本页使用了标题或全文手工转换

防火长城

维基百科,自由的百科全书
(重定向自防火長城
跳到导航 跳到搜索

防火长城[1](英語:Great Firewall,常用简称:GFW,中文也称中国国家防火墙[2],俗称网络长城[3]防火墙[4]等等),是中华人民共和国政府监控和过滤互联网国际出口内容的软硬件系统集合[5]。隨着使用的拓广,「墙」有时也被用作动词[6][7][8],中国网友所說的「被墙」即指网站内容被防火长城所屏蔽或者指服务器的通讯被封阻,「翻墙」也被引申为突破网络审查浏览中国大陆境外被屏蔽的网站或使用服务的行为。

起源[编辑]

中国国家防火墙之父方滨兴

方滨兴称此系统起步于1998年[9],然而第一次使用 Great Firewall 这个名字的是白杰明桑晔所写的文章《The Great Firewall of China》,文章发表于1997年6月1日,称当时中國金橋信息網中国公用计算机互联网已经有在屏蔽国外新闻网站,这一审查系统开发开始在 1996 年。[10][11]

简介[编辑]

一般情况下,中国国家防火墙,即防火长城,主要指中华人民共和国政府用于过滤互联网国际出口上内容的软硬件系统的集合。[5]例如中國政府將查獲的特定網點阻斷,造成大家所熟知的連線錯誤現象,因此防火牆不是该國特有的一個專門單位,是由分散部門的各服务器和路由器等设备,加上相关公司的应用程序所构成,是一個軍民合作的大型資訊管制系統,世界其他一些國家也存在網路审查,不過其审查对象、规模、执行主体等均與中國的審查機制有著相當大的不同(参见:互联网审查),例如僅止於金融洗錢、國際詐騙等犯罪行為,或者仅审查儿童色情相关。而防火長城的作用是监控所有经过国际网关的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由於中國網絡審查廣泛,中國國內含有「不合適」内容的網站,會受到政府直接的行政干預,被要求自我审查、自我监管,乃至關閉,故防火長城主要作用在於分析和過濾中國境外網絡的資訊互相存取。中國工程院院士、北京郵電大學前校長方滨兴是防火长城关键部分的首要设计师[2][9][12][13],被称为中国国家防火墙之父[9]

然而,防火长城对网络内容的审查是否没有限制和不违反言论自由,一直是受争议的话题,官方說辭也相當籠統。有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[14]。2007年,人民网转载了题为「百度日本站被GFW屏蔽 疑与色情内容有关」的文章。[15]2011年2月17日有记者在外交部新闻发布会上问及互联网封锁等问题,发言人的回答是:

众所周知,中国的互联网发展迅速,网民人数增长很快,已超过4亿。中国政府鼓励和支持互联网发展,依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。我们愿同各国就互联网相关问题加强沟通和交流,共同推进互联网的良性发展,但反对任何国家借口互联网自由等问题干涉中国内政。[16]

次日,方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的,他拒绝回答,说 「It's confidential.」(这是机密)[9]

而在中國大陸民眾內部,由於內部蓬勃發展的互聯網企業,牆的存在感也逐漸被忽略,北京大學斯坦福大學兩名經濟學家在2018年的研究认为,中國大學生對於獲取未經審查的政治敏感信息漠不關心。[17]

主要技术[编辑]

域名解析服务缓存污染[编辑]

从2002年左右开始,防火长城在国内进行域名服务器缓存污染[18]

防火长城對所有经过骨干网国际出口路由的位于TCPUDP的53端口上的域名查询请求进行IDS检测,一經發現处于黑名單關鍵詞中相匹配的域名查詢請求,防火长城作为中间设备會向查询者返回虚假结果,比真的回复更早到达。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者无法验证返回结果的正确性,而TCP协议则可以使用TCP连接重置来中断连接来阻止获得返回结果。

截至2020年,访问大部分被墙网站时,均会解析到特定的非中国IP地址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP[19][20],这些IP地址通常已经被屏蔽,如果没有被屏蔽则使用者可能看到浏览器的无效TLS证书之警告。

