本頁使用了標題或全文手工轉換

防火長城

維基百科,自由的百科全書
跳至導覽 跳至搜尋

防火長城[1](英語:Great Firewall,常用簡稱:GFW,中文也稱中國國家防火牆[2],俗稱網路長城[3]防火牆[4]等等),是中華人民共和國政府監視和過濾網際網路國際出口內容的軟硬體系統集合[5]。隨著使用的拓廣,「牆」有時也被用作動詞[6][7][8],中國網友所說的「被牆」即指網站內容被防火長城所封鎖或者指伺服器的通訊被封阻,「翻牆」也被引申為突破網路審查瀏覽中國大陸境外被封鎖的網站或使用服務的行為。

起源[編輯]

中國國家防火牆之父方濱興

方濱興稱此系統起步於1998年[9],然而第一次使用 Great Firewall 這個名字的是白傑明桑曄所寫的文章《The Great Firewall of China》,文章發表於1997年6月1日,稱當時中國金橋資訊網中國公用電腦網際網路已經有在封鎖國外新聞網站,這一審查系統開發開始在 1996 年。[10][11]

簡介[編輯]

一般情況下,中國國家防火牆,即防火長城,主要指中華人民共和國政府用於過濾網際網路國際出口上內容的軟硬體系統的集合。[5]例如中國政府將查獲的特定網點阻斷,造成大家所熟知的連線錯誤現象,因此防火牆不是該國特有的一個專門單位,是由分散部門的各伺服器和路由器等裝置,加上相關公司的應用程式所構成,是一個軍民合作的大型資訊管制系統,世界其他一些國家也存在網路審查,不過其審查物件、規模、執行主體等均與中國的審查機制有著相當大的不同(參見:網際網路審查),例如僅止於金融洗錢、國際詐騙等犯罪行為,或者僅審查兒童色情相關。而防火長城的作用是監視所有經過國際閘道器的通訊,對認為不符合中國官方要求的傳輸內容,進行干擾、阻斷、封鎖。由於中國網路審查廣泛,中國國內含有「不合適」內容的網站,會受到政府直接的行政干預,被要求自我審查、自我監管,乃至關閉,故防火長城主要作用在於分析和過濾中國境外網路的資訊互相存取。中國工程院院士、北京郵電大學前校長方濱興是防火長城關鍵部分的首要設計師[2][9][12][13],被稱為中國國家防火牆之父[9]

然而,防火長城對網路內容的審查是否沒有限制和不違反言論自由,一直是受爭議的話題,官方說辭也相當籠統。有報告認為,防火長城其實是一種圓形監獄式的全面監視,以達到自我審查的目的[14]。2007年,人民網轉載了題為「百度日本站被GFW封鎖 疑與色情內容有關」的文章。[15]2011年2月17日有記者在外交部新聞發布會上問及網際網路封鎖等問題,發言人的回答是:

眾所周知,中國的網際網路發展迅速,網友人數增長很快,已超過4億。中國政府鼓勵和支援網際網路發展,依法保障公民言論自由,包括網上言論自由。同時,中國對網際網路依法進行管理,這符合國際慣例。我們願同各國就網際網路相關問題加強溝通和交流,共同推進網際網路的良性發展,但反對任何國家藉口網際網路自由等問題干涉中國內政。[16]

次日,方濱興在接受《環球時報》英文版採訪時被問及防火長城是如何運作的,他拒絕回答,說 「It's confidential.」(這是機密)[9]

而在中國大陸民眾內部,由於內部蓬勃發展的網際網路企業,牆的存在感也逐漸被忽略,北京大學斯坦福大學兩名經濟學家在2018年的研究認為,中國大學生對於獲取未經審查的政治敏感資訊漠不關心。[17]

主要技術[編輯]

域名解析服務快取污染[編輯]

從2002年左右開始,防火長城在國內進行域名伺服器快取污染[18]

防火長城對所有經過骨幹網國際出口路由的位於TCPUDP的53埠上的域名查詢請求進行IDS檢測,一經發現處於黑名單關鍵詞中相匹配的域名查詢請求,防火長城作為中間裝置會向查詢者返回虛假結果,比真的回覆更早到達。由於通常的域名查詢沒有任何認證機制,而且域名查詢通常基於的UDP協定是無連接不可靠的協定,查詢者無法驗證返回結果的正確性,而TCP協定則可以使用TCP連接重設來中斷連接來阻止獲得返回結果。

