防火長城


防火長城 (简体)

? 此條目需要可靠、公開、第三方的參考或來源(2007年8月)
另外,這裡的第一手來源和其他相關來源的數量也不足以支持一篇正確的百科全書文章。
請協助補充符合可靠來源要求的引用以改善這篇條目。
GFW」重定向至此。關於一種由微軟定義的遊戲特性,詳見「Games For Windows」。

防火長城,也稱中國防火牆中國國家防火牆,是對中華人民共和國政府在其管轄網際網路內部建立的多套網路審查系統(包括相關行政審查系統)的俗稱。其名稱得自於2002年5月17日 Charles R. Smith所寫的一篇關於中國網路審查的文章《The Great Firewall of China》[1],取與Great Wall(長城)相諧的效果,簡寫為Great Firewall,縮寫GFW[2],戲稱功夫網(Gong Fu Wang)。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。

一般情況下,防火長城主要指中國政府監控和過濾網際網路內容的軟硬體系統,由伺服器和路由器等設備,加上相關的應用程序所構成。由於中國網路審查廣泛,中國國內含有「不合適」內容的的網站,會受到政府直接的行政干預,被要求自我審查、自我監管,乃至關閉,故防火長城主要作用在於分析和過濾中國境內外網路的資訊互相訪問。

然而,利用防火長城等技術手段對網路內容的審查在一定程度上限制了言論自由,在何種程度上、採取何種手段進行網路審查一直是受爭議的話題。也有報告認為,防火長城其實是一種圓形監獄式的全面監控,以達到自我審查的目的[3]

中國擁有防火長城外,還有一套網路安全軟體構架的金盾工程。目前還沒有發現兩者之間有明確的關聯。

目錄

主要技術[4][5][6][7]

域名劫持

主條目:域名劫持

全球一共有13組根(Root)級別的DNS伺服器,目前中國大陸有 F、I、J 這3個根域DNS鏡像[8]

2002年左右,中國大陸網路安全單位開始採用域名劫持技術,用路由器提供的IDS監測系統來進行域名劫持,防止了一般民眾訪問被過濾的網站。

关于防火长城的结构猜测

國家入口網關的IP封鎖

90年代初期,中國大陸只有教育網、高能所和公用數據網3個國家級網關出口,中國政府對認為違反中國國家法律法規的站點進行IP封鎖。當時,這是一種有效的封鎖技術。但是,只要找到一個普通的海外Proxy,然後通過Proxy就可以繞過這種封鎖。現在,網路安全部門通常會將中國政府認為特別反動的網站的網址加入關鍵字過濾系統,以防止民眾透過普通海外HTTP代理伺服器訪問。

一般情況下,GFW對於海外「非法」網站會採取獨立IP封鎖技術。然而,部分「非法」網站使用的是由虛擬主機服務提供商提供的多域名、單(同)IP的主機托管服務,這就會造成了封禁某個IP,就會造成所有使用該服務提供商服務的其他使用相同IP的網站用戶一同遭殃,就算是內容健康、正當的網站,也不能倖免(如森美個人網站,內容並無不當之處,但網站使用的是虛擬主機托管服務,而因為有一個香港BBS亦使用該托管服務,這就造成了GFW為了封鎖該BBS,直接把這個固定IP:203.80.210.5封禁了。隨之,有82個香港網站由於GFW封鎖了這個IP地址,不論合法與否,都不能在中國大陸訪問)。

Firefox的「連線被重設」錯誤訊息。当碰触到GFW設定的关键词后,即可能马上出现這種畫面。
Firefox的「連線被重設」錯誤訊息。當碰觸到GFW設定的關鍵詞後,即可能馬上出現這種畫面。
当Google新闻中的图片地址含有某些敏感字符时被GFW拦截的画面,在图中可以见到网页只开启了部分就停止了。
當Google新聞中的圖片地址[9]含有某些敏感字元時被GFW攔截的畫面,在圖中可以見到網頁只開啟了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时,就会导致全站所有透过Google服务器下载的图片全部无法显示或突然出错(画面中的情况是第一条新闻的图片链接是被关键字过滤的网址「philly.com」)。
當Google新聞網在下載帶有列入關鍵字過濾網址網站的圖片時,就會導致全站所有透過Google伺服器下載的圖片全部無法顯示或突然出錯(畫面中的情況是第一條新聞的圖片連結是被關鍵字過濾的網址「philly.com」)。

