防火长城
「GFW」重定向至此。關於与此名称相似的其他条目,詳見「GFW (消歧义)」。
中华人民共和国 |
|---|
 |
中华人民共和国政府与政治 系列条目 |
中国共产党
|
政府 |
国家宪政体制
|
国家权力机关
|
国家行政机关
|
国家监察机关
|
国家司法机关
|
政治 |
統一戰線·港澳台政策
|
外交·国安·宣传
|
|
政治主题防火长城(英语:Great Firewall (of China),常用简称:GFW,中文也称中国国家防火墙[1],中国大陆民众俗称墙、防火墙、功夫网[2]等等),是对中华人民共和国政府在其互联网边界审查系统(包括相关行政审查系统)的统称。此系统起步于1998年[3],其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》[4],取與Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW[5]。隨着使用的拓广,中文「墙」和英文「GFW」有时也被用作动词,网友所說的「被墙」即指网站内容被防火长城所屏蔽或者指服务器的通讯被封阻,「翻墙」也被引申为突破网络审查浏览境内外被屏蔽的网站或使用服务(如被GFW屏蔽的网盘Dropbox)的行为。
目录
1 简介
2 主要技术
2.1 域名解析服务缓存污染
2.2 针对境外的IP地址封锁
2.3 IP地址特定端口封锁
2.4 无状态TCP连接重置
2.5 对加密连接的干扰
2.6 TCP关键字阻断
2.7 CA证书检测
2.8 对破网软件的反制
2.9 间歇性完全封锁
2.9.1 间歇性封锁国际出口
2.9.2 境内骨干路由器间歇性阻断
2.10 深度包檢測
2.11 针对IPv6协议的审查
2.12 对电子邮件通讯的拦截
2.13 網路攻擊
3 硬件
4 范围
5 網站轉移
5.1 会被過濾的网站
6 相关事件
6.1 针对网络封锁的诉讼
6.2 北京奥运会
6.3 对谷歌的封锁
6.4 对维基百科的封锁
6.5 2013年对代码托管网站GitHub的审查和封锁
6.6 2014年中国网络异常事件
6.7 亞太經合組織(APEC)會議
6.8 世界互联网大会
6.9 2015年防火長城升級
6.10 被美国列为贸易壁垒
6.11 翻墙软件“枫叶香蕉”开发者许东被捕
6.12 邓杰威因提供翻墙服务获刑
6.13 南京赵某因提供翻墙服务被处罚
6.14 十九大前后对破网软件及VPN的反制
6.15 無錫警方關閉云梯VPN
6.16 凡狗VPN商家吴向洋被逮捕
6.17 Steam社区网站被屏蔽
6.18 河南网民刘冰洋提供翻墙服务获刑
6.19 湖南岳阳县警方抓捕“翻墙”软件提供者
6.20 上海戴某出售VPN获刑
7 参考文献
7.1 引用
7.2 来源
8 外部链接
9 参见
简介
被认为是防火长城主要设计者的方滨兴
一般情况下,防火長城主要指中国政府监控和过滤互联网国际出口上内容的软硬件系统的集合。例如監視系統就曾與美商合作,構建類似美國的稜鏡计划的深度偵查機制,但中國政府並進一步設定將查獲的特定網點阻斷等,造成大家所熟知的連線錯誤現象,因此防火牆不是中國特有的一個專門單位,是由分散部門的各服务器和路由器等设备,加上相关公司的应用程序所构成,是一個跨軍民合作的大型資訊管制系統,實際上就如大多數國家也會建立網路監管一樣。不過其他政府的管理僅止於金融洗錢、國際詐騙等犯罪行為,與中國的審查機制有著相當大的不同。防火長城的作用主要是监控国际网关上的通讯,对认为不符合中共官方要求的传输内容,进行干扰、阻断、屏蔽。由於中國網絡審查廣泛,中國國內含有「不合適」内容的網站,會受到政府直接的行政干預,被要求自我审查、自我监管,乃至關閉,故防火長城主要作用在於分析和過濾中國境外網絡的資訊互相存取。中國工程院院士、北京郵電大學前校長方滨兴是防火长城关键部分的首要设计师[1][3][6][7]。
然而,防火长城对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题,官方說辭也相當籠統。有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[8],因為網路的分散式架構,完全封鎖言論是不可能的,事實也證明,任何人在中國大陸地區都能夠在低調的情況下發表敏感言論,但是對於封鎖的恐懼,許多人不希望發出的訊息會被屏蔽而選擇中性的講法或不說出來,例如一套偵測中國官方部署的DNS汙染伺服器工具在GitHub(世界最大的開源代碼託管服務)上開源發布後,引起了激烈的爭論。一些人認爲,此舉會激怒「牆」的管理者,導致GitHub被封鎖,影響牆內程序员學習交流,所以應該刪除這樣的代碼倉庫,「保持技術社區的純粹」。另一些人,則認爲翻牆是程序员的基本技能,表示不受影響,所以力挺該項目,並極力反對技術社區加入「自我審查」的行列。[9]而中共當局一直沒有正式對外承認防火長城的存在[來源請求],如当有记者在外交部新闻发布会上问及互联网封锁等问题的时候,发言人的答案基本都是「中国政府鼓励和支持互联网发展,依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。」方滨兴曾在访问中被问及防火长城是如何运作的时候,他指这是「国家机密」。不過2015年1月與官方有密切關聯的《环球时报》则发布报道曾公开宣扬其存在。[10]可以发现到官方对墙的理解随时间发展也不断改变,从最初资讯的遮蔽与阻止流通用途,进一步到不仅止于过滤政府认为不满意的各种内容,更到了以发展中国互联网经济为名,企图透过封闭隔绝将网路国界化,视外资为经济渗透、干涉内政,这些墙存在意义的舆论宣传,逐步强化了设墙政策的合理性与正当性,但时至今日中国仍一直宣称是「依法管理以保障网路主权」,如从官方媒体公开发布的报道里就曾涉及防火长城的监控,从侧面证明其的确存在[11][12]。
經過18個月的調查研究後,北京大學和史丹佛大學兩名經濟學家在2018年得出了結論,中國大學生對於獲取未經審查的政治敏感信息漠不關心。他們給北京兩所大學的近1000名學生提供了能夠繞過審查的免費工具,但發現近半數學生並沒有使用它。在那些使用了的學生中,幾乎沒人花時間瀏覽遭到屏蔽的外國新聞網站。[13]
中國还有一套公开在公安部辖下的网络安全项目——金盾工程,其主要功能是处理中国公安管理的业务,涉外饭店管理,出入境管理,治安管理等,所以金盾工程和防火长城的关系一直没有明确的认定。
主要技术
域名解析服务缓存污染
原理:防火长城對所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入侵检测,一經發現與黑名單關鍵詞相匹配的域名查詢請求,防火长城會馬上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。用户若改用TCP在53端口上进行DNS查询,虽然不会被防火长城污染,但可能会遭遇连接重置,导致无法获得目标网站的IP地址。
IPv6协议时代部署应用的DNSSEC技术为DNS解析服务提供了解析数据验证机制,可以有效抵御劫持。
全球一共有13组根域名服务器(Root Server),2010年中国大陆有F、I、J這3个根域DNS镜像[14],但曾因为多次DNS污染外国网络,威胁互联网安全和自由,北京的I根域服务器曾被断开与国际互联网的连接。[15][16]目前已恢复服务。[17]
从2002年左右开始,中国大陆的网络审查机关开始采用域名服务器缓存污染技术,防止了一般民众访问被过滤的网站。对于含有多个IP地址或经常变更IP地址逃避封锁的域名,防火长城通常会使用此方法进行封锁,具体方法是当用户从境内向境内DNS服务器提交域名请求时,DNS服务器要查询根域名服务器,此过程会受防火长城污染。而用户不做任何保护措施直接查询境外DNS时,会受防火长城污染。当用户从境外查询境内服务器(不一定是有效DNS服务器),结果也会被污染。
2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。[18]
