防火长城

防火长城[1](英語:Great Firewall,常用简称:GFW),中文也称中国国家防火墙[2],通常简称为墙、防火墙[3]等,中国国家互联网信息办公室称为数据跨境安全网关[註 1][4][5],解放军和武警机关等又称之为国家公共网络监控系统[6],是中华人民共和国政府监控和过滤国际互联网出口内容的软硬件系统集合[7],用于通过技术手段,阻断不符合中国政府要求的互联网内容传输。防火长城不是中國特有的一個專門單位,而是由分散部門的各服务器和路由器等设备,加上相关公司的应用程序构成。其作用是监控所有经过中国国家数据跨境安全网关的通讯,以干扰、阻断、屏蔽中国政府认为不符合其法律要求的传输内容。[來源請求]
随着防火长城逐渐为人熟知,「墙」一词有时也被用作动词,[8][9],「被墙」即指网站内容被防火长城所屏蔽。「翻墙」、「挂梯子」也被引申为突破网络审查浏览中国大陆境外被屏蔽的网站或使用服务的行为。
历史[编辑]
中國工程院院士方滨兴称此系统起步于1998年[10],然而第一次使用 Great Firewall 这个名字的是白杰明和桑晔所写的文章《The Great Firewall of China》,文章发表于1997年6月1日,称当时中國金橋信息網和中国公用计算机互联网已经有在屏蔽国外新闻网站,这一审查系统开发开始在 1996 年。[11][12]
防火长城自2002年开始自动执行TCP重置攻击和DNS劫持[13]。
对SNI信息的检测是在2018年8月部署的[14],在关于加密服务器名称指示的IETF草案发布刚刚1个月后,[15]自2020年7月下旬起,也开始封锁加密服务器名称指示(ESNI)的TLS通信。[16]
据2010年的估计,防火长城可能拥有数百台曙光4000L服务器[17]。
主要技术[编辑]

域名解析服务缓存污染[编辑]
从2002年左右开始,防火长城在国内进行域名服务器缓存污染[13]。
防火长城對所有经过骨干网国际出口路由的位于TCP与UDP的53端口上的域名查询请求进行IDS检测,一經發現处于黑名單關鍵詞中相匹配的域名查詢請求,防火长城作为中间设备會向查询者返回虚假结果,比真的回复更早到达。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者无法验证返回结果的正确性,而TCP协议则可以使用TCP连接重置来中断连接来阻止获得返回结果。

截至2020年,访问大部分被墙网站时,均会解析到特定的非中国IP地址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP[19],这些IP地址通常已经被屏蔽,如果没有被屏蔽则使用者可能看到浏览器的无效TLS证书之警告。
污染事件[编辑]
- 2010年3月,一名智利域名注册商的技术人员发现向位于中国的根服务器查询facebook.com、youtube.com和twitter.com等域名时的回复不正常[20][21][22][23]。中国根服务器运营商Netnod于是暂时切断了其与国际互联网的连接。安全专家认为这与Netnod无关,而是中国政府修改某处网络时造成的[24][25]。
- 2014年1月21日下午三点半,中国互联网顶级域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软件连接节点[26][27]。研究人员认为这是因为防火长城的工作人员操作失误[28][29],另一些人认为,虽然这个IP地址指向一家美国公司,但不能排除真正的黑客借这一IP地址作为跳板发动攻击的可能[30]。
- 2015年1月2日起,污染方式升级,不再是解析到固定的无效地址(例如环回地址,全零地址[註 2]等),而是随机地指向境外的非保留IP地址。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[31]这导致了境外服务器遭受来自中国的DDoS攻击,部分网站因此屏蔽中国IP。[32]
IP地址或传输层端口封锁[编辑]
对拦截行为观察发现,在早期技术实现中,会使用访问控制列表(ACL)技术来封锁特定的IP地址,由此延伸可以封锁传输层协议(TCP或UDP)的特定目的端口的网络流量[13]。不过由于大量的ACL匹配会导致网络性能不佳。现在主要是采用了效率更高的路由扩散技术封锁特定IP地址,也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治域网络上,然后通过动态路由协议将相应配置路由扩散到公众互联网网络中,从将条件匹配拦截行为转为路由器的常规转发行为,从而提高拦截效率。多见于自主拥有大量IP地址段的需要审查的企业中,例如Facebook,Google,Telegram,Twitter等。
在大规模自治域的出入口路由器上新接入一个起控管作用的子网或者AS域,将要受控的网络地址配置在这个子网或者AS域内的路由器中,这样利用动态路由协议的网络拓扑自动识别特性,在出入口路由器上将生成受控网络地址的路由信息,将自治域内部网络对这些受控网络地址的访问转入到这个控管子网或者AS域的网络中,从而实现对受控网络地址的流量控制 。[33]
针对TCP和UDP连接的封锁[编辑]
