跳至內容

防火長城

出自Taiwan Tongues 台語維基
這是此頁批准,以及是最近的修訂。

防火長城(英語:Great Firewall,捷用簡稱:GFW), 中文嘛是稱中國國家防火牆,通常簡稱做防火牆等,中國國家互聯網信息辦公室叫做數據跨境安全網關,是中華人民共和國政府監視佮過濾國際網際網路出口內容的軟硬體系統集合,用佇通過技術的手段,阻斷無符合中國政府要求的網際網路內容傳輸。

隨著防火長城沓沓為人熟似,「 牆」一詞有時仔嘛予人用作動詞,,「去予牆」即指網站內容被防火長城所封鎖。「盤牆仔」、「 掛梯」也予人引申做突破網路審查瀏覽中國大陸境外予人封鎖的網站抑是使用服務的行為。

簡介

中國國家防火牆,即防火長城,主要指中華人民共和國政府用佇過濾網際網路國際出口內容的軟硬體系統的集合。中國政府通常利用防火長城將特定網站抑是服務阻斷,人為造成連線錯誤。

防火長城毋是中國特有的一个專門單位,是由分散部門的各侍服器佮路由器等裝置,加上相關公司的應用程式構成。其實作用是監視所有經過中國的國家資料跨境安全的道器的通訊,以干擾、阻斷、封鎖中國政府是認為講不符合其法律要求的傳輸內容。

硬體

根據二空一空年的估計,防火長城可能有數百台貓霧光四千 L 侍服器。

歷史

方濱興稱此系統起步佇一九九八年,毋過第一擺咧用 Great Firewall 這个名的是白傑明佮桑學所寫的文章《The Great Firewall of China》,文章發表佇一九九七年六月一號,共當當時中國金橋的資訊網佮中國公用電腦網際網路已經有咧封鎖國外新聞網站,這一審查系統開發開始佇一九九六年。

防火長城自二空空二年開始自動執行 TCP 重新設攻擊佮 DNS 劫持。

著 SNI 資訊的檢測是佇二空一八年八月部署的,佇咧關於加密侍服器名稱指示的 IETF 這个草案發布頭拄仔一個月了後,自二空二空年七月下旬起,嘛開始封鎖加密侍服器名稱指示(ESNI)的 TLS 通批。

主要技術

域名解析服務緊取汙染

對二空空二年左右開始,防火長城佇國內進行域侍名器緊取污染。

防火長城對所有經過骨幹網國際出口路因為 TCP 佮 UDP 的五十三埠上的域名查詢請求進行 IDS 檢測,一經發現因為烏名單關鍵詞內底相匹配的域名查詢請求,防火長城作為中央裝置會向查詢者返回虛假結果,比真正回覆閣較早到位。因為通常的域名查詢無任何認證機制,而且域名查詢通常基於的 UDP 協定是無連接不可靠的協定,查詢者無法度驗證返回結果的正確性,而且 TCP 協定則會使使用 TCP 連接重設來斷去連接來阻止得著倒轉去結果。

截到二空二空年,存取大部份去予牆網站的時陣,攏會解破著特定的非中國 IP 位址,如美國 Facebook 公司、愛爾蘭 Facebook 分公司、荷蘭北省阿姆斯特丹 UTC + 一資料中心、美國德克薩斯州達拉斯市 SoftLayer 科技公司等等的 IP,這是 IP 位址通常已經去予人封鎖,若無予人封鎖是使用者可能看著瀏覽器的無效 TLS 憑證之警告。

