百家争鸣
雷声
[主页]->[百家争鸣]->[雷声]->[互联网封锁是如何升级的?]
雷声
·骇人听闻性酷刑,土改残酷历史
·血腥的土改:惨绝人寰
·毛泽东是暴君这一结论不可改变
·共军绑架地主女儿在战争中冲锋
·还有什么跟着蒋公去了台湾?
·大跃进前后的社会控制
·贪官找到藏钱好地方:离岸金融中心
·贪官找到藏钱好地方:离岸金融中心
·贪官找到藏钱好地方:离岸金融中心
·不孝之子,流氓丈夫
·潘汉年与日伪特工总部
·胡适的学生吴晗被迫害致死,家破人亡 请看博讯热点:文革四十周年 (博讯北
·迫害地主违反哪项国际条约?
·毛泽东最后遗言曝光
·乌克兰推到列宁像,权贵逃跑倒戈
·关于文革的一次口述史访谈
·陈公博的自白书
·乌克兰防暴警察齐刷刷下跪道歉
·《中苏友好同盟特别协定》
·东陵大盗--八路军冀东军区
·真实的蒋宋孔陈财产情况
·荣树堂(北京)口述“土改”
·这一份长长的充满血腥气味的名单——屠杀的都是民族的精英
·裴毅然:一千八百万知青下乡真相
·各种慢性病井喷 中国人又成“东亚病夫”
·克里米亚公投结果系伪造
·吴廷易(四川)口述“土改”
·“安全岛”不宜轻言拆除
·蒙古公投的翻版----克里米亚
·马克思是奥警方的领赏告密者
·預言清朝滅亡:曾國藩和幕僚秘談錄
·国民革命军第七十四军军歌
·斯大林屠杀30万远东中国人
·“常委安全岛”不宜轻言拆除
·“常委安全岛”与政治诚信
·从“广场大妈舞”看文革流毒
·我们从小孩时就被教怎么说谎
·参加诺曼底登陆的国军52军
·越南政府听从民意不办亚运
·郑义:为唐生智辩诬兼及日本文化中的毒素
·美总统称日美安保条约含钓鱼岛
·美总统称日美安保条约含钓鱼岛
·奥巴马和李源潮对曼德拉的不同悼念/胡少江
·曾节明:毛共定都北平类同满清,中国今后必然迁都
·蒋公文集(1)
·蒋公文集(2)
·蒋公文集(2)
·蒋公文集(3)
·蒋公文集(4)
·蒋公文集(5)
·中纪委权力扩张已成党中之党
·毛泽东与米高扬密谈内容解密
·龙云投共后的结局
·嚴祖佑: 相濡无沫——父亲严独鹤的最后岁月
·大跃进期间人相食现象一瞥
·蒋公两份遗嘱曝光
·土改运动中的地主女眷/陶渭熊
·前记者揭64火烧装甲车系栽赃
·越南官媒首次纪念六四25周年
·陶铸老婆谈早期中共成员的男女关系
·中国高层罕见批评调水工程
·陈事美:张志新冤案中的新秘密
·奇闻:三庙合并,和尚尼姑同住
·陈秉安: 62年逃港大纪实
·法西斯=一切听从领袖指挥:金三像不像?
·受共产国际操纵的红色文化战线
·贺龙下令活埋东北抗日青年
·余杰:谁是手上没有沾满鲜血的人?--读陈永发《延安的阴影》
·彭小明:约法八章的骗局--中国的卡廷惨案
·触目惊心的杀人运动
·震撼人心的百万港人大游行
·香港人民真伟大!
·腐败寄生于过度扩张的国家公权力
·七一从高空看百万港人大游行
·香港占中被捕人士部分名单
·毛贼东女性朋友不完全名册
·南京将国军抗战老兵纳保障范围
·抗战阵亡国军将军名单
·爆料:郭美美为王震孙女 !
·“从西方宪法历史的演变来看中国宪政发展的前路”
·1%的家庭占全国三分一财产
·罗思义:陈寅恪之死
·刑不上常委的规则应得到尊重
·因要求官员公开财产而关押人们
·腐败从贪污权力开始
·可放弃自己权不能剥别人权利
·揽权本身就为腐败敞开大门:讨论腐败从贪污权力开始
·你可以放弃自己的权利,但不能剥夺别人的权利
·吴敬琏:腐败的实质是权力寻租
·丁学良新作:印度比中国更有优势
·林大军:再次忽悠欺骗大陆民众,绝不为反腐唱赞歌
·張三斷言:習由強勢反腐走向更專政
·屠城家族窃国掠影
·謊言起家,謊言建政,謊言治港
·纪念抗战,蒋中正功盖青史
·準的可怕 43個簡化漢字的現實預兆
·中共三位“抗日”将军战死之迷 全是蒙人
·绝不允许后代再经历这样的痛苦
·陈事美:惊人的反土改预言
·陈事美:惊人的反土改预言
·扮萌装纯恬不知耻的红二代/陈维健
[列出本栏目所有内容]
欢迎在此做广告
互联网封锁是如何升级的?

道高一尺,墙高一丈:互联网封锁是如何升级的
   
    来源:端传媒
   
    1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

   
    国家公共网络监控系统
    国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。
   
    2008年校园网:“连坐”惩罚
   
    2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。
   
    那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。
   
    那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。
   
    墙如何运作?
   
    一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。
   
   
   
   ?imageView2/1/w/1080/h/720/format/jpg
    墙早期对用户的“连坐”惩罚策略。制图:金秋枫
   
    说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。
   
    2010年北京:合租服务器翻墙
   
    3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。
   
    “墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。
   
    “咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。
   
   
   
   ?imageView2/1/w/1080/h/719/format/jpg
    墙外丰富多彩的世界吸引着年轻人。制图:金秋枫
   
    对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。
   
    VPS如何帮你翻墙?
   
    当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。
   
   
   
   ?imageView2/1/w/1080/h/805/format/jpg
    “跳板”是所有“翻墙”技术的共通原理。制图:金秋枫
   
    利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。
   
    这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。
   
   
   
   ?imageView2/1/w/1080/h/657/format/jpg
    SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫
   
    2011-14年香港:“墙”成为一门显学
   
    在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。
   
    搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。
   
    因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。
   
    解析邮件
   
    2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。
   
   
   
   ?imageView2/1/w/1080/h/676/format/jpg
    “墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫
   
    敏感词触发RST,偶尔需要“向内翻墙”
   
    这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫
   
    走出国门的DNS污染
   
    DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    DNS污染。制图:金秋枫
   
    近500个实体“哨所”
   
    2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

[下一页]
blog comments powered by Disqus

©Boxun News Network All Rights Reserved.
所有栏目和文章由作者或专栏管理员整理制作,均不代表博讯立场