thanhhuy456
24-01-2012, 11:52 PM
NGUYÊN LÝ CHẶN TRUY CẬP VÀ CÁCH HOẠT ĐỘNG CỦA CÁC BIỆN PHÁP VƯỢT TƯỜNG LỬA.
Ví dụ, truy cập trang thanhcavietnam.info.
Trang này chỉ trình bày nguyên lý. Để có hướng dẫn cách làm của từng phương pháp, xem http://tuonglua.notlong.com/ (http://tuonglua.notlong.com)
1. Truy cập https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../) được thực hiện thế nào?
- B1: Nhập địa chỉ "https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../)" (gọi là URL) vào thanh Address của trình duyệt.
- B2: Trình duyệt gửi chuỗi URL này đến DNS Server được thiết lập sẵn để yêu cầu chuyển thành địa chỉ IP. (gọi là phân giải URL)
- B3: DNS Server trả địa chỉ IP tương ứng với URL về cho trình duyệt.
- B4: Trình duyệt thiết lập kết nối đến server có IP tương ứng và tải về dữ liệu trang web.
* Để cho đơn giản cũng như phù hợp với mục tiêu của bài, chúng ta lược bớt một số điểm kỹ thuật chuyên sâu ở các bước.
2. Chặn truy cập đến trang web được thực hiện thế nào?
Có nhiều cách để chặn truy cập đến một trang web/dịch vụ web:
- Không cho DNS Server trả về IP: tại bước 2, các DNS Server ở các ISP - nhà cung cấp dịch vụ Internet sẽ được cấu hình lại: xóa hoặc làm sai lệch giá trị bản ghi A Record (là bản ghi có dạnh URL - IP dùng để trả về IP tương ứng với URL yêu cầu) để cho trình duyệt không có IP chính xác để kết nối đến server.
- Chặn IP: Firewall - tường lửa sẽ được cấu hình để quét tất cả những yêu cầu gửi qua mạng, và nếu yêu cầu đó có số IP nằm trong danh sách bị chặn, firewall sẽ drop - loại bỏ yêu cầu đó, không cho nó đến đích.
- Chặn cổng dịch vụ 53 - DNS: Firewall - tường lửa sẽ được cấu hình để không một yêu cầu phân giải URL nào lọt qua được, do đó trình duyệt không có IP của server để kết nối đến. Cách này bao quát hơn cách chặn riêng lẽ từng bản ghi A Record và sẽ ảnh hưởng đến tất cả người dùng Internet của ISP đó. Cho nên, cách này thường không được sử dụng ở cấp ISP mà chỉ có thể thấy dùng ở cấp mạng nội bộ.
- Chặn cổng dịch vụ 80/443 - Web: Firewall - tường lửa sẽ được cấu hình để chặn tất cả những truy cập thông qua cổng 80/443 - cổng mà trình duyệt dùng để tải các dữ liệu từ server về, do đó, mặc dù trình duyệt có thể nhận được IP của server nhưng không thể kết nối đến server để tải dữ liệu về. Cách này bao quát hơn cách chặn riêng lẽ từng IP và sẽ ảnh hưởng đến tất cả người dùng Internet của ISP đó. Cho nên, cách này thường không được sử dụng ở cấp ISP mà chỉ có thể thấy dùng ở cấp mạng nội bộ.
3. Vượt tường lửa thế nào?
Cái này chắc đã được nhắc đến nhiều, ở đây chỉ xin tổng hợp và làm rõ:
Tùy theo cách mà ISP khóa truy cập, ta có thể áp dụng một hay đồng thời nhiều cách. Các cách được gom vào 2 nhóm chính:
- Đổi DNS Server: dùng khi ISP chặn hay phá A Record. Dùng một DNS Server khác để phân giải URL cho trình duyệt. Có rất nhiều DNS Server miễn phí để lựa chọn: OpenDNS (208.67.222.222 | 208.67.220.220), Google DNS (8.8.8.8 | 8.8.4.4), Comodo DNS (8.26.56.26 | 8.20.247.20), Norton DNS (198.153.192.1 | 198.153.194.1 ), v.v
- Dùng server trung gian: dùng khi ISP chặn IP, bao gồm có Proxy (proxy thủ công, proxy giao diện web, gửi trang web qua email, tính năng nhận tin RSS, Opera Turbo, UltraSurf, FreeGate, TOR, v.v) và VPN (Hotspot Shield, UltraVPN, TunnelBear, FreeOpenVPN, USAIP VPN, Comodo TrustConnect, v.v).
