丧心病狂的业务进行不下去了
大概从三月份开始,也许更早就开始进行实验了,国外的明文下载内容会被国内的某些服务器拦截转发,简单的说就是,一个形如(http://www.cia.gov/secret.iso)的下载链接,在你点击下载后,它会变成(http://120.52.73.11/www.cia.gov/secret.iso),这说明GFW在面对大量的实时数据分析显得有些力不从心,为什么?GFW之前面对这种情况时,进行的数据分析是实时的,请参考(/2012/05/24/6416/),比如这个secret.iso,如果其中含有某些关键字,民主啊,人权啊之类的,你的下载会立刻被rst信号中断,现在,这个iso会被下载到电信运营商的服务器上。
这个月第一次出现这种情况的时候,我以为是某些特定运营商自建了一个文件加速的服务,以方便大家下载,但第二次在不同的运营商网络中出现,我觉得这个就很可疑了,因为你不能随随便便就把我的文件拦截下来了啊,经过测试,只有明文压缩包会出现这种情况,通过SSL下载是不会出现这种情况的。这种策略,可以解决我在2012年提出的加密压缩包的问题,GFW对压缩文件的检测,并不检测有密码的压缩包,现在则可以通过将压缩包先存起来,秋后算账的时候利用大量的计算资源破解这个压缩包。
这说明一个问题,当局可能开始要求运营商深度介入GFW的业务,之前的业务中,运营商只是配合部署硬件设备,但并不介入业务,现在有没有介入业务也不太好说,但我觉得如果由GFW的业务部门去部署大量的存储设备,这个如果不以一个公司的实体来运行,恐怕会有些难度,还不如直接给运营商做来得简单,何况,运营商能选择不做吗。当然,也可能是当局认为实时分析过滤的方式会漏掉很大一部分未知的流量,既然IT成本不高,为什么不全都存下来呢?
防民之口,甚于防川,解决方案呢,当然是在所有的服务器上部署SSL,可能的话,对关键业务应当部署数字证书服务端客户端双向验证,几乎可以确定,所有跨境的明文传输方式都会被窃听和存档,这可是正儿八经的裸奔,如果你有不能说的秘密,那么一定要用SSL唷!
