GFW是神马东西？   是浮云...


今天碰到一个奇怪的现象：在谷歌地址后面加上一个特殊的参数，谷歌就会被block 1-2分钟 。

先做个试验：

先访问下面的地址：
http://www.google.com/u=redice_Oi8vd3d3LnlvdXR1YmUuY29
上面的地址是可以访问的。

再访问下面的地址：
http://www.google.com/?u=Oi8vd3d3LnlvdXR1YmUuY29t
连接立刻被block了！看图。



有的人可能怀疑说是被谷歌block了，而不是被“浮云”干掉了。那我们换一个：

联合早报 http://www.zaobao.com/ 
然后加上 ?u=Oi8vd3d3LnlvdXR1YmUuY29t参数后再访问
http://www.zaobao.com/?u=Oi8vd3d3LnlvdXR1YmUuY29t  
立即被block！

过几分钟，等联合早报可以访问后，在上面的参数前面随便加几个数字，例如
http://www.zaobao.com/?u=3214_Oi8vd3d3LnlvdXR1YmUuY29t
再访问，正常了！

再给出几个测试的网站：

http://www.iiscan.com/
http://www.iiscan.com/?u=Oi8vd3d3LnlvdXR1YmUuY29t

http://www.armorlogic.com/
http://www.armorlogic.com/?u=Oi8vd3d3LnlvdXR1YmUuY29t

http://armorize.com/index.php?link_id=smartwaf
http://armorize.com/index.php?link_id=smartwaf&u=Oi8vd3d3LnlvdXR1YmUuY29t


另外，还发现使用ssl的链接，url不会被浮云过滤。

例如，https://www.linode.com/?u=Oi8vd3d3LnlvdXR1YmUuY29t 
就ok！


解释一下，u=Oi8vd3d3LnlvdXR1YmUuY29t参数为什么会被“浮云”拦截？

这要归功于著名的开源php在线代理系统：Glype （http://www.glype.com/downloads）

在Glype中，url参数被采用一种特殊方式encode了（/include/init.php 中的proxifyURL函数），Oi8vd3d3LnlvdXR1YmUuY29t 是"www.youtube.com"经 proxifyURL后的结果。 

现在由于Glype被大家广泛地用于探寻墙外世界，因此Oi8vd3d3LnlvdXR1YmUuY29t 被荣欣地选为特征码了。


我不是教你坏 - Glype反“浮云”url过滤的方法：


将/include/setting.php 中默认的
$CONFIG['unique_urls'] = false; 
改为
$CONFIG['unique_urls'] = true;

这样， proxifyURL就会自动在encode的结果之前追加上一串随机数字。“浮云”就检测不到了之前的特征了。

由于“浮云”采取了URL过滤（而不仅仅的dns劫持），因此之前网上流传的通过修改hosts文件获取正确解析的办法现在已经不奏效了。

说明：本文目的仅在于交流技术，如有违规之处，请联系我处理（redice@163.com）。  by redice 2010.11.25