2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、Level3、德国电信、Qwest和西班牙电信等多个国家的大型ISP。[19]
2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大面积的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问,其中甚至包括不存在的域名,而Google为各国定制的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡访问的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。有网友推测Google被大面积阻碍连接是因为中共正在召开的十八大。[20]
2014年1月21日下午三点半,中国网站的.com,.net,.org域名解析不正常,网站被错误地解析至65.49.2.178,该IP位于美国北卡罗来纳州的Dynamic Internet Technology,即自由门的开发公司。据推测,可能是操作失误造成的事故。[21][22]
2015年1月2日起,污染方式升级,不再是解析到固定的无效IP,而是随机地指向境外的有效IP。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[23]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。(目前已恢复解析至固定IP)[24]
针对境外的IP地址封锁
原理:相比起之前使用的访问控制列表(ACL)技术,现在防火长城采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。
一般情况下,防火长城对于中国大陆境外的「非法」网站会采取独立IP封锁技术,然而部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网站用户一同遭殃,就算是「内容健康、政治无关」的网站,也不能幸免。其中的内容可能并无不當之處,但也不能在中国大陆正常访问。
1990年代初期,中国大陆只有教育网、中国科学院高能物理研究所(高能所)和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP地址封锁。在当时这的确是一種有效的封锁技术,但是只要找到一个普通的服务器位于境外的代理然后通过它就可以繞過這種封鎖,所以現在网络安全部门通常会将包含「不良信息」的网站或网页的URL加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器进行访问。
IP地址特定端口封锁
原理:防火长城配合上文中特定IP地址封锁裡路由扩散技术封锁的方法进一步精确到端口,从而使发往特定IP地址上特定端口的数据包全部被丢弃而达到封锁目的,使该IP地址上服务器的部分功能无法在中国大陆境内正常使用。
2011年3月起,长城防火墙开始对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[25]Google指中国这样的封锁手法高明,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[26][27]
2014年5月27日起,几乎所有Google服務的80和443端口被封鎖。[28]2014年12月26日起,Google数段IP被路由扩散封锁,直接导致GMAIL客戶端所用的IMAP/SMTP/POP3端口也被封鎖。[29][30]
无状态TCP连接重置
原理:防火长城会监控特定IP地址的所有数据包,若发现匹配的黑名单动作(例如TLS加密连接的握手),其会直接在TCP连接握手的第二步即SYN-ACK之后伪装成对方向连接两端的计算机发送RST封包(RESET)重置连接,使用户无法正常连接至服务器。
这种方法和特定IP地址端口封锁时直接丢弃数据包不一样,因为是直接切断双方连接因此封锁成本很低,故对于Google的多项(强制)加密服务例如Google文件、Google网上论坛、Google+和Google个人资料等的TLS加密连接都是采取这种方法予以封锁。
從2015年初開始,RST重置已被實時動態黑洞路由取代。[31]
从2018年8月24日起,防火长城已经可以对使用HTTPS协议且使用TLS1.3及以下版本(TLS1.3未将PSK协议标准化,仍然会被RST)的网站检测明文SNI来使用RST重置。一部分原先使用域名解析服务缓存污染进行封锁的网站改为使用SNI检测来RST重置。(QUIC传输协议可解决此问题)
对加密连接的干扰
在连接握手时,因为身份认证证书信息(即服务器的公钥)是明文传输的,防火长城会阻断特定证书的加密连接,方法和无状态TCP连接重置一样,都是先发现匹配的黑名单证书,之后通过伪装成对方向连接两端的计算机发送RST封包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的TLS加密连接(HTTPS的443端口)握手,或者干脆直接将握手的数据包丢弃导致握手失败,从而导致TLS连接失败。但由于TLS加密技术本身的特点,这并不意味着与网站传输的内容可被破译。[32]
Tor项目的研究人员则发现防火长城会对各种基于TLS加密技术的连接进行刺探[33],刺探的类型有两种:
- “垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[34],目的是在用户建立加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。
- 针对Tor,当中国的一个Tor客户端与境外的网桥中继建立连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。
切断OpenVPN的连接,防火长城会针对OpenVPN服务器回送证书完成握手建立有效加密连接时干扰连接,在使用TCP协议模式时握手会被连接重置,而使用UDP协议时含有服务器认证证书的数据包会被故意丢弃,使OpenVPN无法建立有效加密连接而连接失败。
TCP关键字阻断
Firefox的「連線被重置」錯誤訊息。当碰触到GFW設定的关键词后(如使用Google等境外搜索引擎),即可能马上出现這種畫面。
TCP重置是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。
防火长城切断TCP连接的技术实际上就是发送连接重置消息。对于防火长城而言,发送连接重置封包比直接将数据包丢弃要好,因为如果是直接丢弃数据包的话客户端并不知道具体网络状况,基于TCP协议的重发和超时机制,客户端就会不停地等待和重发,加重防火长城审查的负担,但当客户端收到RESET消息时就可以知道网络被断开不会再等待了。而实际上防火长城通过将TCP连接时服务器发回的SYN/ACK封包中服务器向用户发送的序列号改为0从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,故这种封锁方式不会耗费太多防火长城的资源而效果很好,成本也相当的低。
有关技术已被申请为发明专利。
.mw-parser-output .templatequote{margin-top:0;overflow:hidden}.mw-parser-output .templatequote .templatequotecite{line-height:1em;text-align:left;padding-left:2em;margin-top:0}.mw-parser-output .templatequote .templatequotecite cite{font-size:small}
