跳转到内容

防火长城:修订间差异

本页使用了标题或全文手工转换
维基百科,自由的百科全书
以互动方式浏览历史
←上一版本下一版本→
删除的内容 添加的内容
可视化wikitext
Techyan留言 | 贡献
33,943次编辑
撤销Luyuliang1234讨论)的版本58095944:侵犯版权
标签撤销 移除或更換文件
第33行: 第33行:


部分网站采用[[內容傳遞網路|内容分发网络]](CDN)向用户发布内容,另外一些网站则通常对不同地域的用户返回多个IP地址([[多播]])或经常变更IP地址。针对这些网站,防火长城通常会采用此种方法进行封锁。特别地,当境外用户通过境内域名解析服务器进行DNS查询时,返回结果也可能被污染。
部分网站采用[[內容傳遞網路|内容分发网络]](CDN)向用户发布内容,另外一些网站则通常对不同地域的用户返回多个IP地址([[多播]])或经常变更IP地址。针对这些网站,防火长城通常会采用此种方法进行封锁。特别地,当境外用户通过境内域名解析服务器进行DNS查询时,返回结果也可能被污染。

[[File:随机解析.png|thumb|在访问被封锁网站时,随机地指向境外的有效IP,例如在访问Pornhub网站时随机解析到Facebook服务器上]]
这种DNS污染的方式曾经向中国大陆以外的用户造成影响。2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。<ref name="auto">{{cite web |url=http://arstechnica.com/tech-policy/news/2010/03/china-censorship-leaks-outside-great-firewall-via-root-server.ars |title=China censorship leaks outside Great Firewall via root server |date=2010-03 |accessdate=2011-05-19 |publisher=Ars Technica |archive-url=https://web.archive.org/web/20110622092029/http://arstechnica.com/tech-policy/news/2010/03/china-censorship-leaks-outside-great-firewall-via-root-server.ars |archive-date=2011-06-22 |dead-url=no }}</ref>2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过[[中国电信]]的二次传播,扩散到了整个国际互联网,波及到了[[AT&T]]、[[Level3]]、[[德国电信]]、{{tsl|en|Qwest}}和[[西班牙电信]]等多个国家的大型ISP。<ref>{{cite web |url=http://www.pcworld.com/article/193849/a_chinese_isp_momentarily_hijacks_the_internet.html |title=A Chinese ISP Momentarily Hijacks the Internet |date=2010-04-09 |accessdate=2011-05-19 |publisher=PC World |archive-url=https://web.archive.org/web/20110622063128/http://www.pcworld.com/article/193849/a_chinese_isp_momentarily_hijacks_the_internet.html |archive-date=2011-06-22 |dead-url=no }}</ref>
这种DNS污染的方式曾经向中国大陆以外的用户造成影响。2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。<ref name="auto">{{cite web |url=http://arstechnica.com/tech-policy/news/2010/03/china-censorship-leaks-outside-great-firewall-via-root-server.ars |title=China censorship leaks outside Great Firewall via root server |date=2010-03 |accessdate=2011-05-19 |publisher=Ars Technica |archive-url=https://web.archive.org/web/20110622092029/http://arstechnica.com/tech-policy/news/2010/03/china-censorship-leaks-outside-great-firewall-via-root-server.ars |archive-date=2011-06-22 |dead-url=no }}</ref>2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过[[中国电信]]的二次传播,扩散到了整个国际互联网,波及到了[[AT&T]]、[[Level3]]、[[德国电信]]、{{tsl|en|Qwest}}和[[西班牙电信]]等多个国家的大型ISP。<ref>{{cite web |url=http://www.pcworld.com/article/193849/a_chinese_isp_momentarily_hijacks_the_internet.html |title=A Chinese ISP Momentarily Hijacks the Internet |date=2010-04-09 |accessdate=2011-05-19 |publisher=PC World |archive-url=https://web.archive.org/web/20110622063128/http://www.pcworld.com/article/193849/a_chinese_isp_momentarily_hijacks_the_internet.html |archive-date=2011-06-22 |dead-url=no }}</ref>


