まず、GFW がどのように私たちのトラフィックをブロックしているのかを理解する必要があります#
-
IP ブラックホール:現在解決策はありませんが、一部のサービスに対してのみブラックホールが存在します。例えば、Google 系(Google、Twitter、YouTube など)
-
DNS 汚染:ドメイン名に対して偽の IP を返します。hosts ファイルを使用してドメイン名に対応する IP を強制指定するか、暗号化された DNS(DoH、DNS 署名など)を使用します。
-
HTTP ハイジャック:トラフィックが暗号化されていないため、GFW は天然の中間者として直接改ざんできます(例:404 ページへのリダイレクト、詐欺防止ページへのハイジャックなど)。HTTPS 接続を使用することで回避できますが、SNI ブロックに遭遇する可能性があります。
-
SNI ブロック:クライアントとサーバーが暗号化接続を確立する前に、クライアントは
Client Helloメッセージを送信します。このメッセージは平文であり、一般的にserver_nameを含んでいます。GFW は、どのウェブサイトにアクセスしようとしているかを知ることができ、ホワイトリストにない(例:discord.com)ドメイン名をブロックします。server_nameは実際には拡張機能であり、強制ではないため、送信しないことで SNI ブロックを回避できます。
では、GFW が異なるウェブサイトに対してどのようにブロックしているかを分析してみましょう#
WireShark を使用してパケットキャプチャを行います。
-
まず、
www.baidu.comにアクセスを試みます。これは GFW にブロックされていないドメイン名です。-
まず ping を実行します。
-
IP を取得します:
2408:873d:22:18ac:0:ff:b021:1393 -
Hosts を使用して強制的にバインドします。
-
WireShark を使用してパケットキャプチャを行うと、クライアントが送信した
Client HelloメッセージにServer Nameフィールドが明確に表示され、正常にServer Helloを受信し、両者が通信を開始します。
-
ブラウザを確認すると、ウェブサイトに正常にアクセスできます。
-
-
次に、
discord.comにアクセスしてみましょう。-
まず ping を実行します。ドメイン名と解決された IP がどちらも通じないことがわかります。
-
この時、
itdog.cnを使用して v4 ping を試み、解決されたドメイン名に対して順次 ping を実行します。
-
最初の IP が通じることがわかります。
-
Hosts を強制的にバインドし、パケットキャプチャを試みます。
-
- 強制 Hosts バインド後、クライアントが
Client Helloを送信すると、GFW がServer Nameフィールドを検出し、GFW がクライアントにRSTメッセージを送信します。これはクライアント接続のリセットを要求するものです。クライアント側ではERR_CONNECTION_RESETが表示され、接続がリセットされたことを示します。ユーザーはウェブページにアクセスできません。
続いて、空の Server Name メッセージを送信してみます#
成功しました。WireShark では Server Name フィールドは検出されませんでした。
切り札、tcpioneer#
それは TCP パケットを魔改造することで GFW が検出できないようにし、WireShark も Client Hello メッセージをキャプチャできませんが、接続を確立することができ、サーバーが Server Hello を送信します。