截至2020年,存取大部分被牆網站時,均會解析到特定的非中國IP位址,如 美國 Facebook公司、愛爾蘭 Facebook分公司、荷蘭 北省阿姆斯特丹UTC+1資料中心、美國 德克薩斯州達拉斯市SoftLayer科技公司等的IP[19][20],這些IP位址通常已經被封鎖,如果沒有被封鎖則使用者可能看到瀏覽器的無效TLS憑證之警告。

污染事件[編輯]

  • 2010年3月,一名智利域名註冊商的技術人員發現向位於中國的根伺服器查詢facebook.com、youtube.com和twitter.com等域名時的回覆不正常[21][22][23][24]。中國根伺服器運營商Netnod於是暫時切斷了其與網際網路的連接。安全專家認為這與Netnod無關,而是中國政府修改某處網路時造成的[25][26]
  • 2012年11月9日下午3點半開始,防火長城對Google的泛域名*.google.com進行了大規模的污染,所有以.google.com結尾的域名均遭到污染而解析錯誤不能正常存取,其中甚至包括不存在的域名,而Google為各國客製化的域名也遭到不同程度的污染(因為Google通過使用CNAME記錄來平衡存取的流量,CNAME記錄大多亦為.google.com結尾),但Google擁有的其它域名如.googleusercontent.com等則不受影響。[27]
  • 2014年1月21日下午三點半,中國網際網路頂級域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美國加利福尼亞州費利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由門的開發公司)租用於翻牆軟體連接節點[28][29]。研究人員認為正是因為防火長城的工作人員操作失誤。[30] [31]
  • 2015年1月2日起,污染方式升級,不再是解析到固定的無效位址(例如環回位址,全零位址[n 1]等),而是隨機地指向境外的非保留IP位址。剛開始只是對YouTube影片域名(*.googlevideo.com)進行處理,之後逐漸擴大到大多數被污染的域名。[32]這導致了境外伺服器遭受來自中國的DDoS攻擊,部分網站因此封鎖中國IP。[33]
  • 2016年3月29日起,防火長城針對Google升級了污染方式。在一開始升級過後,所有包含google, gmail等關鍵詞的域名查詢均被污染,導致很多使用者一時間完全無法正常使用Gmail服務。之後,防火長城對規則進行了調整。其中,對於*.google.com域名污染主域名(google.com,不包括www)及部分服務域名(drive.google.com, plus.google.com等),而針對地區域名則選擇性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地區的域名則不受影響(*.google.us等)。[需要更好來源][34]

IP位址或傳輸層埠封鎖[編輯]

對攔截行為觀察發現,在早期技術實現中,會使用存取控制列表(ACL)技術來封鎖特定的IP位址,由此延伸可以封鎖傳輸層協定(TCPUDP)的特定目的埠的網路流量[18]。不過由於大量的ACL匹配會導致網路效能不佳。現在主要是採用了效率更高的路由擴散技術封鎖特定IP位址,也就是通過將需要攔截的IP位址組態為空路由、黑洞裝置或特別組態的自治域網路上,然後通過動態路由協定將相應組態路由擴散到公眾網際網路網路中,從將條件匹配攔截行為轉為路由器的常規轉發行為,從而提高攔截效率。多見於自主擁有大量IP位址段的需要審查的企業中,例如FacebookGoogleTelegramTwitter等。

在大規模自治域的出入口路由器上新接入一個起控管作用的子網路或者AS域,將要受控的網路位址組態在這個子網路或者AS域內的路由器中,這樣利用動態路由協定的網路拓撲自動辨識特性,在出入口路由器上將生成受控網路位址的路由資訊,將自治域內部網路對這些受控網路位址的存取轉入到這個控管子網路或者AS域的網路中,從而實現對受控網路位址的流量控制 。[35]

針對TCP和UDP連接的封鎖[編輯]