污染事件[编辑]

  • 2010年3月,一名智利域名注册商的技术人员发现向位于中国的根服务器查询facebook.com、youtube.com和twitter.com等域名时的回复不正常[21][22][23][24]。中国根服务器运营商Netnod于是暂时切断了其与国际互联网的连接。安全专家认为这与Netnod无关,而是中国政府修改某处网络时造成的[25][26]
  • 2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大面积的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问,其中甚至包括不存在的域名,而Google为各国定制的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡访问的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。[27]
  • 2014年1月21日下午三点半,中国互联网顶级域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软件连接节点[28][29]。研究人员认为正是因为防火长城的工作人员操作失误。[30] [31]
  • 2015年1月2日起,污染方式升级,不再是解析到固定的无效地址(例如环回地址,全零地址[n 1]等),而是随机地指向境外的非保留IP地址。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[32]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[33]
  • 2016年3月29日起,防火长城针对Google升级了污染方式。在一开始升级过后,所有包含google, gmail等关键词的域名查询均被污染,导致很多用户一时间完全无法正常使用Gmail服务。之后,防火长城对规则进行了调整。其中,对于*.google.com域名污染主域名(google.com,不包括www)及部分服务域名(drive.google.com, plus.google.com等),而针对地区域名则选择性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地区的域名则不受影响(*.google.us等)。[需要更好来源][34]

IP地址或传输层端口封锁[编辑]

对拦截行为观察发现,在早期技术实现中,会使用访问控制列表(ACL)技术来封锁特定的IP地址,由此延伸可以封锁传输层协议(TCPUDP)的特定目的端口的网络流量[18]。不过由于大量的ACL匹配会导致网络性能不佳。现在主要是采用了效率更高的路由扩散技术封锁特定IP地址,也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治域网络上,然后通过动态路由协议将相应配置路由扩散到公众互联网网络中,从将条件匹配拦截行为转为路由器的常规转发行为,从而提高拦截效率。多见于自主拥有大量IP地址段的需要审查的企业中,例如FacebookGoogleTelegramTwitter等。

在大规模自治域的出入口路由器上新接入一个起控管作用的子网或者AS域,将要受控的网络地址配置在这个子网或者AS域内的路由器中,这样利用动态路由协议的网络拓扑自动识别特性,在出入口路由器上将生成受控网络地址的路由信息,将自治域内部网络对这些受控网络地址的访问转入到这个控管子网或者AS域的网络中,从而实现对受控网络地址的流量控制 。[35]

针对TCP和UDP连接的封锁[编辑]

2011年3月,防火长城曾经对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[36]Google指责中国这样的封锁手法,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[37]

2014年5月27日起,Gmail网页版的80和443端口被封鎖。2014年12月26日起,Gmail客戶端所用的IMAP/SMTP/POP3端口也被封鎖。[38] [39]

目前[何时?]防火长城会通过限制QoS优先级的方式干扰向境外的UDP连接,如网站使用HTTP/3(QUIC)协议时。[40]

TCP连接重置[编辑]

Firefox的「連線被重置」錯誤訊息。当碰触到GFW設定的关键词后(如使用Google等境外搜索引擎),即可能马上出现這種畫面。

TCP重置是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息,使连接双方认为对方终止了连接而自行关闭连接。

防火长城自2003年开始自动执行TCP重置攻击[18]

外部视频链接
Observations in mainland China (Chinese)YouTube

一般这种攻击方法需要结合相应的检测方式来实施,请看深度包检测

深度包檢測[编辑]

深度封包檢測(Deep packet inspection, DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的报文检测,DPI可對报文内容和协议特征进行检测。[需要解释]

在中國大陸,DPI一度被ISP用於追踪用戶行為以改善其廣告推送業務的精準性,而最近[何时?]則被國外[哪裡?]視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[41]。基於必要的硬件設施、適宜的檢測模型及相應的模式匹配算法,防火長城能夠精確且快速地從實時網絡環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。[需要解释]

被认为在防火长城部署了的深度包检测包括:

