找回密码
 注册
搜索
热搜: 活动 交友
查看: 970|回复: 1

防火長城(GFW)(图)

[复制链接]

0

主题

3269

回帖

1万

积分

论坛元老

热心会员

积分
15892
发表于 2009-7-7 01:52:02 | 显示全部楼层 |阅读模式
防火长城(金盾工程中的最大重点),也称中国防火墙或中国国家防火墙,是对中华人民共和国政府,在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗称。

其名称,得自於2002年5月17日 Charles R. Smith所写的一篇,关於中国网络审查的文章《The Great
Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great
Firewall,缩写GFW,戏称『功夫网』(Gong Fu Wang)。

随着使用的广泛,GFW已被用於动词,GFWed是指被防火长城所屏蔽。

一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。

由於中国网络审查广泛,中国国内含有「不合适」内容的的网站,会受到政府直接的行政干预,被要求自我审查丶自我监管,乃至关闭,故防火长城主要作用在於分析和过滤中国境内外网络的资讯互相访问。

然而,利用防火长城等技术手段,对网络内容的审查在一定程度上限制了言论自由,在何种程度上丶采取何种手段进行网络审查一直是受争议的话题。也有报告认为:防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。

中国拥有防火长城外,还有一套网络安全软件构架的『金盾工程』。目前,还没有发现两者之间有明确的关联。

主要技术:

域名劫持

全球一共有13组根域名服务器(root server),目前中国大陆有 F丶I丶J 这3个根域DNS镜像。

2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。

国家入口网关的IP封锁

从90年代初期,中国大陆只有教育网丶高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效的封锁技术。

但是,只要找到一个普通的海外Proxy,然後通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的网站的网址,加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。

一般情况下,GFW对於海外「非法」网站会采取独立IP封锁技术。然而,部分「非法」网站,使用的是由虚拟主机服务提供商提供的多域名丶单(同)IP的主机托管服务。这就造成了封禁某个IP,造成所有使用该服务提供商的其他使用相同IP的网站用户一同遭殃!

就算是内容健康丶正当的网站,也不能幸免。(如森美的个人网站,内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:203.80.210.5封禁了。随之,有82个香港网站由於GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。

主干路由器关键字过滤阻断

在2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立,最主要的就是
IDS(Intrusion Detection System)--入侵检测系统。

这个系统,能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤丶嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。

利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前後IP
报头TTL值相差较大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。

被屏蔽过滤的关键词,主要是与民运丶法轮功相关的词汇及部分网站的网址上。在任何海外搜索引擎网站,搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致「该页无法显示」。

任何海外网站网页中,如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错丶停止或立即出现「该页无法显示」。

某些特定的海外网站网址会被列入关键字过滤,即使IP地址未被封锁也不能访问。

不过,GFW对於网页中含有的关键字字符,并不是100%可以过滤成功。即使某些网页被成功拦截并导致「该页无法显示」,此时,只要在浏览器进行多番刷新就有机会显示出来。

而且,GFW还会偶尔出现故障,而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站,就能正常使用(如my.opera.com)。

有报导称:防火长城会专门过滤Google.com的查询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明:对於Google.com和Google.cn返回的大量网页,防火长城使用了更经济而有效的方法审查。

从GFW的分布来看,审查过滤系统主要位於国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源。

其一位於国际出口处,另一个位於骨干网省级接入处。因此推测GFW对於境内的非法内容也具有一定审查能力。值得提到的是:对於境内网络内容的审查,主要是通过
ICP备案来实现的。

从2007年2月前後,GFW开始对境外及境内的WAP网站,含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版,现已不能通过
Google网页转换功能进行访问。

连带的就是在访问含有「zh.wikipedia.org」的Google链接後,5分钟内再次访问Google被阻断。

关键字过滤-复位包分析

分析过程采用任意sniffer软件,记录HTTP客户端PC进出站数据包,只考虑TCP连接本身,忽略DNS丶ARP及其他。

分析进站RST复位包IP头
TTL字段值,可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方便叙述,将它们分别称为「伪源1」和「伪源2」。

伪源1离客户端PC路由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳计数较小,逻辑位置大致在互联网运营商骨干网省级大节点处。

IP头部分:

Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。

Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。

Time to
Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。

TCP头部分:

Sequence
number(序列号)字段:关键字过滤系统,很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟,并晚於真正的源发回的数据包到达客户端PC,造成
RST包被客户端PC丢弃,从而整个过滤干预行为失败。

考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差
1460(以太网默认MSS值)和2920(即1460*2)。