2011年3月,防火長城曾經對Google部分伺服器的IP位址實施自動封鎖(按時間段)某些埠,按時段對www.google.com(使用者登入所有Google服務時需此域名加密驗證)和mail.google.com的幾十個IP位址的443埠實施自動封鎖,具體是每10或15分鐘可以連通,接著斷開,10或15分鐘後再連通,再斷開,如此迴圈,使中國大陸使用者和Google主機之間的連接出現間歇性中斷,使其各項加密服務出現問題。[36]Google指責中國這樣的封鎖手法,因為Gmail並非被完全阻斷,營造出Google服務「不穩定」的假象,表面看起來好像問題出自Google本身。[37]

2014年5月27日起,Gmail網頁版的80和443埠被封鎖。2014年12月26日起,Gmail客戶端所用的IMAP/SMTP/POP3埠也被封鎖。[38] [39]

目前[何時?]防火長城會通過限制QoS優先級的方式干擾向境外的UDP連接,如網站使用HTTP/3(QUIC)協定時。[40]

TCP連接重設[編輯]

Firefox的「連線被重設」錯誤訊息。當碰觸到GFW設定的關鍵詞後(如使用Google等境外搜尋引擎),即可能馬上出現這種畫面。

TCP重設是TCP的一種訊息,用於重設連接。一般來說,例如伺服器端在沒有客戶端請求的埠或者其它連接資訊不符時,系統的TCP協定堆疊就會給客戶端回覆一個RESET通知訊息,可見RESET功能本來用於應對例如伺服器意外重新啟動等情況。防火長城切斷TCP連接的技術實際上就是比連接雙方更快地傳送連接重設訊息,使連接雙方認為對方終止了連接而自行關閉連接。

防火長城自2003年開始自動執行TCP重設攻擊[18]

外部影片連結
Observations in mainland China (Chinese)YouTube

一般這種攻擊方法需要結合相應的檢測方式來實施,請看深度包檢測

深度包檢測[編輯]

深度封包檢測(Deep packet inspection, DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文檢測,DPI可對報文內容和協定特徵進行檢測。[需要解釋]

在中國大陸,DPI一度被ISP用於追蹤使用者行為以改善其廣告推播業務的精準性,而最近[何時?]則被國外[哪裡?]視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[41]。基於必要的硬體設施、適宜的檢測模型及相應的模式匹配演算法,防火長城能夠精確且快速地從實時網路環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。[需要解釋]

被認為在防火長城部署了的深度包檢測包括:

  • HTTP協定的傳輸內容是未經過加密的,中間裝置可以竊聽。防火長城對 HTTP回覆的檢測在2008年末終止[42],對HTTP請求的Host欄位的檢測仍然存在。
  • 早期TLS版本中,伺服器握手回應,包括站點憑證,是未被加密的,所以可以用於辨識出存取站點。自TLS 1.3開始,ServerHello之後的握手資訊,包括站點憑證,也會被加密後傳輸,一般可以認為能防止對憑證資訊的檢測。[43][44]
  • 伺服器名稱指示(SNI)是TLS的一個擴充協定,該協定下,在握手過程開始時客戶端告訴它正在連接的伺服器要連接的主機名稱 [45]。由於SNI資訊並未加密,審查者可以辨識出使用者存取的網站域名。這種檢測是在2018年8月部署的[n 2][46][47],在關於加密伺服器名稱指示IETF草案發布剛剛1個月後。[45]

TLS站點憑證中間人攻擊[編輯]

2013年1月26日,有中國大陸的使用者在存取GitHub時發現憑證無效,經檢查發現,GitHub的憑證變為了一自簽署的X.509憑證,生成時間為2013年1月25日,有效期一年,故有人推測GitHub疑似遭到了中間人攻擊GreatFire和研究人員認為攻擊是由中國政府策劃的。[48][49]

自2014年8月28日起,原先可以通過IPv6直連Google的中國教育網(CERNET)內試圖通過https連接*.google.com.*等網頁時,可能收到SSL憑證錯誤的提示,其中以連接www.google.com.hk幾乎是每次連接均收到攻擊,而其它連接例如ipv6.google.com和accounts.google.com也有受到攻擊的報告,但攻擊發生的機率相對較低。偽造的SSL憑證顯示其為google.com,頒發機構即為其本身,與真正的憑證不同,顯示Google在中國教育網上受到中間人攻擊(MITM attack)。GreatFire認為攻擊是中國政府策劃的[50]

