Remove ads
中国大陆的互联网审查系统 来自维基百科,自由的百科全书
防火长城[1](英語:Great Firewall,GFW),中国国家防火墙[2],或简称为墙、防火墙[3]等,中国网信办称其为数据跨境安全网关[註 1][4][5],是该国政府过滤国际互联网出口内容的软硬件系统集合。防火长城不是中國特有的一個專門單位,而是由分散部門的各服务器和路由器等设备,加上相关公司的应用程序构成,其监控所有经过国际网关的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由於中國網絡審查廣泛,中國大陆內含有「不合適」内容的網站,會受到政府直接的行政干預,故防火長城主要作用在於分析和過濾中國境外網絡的資訊。自本世纪初以来,防火长城由国家计算机网络与信息安全管理中心(CNCERT)运营和维护[6][7][8]。
随着防火长城逐渐为人熟知,「墙」一词有时也被用作动词[9],「被墙」即指网站内容被防火长城所屏蔽[10][11],「翻墙」也被引申为突破网络审查浏览中国大陆境外被屏蔽的网站或使用服务的行为。
中国1994年接入国际互联网[12],1995年被称为中国的“国际互联网年”[13][14]。
中国政府对互联网的管控始于1996年,总理李鹏签署了国务院令第195号,发布施行《计算机信息网络国际联网管理暂行规定》。其中第六条规定:“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网”。该规定在后来被广泛用于处罚“翻墙”行为[15][16]。
最早使用Great Firewall一词的是白杰明和桑晔,他们1997年发表的文章《The Great Firewall of China》称这一系统开发开始在1996年,并且当年在金橋信息網和ChinaNet已经有国外新闻网站被屏蔽[14]。
技术手段方面,一开始防火长城仅使用IP封锁,这并不能应对网站时常更换IP的情况[17][18]。自2002年开始,其能够自动执行针对特定域名的DNS劫持,并能够检测HTTP连接中的特定关键字,使用TCP重置攻击的方法阻止连接[17][19]。
自2010年以来,HTTPS(加密的HTTP)开始被广泛使用,维基媒体计划也于2015年切换到仅加密连接[20],而防火长城在很长一段时间内都没有处理加密连接。直到2018年8月,对加密连接中“服务器名称指示”(SNI)信息的检测才出现,而此时正是关于加密服务器名称指示(ESNI)的IETF草案发布刚刚1个月后[21]。另外,自2020年7月下旬起,ESNI协议也被封锁[22][23]。
防火长城主要部署于北京、上海和广州的三个大型互联网交换中心,而非在国际出口[26][27],在省级部署的设备较少[18]。根据“GFW技术评论”网站2010年的估计,其硬件配置如下[24][28]:
深度包检测(Deep packet inspection, DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文检测,DPI可對報文内容和协议特征进行检测。
DPI是防火长城檢測關鍵詞及嗅探加密流量的基础,借助硬件設施、適宜的檢測模型和模式匹配算法,它能夠精確且快速地從實時網絡環境中判別出目标流量,並作出審查者所期望的應對措施[30]。
被认为在防火长城部署了的深度包检测包括:
等待到深度包检测章节中的“和处于域名黑名单中的相匹配”的域名后,防火长城會向查询者注入虚假DNS回复,比真的更早到达[40][32][41][42]。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者无法验证返回结果的正确性[42],客户端接受其伪造回复,并尝试连接其中的IP,结果往往是超时[32],或者出现无效TLS证书之警告。而其对TCP协议的查询则使用TCP重置攻击来阻止获得任何正确结果[43][25]。
此种行为自2002年开始[19]以来有相当明确的特征。
这种注入是双向的,不仅是在中国境内查询境外DNS时、境外的DNS查询途经中国时也会出现,这导致许多国外递归DNS服务器的缓存被污染[47]。
根据2014年的研究,防火长城的一个计算集群有360个节点,每个节点的平均处理速度是每秒2800个DNS包[48][45]。
对于加密DNS,如DoT和DoH,防火长城使用基于IP端口和基于SNI的封锁[49]。最早的封锁针对Cloudflare提供的加密DNS服务,其一个IP地址1.1.1.1
和域名cloudflare-dns.com
在2020年末被发现封锁[49]。
65.49.2.178
,這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司,被动态网公司租用于翻墙软件连接节点[57][58]。动态网公司和研究人员认为这是因为防火长城的工作人员操作失误[59][60][61],另一些人认为,不能排除真正的黑客借这一IP地址作为跳板发动攻击的可能[62]。重置(reset)是传输控制协议(TCP)的一种消息,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个重置通知消息,该功能本来用于应对例如服务器意外重启等情况,而防火长城阻止TCP连接的技术实际上就是比连接双方更快地发送连接重置消息,使连接双方以为对方终止了连接[65]。