本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP协议连接的:客户端信息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP封包,找到该TCP封包所属TCP连接的连接信息,根据所抓取的TCP封包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP封包为需要阻断的TCP封包,则根据更新后的、该TCP封包所属TCP连接的连接信息生成RST封包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断非法TCP连接。[35]
body.skin-minerva .mw-parser-output table.infobox caption{text-align:center}
Observations in mainland China (Chinese),YouTube- 针对HTTP协议的关键字阻断
2002年左右开始,中国大陆研发了一套关键字过滤系统。這個系統能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求数据包的標頭(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST封包(Reset)干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(如「falun」等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。
2010年3月23日,Google宣布关闭中国服务器(Google.cn)的网页搜索服务,改由Google香港域名Google.com.hk提供后,由于其服务器位于大陆境外必须经过防火长城,所以防火长城对其进行了极其严格的关键词审查。一些常见的中共高官的姓氏,如“胡”、“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“毛”、“江”、“令”,及常见姓氏“王”、“刘”、“彭”等简体中文单字,当局实行一刀切政策全部封锁,即“学习”、“温泉”、“李白”、“圆周率”也无法搜索,使Google在中国大陆境内频繁出现无法访问或搜索中断的问题。2011年4月,防火长城开始逐步干扰Google.com.hk的搜索服务。2012年10月下旬起,防火长城使用更巧妙方式干扰Google搜索,部分用户在点击搜索结果链接跳转时一直被卡住,一直卡了6分钟之后客户端发送RST重置,然后页面一片空白。原因是链接跳转使用的是HTTP,用HTTPS跳转无影响。[36]
这种阻断可以双向工作。在中华人民共和国境外访问位于境内的网站时,如果在数据包头部出现部分关键字,连接也可能会被阻断。两者的关键词列表并不完全相同,比如在境外使用s.weibo.com搜索“法轮功”连接会被阻断,并且90秒无法访问,搜索“六四”则不会,在中华人民共和国境内访问境外网站时两者都会被阻断。
由于HTTPS采取加密传输,关键词阻断无法对网页传输造成影响。但由于身份认证证书信息是明文传输,因此阻断仍然是有可能的。
- 干扰eD2k协议的连接
从2011年开始,防火长城开始对所有境外eD2k服务器进行审查:当境内用户使用eD2k协议例如eMule使用模糊协议连接境外服务器时会被无条件阻断,迫使eMule使用普通方式连接境外服务器;同时防火长城对所有普通eD2k连接进行关键字审查,若发现传输内容含有关键字,则马上切断用户与境外服务器的连接,此举阻止了用户获取来源和散布共享文件信息,严重阻碍使用eD2k协议软件的正常工作。[37][38]
- 针对SNI的连接
虽然TLS能保证全程内容加密而且发现连接被干扰时警告并中断,但是对于SNI信息仍然是未加密的,仍可以被识别出访问域名。从2018年8月开始,开始出现基于SNI的检测机制,维基百科部分项目、日本亚马逊等启用https服务的网站同样被封锁。
CA证书检测
自2017年9月19日19:00起,防火长城开始启用CA证书检测,若使用IPV4地址经过防火长城时,一旦探测到相关域名(首批受检测:Facebook,Youtube,Twitter)(2017年10月1日起第二批受检测:Google)的CA证书,对应IP通信会被拦截切断。若使用SNI服务器IP反向代理部分域名也会被拦截(网站会提示ERR_CONNECTION_CLOSED 意外终止了连接),但并不是全部IP都会被拦截,可用IP极少。拦截只针对经过出口路由上。[來源請求]
对破网软件的反制
因为防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。
同时根据中国大陆网民反映,防火长城现已有能力对基于PPTP和L2TP协议的VPN连接进行监控和封锁,这使得大陆网民突破防火长城的封锁变得更加困难。2015年1月起,部分国外VPN服务在中国大陆无法正常使用,这些VPN使用的是IPSec、L2TP/IPSec和PPTP协议。[39]
而每年每到特定的关键时间点(敏感时期)防火长城均会加大网络审查和封锁的力度,部分破网软件就可能因此无法正常连接或连接异常缓慢,甚至中国境内和境外的正常网络连接也会受到干扰:
- 3月上、中旬(中华人民共和国的「两会」召开期间、3月14日参见2008年藏区骚乱)
- 5月中、下旬至6月上、中旬(参见六四事件)
- 7月上旬(7月1日建党节、7月5日参见乌鲁木齐七·五骚乱)
- 10月1日国庆节
中国共产党全国代表大会召开期间
间歇性完全封锁
间歇性封锁国际出口
从2011年5月6日起,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[40]。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[41]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司「有动机」去阻碍用户访问国外网站。一位工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[42][43]
境内骨干路由器间歇性阻断
2012年10月下旬,Google位于北京的服务器被国家级骨干路由器长时间干扰连接,包括中国大陆境内用户在内访问时返回“连接超时”错误,造成大量基于Hosts技术利用Google北京服务器作为反向代理访问Google服务的用户和软件无法正常使用,例如GoAgent。测试指出数据包经过部分国家级骨干路由器时被选择性丢弃,造成与服务器连接的丢包率飙升,甚至有部分用户反映被完全阻断与服务器之间的连接。
深度包檢測
深度封包檢測(Deep packet inspection,DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的报文检测,DPI可對报文内容和协议特征进行检测。
在中國大陸,DPI一度被ISP用於追踪用戶行為以改善其廣告推送業務的精準性,而最近則被國外視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[44]。基於必要的硬件設施、適宜的檢測模型及相應的模式匹配算法,防火長城能夠精確且快速地從實時網絡環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。
華為公司曾被媒體指責涉及向伊朗政府提供DPI所依賴的硬件支持以幫助後者開展網絡審查工作[45]。
2017年9月21日,一篇名为《The Random Forest based Detection of Shadowsock's Traffic》(《基於Shadowsocks流量偵查的隨機森林算法》)的论文在IEEE发表,该论文介绍了通过随机森林算法检测網絡代理Shadowsocks的流量的方法,并自称可达到85%的检测精度[46],雖然該論文的有效性遭到网友质疑[47],但是有觀點認爲,由於GFW重點在於封禁而不是內容的精確識別,一種可行的做法是,當局可將國際出口路由上的流量統計數據用於机器学习,以刻畫各類流量特徵的肖像(如影片類、圖像文字網頁類、大型二進位檔類等),然後配合GFW已經實現的深度封包檢測來識別網路流量特徵,雖然成本較DNS污染、IP/連接埠封禁等封禁方式的要高不少(需要使用可用於機器學習的高運算力裝置),誤封也不可避免。[48]