2015年1月17日,Outlook遭到了中間人攻擊[51][52][53]。19日,GreatFire撰文稱懷疑此攻擊是由國家互聯網信息辦公室(網信辦)發起的[51];22日,網信辦對此文作出了回應,稱「Greatfire.org是境外反華組織創辦的反華網站」,「這一無端臆測,純屬境外反華勢力的造謠和污衊」[54]

其他[編輯]

破網軟體的反制[編輯]

因為有防火長城的存在,大量境外網站無法在中國大陸境內正常存取,於是大陸網友開始逐步使用各類破網軟體突破防火長城的封鎖。針對網上各類突破防火長城的破網軟體,防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。通常的做法是利用上文介紹的各種封鎖技術以各種途徑打擊破網軟體,最大限度限制破網軟體的穿透和傳播。

2015年1月,部分國外VPN服務在中國大陸無法正常使用,包括L2TP/IPSecPPTP協定。[55][56]

被動監測[編輯]
主動探測[編輯]

Tor專案的研究人員發現防火長城會對各種基於TLS加密技術的連接進行刺探[57],刺探的類型有兩種:

  • 「垃圾二進位探針」,即用隨機的二進位資料測試對應埠,任何從中國大陸境內存取境外的443埠的SSL連接都會在幾乎即時觸發探測[58]
  • 針對Tor,中國的一個Tor客戶端與美國的網橋中繼建立連接後,每15分鐘網橋中繼都可以收到來自中國IP的探測,其會遵循Tor協定傳送一些訊息,用於確認是否為Tor網橋。

gfw.report 發現並研究了防火長城對Shadowsocks的審查,確認防火長城已經啟用主動探測的手段來辨識Shadowsocks伺服器。[59][60]

間歇性封鎖國際出口[編輯]

從2011年5月6日起,中國大陸境內很多網際網路公司以及高校、學院、科研單位的對外網路連接都出現問題,包括中國科學院。有分析指斷網可能是因為防火長城已經具有了探測和分析大量加密流量並對使用者IP位址執行封鎖的能力,而各大機構的出口被封也在其中。具體表現為:當使用者使用了破網(翻牆)軟體後,其所在的公共網路IP位址會被臨時封鎖,所有的國際網站都無法存取,包括MSNiTunes Store等,而存取國內網站卻正常,但如果使用境外的DNS解析域名則將會由於DNS伺服器被封鎖導致無法解析任何域名,國內網站也會無法打開[61]。也有分析指,此舉是中國當局在測試逐步切斷大部分人存取國際網站的措施,以試探使用者反應並最終達到推行網路「白名單」制,也就是凡沒有在名單上的企業或團體其網路域名將不能解析,一般使用者也無法存取[62]。而中共黨機關報《人民日報》旗下的《環球時報》英文版則引述方濱興指,一些ISP必須為自己的使用者支付國際流量費用,因此這些公司「有動機」去阻礙使用者存取國外網站。一位不願留名的工信部官員說,使用者碰到這些情況應先檢查自己和網站的技術問題。[63][64]

電子郵件通訊的攔截[編輯]

正常情況下,郵件伺服器之間傳輸郵件或者資料不會進行加密,故防火長城能輕易過濾進出境內外的大部分郵件,當發現關鍵字後會通過偽造RST封包阻斷連接。而因為這通常都發生在資料傳輸中間,所以會干擾到內容。也有網友根據防火長城會過濾進出境郵件的特性,尋找到防火長城部署的位置。[65]

2014年12月26日,有很多中國大陸網友反映說一度無法通過客戶端登入到Gmail。在此之前,國內一些使用者可以通過IMAP、SMTP和POP3接收、下載郵件;據路透社報導Google旗下的Gmail業務已經被當局封鎖。[66]12月30日,Gmail的郵件伺服器功能已在中國大陸境內恢復部分功能。[67][68]但Gmail網頁版至今仍被封鎖。

主動攻擊[編輯]

中華人民共和國從2015年3月開始,使用一種被稱為「大炮」的網路攻擊攻擊方案,對可能涉及違反審查要求的特定網站,進行分散式阻斷服務攻擊(DDoS)。[69][70][71]

