百家争鸣
雷声
[主页]->[百家争鸣]->[雷声]->[互联网封锁是如何升级的?]
雷声
·《纽约太阳报》建议向香港“雨伞革命”领袖颁发诺贝尔和平奖
·权力中心总想垄断真理和道义/王德邦
·强势独裁是民主转型的拦路虎/严家伟
·北美崔哥挺港警热传文造假穿帮了 被揭的体无完肤
·北美崔哥挺港警热传文造假穿帮了 被揭的体无完肤
·曹子文给邓榕邓楠的公开信
·林彪最大污点:长春围城饿毙数十万难民
·喂人民服雾【天津快板】
·广西政协常委装妈与学生对话
·两万八路军不敌5百日军?
·香港“雨伞革命”中学生组图
·反占中蓝丝带召集人李偲嫣 妓女身份被揭
·真假依法治国,四中全会检验
·真假依法治国,四中全会"验尿"
·方舟子打假周小平:梦里游了趟美国便控诉美国罪恶
·试看整人者,人亦整其人
·指鹿为马的时代
·网络作家抽周带鱼,妙语连珠
·为什么左右全民群殴周小平
·周小平风波笑点何在?
·10年前捧红3位好学生今何在?
·习大大的锅
·世纪梦幻:习近平反腐出民主!/张三一言
·一个真实的蒋中正
·毛颂蒋之信隐瞒七十年
·为什么现在要讲法治了
·中华民国总统有权对香港大陆说三道四
·陕西失独父母到省政府请愿
·刘少奇的结局
·法轮功围堵中南海导致政改夭折/周瑞金
·“做二”之道关键在韬光养晦
·从小官巨贪到老虎苍蝇标准
·列宁真相被揭,俄各阶层震惊和愤怒
·voa:习近平专机惊爆象牙走私,有何背景?
·法治的主要任务不是治官
·中国在中日斗争中昏招连连无一胜绩
·中国在中日斗争中昏招连连无一胜绩
·中国在中日斗争中昏招连连无一胜绩
·彭定康忧香港出现伊朗式民主(即假普选)
·章小舟:基于“民意分类”视角观察“习氏反腐”等现象
·恢复国民党的反对党精神/陈永苗
·李克强接见12家草根组织负责人
·香港占中升级为南韩模​式/谢选骏
·镇压学生运动的人都没好下场
·镇压学生运动的人都没好下场
·镇压学生运动的人都没好下场
·绝食学生促特首重启政改展开对话
·反腐变围剿政敌,廉政排名下降
·绝食学生黄之锋母亲的公开信
·反腐变反政敌,廉政排名下降
·这些红军将士干下什么伤天害理之事
·周永康涉泄密习近平家族财富
·周永康泄密温家宝习近平财富
·谢选骏:新母系社会的诞生——伊斯兰国扩张的西方内助
·周永康泄露了习近平等的财产
·幸好我们还在,不然死无对证了/邓晓芒
·美国就周永康案警告中国:不能政治化
·揭弊vs叛徒:周永康是叛徒吗?/乔木
·王立军没称为叛徒,周永康叛徒依据何在?
·美国就周永康案警告中国:不能政治化
·二战中最惨烈的首都保卫战
·龙灿:中共,你们哪来的资格纪念南京大屠杀?
·没收刘铁男合法财产有违反宪法的重大嫌疑/刘大生
·习近平派中纪委进驻人大与袁世凯包围国会有得一拼
·未普:2014,习近平走在极权路上/张伟国
·陈永苗:民间主体性在民国当归中重建
·陈永苗:民间主体性在民国当归中重建
·沙果平:炮制低俗“神曲”,掀起新造神运动
·沙果平:炮制低俗“神曲”,掀起新造神运动
·沙果平:炮制低俗“神曲”,掀起新造神运动
·谢盛友:东德共产党带来的新思考
·谢盛友:东德共产党带来的新思考
·凯珞:香港从不缺机会,只是机会从不属于我们
·中国清廉排名下降意味着什么?
·中国清廉排名下降意味着什么?
·张鹤慈:有关失独,计生,独生子女政策的讨论
·毛贼诞121周年:最大的国贼!
·学习犹太人,追杀文革刽子手
·蒋公并没喊毛贼万岁
·青天白日满地红国旗飘扬双橡园
·从东北衰落看京津冀一体化/童大焕
·江青两小时法庭陈词曝光
·我敬重王,但对现行反腐败运动已无任何兴趣
· 大陆人从小生活在谎言欺骗之中
·中缅泰老边境的六万国军后代及现状
·政治局要杀江青,陈云坚决反对有何内幕?
·叶匡政:大陆何时能了解一个真实的蒋介石
·陈永苗:80后90后是民国当归的主力军
·郑义:希拉里如何“惹火了所有中国人”
·列宁一战当德奸,已编入教材
·特供奶牛竟然吃进口美国草?
·何清涟:北京为解决财政危机找到方案
·6岁哥哥新年许愿:希望回到没有妹妹的时候
·蒋中正:一个真正的民族英雄
·王维洛:刘铁男和西藏水电大开发
·5事表明 普京帮奥巴马对中国下狠手
·史无前例的大汉奸毛泽东/高鹏飞
·邓小平对江泽民的秘密交待
·探寻1959年河南商城“死绝村”
·天灵盖上一枪,村村见血土改
·雷锋骗子现原形
[列出本栏目所有内容]
欢迎在此做广告
互联网封锁是如何升级的?

道高一尺,墙高一丈:互联网封锁是如何升级的
   
    来源:端传媒
   
    1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

   
    国家公共网络监控系统
    国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。
   
    2008年校园网:“连坐”惩罚
   
    2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。
   
    那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。
   
    那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。
   
    墙如何运作?
   
    一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。
   
   
   
   ?imageView2/1/w/1080/h/720/format/jpg
    墙早期对用户的“连坐”惩罚策略。制图:金秋枫
   
    说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。
   
    2010年北京:合租服务器翻墙
   
    3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。
   
    “墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。
   
    “咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。
   
   
   
   ?imageView2/1/w/1080/h/719/format/jpg
    墙外丰富多彩的世界吸引着年轻人。制图:金秋枫
   
    对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。
   
    VPS如何帮你翻墙?
   
    当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。
   
   
   
   ?imageView2/1/w/1080/h/805/format/jpg
    “跳板”是所有“翻墙”技术的共通原理。制图:金秋枫
   
    利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。
   
    这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。
   
   
   
   ?imageView2/1/w/1080/h/657/format/jpg
    SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫
   
    2011-14年香港:“墙”成为一门显学
   
    在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。
   
    搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。
   
    因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。
   
    解析邮件
   
    2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。
   
   
   
   ?imageView2/1/w/1080/h/676/format/jpg
    “墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫
   
    敏感词触发RST,偶尔需要“向内翻墙”
   
    这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫
   
    走出国门的DNS污染
   
    DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。
   
   
   
   ?imageView2/1/w/1080/h/721/format/jpg
    DNS污染。制图:金秋枫
   
    近500个实体“哨所”
   
    2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

[下一页]
blog comments powered by Disqus

©Boxun News Network All Rights Reserved.
所有栏目和文章由作者或专栏管理员整理制作,均不代表博讯立场