻墙行为的检测方式。本文下面就对这两个问题进行详细的谈论:

(一)翻墙软件网络通信上线行为的特征分析

每一个翻墙软件在接入网络以上线时,都会产生具备固定特征的某些数据包,而这些数据包既是翻墙行为的主要通信保证,也是检测者的检测工作主要借助的工具。具体而言,其特征表现为以下三个方面:

一方面,逍遥游软件在上线时,会对固定的IP地址连续发送两次请求回送数据包的指令,在这一发送过程中网络路由器会自主的对其发送的超时信息进行查询检测,然后逍遥游软件就会知道目的主机有没有接收到数据包请求回送信息的相关指令,以及其自身是否已对目的主机的返回指令实现了有效接受,进而能继续进行其他的工作。

另一方面,逍遥游软件在登录过程中,会利用迭代查询方式对具备固定网络号的两个域名服务器进行连续四到六次的数据传输,并请求服务器对其所传送的数据包的域名进行解析,而被请求的服务器将会已经解析完成的域名值以及IP地址数值返还给逍遥游软件的主机。

再一方面,逍遥游软件还以UDP协议作为传输工具来对数据进行传送,逍遥游软件的服务器能够实现对于数据的有效缓存,测试主机不需要每次都对域名进行解析,只要在其缓存期结束时第一次进行登录时对域名解析即可。测试者如果想要拦住其服务器发送的数据包,就必须在其进行域名解析的登录过程中,对数据包进行拦截。

(二)翻墙软件网络通信上线行为的有效检测

网络管理人员对翻墙软件进行检测,必须全面地应对翻墙软件实施网络通信的上线行为特征来具体开展,而当前的行为检测系统主要分为四个模块,通过这四个模块的工作,工作人员可以及时掌握翻墙软件的运行状况。

首先,这四个模块分别为特征查找、上线检测、Web显示以及界面管理,特征查找主要是对固定的网络位置以及浮动位置所浮现的相同字段进行查找,并将相关的特征载入检测模块的特征文件上。而上线检测模块则对特征查找所发现的符合特征进行扫描,然后再将扫描出的有效信息与符合翻墙软件字段特征的指令进行匹配,最终得出这些字段是否是翻墙软件的数据指令。而Web显示及界面管理则利用符合的信息检测软件的上线状况,最终将检测到的结果记录在数据库中,并由显示器将其展现出来并由固定界面对其实施管理。

其次,就检测系统各模块工作的检测结果来讲,系统各个子模块通过对翻墙软件的数据包进行抓包、分析、测试等工作,可以最终知道翻墙软件的登录时间以及其源主机和目的主机的IP地址,还有源主机和目的主机的端口号。而管理人员则可以利用这些信息,对翻墙行为进行有效的处理。

三、结语

翻墙行为对于安全清洁的网络环境的构建起着极大的阻碍,网络安全管理的研究人员对典型的翻墙软件进行测试与分析,能够实现对翻墙行为的有效应对。所以,研究人员今后应该进一步强化对于翻墙软件的研究。

参考文献:

[1]万立夫.翻墙、加速、隐身一个对策全面搞定[J].网友世界,2011,11

[2]官国静.典型翻墙软件的网络通信特征研究[J].信息安全与通信保密,2012,2

[3]李文洁.论“翻墙”现象与中国的网络监管[D].中国社会科学院研究生院,2011