大家谁去维基百科编一下tor使用教科书?
一号空降场
一号空降场
标题的GFW之所以加上引号是因为,GFW是局外人起的绰号,它的真实称呼并非如
此,但"GFW"也确实如实涵盖了这一在中国一贯隐晦而模糊的概念。
时间表
- 1998年9月22日,公安部部长办公会议通过研究,决定在全国公安机关开展全国
公安工作信息化工程――"金盾工程"建设。
- 1999年4月20日,公安部向国家计委送交金盾工程立项报告和金盾工程项目建议
书。
- 1999年4月25日,上万名法轮功练习者围攻中南海。
- 1999年6月,国家计算机网络与信息安全管理中心成立,局级事业单位。
- 1999年7月22日,中华人民共和国政府宣布法轮功妨碍国家安全和社会稳定,认
定法轮大法研究会及法轮功为非法组织,决定予以取缔。
- 1999-2000年,在哈尔滨工业大学任教多年的方滨兴调任国家计算机网络与信息
安全管理中心副总工程师。
- 1999年12月23日,国务院发文成立国家信息化工作领导小组,国务院副总理吴邦
国任组长。其第一下属机构计算机网络与信息安全管理工作办公室设在已经成立的
国家计算机网络与信息安全管理中心,取代计算机网络与信息安全管理部际协调小
组,对"公安部、安全部、保密局、商用密码管理办公室以及信息产业部"等部门的
网络安全管理进行组织协调。
- 2000-2002年,方滨兴在国家计算机网络与信息安全管理中心任总工程师、副主
任、教授级高级工程师。
- 2000年4月20日,公安部成立金盾工程领导小组及办公室。
- 2000年5月,005工程开始实施。
- 2000年8月19日,大纪元时报创刊。
- 2000年10月,信息产业部组建计算机网络应急处理协调中心。
- 2000年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过《关于
维护互联网安全的决定》。
- 2001年,方滨兴"计算机病毒及其预防技术"获国防科学技术三等奖,排名第一。
- 2001年,方滨兴获国务院政府特殊津贴、信息产业部"在信息产业部重点工程中
做出突出贡献特等奖先进个人"称号,中组部、中宣部、中央政法委、公安部、民
政部、人事部等联合授予"先进个人"称号。
- 2001年1月19日,国家计算机网络与信息安全管理中心上海分中心成立,位于上
海市黄浦区中山南路508号6楼。国家计算机网络应急技术处理协调中心上海分中心
是工业和信息化部直属的中央财政全额拨款事业单位。
- 2001年4月25日,"金盾工程"经国务院批准立项。
- 2001年7月,计算机网络与信息安全管理工作办公室批准哈尔滨工业大学建立国
家计算机信息内容安全重点实验室,胡铭曾、方滨兴牵头。
- 2001年7月24日,国家计算机网络与信息安全管理中心广州分中心成立,位于广
州市越秀区建中路2、4号。
- 2001年8月8日,国家计算机网络与信息安全管理中心组建国家计算机网络应急处
理协调中心,缩写CNCERT/CC。
- 2001年8月23日,国家信息化领导小组重新组建,中央政治局常委、国务院总理
朱 基任组长。
- 2001年11月28日,国家计算机网络与信息安全管理中心上海互联网交换中心成
立。提供"互联网交换服务,互联网骨干网华东地区数据交换,数据流量监测与统
计,网间通信质量监督,交换中心设备维护与运行,网间互联费用计算,网间互联
争议协调",位于上海市黄浦区中山南路508号。
- 2001年11月28日,国家计算机网络与信息安全管理中心广州互联网交换中心成
立,位于广州市越秀区建中路204号。
- 2001年12月,在北京的国家计算机网络与信息安全管理中心综合楼开始兴建。
- 2001年12月17日,国家计算机网络与信息安全管理中心湖北分中心成立。
- 2002年,方滨兴任中国科学院计算技术研究所客座研究员、博士生导师、信息安
全首席科学家。2002-2006年,方滨兴在国家计算机网络与信息安全管理中心任主
任、总工程师、教授级高级工程师,升迁后任其名誉主任。
- 2002年1月25日,报道称:"国家计算机网络与信息安全管理中心上海互联网交换
中心日前开通并投入试运行,中国电信、中国网通、中国联通、中国吉通等4家国
家级互联单位首批接入。中国移动互联网的接入正在进行之中,近期可望成为第五
家接入单位。"
- 2002年2月1日,国家计算机网络与信息安全管理中心新疆分中心成立。
- 2002年2月25日,国家计算机网络与信息安全管理中心贵州分中心成立。
- 2002年3月20日,多个国家计算机网络与信息安全管理中心省级分中心同时成
立。
- 2002年9月3日,Google.com被封锁,主要手段为DNS劫持。
- 2002年9月12日,Google.com封锁解除,之后网页快照等功能被封锁,手段为
TCP会话阻断。
- 2002年11月,经费6600万的国家信息安全重大项目"大范围宽带网络动态阻断系
统"(大范围宽带网络动态处置系统)项目获国防科学技术二等奖。云晓春排名第
一,方滨兴排名第二。哈尔滨工业大学计算机网络与信息内容安全重点实验室李
斌、清华大学计算机系网络技术研究所、清华大学网格计算研究部杨广文有参与。
- 2003-2007年,方滨兴任信息产业部互联网应急处理协调办公室主任。
- 2003年1月31日,经费4.9亿的国家信息安全重大项目"国家信息安全管理系
统"(005工程)获2002年度国家科技进步一等奖,方滨兴排名第一,胡铭曾排名第
二,清华大学排名第三,哈尔滨工业大学排名第四,云晓春排名第四,北京大学排
名第五,郑纬民排名第七,中国科学院计算技术研究所有参与。
- 2003年2月,在北京的国家计算机网络与信息安全管理中心综合楼工程竣工。
- 2003年7月,国家计算机网络应急处理协调中心更名为国家计算机网络应急技术
处理协调中心。
- 2003年9月2日,全国"金盾工程"会议在北京召开,"金盾工程"全面启动。
- 2004年,国家信息安全重大项目"大规模网络特定信息获取系统",经费
7000万,获国家科技进步二等奖。
- 2005年,方滨兴任国防科学技术大学兼职教授、特聘教授、博士生导师。
- 2005年,方滨兴被遴选为中国工程院院士。
- 2005年,"该系统"已经在北京、上海、广州、长沙建立了互相镜像的4套主系
统,之间用万兆网互联。每套系统由8CPU的多节点集群构成,操作系统是红旗
Linux,数据库用的是OracleRAC。2005年国家计算机网络与信息安全管理中心(北
京)就已经建立了一套384*16节点的集群用于网络内容过滤(005工程)和短信过
滤(016工程)。该系统在广州、上海都有镜像,互相以十万兆网链接,可以协同
工作,也可以独立接管工作。
- 2006年11月16日,"金盾工程"一期在北京正式通过国家验收,其为"为中华人民
共和国公安部设计,处理中国公安管理的业务,涉外饭店管理,出入境管理,治安
管理等的工程"。
- 2007年4月6日,国家计算机网络与信息安全管理中心上海分中心机房楼奠基,位