主幹路由器關鍵字過濾阻斷

主條目:關鍵詞過濾防火長城關鍵字列表

在2002年左右,中國大陸研發了一套關鍵字過濾系統,並規定各個網際網路服務提供商必須使用。這套設備思科等公司的高級路由設備建立,最主要的就是IDS(Intrusion Detection System)--- 入侵檢測系統[10]。這個系統能夠從計算機網路系統中的關鍵點(如國家級網關)收集分析信息,過濾、嗅探指定的關鍵字,並進行智能識別,檢查網路中是否有違反安全策略的行為。利用這些設備主要進行IP數據包內容的過濾,如果符合既定的規則,則向該連接兩端的計算機發送IP欺騙性質(從前後IP報頭TTL值相差較大可知)的RST複位包,干擾兩者間正常的TCP連接,使數據流中斷,而在終端主機上會顯示連接失敗。

被屏蔽過濾的關鍵詞主要是與民運法輪功相關的詞彙及部分網站的網址上。

  • 在任何海外搜索引擎網站搜索防火長城關鍵字列表裡面的任何關鍵字時,會馬上觸發GFW導致「該頁無法顯示」。
  • 任何海外網站網頁中如果含有防火長城關鍵字列表的小部分關鍵字時,就有機會觸發GFW而導致網頁下載突然出錯、停止或立即出現「該頁無法顯示」。
  • 某些特定的海外網站網址會被列入關鍵字過濾[11],即使IP地址未被封鎖,也不能訪問。

不過,GFW對於網頁中含有的關鍵字字元並不是100%可以過濾成功,即使某些網頁被成功攔截並導致「該頁無法顯示」,此時只要在瀏覽器進行多番刷新就有機會顯示出來。而且,GFW還會偶爾出現故障而導致關鍵字過濾系統失效,此時部分只被網址關鍵字過濾的網站就能正常使用(如my.opera.com)。

有報導稱,防火長城會專門過濾Google.com的查詢返回結果中的網頁地址,但對關鍵字的過濾並不嚴格。這就說明,對於Google.com和Google.cn返回的大量網頁,防火長城使用了更經濟而有效的方法審查。

從GFW的分佈來看,審查過濾系統主要位於國際出口處,但最近通過對審查過濾系統返回的RST複位包IP頭進行(TTL值)分析,發現存在兩個欺騙源,其一位於國際出口處,另一個位於骨幹網省級接入處。因此推測GFW對於境內的非法內容也具有一定審查能力。值得提到的是,對於境內網路內容的審查主要是通過ICP備案來實現的。

2007年2月前後,GFW開始對境外及境內的WAP網站含有的敏感字元進行過濾,原本在移動版Google可以打開的維基百科中文版現已不能通過Google網頁轉換功能進行訪問,連帶的就是在訪問含有「zh.wikipedia.org」的Google連結後,5分鐘內再次訪問Google被阻斷。

關鍵字過濾-複位包分析

Flickr图片服务器网址被列入关键字系统导致无法显示任何图片。
Flickr圖片伺服器網址被列入關鍵字系統導致無法顯示任何圖片。

分析過程採用任意sniffer軟體記錄HTTP客戶端PC進出站數據包,只考慮TCP連接本身,忽略DNSARP及其他。分析進站RST複位包IP頭TTL欄位值可認為邏輯上存在兩個欺騙源(實際可能只是初始TTL不同),為方便敘述,將它們分別稱為「偽源1」和「偽源2」,偽源1離客戶端PC路由跳計數較大,邏輯位置大致在網際網路運營商國際出口處,偽源2離客戶端PC路由跳計數較小,邏輯位置大致在網際網路運營商骨幹網省級大節點處。