2011年3月,防火长城曾经对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[34]Google指责中国这样的封锁手法,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面看上去好像问题出自Google本身。[35]
2014年5月27日起,Gmail网页版的80和443端口被封鎖。2014年12月26日起,Gmail客戶端所用的IMAP/SMTP/POP3端口也被封鎖。[36]
目前[何时?]防火长城会通过限制QoS优先级的方式干扰向境外的UDP连接,如网站使用HTTP/3(QUIC)协议时。[37]
TCP连接重置[编辑]

TCP重置是传输控制协议(TCP)的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息,使连接双方认为对方终止了连接而自行关闭连接。
外部视频链接 | |
---|---|
![]() |

一般这种攻击方法需要结合相应的检测方式来实施,请看深度包检测。
深度包檢測[编辑]
深度報文檢測(Deep packet inspection, DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文检测,DPI可對報文内容和协议特征进行检测。
在中國大陸,DPI一度被ISP用於追踪用戶行為以改善其廣告推送業務的精準性,而最近則被开放网络促进会視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[38][與來源不符]。基於必要的硬件設施、適宜的檢測模型(关键字过滤)及相應的模式匹配算法,防火長城能夠精確且快速地從實時網絡環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。
被认为在防火长城部署了的深度包检测包括:
- HTTP协议的传输内容是未经过加密的,中间设备可以窃听。防火长城对 HTTP回复的检测在2008年末终止[39],对HTTP请求的Host字段的检测仍然存在。
- 早期TLS版本中,服务器握手响应,包括站点证书,是未被加密的,所以可以用于识别出访问站点。自TLS 1.3开始,ServerHello之后的握手信息,包括站点证书,也会被加密后传输,一般可以认为能防止对证书信息的检测。[40][41]
- 服务器名称指示(SNI)是TLS的一个扩展协议,该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称 [15]。由于SNI信息并未加密,审查者可以识别出使用者访问的网站域名。
TLS站点证书中间人攻击[编辑]
2013年1月26日,有中国大陆的用户在访问GitHub时发现证书无效,经检查发现,GitHub的证书变为了一自签署的X.509证书,生成时间为2013年1月25日,有效期一年,故有人推测GitHub疑似遭到了中间人攻击。 GreatFire和研究人员认为攻击是由中国政府策划的。[42]
自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接www.google.com.hk几乎是每次连接均收到攻击,而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告,但攻击发生的機率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的证书不同,顯示谷歌在中国教育网上受到中间人攻击(MITM attack)。
2015年1月17日,Outlook遭到了中間人攻擊[43][44]。19日,GreatFire撰文稱懷疑此攻擊是由国家互联网信息办公室(網信辦)發起的[45];22日,網信辦對此文作出了回應,稱「Greatfire.org是境外反华组织创办的反华网站」,「这一无端臆测,纯属境外反华势力的造谣和污蔑」[46]。
其他[编辑]
对破网软件的反制[编辑]
因为有防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。
2015年1月,部分国外VPN服务在中国大陆无法正常使用,包括L2TP/IPSec和PPTP协议。[47]
被动检测[编辑]
自2021年11月初以来,防火长城部署了一种类似白名单的检测方法:应用规则来豁免那些不太可能是完全加密的流量;然后它阻止其余未被豁免的流量。由于翻墙软件的流量多是完全加密的,这种方法十分有效,仅会误伤大约0.6%的非翻墙互联网流量[48]。
主动探测[编辑]
Tor项目的研究人员发现防火长城会对各种基于TLS加密技术的连接进行刺探[49][50],刺探的类型有两种:
- “垃圾二进制探针”,即用随机的二进制数据测试对应端口,任何从中国大陆境内访问境外的443端口的SSL连接都会在几乎实时触发探测[51]。
- 针对Tor,中国的一个Tor客户端与美国的网桥中继建立连接后,每15分钟网桥中继都可以收到来自中国IP的探测,其会遵循Tor协议发送一些讯息,用于确认是否为Tor网桥。