汙染事件

  • 二空一空年三月,一个智利域名註冊商的技術人員發現向為中國的根侍服器查詢 facebook . com、youtube . com 和 twitter . com 等域名的時陣的回覆無正常。中國根侍服器運營商 Netnod 所以暫時切斷了其佮網際網路的連接。安全專家認為這佮 Netnod 無關係,是中國政府修改某處網路時造成的。
  • 二空一四年一月二一下晡三點半,中國網際網路頂級域名解析無正常,出錯網站解析著的 IP 是六十五孵四九 . 二孵一七八,這乎 IP 位佇美國加利福尼亞州費利蒙市 Hurricane Electric 公司,予被 Dynamic Internet Technology(即自由門的開發公司)租用佇盤牆仔軟體連接節點。研究人員認為這是因為防火長城的工作人員操作失誤。
  • 二空一五年一月初二起,汙染方式升級,不再是解析到固定的無效位址(比如講環回咱的位址,全零位址等等的), 是隨機地指向境外的非保留 IP 位址。拄開始只是著 YouTube 影片域名(\ * . googlevideo . com)來進行處理,了後沓沓擴大到大多數被污染的域名。這致使著境外侍服器遭受來自中國的 DDoS 攻擊,部份的網站是按呢封鎖中國 IP。

IP 位址抑是傳輸層埠封鎖

對攔閘行為觀察發現,佇古早技術實現中,會使用存取控制列表(ACL)技術來封鎖特定的 IP 位址,由此延伸會當封鎖傳輸層協定(TCP 抑是 UDP)的特定目的埠頭的網路流量。毋過因為大量的 ACL 匹配會致使網路效能無好。這馬主要是採用矣效率閣較懸的路由擴散技術封鎖特定 IP 位址,也就是通過將需要攔截的 IP 位址組態做空路由、烏空裝置抑是特別組態的自治域網路頂頭,然後通過動態路由協定會相應組態路由擴散到公眾網際網路網路中,對共條件做匹配的行為轉做路由器的定定規轉發行為,對提懸攔截效率。看過自主有大量 IP 位址段的需要審查的企業內底,比如講 Facebook,Google,Telegram,Twitter 等。

> 佇大規模自治域的出入口路由器上新接入一个起控管作用的子網路或者是 AS 域,共愛受控制的網路位址組態佇這个子網路或者是 AS 域內的路是由器中,按呢利用動態路由協定的網路拓撲自動辨識特性,佇出入口路由器上將生成受控網路位址的路由資訊,共自治域內部網路對遮的受控網路位址的存取轉入到這个控管網路或者是 AS 域的網路中,對網路來講對受著控網路的流量控制。 > >

針對 TCP 和 UDP 連接的封鎖

二空一一年三月,防火長城捌對 Google 部份侍服器的 IP 位址實施自動封鎖(照時間段)某寡埠頭,照時段著 www . google . com(使用者登入所有的 Google 服務的時陣需要遮爾濟名加密驗證)和 mail . google . com 的幾十个 IP 位址的四百四十三埠實施自動封鎖,具體是每十抑是十五分鐘會用得連通,接咧斷開,十抑是十五分鐘了後閣共連通,閣斷去,按呢回轉來,使中國大陸使用者佮 Google 主機之間的連接出現間歇性中斷,予其各項加密服務出現問題。Google 指責中國按呢的封鎖手法,因為乎 Gmail 毋是去予完全阻斷去,營造出 Google 服務「無穩定」的假象,表面看起來敢若問題出自 Google 本身。

二空一四年五月二七開始,Gmail 網頁版的八十佮四百四十三埠予人封鎖。二空一四年十二月二十六日起,Gmail 客戶咧用的 IMAP / SMTP / POP 三埠嘛予人封鎖。

目前防火長城會通過限制 QoS 優先級的方式干擾向境外的 UDP 連接,如網站使用 HTTP / 三(QUIC)協定時。

TCP 連接重設

TCP 重新設是傳輸控制協定(TCP)的一種訊息,用佇重設連接。一般來講,比如講侍服器捀佇咧無客戶捀請求的埠抑是其他連接資訊不符時,系統的 TCP 協定堆疊就會予客戶捀回覆一个 RESET 通知訊息,可見 RESET 功能本來應該是對比如講侍服器意外重新啟動遮的情況。防火長城切斷 TCP 連接的技術實際上就是比連接雙方閣較緊傳送連接重設訊息,予連接雙方認為對方終止矣連接而家己關起來連接。