  • HTTP协议的传输内容是未经过加密的,中间设备可以窃听。防火长城对 HTTP回复的检测在2008年末终止[42],对HTTP请求的Host字段的检测仍然存在。
  • 早期TLS版本中,服务器握手响应,包括站点证书,是未被加密的,所以可以用于识别出访问站点。自TLS 1.3开始,ServerHello之后的握手信息,包括站点证书,也会被加密后传输,一般可以认为能防止对证书信息的检测。[43][44]
  • 服务器名称指示(SNI)是TLS的一个扩展协议,该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称 [45]。由于SNI信息并未加密,审查者可以识别出使用者访问的网站域名。这种检测是在2018年8月部署的[n 2][46][47],在关于加密服务器名称指示IETF草案发布刚刚1个月后。[45]

中间人攻击[编辑]

2013年1月26日,有中国大陆的用户在访问GitHub时发现证书无效,经检查发现,GitHub的证书变为了一自签署的X.509证书,生成时间为2013年1月25日,有效期一年,故有人推测GitHub疑似遭到了中间人攻击GreatFire和研究人员认为攻击是由中国政府策划的。[48][49]

自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接www.google.com.hk几乎是每次连接均收到攻击,而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告,但攻击发生的機率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的证书不同,顯示谷歌在中国教育网上受到中间人攻击(MITM attack)。GreatFire认为攻击是中国政府策划的[50]

2015年1月17日,Outlook遭到了中間人攻擊[51][52][53]。19日,GreatFire撰文稱懷疑此攻擊是由国家互联网信息办公室(網信辦)發起的[51];22日,網信辦對此文作出了回應,稱「Greatfire.org是境外反华组织创办的反华网站」,「这一无端臆测,纯属境外反华势力的造谣和污蔑」[54]

其他[编辑]

破网软件的反制[编辑]

因为有防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。

2015年1月,部分国外VPN服务在中国大陆无法正常使用,包括L2TP/IPSecPPTP协议。[55][56]

被动监测[编辑]
主动探测[编辑]

Tor项目的研究人员发现防火长城会对各种基于TLS加密技术的连接进行刺探[57],刺探的类型有两种:

  • “垃圾二进制探针”,即用随机的二进制数据测试对应端口,任何从中国大陆境内访问境外的443端口的SSL连接都会在几乎实时触发探测[58]
  • 针对Tor,中国的一个Tor客户端与美国的网桥中继建立连接后,每15分钟网桥中继都可以收到来自中国IP的探测,其会遵循Tor协议发送一些讯息,用于确认是否为Tor网桥。

gfw.report 发现并研究了防火长城对Shadowsocks的审查,确认防火长城已经启用主动探测的手段来识别Shadowsocks服务器。[59][60]

间歇性封锁国际出口[编辑]

从2011年5月6日起,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSNiTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[61]。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[62]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司「有动机」去阻碍用户访问国外网站。一位不愿留名的工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[63][64]

电子邮件通讯的拦截[编辑]

正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。也有網友根據防火长城會過濾進出境郵件的特性,尋找到防火长城部署的位置。[65]

2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[66]12月30日,Gmail的邮件服务器功能已在中国大陆境内恢复部分功能。[67][68]但Gmail网页版至今仍被屏蔽。

主动攻击[编辑]

中華人民共和國从2015年3月开始,使用一种被称为“大炮”的網路攻擊攻击方案,对可能涉及违反审查要求的特定网站,进行分散式阻斷服務攻擊(DDoS)。[69][70][71]

其中2015年3月针对GreatFire的攻击,通过包括劫持常见的网站工具脚本植入攻击代码、一些常见浏览器漏洞等方法,攻击其运营在内容分发网络的被屏蔽网站的镜像站点,之后又持续五天对托管其反审查项目的GitHub网站进行攻击,导致网站全球访问速度缓慢。[72]中国政府否认有关指责。[73] [74][75]

硬件[编辑]

据2010年的估计,防火长城可能拥有数百台曙光4000L服务器[76]

参与建设[编辑]