除Tor之外,防火长城也会对Shadowsocks[52][53]、SoftEther VPN[54]、AppSpot[54]服务器发起探测。
间歇性封锁国际出口[编辑]
从2011年5月6日起,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开[55]。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络「白名单」制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问[56]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司「有动机」去阻碍用户访问国外网站。一位不愿留名的工信部官员说,用户碰到这些情况应先检查自己和网站的技术问题。[57][58]
对电子邮件通讯的拦截[编辑]
正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容。[59]也有網友根據防火长城會過濾進出境郵件的特性,尋找到防火长城部署的位置。[60]
2014年12月26日,有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前,国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报道谷歌旗下的Gmail业务已经被当局封锁。[61]12月30日,Gmail的邮件服务器已在中国大陆境内恢复部分功能。[62][63]但Gmail网页版至今仍被屏蔽。
参与建设[编辑]

- 美国作家伊森·葛特曼说,思科系统和一些其他通信设备供应商向中华人民共和国政府提供了具有流量监控和过滤功能的互联网设备,用来封堵网站和追踪网上一些活跃的民运人士。2006年2月,美国国会为此召开听证会,向思科、微软、雅虎、Google四家公司提出质询。美国中国信息中心的亨利·吴(Henry Wu,China Information Center)指责,思科不断主动地与中国中央及各省国家安全部门联系,向其提供最新技术,包括警车间的即时通讯和指挥系统、以及声音识别技术和指纹鉴别技术。[66]记者Sarah Lai Stirland在Wired News发表了一篇文章,并公布了一份泄漏的思科机密PPT文档。该文档详细描述了思科和中国政府在金盾工程上具有商业性质的合作[67]。她还在文章中指责,思科在市场营销中将这些技术明确划分为“镇压工具(A Tool of Repression)”。思科的辩护者声称,实际上,在中国大陆现行的内容过滤系统中,路由器只是作为底层执行设备对人为指定的目的地址进行屏蔽,这是任何一台商用路由器都必须提供的基本功能,思科并没有向中国政府提供特别开发和定制的互联网设备。[68]。
- 奇虎360公司已经加入中国GFW防火长城计划,并早在在2005年的时候,奇虎360就已经特派两位高管齐向东、石晓虹加入研究搜索引擎安全管理系统,助力该项目的实行。奇虎360方面拒绝透露其在GFW防火长城计划中承担的任务与角色,但从目前获得的一份资料来看,该项目落实在北京三际无限网络科技有限公司,主要完成人里除了方滨兴在列,奇虎360的高管齐向东与石晓虹也名列其中。[69]
相关报道[编辑]
2007年,人民网转载了题为「百度日本站被GFW屏蔽 疑与色情内容有关」的文章,是官方最早先提到此系统的报道之一。[70]2011年2月17日有记者在外交部新闻发布会上问及互联网封锁等问题,发言人的回答是:
众所周知,中国的互联网发展迅速,网民人数增长很快,已超过4亿。中国政府鼓励和支持互联网发展,依法保障公民言论自由,包括网上言论自由。同时,中国对互联网依法进行管理,这符合国际惯例。我们愿同各国就互联网相关问题加强沟通和交流,共同推进互联网的良性发展,但反对任何国家借口互联网自由等问题干涉中国内政。[71]
次日,方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的,他拒绝回答,说 「It's confidential.」(这是机密)[10]
评价[编辑]
防火长城对网络内容的审查是否没有限制和不违反言论自由,一直是受争议的话题,官方說辭也相當籠統。[來源請求]
2007年有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[72]。
北京大學和斯坦福大學兩名經濟學家在2018年的研究认为,中國大學生對於獲取未經審查的政治敏感信息漠不關心。[73]
2021年11月,中国国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》指出数据跨境安全网关是指“阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。”[4]。
影响[编辑]
相关事件[编辑]
参见[编辑]
注释[编辑]
参考文献[编辑]
引用[编辑]
- ^ 萧强. 互联网上言论自由的"中国特色". 自由亚洲电台. 2003-12-04 [2021-10-08]. (原始内容存档于2022-06-22) (中文(简体)).