2020年2月11日 (二) 16:30的版本

  GFW」重定向至此。关于其他用法,请见「GFW (消歧义)」。
  提示:此条目的主题不是金盾工程或從用戶端管制網路綠壩·花季護航
中华人民共和国
中华人民共和国国徽
中华人民共和国政府与政治
系列条目
执政党
中国共产党
国家机构
国家权力机关
国家元首机关
国家行政机关
国家军事机关
国家监察机关
国家审判机关
国家检察机关
制度与政策
国家法律体系
統一戰線·港澳台政策
外交·国安·宣传

防火长城[1](英語:Great Firewall,常用简称:GFW,中文也称中国国家防火墙[2],中国大陆民众俗称网络长城功夫网[3]等等),是对中华人民共和国政府在其互联网边界审查系统(包括相关行政审查系统)的统称。此系统起步于 1998 年[4],其英文名称得自于 2002 年 5 月 17 日 Charles R. Smith 所写的一篇关于中国网络审查的文章《The Great Firewall of China[5],取與 Great Wall长城)相谐的效果,简写为 Great Firewall,缩写 GFW[6]。隨着使用的拓广,中文「墙」和英文「GFW」有时也被用作动词,网友所說的「被墙」即指网站内容被防火长城所屏蔽或者指服务器的通讯被封阻,「翻墙」也被引申为突破网络审查浏览中国大陆境外被屏蔽的网站或使用服务的行为。

简介

中国国家防火墙之父方滨兴

一般情况下,中国国家防火墙,即防火长城,主要指中国政府用于过滤互联网国际出口上内容的软硬件系统的集合。例如中國政府將查獲的特定網點阻斷,造成大家所熟知的連線錯誤現象,因此防火牆不是中國特有的一個專門單位,是由分散部門的各服务器和路由器等设备,加上相关公司的应用程序所构成,是一個跨軍民合作的大型資訊管制系統,世界其他一些國家也存在網路审查,不過其审查对象、规模、执行主体等均與中國的審查機制有著相當大的不同(参见:互联网审查),例如僅止於金融洗錢、國際詐騙等犯罪行為,或者仅审查儿童色情相关。而防火長城的作用是监控所有经过国际网关的通讯,对认为不符合中共官方要求的传输内容,进行干扰、阻断、屏蔽。由於中國網絡審查廣泛,中國國內含有「不合適」内容的網站,會受到政府直接的行政干預,被要求自我审查、自我监管,乃至關閉,故防火長城主要作用在於分析和過濾中國境外網絡的資訊互相存取。中國工程院院士、北京郵電大學前校長方滨兴是防火长城关键部分的首要设计师[2][4][7][8],被称为中国国家防火墙之父[9]

然而,防火长城对网络内容的审查是否没有限制和不违反言论自由,一直是受争议的话题,官方說辭也相當籠統。有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[10]。而中共當局一直沒有正式對外承認防火長城的存在[來源請求],如当有记者在外交部新闻发布会上问及互联网封锁等问题的时候,发言人的答案基本都是「中国政府鼓励和支持互联网发展,依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。」方滨兴曾在访问中被问及防火长城是如何运作的时候,他指这是「国家机密」。不過2015年1月與官方有密切關聯的《环球时报》则发布报道曾公开宣扬其存在。[11]

在中國大陸民眾內部,由於內部蓬勃的互聯網企業,牆的存在感也逐漸被忽略,經過18個月的調查研究後,北京大學斯坦福大學兩名經濟學家在2018年得出了結論,中國大學生對於獲取未經審查的政治敏感信息漠不關心。他們給北京兩所大學的近1000名學生提供了能夠繞過審查的免費工具,但發現近半數學生並沒有使用它。在那些使用了的學生中,幾乎沒人花時間瀏覽遭到屏蔽的外國新聞網站。[12]