  • 美国作家Ethan Gutmann说,思科和一些其他通信设备供应商向中华人民共和国政府提供了具有流量监控和过滤功能的互联网设备,用来封堵网站和追踪网上一些活跃的民运人士。2006年2月,美国国会为此召开听证会,向思科、微软、雅虎、Google四家公司提出质询。美国中国信息中心的亨利·吴(Henry Wu,China Information Center)指责,思科不断主动地与中国中央及各省国家安全部门联系,向其提供最新技术,包括警车间的即时通讯和指挥系统、以及声音识别技术和指纹鉴别技术。[77]记者Sarah Lai Stirland在Wired News发表了一篇文章,并公布了一份泄漏的思科机密PPT文档。该文档详细描述了思科和中国政府在金盾工程上具有商业性质的合作[78]。她还在文章中指责,思科在市场营销中将这些技术明确划分为“镇压工具(A Tool of Repression)”。思科的辩护者声称,实际上,在中国大陆现行的内容过滤系统中,路由器只是作为底层执行设备对人为指定的目的地址进行屏蔽,这是任何一台商用路由器都必须提供的基本功能,思科并没有向中国政府提供特别开发和定制的互联网设备。[79]
  • 据知情人[谁?]透露,奇虎360公司已经加入中国GFW防火长城计划,并早在在2005年的时候,奇虎360就已经特派两位高管齐向东、石晓虹加入研究搜索引擎安全管理系统,助力该项目的实行。奇虎360方面拒绝透露其在GFW防火长城计划中承担的任务与角色,但从目前获得的一份资料来看,该项目落实在北京三际无限网络科技有限公司,主要完成人里除了方滨兴在列,奇虎360的高管齐向东与石晓虹也名列其中。[80]

相关事件[编辑]

参见[编辑]

注释[编辑]

  1. ^ 即 0.0.0.0
  2. ^ 请看Help_talk:如何访问维基百科2018年8月的讨论

参考文献[编辑]

引用[编辑]

