close

防火長城(GFW)

防火長城(金盾工程中的最大重點),也稱中國防火牆或中國國家防火牆,是對中華人民共和國政府在其管轄互聯網內部建立的多套網絡審查系統(包括相關行政審查系統)的俗稱。其名稱得自於2002年5月17日 Charles R. Smith所寫的一篇關於中國網絡審查的文章《The Great Firewall of China》,取與Great Wall(長城)相諧的效果,簡寫為Great Firewall,縮寫GFW,戲稱功夫網(Gong Fu Wang)。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。

一般情況下,防火長城主要指中國政府監控和過濾互聯網內容的軟硬件系統,由服務器和路由器等設備,加上相關的應用程序所構成。由於中國網絡審查廣泛,中國國內含有「不合適」內容的的網站,會受到政府直接的行政干預,被要求自我審查、自我監管,乃至關閉,故防火長城主要作用在於分析和過濾中國境內外網絡的資訊互相訪問。

然而,利用防火長城等技術手段對網絡內容的審查在一定程度上限制了言論自由,在何種程度上、採取何種手段進行網絡審查一直是受爭議的話題。也有報告認為,防火長城其實是一種圓形監獄式的全面監控,以達到自我審查的目的。

中國擁有防火長城外,還有一套網絡安全軟件構架的金盾工程。目前還沒有發現兩者之間有明確的關聯。

主要技術:



域名劫持

全球一共有13組根域名服務器(root server),目前中國大陸有 F、I、J 這3個根域DNS鏡像。

2002年左右,中國大陸網絡安全單位開始採用域名劫持技術,用路由器提供的IDS監測系統來進行域名劫持,防止了一般民眾訪問被過濾的網站。

國家入口網關的IP封鎖

從90年代初期,中國大陸只有教育網、高能所和公用數據網3個國家級網關出口,中國政府對認為違反中國國家法律法規的站點進行IP封鎖。當時,這是一種有效的封鎖技術。但是,只要找到一個普通的海外Proxy,然後通過Proxy就可以繞過這種封鎖。現在,網絡安全部門通常會將中國政府認為特別反動的網站的網址加入關鍵字過濾系統,以防止民眾透過普通海外HTTP代理服務器訪問。

一般情況下,GFW對於海外「非法」網站會採取獨立IP封鎖技術。然而,部分「非法」網站使用的是由虛擬主機服務提供商提供的多域名、單(同)IP的主機托管服務,這就會造成了封禁某個IP,就會造成所有使用該服務提供商服務的其他使用相同IP的網站用戶一同遭殃,就算是內容健康、正當的網站,也不能倖免(如森美的個人網站,內容並無不當之處,但網站使用的是虛擬主機托管服務,而因為有一個香港BBS亦使用該托管服務,這就造成了GFW為了封鎖該BBS,直接把這個固定IP:203.80.210.5封禁了。隨之,有82個香港網站由於GFW封鎖了這個IP地址,不論合法與否,都不能在中國大陸訪問)。

主幹路由器關鍵字過濾阻斷

在2002年左右,中國大陸研發了一套關鍵字過濾系統,並規定各個因特網服務提供商必須使用。這套設備思科等公司的高級路由設備建立,最主要的就是IDS(Intrusion Detection System)--入侵檢測系統。這個系統能夠從計算機網絡系統中的關鍵點(如國家級網關)收集分析信息,過濾、嗅探指定的關鍵字,並進行智能識別,檢查網絡中是否有違反安全策略的行為。利用這些設備主要進行IP數據包內容的過濾,如果符合既定的規則,則向該連接兩端的計算機發送IP欺騙性質(從前後IP報頭TTL值相差較大可知)的RST復位包,干擾兩者間正常的TCP連接,使數據流中斷,而在終端主機上會顯示連接失敗。