*Opera Turbo: là trình duyệt Opera có bật tính năng Turbo. Để tiện dụng, ta có thể dùng phiên bản Opera Portable của http://www.portableapps.com/ (http://www.portableapps.com/)
(http://www.portableapps.com/)
4. Nguyên lý vận hành:
- Phương pháp đổi DNS Server:
Nói một cách đơn giản, nếu ta hỏi DNS của ISP nó không thèm trả lời hoặc nói láo, thì mình hỏi thằng khác, hông thèm! Đâu phải chỉ mình nó biết câu trả lời đâu nè.
Đầu tiên, giá trị DNS Server sẽ được thay đổi ở cấp hệ điều hành Windows hay cấp phần cứng ADSL Router. Sau khi đổi, khi trình duyệt tiến hành phân giải URL, nó sẽ hỏi DNS Server mới được chỉ định, và DNS Server này không có ích kỷ hay nói láo như thằng DNS Server của ISP.
- Phương pháp dùng server trung gian:
(Giả sử: máy truy cập là TA, trang web nằm trên server ĐÍCH, server trung gian TG)
Nói một cách đơn giản, nếu ISP không cho TA truy cập đến ĐÍCH, thì TA sẽ truy cập đến TG (vì ISP đâu có cấm!), rồi từ TG (TA) truy cập đến ĐÍCH.
Nhóm phương pháp này gồm rất nhiều phương pháp nhỏ khác nhau mà ta có thể áp dụng.
- Dùng Proxy: ta cấu hình trình duyệt hay một số chương trình hỗ trợ proxy. Sau đó, giả sử ta truy cập đến trang web https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../), đường đi sẽ như sau:
TA ---> ISP ---> Proxy ---> Server chứa thanhcavietnam.info
Khuyết điểm:
Không phải chương trình nào cũng dùng được. Chỉ có chương trình nào hỗ trợ truy cập qua proxy thôi, ví dụ như các trình duyệt web, yahoo messenger, v.v
Thường không dùng được nếu như quản trị mạng thiết lập một proxy và bắt mọi truy cập phải qua proxy đó. Điển hình là các mạng công ty. Trong trường hợp này, ta có thể dùng Proxy giao diện web, Opera Turbo (Proxy Server của Opera Turbo rất mạnh và khó có thể bị khóa hoàn toàn), gửi tin qua email, RSS.
ISP cũng có thể chặn IP luôn cả những Proxy server này.
- Dùng VPN: ta cài chương trình VPN vô máy tính. Khi bật kết nối VPN lên, mọi truy cập ra Internet đều được chuyển hướng đi qua kết nối VPN này.
TA ===> ISP ===> VPN ---> Server chứa thanhcavietnam.info
(===: nghĩa là "đường hầm" VPN. Ta sẽ tìm hiểu nó kĩ hơn trong dịp sau, nếu có!)
Ưu điểm: Dùng được với mọi loại chương trình. Chỉ cần chương trình kết nối ra Internet là dùng được với VPN.
Khuyết điểm:
Cài đặt và cấu hình hơi phức tạp.
ISP cũng có thể chặn IP luôn cả những VPN server này.
###
Nếu mấy ông nhà nước áp dụng phương pháp cấm triệt để như hồi Ai Cập làm: tắt toàn bộ Internet kể cả các Internet server của dịch vụ dialup như VNN1268, VNN1269, thì lúc này tất cả những cách trên đều vô dụng.
Làm thế nào vượt qua được "tường lửa" này? Lúc này, ta có thể dùng Satellite Internet - Internet vệ tinh (thuê bao một đường truyền Internet vệ tinh, kết nối thẳng đến vệ tinh của nước ngoài. Việt Nam không có khả năng kiểm soát cái truy cập này vì đâu có quyền trên cái vệ tinh đó! Việt Nam không cho phép sử dụng ăngten chảo vệ tinh parabol mà không có phép, chính là sợ cái này!), truyền tin thông qua USB Flash Drive (như Binlađen đã làm á!), dùng bồ câu, v.v
###
Ultrasurf: đây là một chương trình được viết ra nhằm vượt qua tường lửa vĩ đại của Trung Quốc. Nó rất tinh vi và rất khó chặn riêng lẽ. Có một cách để chặn được Ultrasurf nhưng nó sẽ giết chết luôn tất cả những kết nối web khác làm người ta không truy cập web được, nên không thực tế lắm!
Nó có khả năng chống reverse engineering - phiên mã ngược tìm ra mã nguồn lập trình gốc, nhằm phá hoại chương trình.
Danh sách các proxy được tích hợp thẳng vào tập tin .exe của chương trình, cũng như được update tự động ngay khi kết nối Internet. Quá trình update được mã hóa nên danh sách proxy có thể xem là khá an toàn.