于康桥镇杨高南路5788号,投资9047万元,"……是国家发改委批准实施的国家级重
大项目,目前全国只有北京和上海建立了分中心,它是全国互联网信息海关,对保
障国家信息安全担负着重要作用。"
- 2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、
丢信等普遍现象。
- 2007年12月,方滨兴任北京邮电大学校长。
- 2008年1月18日,信息产业部决定免去方滨兴的国家计算机网络与信息安全管理
中心名誉主任、信息产业部互联网应急处理协调办公室主任职务,"另有职用"。
- 2008年2月29日,方滨兴当选第十一届全国人民代表大会安徽省代表。
- 2009年8月10日,方滨兴在"第一届中国互联网治理与法律论坛"上大力鼓吹网络
实名制。
机构关系
国家计算机网络与信息安全管理中心(安管中心)是原信产部现工信部的直属部
门。
安管中心与国家信息化工作领导小组计算机网络与信息安全管理工作办公室与国家
计算机网络应急技术处理协调中心(CNCERT/CC,互联网应急中心)是一个机构几
块牌子的关系。比如方滨兴简历中"1999-2000年在国家计算机网络应急技术处理协
调中心任副总工"与"计算机网络应急处理协调中心"的成立时间两种说法就有着微
妙的矛盾。实际上几个机构的人员基本一致。
安管中心下属互联网交换中心与国家互联网络交换中心是不同的机构。
各安管中心省级分中心一般挂靠当地的通信管理局。
安管中心的主要科研力量来自"哈尔滨工业大学一定会兴盛"方滨兴当博导有一批学
生的哈工大以及关系良好的中科院计算所,这两个机构是那三个国家信息 安全重
大项目的主要参与者,之后还在不断吸引人才并为安管中心输送人才和技术。在方
滨兴空降北邮之后,往安管中心输血的成分中哈工大的逐渐减少,北邮的逐 渐增
多。
CNCERT/CC的国内"合作伙伴"有中国互联网协会主办北京光芒在线网络科技有限公
司承办的中国互联网用户反垃圾邮件中心,是个没有实权的空壳;国家反计算机入
侵及防病毒研究中心、国家计算机病毒应急处理中心,是公安部、科技部麾下;违
法和不良信息举报中心是国新办势力范围;国家计算机网络入侵防范中心是中科院
研究生院的机构,同样直接支撑CNCERT/CC。
CNCERT/CC的应急支撑单位中民营企业最初领跑者是绿盟,后来绿盟因其台谍案被
罢黜,启明星辰取而代之。而安管中心具有一些资质认证、准入审 批的行政权
力,这可能是民间安全企业趋之若骛的原因。不过,民营企业并未参与到国家信息
安全的核心项目建设中,安管中心许多外围项目交给民企外企做,比如 像隔离器
之类的访问限制设备外包给启明星辰以作为辅助、备用,或者在与他们在网络安全
监测上有所交流。
GFW与金盾没有关系
敏锐的读者从时间表应该已经看出这样的感觉了。实际上,GFW与金盾就是没有关
系,两者泾渭分明,有很多区别。
公安系统搞网络监控的是公安部十一局
GFW是“国家信息关防工程”的一个子工程,直接上级是国家信息化工作领导小组和
信息产业部 是政治局亲自抓的国防工程
这个工程主要监测发现有害网站和信息,IP地址定位,网上对抗信息的上报,跟踪有害短信息和
及时进行封堵 江泽民,朱镕基,胡锦涛,李岚清,吴邦国等多次视察该工程
“国家信息关防工程”包括 “国家信息安全管理系统 工程代号为005。还有国家
信息安全016工程等等
GFW主要是舆情 情报系统的工具,而金盾主要是公安系统的工具。GFW的总支持者是负责
宣传工作的李长春,和张春江 江绵恒 最初的主要需求来自政治局 政法委 安全部 610办 ;
而金盾的 总支持者是公安
系统的高层人士,主要需求来自公安部门。GFW主外,作网络海关用;而金盾主
内,作侦查取证用。GFW建设时间短,花费少,成效好;而金盾 建设时间长,花费
巨大(GFW的十倍以上),成效不显著。
GFW依附于三个国家级国际出入口骨干网交换中心
从CRS GSR流量分光镜像到自己的交换中心搞入侵检测,再扩散到一些放在ISP那里的
路由封IP,位置集中,设备数量少;而金盾则是公安内部信息网络,无处
不在,数量巨大。GFW的科研实力雄厚,国内研 究信息安全的顶尖人才和实验室有
不少在为其服务,比如哈工大信息安全重点实验室、中科院计算所 软件所 高能所 国防科大
总参三部 安全部9局 北邮 西电 、 上海交大 北方交大 北京电子科技学院
解放军信息工程学院 解放军装甲兵工程学院 信产部中电30所 总参56所等等;
另外几乎所有985 211高校都参与此工程
一些公司商业机构也参与某些外围工程项目如 Websense packeteer BlueCoat 华为
北大方正 港湾 启明星辰 神州数码也提供了一些辅助设备
中搜 奇虎 北京大正 雅虎等等参与了搜索引擎安全管理系统
在某些省市级的网络机房里,接入监控的部门就五花八门了,有安全、公安、纪检、部队,等等
部署的设备也是五花八门 正规军 杂牌军 洋外援各自为战
而金
盾的科研实力较弱,公安系统的公安部第三研究所信息网络安全研发中心、国家反
计算机入侵与防病毒研究中心都缺乏科研力量和科研成果,2008年8月成立信息网
络安全公安部重点实验室想 与哈工大的重点实验室抗衡,还特意邀请方滨兴来实
验室学术委员会,不过这个实验室光是电子数据取证的研究方向就没什么前景,而
且也没什么研究成果。GFW 之父方滨兴没有参与金盾工程,而工程院里在支持金盾
工程的是沈昌祥;实际上那个公安部重点实验室的学术委员会名单很是有趣,沈昌
祥自然排第一,方滨兴因为 最近声名太显赫也不好意思不邀请他,方滨兴可能也
有屈尊与公安系统打好关系的用意。
GFW发展和状况
GFW主要使用的硬件来自曙光和华为,没有思科、Juniper,软件大部为自主开发。
原因很简单,对国家信息安全基础设施建设,方滨兴在他最近的 讲话《五个层面
解读国家信息安全保障体系》中也一直强调"信息安全应该以自主知识产权为主"。
何况GFW属于保密的国防工程
而且GFW没有闲钱去养洋老爷,肥水不流外人田。李国杰是 工程院信息工程部主
任、曙光公司董事长、中科院计算所所长,GFW的大量服务器设备订单都给了曙
光。方滨兴还将安管中心所需的大型机大订单给李国杰、国防 科大卢锡城、总参
56所陈左宁三位院士所在单位各一份。所以GFW为什么那么多曙光的设备,GFW为什
么那么多中科院计算所的科研力量,为什么方滨兴成为 中科院计算所和国防科大
都有显赫的兼职,为什么方滨兴从老家哈尔滨出来打拼短短7年时间就入选工程院
卢浮宫?就是因为方滨兴头脑灵活,做事皆大欢喜。
网上有人讽刺GFW夜郎自大,事实上这是盲目乐观,无知者无畏。GFW的技术是世界
顶尖的,GFW集中了哈工大、中科院、北邮货真价实的顶尖人才, 科研力量也是实
打实地雄厚,什么动态SSL Freenet VPN SSH TOR GNUnet JAP I2P Psiphon
什么Feed Over Email 算什么葱。所有的翻墙方法,
只要有人想得到,GFW都有研究并且有反制措施的实验室方案储备