当GFW看到自客户端发送的第一个SYN包以启动TCP三次握手时,其开始跟踪该TCP连接的状态。HTTP、SMTP、HTTPS等许多应用协议都基于TCP。GFW在该TCP控制块(TCP control block)内进行上文所述之检测[25][66],遇到预期关键字后,其会注入带有一个RST
选项的“一型”[已过时]和多个带有RST/ACK
选项的“二型”数据包,这被认为是来自两种同时部署的审查设备。一型IPID为0,具有随机的窗口尺寸,没有设置“不分片”选项;二型则有周期性增加的TTL值和窗口尺寸,并且设置了“不分片”[67][25]。
有时防火长城在检测到违禁关键字并注入一次重置后,会在固定时长内对具有相同三元组(客户端IP、服务器IP、服务器端口)的连接不区分关键字违禁与否地持续注入[65][32][25],或者丢弃符合该三元组的数据包[66],这被称为残余审查(Residual censorship)[22][68]。前谷歌高级副总裁艾伦·尤斯塔斯曾发布视频演示此种封锁策略[69]。
防火长城主要采用路由扩散技术封锁特定IP地址,也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治系统上,在这些黑洞服务器上可以什么也不做,或者对这些报文进行分析和统计,获取更多的信息,甚至可以做出虚假回应[70][71]。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由是正确的情况下,可以引导路由器把报文转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由是一条有意配置错误的路由,其目的是为了把本来是发往某个IP地址的报文引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络[72]。
“ | 在大规模自治域的出入口路由器上新接入一个起控管作用的子网或者AS域,将要受控的网络地址配置在这个子网或者AS域内的路由器中,这样利用动态路由协议的网络拓扑自动识别特性,在出入口路由器上将生成受控网络地址的路由信息,将自治域内部网络对这些受控网络地址的访问转入到这个控管子网或者AS域的网络中,从而实现对受控网络地址的流量控制 。 | ” |
——《一种基于路由扩散的大规模网络控管方法》[73] |
对于由使用虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务的网站,如果封禁它的IP地址,就会造成“过度封锁”(Overblocking):所有使用该提供商服务的、其他使用相同IP地址的网站也被封锁,就算是「内容健康、政治无关」的网站,也不能幸免。其中的内容可能并无不當之處,但也不能在中国大陆正常访问[65][74]。所以基于路由封锁的方法现在主要用于针对自主拥有大量连续地址段的特定自治系统,例如Facebook,Google,Telegram,Twitter等;对于内容分发网络(CDN)的地址段可能不会采用这种地址封锁的方法,以避免过度封锁[75]。
因为有防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。
2015年1月,部分国外VPN服务在中国大陆无法正常使用,包括L2TP/IPSec和PPTP协议。[76]
防火长城在2016年就能利用TLS的旁路泄露观察数据包特征识别TLS代理,研究人员利用随机填充修改请求和握手中间发送的数据包大小,则可以正常浏览被审查的HTTP和HTTPS网站,关闭随机填充丢包问题则会立即再现[77][78]。
自2021年11月初以来,防火长城部署了一种类似白名单的检测方法:应用规则来豁免那些不太可能是完全加密的流量;然后它阻止其余未被豁免的流量。由于翻墙软件的流量多是完全加密的,这种方法十分有效,仅会误伤大约0.6%的非翻墙互联网流量[68]。
自2011年10月以来[79],防火长城通过主动探测(Active probing)[80]识别翻墙服务器,并随后将其封锁。其主要针对以下目标。
210.72.128.200
,被屏蔽之后使用亚马逊EC2等云服务发起探测,模仿SoftEther的客户端握手去识别有效的SoftEther的IP[88]。2011年3月,防火长城曾经对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[91]Google指责中国这样的封锁手法,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[92]
2014年5月27日起,Gmail网页版的80和443端口被封鎖。2014年12月26日起,Gmail客戶端所用的IMAP/SMTP/POP3端口也被封鎖。[93]
2011年5月,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。当时有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[95]。自由亚洲电台引述业内人士分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[96]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司「有动机」去阻碍用户访问国外网站。一位不愿留名的工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[97][98]