Cho đến giờ đây vẫn là công cụ vượt tường lửa khá tốt. Khuyên dùng.
###
TOR: đây là một chương trình proxy cao cấp và có khả năng cấu hình tùy biến rất cao. Thường dùng cho mục đích "cao cấp" là ẩn danh trên Internet. Tât nhiên dùng với mục đích vượt tường lửa đơn thuần thì không thành vấn đề gì.
Nguyên lý hoạt động, đại khái là chuyển hướng kết nối giữa TA và ĐÍCH qua ít nhất 3 proxy server khác nhau. (đó là lý do nó có tốc độ truy cập trang web chậm, nhưng an toàn.)
TOR là một dạng mạng proxy cộng đồng, nghĩa là chính bạn (nếu như bạn sống ở những khu vực tự do Internet; hay sống ở Mỹ, nơi mà hầu hết web server được đặt ở đây) cũng có thể biến máy tính của mình thành một proxy để giúp những người sử dụng TOR khác có thể vượt tường lửa.
TA ---> ISP ---> TOR1 ---> TOR2 ---> TOR3 (---> TORn) ---> Server chứa thanhcavietnam.info
Khuyết điểm:
ISP có thể quét, nghe lén và phát hiện ra lưu lượng TOR đi qua mạng của mình, nhằm làm bằng chứng này nọ. (Có thể khắc phục bằng cách bật tính năng mã hóa trong TOR)
ISP có thể khóa các proxy công cộng của TOR. Danh sách proxy mà TOR sử dụng được public nên rất dễ tìm ra. (Khắc phục: cấu hình TOR dùng các private proxy vốn không được public mà phải gửi email xin hoặc nhờ người thân ở nước ngoài thiết lập một proxy TOR dạng private. Điều quan trọng là phải giữ địa chỉ TOR private proxy bí mật, nếu không ISP phát hiện thì công toi.)
###
Dù đã rất cố gắng dùng ngôn ngữ thuần Việt và đơn giản hóa mọi khía cạnh kĩ thuật, nhưng thật sự đôi lúc mình cũng không thể tránh được việc dùng các từ/cụm từ/ngôn ngữ tiếng Anh kĩ thuật. Mong các bạn thông cảm. Có gì không hiểu cứ hỏi. Chắc chắn trong diễn đàn sẽ có người trả lời cho bạn.
Ví dụ, truy cập trang thanhcavietnam.info.
Trang này chỉ trình bày nguyên lý. Để có hướng dẫn cách làm của từng phương pháp, xem http://tuonglua.notlong.com/ (http://tuonglua.notlong.com)
1. Truy cập https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../) được thực hiện thế nào?
- B1: Nhập địa chỉ "https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../)" (gọi là URL) vào thanh Address của trình duyệt.
- B2: Trình duyệt gửi chuỗi URL này đến DNS Server được thiết lập sẵn để yêu cầu chuyển thành địa chỉ IP. (gọi là phân giải URL)
- B3: DNS Server trả địa chỉ IP tương ứng với URL về cho trình duyệt.
- B4: Trình duyệt thiết lập kết nối đến server có IP tương ứng và tải về dữ liệu trang web.
* Để cho đơn giản cũng như phù hợp với mục tiêu của bài, chúng ta lược bớt một số điểm kỹ thuật chuyên sâu ở các bước.
2. Chặn truy cập đến trang web được thực hiện thế nào?
Có nhiều cách để chặn truy cập đến một trang web/dịch vụ web:
- Không cho DNS Server trả về IP: tại bước 2, các DNS Server ở các ISP - nhà cung cấp dịch vụ Internet sẽ được cấu hình lại: xóa hoặc làm sai lệch giá trị bản ghi A Record (là bản ghi có dạnh URL - IP dùng để trả về IP tương ứng với URL yêu cầu) để cho trình duyệt không có IP chính xác để kết nối đến server.
- Chặn IP: Firewall - tường lửa sẽ được cấu hình để quét tất cả những yêu cầu gửi qua mạng, và nếu yêu cầu đó có số IP nằm trong danh sách bị chặn, firewall sẽ drop - loại bỏ yêu cầu đó, không cho nó đến đích.
- Chặn cổng dịch vụ 53 - DNS: Firewall - tường lửa sẽ được cấu hình để không một yêu cầu phân giải URL nào lọt qua được, do đó trình duyệt không có IP của server để kết nối đến. Cách này bao quát hơn cách chặn riêng lẽ từng bản ghi A Record và sẽ ảnh hưởng đến tất cả người dùng Internet của ISP đó. Cho nên, cách này thường không được sử dụng ở cấp ISP mà chỉ có thể thấy dùng ở cấp mạng nội bộ.