其中2015年3月針對GreatFire的攻擊,通過包括劫持常見的網站工具指令碼植入攻擊代碼、一些常見瀏覽器漏洞等方法,攻擊其運營在內容傳遞網路的被封鎖網站的鏡像站點,之後又持續五天對代管其反審查專案的GitHub網站進行攻擊,導致網站全球存取速度緩慢。[72]中國政府否認有關指責。[73] [74][75]

硬體[編輯]

據2010年的估計,防火長城可能擁有數百台曙光4000L伺服器[76]

參與建設[編輯]

  • 美國作家Ethan Gutmann說,思科和一些其他通信裝置供應商向中華人民共和國政府提供了具有流量監視和過濾功能的網際網路裝置,用來封堵網站和追蹤網上一些活躍的民運人士。2006年2月,美國國會為此召開聽證會,向思科、微軟、雅虎、Google四家公司提出質詢。美國中國資訊中心的亨利·吳(Henry Wu,China Information Center)指責,思科不斷主動地與中國中央及各省國家安全部門聯絡,向其提供最新技術,包括警車間的即時通訊和指揮系統、以及聲音辨識技術和指紋鑑別技術。[77]記者Sarah Lai Stirland在Wired News發表了一篇文章,並公布了一份泄漏的思科機密PPT文件。該文件詳細描述了思科和中國政府在金盾工程上具有商業性質的合作[78]。她還在文章中指責,思科在市場行銷中將這些技術明確劃分為「鎮壓工具(A Tool of Repression)」。思科的辯護者聲稱,實際上,在中國大陸現行的內容過濾系統中,路由器只是作為底層執行裝置對人為指定的目的位址進行封鎖,這是任何一台商用路由器都必須提供的基本功能,思科並沒有向中國政府提供特別開發和客製化的網際網路裝置。[79]
  • 據知情人[誰?]透露,奇虎360公司已經加入中國GFW防火長城計劃,並早在在2005年的時候,奇虎360就已經特派兩位高管齊向東、石曉虹加入研究搜尋引擎安全管理系統,助力該專案的實行。奇虎360方面拒絕透露其在GFW防火長城計劃中承擔的任務與角色,但從目前獲得的一份資料來看,該專案落實在北京三際無限網絡科技有限公司,主要完成人里除了方濱興在列,奇虎360的高管齊向東與石曉虹也名列其中。[80]

相關事件[編輯]

參見[編輯]

注釋[編輯]

  1. ^ 即 0.0.0.0
  2. ^ 請看Help_talk:如何存取維基百科2018年8月的討論

參考文獻[編輯]

參照[編輯]