针对IPv6协议的审查
IPv6(互联网通信协议第6版)是被指定为IPv4继任者的下一代互联网协议版本。在IPv4网络,当时的网络设计者认为在网络协议栈的底层并不重要,安全性的责任在应用层。但是即使应用层数据本身是加密的,携带它的IP数据仍会泄漏给其他参与处理的进程和系统,造成IP数据包容易受到诸如信息包探测(如防火长城的关键字阻断)、IP欺骗、连接截获等手段的会话劫持攻击。
虽然用于网络层加密与认证的IPsec协议可以应用于IPv4中,以保护IPv4网络层数据的安全,但IPsec只是作为IPv4的一个可选项,没有任何强制性措施用以保证IPsec在IPv4中的实施。因为防火长城是挂载在国家级骨干路由器的旁路设备,而网络数据传输必须知道数据包来源地与数据包的目的地才能完成路由转发,故在IPv4协议时代实施的针对IP地址封锁技术和特定IP地址端口封锁技术依然对IPv6有效。
现阶段防火长城已经具备干扰IPv6隧道的能力[49],因为IPv6隧道在用户到远程IPv6服务器之间的隧道是建立在IPv4协议上的,因为数据传输分片的问题或者端点未进行IPSec保护的时候很有可能暴露自己正在传输的数据,让防火长城有可乘之机干扰切断连接。
方滨兴在他的讲话《五个层面解读国家信息安全保障体系》中说:「比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么。」[50]
自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接https://www.google.com.hk/几乎是每次连接均收到攻击,而其它连接例如https://ipv6.google.com/和https://accounts.google.com/也有受到攻击的报告,但攻击发生的機率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的google证书不同,顯示谷歌在中国教育网上受到中间人攻击(MITM attack)。[51][52]
对电子邮件通讯的拦截
正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。也有網友根據防火长城會過濾進出境郵件的特性,尋找到防火长城部署的位置。[53]
2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[54],症状为:
- 中国国内邮箱给国外域发信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
- 中国国内邮箱用户给国外域发信,对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。
- 中国国内邮箱给国外域发信收到退信,退信提示「Connected to *.*.*.* but connection died.(#4.4.2)」
- 国外域给中国国内邮箱发信时收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
- 国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。
对此,新浪的解释是「近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。」而万网客户服务中心的解释是「关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。」[55]
2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[56]12月30日,Gmail已在中国大陆境内恢复部分功能。[57][58]但Gmail网页版仍被屏蔽。
網路攻擊
中華人民共和國从2015年3月开始,使用一种被称为“大炮”的網路攻擊攻击方案,对可能涉及违反审查要求的特定网站,进行分散式阻斷服務攻擊(DDoS)。[59][60][61]
其中2015年3月针对Github的攻击,通过包括劫持常见的网站工具脚本植入攻击代码、一些常见浏览器漏洞等方法,持续五天对Github网站进行攻击,导致网站全球访问速度缓慢。[62]中国政府对此否认有关。[63][64]
硬件
典型意义下GFW的线路拓扑
据估计,防火长城可能拥有数百台曙光4000L服务器[65]。
- 防火长城(北京)使用曙光4000L机群,操作系统为Red Hat系列(从7.2到7.3到AS 4),周边软件见曙光4000L一般配置
- 防火长城实验室(哈尔滨工业大学)使用曙光服务器,Red Hat操作系统
- 防火长城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。2007年防火长城集群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。
- 有理由相信防火长城(北京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度48万亿次[來源請求]。
2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48(一路OC48約2.5Gbps)接口网络数据。曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为512Gbps甚至更高(北京)。
范围
中华人民共和国境内绝大多数地区,以及中国境内的各大领事馆均架设有长城防火墙。
網站轉移
会被過濾的网站
所有境外的网站都会受到关键词过滤的影响,故可能會出现暂时無法访问的情况。以下这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁。
被固定封锁或干扰的网站类型包括(但不限于):
- 许多国际成人视频网站及大部分针对华人的色情论坛
- 所有涉及民运、法轮功、家庭教会、疆独、藏独以及不為中國共產黨所控制或容許之宗教信仰的网站
- 大部分国际人权、保护记者及中国大陆维权组织的网站
台湾的大部分政府和政黨网站(如總統府、中央社、民进党等等)- 部分香港泛民主派(香港公民党、社民连)网站
- 大多数国际广播电台的中文网(如BBC中文网)
- 大多数香港、澳门和台湾的综合(门户/入口)网站中提供新闻的分站甚至与政治毫无关联的学术网站
- 部分港澳台及海外华人/留学生的热门论坛或讨论区
- 搜索引擎(雅虎香港hk.search.yahoo.com/search/ 和美国在线search.aol.com/aol/webhome等)
- 一些国际免费博客服务(如Blogger)
- 大多数港澳台的博客服务及社区类网站(如無名小站(關閉)等)
- 部分港澳台的免费在线电视台;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点
- 大多数视频类网站(如YouTube、Dailymotion、Vimeo、雅虎Video、HBO等)
- 大部分社交类网站(Facebook、Twitter、Google+等)
- 大多数天主教中文网站及部分基督教中文网站
- 博彩网站(如香港赛马会投注页面等)
- 香港的购物网站
- 台湾奇摩拍卖、博客來、三民書局等
- 部分个人网站和博客
- 大部分文件寄存网站(如Megaupload等)
- 大部分云计算文件寄存网站(如Dropbox和SugarSync等)
- 部分国际图片网站(如Flickr部分页面和Picasa网络相册等)
- 大部分免费服务器或主机(Yahoo! Small Business除首页外的全部IP和Google App Engine等)
- 大部分Twitter第三方电脑登录网站或客户端(如TweetDeck、Seesmic、推特中文圈等)以及API
