IP地址封锁#

GFW维护一个动态更新的IP黑名单，包含被禁网站的IP地址。当用户尝试访问这些IP时，系统会丢弃数据包或返回错误响应。此方法简单高效，但易被代理或VPN绕过，因此常与其他技术结合使用。

端口封锁#

GFW通过骨干网节点对特定IP的特定端口（如VPN常用的端口）进行封禁。例如，2025年8月一次短暂的全面封锁事件中，所有进出中国的TCP 443端口（HTTPS）被误封，导致依赖海外服务器的网站无法访问，国内云服务商也受影响。该事件持续约74分钟，因发生在深夜最终影响有限。

DNS污染与劫持#

GFW通过篡改域名系统（DNS）响应实现审查。当用户查询被禁域名时，系统返回虚假响应，导致连接失败。这种”污染”通过边界路由器的on-path架构实现，实时监听跨境流量并插入伪造数据包。由于中国的DNS服务器参与GFW的DNS污染与劫持行为，国际上不再信任中国的DNS服务器，2010年后DNSSEC（域名系统安全扩展）技术的普及和应用使得中国地区的DNS服务器等级进一步降低。随着DNS over HTTPS（DoH）和DNS over TLS（DoT）等加密DNS协议的普及，传统DNS污染的有效性进一步降低。

TCP重置（RST）阻断#

GFW通过发送伪造的TCP重置包（RST）中断HTTP连接，特别针对80端口的明文流量。当HTTP请求头（如Host: www.google.com ）包含敏感关键词时，GFW向通信双方注入RST包，迫使连接终止。

此方案的原理为：用户的浏览器需要服务器建立TCP连接后，再开始发送数据。但是这个过程并不都是加密的HTTPS流量，最初的TLS握手阶段（比如 Client Hello 消息）是明文的。这个握手信息中包含了 SNI（服务器名称指示），明文写着你要连接的网站，如：www.google.com

一旦识别出敏感关键词，GFW会立即行动。伪造两个TCP RST包让浏览器与服务器终止连接。这就是一种典型的中间人攻击，巧妙利用了TCP协议的设计弱点。但最新的ECH（Encrypted Client Hello）技术可以对SNI也进行加密，使得GFW在TLS握手阶段也无法判断你访问的具体域名，从而无法触发RST攻击。

深度包检测（DPI）#

DPI是GFW的核心技术，可分析数据包的payload（内容部分），识别敏感关键词、协议特征或流量模式。即使是加密流量，GFW也能通过TLS握手特征等”流量指纹”推断内容，并在检测到敏感信息时重置连接。例如以OpenVPN为代表的传统VPN技术，因其明显的协议特征，就被大规模地识别和干扰。此技术广泛应用于HTTP、VPN和部分加密协议的监控。

主动攻击#

全球云服务厂商Cloudflare在《轰动一时的 DDoS 攻击》一文中对此次事件进行了介绍。在2015 年 3 月，GitHub 遭受了一起当时史上最大规模的 DDoS 攻击。经查此次DDoS流量源于中国，并专门针对两个旨在绕过违法中国法律法规的GitHub项目。攻击目的是试图强迫 GitHub 取消这些项目。

此时的攻击手段非常值得关注，GFW通过劫持所有用户的流量，将一段JavaScript代码注入了所有访问百度的用户的浏览器，进而形成攻击流量。甚至使用百度分析服务的站点也被注入该恶意代码，代码导致被感染的浏览器向目标 GitHub 页面发送大量 HTTP 请求。

这种国家级的ddos攻击手段，被称为“大炮” (The Great Cannon)。这意味着GFW不仅仅拥有防御能力，还具备在全球网络中发起主动攻击的能力。