比如说 串接式封堵 采用中间人攻击手段来替换加密通信双方所用的没有经过可信赖CA签名保护的数字证书
网关/代理间的证书协调,
在出口网关上进行解密检测也就是所谓深度内容检测 七层过滤
HTTPS 是需要认证的。客户端访问服务器时,服务器端提供CA证书,但有些实现也可以不提供CA证书
那么对于不提供CA证书的服务器,防火墙处理很简单,一律屏蔽掉
另外检测默认的CA发证机构,如果证书不是这些机构(Verisign、Thawte Geotrust)发的,杀无赦
就是在客户端与服务器端进行https握手的阶段,过滤掉一切无CA证
书或使用不合法CA证书的https请求。这一步是广谱过滤,与服务器的IP地址无关
。GFW主要是入侵防御
系统,检测-攻击两相模型。 所有传输层明文的翻墙方案,检测然后立即进行攻击
是很容易的事情;即使传输层用TLS之类的加密无法实时检测,那种方案面向最终
用户肯定是透明的,谁也不 能阻止GFW也作为最终用户来静态分析其网络层可检测
特征。入侵检测然后TCP会话重置攻击算是干净利落的手段了,最不济也能通过人
工的方式来查出翻墙方 法的网络层特征(仅仅目标IP地址就已经足够)然后进行
定点清除。如果是一两个国家的敌人,GFW也能找到集群来算密钥。GFW是难得能有
中央财政喂奶的 科研项目。那些在哈工大地下室、中科院破楼里的穷研究生即使
没有钱也能搞出东西来,现在中央财政喂奶,更是干劲十足了。GFW什么都行,就
是P2P没办 法,因为匿名性太好了,既不能实时检测出来,也无法通过静态分析找
到固定的、或者变化而可跟踪的网络层特征。就这样也能建两个陷阱节点搞点小破
坏,而且中 科院的242项目"P2P协议分析与测量"一直都没停。什么时候国外开学
术会议还是Defcon谁谁发一篇讲Tor安全性的paper,立即拿回来研究一 番实现一
下,已然紧跟学术技术最前沿了。不过实际上,即使GFW这样一个中国最顶尖的技
术项目也摆脱不了山寨的本性,就是做一个东西出来很容易,但是要把东西做细致
就不行了。
不过可能有人就疑问,为什么GFW什么都能封但又不真的封呢?我的这个翻墙方法
一直还是好好的嘛。其实GFW有它自己的运作方式。GFW从性质上讲 是纯粹的科研
技术部门,对政治势力来说是一个完全没有主观能动性的工具。GFW内部有很严格
权限管理,技术与政治封装隔离得非常彻底。封什么还是解封什 么,都是完全由
上峰决定,党指挥枪,授权专门人员操作关键词列表,与技术实现者隔离得很彻
底,互相都不知道在做什么。所以很多时候一些莫名其妙的封禁比如 封
freebsd.org封freepascal.org(可能都联想到freetibet.org),或者把跟轮子的
GPass八杆子打不着的"package.debian.org/zh-cn/lenny/gpass" 列为关键词,都
是那些摆弄着IE6的官僚们的颐指气使,技术人员要是知道了都得气死。方滨兴在
他最近的讲话《五个层面解读国家信息安全保障体系》中讲一个 立足国情的原
则,说:"主要是强调综合平衡安全成本与风险,如果风险不大就没有必要花太大
的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保 护就是根据
信息系统的重要性来定级,从而施加适当强度的保护。"所以对于小众的翻墙方
式,GFW按照它的职能发现了也就只能过一下目心里有个底,上峰根本 都不知道有
这么一种方式所以也根本不会去封、GFW自己也没权限封,或者知道了也懒得再花
钱花精力去布置。枪打出头鸟,什么时候都是这样。
目前的状况是对于敏感数据能通过封锁基本上就是安全的,
否则就被过滤掉了,对于庞大的网络数据用人来分析是不可能的,敏感数据只能基于
过滤技术根据数据流里面的一些特征来发现,目前的解密技术对于庞大数据流量和加
密技术想使用解密的方法是不可能实现的,只要加密数据流没有可识别的特征,过滤
技术就不会有任何记录和反映,因此过滤技术是无法真正实现网络封锁的,因此必需
加入新的参数,它们选择了量,即保存你的一段时间的数据。现在的破网方法用的比
较多得是动态网,无界,花园,等等,由于接点相对来说是有限的和可知的,因此保
存一段时间的数据就有了意义,由于使用破网软件的人很多,不可能人人都抓,可以
根据量来区分出重点,和经常使用破网软件的人,当然你可已通过代理来连接这些可
知接点来解决这个问题,破网软件也提供了这样的方法,但是通过代理联接可知的
接点的请求还是可能被截获的
方滨兴一个人把GFW崛起过程中的政治势能全部转化为他的动能之后就把GFW扔掉
了。现在GFW是平稳期,完全是清水衙门,既没有什么后台,也无法 再有什么政
治、资金上的利益可以攫取,也无法再搞什么新的大型项目,连IPv6对GFW来说都
成了一件麻烦事情。方滨兴在他最近的讲话《五个层面解读国家 信息安全保障体
系》中也感慨道:"比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较
容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还
检测什么……"GFW 一直就没有地位,一直就是一个没人管的萝莉,国新办、网监、
广电、版权、通管局之类的怪蜀黍都压在上面要做这做那。所以方滨兴在他最近的
讲话《五个层面解 读国家信息安全保障体系》中也首先强调一个机制,"需要宏观
层面,包括主管部门予以支持。"所以,想解封网站,不要去找GFW本体,那没
用,要去找GFW 的上峰,随便哪个都行。而ISP就根本跟GFW没关系了,都不知道
GFW具体搞些什么,起诉ISP完全属于没找到脉门。
不过GFW现在还是运行得很好,工作能力还有很大潜力可挖,唯一害怕的就是
DDoS死撞墙。GFW的规模在前面的时间表里也有数字可以估计,而且 GFW现在的网
站封禁列表也有几十万条之多。网络监控和对MSN YMSG ICQ等IM 短信监控也都尽善尽美。
GFW在数据挖掘和协议分析上做的还比较成功
多媒体数据如音频 视频 图形图像的智能识别分析 自然语言语义判断识别
模式匹配 p2p VoIP IM 流媒体 加密内容识别过滤 串接式封堵 等等是将来的重点
不过GFW也没
有像机器学习之类的自组织反馈机制来自动生成关键词,因为它 本身没有修改关
键词的权限,所以这种技术也没必要,况且国内这种技术也是概念吹得多论文发得
多实践不成熟。现在GFW和金盾最想要的就是能够从万草从中揪 出一小撮毒草的数
据挖掘之类的人工智能技术。方滨兴在他最近的讲话《五个层面解读国家信息安全
保障体系》中提到"舆情驾驭核心能力","首先要能够发现和 获取,然后要有分析
和引导的能力"。怎么发现?就靠中科院在研的973课题"文本识别及信息过滤"和
863重点项目"大规模网络安全事件监控"这种项目。 金盾工程花大钱搞出来,好评
反而不如GFW,十一局的干警们脸上无光无法跟老一辈交代啊。公安系统的技术力
量跟GFW没法比,不过公安系统有的是钱,先游 山玩水吃喝一通,然后把剩下的税
金像冲厕所一样随便买个几十万个摄像头几万台刀片几十PB硬盘接到省市级网络中
