文档介绍:专业资料参考首选之前我们对 GFW 进行了大量的黑箱测试,尽管大多数实验数据都得到了良好的解释,但是还是有些数据或者体现出的规律性(不规律性)没有得到合理的解释。比如 TCP 连接的各项超时时间,比如 Google 的443 端口被无状态阻断时,继发状态的持续跟源 IP相关的问题。比如一般 TCP 连接的继发阻断时,窗口尺寸和TTL 的连续变化特性。这些问题已经超出纯协议的范畴,需要对 GFW 的内部结构进行进一步了解才能明白其原因。所以在这一章介绍 GFW 的实现和内部结构。总的来说, GFW 是一个建立在高性能计算集群上规模庞大的分布式入侵检测系统。其分布式架构带来了很高的可伸缩性,对骨干网一点上庞大流量的处理问题被成功转换成购买超级计算机堆砌处理能力的问题。它目前有能力对中国大陆全部国际网络流量进行复杂和深度的检测,而且处理能力“还有很大潜力”(2009 年8月) [null] 。线路接入 svg 对于 GFW 在网络上的位置,有很模糊的认知:“在三个国际出口作旁路监听”。然而还希望对在出国之前最后一跳之前发生了什么有详细了解。 GFW 希望对不同线路的链路异构性进行耦合,并研究了快速以太网、低速 WAN 、光纤、专用信号多种类型链路的耦合技术。[03b] 而根据《国际通信出入口局管理办法》,几大 ISP 有自己的国际出入口局,最后在公用国际光缆处汇合,比如在海缆登陆站之前汇合。据已有的资料,安管中心( CNNISC )有独立的交换中心,而且有报道说各个 ISP 是分别接入其交换中心。这样几个材料就可以形成一致的解释:为了适应不同ISP不同的链路规格,GFW自己的交换中心需要对不同的链路进行整合,不同的ISP分别引出旁路接入 GFW 。而没有接入 GFW 的线路则被称为“防外线”[来源不可靠],不受 GFW 影响。接入的线路类型应该主要是光专业资料参考首选纤线路,因此通常称此接入方式为分光。这就是“旁路分光”。另外实验发现, GFW 的接入地点并不一定紧靠最后一跳, 因此图中以虚线表示。需要注意 GFW 的响应流量重新接回网络的地点难以确认,这里只是假设是与接出的地点相同。负载平衡面对多条骨干监测线路接入产生的巨大不均匀流量,不能直接接到处理集群,而是要先进行汇聚然后再负载均衡分流成均匀的小流量, 分别送给处理集群并行处理。首先需要将网络设备通信接口( Pos 、ATM 、 E1等)转换成节点可用的主机通信接口( FE、GE等)。处理负载均衡的算法经过仔细考虑,希望实现: 流量均匀分布、对于有连接协议保持连接约束、算法简单。连接约束是指:一对地址端口对之间的一个连接全部通信都要保证调度到同一个节点。[03b] [03a] [05a] GFW 关于负载平衡的文章中主要提出两种算法。一种是轮转调度,对于 TCP ,当 SYN 到达时,以最近分配的节点号取模再加 1,并将连接存入 hash 表,当后继流量到达时就能查询 hash 表获得目标节点号。[03a] 另一种是基于连接参数的散列,对于 N个输出端口调度输出端口号是 H(源地址,目标地址,源端口,目标端口)mod N [03b] ,这个 H函数可以是 xor [05a] 。而之前的某个实验中我们碰到一种特殊的模式,负载平衡在解释其现象中起到了重要作用,下面专门分出一节详细说明。一个关于窗口值的实