  1. ^ 萧强. 互联网上言论自由的"中国特色". 自由亚洲电台. 2003-12-04 [2021-10-08] (中文(简体)). 外有国家网关的防火长城,内有遍布全国的网络警察,那些论坛和网志自然也不是什么共产党的辖外飞地。 
  2. ^ 2.0 2.1 肖卓. 全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法. 中国信息产业网. 2010-03-11 [2021-10-08]. (原始内容存档于2013-01-01) (中文(简体)). 全国人大代表、北京邮电大学校长方滨兴曾担任国家计算机网络与信息安全管理中心名誉主任,被誉为中国国家防火墙(GFW)之父。 
  3. ^ 秦戈. 媒体与民主:一对孪生的话题. 德国之声. 2005-02-01. 另一方面,国外新闻媒体及言论被挡避在另一道虚拟的网络长城之外,中国读者无法接触,比如目前德国之声中文网也在中国遭到大面积屏蔽。 
  4. ^ 赵衍龙 (编). 社评:防火墙带给中国互联网哪些影响. 环球时报. 2015-01-28 [2021-10-08]. (原始内容存档于2021-03-25). 防火墙是中国实现互联网管理一整套技术系统的民间叫法,官方在正式场合从不这么叫它。 
  5. ^ 5.0 5.1 潘永忠谈中国的网络审查制度. 法国国际广播电台(RFI). 2019-03-20 [2021-07-05]. (原始内容存档于2020-02-26). 
  6. ^ Martin Johnson. 纽时多篇文章被“墙”. Greatfire. 2012-09-06 [2021-06-02]. (原始内容存档于2021-06-02). 
  7. ^ 两岸、新疆、六四⋯⋯被墙前,Clubhouse中文房间在聊哪些公共议题?. 端传媒. 2021-02-09 [2021-06-02]. (原始内容存档于2021-06-24). 
  8. ^ 任琛. WhatsApp“被墙” 因为出事了?. 德国之声. 2017-07-19. 
  9. ^ 9.0 9.1 9.2 9.3 Fang Yunyu. Great Firewall father speaks out. Global Times. 2011-02-18 [2021-08-10]. (原始内容存档于2011-02-18) (英语). 
    Fang Yunyu. Great Firewall father speaks out. SINA English. 2011-02-18 [2011-03-03]. (原始内容存档于2011-02-25) (英语). 
    Fang Yunyu. Great Firewall father speaks out. china.org.cn. 2011-02-18 [2021-10-08]. (原始内容存档于2018-03-26) (英语). 
  10. ^ Geremie R. Barme; Ye, Sang. The Great Wall: a wonder and a curse!. chinaheritage.net. 2017-07-26 [2021-08-03]. (原始内容存档于2021-02-26). 
  11. ^ Geremie R. Barme; Ye, Sang. The Great Firewall of China. Wired. 1997-06-01 [2015-12-29]. (原始内容存档于2016-01-01). A computer engineer in his late 30s, Comrade X...is overseeing efforts to build a digital equivalent to China's Great Wall. Under construction since last year, what's officially known as the "firewall" is designed to keep Chinese cyberspace free of pollutants of all sorts 
  12. ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25]. (原始内容存档于2011-05-15) (中文(繁體)). 
  13. ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始内容存档于2013-07-21) (中文(中国大陆)). 
  14. ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13], (原始内容存档 (PDF)于2007-10-26) 
  15. ^ 百度日本站被GFW屏蔽 疑与色情内容有关. 人民网. [2008-09-09]. (原始内容存档于2007-04-18). 
  16. ^ 外交部就"北方四岛"、中国互联网发展等答记者问. 2011-02-17 [2021-05-26]. (原始内容存档于2011-03-02). 
  17. ^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30]. (原始内容存档于2018-08-30) (中文). 经过18个月的调查研究后,北京大学和斯坦福大学两名经济学家今年得出了结论,中国大学生对于获取未经审查的政治敏感信息漠不关心。他们给北京两所大学的近1000名学生提供了能够绕过审查的免费工具,但发现近半数学生并没有使用它。在那些使用了的学生中,几乎没人花时间浏览遭到屏蔽的外国新闻网站。 
  18. ^ 18.0 18.1 18.2 Global Internet Freedom. Internet Blocking Exposed (PDF). 2002-07 [2021-10-02]. (原始内容存档 (PDF)于2020-09-19). 
  19. ^ keckl. “反独清网2021”行动正式打响,一批涉独站点被端. 净协在线. 2021-05-23. (原始内容存档于2021-06-24). 
  20. ^ NP. Hoang; AA. Niaki; J. Dalek; J. Knockel; P. Lin; B. Marczak; M. Crete-Nishihata; P. Gill; M. Polychronakis. How Great is the Great Firewall? Measuring China's DNS Censorship. USENIX Association: 3381––3398. 2021. ISBN 978-1-939133-24-3. 
  21. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始内容存档于2020-10-23). 
  22. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始内容存档于2019-05-20). 
  23. ^ 中国DNS污染通过根服务器影响全世界. Solidot. 2010-03-26. (原始内容存档于2011-05-16). 
  24. ^ blackhat. 中国的DNS污染是互联网的真正威胁. Solidot. 2010-11-30. (原始内容存档于2011-09-06). 当美国和智利的用户试图访问流行社交网站如facebook.com、youtube.com和twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS信息。 
  25. ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2021-08-19]. (原始内容存档于2011-05-11). 
  26. ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始内容存档于2011-11-24). 
  27. ^ 陈少举. Google.com被DNS污染. Solidot. 2012-11-09. (原始内容存档于2013-01-26). 
  28. ^ 大陸網路遭駭百度也停擺. 中央社. 2014-01-22. (原始内容存档于2014-01-22). 
  29. ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始内容存档于2014-01-27). 
  30. ^ Steven Mufson; Jia Lynn Yang. China accuses hackers of Internet disruption; experts suspect error by government censors. 华盛顿邮报. 2014-01-22. (原始内容存档于2016-04-01). “The rule was supposed to be, ‘Block everything going to this IP address,’” said Nicholas Weaver, a researcher at the International Computer Science Institute, which is affiliated with the University of California at Berkeley. “Instead, they screwed up and probably wrote the rule as ‘Block everything by referring to this IP address.’” 
  31. ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始内容存档于2014-01-23). 
  32. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2021-08-19]. (原始内容存档于2015-04-03). 
  33. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2021-08-19]. (原始内容存档于2015-04-02). 
  34. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效連結]
  35. ^ 刘刚; 云晓春; 方滨兴; 胡铭曾. 一种基于路由扩散的大规模网络控管方法. 通信学报. 2003. ISSN 1000-436X. (原始内容存档于2021-07-07). 
  36. ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始内容存档于2011-03-17). 
  37. ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20 [2015-01-27]. (原始内容存档于2015-10-04). (英文)
  38. ^ 月光博客. Gmail被中国完全屏蔽. 2014-12-29. (原始内容存档于2015-01-03). 从12月26日开始,Gmail被中国“完全”屏蔽,Gmail所有客户端通讯协议(IMAP、POP3、SMTP等)端口均被屏蔽