心,把什么东西都记录下来。问题是记下来不 能用,只能靠公安干警一页一页地
翻Excel。所以说,虽然看起来GFW千疮百孔,金盾深不可测,只是因为公安部门比
起GFW来比较有攻击性,看到毒草不 是给你一个RST而是给你一张拘留证。反而是
GFW大多数时候都把毒草给挡住了,而大多数毒草金盾都是没发现的。
国家信息安全话语范式
在轮子闹事被取缔之后,轮子组织仍然在从四面八方进行各种手段的宣传,而且逐
渐依靠上了各种境外背景。境内的宣传活动很快就被公安和国安清理掉了, 然而
从境外网上而来的大量网络宣传让从未有过网络化经验的中央无所适从、毫无办
法、十分着急。这些东西对中央来说都是难以忍受的安全威胁,为这些威胁又发
生在网上,自然国家网络安全就被提上了首要议程。适逢信息化大潮,电子政务概
念兴起,中央下决心好好应对信息化的问题,于是就成立了国家信息化工作领导
小 组。我们可以看到,首批组成名单中,安全部门和宣传部门占了大多数席
位,而且其第一下属机构就是处理安全问题,第二下属才是处理信息化改革,安全
需求之强 烈,可见一斑。
正是这个时候,一贯对信息安全充满独到见解的方滨兴被信产部的张春江调入了安
管中心练级。方滨兴对信息安全的见解与高层对网络安全的需求不谋而合。 一个
方滨兴见解的集大成概括,方滨兴在他最近的讲话《五个层面解读国家信息安全保
障体系》中说:"一定要有一个信息安全法,有了这个核心法你才能做一系列 的工
作。"国家信息安全体系的首要核心就是以信息安全为纲的法律保障体系,通过国
家意志――法律来定义何谓"信息安全"。信息安全本来是纯技术、完全中性 的词
语,通过国家意志的定义,将"煽动…煽动…煽动…煽动…捏造…宣扬…侮辱…损害…其
他…"定义为所谓的网络攻击、网络垃圾、网络有害信息、网络安全威 胁,却在实
现层面完全技术性、中立性地看待安全,丝毫不考虑现实政治问题。这样既在技术
上实现完备的封装,也给了用户以高可扩展性的安全事件定义界面。对 国家安全
与技术安全实现充满隐喻的捆绑,对意识形态与信息科学进行牢不可破的焊接,这
就是方滨兴带给高层的开拓性思维,这就是方滨兴提出的国家信息安全话 语范
式。
这个话语范式是如此自然、封装得如此彻底,以至于几乎所有人都没有意识到中国
的网络化发展出现了怎样严重的问题。几乎所有网民都没有意识到,给他们 带来
巨大麻烦和沮丧的GFW竟然是本来应该为网民打黑除恶的国家互联网应急响应中
心;几乎所有网民都没有意识到,自己在网上某处的一亩三分地修剪花草对于 国
家来说竟然是网络安全攻击事件;几乎所有决策者都没有意识到,那个看似立竿见
影的防火墙实际上具有怎样强大的副作用、会给互联网发展带来怎样大的伤害;
几乎所有决策者都没有意识到,使用GFW这样专业的安全工具来进行网络封锁意味
着什么。意识形态面对网络化这样变幻莫测的景色无法忍受,就只能用眼罩封闭
住眼睛。在讨论网络化的中文理论文本中,摆到首要位置占据最多篇幅的便是网络
安全和网络威胁。国家信息化工作领导小组第一下属机构便是处理安全问题。这
样,在网络本身都没有发展起来的时候,就在理论上对网络进行种种限制和控
制;在网络仍然自发地成长起来以后,便在文化上对网络进行系统性妖魔化,在地
理上 对网络中国进行闭关锁国。更严重的是,在根本不了解技术本质和副作用的
情况下使用国家信息安全工具,就像一个不懂事的小孩把玩枪械。在维护安全的话
语之 下,决策者根本不知道使用GFW进行网络封锁就是在自己的网络国土上使用军
队进行镇压,切断网线就是在自己的网络国土上种蘑菇。
更悲哀的是,GFW的建设者们大多都没有意识到他们在做的究竟是什么事情,在签
订保密协议之后就无意识中投身党国事业滚滚长江东逝水。像云晓春这种 跟着方
滨兴出来打江山的,方滨兴倒是高飞了,云晓春们就只能鞠躬尽瘁干死技术,在安
管中心反而被王秀军、黄澄清之辈后来居上。而当初在哈工大跟着方滨兴的 穷研
究生们,最后也陆陆续续去了百度之类的公司。GFW面临与曼哈顿工程一样的伦理
困局。科学本是中立的,但科学家却被政治摆弄。技术工作者们只关心也只 被允
许关心如何实现安全,并不能关心安全的定义到底如何。他们缺乏学术伦理精
神,不能实践"对自己工作的一切可能后果进行检验和评估;一旦发现弊端或危
险,应改变甚至中断自己的工作;如果不能独自做出抉择,应暂缓或中止相关研
究,及时向社会报警"的准则。结果就算他们辛辛苦苦做研究却也不能造福民
生,反 而被扣上"扼杀中国人权""纳粹帮凶"的帽子,不可谓不是历史的悲哀。
这种话语范式浸透了社会的方方面面。在这种话语之下,中国有了世界上最强大的
防火墙,但中国的网络建设却远远落后于世界先进水平;中国有了世界上最 庞大
的网瘾治疗产业链,但中国的网络产业却只会山寨技;中国有了世界上最多的网
民,但在互联网上却听不见中国的声音。GFW已经实现了人们的自我审查,让 人们
即使重获自由也无法飞翔,完成了其根本目的。现在即使对GFW的DDoS的技术已经
成熟,然而推倒墙却也变得没有意义,只能让公安系统的金盾得势,更 多的网民
被捕,最终新墙竖起。这一切都出自意识形态化现代性与网络化后现代性之间巨大
断裂,以及"国家信息安全话语"这种致命的讳疾忌医。
结语
一部GFW简史同时也是中国网络化简史。网络化既是技术变革,也是文化变革。网
络文化这种"有害成份"无法分而治之,因为网络化的技术变革与文化变 革是一体
的;后现代的网络文化也无法与现代的意识形态文化进行同化,因为两者分属不同
的范式。网络的确是意识形态完全的敌人,因为网络多元化文化要求取消 意识形
态的中心地位;但意识形态不是网络的敌人,事实上网络没有敌人,因为网络只有
解构对象。因此对于执政者来说,意识形态的中心地位与网络化发展趋势两 者只
能选择其一。实际情况是,执政者选择了前者,而把大刀挥向了Web 2.0。于是网
络用它一贯调侃的风格模仿意识形态话语进行了如下讽刺:"我们对你陈旧的政权
概念和意识形态烂腌菜毫不感兴趣。你无法理解在人类网络化的历 史潮流之前宏
大叙事为何而消解,你也无法理解国家和民族概念为何将分崩离析,你无法改变你
对互联网的无知。你的政权无法成为我们真正的敌人。"其实, 《2009匿名网民宣
言》只是过早的预言,cyberpunk式的谜语。
然而,无论中国的互联网受到了怎样的限制和压迫,即便中国网民的眼界已经被成
功禁锢,中国的网络还是以它自己的方式适应种种压力顽强地发展。无论有多么强
大的GFW或者金盾,即使被关在果壳之中,网络仍然在以意识形态完全不能理解的
方式走向后现代蓝海,自成为无限空间之王。
金盾工程大家都了解,简单来说把它定义为公安信息化工程,或者叫公安工作信息化工程。行业的任务来说,打击犯罪、社会治安行政管理。
从这个行业来说,涉及到整个社会管理的多方面
从目标来讲,要做信息化。重点来讲包括几个方面,一个是公安业务运作信息化,包括和大家密切相关的人口管理、户籍管理、驾驶执照管理
,另外从内部来讲有一个信息高度共享问题。打击犯罪,要用社会治安行政管理当中的数据,用自己记录的一些资料对的工作进行帮助