被屏蔽過濾的關鍵詞主要是與民運、法輪功相關的詞彙及部分網站的網址上。

在任何海外搜索引擎網站搜索防火長城關鍵字列表裡面的任何關鍵字時,會馬上觸發GFW導致「該頁無法顯示」。

任何海外網站網頁中如果含有防火長城關鍵字列表的小部分關鍵字時,就有機會觸發GFW而導致網頁下載突然出錯、停止或立即出現「該頁無法顯示」。

某些特定的海外網站網址會被列入關鍵字過濾,即使IP地址未被封鎖,也不能訪問。

不過,GFW對於網頁中含有的關鍵字字符並不是100%可以過濾成功,即使某些網頁被成功攔截並導致「該頁無法顯示」,此時只要在瀏覽器進行多番刷新就有機會顯示出來。而且,GFW還會偶爾出現故障而導致關鍵字過濾系統失效,此時部分只被網址關鍵字過濾的網站就能正常使用(如my.opera.com)。

有報導稱,防火長城會專門過濾Google.com的查詢返回結果中的網頁地址,但對關鍵字的過濾並不嚴格。這就說明,對於Google.com和Google.cn返回的大量網頁,防火長城使用了更經濟而有效的方法審查。

從GFW的分佈來看,審查過濾系統主要位於國際出口處,但最近通過對審查過濾系統返回的RST復位包IP頭進行(TTL值)分析,發現存在兩個欺騙源,其一位於國際出口處,另一個位於骨幹網省級接入處。因此推測GFW對於境內的非法內容也具有一定審查能力。值得提到的是,對於境內網絡內容的審查主要是通過ICP備案來實現的。

從2007年2月前後,GFW開始對境外及境內的WAP網站含有的敏感字符進行過濾,原本在移動版Google可以打開的維基百科中文版現已不能通過Google網頁轉換功能進行訪問,連帶的就是在訪問含有「zh.wikipedia.org」的Google鏈接後,5分鐘內再次訪問Google被阻斷。

關鍵字過濾-復位包分析

分析過程採用任意sniffer軟件記錄HTTP客戶端PC進出站數據包,只考慮TCP連接本身,忽略DNS、ARP及其他。分析進站RST復位包IP頭TTL字段值可認為邏輯上存在兩個欺騙源(實際可能只是初始TTL不同),為方便敘述,將它們分別稱為「偽源1」和「偽源2」,偽源1離客戶端PC路由跳計數較大,邏輯位置大致在互聯網運營商國際出口處,偽源2離客戶端PC路由跳計數較小,邏輯位置大致在互聯網運營商骨幹網省級大節點處。

IP頭部分:

Identification(標識)字段:在第一批RST包中,偽源1和偽源2將其設置為一個固定的值,而正常的處理方式是發送的每個IP報文都有不同的標識值,一般按生成次序遞增。觀察中發現偽源2的第二批RST包中該字段值會改變。

Flags(分片標誌)字段:偽源1和偽源2處理方式不同,例如偽源1將DF(不分片)標誌置0,偽源2將DF標誌置1。

Time to Live(生存時間)字段:如前所述,偽源1的RST包到達客戶端PC時經過的跳計數較大,而偽源2較小,且可推測與真正的源物理位置有差距。

TCP頭部分:

Sequence number(序列號)字段:關鍵字過濾系統很可能會偶而繁忙導致本地出口堵塞,以致RST包發送延遲並晚於真正的源發回的數據包到達客戶端PC,造成RST包被客戶端PC丟棄,從而整個過濾干預行為失敗。考慮到這個因素,偽源還具有序列號預測功能,例如偽源2相鄰的3個RST包中該值分別相差1460(以太網默認MSS值)和2920(即1460*2)。

Window size(窗口大小)字段:偽源1和偽源2處理方式不同,例如偽源1似乎為該字段設置了一個隨機值,偽源2將其置0。正常的RST包是將該字段置0。

這種關鍵字過濾-復位技術對TCP連接有效。如今被廣泛應用的HTTP協議,正是使用TCP作為傳輸層協議。從目前來看,GFW對HTTP報文的過濾似乎僅限於HTTP頭,通常URL請求就位於HTTP頭部分,而GFW對HTTP數據部分很可能不作過濾,這正是某些用PHP編寫的HTTP在線代理能避開關鍵字過濾的原因,例如PHProxy,因為它將明文的URL請求放在HTTP數據部分。由於GFW發送的RST復位包是偽造的,也有人在探討繞開它的途徑。