一般這種攻擊方法需要結合相應的檢測方式來實施,請看深度包檢測。

深度包檢測

深度報文檢測(Deep packet inspection , DPI)是一種對應用層對網路上傳遞的資料進行偵測佮處理的技術,予人廣泛用佇入侵測、流量分析佮數據挖。就字面意思考慮,所謂「深度」是佮普通的報文檢測來講的—— 較普通的報文檢測,DPI 會當對報文內容佮協定特徵進行檢測。

佇中國大陸,DPI 一度被 ISP 用佇追蹤使用者行為以改善其廣告推播業務的精準性,啊若最近是予開放網路促進會看做是防火長城城賴以檢測關鍵詞佮鼻探加密流量的重要技術之一。是因為必要的硬體的設施、適宜的檢測模型(關鍵字過濾)佮相應的模式匹配演算法,防火長城會當精確而且快速地對實時網路環境內底判別出有四序是目標準的可疑流量,並且合作出審查者所向望的應對措施。

予人認為佇咧防火長城部署矣的深度包檢測包括:

  • HTTP 協定的傳輸內容是無經過加密的,中央裝置會當偷聽。防火長城著 HTTP 回覆的檢測佇二空空八年尾止,著 HTTP 請求的 Host 欄位的檢測猶閣有存在。
  • 早期 TLS 版本內底,侍服器握手回應,包括講站點憑證,是無被加密的,所以會當用佇咧辨識出存取站點。自 TLS 一孵三開始,ServerHello 了後的握手的資訊,包括站點憑證,嘛會予人摻密了後傳輸,一般會當認為講防止對憑證資訊的檢測。
  • 侍服器名稱指示(SNI)是 TLS 的一个擴充協定,該協定落來,佇咧握手的過程開始的時陣客戶捀共講當佇咧連接的侍服器就愛連接的主機名稱。因為 SNI 資訊並無加密,審查者會當辨識出使用者存取的網站域名。

TLS 徛點憑證中央人攻擊

二空一三年一月二六,有中國大陸的使用者佇咧存取 GitHub 時發現憑證無效,經檢查發現講,GitHub 的憑證變為著一自簽署的 X . 五百空九憑證,生成時間為二空一三年一月二五,有效期一年,故有人推測 GitHub 敢若去予中央人攻擊。GreatFire 佮研究人員認為攻擊的是由中國政府策畫的。

自二空一四年八月二八開始,原先會當通過 IPv 六直連 Google 的中國教育網(CERNET)內試圖通過 https 連接 \ * . google . com . \ * 等彼个網頁的時陣,可能收著 SSL 憑證錯誤的提示,其中以連接 www . google . com . hk 直直逐擺連紲收著攻擊,毋過其他閣連接比如講 ipv 六 . google . com 和 accounts . google . com 嘛有受著攻擊的報告,但是攻擊發生的機率相對較低。偽造的 SSL 憑證的顯示其為 google . com,頒發機構隨為其本身,佮真正的憑證無仝,顯示 Google 佇中國教育網頂懸受著中間人攻擊(MITM attack)。

二空一五年一月十七日,Outlook 拄著中央人攻擊。十九號,GreatFire 撰文稱懷疑此攻擊是由國家互聯網信息辦公室(網信辦)發起的;二二,網信辦對此文作出了回應,稱「Greatfire . org 是境外反華組織創辦的反華網站」,「 這一無端臆測,我純屬境外反華勢力的造謠和污辱」。

其他

對破網軟體的反制

因為有防止火長城的存在,大量境外網站無法度佇中國大陸境內正常存取,所以大陸網友開始咧行踏使用各類破網軟體突破防火長城的封鎖。針對網路頂懸各類突破防火長城的破網軟體,防火長城嘛佇技術頂懸做應對措施以減弱破網軟體的穿透能力。通常的做法是利用上文介紹的各種封鎖技術用各種的途徑打擊破網軟體,上大限度限制破網軟體的穿透佮傳播。