“金盾工程”是以公安信息网络为先导,以各项公安工作信息化为主要内容,建立统一指挥、快速反应、协同作战机制,在全国范围内开展公
安信息化的工程,主要包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心 警务平台等
“金盾工程”各级公安机关建成了畅通的全国公安信息网络,联网计算机超过64万台,全国每百名民警拥有联网计算机38台,比1999年翻了两
番多。人口信息、违法犯罪信息、机动车驾驶人信息等最基础、最常用的23个一类系统已投入运行。目前,全国利用信息破案已占全部破案总
数的20%左右
金盾工程建设的目标,2005年以前在全国公安机关形成信息化基础设施比较完备、应用种类比较齐全、部分公安工作的流程实现信息化工作流
程,满足当前急需的科学规范,适应我国公安信息化框架体系。现在提出来的目标,2007年基本实现公安信息化。提出来科学规范实用,这也
是现任部长周部长提出来的
金盾工程建设的现状,从部党委做出决定,金盾工程的实施从98年9月份公安部作出在全国实施金盾工程建设的决定。五年时间里面坚持边立项
、边探索、便建设,边应用的方针。成立了工程的组织机构,设立了金盾办,现在金盾办主任由部领导担任,设立了综合、网络、应用等六个
组。从资金投入来讲,99年到2001年,公安部安排了近四亿元资金。从99年到2002年地方各级公安机关投入近50亿。的金盾工程呈多级星型结
构,数据、网络、图象是分开的,一般的数据带宽在4×2MB,二级网带宽大概在2M左右,开通率接近100%,三级网开通率接近80%。现在的难
题主要是基层所队接入网的开通,目前只占30%,东部比较好。北京、上海这些地方基本是百分之百,采用光纤直接联到派出所,条件比较好
。其它地方有的地方采用扩频微波,有的地方租用电信DNN电路。 从应用系统建设来讲取得了长足进步,人口信息系统已经覆盖90%的人
口,280多个地级以上城市实现联网查询。出入境查询系统覆盖全国所有口岸,交通管理信息系统覆盖所有机动车和驾驶员,82%的机动车和95
%的驾驶员信息可以联网查询。 针对打击犯罪的系统建立起来,网上追逃、指纹等等系统。现在装备的计算机大概在30多万台。从立项批
复情况看,去年10月份国家计委正式批复可行性研究报告,今年八月正式批复项目初步设计,核定总投资规模为30多亿元,其中中央投资8亿元
,其余为地方投资。中央投资主要是指公安部和计委,西部地区考虑到经济发展的不平衡,特意在申请中间强调了对西部地区必须要给与一定
的补贴,要不然西部肯定上不来。信息化要求步调基本一致。刚才讲到城市犯罪中间可能有大部分是外地人,而外地人口来自于来自相对比较
贫困的地区或者西部地区。如果西部地区的信息上不来,你的作用发挥非常有限,在这一点来讲,国家计委还是充分肯定的意见,给了一部分
西部投资资金。第一期投资基金30多个亿,当时提交立项以及做可行性研究报告,国内申请立项基建投资的信息化工程不是很多见,在此之前
大规模的信息工程基本不是走计委这条线。这个项目计委投资四百多万,做了第一个信息化投资项目。地方有各种渠道,大家觉得公安信息化
非常重要,金盾工程非常重要。总投资规模会超过30多亿,东部投资会超过这个数字。 金盾工程的原则是起点要高,科学、规范、实用,
公安的特点业务比较多,统筹规划、突出重点、统一领导、统一规划、统一标准、分级管理。最近强调突出重点,以需求为导向,以应用为核
心推动金盾工程。 支撑整个应用体系的包括运行管理体系,还有安全保障体系。在这上面还有信息化的标准规范体系,金盾工程的规模相
对比较大一些,部门业务比较多
应用系统包括建立共享性的信息资源库,过去有一些,但是覆盖面或者集中性都不是太理想。现在提出要建设全国性的库,包括人口、出入境
,在逃人员、被盗抢汽车、警员等信息。电子政务当中规划的四个资源库之一,也是为内容库准备信息资源。这一信息资源库有了适当的办法
,有些信息是可以提供给社会或者提供给其它部门的
一些金盾子项目
人脸识别查询在百万级的几个人脸库中进行高速人脸识别查询
旅客进入边检通报时,插入ic卡,从数据库里调出相应的人脸图案、数据,现场抓拍游客的面像即时与之比对,比对通过,关闸自动打开。人
脸识别作为指纹识别的补充,使识别准确率达到百分之百,而且使用这套系统通关只要五到六秒时间。
车辆出入境“快捷通”系统集成了远程电子预报、指纹/面像双生物特征的识别及比对技术、智能化自动控制机械定位等多种先进技术,做到了
远距离自动识别车辆号牌,即时调取车辆及司机资料,计算机自动比对司机指纹及面像,完成出入境边防检查的各项查验手续
雷管上了“户口”成功地研制出了系列工业雷管机械编码机,解决了生产线上雷管编码信息与计算机接口以及雷管编码信息在流通中方便有效
传递的技术问题。目前,全国74家雷管生产企业已经全部采用了雷管编码技术和信息管理系统
社会危险人员防控平台。平台将全市车站、机场、旅馆、银行等社会生活领域各个信息点采集到的人员信息数据,与在逃人员、涉毒人员、盗
抢车辆等数据资源库进行实时比对、碰撞,及时过滤、捕获社会危险人员和嫌疑车辆,并通过信息中心报警,传递到一线民警终端微机和手机
上
现场指纹,DNA数据库 指纹信息 在逃人员,在押人员 重大案件,盗抢车辆,失踪人员,未知名尸体信息资源库
一号空降场
维基百科,自由的百科全书
跳转到: 导航, 搜索
此条目需要可靠、公开、第三方的来源。(2007年8月)
另外,这里的第一手来源和其他相关来源的数量也不足以支持一篇正确的百科全书文章。
请协助补充符合可靠来源要求的引用以改善这篇条目。
“GFW”重定向至此。关于一种由微软定义的游戏特性,详见“Games For Windows”。
防火长城,也称中国防火墙或中国国家防火墙,是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗称。其名称
得自于2002年5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of
China》[1],取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW[2],戏称功夫网(Gong
Fu Wang)。随着使用的广泛,GFW已被用于动词,GFWed及某某网站“被墙”均指被防火长城所屏蔽 。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中
国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络
的资讯互相访问。
然而,利用防火长城等技术手段对网络内容的审查限制了言论自由,进行网络审查一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监
控,以达到自我审查的目的[3]。
中国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。近期政府强制电脑安装绿坝的要
