原文链接 https://zh.wikipedia.org/zh-hans/防火长城
防火长城
维基百科,自由的百科全书
Disambig gray.svg “GFW”重定向至此。关于与此名称相似的其他条目,详见“GFW (消歧义)”。
中华人民共和国
National Emblem of the People's Republic of China (2).svg
中华人民共和国政府与政治
防火长城[1](英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙[2],中国大陆民众俗称墙、防火墙、功夫网[3]等等),是对中华人民共和国政府在其互联网边界审查系统(包括相关行政审查系统)的统称。此系统起步于1998年[4],其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》[5],取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW[6]。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所说的“被墙”即指网站内容被防火长城所屏蔽或者指服务器的通讯被封阻,“翻墙”也被引申为突破网络审查浏览境内外被屏蔽的网站或使用服务的行为。
目录
1 简介
2 主要技术
2.1 域名解析服务缓存污染
2.2 IP地址或传输层端口封锁
2.2.1 针对UDP连接的干扰
2.3 TCP连接重置
2.3.1 针对HTTP协议的关键字阻断
2.3.2 针对TLS的SNI阻断
2.3.3 针对TLS的证书传输检测
2.3.4 对eD2k协议的连接干扰
2.4 其他
2.4.1 对破网软件的反制
2.4.1.1 针对Tor的刺探
2.4.2 间歇性完全封锁
2.4.2.1 间歇性封锁国际出口
2.4.2.2 境内骨干路由器间歇性阻断
2.4.3 深度包检测
2.4.4 针对IPv6协议的审查
2.4.5 对电子邮件通讯的拦截
2.4.6 网路攻击
3 硬件
4 相关事件
4.1 针对网络封锁的诉讼
4.2 北京奥运会
4.3 对谷歌的封锁
4.4 对维基百科的封锁
4.5 2013年对代码托管网站GitHub的审查和封锁
4.6 2014年中国网络异常事件
4.7 亚太经合组织(APEC)会议
4.8 世界互联网大会
4.9 2015年加剧封锁
4.10 被美国列为贸易壁垒
4.11 Steam社区网站被屏蔽
4.12 因提供翻墙服务而获刑
4.13 因翻墙而受到处罚
5 参考文献
5.1 引用
5.2 来源
6 外部链接
7 参见
简介[编辑]
一般情况下,防火长城主要指中国政府监控和过滤互联网国际出口上内容的软硬件系统的集合。例如监视系统就曾与美商合作,构建类似美国的棱镜计划的深度侦查机制,但中国政府并进一步设定将查获的特定网点阻断等,造成大家所熟知的连线错误现象,因此防火墙不是中国特有的一个专门单位,是由分散部门的各服务器和路由器等设备,加上相关公司的应用程序所构成,是一个跨军民合作的大型资讯管制系统,实际上就如大多数国家也会建立网路监管一样。不过其他政府的管理仅止于金融洗钱、国际诈骗等犯罪行为,与中国的审查机制有著相当大的不同。防火长城的作用主要是监控国际网关上的通讯,对认为不符合中共官方要求的传输内容,进行干扰、阻断、屏蔽。由于中国网络审查广泛,中国国内含有“不合适”内容的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境外网络的资讯互相存取。中国工程院院士、北京邮电大学前校长方滨兴是防火长城关键部分的首要设计师[2][4][7][8]。
然而,防火长城对网络内容的审查是否没有限制和不违反言论自由,一直是受争议的话题,官方说辞也相当笼统。有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[9]。而中共当局一直没有正式对外承认防火长城的存在[来源请求],如当有记者在外交部新闻发布会上问及互联网封锁等问题的时候,发言人的答案基本都是“中国政府鼓励和支持互联网发展,依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。”方滨兴曾在访问中被问及防火长城是如何运作的时候,他指这是“国家机密”。不过2015年1月与官方有密切关联的《环球时报》则发布报道曾公开宣扬其存在。[10]
在中国大陆民众内部,由于内部蓬勃的互联网企业,墙的存在感也逐渐被忽略,经过18个月的调查研究后,北京大学和史丹佛大学两名经济学家在2018年得出了结论,中国大学生对于获取未经审查的政治敏感信息漠不关心。他们给北京两所大学的近1000名学生提供了能够绕过审查的免费工具,但发现近半数学生并没有使用它。在那些使用了的学生中,几乎没人花时间浏览遭到屏蔽的外国新闻网站。[11]
中国还有一套公开在公安部辖下的网络安全项目——金盾工程,其主要功能是处理中国公安管理的业务,涉外饭店管理,出入境管理,治安管理等,所以金盾工程和防火长城的关系一直没有明确的认定。
主要技术[编辑]
域名解析服务缓存污染[编辑]
主条目:域名服务器缓存污染
防火长城对所有经过骨干出口路由的在UDP的53端口上的域名查询会被IDS检测,一经发现与黑名单关键词相匹配的域名查询请求,防火长城会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协议是无连接不可靠的协议,查询者只能接受最先到达的虚假查询结果,并丢弃之后的正确查询结果。用户若改用TCP在53端口上进行DNS查询,虽然不会被防火长城污染,但可能会遭遇连接重置,导致无法获得目标网站的IP地址。
DNSSEC技术为DNS解析服务提供了解析数据验证机制,理论上可以有效抵御劫持。此外,DNSCrypt、DoT、DoH等负载于安全连接的DNS访问也能保护DNS的访问数据不被中间传输设备篡改。
全球一共有13组根域名服务器(Root Server),2010年中国大陆有F、I、J这3个根域DNS镜像[12],但曾因为多次DNS污染外国网络,威胁互联网安全和自由,北京的I根域服务器曾被断开与国际互联网的连接。[13][14]目前已恢复服务。[15]