  • IP頭部分:
    1. Identification(標識)欄位:在第一批RST包中,偽源1和偽源2將其設置為一個固定的值,而正常的處理方式是發送的每個IP報文都有不同的標識值,一般按生成次序遞增。觀察中發現偽源2的第二批RST包中該欄位值會改變。
    2. Flags(分片標誌)欄位:偽源1和偽源2處理方式不同,例如偽源1將DF(不分片)標誌置0,偽源2將DF標誌置1。
    3. Time to Live(生存時間)欄位:如前所述,偽源1的RST包到達客戶端PC時經過的跳計數較大,而偽源2較小,且可推測與真正的源物理位置有差距。
  • TCP頭部分:
    1. Sequence number(序列號)欄位:關鍵字過濾系統很可能會偶而繁忙導致本地出口堵塞,以致RST包發送延遲並晚于真正的源發回的數據包到達客戶端PC,造成RST包被客戶端PC丟棄,從而整個過濾干預行為失敗。考慮到這個因素,偽源還具有序列號預測功能,例如偽源2相鄰的3個RST包中該值分別相差1460(乙太網默認MSS值)和2920(即1460*2)。
    2. Window size(窗口大小)欄位:偽源1和偽源2處理方式不同,例如偽源1似乎為該欄位設置了一個隨機值,偽源2將其置0。正常的RST包是將該欄位置0。

這種關鍵字過濾-複位技術對TCP連接有效。如今被廣泛應用的HTTP協議,正是使用TCP作為傳輸層協議。從目前來看,GFW對HTTP報文的過濾似乎僅限於HTTP頭,通常URL請求就位於HTTP頭部分,而GFW對HTTP數據部分很可能不作過濾[12],這正是某些用PHP編寫的HTTP在線代理能避開關鍵字過濾的原因,例如PHProxy,因為它將明文的URL請求放在HTTP數據部分。由於GFW發送的RST複位包是偽造的,也有人在探討繞開它的途徑[13]

不同的IDS有可能在一段預定或隨機的時間內持續干擾的兩計算機間的所有TCP通信。所以在訪問境外網站時,如果數據流里有敏感字詞,即會立即被提示「該頁無法顯示」或網頁開啟一部分後突然停止,隨後在1-3分鐘或更長時間內無法用同一IP瀏覽此域名或IP地址上的內容。據猜測,屏蔽時間和敏感詞等級以及所屬網站有關。此種過濾是雙向的,也就是說,國內含有關鍵詞的網站在國外不可訪問(如在百度搜索一塌糊塗BBS),國外含有關鍵詞的網站在國內不可訪問[14]

另一方面,這種技術對UDP(DNS通常使用UDP,GFW對捕獲的DNS查詢報文也進行關鍵字過濾並返回偽DNS響應[15],但因UDP沒有複位標誌而無法進行傳輸層的干擾)及其他第四層協議無效,對明文數據有效,對加密數據無效。

HTTPS證書過濾

部分人發現少數特定證書的傳輸被阻斷,導致HTTPS連接中斷。由於HTTPS本身的特點,這並不意味著與網站傳輸的內容可被破譯。

對破網軟體的反制

針對網上突破防火長城的各類破網軟體,防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。比如每年的特定關鍵時間點,無界等軟體就可能會無法正常連接或連接異常緩慢,這時境內外的正常網路互聯亦會受到干擾。[來源請求]

針對Tor,有分析認為中國大陸公安網路審查部門採取了新的封鎖措施——建立虛假Tor節點。鑒於無法真正的完全封鎖Tor,網路安全部門在中國國內網路中安裝了大量虛假 Tor節點伺服器,所有經過這些"節點"的信息都將被最大程度的審查,與此同時,所有到達這些虛假節點的網路請求都將被屏蔽。有意見認為因為此舉會暴露防火長城的位置,中國大陸公安網路審查部門對虛假節點的設立有所節制。但另一方面,tor節點的大量增加很可能僅僅是因為國內用戶增加的緣故,即使存在有虛假節點,對於使用圖形界面Vidalia的用戶也可以輕鬆將含有境內節點的路由刪除,以確保安全。

對電子郵件通訊的攔截

2007年7月17日,大量使用中國國內郵件服務商的用戶與國外通信出現了退信、丟信等普遍現象,癥狀為:

  • 中國國內郵箱給國外域發信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 中國國內郵箱用戶給國外域發信,對方收到郵件時內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。
  • 中國國內郵箱給國外域發信收到退信,退信提示「Connected to ***.***.***.*** but connection died. (#4.4.2)」
  • 國外域給中國國內郵箱發信時收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 國外域給中國國內郵箱發信後,中國國內郵箱用戶收到的郵件內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