- 大部分与Twitter相关的图片服务(如Twitpic、Img.ly、Yfrog、Twitgoo、ow.ly等)
- 大部分手机Twitter客户端(如Gravity、Socialscope、Snaptu等)
- 一些代理服务器或有提供类似突破网络封锁功能(VPN、SSH、网页代理等)的网站(如Hotspot Shield、Tor等)
- 部分RSS服务(如FeedBurner等)
- 手机浏览器Opera Mini国际版(Opera後自我审查使用大陆服务器)
诺贝尔奖多个官方网站、挪威廣播公司(参见2010年诺贝尔和平奖)- 在全面启用HTTPS之前,维基百科的少量中文条目无法正常访问,而通过移动手机端查看条目可能出现完全无法连接的状况。(2015年5月19日起中文维基百科被完全屏蔽。[66])
- 顶级科学杂志《科学》的部分页面处于封锁状态,无法访问阅读某些页面的内容。
- 大部分由Google提供的有传播信息动机的服务(包括Gmail、Google雲端硬碟等,参见谷歌中国)
而一些知名的门户入口类、技术类、购物类、慈善类网站也经常被封锁,或被干扰得时断时续:
SourceForge的项目站点托管服务(vhost,IP封锁)- 数据存取和开源社区GitHub站点(由于抗议已解封,但Gist仍被封锁)
FreeBSD(已解封)- 编程语言Python官方网站(python.org/download,已解封)
- 域名注册机构Go Daddy(已解封)
- 国际慈善组织乐施会香港网站(已解封)
- 国际知名的互联网电影数据库(IMDb,已解封)
- 购物网站Amazon.com(已解封)
- 国际门户及搜索服务网站雅虎(含地区性网站雅虎香港和雅虎奇摩的大部分服务,已解封)
微软Bing(已解封)- 著名插画社区Pixiv
- 著名游戏平台Steam社区服务
- 亚马逊日本
至于国际媒体几乎无一例外被封锁过,一般英文媒体在大陆召开高层会议或发生较大敏感事件会被短暂封锁,台湾泛蓝媒体(如联合报、中国时报、中天電視和中華電視公司等)有时会被短暂解封,其他大部分海外中文媒体会被长期封锁或干扰(有部分能打开首页,但无法点阅新闻内容):
CNN和BBC的网站
New York Times和纽约时报中文网长期处于无法访问状态- 在线的免费电视台直播网站及其客户端(如Livestation和TVUnetworks)
- 香港(含香港公營媒體香港电台)、澳门、台湾、新加坡、马来西亚的电台、电视台和中文报章的官方网站
防火长城对在中国大陆各ISP设置的黑名单基本上是同步和一致的,但有个别网站会有差别,例如:
- 中国移动封锁Google的图片、文件服务器域名*.ggpht.com及*.googleusercontent.com,图片搜索及诸多Google服务不能使用或出错。移动也封锁了HTC手机(含外国/港/台行货)天气预报服务器(AccuWeather提供)htc.accuweather.com,而联通和电信可以正常更新。
即使同样是被封锁的网站,它们的被封锁手段和程度可能有很大区别。例如中文维基百科仅是被域名污染,通过修改Hosts文件即可正常访问(但2015年12月4日至6日期间,维基百科默认IP的443端口被封锁,导致各语言维基百科均无法访问),而法轮功网站明慧网则是既污染了域名又封锁了IP,无法通过Hosts来进行访问。
相关事件
针对网络封锁的诉讼
由于按照中华人民共和国有关法律,民事诉讼的被告必须有直接利害关系,而行政诉讼只能针对具体行政行为进行诉讼,目前在有关网络封锁的诉讼中,被告多为电信运营商,没有直接针对防火长城或相关行政主管部门的诉讼。
北京奥运会
据法新社报道,中国政府曾讨论是否在北京奥运会期间放宽防火長城的屏蔽范围[67]。在奥运前夕,曾一度被限制访问的Blogger、《中国时报》、《明报》等网站陆续被解除封锁,中文维基、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[68],但部分被禁网站仍然未被解禁,包括“法轮功”网站、“西藏流亡政府”网站以及和“六四事件”相关的网站[69]。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德表示,奥运期间将提供媒体“充分”的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬法轮功,以危害国家利益。希望媒体尊重中国「有关法律法规」。但文中没有解释为何众多与法轮功完全无关的新闻机构、博客、社交和视频网站也无法访问。[70]国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已經达成协议,同意中国封锁一些被认为是敏感的、與奥运无关的网站[71]。
奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿大广播电台等新闻机构的中文网站。此外,根据總部在美国的非盈利维权组织“自由之家”16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网站,包括无国界记者、《亚洲周刊》和《明报》等。中华人民共和国外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反中国法律的事情[72]。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机[73]。
对谷歌的封锁
对维基百科的封锁
2013年对代码托管网站GitHub的审查和封锁
2013年1月20日,中国大陆政府的防火长城利用域名污染和关键词过滤等手段屏蔽GitHub。但是,由于屏蔽引发了社会的强烈反应,最终解除了对GitHub的屏蔽。
2014年中国网络异常事件
2014年1月21日下午中国发生大范围网络故障。由于中国通用顶级域域名解析出现异常,许多网站域名被解析到了完全没有反应的IP地址 65.49.2.178。
亞太經合組織(APEC)會議
2014年11月,由北京主辦的亞太經合組織(APEC)會議的新聞中心,提供的網絡服務不過濾任何網站,記者可自由登入Facebook、Twitter、Google、英國廣播公司等外國網站,是當局首次在大型國際活動期間全面開放互聯網。[74]外交部發言人華春瑩在例行記者會上表示:「中國互聯網是開放的,我們將依法進行管理。如我們承諾過的,有關部門將為峰會圓滿舉行竭盡全力。媒體中心設施齊全,是專門為高標準提供相關服務而建造,包括互聯網服務」。[75]
世界互联网大会
2014年11月,在浙江乌镇举办的第一届世界互联网大会期间,中國電信提供了专用无线网络“iWifi-Wuzhen”,使用该无线网络的嘉宾、记者以至普通游客们都可以正常使用Facebook、Twitter、美国之音、德国之声、自由亚洲电台、BBC中文網等被防火長城封锁的网站。而登记使用“iWifi-Wuzhen”专用无线网络,用户必须在登入页面使用本人的手机号码注册,获取验证码后才可以使用。至于使用普通手机3G、4G数据网络的用户,即使身在乌镇,则仍然受制于防火长城的管制,無法直接使用被封鎖的網站。[76]
2015年11月第二届世界互联网大会期间,大会组织者向与会者提供了一套特殊的用户名和密码,用此用户名和密码登陆专用无线网络后,同样可以自由浏览境外网站,但如果直接使用当地的互联网络,依然无法浏览这些网站[77]。
2015年防火長城升級
自2014年底起,中國官方在網路封鎖戰中逐漸佔據上風,大批VPN服務商相繼遭到封鎖[78],更有甚者提議立法限制VPN服務於大陸網路的註冊使用[79],此舉致使民怨沸騰並遭到社會言論指責。《南华早报》报道,在纪念中国人民抗日战争暨世界反法西斯战争胜利70周年大会前夕,多个被用于绕过互联网限制的服务遭到关闭或干扰。[80]
除技术手段外,中国官方通过一系列线下措施,使一些翻墙工具的开发者迫于压力放弃开发,例如2015年8月下旬,Shadowsocks的作者迫于前來「關心」的警方压力[81]删除了自己的项目[82][83],GoAgent的作者则自行将项目删除[84]。