  1. ^ 蕭強. 互联网上言论自由的"中国特色". 自由亞洲電台. 2003-12-04 [2021-10-08] (中文(簡體)). 外有國家閘道器的防火長城,內有遍布全國的網路警察,那些論壇和網誌自然也不是什麼共產黨的轄外飛地。 
  2. ^ 2.0 2.1 肖卓. 全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法. 中國資訊工業網. 2010-03-11 [2021-10-08]. (原始內容存檔於2013-01-01) (中文(簡體)). 全國人大代表、北京郵電大學校長方濱興曾擔任國家電腦網路與資訊安全管理中心名譽主任,被譽為中國國家防火牆(GFW)之父。 
  3. ^ 秦戈. 媒体与民主:一对孪生的话题. 德國之聲. 2005-02-01. 另一方面,國外新聞媒體及言論被擋避在另一道虛擬的網路長城之外,中國讀者無法接觸,比如目前德國之聲中文網也在中國遭到大面積封鎖。 
  4. ^ 趙衍龍 (編). 社评:防火墙带给中国互联网哪些影响. 環球時報. 2015-01-28 [2021-10-08]. (原始內容存檔於2021-03-25). 防火牆是中國實現網際網路管理一整套技術系統的民間叫法,官方在正式場合從不這麼叫它。 
  5. ^ 5.0 5.1 潘永忠谈中国的网络审查制度. 法國國際廣播電台(RFI). 2019-03-20 [2021-07-05]. (原始內容存檔於2020-02-26). 
  6. ^ Martin Johnson. 纽时多篇文章被“墙”. Greatfire. 2012-09-06 [2021-06-02]. (原始內容存檔於2021-06-02). 
  7. ^ 两岸、新疆、六四⋯⋯被墙前,Clubhouse中文房间在聊哪些公共议题?. 端傳媒. 2021-02-09 [2021-06-02]. (原始內容存檔於2021-06-24). 
  8. ^ 任琛. WhatsApp“被墙” 因为出事了?. 德國之聲. 2017-07-19. 
  9. ^ 9.0 9.1 9.2 9.3 Fang Yunyu. Great Firewall father speaks out. Global Times. 2011-02-18 [2021-08-10]. (原始內容存檔於2011-02-18) (英語). 
    Fang Yunyu. Great Firewall father speaks out. SINA English. 2011-02-18 [2011-03-03]. (原始內容存檔於2011-02-25) (英語). 
    Fang Yunyu. Great Firewall father speaks out. china.org.cn. 2011-02-18 [2021-10-08]. (原始內容存檔於2018-03-26) (英語). 
  10. ^ Geremie R. Barme; Ye, Sang. The Great Wall: a wonder and a curse!. chinaheritage.net. 2017-07-26 [2021-08-03]. (原始內容存檔於2021-02-26). 
  11. ^ Geremie R. Barme; Ye, Sang. The Great Firewall of China. Wired. 1997-06-01 [2015-12-29]. (原始內容存檔於2016-01-01). A computer engineer in his late 30s, Comrade X...is overseeing efforts to build a digital equivalent to China's Great Wall. Under construction since last year, what's officially known as the "firewall" is designed to keep Chinese cyberspace free of pollutants of all sorts 
  12. ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25]. (原始內容存檔於2011-05-15) (中文(繁體)). 
  13. ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始內容存檔於2013-07-21) (中文(中國大陸)). 
  14. ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13], (原始內容存檔 (PDF)於2007-10-26) 
  15. ^ 百度日本站被GFW屏蔽 疑与色情内容有关. 人民網. [2008-09-09]. (原始內容存檔於2007-04-18). 
  16. ^ 外交部就"北方四岛"、中国互联网发展等答记者问. 2011-02-17 [2021-05-26]. (原始內容存檔於2011-03-02). 
  17. ^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30]. (原始內容存檔於2018-08-30) (中文). 經過18個月的調查研究後,北京大學和史丹佛大學兩名經濟學家今年得出了結論,中國大學生對於取得未經審查的政治敏感資訊漠不關心。他們給北京兩所大學的近1000名學生提供了能夠繞過審查的免費工具,但發現近半數學生並沒有使用它。在那些使用了的學生中,幾乎沒人花時間瀏覽遭到封鎖的外國新聞網站。 
  18. ^ 18.0 18.1 18.2 Global Internet Freedom. Internet Blocking Exposed (PDF). 2002-07 [2021-10-02]. (原始內容存檔 (PDF)於2020-09-19). 
  19. ^ keckl. “反独清网2021”行动正式打响,一批涉独站点被端. 淨協線上. 2021-05-23. (原始內容存檔於2021-06-24). 
  20. ^ NP. Hoang; AA. Niaki; J. Dalek; J. Knockel; P. Lin; B. Marczak; M. Crete-Nishihata; P. Gill; M. Polychronakis. How Great is the Great Firewall? Measuring China's DNS Censorship. USENIX Association: 3381––3398. 2021. ISBN 978-1-939133-24-3. 
  21. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始內容存檔於2020-10-23). 
  22. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始內容存檔於2019-05-20). 
  23. ^ 中国DNS污染通过根服务器影响全世界. Solidot. 2010-03-26. (原始內容存檔於2011-05-16). 
  24. ^ blackhat. 中国的DNS污染是互联网的真正威胁. Solidot. 2010-11-30. (原始內容存檔於2011-09-06). 當美國和智利的使用者試圖存取流行社群網站如facebook.com、youtube.com和twitter.com等域名,他們的域名查詢請求轉交給中國控制的DNS根伺服器處理,由於這些網站在中國被封鎖,結果使用者收到了錯誤的DNS資訊。 
  25. ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2021-08-19]. (原始內容存檔於2011-05-11). 
  26. ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始內容存檔於2011-11-24). 
  27. ^ 陳少舉. Google.com被DNS污染. Solidot. 2012-11-09. (原始內容存檔於2013-01-26). 
  28. ^ 大陸網路遭駭百度也停擺. 中央社. 2014-01-22. (原始內容存檔於2014-01-22). 
  29. ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始內容存檔於2014-01-27). 
  30. ^ Steven Mufson; Jia Lynn Yang. China accuses hackers of Internet disruption; experts suspect error by government censors. 華盛頓郵報. 2014-01-22. (原始內容存檔於2016-04-01). 「The rule was supposed to be, 『Block everything going to this IP address,』」 said Nicholas Weaver, a researcher at the International Computer Science Institute, which is affiliated with the University of California at Berkeley. 「Instead, they screwed up and probably wrote the rule as 『Block everything by referring to this IP address.』」 
  31. ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始內容存檔於2014-01-23). 
  32. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2021-08-19]. (原始內容存檔於2015-04-03). 
  33. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2021-08-19]. (原始內容存檔於2015-04-02). 
  34. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效連結]
  35. ^ 劉剛; 雲曉春; 方濱興; 胡銘曾. 一种基于路由扩散的大规模网络控管方法. 通信學報. 2003. ISSN 1000-436X. (原始內容存檔於2021-07-07). 
  36. ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始內容存檔於2011-03-17). 
  37. ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20 [2015-01-27]. (原始內容存檔於2015-10-04). (英文)
  38. ^ 月光博客. Gmail被中国完全屏蔽. 2014-12-29. (原始內容存檔於2015-01-03). 從12月26日開始,Gmail被中國「完全」封鎖,Gmail所有客戶端通訊協定(IMAP、POP3、SMTP等)埠均被封鎖