中國还有一套公开在公安部辖下的网络安全项目——金盾工程,其主要功能是处理中国公安管理的业务,涉外饭店管理,出入境管理,治安管理等,所以金盾工程和防火长城的关系一直没有明确的认定。

主要技术

域名解析服务缓存污染

主条目:域名服务器缓存污染

防火长城對所有经过骨干出口路由的位于TCPUDP的53端口上的域名查询请求进行IDS检测,一經發現处于黑名單關鍵詞中相匹配的域名查詢請求,防火长城作为中间设备會向查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者无法验证返回结果的正确性,而TCP协议则可以使用TCP连接重置来中断连接来阻止获得返回结果。DNSSEC技术为DNS解析服务提供了解析数据验证机制,理论上可以有效抵御劫持。此外,DNSCryptDoTDoH等方法通过将DNS请求封装于安全连接内,以保护DNS请求中的数据不被中间传输设备篡改。

从2002年左右开始,防火长城在国内进行域名服务器缓存污染。作为DNS系统的组成部分,全球一共有13组根域名服务器(Root Server)。2010年中国大陆有F、I、J這3个根域DNS镜像[13],但曾因为多次DNS污染外国网络,威胁互联网安全和自由,北京的I根域服务器曾被断开与国际互联网的连接。[14][15]目前已恢复服务。[16]

部分网站采用内容分发网络(CDN)向用户发布内容,另外一些网站则通常对不同地域的用户返回多个IP地址(多播)或经常变更IP地址。针对这些网站,防火长城通常会采用此种方法进行封锁。特别地,当境外用户通过境内域名解析服务器进行DNS查询时,返回结果也可能被污染。

这种DNS污染的方式曾经向中国大陆以外的用户造成影响。2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。[17]2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&TLevel3德国电信Qwest英语Qwest西班牙电信等多个国家的大型ISP。[18]

2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大面积的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问,其中甚至包括不存在的域名,而Google为各国定制的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡访问的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。有网友推测Google被大面积阻碍连接是因为中共正在召开的十八大[19]

2014年1月21日下午三点半,中国网站的.com.net.org域名解析不正常,网站被错误地解析至65.49.2.178,该IP位于美国北卡罗来纳州的Dynamic Internet Technology,即自由门的开发公司。据推测,可能是操作失误造成的事故。[20][21]

2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[22]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[23]

当前大部分网站污染方式已恢复为解析到固定的无效IP,但小部分网站和新疆地区访问Google时仍会污染至有效IP(如Google中国大陆境内的服务器IP)。

IP地址或传输层端口封锁

针对TCP和UDP连接的封锁

在早期技术实现中,会使用访问控制列表(ACL)技术来封锁特定的IP地址,由此延伸可以封锁传输层协议(TCP或UDP)的特定目的端口的网络流量。不过由于大量的ACL匹配会导致网络性能不佳,现在主要是采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。

2011年3月,防火长城曾经对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[24]Google指中国这样的封锁手法高明,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[25][26]

2014年5月27日起,几乎所有Google服務的80和443端口被封鎖。[27]2014年12月26日起,Google数段IP被路由扩散封锁,直接导致GMAIL客戶端所用的IMAP/SMTP/POP3端口也被封鎖。[28][29]

一般情况下,防火长城对于中国大陆境外的「非法」网站会采取独立IP封锁技术,然而部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网站用户一同遭殃,就算是「内容健康、政治无关」的网站,也不能幸免。其中的内容可能并无不當之處,但也不能在中国大陆正常访问。所以基于路由封锁的方法现在主要用于针对自主拥有大量连续地址段的特定网络服务商,例如Google、Twitter、Facebook等;对于内容分发网络(CDN)的地址段可能不会采用这种地址封锁的方法,以避免误封;基于ACL策略可能会在当地的互联网服务商(ISP)中使用,同时用于控制过度往网络发送数据包的控制。

