(续前页)
针对HTTP协议的关键字阻断[编辑]
2002年左右开始,中国大陆研发了一套关键字过滤系统。这个系统能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求数据包的标头(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST封包(Reset)干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(如“falun”等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。
2010年3月23日,Google宣布关闭中国服务器(Google.cn)的网页搜索服务,改由Google香港域名Google.com.hk提供后,由于其服务器位于大陆境外必须经过防火长城,所以防火长城对其进行了极其严格的关键词审查。一些常见的中共高官的姓氏,如“胡”、“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“毛”、“江”、“令”,及常见姓氏“王”、“刘”、“彭”等简体中文单字,当局实行一刀切政策全部封锁,即“学习”、“温泉”、“李白”、“圆周率”也无法搜索,使Google在中国大陆境内频繁出现无法访问或搜索中断的问题。2011年4月,防火长城开始逐步干扰Google.com.hk的搜索服务。2012年10月下旬起,防火长城使用更巧妙方式干扰Google搜索,部分用户在点击搜索结果链接跳转时一直被卡住,一直卡了6分钟之后客户端发送RST重置,然后页面一片空白。原因是链接跳转使用的是HTTP,用HTTPS跳转无影响。[31]
这种阻断可以双向工作。在中华人民共和国境外访问位于境内的网站时,如果在数据包头部出现部分关键字,连接也可能会被阻断。两者的关键词列表并不完全相同,比如在境外使用知网搜索“法轮功”连接会被阻断,并且90秒无法访问,搜索“六四”则不会,在中华人民共和国境内访问境外网站时两者都会被阻断。
由于HTTPS采取加密传输,关键词阻断无法对网页传输造成影响。但由于身份认证证书信息是明文传输,因此阻断仍然是有可能的。
后来Google等网站开始采用HTTPS传输数据,针对HTTP协议的关键字阻断对相当一部分网站已经失去作用。
针对TLS的SNI阻断[编辑]
虽然TLS能保证全程内容加密而且发现连接被干扰时警告并中断,但是对于SNI信息仍然是未加密的,仍可以被识别出访问域名。从2018年8月24日开始,开始出现基于SNI的检测机制,维基百科部分项目、日本亚马逊等启用https服务的网站同样被封锁。[32]
针对TLS的证书传输检测[编辑]
由于TLS在握手期间,服务器传输站点证书时同样也是明文传输的,防火长城可以对证书的信息进行检测,从而是否需要被拦截的站点而中断TCP连接。
自2017年9月19日起,防火长城开始启用CA证书检测,若经过防火长城时,一旦探测到相关域名如:Google,Facebook,Youtube,Twitter,WhatsApp的CA证书,对应IP通信会被拦截切断。若使用SNI服务器IP反向代理部分域名也会被拦截(网站会提示ERR_CONNECTION_CLOSED 意外终止了连接),但并不是全部IP都会被拦截,可用IP极少。拦截只针对经过出口路由上。[来源请求]
对eD2k协议的连接干扰[编辑]
从2011年开始,防火长城开始对所有境外eD2k服务器进行审查。当境内用户使用eD2k协议例如eMule使用模糊协议连接境外服务器时会被无条件阻断,迫使eMule使用普通方式连接境外服务器;同时防火长城对所有普通eD2k连接进行关键字审查,若发现传输内容含有关键字,则马上切断用户与境外服务器的连接,此举阻止了用户获取来源和散布共享文件信息,从而阻碍使用eD2k协议软件的正常工作。[33][34]
其他[编辑]
对破网软件的反制[编辑]
因为防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。
同时根据中国大陆网民反映,防火长城现已有能力对基于PPTP和L2TP协议的VPN连接进行监控和封锁,这使得大陆网民突破防火长城的封锁变得更加困难。2015年1月起,部分国外VPN服务在中国大陆无法正常使用,这些VPN使用的是L2TP/IPSec和PPTP协议。[35]
针对Tor的刺探[编辑]
Tor项目的研究人员则发现防火长城会对各种基于TLS加密技术的连接进行刺探[36],刺探的类型有两种:
“垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[37],目的是在用户建立加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。
针对Tor,当中国的一个Tor客户端与境外的网桥中继建立连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。
间歇性完全封锁[编辑]
间歇性封锁国际出口[编辑]
从2011年5月6日起,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[38]。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络“白名单”制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[39]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司“有动机”去阻碍用户访问国外网站。一位工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[40][41]
境内骨干路由器间歇性阻断[编辑]
2012年10月下旬,Google位于北京的服务器被国家级骨干路由器长时间干扰连接,包括中国大陆境内用户在内访问时返回“连接超时”错误,造成大量基于Hosts技术利用Google北京服务器作为反向代理访问Google服务的用户和软件无法正常使用,例如GoAgent。测试指出数据包经过部分国家级骨干路由器时被选择性丢弃,造成与服务器连接的丢包率飙升,甚至有部分用户反映被完全阻断与服务器之间的连接。
深度包检测[编辑]