从2002年左右开始,中国大陆的网络审查机关开始采用域名服务器缓存污染技术,防止了一般民众访问被过滤的网站。对于含有多个IP地址或经常变更IP地址逃避封锁的域名,防火长城通常会使用此方法进行封锁,具体方法是当用户从境内向境内DNS服务器提交域名请求时,DNS服务器要查询根域名服务器,此过程会受防火长城污染。而用户不做任何保护措施直接查询境外DNS时,会受防火长城污染。当用户从境外查询境内服务器(不一定是有效DNS服务器),结果也会被污染。
2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。[16]
2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、Level3、德国电信、Qwest(英语:Qwest)和西班牙电信等多个国家的大型ISP。[17]
2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大面积的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问,其中甚至包括不存在的域名,而Google为各国定制的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡访问的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。有网友推测Google被大面积阻碍连接是因为中共正在召开的十八大。[18]
2014年1月21日下午三点半,中国网站的.com,.net,.org域名解析不正常,网站被错误地解析至65.49.2.178,该IP位于美国北卡罗来纳州的Dynamic Internet Technology,即自由门的开发公司。据推测,可能是操作失误造成的事故。[19][20]
2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[21]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[22]
IP地址或传输层端口封锁[编辑]
在早期技术实现中,会使用访问控制列表(ACL)技术来封锁特定的IP地址,由此延伸可以封锁传输层协议(TCP或UDP)的特定目的端口的网络流量。不过由于大量的ACL匹配会导致网络性能不佳,现在主要是采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。
2011年3月,防火长城曾经对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[23]Google指中国这样的封锁手法高明,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[24][25]
2014年5月27日起,几乎所有Google服务的80和443端口被封锁。[26]2014年12月26日起,Google数段IP被路由扩散封锁,直接导致GMAIL客户端所用的IMAP/SMTP/POP3端口也被封锁。[27][28]
一般情况下,防火长城对于中国大陆境外的“非法”网站会采取独立IP封锁技术,然而部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网站用户一同遭殃,就算是“内容健康、政治无关”的网站,也不能幸免。其中的内容可能并无不当之处,但也不能在中国大陆正常访问。所以基于路由封锁的方法现在主要用于针对自主拥有大量连续地址段的特定网络服务商,例如Google、Twitter、Facebook等;对于内容分发网络(CDN)的地址段可能不会采用这种地址封锁的方法,以避免误封;基于ACL策略可能会在当地的互联网服务商(ISP)中使用,同时用于控制过度往网络发送数据包的控制。
针对UDP连接的干扰[编辑]
针对Google的部分域名,使用HTTP/3(QUIC传输协议)的UDP连接可以有效避开防火长城的审查。但从2019年3月起,出现针对UDP的连接干扰。(错误提示:ERR_QUIC_PROTOCOL_ERROR),目前防火长城仍然无法对UDP连接进行针对性阻拦,但GFW可以干扰其连接,使得目前所有利用 UDP 翻墙的手段都可能会受到干扰,特别是在针对 QUIC 方面会阻断 UDP 443 端口的连接。[29]
TCP连接重置[编辑]
主条目:TCP重置攻击
Firefox的“连线被重置”错误讯息。当碰触到GFW设定的关键词后(如使用Google等境外搜索引擎),即可能马上出现这种画面。
TCP重置是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。
防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息,使连接双方认为对方终止了连接而自行关闭连接,其效率被认为被单纯的数据包丢弃更有效,因为这会令连接双方认为连接超时而不断重试建立连接。
有关技术已被申请为发明专利。
本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP协议连接的:客户端信息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP封包,找到该TCP封包所属TCP连接的连接信息,根据所抓取的TCP封包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP封包为需要阻断的TCP封包,则根据更新后的、该TCP封包所属TCP连接的连接信息生成RST封包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断非法TCP连接。[30]
外部视频链接
Observations in mainland China (Chinese),YouTube
2012年谷歌搜索中国大陆之体验(中文版),优酷网
一般这种攻击方法需要结合相应的检测方式来实施。
(接下页)