在中國使用的技術中,可以探查網民通訊內容的深度包檢測技術(DPI)趨近成熟,初期雖然機器需要時間對加密報文算法結構等加以學習,但日後有很大希望成功實現實時監視通訊內容,銀行及所有企業的資訊將能被檢測並抽取出明文,嚴重威脅企業在華利益,也讓歐美將防火牆列為貿易操縱工具。
基於DPI獲取的信息,GFW有能力更快捷高效地為設在外地,特別是如港澳及台灣的外商伺服器植入木馬[85],同時基於使翻牆者與伺服器通信停止的DDoS攻擊、干擾阻斷連接的DNS汙染等攻擊手段打擊各地程序員的開發交流,導致國際網路損失。
封鎖所採用的技術手段已不限於阻止獲取信息面,而是能轉而用於掌握網路意識形態、話語權的對決,乃是金融與經濟等資料保密與資訊通暢的戰爭[86],甚至會波及基礎建設的日常運作等[87],對此,原視中國網路審查為內政問題的美國等,自2015年中起將對中國官方的網路干預行為進行第三方介入[88][89]。如果外商沒有遵守本地法律,甚至連單純的商業活動都會被防火長城封鎖[90],例如谷歌公司除了敏感性的Google搜索之外,其他無關功能如谷歌地球服務等亦在中國大陸受到封锁。[91]同時收看網路媒體也因為版權的法規問題,如果想使用串流服務,也存在著需要翻牆進入中國大陸網路的「邊境管制」現象。[92]
被美国列为贸易壁垒
美国贸易代表办公室在2016年4月发布的年度特別301報告中称,中国对互联网的审查过滤对外国企业是个严重的贸易障碍。报告中指出,中国在过去一年加紧了对网站的屏蔽,全球25家用户流量最多的网站中有八家被中国屏蔽。
据美联社报道,依赖互联网进行销售、结算以及其它功能的外国和国内企业纷纷抱怨“防火墙”阻碍了公司的运营,以导致部分跨国公司损失严重。
美国商会一月份的调查显示,接受调查的公司中有将近百分之八十的公司表示,他们受到了中国网络屏蔽所带来的“消极影响”。有超过半数的受访企业表示他们在使用网络工具或搜索信息时被屏蔽。很多中国网民也抱怨“防火墙”阻碍了他们与客户或商业伙伴交流以及學生申请海外院校。一些人通过使用虚拟私人网络(VPN)绕开“防火墙”的屏蔽,但现在这些虚拟私人网络也开始遭到北京当局屏蔽,后来在2015年12月前后,GFW突然屏蔽了全部出自国外(不包括ikev2在内)的所有不受控制的VPN连接。
那份年度报告还指出,中国对很多境外网站的屏蔽都显得很武断,有些和社会稳定或国家安全没有关系的网站也被屏蔽,比如美国一家大型家居装饰网站,里面的内容看上去一点都不敏感,但这种却是典型的有可能被防火墙屏蔽的网站。[93]
为此,中国外交部发言人洪磊主持例行记者会,声称:中国互联网蓬勃发展,为各国企业提供了广阔发展空间。中国吸引外资的政策不会变,保护在华外企各方面合法权益的政策不会变,为外企在中国创造良好经营环境的政策也不会变。我们希望各国尊重其他国家自主选择的互联网发展道路、管理模式、公共政策以及参与国际互联网治理的权利。[94]
翻墙软件“枫叶香蕉”开发者许东被捕
翻墙软件“枫叶香蕉”开发者许东疑因在网上发布翻墙技术及香港占中消息,于2015年1月4日被北京西城区警方带走,他的电脑U盘、手机等均被警方取走。警方指控他涉嫌寻衅滋事罪刑拘,关押在北京市第一看守所。同年1月30日获准取保释放。[95]
邓杰威因提供翻墙服务获刑
东莞居民邓杰威因提供翻墙服务,于2016年8月24日被公安机关逮捕,并被东莞市人民检察院以犯提供侵入、非法控制计算机信息系统程序、工具罪向东莞市第一人民法院提起公诉,一审判处有期徒刑九个月。判决书中写道:"经鉴定,被告人邓杰威的ShadowsocksR-dotnet4.0.exe软件可以访问国内(大陆地区)IP不能访问的外国网站。……被告人邓杰威的作案时间长,影响范围广,其犯罪情节不属轻微,社会危害性较大。”[96]
对邓杰威的法院刑事判决书和检察院起诉书原文在新浪微博被众多网友转发并引起了广泛关注。一些网友表示了对判决的不解:"这判决看不懂啊,VPN怎么是非法入侵、控制他人电脑的东西?""那墙岂不是天天都在非法控制电脑?"也有一些网友表示了担忧:"听说卖vpn违法会被判刑?那我们买的是不是也要抓起来?"[97]
南京赵某因提供翻墙服务被处罚
2017年9月,在南京某网络企业从事软件开发工作的赵某,因向他人出售翻墙服务,被南京浦口警方根据《中华人民共和国网络安全法》的有关规定处以行政拘留3天、没收违法所得共计1,080元的处罚。[98][99]
十九大前后对破网软件及VPN的反制
2017年10月至11月期间,大陆境内绝大多数的VPN被干扰,PPTP、L2TP等VPN协议都被拦截,包括Lantern、XX-Net、Shadowsocks等“翻墙”软件都不能正常使用。会议之后商用宽带网络逐渐恢复正常,但相比之前仍提高了封锁力度,通过更改本地hosts的方式几乎无法访问Google网站。
無錫警方關閉云梯VPN
2017年10月,无锡新吴警方拘捕包某等3名翻墻软件"云梯VPN"制售團隊成員,並將“云梯VPN”所有服务器连接切断[100]。
凡狗VPN商家吴向洋被逮捕
2013年至2017年6月期间,吴向洋在网上搭建VPN服务器并提供会员账号和登陆软件,该软件登录后可以浏览境外网站,另外吴向洋还把一些VPN会员账号密码写到硬件路由器上,使得修改过的路由器能够直接登录VPN,实现能够收听境外网站音视频节目的功能。之后吴向洋利用“淘宝网”开设网店,以及在互联网开设“凡狗VPN”网站等方式,向一般用户出租或销售VPN软件、VPN路由器硬件,交易数千次,经营额达792638元,获利约50余万元。2017年10月,广西壮族自治区平南县检察院以涉嫌非法经营罪批准逮捕犯罪嫌疑人吴向洋并移送审查起诉[101],最終吳向洋因非法经营罪被法院判决有期徒刑五年六个月,并处罚金人民币五十万元[102]。
Steam社区网站被屏蔽
Steam社区网站自2017年12月16日起遭到屏蔽,方法是DNS污染。Steam是最大的PC数字游戏平台,其社区网站被用于讨论和分享游戏经验。Steam在中国也有着庞大的用户群,根据Steam Spy2017年底的报告,Steam的中国区玩家已经突破3000万[103],其不受中国监管的社群被认为带来了监管方面的挑战[104][105]。
河南网民刘冰洋提供翻墙服务获刑
2016年夏天起,河南网民刘冰洋开始提供基于Shadowsocks的的翻墙服务。2017年3月30日被河南省新野县公安局逮捕。“截至案发,被告人刘冰洋共购买、搭建境外代理服务器55个,发展客户共计4091个,非法获利342635元(其中,美元汇率按6.90元、港币汇率按0.89元折算)”。2017年12月28日,刘冰洋被河南省新野县人民法院一审以提供侵入、非法控制计算机信息系统的程序、工具罪判处有期徒刑三年,缓刑五年,罚金100000元,并没收300000元。[106]
湖南岳阳县警方抓捕“翻墙”软件提供者
2018年,岳阳人王某、孙某、欧阳某在网上销售能提供翻墙服务的名为“粒子云加速器”的VPN软件。同年4月,销售软件行为被岳阳县公安局网技大队发现。同年5月,岳阳警方在岳阳市区抓捕王某、孙某和欧阳某三人并将其行政拘留。截至被捕时,三人共向26人次销售了VPN软件,获利近千元[107]。
上海戴某出售VPN获刑
在某证券管理公司从事软件开发工作的戴某,自2016年4月起,创建网站,并在网站上出售VPN翻墙软件的账户。同时租用中国境外服务商的多台服务器,向所出售的账户提供可以访问中国IP不能访问的外国网站服务。戴某于2017年10月10日被抓获,截至2017年10月案发,戴某共计向数百人次提供VPN服务。在法院审理期间,戴某退还盈利所得人民币1万元。2018年10月,上海市宝山区人民法院宣判戴某提供侵入、非法控制计算机信息系统程序、工具罪一案,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元[108]。
参考文献
引用
^ 1.01.1 校长方滨兴:实施过滤计划慎用在线更新输入法--人民网教育频道 中国最权威教育网站--人民网. edu.people.com.cn. 2010-07-09 [2017-07-04].
