一.網路分層-OSI

OSI意為開放式系統互聯，國際標準組織（國際標準化組織）制定了OSI（Open System Interconnection）模型，這個模型把網路通信的作業分為7層,分別是物理層,資料鏈路層,網路層,傳輸層,會話層,表示層和應用層，1至4層被認為是低層，這些層與資料移動密切相關，5至7層是高層，包含應用程式級的資料，每一層負責一項具體的作業，然后把資料傳送到下一層，

二.網站訪問程序

1.域名決議

域名決議是把域名指向網站空間IP，讓人們通過注冊的域名可以方便地訪問到網站的一種服務，IP地址是網路上標識站點的數字地址，為了方便記憶，采用域名來代替IP地址標識站點地址，域名決議就是域名到IP地址的轉換程序，域名的決議作業由DNS服務器完成，
域名決議也叫域名指向、服務器設定、域名配置以及反向IP登記等等，說得簡單點就是將好記的域名決議成IP，服務由DNS服務器完成，是把域名決議到一個IP地址，然后在此IP地址的主機上將一個子目錄與域名系結，
互聯網中的地址是數字的IP地址，域名決議的作用主要就是為了便于記憶，

當瀏覽器拿到一個域名（比如訪問百度：https://www.baidu.com/），首先通過域名決議獲得其IP地址（202.108.22.5），域名與IP地址存在映射關系，

域名決議層級（優先級）：

1. 瀏覽器快取（短時）

流覽器快取（Browser Caching）是為了節約網路的資源加速瀏覽，瀏覽器在用戶磁盤上對最近請求過的檔案進行存盤，當訪問者再次請求這個頁面時，瀏覽器就可以從本地磁盤顯示檔案，這樣就可以加速頁面的閱覽，

3. 本地DNS快取

域名系統（英文：Domain Name System，縮寫：DNS）是互聯網的一項服務，它作為將域名和IP地址相互映射的一個分布式資料庫，能夠使人更方便地訪問互聯網，DNS使用UDP埠53，當前，對于每一級域名長度的限制是63個字符，域名總長度則不能超過253個字符，

3. hosts檔案

Hosts是一個沒有擴展名的系統檔案，可以用記事本等工具打開，其作用就是將一些常用的網址域名與其對應的IP地址建立一個關聯“資料庫”，當用戶在瀏覽器中輸入一個需要登錄的網址時，系統會首先自動從Hosts檔案中尋找對應的IP地址，一旦找到，系統會立即打開對應網頁，如果沒有找到，則系統會再將網址提交DNS域名決議服務器進行IP地址的決議，
需要注意的是，Hosts檔案配置的映射是靜態的，

4. 網卡配置資訊里的DNS服務器以及DNS根域名服務器

5. 通過UDP協議（傳輸層）向DNS服務器請求ip地址，DNS服務器域名系統決議（應用層）決議后回傳正確的ip地址

2.發送HTTP請求

超文本傳輸協議（Hyper Text Transfer Protocol，HTTP）是一個簡單的請求-回應協議，它通常運行在TCP之上，它指定了客戶端可能發送給服務器什么樣的訊息以及得到什么樣的回應，請求和回應訊息的頭以ASCII形式給出；而訊息內容則具有一個類似MIME的格式，這個簡單模型是早期Web成功的有功之臣，因為它使開發和部署非常地直截了當，

TCP和UDP協議是TCP/IP協議的核心， TCP 傳輸協議：TCP 協議是一TCP (Transmission Control Protocol)和UDP(User Datagram Protocol)協議屬于傳輸層協議，其中TCP提供IP環境下的資料可靠傳輸，它提供的服務包括資料流傳送、可靠性、有效流控、全雙工操作和多路復用，通過面向連接、端到端和可靠的資料包發送，通俗說，它是事先為所發送的資料開辟出連接好的通道，然后再進行資料發送；而UDP則不為IP提供可靠性、流控或差錯恢復功能，一般來說，TCP對應的是可靠性要求高的應用，而UDP對應的則是可靠性要求低、傳輸經濟的應用

因為HTTP通常運行在TCP協議之上，所以在發送HTTP請求之前需要建立TCP連接，

TCP三次握手

三次握手協議指的是在發送資料的準備階段，服務器端和客戶端之間需要進行三次互動：第一次握手：客戶端發送syn包(syn=j)到服務器，并進入SYN_SEND狀態，等待服務器確認；第二次握手：服務器收到syn包，必須確認客戶的syn（ack=j+1），同時自己也發送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態；第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK(ack=k+1)，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手，連接建立后，客戶端和服務器就可以開始進行資料傳輸了，

用C表示客戶端，S表示服務器，三次握手如下：
C->S
S知道C發送功能正常
S知道S接收功能正常
S->C
C知道C發送功能正常
C知道C接收功能正常
C知道S接收功能正常
C知道S發送功能正常
C->S
S知道S發送功能正常
S知道C接收功能正常
反復確認無異后即可建立通信