Window
size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。

这种关键字过滤-复位技术对TCP连接有效。如今被广泛应用的HTTP协议,正是使用TCP作为传输层协议。

从目前来看,GFW对HTTP报文的过滤似乎仅限於HTTP头,通常URL请求就位於HTTP头部分,而GFW对HTTP数据部分很可能不作过滤,这正是某些用PHP编写的HTTP在线代理能避开关键字过滤的原因。

例如PHProxy,因为它将明文的URL请求放在HTTP数据部分。由於GFW发送的RST复位包是伪造的,也有人在探讨绕开它的途径。

不同的IDS,有可能在一段预定或随机的时间内,持续干扰的两计算机间的所有TCP通信。所以在访问境外网站时,如果数据流里有敏感字词,即会立即被提示「该页无法显示」或网页开启一部分後突然停止。

随後在1-3分钟或更长时间内,无法用同一IP浏览此域名或IP地址上的内容。据猜测,屏蔽时间和敏感词等级以及所属网站有关。

此种过滤是双向的,也就是说:国内含有关键词的网站在国外不可访问(如在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内不可访问。

另一方面,这种技术对UDP(DNS通常使用UDP,GFW对捕获的DNS查询报文,也进行关键字过滤并返回伪DNS响应,但因UDP没有复位标志而无法进行传输层的干扰)及其他第四层协议无效,对明文数据有效,对加密数据无效。

HTTPS证书过滤

部分人发现少数特定证书的传输被阻断,导致HTTPS连接中断。由於HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

对破网软件的反制

针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。比如每年的特定关键时间点,无界等软件就可能会无法正常连接或连接异常缓慢,这时境内外的正常网络互联亦会受到干扰。

针对Tor,有分析认为中国大陆公安网络审查部门,采取了新的封锁措施 —— 建立虚假Tor节点。

鉴於无法真正的完全封锁Tor,网络安全部门在中国国内网络中,安装了大量虚假
Tor节点服务器,所有经过这些"节点"的信息都将被最大程度的审查。与此同时,所有到达这些虚假节点的网络请求都将被屏蔽。

有意见认为:因为此举会暴露防火长城的位置,中国大陆公安网络审查部门,对虚假节点的设立有所节制。

但另一方面,tor节点的大量增加,很可能仅仅是因为国内用户增加的缘故,即使存在有虚假节点,对於使用图形界面Vidalia的用户,也可以轻松将含有境内节点的路由删除,以确保安全。

对电子邮件通讯的拦截

2007年7月17日,大量使用中国国内邮件服务商的用户,与国外通信出现了退信丶丢信等普遍现象,症状为:

中国国内邮箱给国外域发信收到退信,退信提示「Remote host said: 551 User not local; please
try 」

中国国内邮箱用户给国外域发信,对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

中国国内邮箱给国外域发信收到退信,退信提示「Connected to ***.***.***.*** but connection
died. (#4.4.2)」

国外域给中国国内邮箱发信时收到退信,退信提示「Remote host said: 551 User not local; please
try 」

国外域给中国国内邮箱发信後,中国国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

对此,新浪的解释是:「近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信丶丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。」

而万网客户服务中心的解释是:「关於近期国内互联网,国际出口存在未知的技术问题,导致国内用户与国外通信可能会出现退信丶丢信等普遍现象。万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。」

有网友推测:由於GFW会过滤进出邮件,当发现敏感(关键)字後往两边各发送三个伪造的reset断掉连接,通常都发生在数据传输中间,所以会干扰到内容。

GFW测试

部分网站的IP Tracert图,依次为Google
Blogspot丶维基百科丶亚洲电视测试网站IP是否被屏蔽或网址是否被列入了关键字过滤名单,可以使用以下方法。

中国大陆境外

打开这个网站(http://www.websitepulse.com/help ... 否被屏蔽)。

打开百度,输入要测试网站网址的全部或要测试的关键字,若返回「无法显示」就证明该字符的关键字过滤生效。


中国大陆境内


对於境外所有不能直接访问的网址:

在浏览器中设置一位於境外的有效的普通HTTP代理服务器。如果能访问,说明该网址可能是被域名劫持或IP封锁(或两者同时生效),需要进一步排查;如果还不能访问,排除网站故障的因素,则该网址已被列入关键字过滤黑名单。

使用操作系统的trace route命令对网址进行IP路由跟踪,windows系统使用tracert
-d命令(加参数-d以避免逆向DNS解析等待)。

如果在运营商骨干网段出现「timeout」或者「reports: Destination host
unreachable」,说明IP封锁生效(也可能是域名劫持,两者很难区分,可以通过设置不同的DNS服务器进行比较)。