^ 环球时报:防火墙带给中国互联网哪些影响. 环球时报. 2015-01-28 [2015-01-28].
^ 3.03.1 Great Firewall father speaks out. Global Times. [2011-02-18] (英语).
^ (英文)Great Firewall of China,2008年1月30日新增。
^ (简体中文)百度日本站被GFW屏蔽疑与色情内容有关 互联网档案馆的存檔,存档日期2008-08-19.,人民网(有百度员工指出这是百度自我审查屏蔽内地用户,GFW并没有封锁,详见南方人物周刊:百度搜不到的与索取到的)
^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25] (中文(繁體)).
^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始内容存档于2013-07-21) (中文(中国大陆)).
^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13]
^ 道高一尺,牆高一丈:互聯網封鎖是如何升級的. 端聞. 2015-09-04.
^ 防火墙给中国互联网哪些影响:成就本土行业崛起. 环球网. 2015-01-28.
^ 區域經濟規劃密集亮相下半年步伐或繼續加快. 新华网>新華財經. 2011年7月7日 [2017-12-08]. (原始内容存档于2011-07-10).
^ 听美国专家揭秘中国互联网瘫痪的原因. 人民网通信频道. 2014年1月26日. (原始内容存档于2014年2月21日).
^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30] (中文).
^ (英文)Asia Pacific Root servers,亚太互联网络信息中心
^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2011-02-10].
^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19].
^ Root Server Technical Operations Assn. [2014-01-25].
^ China censorship leaks outside Great Firewall via root server. Ars Technica. 2010-03 [2011-05-19].
^ A Chinese ISP Momentarily Hijacks the Internet. PC World. 2010-04-09 [2011-05-19].
^ 我们的网络为什么这么卡. 2012-11-09 [2012-11-09].
^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21].
^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始内容存档于2014-01-23).
^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09.
^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23.
^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21].
^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20. (英文)
^ Google accuses China of blocking Gmail. 法新社. 2011-03-21 [2013-03-18]. (原始内容存档于2014-02-24).
^ China Escalating Attack on Google. 紐約時報. 2014-06-02. (英文)
^ Gmail被中国完全屏蔽. [2014-12-29]. (原始内容存档于2015-01-03).
^ 社评:中国出于安全考虑“封”Gmail不可信. [2014年12月30日]. (原始内容存档于2015年1月20日).
^ GFW此次升级的原理推测. [2014年1月14日].
^ 翻墙专题:安全加密登入的方法. RFA. 2011-03-18 [2011-03-21].
^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10].
^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17].
^ 专利号2009100850310, 《一种阻断TCP连接的方法和装置》, https://patents.google.com/patent/CN101902440A/zh, 2018-04-24查阅.
^ 防火墙可能采用了更巧妙的方式干扰Google搜索 http://it.solidot.org/article.pl?sid=12/10/31/0510237
^ 翻墙OK »关于GFW审查eD2k协议的相关内容汇总. [2012-11-29].
^ chengr28. 小盆友的可考证处:(In 2012-11-28)关于eD2k服务遭审查. [2012-11-29].
^ 网易. 《环球时报》英文版:部分国外VPN服务在中国无法正常使用_网易财经. money.163.com.
^ 中国网警“修理”翻墙网民中科院也被牵连. RFI. 2011-05-18 [2011-05-18].
^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. RFA. 2011-05-12 [2011-05-18].
^ Theories abound for overseas web access troubles. 环球时报. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-21).
^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2011-05-19].
^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. [2014-12-31].
^ Special Report: How foreign firms tried to sell spy gear to Iran. Reuters.
^ Deng, Z.; Liu, Z.; Chen, Z.; Guo, Y. The Random Forest Based Detection of Shadowsock's Traffic. 2017 9th International Conference on Intelligent Human-Machine Systems and Cybernetics (IHMSC). August 2017, 2: 75–78. doi:10.1109/IHMSC.2017.132.
^ 如何评价 2017 年 IHMSC 上发表的探测流量的论文? - 知乎. www.zhihu.com. [2018-02-05] (中文).
^ VV, 特約撰稿人. 道高一尺,牆高一丈:互聯網封鎖是如何升級的|端傳媒 Initium Media. 端傳媒 Initium Media (中文(香港)).
^ (In 2012-11-20)关于近日IPv6隧道被阻断连接. 2012-11-08 [2012-11-08].
^ 方滨兴院士解读国家信息安全保障体系(转载). 中华人民共和国工业和信息化部. 2009年 [2011-03-21]. [失效連結]
^ 谷歌在中国教育网遭国家级中间人攻击. greatfire.org. 2014年9月4日.
^ 知名网站遭遇SSL中间人攻击 手法很熟业务很忙. 2014年10月21日.
^ 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因 - ChinaUnix.net
^ 无耻的GFW,测试GFW工作原理 - MDaemon Server - 邮件服务器-邮件系统-邮件技术论坛(BBS),日期為2007年7月6日,有網友在此抱怨GFW的封鎖
^ (简体中文)万网关于海外邮件通信问题的进展通告
^ Gmail blocked in China. Reuters. 2014-12-29.
^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好? - 海外留学 - 人在海外 - 美国华裔教授专家网 ScholarsUpdate.com. scholarsupdate.hi2net.com.
^ Gmail中国内地服务得以部分恢复.
^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11] (英语).
^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11] (中文(繁體)).
^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11] (中文(台灣)).
^ GitHub. GitHub System Status.
^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30] (中文(台灣)).
^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30] (中文(简体)).
^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亚洲电台. 2010-06-08 [2010-06-09].
^ 中文维基百科被屏蔽. solidot. 2015-05-19 [2015-05-19].
^ China may relax Internet curbs during the Olympics: official. Google - 法新社. 2008-02-05. (原始内容存档于2008-02-09) (英语).
^ 胡锦涛接受外国媒体记者采访. BBC. 2008年8月1日 [2008年8月1日] (中文(中国大陆)).
^ 奥运前夕中国解禁国际特赦网站. BBC. 2008年8月1日 [2008年8月1日] (中文(中国大陆)).
^ 外媒指责中国政府未兑现奥运期间网络自由承诺. 齐鲁晚报. [2008-08-31] (中文(简体)).
^ 北京奥组委:外国记者上网不会完全不受限. 联合早报. 2008-07-31. (原始内容存档于2010-02-15) (中文(新加坡)).