- Chặn cổng dịch vụ 80/443 - Web: Firewall - tường lửa sẽ được cấu hình để chặn tất cả những truy cập thông qua cổng 80/443 - cổng mà trình duyệt dùng để tải các dữ liệu từ server về, do đó, mặc dù trình duyệt có thể nhận được IP của server nhưng không thể kết nối đến server để tải dữ liệu về. Cách này bao quát hơn cách chặn riêng lẽ từng IP và sẽ ảnh hưởng đến tất cả người dùng Internet của ISP đó. Cho nên, cách này thường không được sử dụng ở cấp ISP mà chỉ có thể thấy dùng ở cấp mạng nội bộ.
3. Vượt tường lửa thế nào?
Cái này chắc đã được nhắc đến nhiều, ở đây chỉ xin tổng hợp và làm rõ:
Tùy theo cách mà ISP khóa truy cập, ta có thể áp dụng một hay đồng thời nhiều cách. Các cách được gom vào 2 nhóm chính:
- Đổi DNS Server: dùng khi ISP chặn hay phá A Record. Dùng một DNS Server khác để phân giải URL cho trình duyệt. Có rất nhiều DNS Server miễn phí để lựa chọn: OpenDNS (208.67.222.222 | 208.67.220.220), Google DNS (8.8.8.8 | 8.8.4.4), Comodo DNS (8.26.56.26 | 8.20.247.20), Norton DNS (198.153.192.1 | 198.153.194.1 ), v.v
- Dùng server trung gian: dùng khi ISP chặn IP, bao gồm có Proxy (proxy thủ công, proxy giao diện web, gửi trang web qua email, tính năng nhận tin RSS, Opera Turbo, UltraSurf, FreeGate, TOR, v.v) và VPN (Hotspot Shield, UltraVPN, TunnelBear, FreeOpenVPN, USAIP VPN, Comodo TrustConnect, v.v).
*Opera Turbo: là trình duyệt Opera có bật tính năng Turbo. Để tiện dụng, ta có thể dùng phiên bản Opera Portable của http://www.portableapps.com/ (http://www.portableapps.com/)
(http://www.portableapps.com/)
4. Nguyên lý vận hành:
- Phương pháp đổi DNS Server:
Nói một cách đơn giản, nếu ta hỏi DNS của ISP nó không thèm trả lời hoặc nói láo, thì mình hỏi thằng khác, hông thèm! Đâu phải chỉ mình nó biết câu trả lời đâu nè.
Đầu tiên, giá trị DNS Server sẽ được thay đổi ở cấp hệ điều hành Windows hay cấp phần cứng ADSL Router. Sau khi đổi, khi trình duyệt tiến hành phân giải URL, nó sẽ hỏi DNS Server mới được chỉ định, và DNS Server này không có ích kỷ hay nói láo như thằng DNS Server của ISP.
- Phương pháp dùng server trung gian:
(Giả sử: máy truy cập là TA, trang web nằm trên server ĐÍCH, server trung gian TG)
Nói một cách đơn giản, nếu ISP không cho TA truy cập đến ĐÍCH, thì TA sẽ truy cập đến TG (vì ISP đâu có cấm!), rồi từ TG (TA) truy cập đến ĐÍCH.
Nhóm phương pháp này gồm rất nhiều phương pháp nhỏ khác nhau mà ta có thể áp dụng.
- Dùng Proxy: ta cấu hình trình duyệt hay một số chương trình hỗ trợ proxy. Sau đó, giả sử ta truy cập đến trang web https://thanhcavietnam.info/ (https://thanhcavietnam.net/forum/../), đường đi sẽ như sau:
TA ---> ISP ---> Proxy ---> Server chứa thanhcavietnam.info
Khuyết điểm:
Không phải chương trình nào cũng dùng được. Chỉ có chương trình nào hỗ trợ truy cập qua proxy thôi, ví dụ như các trình duyệt web, yahoo messenger, v.v
Thường không dùng được nếu như quản trị mạng thiết lập một proxy và bắt mọi truy cập phải qua proxy đó. Điển hình là các mạng công ty. Trong trường hợp này, ta có thể dùng Proxy giao diện web, Opera Turbo (Proxy Server của Opera Turbo rất mạnh và khó có thể bị khóa hoàn toàn), gửi tin qua email, RSS.
ISP cũng có thể chặn IP luôn cả những Proxy server này.