如果同时出现设置普通HTTP代理服务器仍无法访问并且trace route路径中断,则IP封锁和关键字过滤同时生效。


会被过滤的网站


所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。

被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运丶法轮功或具有法轮功背景的丶以及在中国大陆被查禁的宗教的网站丶大部分人权组织的网站丶台湾的部分政府网站丶大多数香港丶台湾的新闻网站或综合网站中,提供新闻的分站甚至与政治毫无关联的学术网站丶部分海外提供Web
2.0或个人网站服务的知名或影响较大的站点丶部分个人网站;部分文件寄存网站。

这些类型的网站,被封锁的主要原因是因为:其网站上,发布中国政府不能接受的政治内容,或未经国内政治审查过的新闻(比如中国2002年的SARS事件在中国政府揭露事实真相前关於SARS的相关报道和讨论)等方面的内容。

有些综合性或技术性的网站,只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对 Google的全面封锁!


北京奥运与GFW


据法新社报道:中国政府曾讨论是否在北京奥运会期间,放宽GFW的屏蔽范围。

在奥运前夕,曾一度被限制访问的Blogger丶中国时报丶香港明报等网站陆续被解除封锁,中文维基丶BBC中文网和大赦国际网站等网站,在8月1日亦被证实解封,但部分被禁网站仍然未被解禁,包括:法轮功网站丶西藏流亡政府网站以及和六四事件相关的网站。

有外国媒体指责,中国政府违背先前全面开放互联网的承诺!奥组委发言人孙伟德表示:奥运期间将提供媒体「充分」的网络使用权,但外国记者上网不会完全不受限制。

根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬:「法轮功」x教,以危害国家利益,希望媒体尊重中国有关法律法规」。

国际奥委会新闻委员会主席高斯帕也表示:国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是“敏感的丶同奥运无关的网站”。

奥运会结束数月後,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括:德国之声丶BBC丶美国之音丶法广丶澳广丶加拿大广播电台等新闻机构的中文网站。

此外,根据基地在美国的非盈利维权组织「自由之家」,16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网站,包括:「记者无国界」丶亚洲周刊和香港的明报。

外交部发言人刘建超表示:中国总体上是采取对外开放的政策,但是中国和其他国家一样,对於网站还是要依法做必要的管理,某些网站确实存在违反中国法律的事情。

有评论认为,当局此次收紧舆论控制,是为了防止经济危机进一步转化为社会与政治危机!

0

主题

3825

回帖

6820

积分

论坛元老

热心会员

积分
6820
发表于 2009-7-14 10:19:01 | 显示全部楼层

“绿坝”延缓,但肯定要出管制措施

来源:多维新闻网
先前引发争议的“绿坝•花季护航”过滤软件,在安装计划延缓下风波渐息,但之后会不会再度强治安装?或将推出什么替代方案?美国俄亥俄大学社会学与人类学系教授李捷理对多维社分析,网路管制是一个全球性问题,虽然绿坝计划延缓,但未来肯定要出台一套管制措施,以立法形式取得政府与公众间的平衡才是上策。
   
    中国政府原先预定于今年7月1日要求境内生产和销售的电脑全面预装绿坝软件,但在争议下,最终宣布推迟计划。俄亥俄大学社会学教授李捷理指出,绿坝延伸出的网路管制是一个全球性的问题,现今网络技术发达,讯息史无前例大量流动,世界各国面临的共同问题,就是如何管制网络。
   
    “网络技术是双刃剑,可以带来社会进步,但也会产生一些副作用,最明显的就是个人隐私暴露、黄色网页、暴力传播方面等危害社会秩序的不良讯息,很像当年美国西部牛仔横行,没有完全立法的情况下,比较混乱,称为狂野的西部(Wild Wild West)。所以如何在网络世界建立一个有规则的运行,真正起到一个促进社会进步的作用,是一个全球性问题,各国都在探索,但现在还没有一个很好的方法。李捷理说。
   
    不过,李捷理认为,中国政府的做法有点操之过急,低估了国际民意。“世界上总认为中国是一个非民主的国家,中国的任何动作,都会引起很大的喧哔,偏见难免,但主要是西方现在把绿坝看成是网络审查(internet censorship),将网路管制和新闻管制连在一起,就比较严重,它在原则上跟(我们)当今世界潮流所提倡的民主社会、公民自由度发生冲突,这牵涉到一个国际形象问题。”
   
    此外,美国商业部也对这件事非常反感。李捷理说,美国商业部是从商业角度来看此事,由于全球化下的讯息流通,已经成为经济生活中不可或缺的一个部分,这样的控制,是对自由经济、自由市场一个很大的冲击,所以美国政府部门反弹最强的反而是商业部。
   