^ China 'bans BBC Chinese website'. BBC. 2008年12月16日 [2008年12月16日] (英语).
^ 中国再屏蔽外国敏感网站引发争议. VOA. 2008年12月17日 [2008年12月17日] (中文(简体)).
^ 中國政府會議期間首度全面開放互聯網. 東方報業集團. 2014-11-05 [2014-12-30].
^ 記者手記:從facebook到禱告室 體味自由空間. 文匯報. 2014-11-07 [2014-12-30].
^ 孟航. 中国乌镇互联网大会全面解禁境外网站. BBC中文网. 2014-11-19 [2014-11-19].
^ 乌镇峰会特设上网账户 发小米手机预装大会APP. 南华早报中文网. 2015-12-16 [2015-12-16]. (原始内容存档于2015-12-16).
^ 中國防火長城再次升級 多數VPN服務失效. UDN. 2015-01-15 (中文(台灣)).
^ 中国网络封锁升级大范围屏蔽VPN. 纽约时报中文网. 2015-01-30 (中文(中国大陆)).
^ VPN服务受到进一步打击. (原始内容存档于2015-11-08).
^ clowwindy. Adopting iOS 9 network extension points · Issue #124 · shadowsocks/shadowsocks-iOS. GitHub. [2015-08-22]. (原始内容存档于2015-08-22) (英语).Two days ago the police came to me and wanted me to stop working on this. Today they asked me to delete all the code from GitHub. I have no choice but to obey.
^ clowwindy. remove · shadowsocks/shadowsocks@938bba3. GitHub. 2015-08-22 [2015-08-22].
^ clowwindy. shadowsocks/shadowsocks. GitHub. 2015-08-22 [2015-08-22].
^ GoAgent开发者删除项目,GitHub再次受到DDoS攻击. Solidot奇客.
^ 中國機構首次曝光境外駭客組織「海蓮花」. 風傳媒. 2015-05-30 (中文(香港)).
^ 《華盛頓郵報》:美國擬制裁中國網路經濟間諜. 風傳媒. 2015-09-01 (中文(香港)).
^ 報復中國網攻 美國忌諱什麼?. 世界新聞網. 2015-08-04. (原始内容存档于2015-09-06) (中文(台灣)).
^ 歐巴馬出重拳 授權美國制裁國際駭客. 風傳媒. 2015-04-02 (中文(香港)).
^ 纽约时报:美国决定报复中国网络攻击. VOA. 2015-08-01 (中文(新加坡)).
^ 谷歌入华已板上钉钉,谷歌将于近期举行发布会. 搜狐网.
^ Google Play想入华,野心和难度一样大. 雷鋒网.
^ 翻墙专题:看电视剧也要翻墙?.
^ 美贸易代表办公室:中国网络防火墙是贸易障碍. 美国之音. [2016-04-08].
^ 美国妄称:中国网络防火墙阻碍国际商贸. 搜狐网. [2016-04-09].
^ 发布占中消息被扣近月IT人许东获释. Radio Free Asia.
^ 邓杰威提供侵入、非法控制计算机信息系统程序、工具一审刑事判决书. wenshu.court.gov.cn. [2017-09-04].
^ 卖翻墙软件 判刑9个月,德国之声,2017年9月4日。
^ 南京警方破获全市首例销售网络“翻墙”工具案,荔枝网,2017年9月15日。
^ 【网络民议】有人说这是挂R档,要我说这简直就是调头狂奔,中国数字时代,2017年9月15日。
^ 警方信息-新吴摧毁一制售“翻墙”软件团伙] [[:Template:Webarchive-url=https://web.archive.org/web/20171201063556/http://jsfzb.jschina.com.cn/mp2/pc/c/201710/25/c393290.html -date=2017-12-01]].江蘇法制報.[2017-10-15. 外部链接存在于|title=(帮助); 网址-维基内链冲突 (帮助)
^ 汪欣. 未经许可销售VPN代理服务 男子非法牟利50余万被捕_新闻中心_正义网. news.jcrb.com.
^ 男子私自搭建VPN服务器非法获利50余万元被判刑.正義網.[2017-12-20].
^ Steam国区活跃用户突破3000万 玩“吃鸡”的最多.中关村在线.[2017-12-04].
^ Steam 社区网站被屏蔽.Solidot.[2017-12-17].
^ steamcommunity.com 在中国92%被封锁.GreatFire.org.
^ 刘冰洋一审刑事判决书-全文页-中国裁判文书网. wenshu.court.gov.cn. [2018-02-06].
^ 岳阳县警方成功破获湖南省首例销售网络“翻墙”工具案.岳阳网警巡查执法官方微博.
^ 一男子因出售VPN获刑.人民法院报.
来源
.mw-parser-output .refbegin{font-size:90%;margin-bottom:0.5em}.mw-parser-output .refbegin-hanging-indents>ul{list-style-type:none;margin-left:0}.mw-parser-output .refbegin-hanging-indents>ul>li,.mw-parser-output .refbegin-hanging-indents>dl>dd{margin-left:0;padding-left:3.2em;text-indent:-3.2em;list-style:none}.mw-parser-output .refbegin-100{font-size:100%}
- 网页
Blue的炫影. “连接被重置”. 译言. 2008-03-24 [2008-08-29] (中文(中国大陆)).
本文全部或部分内容来自美国联邦政府所属的美国之音网站。根据版权条款(英文)和有关美国政府作品版权的相关法律,其官方发布的内容属于公有领域。
本文全部或部分内容来自美国联邦政府所属的美国之音网站。根据版权条款(英文)和有关美国政府作品版权的相关法律,其官方发布的内容属于公有领域。
外部链接
维基新闻相关報導:
中国大陆外用户访问国内带有敏感词的网页可能会被重置连接
(英文) Chinese bloggers run the gauntlet of forced registration, censorship
(英文) Website Test behind the Great Firewall of China, WebSitePulse
(简体中文) GreatFire.org
(简体中文) 入侵防御系统的评测和问题
(简体中文) 阅后即焚:“GFW”(又名GFW的前世今生)——匿名作者
(简体中文) 深入理解GFW:内部结构
田路. “网上长城”攻防战. 凤凰周刊, 腾讯新闻. "vingietang" (责任编辑). 2010年12月22日 [2018年4月16日] (中文(中国大陆)).
参见
- 中华人民共和国网络审查
- 中华人民共和国审查词汇列表
- 中华人民共和国被封锁网站列表
- 中国大陆封锁维基媒体事件
- 大炮
突破网络审查(俗称“翻墙”、“破网”、“科学上网”、“番茄”)
- 代理服务器
- VPN
- hosts文件
- 相关主张与设施
- 網路主權
- 和谐社会
- 國家區域網路
- 国际离岸云计算数据特别管理区
- 第五權
禁止网络盗版法案(SOPA,美國提出類似機制的法案)- 蜻蜓計畫
- 相关人物
- 方滨兴
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