外有国家网关的防火长城,内有遍布全国的网络警察,那些论坛和网志自然也不是什么共产党的辖外飞地。
- ^ 2.0 2.1 肖卓. 全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法. 中国信息产业网. 2010-03-11 [2021-10-08]. (原始内容存档于2013-01-01) (中文(简体)).
全国人大代表、北京邮电大学校长方滨兴曾担任国家计算机网络与信息安全管理中心名誉主任,被誉为中国国家防火墙(GFW)之父。
- ^ 赵衍龙 (编). 社评:防火墙带给中国互联网哪些影响. 环球时报. 2015-01-28 [2021-10-08]. (原始内容存档于2021-03-25).
防火墙是中国实现互联网管理一整套技术系统的民间叫法,官方在正式场合从不这么叫它。
- ^ 4.0 4.1 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知. 中国网信网. 2021-11-14 [2021-11-14]. (原始内容存档于2021-11-14).
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
- ^ 中国网络新规拟限制赴港上市 提供翻墙违法. 德國之聲. 2021-11-14.
数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
- ^ 李芳; 刘宝宇; 梁磊; 耿云飞. “翻墙”的危害了解一下!. 河北武警 (解放军报). 中国军网. [2023-09-05]. (原始内容存档于2023-09-05).
- ^ 潘永忠谈中国的网络审查制度. 法国国际广播电台(RFI). 2019-03-20 [2021-07-05]. (原始内容存档于2020-02-26).
- ^ 两岸、新疆、六四⋯⋯被墙前,Clubhouse中文房间在聊哪些公共议题?. 端传媒. 2021-02-09 [2021-06-02]. (原始内容存档于2021-06-24).
- ^ 任琛. WhatsApp“被墙” 因为出事了?. 德国之声. 2017-07-19 [2022-07-27]. (原始内容存档于2022-06-29).
- ^ 10.0 10.1 10.2 10.3 Fang Yunyu. Great Firewall father speaks out. Global Times. 2011-02-18 [2021-08-10]. (原始内容存档于2011-02-18) (英语).
Fang Yunyu. Great Firewall father speaks out. SINA English. 2011-02-18 [2011-03-03]. (原始内容存档于2011-02-25) (英语).
Fang Yunyu. Great Firewall father speaks out. china.org.cn. 2011-02-18 [2021-10-08]. (原始内容存档于2018-03-26) (英语). - ^ Geremie R. Barme; Ye, Sang. The Great Wall: a wonder and a curse!. chinaheritage.net. 2017-07-26 [2021-08-03]. (原始内容存档于2021-02-26).
- ^ Geremie R. Barme; Ye, Sang. The Great Firewall of China. Wired. 1997-06-01 [2015-12-29]. (原始内容存档于2016-01-01).
A computer engineer in his late 30s, Comrade X...is overseeing efforts to build a digital equivalent to China's Great Wall. Under construction since last year, what's officially known as the "firewall" is designed to keep Chinese cyberspace free of pollutants of all sorts
- ^ 13.0 13.1 13.2 全球网络自由联盟. Internet Blocking Exposed (PDF). [2021-10-02]. (原始内容存档 (PDF)于2020-09-19).
- ^ [TLS] Possible blocking of Encrypted SNI extension in China. mailarchive.ietf.org. [2022-08-16]. (原始内容存档于2020-08-01).
- ^ 15.0 15.1 Kazuho, Oku,; Christopher, Wood,; Eric, Rescorla,; Nick, Sullivan,. Encrypted Server Name Indication for TLS 1.3. IETF. 2018-07-02 [2021-10-07]. (原始内容存档于2018-08-13) (英语).
Although TLS 1.3 [I-D.ietf-tls-tls13] encrypts most of the handshake, including the server certificate, there are several other channels that allow an on-path attacker to determine the domain name the client is trying to connect to, including:…
Cleartext Server Name Indication (SNI) [RFC6066] in ClientHello messages. - ^ 揭示和规避中国对加密SNI(ESNI)的封锁. GFW Report. 2023-08-07 [2022-08-16]. (原始内容存档于2021-12-04) (中文).
- ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亚洲电台. 2010-06-08 [2010-06-09]. (原始内容存档于2010-09-28).
