? Editing: Post:21.body Save Delete Cancel
Content changed Sign & Publish new content

中囯网絡審查技術評論

總結:网絡審查主要是為了維穩(混淆視聽、拆散人心),而不是宣傳(臉上貼金)

Follow in NewsfeedFollowing

Latest comments:

Add new post

Title

21 hours ago · 2 min read·
3 comments
Body
Read more

Not found

深入理解 GFW:总论

on Jun 03, 1989 · 3 min read

https://gfwrev.blogspot.com

GFW,Great Firewall of China,防火长城,通常把它看作一个国家级的网络审查系统。关于网络审查,人们通常首先会有一番政治性的话要说,不过政治批评这个角度的言论实在是过多,GFW 的实体在「GFW」这个这个巨大的外壳之下隐藏了多年,人们只是对着「GFW」这个词空发怒气却并不知道它究竟是什么。实际上 GFW 除了是一个让网民十分不舒服的系统之外,在技术上它还是一个非常复杂有趣的黑箱,一个通关奖品是网络自由的解谜游戏。接下来一段时间我们便会对 GFW 进行深入的探索和理解,大家很快就会了解到它的趣味。提示:阅读此「深入理解 GFW」系列之前建议读者对 TCP/IP 协议族、网络安全、反向工程有基本的了解。


GFW 的技术结构

知己知彼,百战不殆,我们应该先对 GFW 有清晰的技术性认识。防火长城条目称 GFW 的主要技术是域名劫持、IP 封锁、关键字过滤阻断、HTTPS 证书过滤。实际上这些技术在实现上可以归结为两种技术:IP 封锁和入侵检测,其中入侵检测是核心。IP 封锁因为比较底层,接近于切光缆拔网线,没有什么技术可言,这种封锁实施以后除了绕道而过也没有更好的解决办法。而入侵检测则是 GFW 最为强大灵活的功能。

传输层的 TCP 和 UDP 解析都是入侵检测业界的标准配置。UDP 通常用来做 DNS 查询劫持,一个附加效果就是国内的域名缓存充满了麤。TCP 主要用作阻断,方式很多了,总之只要把攻击者的连接关闭掉 / 阻止攻击者进行连接就行了。应用层就更加百花齐放了,因为解析一个协议实在不是一件困难的事情。所谓的 SSL 证书拦截也不过是稍微做了一下 SSL/TLS 协议的解析而已,并无神秘之处。这就是入侵检测的强大之处。

入侵检测的灵活之处在于它的部署和撤销都很便捷无副作用无延迟,匹配精确无误伤。举一例,要防止一些反动软件通过 https 访问 google docs 获取信息,怎么做?在应用层检测证书显然是杀鸡用牛刀浪费性能了;用动态路由封特定 IP 的特定端口是不行的,因为解析结果在不断地变,动态路由的变化跟不上;用域名污染更不行了,把 80 端口的 web 业务也搞掉了,影响太大;所以就在传输层乱发 RST 做无状态的连接阻断,写个脚本定时更新解析结果,这也就是 google 的数据中心只有在中国解析出来的那部分被封掉的原因。什么时候领导对谷歌的红包满意了,随时撤掉。

GFW 的设备有两种,一种是在北京、上海、广州搭在总交换中心上做旁路监听的入侵检测设备,一种是放在 ISP 那里的动态路由设备。一般来说入侵检测总是比动态路由来得灵活,所以 RST 要比封 IP 更常用。另外,碰到网站无法访问然后 traceroute 发现线路死在 ISP 骨干上于是责怪 ISP,这是不合理的。中国的 ISP 的一项主要业务就是接待各个强力部门的插入,纪检、军队、公安之类的部门都会长期插入。