针对UDP连接的干扰

针对使用UDP连接的网站,在保证IP未被路由扩散技术封锁的情况下,使用HTTP/3QUIC传输协议)的UDP连接可以有效避开防火长城的审查。但从2019年3月起,出现针对UDP的连接干扰。(错误提示:ERR_QUIC_PROTOCOL_ERROR),目前防火长城仍然无法对UDP连接进行针对性阻拦,但防火长城可以干扰其连接,使得目前所有利用 UDP 翻墙的手段都可能会受到干扰,特别是在针对 QUIC 方面会阻断 UDP 443 端口的连接。[30]

TCP连接重置

主条目:TCP重置攻击
Firefox的「連線被重置」錯誤訊息。当碰触到GFW設定的关键词后(如使用Google等境外搜索引擎),即可能马上出现這種畫面。

TCP重置是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。

防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息,使连接双方认为对方终止了连接而自行关闭连接,其效率被认为比单纯的数据包丢弃更有效,因为后者会令连接双方认为连接超时而不断重试建立连接。

有关技术已被申请为发明专利。

本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP协议连接的:客户端信息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP封包,找到该TCP封包所属TCP连接的连接信息,根据所抓取的TCP封包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP封包为需要阻断的TCP封包,则根据更新后的、该TCP封包所属TCP连接的连接信息生成RST封包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断非法TCP连接。[31]

外部视频链接
video icon Observations in mainland China (Chinese)YouTube
video icon 2012年谷歌搜索中国大陆之体验(中文版)优酷网

一般这种攻击方法需要结合相应的检测方式来实施。

针对HTTP协议的关键字阻断

2002年左右开始,中国大陆研发了一套关键字过滤系统。這個系統能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求数据包的標頭(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST封包(Reset)干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(如「falun」等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。

2010年3月23日,Google宣布关闭中国服务器(Google.cn)的网页搜索服务,改由Google香港域名Google.com.hk提供后,由于其服务器位于大陆境外必须经过防火长城,所以防火长城对其进行了极其严格的关键词审查。一些常见的中共高官的姓氏,如“胡”、“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“毛”、“江”、“令”,及常见姓氏“王”、“刘”、“彭”等简体中文单字,当局实行一刀切政策全部封锁,即“学习”、“温泉”、“李白”、“圆周率”也无法搜索,使Google在中国大陆境内频繁出现无法访问或搜索中断的问题。2011年4月,防火长城开始逐步干扰Google.com.hk的搜索服务。2012年10月下旬起,防火长城使用更巧妙方式干扰Google搜索,部分用户在点击搜索结果链接跳转时一直被卡住,一直卡了6分钟之后客户端发送RST重置,然后页面一片空白。原因是链接跳转使用的是HTTP,用HTTPS跳转无影响。[32]

这种阻断可以双向工作。在中华人民共和国境外访问位于境内的网站时,如果在数据包头部出现部分关键字,连接也可能会被阻断。两者的关键词列表并不完全相同,比如在境外使用知网搜索“法轮功”连接会被阻断,并且90秒无法访问,搜索“六四”则不会,在中华人民共和国境内访问境外网站时两者都会被阻断。

由于HTTPS采取加密传输,关键词阻断无法对网页传输造成影响。但由于身份认证证书信息是明文传输,因此阻断仍然是有可能的。

后来Google等网站开始采用HTTPS传输数据,针对HTTP协议的关键字阻断对相当一部分网站已经失去作用。

针对TLS的证书传输检测

由于TLS在握手期间,服务器传输站点证书时同样也是明文传输的,防火长城可以对证书的信息进行检测,从而是否需要被拦截的站点而中断TCP连接。

自2017年9月19日起,防火长城开始启用CA证书检测,若经过防火长城时,一旦探测到相关域名如:GoogleFacebookYoutubeTwitterWhatsApp的CA证书,对应IP通信会被拦截切断。若使用SNI服务器IP反向代理部分域名也会被拦截(网站会提示ERR_CONNECTION_CLOSED 意外终止了连接),但并不是全部IP都会被拦截,可用IP极少。拦截只针对经过出口路由上。[來源請求]