深度封包检测(Deep packet inspection,DPI)是一种于应用层对网路上传递的资料进行侦测与处理的技术,被广泛用于入侵检测、流量分析及数据挖掘。就字面意思考虑,所谓“深度”是相对于普通的报文检测而言的——相较普通的报文检测,DPI可对报文内容和协议特征进行检测。
在中国大陆,DPI一度被ISP用于追踪用户行为以改善其广告推送业务的精准性,而最近则被国外视为防火长城城赖以检测关键词及嗅探加密流量的重要技术之一[42]。基于必要的硬件设施、适宜的检测模型及相应的模式匹配算法,防火长城能够精确且快速地从实时网络环境中判别出有悖于预期标准的可疑流量,并对此及时作出审查者所期望的应对措施。
华为公司曾被媒体指责涉及向伊朗政府提供DPI所依赖的硬件支持以帮助后者开展网络审查工作[43]。
针对IPv6协议的审查[编辑]
IPv6(互联网通信协议第6版)是被指定为IPv4继任者的下一代互联网协议版本。在IPv4网络,当时的网络设计者认为在网络协议栈的底层并不重要,安全性的责任在应用层。但是即使应用层数据本身是加密的,携带它的IP数据仍会泄漏给其他参与处理的进程和系统,造成IP数据包容易受到诸如信息包探测(如防火长城的关键字阻断)、IP欺骗、连接截获等手段的会话劫持攻击。虽然用于网络层加密与认证的IPsec协议可以应用于IPv4中,以保护IPv4网络层数据的安全,但IPsec只是作为IPv4的一个可选项,没有任何强制性措施用以保证IPsec在IPv4中的实施。因为防火长城是挂载在国家级骨干路由器的旁路设备,而网络数据传输必须知道数据包来源地与数据包的目的地才能完成路由转发,故在IPv4协议时代实施的针对IP地址封锁技术和特定IP地址端口封锁技术依然对IPv6有效。
方滨兴在他的讲话《五个层面解读国家信息安全保障体系》中曾经说道:“比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么。”[44]
自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接https://www.google.com.hk/几乎是每次连接均收到攻击,而其它连接例如https://ipv6.google.com/和https://accounts.google.com/也有受到攻击的报告,但攻击发生的机率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的google证书不同,显示谷歌在中国教育网上受到中间人攻击(MITM attack)。[45][46]
现阶段防火长城已经具备干扰IPv6隧道的能力[47],因为IPv6隧道在用户到远程IPv6服务器之间的隧道是建立在IPv4协议上的,因为数据传输分片的问题或者端点未进行IPSec保护的时候很有可能暴露自己正在传输的数据,让防火长城有可乘之机干扰切断连接。另外因为防火长城实行DNS污染,通过域名来访问IPv6服务器时可能也会因错误解析而无法访问。
对电子邮件通讯的拦截[编辑]
正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。也有网友根据防火长城会过滤进出境邮件的特性,寻找到防火长城部署的位置。[48]
2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[49],症状为:
中国国内邮箱给国外域发信收到退信,退信提示“Remote host said: 551 User not local; please try <forward-path>”
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
中国国内邮箱给国外域发信收到退信,退信提示“Connected to *.*.*.* but connection died.(#4.4.2)”
国外域给中国国内邮箱发信时收到退信,退信提示“Remote host said: 551 User not local; please try <forward-path>”
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
对此,新浪的解释是“近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。”[50]
2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[51]12月30日,Gmail已在中国大陆境内恢复部分功能。[52][53]但Gmail网页版仍被屏蔽。
网路攻击[编辑]
参见:大炮 (中国网路审查)和旁观者攻击
中华人民共和国从2015年3月开始,使用一种被称为“大炮”的网路攻击攻击方案,对可能涉及违反审查要求的特定网站,进行分散式阻断服务攻击(DDoS)。[54][55][56]
其中2015年3月针对Github的攻击,通过包括劫持常见的网站工具脚本植入攻击代码、一些常见浏览器漏洞等方法,持续五天对Github网站进行攻击,导致网站全球访问速度缓慢。[57]中国政府对此否认有关。[58] [59]
硬件[编辑]
典型意义下GFW的线路拓扑
据2010年的估计,防火长城可能拥有数百台曙光4000L服务器[60]。
防火长城(北京)使用曙光4000L机群,操作系统为Red Hat系列(从7.2到7.3到AS 4),周边软件见曙光4000L一般配置
防火长城实验室(哈尔滨工业大学)使用曙光服务器,Red Hat操作系统
防火长城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。2007年防火长城集群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。
有理由相信防火长城(北京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度48万亿次[来源请求]。
2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48(一路OC48约2.5Gbps)接口网络数据。曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为512Gbps甚至更高(北京)。
相关事件[编辑]
此章节可能过于冗长。请将不重要细节移除;若仍太长,可将重要细节分割为新页面。 (2019年2月)
参见:中华人民共和国网络审查
针对网络封锁的诉讼[编辑]
本页面最后修订于2019年3月14日 (星期四) 00:15。