GFW 的工作方式

GFW 的日常工作方式:当国新办发现了反动文宣,当公安部十一局发现了色情图片,当版署发现了海盗网站,总之当有关部门发现了有害非法信息,就发指令给 GFW,然后 GFW 的政策部门研究一下采取怎样的具体封锁措施为宜,然后将具体操作交给技术部门执行封锁。解封也是一样的渠道,简而言之就是领导一句话胜过千军万马,至于让领导发这一句话靠的就是 PR 了。举一例,受到 NED 暗中操控的 twitter 长期以来充满反动有害信息,但做技术的人都明白 twitter 的这种架构是没有办法封的。对 twitter.com 什么办法都用了,效果不大好,结果领导不满意地催促了。这个交不了差是很严重的事情啊,怎么办呢,就对 twitter 搞破坏吧。凡是跟 twitter 有关的第三方网站,见一个斩一个,领导你看我都把 twitter 诛九族了,这已经是自古以来用刑的极致了。再举一例,如何封掉一个网站?先在这个网站上放置一些有害非法信息,再去违法和不良信息举报中心(后台国新办)举报之,等十天就成了。

GFW 的研发方式:「国家信息安全管理系统」建设的历史参见《阅后即焚》。当有关部门发现了一个反革命翻墙方法,就告诉 GFW,然后 GFW 的逆向工程人才研究一下这个方法的工作方式,找到它的特定模式和弱点,制定相应的封锁预案。当有关部门指示实施封锁的时候,预案便付诸实施。p2p 方面的反动软件比较不好办,于是在第一生产力院成立 242 项目「P2P 协议分析与测量」专门研究之。

GFW 实体是安管中心(CNCERT/CC),是事业单位。一个事业单位的政治地位可以想是很低的,凡是它的上级都可以向它下指令进行网络封锁,而它本身则没有任何主观能动性,专于业务,勤勤恳恳抓好国家安全基础设施的建设。如果转换角度,从 GFW 的视角来考虑,那么 GFW 所做的事情其实并不神秘,其实恰恰符合了它自己的名义。我们来看看精美的「宽带网络环境下恶意代码监测系统」,你们这些反革命访问一下 blogger、wordpress 那就是 URL 攻击啊,而且要比一般的钓鱼攻击和病毒更严重,因为危害的是党和国家的安全啊。GFW 的研发也与一般的网络安全公司所做别无二致,监视分析网络流量,逆向工程有害软件,阻断恶意攻击,区别只在于:GFW 为了国家安全也要处理一下你们这些反革命的攻击;另外 GFW 还开了金钱无限、人口无限和无敌秘笈。

GFW 与网民的生态系统

政府、GFW 与网民构成了一个生态系统,政府与 GFW 共生于食物链的上端,网民处于食物链的下端。有人称之为「猫和老鼠的游戏」。观 GFW 与网民的互动历史,可以归结为相互提升技术水准的军备竞赛,但尽管如此两者的关系也从来没有打破 GFW 越来越善于主动追捕网民越来越善于被动逃避的模式。从最开始的普通 HTTP 代理、SOCKS 代理,到以自由门为代表的一批加密代理软件,到种类繁多的网页代理,到 VPN、SSH 代理,到 p2p 网络,以及混合方法。然而这些方法都未曾彻底免于 GFW 的封锁,这是因为 GFW 很善于进攻,而网民们迄今为止只会不断地四处寻找新的逃避办法。

这种互动模式的问题在于,随着军备竞赛的继续,GFW 越来越完善越来越强大,而网民不断地失去手中的牌,翻墙的难度和成本越来越高。GFW 是这个领域(网络安全)的专业人士,而网民虽然富有群体智慧,但是其技术能力缺乏有效组织不能与 GFW 对等。因此如果稍微看得远一些就会了解到,这种模式对于网民来说是不可持续的,总有一天 GFW 会超过绝大多数网民的技术基准线。所以,唯一的出路便是改变方式,突破这种模式。

应对 GFW

网民突破当前被动态势方法的基本原理,在后面的章节中我们会看到,在于利用 GFW 在善于进攻的同时不善于防守的特点。与其把 GFW 看作国家网络暴力机关,不如把 GFW 看作一个网络安全机构,事实上它也是一个网络安全机构(CNCERT/CC)。任何安全系统必然都有漏洞和弱点,它所提供的这个 GFW 安全解决方案(国家信息安全管理系统)也不例外。网民并非缺乏技术,而是技术没有得到有效组织,没有往这个方向进行有效投射。实际上 GFW 漏洞和弱点并不少,有一些甚至是理论上无法解决的,这在以后会详细论述。正如《阅后即焚》一文所言,GFW 尽管是中国少有的顶尖科研力量与国家强力支持结合的产物,「但也无法摆脱山寨的本性——做一个东西出来很容易,但是要把这个东西做得细致严格就不行了」。

