百家争鸣
雷声
[主页]->[百家争鸣]->[雷声]->[互联网封锁是如何升级的?]
雷声
·习近平家族家库通国库
·余杰:习近平有陆克文想像的那么聪明吗?
·高耀洁:骗者获胜,中共自吹抗战功绩
·经济学人:中共掠夺历史为现下野心找借口
·把蒋公换毛贼,中共篡改历史
·关键时刻 “竟无一人是男儿”!
·北戴河会期结束 共识:清理周令徐郭余党 分歧:经济怎么辧
·揭示中共抗战不打日军专打国军的真相/辛灏年
·天津爆炸,何人所为?
·开罗会议期间毛贼东在干什么?
·中国民联呼吁问责习近平与成立民间调查小组
·病中李鹏不忘9.3登天安门阅兵
·中国夜莺岛是如何送给越南的?
·历届国家军委主席:何人任期最长
·中共又篡改抗战《陆军作战史》
·这才是一个国家崛起的真正秘密
·中国模式已走到尽头
·反美却奔美?看看咱有多少“反美斗士”移民美国
·夜莺岛(浮水洲岛)秘密“移交”越南始末
·希特勒爱阅兵的公开秘密
·以色列拍片感恩上海庇护犹太人 内塔尼亚胡:谢谢
·黨治必定腐敗
·江泽民胡锦涛不参加阅兵 岂不正落人口实
·郝柏村:还原抗日真相,才会赢得两岸人民掌声
·国力悬殊 战力何在?抗战前中日军备对比
·邓颖超透露周恩来去世真正原因
·反法西斯还是法西斯的胜利?长平观察
·鬼扮神----评9.3阅兵
·将碧血撒向蓝天——记抗日战争中的中国空军
·红卫兵习近平和十字军的战争
·何清涟:黄梁梦醒:中国并非拯救世界经济的“诺亚方舟”
·李敖的父亲:最货真价实的汉奸
·“保阅兵蓝”与法西斯/郑义
·91岁孤寡独居抗战老人称:长沙百姓被日本兵吓得没一个敢放鞭炮庆祝胜利
·罗斯福后人等赴台北出席抗战纪念活动
·阅兵前中共应向抗日国军道歉谢罪!
·互联网封锁是如何升级的?
·怠工潮像山火一样在国企和地方政府中蔓延
·斯诺登终于把自己弄成了国际大笑话
·赴日考察报告和博导中国农村报告
·毛贼东的特供生活
·建议中央撤销习近平总书记的职务
·国军抗战对二战战局的贡献
·87岁田华复出,家中四人患癌,中国环境怎么了?
·许小年:中国经济萧条至少5年 最坏时刻还没到
·八年抗战八路才打死851日军?
·习近平6大错误,建议撤职
·高文謙《晚年周恩來》選載4
·中国第一村“南街村”神话破灭
·罗援的感概与齐奥塞斯库的下场
·张宏杰:中国历史上的皇帝梦
·普京下令建政治迫害纪念碑
·赵旭:一个地主家庭的悲惨人生
·越南入TPP,将大力政改
·为牺牲在共军枪口下的国军抗战英烈立传 时不我待
·抗日老兵韩声涛:“不抵抗”命令是张学良自己下的
·抗日老兵韩声涛:“不抵抗”命令是张学良自己下的
·中国人为啥欢呼TPP?
·江任总书记前,夫人抱头痛哭
·义勇军全部是被共产党消灭的历史事实
·抗战中流砥柱,看击毙日军数
·中国抗日战争中的二类汉奸中国共产党
·TPP价值贸易与徘徊的中国/杨鹏
·周恩来特型演员常铠霖强奸被判刑
·稳增长为旧经济找出路阻碍改革浪费资源
·中国开始第四轮财富大洗劫!/土憋神教
·中国花费30年,越南10年就够了?
·美国防部:24小时内派军舰驶入南海岛礁
·印尼总统:支持美军舰即刻进入南海行动
·朱可夫赞蒋中正识大体了不起
·留守大陆学人的结局
·习近平向五中全会汇报工作
·一浙江老板对比中美制造成本
·谁是汉奸卖国贼?13亿人被骗了!
·蒋最大误判:未在重庆干掉毛
·“1964年苏联同意归还两万平方公里领土,结果?
·祸国殃民毛贼东
·习马会获江胡首肯 曾在五中通报数百人
·去美国化 中国处处都和美国对着干
·巴黎恐袭事件将引爆第五波民主浪潮/手气
·新“筹安会”羞羞答答登台
·潘晴:南海局势升温 环球网:大国权力转移在即 中国要准备战争
·周带鱼花司马式五毛杨三材被打
·军改,中央全会授权了吗?
·军改,中央全会授权了吗?
·高瑜一夜被折磨成了“二永康”
·中华民国总统将巡视南沙太平岛
·荣毅仁入党,习仲勋是介绍人
·中美制造业的真实成本
·民国的国会议员如何监督政府?
·乌克兰取缔共产党
·翦伯赞死亡真相:落井下石
·张玉凤孟锦云评毛贼:怪兽
·周恩来,李福景,李金藻
·被中共绑架的李波卖什么书?
·反美却奔美?“反美斗士”移民美国!
·八宝山:领导用日本炉
·苏共:中共可运走斯大林遗体
·毛贼东:与日军共谋的男人
·蒋公曾孙蒋万安当选立委
·"林彪周恩来反党集团"的由来
[列出本栏目所有内容]
欢迎在此做广告
互联网封锁是如何升级的?

道高一尺,墙高一丈:互联网封锁是如何升级的
   
    来源:端传媒
   
    1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

   
    国家公共网络监控系统
    国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。
   
    2008年校园网:“连坐”惩罚
   
    2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。
   
    那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。
   
    那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。
   
    墙如何运作?
   
    一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。
   
   
   
   ?imageView2/1/w/1080/h/720/format/jpg
    墙早期对用户的“连坐”惩罚策略。制图:金秋枫
   
    说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。
   
    2010年北京:合租服务器翻墙
   
    3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。
   
    “墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。
   
    “咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。
   
   
   
   ?imageView2/1/w/1080/h/719/format/jpg
    墙外丰富多彩的世界吸引着年轻人。制图:金秋枫
   
    对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。
   
    VPS如何帮你翻墙?
   
    当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。
   
   
   
   ?imageView2/1/w/1080/h/805/format/jpg
    “跳板”是所有“翻墙”技术的共通原理。制图:金秋枫
   
    利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。
   
    这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。
   
   
   
   ?imageView2/1/w/1080/h/657/format/jpg
    SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫
   
    2011-14年香港:“墙”成为一门显学
   
    在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。
   
    搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。
   
    因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。
   
    解析邮件
   
    2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。
   
   
   
   ?imageView2/1/w/1080/h/676/format/jpg
    “墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫
   
    敏感词触发RST,偶尔需要“向内翻墙”
   
    这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫
   
    走出国门的DNS污染
   
    DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    DNS污染。制图:金秋枫
   
    近500个实体“哨所”
   
    2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

[下一页]
blog comments powered by Disqus

©Boxun News Network All Rights Reserved.
所有栏目和文章由作者或专栏管理员整理制作,均不代表博讯立场