    根據Google透明度報告顯示,從今年5月31日開始,網頁版的Gmail已經被中國封鎖(80和443埠被封鎖)
     
  39. ^ China Escalating Attack on Google. 紐約時報. 2014-06-02 [2021-10-08]. (原始內容存檔於2014-07-14) (英語). 
  40. ^ 【翻牆問答】互聯網推新傳輸協議UDP 中國網民難受惠. Radio Free Asia. 2020-02-07 [2021-08-07] (中文(香港)). 李建軍:由於中國的電信公司都是國有企業,他們一定會執行黨的政策,因此,他們必然會在UDP上動手腳。現時大部分中國電信公司的做法,都是在網路QoS(中文或者可以稱為服務品質控制)上作出調動,對UDP通訊包的流量和速度作出限制,那麼當你用以UDP為本的技術翻牆時,就會十分之慢,慢至一個不可忍受的程式,那很多人就會放棄使用這種方法。 
  41. ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. [2014-12-31]. (原始內容存檔於2016-04-10). 
  42. ^ Jong Chun Park; Jedidiah R. Crandall. Empirical Study of a National-Scale Distributed Intrusion Detection System: Backbone-Level Filtering of HTML Responses in China (PDF). 2010 IEEE 30th International Conference on Distributed Computing Systems. IEEE. 2010-06 [2021-10-02]. ISBN 978-1-4244-7262-8. doi:10.1109/ICDCS.2010.46 (美國英語). We demonstrate that HTTP HTML response filtering was likely discontinued on many routes between August 2008 and January 2009, and that the apparent ineffectiveness of this form of filtering, which results from its distributed nature, was likely a cause for this. 
  43. ^ Rescorla, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. 2018-08 [2021-10-08]. (原始內容存檔於2019-06-03) (英語). All handshake messages after the ServerHello are now encrypted. The newly introduced EncryptedExtensions message allows various extensions previously sent in the clear in the ServerHello to also enjoy confidentiality protection. 
  44. ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2021-10-08]. (原始內容存檔於2019-07-17) (美國英語). All handshake messages after the ServerHello are now encrypted. 
  45. ^ 45.0 45.1 Kazuho, Oku,; Christopher, Wood,; Eric, Rescorla,; Nick, Sullivan,. Encrypted Server Name Indication for TLS 1.3. IETF. 2018-07-02 [2021-10-07]. (原始內容存檔於2018-08-13) (英語). Although TLS 1.3 [I-D.ietf-tls-tls13] encrypts most of the handshake, including the server certificate, there are several other channels that allow an on-path attacker to determine the domain name the client is trying to connect to, including:…
    Cleartext Server Name Indication (SNI) [RFC6066] in ClientHello messages.
     