不同的IDS有可能在一段預定或隨機的時間內持續干擾的兩計算機間的所有TCP通信。所以在訪問境外網站時,如果數據流裡有敏感字詞,即會立即被提示「該頁無法顯示」或網頁開啟一部分後突然停止,隨後在1-3分鐘或更長時間內無法用同一IP瀏覽此域名或IP地址上的內容。據猜測,屏蔽時間和敏感詞等級以及所屬網站有關。此種過濾是雙向的,也就是說,國內含有關鍵詞的網站在國外不可訪問(如在百度搜索一塌糊塗BBS),國外含有關鍵詞的網站在國內不可訪問。

另一方面,這種技術對UDP(DNS通常使用UDP,GFW對捕獲的DNS查詢報文也進行關鍵字過濾並返回偽DNS響應,但因UDP沒有復位標誌而無法進行傳輸層的干擾)及其他第四層協議無效,對明文數據有效,對加密數據無效。

HTTPS證書過濾

部分人發現少數特定證書的傳輸被阻斷,導致HTTPS連接中斷。由於HTTPS本身的特點,這並不意味著與網站傳輸的內容可被破譯。

對破網軟件的反制

針對網上突破防火長城的各類破網軟件,防火長城也在技術上做了應對措施以減弱破網軟件的穿透能力。比如每年的特定關鍵時間點,無界等軟件就可能會無法正常連接或連接異常緩慢,這時境內外的正常網絡互聯亦會受到干擾。

針對Tor,有分析認為中國大陸公安網絡審查部門採取了新的封鎖措施——建立虛假Tor節點。鑒於無法真正的完全封鎖Tor,網絡安全部門在中國國內網絡中安裝了大量虛假 Tor節點服務器,所有經過這些"節點"的信息都將被最大程度的審查,與此同時,所有到達這些虛假節點的網絡請求都將被屏蔽。有意見認為因為此舉會暴露防火長城的位置,中國大陸公安網絡審查部門對虛假節點的設立有所節制。[來源請求]但另一方面,tor節點的大量增加很可能僅僅是因為國內用戶增加的緣故,即使存在有虛假節點,對於使用圖形界面Vidalia的用戶也可以輕鬆將含有境內節點的路由刪除,以確保安全。

對電子郵件通訊的攔截

2007年7月17日,大量使用中國國內郵件服務商的用戶與國外通信出現了退信、丟信等普遍現象,症狀為:

中國國內郵箱給國外域發信收到退信,退信提示「Remote host said: 551 User not local; please try 」

中國國內郵箱用戶給國外域發信,對方收到郵件時內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

中國國內郵箱給國外域發信收到退信,退信提示「Connected to ***.***.***.*** but connection died. (#4.4.2)」

國外域給中國國內郵箱發信時收到退信,退信提示「Remote host said: 551 User not local; please try 」

國外域給中國國內郵箱發信後,中國國內郵箱用戶收到的郵件內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

對此,新浪的解釋是「近期互聯網國際線路出口不穩定,國內多數大型郵件服務提供商均受到影響,在此期間您與國外域名通信可能會出現退信、丟信等現象。為此,新浪VIP郵箱正在採取措施,力爭盡快妥善解決該問題。」而萬網客戶服務中心的解釋是「關於近期國內互聯網國際出口存在未知的技術問題導致國內用戶與國外通信可能會出現退信、丟信等普遍現象,萬網公司高度重視,一直積極和國家相關機構匯報溝通,並組織了精良的技術力量努力尋找解決方案。」

有網友推測由於GFW會過濾進出郵件,當發現敏感(關鍵)字後往兩邊各發送三個偽造的reset斷掉連接,通常都發生在數據傳輸中間,所以會干擾到內容。

GFW測試

部分網站的IP Tracert圖,依次為Google Blogspot、維基百科、亞洲電視測試網站IP是否被屏蔽或網址是否被列入了關鍵字過濾名單,可以使用以下方法。

中國大陸境外

打開這個網站(http://www.websitepulse.com/help/testtools.china-test.html),然後按指引測試(僅測試IP是否被屏蔽)。