    “不过中国政府在这件事上确实有点操之过急,有点欠妥。”李捷理对多维社表示,若是比较民主的方法,大家会有一个讨论,起码在人大和政协会议上有一个充分的酝酿和讨论。往往政府以不透明方式介入太多或使用强制性手段的话,自然会引起社会反弹。
   
    只是,中国原先已有防火长城,为什么还要再装绿坝呢?李捷理指出,在技术不断发展下,原本的防火墙软件已经没有太大作用,毕竟许多网民都懂得如何“翻墙”,此外,如果电脑商都装上绿坝,“等于一个人跑进你家里来,原本的防火墙是在家外面,你进进出出我来监视,现在是进了家了,全暴露了,毫无个人自由空间了。”
   
    不过,李捷理也称,现在有绿坝,将来肯定有技术破它,围堵不是上策。此外,李捷理也点出绿坝的一个社会问题。“绿坝装上后,政府监管部门透过绿坝过滤讯息,但令人担忧的是谁来监管监管人。西方国家的社会法制研究学者争论已久的一个问题是Who Police the Police?警察管秩序,谁来管警察?一旦管制不好、某些利益集团控制了这个东西,将会对政府本身的公信力造成危害,对社会造成的危害就更大,等于有一个人在监控,他能控制讯息的流量,选择哪个可以、哪个不可以,都由他来取舍。所以西方国家为什么在这方面比较谨慎,因为还没真正找到一个平衡点。”
     
    2009年7月11日,四川省叙永县观兴乡的留守儿童在西南大学育才学院大学生的指导下,使用“绿坝—花季护航”绿色上网过滤软件。重庆市西南大学育才学院暑期社会实践队深入四川农村,向孩子们讲解不良信息的危害,并讲授“绿坝—花季护航”绿色上网过滤软件的使用方法。
   
    李捷理介绍,西方国家也有网络管制,但主要将权力下放到社区,交给家长或学校,不像中国政府这样全面掌控。
   
    “美国有些学校的电脑会安装过滤软件,家长也可以透过软件管制孩子看哪些频道,所以民主国家本身也有管制,但主要交给家长和学校,而不是政府大规模管制。”李捷理举例说明民主国家在此方面的拿捏:近日有一名中学生透过学校电脑,想查询是否有大学提供同性恋者奖学金,但有关同性恋、双性恋的网站都遭到封锁,美国公民自由联盟(ACLU)便以违反公民自由法控告学校。
   
    “还有最近美国国内对美国国土防卫部与AT&T联手搞的‘Einstein’防泄密软件可能涉及到侵犯个人隐私和公民自由(Civil Liberties)的担忧让奥巴马政府在定夺上左右为难。”李捷理说。 虽然绿坝计画延缓,但李捷理认为最后肯定有一个管制措施要出台,中国政府不可能觉得不需管制了,而较为稳妥且有效的方法是通过循序渐进的立法手段。
   
    李捷理表示,管制网路牵涉到比较敏感问题,是公民自由、公民隐私的问题,因此比较好的方法是通过立法形式,让公众参与,但网络信息是全球性的,所以也要通过各国之间、政府和民间的协调,找到平衡点,“这和市场一样,市场要开放,但要多大限度开放是个问题,给太多自由,就像美国金融危机一样,市场泛滥造成追求利润的金融集团不管社会公义,但政府又不能太介入市场,才不至于扼杀企业活力。”
   
    “德国社会学家哈贝马斯有个著名理论叫做‘公共空间’(Public Sphere),其核心是一个社会的进步与发展离不开公众对公共事务的参于与思想上的交流,这一公众交流的空间越广阔,个人、社区、政府之间的和谐度就越高,中国政府也在鼓励社会的透明化与公正性,但从社会学角度,网路世界变成政府和公众之间一个新的较量场所,政府有多大的管制、公众怎样享受网路自由,又能得到相互理解、促进社会进步,是一个新的问题。”
   
    李捷理说,让网路变成促进社会进步的平台,让狂野的西部,变成一个有序的西部,将是各国都要面对的问题,但解决方法不是通过政府的强制行为来执行,因为全球化底下,网路技术的高度发达,恰如《纽约时报》专栏作家托马斯•弗里德曼所称之的“世界变平了“,现在的中国社会已和20、30年前不一样了,信息奔腾如滔滔江河水是围堵不住的,只能是因势利导,开渠分流,政府与社会力量结合起来管理。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|阿波罗网

GMT+8, 2024-11-24 06:50

快速回复 返回顶部 返回列表