- ^ gfwrev. 深入理解GFW:内部结构. 2010-02-18 [2021-10-04]. (原始内容存档于2022-07-20).
- ^ NP. Hoang; AA. Niaki; J. Dalek; J. Knockel; P. Lin; B. Marczak; M. Crete-Nishihata; P. Gill; M. Polychronakis. How Great is the Great Firewall? Measuring China's DNS Censorship. USENIX Association: 3381––3398. 2021. ISBN 978-1-939133-24-3.
|booktitle=
被忽略 (帮助) - ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始内容存档于2020-10-23).
- ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始内容存档于2019-05-20).
- ^ 中国DNS污染通过根服务器影响全世界. Solidot. 2010-03-26. (原始内容存档于2011-05-16).
- ^ blackhat. 中国的DNS污染是互联网的真正威胁. Solidot. 2010-11-30. (原始内容存档于2011-09-06).
当美国和智利的用户试图访问流行社交网站如facebook.com、youtube.com和twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS信息。
- ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2021-08-19]. (原始内容存档于2011-05-11).
- ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始内容存档于2011-11-24).
- ^ 大陸網路遭駭百度也停擺. 中央社. 2014-01-22. (原始内容存档于2014-01-22).
- ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始内容存档于2014-01-27).
- ^ Steven Mufson; Jia Lynn Yang. China accuses hackers of Internet disruption; experts suspect error by government censors. 华盛顿邮报. 2014-01-22. (原始内容存档于2016-04-01).
“The rule was supposed to be, ‘Block everything going to this IP address,’” said Nicholas Weaver, a researcher at the International Computer Science Institute, which is affiliated with the University of California at Berkeley. “Instead, they screwed up and probably wrote the rule as ‘Block everything by referring to this IP address.’”
- ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始内容存档于2014-01-23).
- ^ 木彬. 中国互联网突遭神秘攻击 IP指向美国翻墙公司. 环球时报. 2014-01-22 [2023-08-14]. (原始内容存档于2023-08-14).
- ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. Solidot. 2015-01-09 [2021-08-19]. (原始内容存档于2015-04-03).
- ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. Solidot. 2015-01-23 [2021-08-19]. (原始内容存档于2015-04-02).
- ^ 刘刚; 云晓春; 方滨兴; 胡铭曾. 一种基于路由扩散的大规模网络控管方法. 通信学报. 2003. ISSN 1000-436X. (原始内容存档于2021-07-07).
- ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始内容存档于2011-03-17).
- ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20 [2015-01-27]. (原始内容存档于2015-10-04).(英文)
- ^ China Escalating Attack on Google. 紐約時報. 2014-06-02 [2021-10-08]. (原始内容存档于2014-07-14) (英语).
- ^ 【翻牆問答】互聯網推新傳輸協議UDP 中國網民難受惠. Radio Free Asia. 2020-02-07 [2021-08-07]. (原始内容存档于2022-06-22) (中文(香港)).
李建軍:由於中國的電訊公司都是國有企業,他們一定會執行黨的政策,因此,他們必然會在UDP上動手腳。現時大部分中國電訊公司的做法,都是在網絡QoS(中文或者可以稱為服務質素控制)上作出調動,對UDP通訊包的流量和速度作出限制,那麼當你用以UDP為本的技術翻牆時,就會十分之慢,慢至一個不可忍受的程序,那很多人就會放棄使用這種方法。
- ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. 2007 [2021-10-26]. (原始内容存档于2016-04-10).
- ^ Jong Chun Park; Jedidiah R. Crandall. Empirical Study of a National-Scale Distributed Intrusion Detection System: Backbone-Level Filtering of HTML Responses in China (PDF). 2010 IEEE 30th International Conference on Distributed Computing Systems. IEEE. 2010-06 [2021-10-02]. ISBN 978-1-4244-7262-8. doi:10.1109/ICDCS.2010.46. (原始内容存档 (PDF)于2022-07-20) (美国英语).
We demonstrate that HTTP HTML response filtering was likely discontinued on many routes between August 2008 and January 2009, and that the apparent ineffectiveness of this form of filtering, which results from its distributed nature, was likely a cause for this.
- ^ Rescorla, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. 2018-08 [2021-10-08]. (原始内容存档于2019-06-03) (英语).