打開百度,輸入要測試網站網址的全部或要測試的關鍵字,若返回「無法顯示」就證明該字符的關鍵字過濾生效。

中國大陸境內

對於境外所有不能直接訪問的網址:

在瀏覽器中設置一位於境外的有效的普通HTTP代理服務器。如果能訪問,說明該網址可能是被域名劫持或IP封鎖(或兩者同時生效),需要進一步排查;如果還不能訪問,排除網站故障的因素,則該網址已被列入關鍵字過濾黑名單。

使用操作系統的trace route命令對網址進行IP路由跟蹤,windows系統使用tracert -d命令(加參數-d以避免逆向DNS解析等待)。如果在運營商骨幹網段出現「timeout」或者「reports: Destination host unreachable」,說明IP封鎖生效(也可能是域名劫持,兩者很難區分,可以通過設置不同的DNS服務器進行比較)。

如果同時出現設置普通HTTP代理服務器仍無法訪問並且trace route路徑中斷,則IP封鎖和關鍵字過濾同時生效。

會被過濾的網站

所有境外的網站都受到關鍵詞過濾的影響,可能出現暫時不可訪問。被固定封鎖的網站類型包括:部分色情論壇和網站;所有涉及民運、法輪功或具有法輪功背景的以及在中國大陸被查禁的宗教的網站;大部分人權組織的網站;台灣的部分政府網站;大多數香港、台灣的新聞網站或綜合網站中提供新聞的分站甚至與政治毫無關聯的學術網站;部分海外提供Web 2.0或個人網站服務的知名或影響較大的站點;部分個人網站;部分文件寄存網站。

這些類型的網站被封鎖的主要原因是因為其網站上發佈中國政府不能接受的政治內容或未經國內政治審查過的新聞(比如中國2002年的SARS事件在中國政府揭露事實真相前關於SARS的相關報道和討論)等方面的內容,有些綜合性或技術性的網站只是含有少量的或可能牽涉到這些信息而被整體封鎖,例如曾經對Google的全面封鎖。

北京奧運與GFW

據法新社報道,中國政府曾討論是否在北京奧運會期間放寬GFW的屏蔽範圍。在奧運前夕,曾一度被限制訪問的Blogger、中國時報、香港明報等網站陸續被解除封鎖,中文維基、BBC中文網和大赦國際網站等網站在8月1日亦被證實解封,但部分被禁網站仍然未被解禁,包括法輪功網站、西藏流亡政府網站以及和六四事件相關的網站。有外國媒體指責中國政府違背先前全面開放互聯網的承諾,奧組委發言人孫偉德表示,奧運期間將提供媒體「充分」的網絡使用權,但外國記者上網不會完全不受限制。根據中國的法律,不得通過互聯網傳播違反法律的信息,如宣揚「法輪功」x教,以危害國家利益。希望媒體尊重中國有關法律法規」。國際奧委會新聞委員會主席高斯帕也表示,國際奧委會一些官員和中國當局已達成協議,同意中國封鎖一些被認為是敏感的、同奧運無關的網站。

奧運會結束數月後,中國政府對海外新聞網站的封鎖又重新開始。至2008年12月,重新被封鎖的網站包括德國之聲、BBC、美國之音、法廣、澳廣、加拿大廣播電台等新聞機構的中文網站。此外,根據基地在美國的非盈利維權組織「自由之家」16日發佈的新聞稿,這次遭中國政府封閉的還有一些被視為敏感的網站,包括「記者無國界」、亞洲週刊和香港的明報。外交部發言人劉建超表示,中國總體上是採取對外開放的政策,但是中國和其他國家一樣,對於網站還是要依法做必要的管理,某些網站確實存在違反中國法律的事情。有評論認為,當局此次收緊輿論控制是為了防止經濟危機進一步轉化為社會與政治危機。

金盾工程『獨領風騷』 法輪功網民3死108人遭監禁(圖)

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 家倫 的頭像
    家倫

    家倫的秘密花園

    家倫 發表在 痞客邦 留言(0) 人氣()