求,也被认为是防火长城的一部分。此外,一些文章指出,GFW之父是中国工程院院士、北京邮电大学校长方滨兴[4]。
目录 [隐藏]
1 主要技术
1.1 域名劫持
1.2 国家入口网关的IP封锁
1.3 主干路由器关键字过滤阻断
1.3.1 关键字过滤-复位包分析
1.4 HTTPS证书过滤
1.5 对破网软件的反制
2 对电子邮件通讯的拦截
3 GFW测试
3.1 中国大陆境外
3.2 中国大陆境内
4 会被过滤的网站
5 北京奥运与GFW
6 注释
7 参考文献
8 参见
9 外部链接
[编辑] 主要技术
[编辑] 域名劫持
主条目:域名劫持
全球一共有13组根域名服务器(root server),目前中国大陆有 F、I、J 这3个根域DNS镜像[5]。
2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
[编辑] 国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种
有效的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的
网站的网址加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主
机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能
幸免(如刘德华的个人网站),内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁
该BBS,直接把这个固定IP:202.134.71.244封禁了。随之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中
国大陆访问)。
Firefox的“连线被重设”错误讯息。当碰触到GFW设定的关键词后,即可能马上出现这种画面。
当Google新闻中的图片地址[注 1]含有某些敏感字符时被GFW拦截的画面,在图中可以见到网页只开启了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时,就会导致全站所有透过Google服务器下载的图片全部无法显示或突然出错(画面中的
情况是第一条新闻的图片链接是被关键字过滤的网址“philly.com”)。[编辑] 主干路由器关键字过滤阻断
主条目:关键词过滤和防火长城关键字列表
在2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立,最主要的就是
IDS(Intrusion Detection System)--- 入侵检测系统[注 2]。这个系统能够从计算机网络系统中的关键点(如国家级
网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果
符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的RST复位包,干扰两者间正常的TCP连接,使数据
流中断,而在终端主机上会显示连接失败。
被屏蔽过滤的关键词主要是与民运、法轮功相关的词汇及部分网站的网址上。
在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致“该页无法显示”。
任何海外网站网页中如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错、停止或立即出现“该页无法显示”。
某些特定的海外网站网址会被列入关键字过滤[注 3],即使IP地址未被封锁,也不能访问。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就
有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站就能正常使用(如
my.opera.com)。
有报道称,防火长城会专门过滤Google.com的查询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明,对于Google.com和
Google.cn返回的大量网页,防火长城使用了更经济而有效的方法审查。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,
其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是
通过ICP备案来实现的。
从2007年2月前后,GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过
Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被
阻断。
[编辑] 关键字过滤-复位包分析
Flickr图片服务器网址被列入关键字系统导致无法显示任何图片。分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包,只考虑
TCP连接本身,忽略DNS、ARP及其他。分析进站RST复位包IP头TTL字段值可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方
便叙述,将它们分别称为“伪源1”和“伪源2”,伪源1离客户端PC路由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳
计数较小,逻辑位置大致在互联网运营商骨干网省级大节点处。
IP头部分:
Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式是发送的每个IP报文都有不
同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置
有差距。
TCP头部分:
Sequence number(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到
达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中
该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将
该字段置0。
这种关键字过滤-复位技术对TCP连接有效。如今被广泛应用的HTTP协议,正是使用TCP作为传输层协议。从目前来看,GFW对HTTP报文的过滤似
乎仅限于HTTP头,通常URL请求就位于HTTP头部分,而GFW对HTTP数据部分很可能不作过滤[注 4],这正是某些用PHP编写的HTTP在
线代理能避开关键字过滤的原因,例如PHProxy,因为它将明文的URL请求放在HTTP数据部分。由于GFW发送的RST复位包是伪造的,也有人在