2013年1月26日,有中国大陆的用户在访问GitHub时发现证书无效,经检查发现,其的证书变为了一自签署的X.509证书,生成时间为2013年1月25日,有效期一年,故有人推测GitHub疑似遭到了中间人攻击。 GreatFire和研究人员认为攻击是由中国政府策划的[99]。
自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过HTTPS连接*.google.com.*等网页时,可能收到TLS证书错误的提示,其中以连接www.google.com.hk几乎是每次连接均收到攻击,而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告,但攻击发生的機率相对较低。伪造的TLS证书显示其为google.com,颁发机构即为其本身,与真正的证书不同,顯示谷歌在中国教育网上受到中间人攻击。
2015年1月17日,Outlook遭到了中間人攻擊[100][101]。19日,GreatFire撰文稱懷疑此攻擊是由網信辦發起的[102];22日,網信辦對此文作出了回應,稱「Greatfire.org是境外反华组织创办的反华网站」,「这一无端臆测,纯属境外反华势力的造谣和污蔑」[103]。
正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容[37]。也有網友根據防火长城會過濾進出境郵件的特性,尋找到防火长城部署的位置[104]。
2007年7月,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[105]。表现为[106]:
Remote host said: 551 User not local; please try <forward-path>
或者Connected to *.*.*.* but connection died.(#4.4.2)
aaazzzaaazzzaaazzzaaazzzaaazzz
Remote host said: 551 User not local; please try <forward-path>
aaazzzaaazzzaaazzzaaazzzaaazzz
对此,新浪的解释是「近期互联网国际线路出口不稳定」;而万网客户服务中心的解释是「近期国内互联网国际出口存在未知的技术问题」[107]。而网民普遍认为这与防火长城有关[105]。
2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[108]12月30日,Gmail的邮件服务器已在中国大陆境内恢复部分功能。[109][110]但Gmail网页版至今仍被屏蔽。
2007年,人民网转载了题为「百度日本站被GFW屏蔽 疑与色情内容有关」的文章,是官方最早先提到此系统的报道之一。[123]2011年2月17日有记者在中国外交部新闻发布会上问及互联网封锁等问题,发言人马朝旭的回答是:
中国政府...依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。我们...反对任何国家借口互联网自由等问题干涉中国内政。[124]
次日,方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的,他拒绝回答,说这是机密(It's confidential)[114][111]。
2014年12月,中共党刊《红旗文稿》建议当局继续改进和完善网络监管措施,构筑高效的“过滤网”和“防火墙”,同时要斩断“翻墙软件”传播的利益链条[125][126]。
防火长城对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题[127],官方說辭也相當籠統[124][128]。
2007年有报告认为,防火长城并非防火墙,而是一种圆形监狱,其审查即使能轻易绕过,也会促使人民自我审查[129]。
美国贸易代表办公室在2016年4月发布的有关贸易环境的年度报告中称,中国对互联网的审查过滤对外国企业是严重的贸易障碍。报告指出,中国对很多境外网站的屏蔽都很武断,有些和社会稳定或国家安全没有关系的网站也被屏蔽,比如美国一家家居装饰网站,其内容都毫不敏感,却是典型的、有可能被防火长城屏蔽的网站[130][131][132]。对此,中国外交部发言人洪磊回应:“我们希望各国尊重其他国家自主选择的互联网发展道路、管理模式、公共政策以及参与国际互联网治理的权利”[128][133];《环球时报》为此发表社评,认为美国同样有大量贸易壁垒,并表示“网络防火墙”能够遏制西方意识形态渗透,帮助中国更加强大,其必将得到历史的正面评价[134]。
北京大學和斯坦福大學兩名經濟學家在2018年的研究发现,中國大學生對於獲取未經審查的政治敏感信息漠不關心。他们认为,审查制度十分有效,不仅敏感信息难以获取,民众逐渐也不要求获取它们[135]。
2021年11月,网信办发布的《网络数据安全管理条例(征求意见稿)》写道:数据跨境安全网关是指“阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施”[4]。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.