GFWの開発費は、60億人民元(日本円にして約743億円)。金盾計画全体では64億人民元(約800億円)にもおよぶ[30]。
このシステムの開発、運用には多くの多国籍企業が関わったとされる。Cisco(シスコ)、モトローラ、オラクル(当時はサン・マイクロシステムズ)、アルカテル(当時はノーテルネットワークス)、Oath(オース)(当時はAOL)、マカフィー(当時はネットワークアソシエイツ)、マイクロソフトなどアメリカ国家安全保障局(NSA)と関係の深いアメリカ合衆国のIT大手企業の名前が挙がっており、米国内でも問題にされていた[31]。元NSAのエドワード・スノーデンは完全なインターネット通信の監視システムを構築している中国政府を調査した際に米国政府も同様にインターネット通信の傍受を行っていたことを知ったことが国際的監視網の告発のきっかけになったとしている[32][33]。 GFWはIPアドレスがルーティングされないことでコンテンツをブロックする。ファイアーウォールとプロキシーサーバーで構成されている。また、特定のサイトがリクエストされた際にDNSスプーフィングをブラックリスト方式で行う事ができる上、政府が体系的にインターネット検閲に関与していないように回線故障に見せかける[34] 。カリフォルニア大学およびニューメキシコ大学の研究者は、禁止されたコンテンツがブロックされずに複数のルーターまたはシステム全体を通過できる場合があるため、検閲システムは本当のファイアーウォールではないと述べた[35]。検閲に一般的に使用されるいくつかの技術の詳細は以下のとおり[36]。 方法説明
ブロッキング技術
概要
IP範囲ブロック ブラックホール
GFW はあるIP範囲リストを保持し、定期的にメンテナンスしている。この範囲にあるIPアドレス宛のトラフィックパケットは発信者に通知することなく廃棄される (ブラックホール
化)。プロバイダーによってパケット廃棄の表現は差異が見られるが[37]、共通するのはMPLSノードを通過するとパケットがドロップされることである。これは、中国国内のバックボーンで集中的に運用されている。このブロックリストはLDPを使用してメンテされる可能性が高いことが示唆されている。
このIP範囲ブロックリストは Facebook ,Twitter and Dropbox ASNなどサイトが含まれている。
膨大の量でかつ日々更新が必要なブロックリストを維持することの複雑さと、CDNを使用するインターネットサービスには対処しにくいことが証明されているため、通常は最後の手段として使用され、他のブロッキング方法が優先的に使用される。(QoSに基づくブロッキングなど)。
IPアドレスによる封鎖はVPN以外の回避手段が殆どなく、一番レベルが高い封鎖手段であり、中国にとって余程の都合が悪いサイトに限って使用されると考えられている。
DNSスプーフィング, フィルタリングとリダイレクトGFWの一部である詐欺DNSサーバーはDNSハイジャックで間違ったIPアドレスを返す[38] 。
いくつの研究はこのフィルタリングはキーワードに基づくものと示した。[39]
検閲システムはおそらく2つのリストを維持している:禁止するドメイン名のブラックリストと、許可するドメイン名のホワイトリスト。 ワイルドカード" ∗ {\displaystyle *} "を使用する可能性もある。
禁止されているWebサイトの例には、「greatfire.org」または「*falungong*」、ホワイトリストに登録されたWebサイトの例には「developer.android.google.cn」がある。
キーワードブラックリスト/ホワイトリストは複数の中国インターネットプロバイターで共有しされて、集権的に管理されていると考えられている。
外国のDNSサーバー (Google Public DNS / 8.8.8.8 など) は中国国内で正しく機能している[40][41]が、これらのDNSサーバーもハイジャックの対象となる。すべてのDNSリクエストはDNSサーバーに到達するが、要求が禁止キーワードに一致すると、GFWは偽のDNS応答を入れて、正確なDNSサーバーが応答する前に誤った応答を行う。
2015年から、ブラックホールの範囲内でブロックされるドメインへのアクセスリクエストはランダムのIPアドレスが返される[42]
典型的な回避方法はHosts fileを修正する、Webブラウザーでドメイン名の代わりにIPアドレスを入力する、DNS over TLS / HTTPSを使用などがある。
透過プロキシによるURLフィルタリングGFWでは、Webトラフィックをフィルタリングする透過プロキシーが作動している。
これらのプロキシーは、リクエストされたURI、 "Host"ヘッダー、およびWebページのコンテンツ(HTTPリクエストの場合)、またはServer Name Indication HTTPSリクエストの場合)をスキャンしてキーワードを探す。[43]
HTTPリクエストのPOSTデータを検閲できない、不正なHTTPリクエストを検閲できないなど、これらのプロキシーに複数の制限があることが調査により判明している。[44]
また、webSocketのような新しいプロトコルも同様である。
DNSフィルタリングと類似、この方法もキーワードに基づいて作動する。
封鎖キーワードはずっと同じものではない、2019年では、透過プロキシーを使ってwikipedia.orgへのアクセスはブロックされた。
サーバー名表示の暗号化はこのフィルタリング方法をするためにも使用でき、 IETFによって現在開発中である。[45]
QoSフィルタリング
2012年以降、GFWは機械学習を使用して、トラフィックの特徴に基づいて「学習・フィルタリング・ブロック」することができた。[46]
この技術は最初からVPNをブロックするために開発された技術で、すでにGFWのシステムの標準機能の一部になっている。GFWが持つ全部のトラフィック分析用ユニットをミラーリングで機能する(ネットワークタップを使用)。分析ユニットは、各宛先IP毎に、接続がどれくらい疑わしいかを表す点数に算出している。この点数によって、パケットを廃棄したり、接続を遅くしたりする。トラフィックを極端に遅くすることにより、クライアント側でタイムアウトになるため、効果的にブロックすることができる。
GFWの分析システムは、サイドチャネル(パケットのサイズなど)を使用して、接続が疑わしいかどうかを推定していると考えられている[47]。トラフィックパターン(SSHトンネリング、VPN、Torなどのプロトコル)を検出し、暗号化されたトラフィック(SSLトンネルを介したHTTPSなど)のパケットの情報量を測定することができる。