从TLS 1.3开始,ServerHello之后的握手信息,包括站点证书,也会被加密后传输,一般可以认为能防止对证书信息的检测。[33][34]

针对TLS的SNI阻断

虽然TLS能保证全程内容加密而且发现连接被干扰时警告并中断,但是对于SNI信息仍然是未加密的,仍可以被识别出访问域名。从2018年8月24日开始,开始出现基于SNI的检测机制,维基百科部分项目、日本亚马逊等启用https服务的网站同样被封锁。[35]

eD2k协议的连接干扰

从2011年开始,防火长城开始对所有境外eD2k服务器进行审查。当境内用户使用eD2k协议例如eMule使用模糊协议连接境外服务器时会被无条件阻断,迫使eMule使用普通方式连接境外服务器;同时防火长城对所有普通eD2k连接进行关键字审查,若发现传输内容含有关键字,则马上切断用户与境外服务器的连接,此举阻止了用户获取来源和散布共享文件信息,从而阻碍使用eD2k协议软件的正常工作。[36][37]

其他

破网软件的反制

因为有防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。

同时根据中国大陆网民反映,防火长城现已有能力对基于PPTPL2TP协议的VPN连接进行监控和封锁,这使得大陆网民突破防火长城的封锁变得更加困难。2015年1月起,部分国外VPN服务在中国大陆无法正常使用,这些VPN使用的是L2TP/IPSecPPTP协议。[38]

对破网软件加密流量的探测

防火长城通过提取加密流量数据包,分析其特征,即可对破网软件中的加密流量进行精准识别,并可进一步进行阻断;[39][40]有研究表明防火长城可基于卷积神经网络Shadowsocks流量进行探测。[41]

V2ray等软件提供了基于WebSocket与TCP TLS的加密方式,能够将加密流量与HTTPS等协议的流量进行混淆。相比没有任何握手特征的加密协议相比,辨识并识别这些加密流量对互联网中间设备来说更加困难。[來源請求]

对Tor的刺探

Tor项目的研究人员则发现防火长城会对各种基于TLS加密技术的连接进行刺探[42],刺探的类型有两种:

  • “垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[43],目的是在用户建立加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。
  • 针对Tor,当中国的一个Tor客户端与境外的网桥中继建立连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。

间歇性完全封锁

间歇性封锁国际出口

从2011年5月6日起,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSNiTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[44]。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[45]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司「有动机」去阻碍用户访问国外网站。一位工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[46][47]

境内骨干路由器间歇性阻断

2012年10月下旬,Google位于北京的服务器被国家级骨干路由器长时间干扰连接,包括中国大陆境内用户在内访问时返回“连接超时”错误,造成大量基于Hosts技术利用Google北京服务器作为反向代理访问Google服务的用户和软件无法正常使用,例如GoAgent。测试指出数据包经过部分国家级骨干路由器时被选择性丢弃,造成与服务器连接的丢包率飙升,甚至有部分用户反映被完全阻断与服务器之间的连接。

深度包檢測

深度封包檢測(Deep packet inspection,DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的报文检测,DPI可對报文内容和协议特征进行检测。

在中國大陸,DPI一度被ISP用於追踪用戶行為以改善其廣告推送業務的精準性,而最近則被國外視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[48]。基於必要的硬件設施、適宜的檢測模型及相應的模式匹配算法,防火長城能夠精確且快速地從實時網絡環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。

華為公司曾被媒體指責涉及向伊朗政府提供DPI所依賴的硬件支持以幫助後者開展網絡審查工作[49]

