这是一篇看完freebuf网站的公开课后，自己随意码的总结，大家能看则看。

讲课中提到的一些关键字：

IM 

VoIP
obfsproxy
Tor 云
Proxy King
@中传黄玮
绿坝
GoAgent
dnscrypt dns加密

现状：

13组根域名服务器(root server)，没有一个安装在中国，目前中国只有F、F、I、J、L共5个根域DNS镜像。

所以中国不能从根本上控制修改域名

1. 对ISP提供的DNS服务器进行缓存污染
2. 拦截封锁境外DNS服务器地址
3. 监视试图发往境外的DNS解析请求，对国外的DNS服务器的应答进行篡改 --DNS
UDP协议的不可验证缺陷  

拦截方法：

1. 单点小粒度：TCP劫持(RST, FIN)针对连接五元组(传输协议类型、源地址、源端口、目的地址、目的端口)对
数据流进行过滤。可以针对指定的任意五元组以内的组合条件进行劫持，实时性强、粒度小。
2. 大网大粒度：
2.1 静态+动态IP包过滤(ACL+BGP/OSPF注入)
2.1.1 静态路由：通过专用客户端程序静态写入路由设备的配置文件进行访问控制响应时间慢，容量较小，非易失

2.1.2动态IP包过滤：采用动态路由协议(BGP, OSPF等)和关键路由设备进行路由扩散，将过滤IP地址扩散到路由表中，

响应时间快，但只能动态写入路由设备路由表中，易失

事后审计：

1. 主动爬虫+被动web访问缓存
2. 对缓存网页内容进行"事后审计"，据此生成过滤用黑名单数据库(ip+url)
3. 内容分析和网址过滤相互协同、分时工作，提高效率和准确率

如何FQ获取/发布敏感信息?

1. 网络基础设施增强
1.1 多物理层接入
1.2反DNS屏蔽/劫持
1.3 TCP协议栈增强
1.4 可信CA
2.代理服务器
2.1 自建VPS
2.2 云端代理集群
2.3 P2P代理网络
3. 加密通信协议
3.1 VPN
3.2SSH
3.3SPDY
3.4HTTP/2、QUIC
3.5 协议混淆
3.6 内容变换

如何查水表：

1. 加密协议识别+中间人解密
1.1 特定https证书识别
1.2 伪造证书中间人劫持
1.3 受控代理服务
1.4 虚假Tor节点
2. 客户端监控+漏洞利用
2.1 本地"绿坝"
2.2 浏览器漏洞
2.3 Hml5等新协议功能
2.4 FQ木马

观众问题：

1. 最近很火的openerDNS怎么看? 他们表示服务器的解析完全没有问题，可信吗?

2. https号称安全，对它怎么拦截?
@image 微博
VPN 拦截
3. Tor网络怎么拦截?
3.1 断开无法登陆
3.2 通过跳板连接
4. GoAgent不能用了，是怎么屏蔽的?

5. flash插件崩溃意味着什么?
利用崩溃点可能植入shellcode代码、木马
6. 曾经和海先生探讨加密DNS?
防止拦截
防止UDP包伪造
7.如何搭建Tor网络?
自己搭不起来