探讨绕开它的途径[6]。
不同的IDS有可能在一段预定或随机的时间内持续干扰的两计算机间的所有TCP通信。所以在访问境外网站时,如果数据流里有敏感字词,即会立即被提
示“该页无法显示”或网页开启一部分后突然停止,随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容。据猜测,屏蔽时间和敏感词
等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内
不可访问[注 5]。
另一方面,这种技术对UDP(DNS通常使用UDP,GFW对捕获的DNS查询报文也进行关键字过滤并返回伪DNS响应[注 6],但因UDP没有复位
标志而无法进行传输层的干扰)及其他第四层协议无效,对明文数据有效,对加密数据无效。
[编辑] HTTPS证书过滤
部分人发现少数特定证书的传输被阻断,导致HTTPS连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
[编辑] 对破网软件的反制
针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。比如每年的特定关键时间点,无界等软件就可能会无法正
常连接或连接异常缓慢,这时境内外的正常网络互联亦会受到干扰。[来源请求]
针对Tor,有分析认为中国大陆公安网络审查部门采取了新的封锁措施——建立虚假Tor节点。鉴于无法真正的完全封锁Tor,网络安全部门在中国国内网
络中安装了大量虚假 Tor节点服务器,所有经过这些"节点"的信息都将被最大程度的审查,与此同时,所有到达这些虚假节点的网络请求都将被屏蔽。有意
见认为因为此举会暴露防火长城的位置,中国大陆公安网络审查部门对虚假节点的设立有所节制。[来源请求]但另一方面,tor节点的大量增加很可能仅仅是
因为国内用户增加的缘故,即使存在有虚假节点,对于使用图形界面Vidalia的用户也可以轻松将含有境内节点的路由删除,以确保安全。
[编辑] 对电子邮件通讯的拦截
2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象,症状为:
中国国内邮箱给国外域发信收到退信,退信提示“Remote host said: 551 User not local; please try
<forward-path>”
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
中国国内邮箱给国外域发信收到退信,退信提示“Connected to ***.***.***.*** but connection
died. (#4.4.2)”
国外域给中国国内邮箱发信时收到退信,退信提示“Remote host said: 551 User not local; please
try <forward-path>”
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
对此,新浪的解释是“近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为
此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户
与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。”[7]
有网友推测由于GFW会过滤进出邮件,当发现敏感(关键)字后往两边各发送三个伪造的reset断掉连接,通常都发生在数据传输中间,所以会干扰到内
容。
[编辑] GFW测试
部分网站的IP Tracert图,依次为Google Blogspot、维基百科、亚洲电视测试网站IP是否被屏蔽或网址是否被列入了关键字过滤名
单,可以使用以下方法。
[编辑] 中国大陆境外
打开这个网站,然后按指引测试(仅测试IP是否被屏蔽)。
打开百度,输入要测试网站网址的全部或要测试的关键字,若返回“无法显示”就证明该字符的关键字过滤生效。
[编辑] 中国大陆境内
对于境外所有不能直接访问的网址:
在浏览器中设置一位于境外的有效的普通HTTP代理服务器。如果能访问,说明该网址可能是被域名劫持或IP封锁(或两者同时生效),需要进一步排查;如
果还不能访问,排除网站故障的因素,则该网址已被列入关键字过滤黑名单。
使用操作系统的trace route命令对网址进行IP路由跟踪,windows系统使用tracert -d命令(加参数-d以避免逆向DNS解析
等待)。如果在运营商骨干网段出现“timeout”或者“reports: Destination host unreachable”,说明IP
封锁生效(也可能是域名劫持,两者很难区分,可以通过设置不同的DNS服务器进行比较)。
如果同时出现设置普通HTTP代理服务器仍无法访问并且trace route路径中断,则IP封锁和关键字过滤同时生效。
[编辑] 会被过滤的网站
所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运、法轮功或具有法轮功背景
的以及在中国大陆被查禁的宗教的网站;大部分人权组织的网站;台湾的部分政府网站;大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫
无关联的学术网站;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点;部分个人网站;部分文件寄存网站。
这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政
府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对
Google的全面封锁。
[编辑] 北京奥运与GFW
参见:中华人民共和国网络审查#奥运期间的中国互联网
据法新社报道,中国政府曾讨论是否在北京奥运会期间放宽GFW的屏蔽范围[8]。在奥运前夕,曾一度被限制访问的Blogger、《中国时报》、《明
报》等网站陆续被解除封锁,中文维基、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[9],但部分被禁网站仍然未被解禁,包括法轮功网站、
西藏流亡政府网站以及和六四事件相关的网站[10]。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德表
示,奥运期间将提供媒体“充分”的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬法轮功,以
危害国家利益。希望媒体尊重中国有关法律法规”。但文中没有解释为何众多与法轮功完全无关的新闻机构、博客、社交和视频网站也无法访问的原因。[11]