All handshake messages after the ServerHello are now encrypted. The newly introduced EncryptedExtensions message allows various extensions previously sent in the clear in the ServerHello to also enjoy confidentiality protection.
- ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2021-10-08]. (原始内容存档于2019-07-17) (美国英语).
All handshake messages after the ServerHello are now encrypted.
- ^ 陈少举. 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始内容存档于2013-01-28).
- ^ Outlook在中国遭中间人攻击. 泡泡網民報告. 2015-01-21 [2015-04-12]. (原始内容存档于2020-11-24) (中文(简体)).
- ^ Microsoft Says Outlook Hacked in China. 華爾街日報. 2015-01-21 [2021-10-09]. (原始内容存档于2021-10-09) (英语).
Outlook users in China accessing their email through an email client saw a pop-up message saying “Cannot Verify Server Identity” and asking if they wanted to continue anyway
- ^ Outlook在中国遭中间人攻击. GreatFire. 2015-01-19 [2015-04-12]. (原始内容存档于2015-04-12) (中文(简体)).
这次黑客攻击发生在Gmail被封锁之后的一个月之内(Gmail到现在仍然处于完全无法使用状态)。由于这次中间人攻击与之前对谷歌、苹果、雅虎等的攻击存在诸多相似之处,Greatfire再次怀疑,中国国家互联网信息办公室精心策划了这次袭击,或者有意允许袭击发生。
- ^ 国家网信办发言人:“Outlook受中国攻击”的说法纯属污蔑. 中国国家互联网信息办公室. 2015-01-22 [2015-04-12]. (原始内容存档于2020-10-29) (中文(中国大陆)).
Greatfire.org是境外反华组织创办的反华网站,长期对中国政府进行无端攻击。此次炒作选在国家网信办宣布依法关闭一批违法违规网站、栏目和微信公众账号之时,蓄意引发不满情绪,污蔑指责中国网络空间治理制度。
- ^ Cao Siqi. Foreign VPN service unavailable in China. Global Times. 2015-01-23 [2021-10-07]. (原始内容存档于2022-06-22).
Astrill claimed in a Wednesday notice that since this year, VPN protocols used on iOS devices, including IPSec, L2TP/IPSec and PPTP, are not accessible in China in almost real-time.
- ^ Mingshi Wu; Jackson Sippe; Danesh Sivakumar; Jack Burg; Peter Anderson; Xiaokang Wang; Kevin Bock; Amir Houmansadr; Dave Levin; Eric Wustrow. 中国的防火长城是如何检测和封锁完全加密流量的. USENIX Security Symposium 2023. 2023-04-28 [2023-04-28]. (原始内容存档于2023-04-28).
- ^ 防火长城实时主动探测Tor网桥. Solidot. 2015-09-16 [2022-01-04]. (原始内容存档于2015-09-17).
- ^ twilde. Knock Knock Knockin' on Bridges' Doors. Tor Blog. 2012-01-07 [2012-01-10]. (原始内容存档于2012-01-13).
First, "garbage binary" probes, containing nothing more than arbitrary (but sometimes repeated in later probes) binary data, were experienced by the non-China side of any connection that originated from China to TCP port 443 (HTTPS) in which an SSL negotiation was performed. This probe was performed in near-real-time after the connection was established,
…
The second type of probe, on the other hand, is aimed quite directly at Tor. When a Tor client within China connected to a US-based bridge relay, we consistently found that at the next round 15 minute interval (HH:00, HH:15, HH:30, HH:45), the bridge relay would receive a probe from hosts within China that not only established a TCP connection, but performed an SSL negotiation, an SSL renegotiation, and then spoke the Tor protocol sufficiently to build a one-hop circuit and send a BEGIN_DIR cell. - ^ Greenberg, AndyZ. China's Great Firewall Tests Mysterious Scans On Encrypted Connections. 福布斯. 2011-11-17 [2011-11-17]. (原始内容存档于2011-11-18).
- ^ Alice; Bob; Carol; Jan Beznazwy; Amir Houmansadr. How China Detects and Blocks Shadowsocks (PDF). ACM Internet Measurement Conference (IMC ’20). 2020-10-27 [2021-10-07]. doi:10.1145/3419394.3423644. (原始内容存档 (PDF)于2022-05-31).