针对IPv6协议的审查

IPv6(互联网通信协议第6版)是被指定为IPv4继任者的下一代互联网协议版本。在IPv4网络,当时的网络设计者认为在网络协议栈的底层并不重要,安全性的责任在应用层。但是即使应用层数据本身是加密的,携带它的IP数据仍会泄漏给其他参与处理的进程和系统,造成IP数据包容易受到诸如信息包探测(如防火长城的关键字阻断)、IP欺骗、连接截获等手段的会话劫持攻击。虽然用于网络层加密与认证的IPsec协议可以应用于IPv4中,以保护IPv4网络层数据的安全,但IPsec只是作为IPv4的一个可选项,没有任何强制性措施用以保证IPsec在IPv4中的实施。因为防火长城是挂载在国家级骨干路由器的旁路设备,而网络数据传输必须知道数据包来源地与数据包的目的地才能完成路由转发,故在IPv4协议时代实施的针对IP地址封锁技术和特定IP地址端口封锁技术依然对IPv6有效。

方滨兴在他的讲话《五个层面解读国家信息安全保障体系》中曾经说道:「比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么。」[50]

自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接https://www.google.com.hk/几乎是每次连接均收到攻击,而其它连接例如https://ipv6.google.com/和https://accounts.google.com/也有受到攻击的报告,但攻击发生的機率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的google证书不同,顯示谷歌在中国教育网上受到中间人攻击(MITM attack)。[51][52]

现阶段防火长城已经具备干扰IPv6隧道的能力[53][來源可靠?]因为IPv6隧道在用户到远程IPv6服务器之间的隧道是建立在IPv4协议上的,因为数据传输分片的问题或者端点未进行IPSec保护的时候很有可能暴露自己正在传输的数据,让防火长城有可乘之机干扰切断连接。另外因为防火长城实行DNS污染,通过域名来访问IPv6服务器时可能也会因错误解析而无法访问。[來源請求]

IPv6大规模在国内普及后,防火长城随即跟进了其在IPv4上使用的封锁技术,使得使用IPv6绕过防火长城审查的难度大大增加。[來源請求]

电子邮件通讯的拦截

正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。也有網友根據防火长城會過濾進出境郵件的特性,尋找到防火长城部署的位置。[54]

2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[55],症状为:

  • 中国国内邮箱给国外域发信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 中国国内邮箱用户给国外域发信,对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。
  • 中国国内邮箱给国外域发信收到退信,退信提示「Connected to *.*.*.* but connection died.(#4.4.2)」
  • 国外域给中国国内邮箱发信时收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

对此,新浪的解释是「近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。」而万网客户服务中心的解释是「关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。」[56]

2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[57]12月30日,Gmail已在中国大陆境内恢复部分功能。[58][59]但Gmail网页版仍被屏蔽。

網路攻擊

参见:大炮 (中國網路審查)旁觀者攻擊

中華人民共和國从2015年3月开始,使用一种被称为“大炮”的網路攻擊攻击方案,对可能涉及违反审查要求的特定网站,进行分散式阻斷服務攻擊(DDoS)。[60][61][62]

其中2015年3月针对Github的攻击,通过包括劫持常见的网站工具脚本植入攻击代码、一些常见浏览器漏洞等方法,持续五天对Github网站进行攻击,导致网站全球访问速度缓慢。[63]中国政府否认有关指责。[64] [65]

硬件

据2010年的估计,防火长城可能拥有数百台曙光4000L服务器[66]