二空一五年一月,部份國外 VPN 服務佇中國大陸無法度正常,包括講 L 二 TP / IPSec 和 PPTP 協定。

被動檢測

自二空二一年十一月初以來,防火長城部署矣一種類似白名單的檢測方法:應用規則來豁免遐的無啥可能是完全加密的流量;然後伊阻止賰無被豁免的量。因為盤牆軟體的流量濟是完全加密的,一寡方法十分一寡有效,干焦會誤傷大約百分之零被六的非盤牆網際網路流量。

主動探測

Tor 專案的研究人員發現防火長城會對各種徛佇 TLS 加密技術的連接進行刺探,刺探的類型有兩種:

  • 「糞埽二進位探針」,就用隨機的兩進位資料測試對應埠頭,任何對中國大陸境內存取境外的四百四十三埠的 SSL 連接攏會佇差不多即時觸發探測。
  • 針對 Tor,中國的一个這个 Tor 客戶捀和美國的網橋中繼建立連接了後,每十五分鐘網橋繼續攏會當收著來自中國 IP 的探測,其實攏會遵循 Tor 協定傳送一寡訊息,確認是毋是 Tor 網橋。

除 Tor 以外,防火長城嘛會著 Shadowsocks、SoftEther VPN、AppSpot 侍服器發起探測。

間歇性封鎖國際出口

對二空一一年五月初六起,中國大陸境內真濟網際網路公司以及高校、學院、科研單位的對外網路連接攏出現問題,包括中國科學院。有分析指斷網可能是因為防火長城已經有探測佮分析大量加密流量並且對使用者 IP 位址執行封鎖的能力,啊若各大機構的出口予人封嘛佇咧其中。具體表現為:做使用者使用矣破網(盤牆仔)軟體了後,其實佇的公共網路 IP 位址會去予臨時來封鎖,所有的國際網站攏無法度儉,包括講 MSN、iTunes Store 等,若存取國內網站煞正常,毋過若欲使用境外的 DNS 解析域名是會因為 DNS 侍服器予人封鎖致使就無法度解析任何域名,國內網站嘛會拍開。嘛有分析指,此舉是中國當局佇咧測試步斷去大部份的人存取國際網站的措施,以試探使用者反應並最終達到推行網路「白名單」制,也就是凡若無佇咧名單上的企業抑是團體其網路域名會當解破,一般使用者嘛無法度存取。抑若中共黨機關報《人民日報》旗下的《環球的時報》英文版是引𤆬方濱興指,一寡仔 ISP 著愛為家己的使用者支付國際流量費用,因此遮的公司「有動機」去阻礙著使用者存取國外網站。一位毋願留名的工信部官員講,使用者拄著遮的狀況應該先檢查家己佮網站的技術問題。

對電子郵件通訊的攔截

正常情況下,郵件侍服器之間傳輸郵件抑是資料袂進行加密,故防火長城能輕易過濾進出境內外的大部份的郵件,當發現關鍵字了後會通過偽造 RST 封包阻斷連接。毋過因為這通常攏發生佇資料傳輸中央,所以會干擾著內容。嘛有網友根據防火長城會過濾進出境郵件的特性,走揣著防火長城部署的位置。

二空一四年十二月二十六,有真濟中國大陸網友反映講一度無法度通過客戶捀起來到位 Gmail。佇咧這進前,國內一寡使用者會當通過 IMAP、SMTP 和 POP 三接收、下載郵件;據路透社報導 Google 旗下的 Gmail 業務已經予人當局封鎖。十二月三十號,Gmail 的郵件侍服器已經佇咧中國大陸境內恢復部份功能。猶毋過 Gmail 網頁版到今猶閣去予人封鎖。