- Dùng VPN: ta cài chương trình VPN vô máy tính. Khi bật kết nối VPN lên, mọi truy cập ra Internet đều được chuyển hướng đi qua kết nối VPN này.
TA ===> ISP ===> VPN ---> Server chứa thanhcavietnam.info
(===: nghĩa là "đường hầm" VPN. Ta sẽ tìm hiểu nó kĩ hơn trong dịp sau, nếu có!)
Ưu điểm: Dùng được với mọi loại chương trình. Chỉ cần chương trình kết nối ra Internet là dùng được với VPN.
Khuyết điểm:
Cài đặt và cấu hình hơi phức tạp.
ISP cũng có thể chặn IP luôn cả những VPN server này.
###
Nếu mấy ông nhà nước áp dụng phương pháp cấm triệt để như hồi Ai Cập làm: tắt toàn bộ Internet kể cả các Internet server của dịch vụ dialup như VNN1268, VNN1269, thì lúc này tất cả những cách trên đều vô dụng.
Làm thế nào vượt qua được "tường lửa" này? Lúc này, ta có thể dùng Satellite Internet - Internet vệ tinh (thuê bao một đường truyền Internet vệ tinh, kết nối thẳng đến vệ tinh của nước ngoài. Việt Nam không có khả năng kiểm soát cái truy cập này vì đâu có quyền trên cái vệ tinh đó! Việt Nam không cho phép sử dụng ăngten chảo vệ tinh parabol mà không có phép, chính là sợ cái này!), truyền tin thông qua USB Flash Drive (như Binlađen đã làm á!), dùng bồ câu, v.v
###
Ultrasurf: đây là một chương trình được viết ra nhằm vượt qua tường lửa vĩ đại của Trung Quốc. Nó rất tinh vi và rất khó chặn riêng lẽ. Có một cách để chặn được Ultrasurf nhưng nó sẽ giết chết luôn tất cả những kết nối web khác làm người ta không truy cập web được, nên không thực tế lắm!
Nó có khả năng chống reverse engineering - phiên mã ngược tìm ra mã nguồn lập trình gốc, nhằm phá hoại chương trình.
Danh sách các proxy được tích hợp thẳng vào tập tin .exe của chương trình, cũng như được update tự động ngay khi kết nối Internet. Quá trình update được mã hóa nên danh sách proxy có thể xem là khá an toàn.
Cho đến giờ đây vẫn là công cụ vượt tường lửa khá tốt. Khuyên dùng.
###
TOR: đây là một chương trình proxy cao cấp và có khả năng cấu hình tùy biến rất cao. Thường dùng cho mục đích "cao cấp" là ẩn danh trên Internet. Tât nhiên dùng với mục đích vượt tường lửa đơn thuần thì không thành vấn đề gì.
Nguyên lý hoạt động, đại khái là chuyển hướng kết nối giữa TA và ĐÍCH qua ít nhất 3 proxy server khác nhau. (đó là lý do nó có tốc độ truy cập trang web chậm, nhưng an toàn.)
TOR là một dạng mạng proxy cộng đồng, nghĩa là chính bạn (nếu như bạn sống ở những khu vực tự do Internet; hay sống ở Mỹ, nơi mà hầu hết web server được đặt ở đây) cũng có thể biến máy tính của mình thành một proxy để giúp những người sử dụng TOR khác có thể vượt tường lửa.
TA ---> ISP ---> TOR1 ---> TOR2 ---> TOR3 (---> TORn) ---> Server chứa thanhcavietnam.info
Khuyết điểm:
ISP có thể quét, nghe lén và phát hiện ra lưu lượng TOR đi qua mạng của mình, nhằm làm bằng chứng này nọ. (Có thể khắc phục bằng cách bật tính năng mã hóa trong TOR)
ISP có thể khóa các proxy công cộng của TOR. Danh sách proxy mà TOR sử dụng được public nên rất dễ tìm ra. (Khắc phục: cấu hình TOR dùng các private proxy vốn không được public mà phải gửi email xin hoặc nhờ người thân ở nước ngoài thiết lập một proxy TOR dạng private. Điều quan trọng là phải giữ địa chỉ TOR private proxy bí mật, nếu không ISP phát hiện thì công toi.)
###
Dù đã rất cố gắng dùng ngôn ngữ thuần Việt và đơn giản hóa mọi khía cạnh kĩ thuật, nhưng thật sự đôi lúc mình cũng không thể tránh được việc dùng các từ/cụm từ/ngôn ngữ tiếng Anh kĩ thuật. Mong các bạn thông cảm. Có gì không hiểu cứ hỏi. Chắc chắn trong diễn đàn sẽ có người trả lời cho bạn.