3.資料包傳輸

互聯網資料傳送業務是指有相關權限的經營者（移動，電信，聯通三大ISP）通過組建互聯網骨干網和城域網并利用互聯網國際出入口提供的互聯網資料傳送業務，無國內通信設施服務業務經營權的運營者不得建設國內傳輸設施，應租用有相應經驗權運營者的國內傳輸設施，

互聯網服務提供商（Internet Service Provider），簡稱ISP，指的是面向公眾提供下列資訊服務的經營者：一是接入服務，即幫助用戶接入Internet；二是導航服務，即幫助用戶在Internet上找到所需要的資訊；三是資訊服務，即建立資料服務系統，收集、加工、存盤資訊，定期維護更新，并通過網路向用戶提供資訊內容服務，

資料包的傳輸主要依托于幾家國有運營商建立的龐大的骨干網和域域網，

不同ISP建立的不同骨干網之間也有資料交換中心，使得資訊和資料包可以自由的從全國任何地方流向其他地方，
而資料包在龐大的“網上公路”迷路的可能性，在各個級別的網路（局域網->域域網->廣域網）中，分布著無數路由節點，每一張骨干網都有自己負責的路由群組和節點，整個群組統稱為as自治系統（Autonomous system）

每一個骨干網管理的as自治系統都經過名為互聯網號碼分配局的國際機構分配唯一識別代碼，例如，中國電信163骨干網的as自治系統編號為AS4134，每一張骨干網都有內部路由協議，每一個節點都在依據某種規定互相交換他們所連通的ip地址資訊，作為資料包在“旅行”程序中的指路人，而全國性的骨干網之間也依靠外部路由協議互相交換它們所掌握的“服務器地圖“，典型的有BGP協議，

邊界網關協議（BGP）是運行于 TCP 上的一種自治系統的路由協議， BGP 是唯一一個用來處理像因特網大小的網路的協議，也是唯一能夠妥善處理好不相關路由域間的多路連接的協議， BGP 構建在 EGP 的經驗之上， BGP 系統的主要功能是和其他的 BGP 系統交換網路可達資訊，網路可達資訊包括列出的自治系統（AS）的資訊，這些資訊有效地構造了 AS 互聯的拓撲圖并由此清除了路由環路，同時在 AS 級別上可實施策略決策，

4.傳輸資料，關閉連接

二.GFW原理

防火長城（英語：Great Firewall，常用簡稱：GFW，也稱中國國家防火墻，俗稱墻、網路長城、功夫網等等），是我國在其互聯網邊界審查系統（包括相關行政審查系統）的統稱，此系統起步于1998年，

1.基于UDP協議的域名決議服務劫持/DNS快取污染

GFW會對所有經過骨干出口路由的基于UDP的DNS域名查詢請求進行Intrusion Detection Systems（入侵檢測系統）檢測，一旦發現處于黑名單關鍵詞中相匹配的域名查詢請求，防火長城作為中間設備會向查詢者回傳虛假結果，
也就是說瀏覽器無法查詢到域名對應的正確IP，也就無法對其進行訪問，資料包會傳輸到虛假的IP，從而沒有回應，

2.IP地址或傳輸層埠人工封鎖——BGP路由劫持/“路由黑洞”

BGP劫持就是偽造位于主干道的路由節點的路由表，將其根本沒有或者不可能連通的ip地址匯入路由表，誘騙鄰近節點相信該節點擁有這一ip地址的訪問通道，GFW通過人工方式維護一個針對特定IP地址封鎖的串列，從而實作特定ip地址的路由欺騙，這樣一個節點我們將其稱之為“路由黑洞”，

3.TCP RST重置

旁路監聽的方式一般是將主交換機的資料鏡像到控制系統，控制系統可以采用libpcap捕獲資料包，在這種情況下要阻斷tcp連接的建立只要在監聽到第一次握手的時候，控制系統偽造服務器發起第二次握手回應，就能阻斷客戶端與服務器連接的建立，因為我們的系統在內網，發出的報文肯定比服務器快，這樣客戶端接收到我們偽造的報文以后會回應第三次握手，當服務器真正的報文到達的時候客戶端將不再處理，此時客戶端再向服務器請求資料，因為seq號和ack號出錯，服務器不會受理客戶端的請求，

4.協議檢測→根據流量協議拆包→關鍵詞匹配→封鎖

HTTP協議有非常明顯的特征，可以輕易被GFW系統檢測和識別，GFW進而依據HTTP協議規則對資料包進行拆解，由于其表現為明文，所以可以直接進行關鍵詞匹配，例如，從HTTP的GET請求中取得請求的URL，然后GFW拿到這個請求的URL去與關鍵字做匹配，比如查找Twitter是否在請求的URL中，而關鍵字匹配使用的依舊是一些高效的正則運算式算，

5.深度包檢測（機器學習識別翻墻流量→直接阻斷）

對于混淆流量和非傳統加密協議，GFW正在使用大家耳熟能詳的“人工智能”技術，將這些各種各樣難以判斷和識別的翻墻流量與正規的政企跨境流量相區分開來，

6.DDoS攻擊

分布式拒絕服務攻擊(英文意思是Distributed Denial of Service，簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊，由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個，

著作權說明
名詞解釋參考百度百科
部分內容轉載自文章@麗麗-風暴烈酒