參與建設

  • 中國工程院院士、北京郵電大學前校長方濱興是防火長城關鍵的部份的首要設計師,予人號做是中國國家防火牆之父。
  • 美國作家伊森 ・ 葛特曼講,思科系統佮一寡其他的通信裝置供應商向中華人民共和國政府提供應具有流量監視佮過濾功能的網際網路裝置,用來封堵網站佮追蹤網路頂一寡活跳的民運人士。二空空六年二月,美國國會為此召開聽證會,對思科、微軟、雅虎、Google 四間公司提出質詢。美國中國資訊中心的亨利 ・ 吳(Henry Wu,China Information Center)指責,思科不斷主動地佮中國中央佮各省國家安全部門聯絡,向其實提供上新的技術,包括警車間的即時通訊佮指揮系統、佮聲音辨識技術佮指紋鑑別技術。記者 Sarah Lai Stirland 佇咧 Wired News 發表一篇文章,並且公佈一份泄漏的思科機密 PPT 文件。該文件詳細來描述了思科佮中國政府佇咧金盾工程頂頭有商業性質的合作。伊猶閣佇文章中指責,思科佇咧市場行銷中將遮的技術明確來分做「鎮壓工具(A Tool of Repression)」。思科的辯護者聲講,實際上,佇中國大陸現行的內容過濾系統當中,路由器干焦是做底層執行裝置對人為指定的目的位址進行封鎖,這是任何一台商用路由器攏必須提供的基本功能,思科並無向中國政府提供特別開發佮客製化的網際網路裝置。。
  • 奇虎三百六十公司已經加入中國 GFW 防火長城計劃,並早佇咧二空空五年的時陣,奇虎三百六十就已經特派兩位高管齊向東、石曉虹加入研究搜揣 ia̋n-jín 安全管理系統,助力該專案的實行。奇虎三百六十方面拒絕透露其在 GFW 防火長城計畫內底承擔的任務佮角色,但是對目前得著的一份資料來看,該專案落實佇北京三際無限網路科技有限公司,主要完成人里除了方濱興佇列,奇虎三百六十的高管齊向東佮石曉虹嘛有名列其中。

相關報導

二空空七年,人民網轉載了題為著「百度日本站被 GFW 封鎖疑佮色情內容有關」的文章,是官方上早先講著此系統的報導之一。二空一一年二月十七有記者佇外交部新聞發布會上網路封鎖等的問題,發言人的回答是:

> 眾所周知,中國的網路發展真緊,彼網友人數足緊的,已經超過四億。中國政府鼓勵佮支援網際網路發展,依法保障公民言論自由,包括網路頂言論自由。同時,中國對網際網路依法進行管理,這符合國際慣例。阮願意各國就網路相關問題加強佮交流,共同推入去網際網路的良性發展,但反對任何國家藉口網際網路自由等等問題干涉中國內政。 > >

次日,方濱興咧接受《環球的時報》英文版採訪的時予人問佮防火長城是按怎運作的,伊拒絕回答,講「It's confidential .」(這是機密)

評價

防火長城對網路內容的審查敢是無限制佮無違反言論自由,一直是受著爭議的話題,官方講辭嘛相當的籠統。

二空空七年有報告認為,防火長城其實是一種圓形監獄式的全面監視,達到自我審查的目的。

北京大學佮史丹佛大學兩名經濟學家佇二空一捌年的研究認為,中國大學生對獲取無經審查的政治敏感資訊是無關心。

二空二一年十一月,中國國家互聯網信息辦公室發布的《網路資料安全管理條例(徵求意見稿)》 指出數據跨境安全網關是講「阻斷存取境外反動網站佮有害資訊、防止來自境外的網路攻擊、管控跨境網路資料傳輸、防範偵查打擊跨境網路犯罪的重要安全基礎設施。」。

相關事件

參見

注釋

參考文獻

參照

來源

外部連結

  • Great Firewall Report
取自「https://wiki.taigi.ima.org.tw/w/index.php?title=防火長城&oldid=401291