更进一步,除了利用 GFW 本身的问题以外,网民甚至还可以考虑采取网络正当防卫的方式阻止 GFW 的非法行为。像 GFW 这种机构,无行政立法,无舆论监督,无申诉渠道,被少数别有用心的人利用,滥用国家安全之名义,封锁与国家安全毫无关系的网站,对合法的网络通信进行干扰和攻击,「对计算机信息系统正在进行传输的合法数据进行篡改,向计算机信息系统进行攻击令其无法正常运行」,甚至曾多次造成全国性网络故障,已触犯《中华人民共和国刑法》第二百八十六条,情节特别严重,后果特别恶劣,云云。

然而另一方面,GFW 与网民之间已经或者即将形成某种稳态,这种稳态是双方斗争状况下的动态平衡,是需要有意识维护的。一个无法控制的网络是无法被政府所容忍的,当网络无法控制时政府是不吝于切断一切网络的(你一定知道我在说什么),稳态的破坏也就意味着环境的毁灭。一个理想的稳态就是网络处于「看起来」可以控制的状态,让 GFW 处于不断取得小型封锁成功的虚幻胜利感之中,网民个人各自掌握非中心化的翻墙方法。一个中心化的大众翻墙方法(最典型的例子就是设置 hosts 静态解析)必定无法避免被当局发现并被 GFW 封锁。下一代的翻墙方法应该是去中心化的(p2p)、小众的、多样化的、混合型的、动态更新的。

参考文献

有两篇重要文献在这里要推荐。

首先是 Thomas Ptacek 等在 98 年发表的 Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection。这篇是在入侵检测领域具有里程碑意义的论文,是论述入侵检测原理性漏洞的集大成者。其简明介绍早在 07 年就出现在英文维基,非专业人士可以一睹为快;专业人士建议仔细阅读原文,以后关于探索 GFW 漏洞的技术都基于此篇论文所描述的原理。

另外一篇是《阅后即焚:「GFW」》,是一份关于 GFW 的详尽的社会调查,澄清了大量关于 GFW 的误解,本文大量引用此文。这篇文章的重要性从侧面可以发现:前面引用过中文维基的防火长城条目,如果直接访问会发现,这个条目直接访问之后维基百科就被封锁了。这是有原因的,而且原因是可以找到的,寻找原因的方法将在以后几节介绍,这里长话短说原因就是:这个页面中含有一个关键词:「阅后即焚」。与一般的关键词不同,这个关键词很厉害,随便什么地方出现这个关键词都会引起有趣的现象,比如这里,这种现象通常被人们称为深度包检测。像法轮六四这样煽动颠覆的词语都没有成为深度检测关键词,这种顶级过滤的词很少,另一个例子就是 GFW 头号死敌的名字:「dongtaiwang.com」。一般来说,越是被禁止,就越有趣;越是被否认,就越接近真相。另外注意到,有一篇内容相似的文章《GFW 的前世今生》,对比两者发现后者似乎被添加了一些不相关或者夸张性的文字,原文应该是首发在自曲新闻的前者。

在下一次的文章中我们将介绍 GFW 进行黑箱分析的方法,并得到一些有趣的结果。

Update:「阅后即焚」不再是全文关键词。

2 Comments:

user_name1 day ago
Reply
Body
aimasteron Dec 14, 2017
Reply

GFW的存在确实保护了国内的互联网企业,创造了很多就业机会。

deepon Oct 01, 2017
Reply

万恶的GFW

本站唯一地址:12ddrrRKkABAWTU48ZL3THfypHtVJ3aVF5
域名短网址(可能會被篡改):ChineseCensorship.bit
This page is a snapshot of ZeroNet. Start your own ZeroNet for complete experience. Learn More