百家争鸣
雷声
[主页]->[百家争鸣]->[雷声]->[互联网封锁是如何升级的?]
雷声
·印度欣喜若狂 向往“中国式增长”
·建议中高层干部子女出国留学
·中央看望老同志,郭伯雄露面
·潘汉年的传说
·中国大饥荒三个惊人新发现
·崇祯本可不上吊:是谁把他逼上煤山
·毛泽东为夺权力压朱彭编造平型关大捷
·看看这个,杀手是谁应没有疑问了
·华尔街日报:共产党即将崩暌的五大理由
·刘东:毛泽东家族的血腥基因
·右派索赔的根据、原则和计算公式/ 王书瑶
·中国减少森林开采计划
·陈希同妻:丈夫与我妹偷情 我永不原谅
·专案组如何炮制王光美特务铁证的?
·专案组如何炮制王光美特务铁证的?
·08年中国投资不是4万亿,是30万
·中国何时坦然面对自身历史污点?/纽约时报
·愚人节谣言:薄案法官自杀
·刘少奇冤案平反时,胡耀邦纪登奎交锋
·蒋中正的战略眼光:抗战期间的一项伟大决策
·梁慕娴:中共已进入崩溃期?
·12岁女孩因父母生二胎跳楼自杀
·印度式乘法口诀 秒杀中国乘法口诀
·张玉凤曝料毛泽东钦点接班人是毛远新
·中国特色的养老金难题
·胡锦涛亲笔题词“高风亮节”被黄山博物馆收藏
·纪登奎夫人曝中共高层恩怨
·蒋中正抗战深谋远虑忍辱负重
·土改:杀人手段何其多/高耀洁
·通奸门最新消息,财新被调查私生子名字爆光
·高瑜案:习近平禁止人们知道他的禁令
·两害相权取其轻,美国鼓励“中间派”支持曾庆红夺权推翻习近平/昭明
·两害相权取其轻,美国鼓励“中间派”支持曾庆红夺权推翻习近平/昭明
·张春桥人性一面:向邓拓报信
·共军又一英雄事迹被揭造假
·李瑞环怒斥范曾“毫无人格毫无国格"
·赵紫阳:陈希同煽风点火,称学潮针对邓小平
·赵紫阳:陈希同煽风点火,称学潮针对邓小平
·胡锦涛吴官正参加清华校庆
·民族主义愤青反计生是既无远虑也无近忧的高级愚昧
·国民政府时期怎样考驾照?
·万达王健林:游刃于商业权贵之间(1)
·万达王健林:游刃于商业权贵之间(2)
·反贪是借口 实为政治斗争/南方都市报
·四名毛泽东特型演员离奇死亡 太诡异了
·49年后消失的9所世界级大学
·49年后消失的9所世界级大学
·中共原总书记向忠发供词
·红三孔东梅:财富榜第242位
·红三孔东梅:财富榜第242位
·红三孔东梅:财富榜第242位
·红三孔东梅:财富榜第242位
·警卫局长换人的解读
·报道习近平亿万身家记者遭死亡威胁
·张抗抗:知青们,别再说什么“青春无悔”了
·余未:中共人造英雄的末日
·胡锦涛前主席昨天视察绵阳北川
·王健林万达帝国:与温家习家财富都有关
·纽约时报再揭习近平温家宝家族财富
·高耀洁:中共“三反”运动杀人如草芥
·明鏡月刊:習王停抓大老虎,停查常委家族
·明鏡:习王停抓大老虎,停查常委家族
·万达帝国王健林:游刃于商业与权贵之间
·一个千亿富豪家族正浮出水面
·一个千亿富豪家族正在浮出水面
·洛德:习近平反西方政策束缚美中关系
·习近平与王健林政商互动关系
·中国为什么必须实行计划生育
·这才是真实的白毛女和黄世仁 我竟然被骗了那么多年
·王健林的万达帝国:与温家、习家财富都有关
·丁学良:读依据苏俄档案的新版毛泽东传记
·美反腐调查员索取涉王岐山信息
·艺术家因恶搞习近平被拘捕
·劳民伤财:南水北调完全失败
·一胎老大下狠手踩断二胎胳膊
·道县大屠杀幸存者周群自述”
·列宁当俄奸被编入俄国教材
·美助卿里夫金:台湾是重要盟友
·新京报对话王健林
·纽约时报再揭习近平温家宝家族财富
·焦点对话:王岐山访美取消,摩根大通调查引联想?
·六四时“杀20万,保20年安定”源于王岐山之口?
·中国首富习近平家族
·王震掌控中共左派 目无邓小平架空李瑞环
·中国首富习近平家族
·毛泽东写给蒋介石的一封信
·中国首富习近平家族
·天津大学生下载习近平纳粹军装照被拘10天留校察看
·习近平的稿费/公孙平
·十三大:姚依林阻击万里田纪云
·朝廷密审周,民间公审习、温
·谁的锅?谁的饭?/任志强
·中国首富习近平家族
·瞿希贤:别唱我写的《全世界无产者联合起来》
·政治局扩大会议狠批王岐山的中纪委搞独立王国
·中国首富习近平家族
·民国时期上大学要花多少钱?
·北京将为失独老人设专门养老院
·人民网:纪委绝不许成为“独立王国”
·中国首富习近平家族
·高瑜因言得罪习近平?
[列出本栏目所有内容]
欢迎在此做广告
互联网封锁是如何升级的?

道高一尺,墙高一丈:互联网封锁是如何升级的
   
    来源:端传媒
   
    1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

   
    国家公共网络监控系统
    国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。
   
    2008年校园网:“连坐”惩罚
   
    2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。
   
    那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。
   
    那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。
   
    墙如何运作?
   
    一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。
   
   
   
   ?imageView2/1/w/1080/h/720/format/jpg
    墙早期对用户的“连坐”惩罚策略。制图:金秋枫
   
    说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。
   
    2010年北京:合租服务器翻墙
   
    3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。
   
    “墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。
   
    “咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。
   
   
   
   ?imageView2/1/w/1080/h/719/format/jpg
    墙外丰富多彩的世界吸引着年轻人。制图:金秋枫
   
    对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。
   
    VPS如何帮你翻墙?
   
    当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。
   
   
   
   ?imageView2/1/w/1080/h/805/format/jpg
    “跳板”是所有“翻墙”技术的共通原理。制图:金秋枫
   
    利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。
   
    这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。
   
   
   
   ?imageView2/1/w/1080/h/657/format/jpg
    SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫
   
    2011-14年香港:“墙”成为一门显学
   
    在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。
   
    搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。
   
    因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。
   
    解析邮件
   
    2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。
   
   
   
   ?imageView2/1/w/1080/h/676/format/jpg
    “墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫
   
    敏感词触发RST,偶尔需要“向内翻墙”
   
    这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫
   
    走出国门的DNS污染
   
    DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    DNS污染。制图:金秋枫
   
    近500个实体“哨所”
   
    2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

[下一页]
blog comments powered by Disqus

©Boxun News Network All Rights Reserved.
所有栏目和文章由作者或专栏管理员整理制作,均不代表博讯立场