    根据Google透明度报告显示,从今年5月31日开始,网页版的Gmail已经被中国屏蔽(80和443端口被屏蔽)
     
  39. ^ China Escalating Attack on Google. 紐約時報. 2014-06-02 [2021-10-08]. (原始内容存档于2014-07-14) (英语). 
  40. ^ 【翻牆問答】互聯網推新傳輸協議UDP 中國網民難受惠. Radio Free Asia. 2020-02-07 [2021-08-07] (中文(香港)). 李建軍:由於中國的電訊公司都是國有企業,他們一定會執行黨的政策,因此,他們必然會在UDP上動手腳。現時大部分中國電訊公司的做法,都是在網絡QoS(中文或者可以稱為服務質素控制)上作出調動,對UDP通訊包的流量和速度作出限制,那麼當你用以UDP為本的技術翻牆時,就會十分之慢,慢至一個不可忍受的程序,那很多人就會放棄使用這種方法。 
  41. ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. [2014-12-31]. (原始内容存档于2016-04-10). 
  42. ^ Jong Chun Park; Jedidiah R. Crandall. Empirical Study of a National-Scale Distributed Intrusion Detection System: Backbone-Level Filtering of HTML Responses in China (PDF). 2010 IEEE 30th International Conference on Distributed Computing Systems. IEEE. 2010-06 [2021-10-02]. ISBN 978-1-4244-7262-8. doi:10.1109/ICDCS.2010.46 (美国英语). We demonstrate that HTTP HTML response filtering was likely discontinued on many routes between August 2008 and January 2009, and that the apparent ineffectiveness of this form of filtering, which results from its distributed nature, was likely a cause for this. 
  43. ^ Rescorla, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. 2018-08 [2021-10-08]. (原始内容存档于2019-06-03) (英语). All handshake messages after the ServerHello are now encrypted. The newly introduced EncryptedExtensions message allows various extensions previously sent in the clear in the ServerHello to also enjoy confidentiality protection. 
  44. ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2021-10-08]. (原始内容存档于2019-07-17) (美国英语). All handshake messages after the ServerHello are now encrypted. 
  45. ^ 45.0 45.1 Kazuho, Oku,; Christopher, Wood,; Eric, Rescorla,; Nick, Sullivan,. Encrypted Server Name Indication for TLS 1.3. IETF. 2018-07-02 [2021-10-07]. (原始内容存档于2018-08-13) (英语). Although TLS 1.3 [I-D.ietf-tls-tls13] encrypts most of the handshake, including the server certificate, there are several other channels that allow an on-path attacker to determine the domain name the client is trying to connect to, including:…
    Cleartext Server Name Indication (SNI) [RFC6066] in ClientHello messages.
     