對此,新浪的解釋是「近期網際網路國際線路出口不穩定,國內多數大型郵件服務提供商均受到影響,在此期間您與國外域名通信可能會出現退信、丟信等現象。為此,新浪VIP郵箱正在採取措施,力爭儘快妥善解決該問題。」而萬網客戶服務中心的解釋是「關於近期國內網際網路國際出口存在未知的技術問題導致國內用戶與國外通信可能會出現退信、丟信等普遍現象,萬網公司高度重視,一直積極和國家相關機構彙報溝通,並組織了精良的技術力量努力尋找解決方案。」[16]

有網友推測由於GFW會過濾進出郵件,當發現敏感(關鍵)字後往兩邊各發送三個偽造的reset斷掉連接,通常都發生在數據傳輸中間,所以會干擾到內容。[17]

GFW測試

部分网站的IP Tracert图,依次为Google Blogspot、维基百科、亚洲电视
部分網站的IP Tracert圖,依次為Google Blogspot維基百科亞洲電視

測試網站IP是否被屏蔽或網址是否被列入了關鍵字過濾名單,可以使用以下方法。

中國大陸境外

  • 打開這個網站,然後按指引測試(僅測試IP是否被屏蔽)。
  • 打開百度,輸入要測試網站網址的全部或要測試的關鍵字,若返回「無法顯示」就證明該字元的關鍵字過濾生效。

中國大陸境內

對於境外所有不能直接訪問的網址:

  • 在瀏覽器中設置一位於境外的有效的普通HTTP代理伺服器。如果能訪問,說明該網址可能是被域名劫持或IP封鎖(或兩者同時生效),需要進一步排查;如果還不能訪問,排除網站故障的因素,則該網址已被列入關鍵字過濾黑名單。
  • 使用作業系統的trace route命令對網址進行IP路由跟蹤,windows系統使用tracert -d命令(加參數-d以避免逆向DNS解析等待)。如果在運營商骨幹網段出現「timeout」或者「reports: Destination host unreachable」,說明IP封鎖生效(也可能是域名劫持,兩者很難區分,可以通過設置不同的DNS伺服器進行比較)。
  • 如果同時出現設置普通HTTP代理伺服器仍無法訪問並且trace route路徑中斷,則IP封鎖和關鍵字過濾同時生效。

會被過濾的網站

所有境外的網站都受到關鍵詞過濾的影響,可能出現暫時不可訪問。被固定封鎖的網站類型包括:部分色情論壇和網站;所有涉及民運法輪功或具有法輪功背景的以及在中國大陸被查禁的宗教的網站;大部分人權組織的網站;台灣的部分政府網站;大多數香港、台灣的新聞網站或綜合網站中提供新聞的分站;部分海外提供Web 2.0或個人網站服務的知名或影響較大的站點;部分個人網站;部分文件寄存網站。

這些類型的網站被封鎖的主要原因是因為其網站上發布中國政府不能接受的政治內容或未經國內政治審查過的新聞(比如中國2002年SARS事件在中國政府揭露事實真相前關於SARS的相關報導和討論)等方面的內容,有些綜合性或技術性的網站只是含有少量的或可能牽涉到這些信息而被整體封鎖,例如曾經對Google的全面封鎖。

奧運與GFW

參見:中華人民共和國網路審查#奧運期間的中國網際網路

法新社報導,中國政府曾討論是否在北京奧運會期間放寬GFW的屏蔽範圍[18]。在奧運前夕,曾一度被限制訪問的Blogger中國時報、香港明報等網站陸續被解除封鎖,中文維基BBC中文網和大赦國際網站等網站在8月1日亦被證實解封[19],但部分被禁網站仍然未被解禁,包括法輪功網站、西藏流亡政府網站以及和六四事件相關的網站[20]。有外國媒體指責中國政府違背先前全面開放網際網路的承諾,奧組委發言人孫維德表示,奧運期間將提供媒體「充分」的網路使用權,但外國記者上網不會完全不受限制。根據中國的法律,不得通過網際網路傳播違反法律的信息,如宣揚「法輪功」邪教,以危害國家利益。希望媒體尊重中國有關法律法規」。[21]國際奧委會新聞委員會主席高斯帕也表示,國際奧委會一些官員和中國當局已達成協議,同意中國封鎖一些被認為是敏感的、同奧運無關的網站[22]