- ^ Anonymous, Anonymous, Anonymous, David Fifield, Amir Houmansadr. Shadowsocks 是如何被检测和封锁的. GFW Report. 2019-12-29 [2021-10-14]. (原始内容存档于2021-10-08).
- ^ 54.0 54.1 Roya Ensafi; David Fifield; Philipp Winter; Nick Feamster; Nicholas Weaver; Vern Paxson. Examining How the Great Firewall Discovers Hidden Circumvention Servers. Internet Measurement Conference 2015. 东京. 2016-12-01. doi:10.1145/2815675.2815690 (英语).
- ^ 中国网警“修理”翻墙网民中科院也被牵连. 法國國際廣播電台. 2011-05-18 [2011-05-18]. (原始内容存档于2011-05-21).
- ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. 自由亞洲電台. 2011-05-12 [2011-05-18]. (原始内容存档于2011-05-14).
- ^ Theories abound for overseas web access troubles. Global Times. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-21).
Fang Binxing, president of Beijing University of Posts and Telecommunications, attributed the interruptions to Internet service providers' economic concerns.
"Service providers have to pay the bill of the international Internet flow for their users. So there is incentive for the companies to discourage users to visit foreign websites," he said.
…
An anonymous official with the Ministry of Industry and Information Technology declined to explain why foreign websites were frequently inaccessible a telephone interview with the Global Times, and instead urged users to "check their own technology problems and with the websites' servers on the first place." - ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2021-08-19]. (原始内容存档于2011-05-20).
- ^ 秦兝. 详述GFW对SMTP协议的三种封锁手法. fqrouter.tumblr.com. 2015 [2022-07-27]. (原始内容存档于2022-07-20).
- ^ 刘宏光. 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因. ChinaUnix.net. 2006-09-26. (原始内容存档于2010-01-02).
- ^ Gmail blocked in China. 路透社. 2014-12-29 [2014-12-29]. (原始内容存档于2019-07-13).
- ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好?. scholarsupdate.hi2net.com. [2015-09-15]. (原始内容存档于2015-12-30).
- ^ Gmail中国内地服务得以部分恢复. 金融时报 (英国). 2014-12-31 [2021-10-03]. (原始内容存档于2015-09-23).
- ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25]. (原始内容存档于2011-05-15) (中文(繁體)).
- ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始内容存档于2013-07-21) (中文(中国大陆)).
- ^ documentary《The Tank Man》
- ^ Sarah Lai Stirland. Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers. 2008-05-20 [2009-06-27]. (原始内容存档于2009-06-26).
- ^ Earnhardt, John. Cisco Testimony Before House International Relations Subcommittee. Cisco Systems, Inc. 2006-02-16 [2007-01-25]. (原始内容存档于2013-06-02).
- ^ 陶文冬 (编). 奇虎360成功加入GFW防火长城 为国家安全保驾护航. 环球时报. 2012-07-02 [2021-08-31]. (原始内容存档于2022-04-07).
- ^ 百度日本站被GFW屏蔽 疑与色情内容有关. 人民网. [2008-09-09]. (原始内容存档于2007-04-18).
- ^ 外交部就"北方四岛"、中国互联网发展等答记者问. 2011-02-17 [2021-05-26]. (原始内容存档于2011-03-02).
- ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13], (原始内容存档 (PDF)于2007-10-26)
- ^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30]. (原始内容存档于2018-08-30) (中文).
经过18个月的调查研究后,北京大学和斯坦福大学两名经济学家今年得出了结论,中国大学生对于获取未经审查的政治敏感信息漠不关心。他们给北京两所大学的近1000名学生提供了能够绕过审查的免费工具,但发现近半数学生并没有使用它。在那些使用了的学生中,几乎没人花时间浏览遭到屏蔽的外国新闻网站。
来源[编辑]
- 网页
- KLZ毕业. 入侵防御系统的评测和问题. chinagfw.org. 2009-08-24. (原始内容存档于2013-05-03).
- 阅后即焚:“GFW”. 自曲新闻. (原始内容存档于2010-05-07).
外部链接[编辑]
![]() |
維基新聞專題報導:防火长城 |
![]() |
维基共享资源中相关的多媒体资源:防火长城 |
![]() |
英語维基语录上的相关摘錄:防火长城 |
![]() |
維基教科書中的相關電子教程:防火长城 |
![]() |
維基學院中的相關研究或學習資源:防火长城 |
|
|