  46. ^ lrinQVQ. Google相关情况说明及失效反馈汇总. github.com/googlehosts. 2018-11-06. (原始内容存档于2020-09-13). GFW已于2018年8月底进一步升级封锁技术,因此目前您可能无法通过hosts访问Google的相关服务。 
  47. ^ 现在SNI封锁已经出现了. 北大未名BBS. 2018-08-25. (原始内容存档于2021-08-09). 
  48. ^ 陈少举. 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始内容存档于2013-01-28). 
  49. ^ martin. 中国, GitHub 和中间人攻击. greatfire. 2013-01-30 [2013-01-30]. (原始内容存档于2013-06-14). 这让中国政府陷入两难的境地。他们不能选择性屏蔽部分页面,也不能检测用户在Github上到底在干什么。他们不能完全屏蔽Github,伤害了在中国的公司。这样中间人攻击是唯一可行的方案。利用伪造的SSL证书,中国政府能窃听并且监控加密的流量。 
  50. ^ 谷歌在中国教育网遭国家级中间人攻击. greatfire.org. 2014-09-04 [2015-02-02]. (原始内容存档于2015-03-27). 当局并没有在教育网上直接封锁谷歌,因为这很可能招致全国学生、教师以及科研人员的反感。当局选择在教育网内对谷歌发动中间人攻击,这样一来,学生和科研人员能继续使用谷歌,而当局又可以监听并有选择地拦截搜索请求以及结果。 
  51. ^ 51.0 51.1 Outlook在中国遭中间人攻击. GreatFire. 2015-01-19 [2015-04-12]. (原始内容存档于2015-04-12) (中文(简体)). 这次黑客攻击发生在Gmail被封锁之后的一个月之内(Gmail到现在仍然处于完全无法使用状态)。由于这次中间人攻击与之前对谷歌、苹果、雅虎等的攻击存在诸多相似之处,Greatfire再次怀疑,中国国家互联网信息办公室精心策划了这次袭击,或者有意允许袭击发生。 
  52. ^ Outlook在中国遭中间人攻击. 泡泡網民報告. 2015-01-21 [2015-04-12]. (原始内容存档于2020-11-24) (中文(简体)). 
  53. ^ Microsoft Says Outlook Hacked in China. 華爾街日報. 2015-01-21 [2021-10-09]. (原始内容存档于2021-10-09) (英语). Outlook users in China accessing their email through an email client saw a pop-up message saying “Cannot Verify Server Identity” and asking if they wanted to continue anyway 
  54. ^ 国家网信办发言人:“Outlook受中国攻击”的说法纯属污蔑. 中国国家互联网信息办公室. 2015-01-22 [2015-04-12]. (原始内容存档于2020-10-29) (中文(中国大陆)). Greatfire.org是境外反华组织创办的反华网站,长期对中国政府进行无端攻击。此次炒作选在国家网信办宣布依法关闭一批违法违规网站、栏目和微信公众账号之时,蓄意引发不满情绪,污蔑指责中国网络空间治理制度。 
  55. ^ Cao Siqi. Foreign VPN service unavailable in China. Global Times. 2015-01-23. Astrill claimed in a Wednesday notice that since this year, VPN protocols used on iOS devices, including IPSec, L2TP/IPSec and PPTP, are not accessible in China in almost real-time. 
  56. ^ 网易. 《环球时报》英文版:部分国外VPN服务在中国无法正常使用_网易财经. money.163.com. 2015-01-23 [2015-08-21]. (原始内容存档于2016-03-05). 
  57. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. (原始内容存档于2012-01-13). First, "garbage binary" probes, containing nothing more than arbitrary (but sometimes repeated in later probes) binary data, were experienced by the non-China side of any connection that originated from China to TCP port 443 (HTTPS) in which an SSL negotiation was performed. This probe was performed in near-real-time after the connection was established,

    The second type of probe, on the other hand, is aimed quite directly at Tor. When a Tor client within China connected to a US-based bridge relay, we consistently found that at the next round 15 minute interval (HH:00, HH:15, HH:30, HH:45), the bridge relay would receive a probe from hosts within China that not only established a TCP connection, but performed an SSL negotiation, an SSL renegotiation, and then spoke the Tor protocol sufficiently to build a one-hop circuit and send a BEGIN_DIR cell.
     