註釋

  1. ^ Great Firewall of China。2008年1月30日新增。
  2. ^ 百度日本站被GFW屏蔽 疑與色情內容有關,人民網(中國大陸無法訪問百度日文的原因有觀點認為與GFW無關,詳情見百度
  3. ^ JR, Crandall, "ConceptDoppler: A Weather Tracker for Internet Censorship", Computer and Communications Security
  4. ^ (简体中文)Blue的炫影(2008年3月24日).「連接被重置」(上):現象和實情.譯言.於2008年8月29日查閱.
  5. ^ (简体中文)Blue的炫影(2008年3月24日).「連接被重置」(中):原理和對策.譯言.於2008年8月29日查閱.
  6. ^ (简体中文)Blue的炫影(2008年3月24日).「連接被重置」(下):思考和展望.譯言.於2008年8月29日查閱.
  7. ^ (简体中文)关于墙的技术讨论 | 我blog故我在.我blog故我在(2008年8月16日).於2008年8月16日查閱.
  8. ^ Asia Pacific Root servers亞太網際網路信息中心
  9. ^ 這一例子的特殊性在於--Google新聞中的圖片地址都是以news.google.com開頭,因此當請求的圖片連結中有關鍵字被檢測到,例如來自BBC新聞的news.bbc.co.uk,所有來自news.google.com的數據都會被暫時干擾中斷。另外值得一提的是,Google的web服務幾乎都採用gzip壓縮編碼,因此HTTP數據部分即顯示的頁面內容不太可能被過濾,只有位於客戶端HTTP頭的請求URL內含有關鍵字才可能被檢測到。
  10. ^思科公司為中國特製了數據包級別的內容過濾路由器(content filtering router),而中國的路由器80%是思科公司的。」正在進行中的「金盾工程」是一個與Novell的合作項目。這個工程將包括生化監控、人工智慧、自動識別等技術。
  11. ^ 例如維基百科中文網的網址(zh.wikipedia.org)列入了屏蔽關鍵詞中,故導致無論使用什麼類型或網址的代理伺服器都不能正常登入維基中文版。
  12. ^ 大陸境內可以做這樣的簡單驗證實驗:在本地主機安裝HTTP服務端程序,例如Apache,不要載入任何壓縮或加密模塊,調試完成後(完成的標誌是在其他主機上能訪問本地頁面)在本地主機上用瀏覽器瀏覽本地頁面,瀏覽器預先設置一普通的海外HTTP代理伺服器,本地頁面文件名不要帶敏感關鍵字,例如默認index.html即可,頁面內容任意填充GFW敏感關鍵字,結果是瀏覽無礙;然後將頁面文件名改名,帶敏感關鍵字,例如falungong.html(法輪功),結果是訪問頁面被重置。本地瀏覽器設置海外代理的作用是強制HTTP數據通過GFW,也可以在海外的某主機上直接瀏覽本地頁面,只要數據經過GFW即可。
  13. ^ 如何忽略防火長城 University of Cambridge, Computer Laboratory Richard Clayton, Steven J. Murdoch, and Robert N. M. Watson
  14. ^ Google.cn除外,原因是國外DNS伺服器會將此域名同樣指向美國的Google伺服器。
  15. ^ 例如直接使用海外DNS查詢主機名6park.com,用sniffer記錄進站數據包可以看到若干偽DNS響應,均指向Google,而真正的主機地址是70.85.39.9
  16. ^ 萬網關於海外郵件通信問題的進展通告
  17. ^ GFW讓郵件內容變成了aaazzzaaazzzaaazzzaaazzzaaazzz
  18. ^ (英文)China may relax Internet curbs during the Olympics: official〉[中國可能在奧運會期間放寬對網際網路的限制措施:官方],Google - 法新社,2008年2月5日. 
  19. ^ (簡體中文)胡錦濤接受外國媒體記者採訪.BBC(2008年8月1日).於2008年8月1日查閱.
  20. ^ (簡體中文)奧運前夕中國解禁國際特赦網站.BBC(2008年8月1日).於2008年8月1日查閱.
  21. ^因無法登錄「 法輪功」 等網站,外媒指責中國政府未兌現奧運〉,齊魯晚報.於2008年8月31日查閱. 
  22. ^北京奧組委:外國記者上網不會完全不受限〉,聯合早報,2008年7月31日. 

參見

维基新闻标志
維基新聞相關報導:
中國大陸外用戶訪問國內帶有敏感詞的網頁可能會被重置連接

外部連結


! __







Why are we here?
All text is available under the terms of the GNU Free Documentation License
This page is cache of Wikipedia. History