相关事件

主条目:中华人民共和国网络审查 § 案例

参见

中华人民共和国网络审查
突破网络审查(俗称“翻墙”、“破网”、“科学上网”、“番茄”)
相关主张与设施
相关人物

参考文献

引用

  1. ^ 只剩下门缝的VPN何去何从. 新华网. 北京商报. (原始内容存档于2018-12-16) (中文(简体)). 
  2. ^ 2.0 2.1 校长方滨兴:实施过滤计划慎用在线更新输入法. 人民网. 中国信息产业网. 2010-07-09 [2018-12-16]. (原始内容存档于2018-12-16) (中文(简体)). 
  3. ^ 环球时报:防火墙带给中国互联网哪些影响. 环球时报. 2015-01-28 [2015-01-28]. (原始内容存档于2015-01-31). 
  4. ^ 4.0 4.1 Great Firewall father speaks out. Global Times. [2011-02-18]. (原始内容存档于2011-02-25) (英语). 
  5. ^ (英文)Great Firewall of China页面存档备份,存于互联网档案馆),2008 年 1 月 30 日新增。
  6. ^ (简体中文)百度日本站被GFW屏蔽疑与色情内容有关 互联网档案馆存檔,存档日期2008-08-19.,人民网(有百度员工指出这是百度自我审查屏蔽内地用户,GFW 并没有封锁,详见南方人物周刊:百度搜不到的与索取到的页面存档备份,存于互联网档案馆))
  7. ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25]. (原始内容存档于2011-05-15) (中文(繁體)). 
  8. ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始内容存档于2013-07-21) (中文(中国大陆)). 
  9. ^ 存档副本. [2019-05-02]. (原始内容存档于2018-03-26). 
  10. ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13] 
  11. ^ 防火墙给中国互联网哪些影响:成就本土行业崛起. 环球网. 2015-01-28 [2015-04-13]. (原始内容存档于2015-04-13). 
  12. ^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30]. (原始内容存档于2018-08-30) (中文). 
  13. ^ (英文)Asia Pacific Root servers页面存档备份,存于互联网档案馆),亚太互联网络信息中心
  14. ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2011-02-10]. (原始内容存档于2011-05-11). 
  15. ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始内容存档于2011-11-24). 
  16. ^ Root Server Technical Operations Assn. [2014-01-25]. (原始内容存档于2017-08-24). 
  17. ^ China censorship leaks outside Great Firewall via root server. Ars Technica. 2010-03 [2011-05-19]. (原始内容存档于2011-06-22). 
  18. ^ A Chinese ISP Momentarily Hijacks the Internet. PC World. 2010-04-09 [2011-05-19]. (原始内容存档于2011-06-22). 
  19. ^ 我们的网络为什么这么卡. 2012-11-09 [2012-11-09]. (原始内容存档于2013-01-26). 
  20. ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始内容存档于2014-01-27). 
  21. ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始内容存档于2014-01-23). 
  22. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2015-03-22]. (原始内容存档于2015-04-03). 
  23. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2015-03-22]. (原始内容存档于2015-04-02). 
  24. ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始内容存档于2011-03-17). 
  25. ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20 [2015-01-27]. (原始内容存档于2015-10-04). (英文)
  26. ^ Google accuses China of blocking Gmail. 法新社. 2011-03-21 [2013-03-18]. (原始内容存档于2014-02-24). 
  27. ^ China Escalating Attack on Google. 紐約時報. 2014-06-02 [2018-08-08]. (原始内容存档于2014-07-14). (英文)
  28. ^ Gmail被中国完全屏蔽. [2014-12-29]. (原始内容存档于2015-01-03). 
  29. ^ 社评:中国出于安全考虑“封”Gmail不可信. [2014年12月30日]. (原始内容存档于2015年1月20日). 
  30. ^ Github. google.com.hk无法访问,可ping通. 
  31. ^ 专利号2009100850310, 《一种阻断TCP连接的方法和装置》, https://patents.google.com/patent/CN101902440A/zh页面存档备份,存于互联网档案馆), 2018-04-24查阅.
  32. ^ 防火墙可能采用了更巧妙的方式干扰Google搜索 http://it.solidot.org/article.pl?sid=12/10/31/0510237页面存档备份,存于互联网档案馆
  33. ^ Rescorla <ekr@rtfm.com>, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. [2019-07-17]. (原始内容存档于2019-06-03) (英语). 