  58. ^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17]. (原始内容存档于2011-11-18). 
  59. ^ Alice; Bob; Carol; Jan Beznazwy; Amir Houmansadr. How China Detects and Blocks Shadowsocks (PDF). ACM Internet Measurement Conference (IMC ’20). gfw.report. 2020-10-27. doi:10.1145/3419394.3423644. 
  60. ^ Anonymous, Anonymous, Anonymous, David Fifield, Amir Houmansadr. Shadowsocks 是如何被检测和封锁的. gfw.report. 2019-12-29 [2021-10-14]. (原始内容存档于2021-10-08). 
  61. ^ 中国网警“修理”翻墙网民中科院也被牵连. 法國國際廣播電台. 2011-05-18 [2011-05-18]. (原始内容存档于2011-05-21). 
  62. ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. 自由亞洲電台. 2011-05-12 [2011-05-18]. (原始内容存档于2011-05-14). 
  63. ^ Theories abound for overseas web access troubles. Global Times. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-21). Fang Binxing, president of Beijing University of Posts and Telecommunications, attributed the interruptions to Internet service providers' economic concerns.
    "Service providers have to pay the bill of the international Internet flow for their users. So there is incentive for the companies to discourage users to visit foreign websites," he said.

    An anonymous official with the Ministry of Industry and Information Technology declined to explain why foreign websites were frequently inaccessible a telephone interview with the Global Times, and instead urged users to "check their own technology problems and with the websites' servers on the first place."
     
  64. ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2021-08-19]. (原始内容存档于2011-05-20). 
  65. ^ 刘宏光. 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因. ChinaUnix.net. 2006-09-26. (原始内容存档于2010-01-02). 
  66. ^ Gmail blocked in China. 路透社. 2014-12-29 [2014-12-29]. (原始内容存档于2019-07-13). 
  67. ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好?. scholarsupdate.hi2net.com. [2015-09-15]. (原始内容存档于2015-12-30). 
  68. ^ Gmail中国内地服务得以部分恢复. 金融时报 (英国). 2014-12-31 [2021-10-03]. (原始内容存档于2015-09-23). 
  69. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语). 
  70. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁體)). 
  71. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(台灣)). 
  72. ^ GitHub. GitHub System Status. [2016-01-02]. (原始内容存档于2017-02-19). 
  73. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(台灣)). 
  74. ^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)). 
  75. ^ 外交部回应GitHub遭来自中国的DDoS攻击. Solidot. 2015-03-30. (原始内容存档于2015-09-24). 近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方黑客所为,这很奇怪。我想提醒你,中国是网络黑客攻击的最主要的受害者之一。 
  76. ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亚洲电台. 2010-06-08 [2010-06-09]. (原始内容存档于2010-09-28). 
  77. ^ documentary《The Tank Man》
  78. ^ Sarah Lai Stirland. Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers. 2008-05-20 [2009-06-27]. (原始内容存档于2009-06-26). 
  79. ^ Earnhardt, John. Cisco Testimony Before House International Relations Subcommittee. Cisco Systems, Inc. 2006-02-16 [2007-01-25]. (原始内容存档于2013-06-02). 
  80. ^ 陶文冬 (编). 奇虎360成功加入GFW防火长城 为国家安全保驾护航. 环球时报. 2012-07-02 18:27 [2021-08-31]. 

来源[编辑]

网页
  • 田小路. “网上长城”攻防战. 凤凰周刊, 腾讯新闻. "vingietang" (责任编辑). 2010-12-22 [2021-10-04] (中文(中国大陆)). 
Voice of America Logo.svg 本文全部或部分内容来自美国联邦政府所属的美国之音网站。根據版權條款和有關美國政府作品版權的相關法律,其官方发布的内容属于公有领域

參見其使用條款聲明:英文版中文版


Dialog-warning.svg 請注意: 美國之音重新發布美聯社法新社路透社和其他機構的報導,此類內容不在公共領域。有時,有些照片最初會使用美國之音水印發布,然後使用正確的屬性進行更正更新。上傳最近發布的圖像或未識別出特定的美國之音攝影師時要小心。

外部链接[编辑]