国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是敏感的、同奥运无关的网站[12]。
奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿
大广播电台等新闻机构的中文网站。此外,根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网
站,包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依
法做必要的管理,某些网站确实存在违反中国法律的事情[13]。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机
[14]。
[编辑] 注释
^ 这一例子的特殊性在于--Google新闻中的图片地址都是以news.google.com开头,因此当请求的图片链接中有关键字被检测到,例如
来自BBC新闻的news.bbc.co.uk,所有来自news.google.com的数据都会被暂时干扰中断。另外值得一提的是,Google的
web服务几乎都采用gzip压缩编码,因此HTTP数据部分即显示的页面内容不太可能被过滤,只有位于客户端HTTP头的请求URL内含有关键字才可
能被检测到。
^ “思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司
的。”正在进行中的“金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。
^ 例如维基百科中文网的网址(zh.wikipedia.org)列入了屏蔽关键词中,故导致无论使用什么类型或网址的代理服务器都不能正常登入维基
中文版。
^ 大陆境内可以做这样的简单验证实验:在本地主机安装HTTP服务端程序,例如Apache,不要加载任何压缩或加密模块,调试完成后(完成的标志是
在其他主机上能访问本地页面)在本地主机上用浏览器浏览本地页面,浏览器预先设置一普通的海外HTTP代理服务器,本地页面文件名不要带敏感关键字,例
如默认index.html即可,页面内容任意填充GFW敏感关键字,结果是浏览无碍;然后将页面文件名改名,带敏感关键字,例如
falungong.html(法轮功),结果是访问页面被重置。本地浏览器设置海外代理的作用是强制HTTP数据通过GFW,也可以在海外的某主机上
直接浏览本地页面,只要数据经过GFW即可。
^ Google.cn除外,原因是国外DNS服务器会将此域名同样指向美国的Google服务器。
^ 例如直接使用海外DNS查询主机名6park.com,用sniffer记录进站数据包可以看到若干伪DNS响应,均指向Google,而真正的主
机地址是70.85.39.9
[编辑] 参考文献
[15]
^ (英文)Great Firewall of China。2008年1月30日新增。
^ (简体中文)百度日本站被GFW屏蔽 疑与色情内容有关,人民网
^ (英文)JR, Crandall, "ConceptDoppler: A Weather Tracker for Internet
Censorship", Computer and Communications Security
^ (繁体中文)李永峰(2009年10月4日).网民披露方滨兴是GFW之父国庆前夕中国网络再次收紧.亚洲周刊,23(39).于2009年9月
25日查阅.
^ (英文)Asia Pacific Root servers,亚太互联网络信息中心
^ (简体中文) 如何忽略防火长城 University of Cambridge, Computer Laboratory Richard
Clayton, Steven J. Murdoch, and Robert N. M. Watson
^ (简体中文)万网关于海外邮件通信问题的进展通告
^ (英文)China may relax Internet curbs during the Olympics: official,
Google - 法新社,2008年2月5日.
^ (简体中文)胡锦涛接受外国媒体记者采访.BBC(2008年8月1日).于2008年8月1日查阅.
^ (简体中文)奥运前夕中国解禁国际特赦网站.BBC(2008年8月1日).于2008年8月1日查阅.
^ (简体中文)外媒指责中国政府未兑现奥运期间网络自由承诺,齐鲁晚报.于2008年8月31日查阅.
^ (简体中文)北京奥组委:外国记者上网不会完全不受限,联合早报,2008年7月31日.
^ (英文)China 'bans BBC Chinese website'.BBC(2008年12月16日).于2008年12月16日查
阅.
^ (简体中文)中国再屏蔽外国敏感网站引发争议.VOA(2008年12月17日).于2008年12月17日查阅.
^ __(简体中文)Blue的炫影(2008年3月24日).“连接被重置”(上):现象和实情.译言.于2008年8月29日查阅.
(简体中文)Blue的炫影(2008年3月24日).“连接被重置”(中):原理和对策.译言.于2008年8月29日查阅.
(简体中文)Blue的炫影(2008年3月24日).“连接被重置”(下):思考和展望.译言.于2008年8月29日查阅.
[编辑] 参见
和谐社会
中华人民共和国网络审查
破网技术
中国大陆封锁维基媒体事件
防火长城关键字列表
中国网络软件过滤关键字列表
[编辑] 外部链接
维基新闻相关报道:
中国大陆外用户访问国内带有敏感词的网页可能会被重置连接(英文) Chinese bloggers run the gauntlet of
forced registration, censorship
(正体中文) 中共:我们真的没有检查网络啦
(英文) Website Test behind the Great Firewall of China, WebSitePulse
(简体中文) 入侵防御系统的评测和问题
(简体中文) 阅后即焚:“GFW” (又名GFW的前世今生)——匿名作者
取自“http://zh.wikipedia.org/zh-cn/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E”
1个分类: 中国网络审查
一号空降场
一号空降场
众所周之,大墙的功能过去很不完善,突出表现在抓关键字时只能审查网页标题。经过刚才的测试发现大墙可以嗅探出不含框架结构的网页内容中的关键字如
http://groups.google.com/group/torcn/t/7a372d1952a69b86 的第三贴的全文页面,网页标题
中
并不含有关键字,但连接会被断开
On 10月1日, 上午2时02分, 一号空降场 <jiyuzh...@gmail.com> wrote:
> 大墙升级。。。