  34. ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2019-07-17]. (原始内容存档于2019-07-17) (美国英语). 
  35. ^ Github. 一些实验,完成编辑(请仔细阅读说明和说明中给出的链接). (原始内容存档于2018-08-24). 
  36. ^ 翻墙OK »关于GFW审查eD2k协议的相关内容汇总. [2012-11-29]. (原始内容存档于2012-09-13). 
  37. ^ chengr28. 小盆友的可考证处:(In 2012-11-28)关于eD2k服务遭审查. [2012-11-29]. (原始内容存档于2013-11-06). 
  38. ^ 网易. 《环球时报》英文版:部分国外VPN服务在中国无法正常使用_网易财经. money.163.com. [2015-08-21]. (原始内容存档于2016-03-05). 
  39. ^ 一种数据包频度分析的网络代理加密流量特征提取方法, 2018-10-10 [2019-08-18] 
  40. ^ 一种代理上网行为识别与检测方法, 2018-03-15 [2019-08-18] 
  41. ^ 一种基于卷积神经网络的shadowsocks流量检测方法, 2018-06-04 [2019-08-18] 
  42. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. (原始内容存档于2012-01-13). 
  43. ^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17]. (原始内容存档于2011-11-18). 
  44. ^ 中国网警“修理”翻墙网民中科院也被牵连. RFI. 2011-05-18 [2011-05-18]. (原始内容存档于2011-05-21). 
  45. ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. RFA. 2011-05-12 [2011-05-18]. (原始内容存档于2011-05-14). 
  46. ^ Theories abound for overseas web access troubles. 环球时报. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-21). 
  47. ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-20). 
  48. ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. [2014-12-31]. (原始内容存档于2016-04-10). 
  49. ^ Special Report: How foreign firms tried to sell spy gear to Iran. Reuters. [2015-01-03]. (原始内容存档于2015-01-03). 
  50. ^ 方滨兴院士解读国家信息安全保障体系(转载). 中华人民共和国工业和信息化部. 2009年 [2011-03-21]. (原始内容存档于2011-05-11). 
  51. ^ 谷歌在中国教育网遭国家级中间人攻击. greatfire.org. 2014年9月4日 [2015年2月2日]. (原始内容存档于2015年3月27日). 
  52. ^ 知名网站遭遇SSL中间人攻击 手法很熟业务很忙. 2014年10月21日 [2015年2月2日]. (原始内容存档于2014年10月24日). 
  53. ^ (In 2012-11-20)关于近日IPv6隧道被阻断连接. 2012-11-08 [2012-11-08]. (原始内容存档于2013-11-06). 
  54. ^ 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因 - ChinaUnix.net
  55. ^ 无耻的GFW,测试GFW工作原理 - MDaemon Server - 邮件服务器-邮件系统-邮件技术论坛(BBS)页面存档备份,存于互联网档案馆),日期為2007年7月6日,有網友在此抱怨GFW的封鎖
  56. ^ (简体中文)万网关于海外邮件通信问题的进展通告
  57. ^ Gmail blocked in China. Reuters. 2014-12-29 [2014-12-29]. (原始内容存档于2019-07-13). 
  58. ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好? - 海外留学 - 人在海外 - 美国华裔教授专家网 ScholarsUpdate.com. scholarsupdate.hi2net.com. [2015-09-15]. (原始内容存档于2015-12-30). 
  59. ^ Gmail中国内地服务得以部分恢复. [2015-09-23]. (原始内容存档于2015-09-23). 
  60. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语). 
  61. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁體)). 
  62. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(臺灣)). 
  63. ^ GitHub. GitHub System Status. [2016-01-02]. (原始内容存档于2017-02-19). 
  64. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(臺灣)). 
  65. ^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)). 
  66. ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亚洲电台. 2010-06-08 [2010-06-09]. (原始内容存档于2010-09-28). 

来源

网页

外部链接

维基新闻中的相关報導:中国大陆外用户访问国内带有敏感词的网页可能会被重置连接
检索自“https://zh.wikipedia.org/w/index.php?title=防火长城&oldid=58109041