  46. ^ lrinQVQ. Google相关情况说明及失效反馈汇总. github.com/googlehosts. 2018-11-06. (原始內容存檔於2020-09-13). GFW已於2018年8月底進一步升級封鎖技術,因此目前您可能無法通過hosts存取Google的相關服務。 
  47. ^ 现在SNI封锁已经出现了. 北大未名BBS. 2018-08-25. (原始內容存檔於2021-08-09). 
  48. ^ 陳少舉. 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始內容存檔於2013-01-28). 
  49. ^ martin. 中国, GitHub 和中间人攻击. greatfire. 2013-01-30 [2013-01-30]. (原始內容存檔於2013-06-14). 這讓中國政府陷入兩難的境地。他們不能選擇性封鎖部分頁面,也不能檢測使用者在Github上到底在幹什麼。他們不能完全屏蔽Github,傷害了在中國的公司。這樣中間人攻擊是唯一可行的方案。利用偽造的SSL憑證,中國政府能竊聽並且監視加密的流量。 
  50. ^ 谷歌在中国教育网遭国家级中间人攻击. greatfire.org. 2014-09-04 [2015-02-02]. (原始內容存檔於2015-03-27). 當局並沒有在教育網上直接封鎖Google,因為這很可能招致全國學生、教師以及科研人員的反感。當局選擇在教育網內對Google發動中間人攻擊,這樣一來,學生和科研人員能繼續使用Google,而當局又可以監聽並有選擇地攔截搜尋請求以及結果。 
  51. ^ 51.0 51.1 Outlook在中国遭中间人攻击. GreatFire. 2015-01-19 [2015-04-12]. (原始內容存檔於2015-04-12) (中文(簡體)). 這次駭客攻擊發生在Gmail被封鎖之後的一個月之內(Gmail到現在仍然處於完全無法使用狀態)。由於這次中間人攻擊與之前對Google、蘋果、雅虎等的攻擊存在諸多相似之處,Greatfire再次懷疑,中國國家互聯網信息辦公室精心策劃了這次襲擊,或者有意允許襲擊發生。 
  52. ^ Outlook在中国遭中间人攻击. 泡泡網民報告. 2015-01-21 [2015-04-12]. (原始內容存檔於2020-11-24) (中文(簡體)). 
  53. ^ Microsoft Says Outlook Hacked in China. 華爾街日報. 2015-01-21 [2021-10-09]. (原始內容存檔於2021-10-09) (英語). Outlook users in China accessing their email through an email client saw a pop-up message saying 「Cannot Verify Server Identity」 and asking if they wanted to continue anyway 
  54. ^ 国家网信办发言人:“Outlook受中国攻击”的说法纯属污蔑. 中國國家互聯網信息辦公室. 2015-01-22 [2015-04-12]. (原始內容存檔於2020-10-29) (中文(中國大陸)). Greatfire.org是境外反華組織創辦的反華網站,長期對中國政府進行無端攻擊。此次炒作選在國家網信辦宣布依法關閉一批違法違規網站、欄目和微信公眾帳號之時,蓄意引發不滿情緒,污衊指責中國網路空間治理制度。 
  55. ^ Cao Siqi. Foreign VPN service unavailable in China. Global Times. 2015-01-23. Astrill claimed in a Wednesday notice that since this year, VPN protocols used on iOS devices, including IPSec, L2TP/IPSec and PPTP, are not accessible in China in almost real-time. 
  56. ^ 網易. 《环球时报》英文版:部分国外VPN服务在中国无法正常使用_网易财经. money.163.com. 2015-01-23 [2015-08-21]. (原始內容存檔於2016-03-05). 
  57. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. (原始內容存檔於2012-01-13). First, "garbage binary" probes, containing nothing more than arbitrary (but sometimes repeated in later probes) binary data, were experienced by the non-China side of any connection that originated from China to TCP port 443 (HTTPS) in which an SSL negotiation was performed. This probe was performed in near-real-time after the connection was established,

    The second type of probe, on the other hand, is aimed quite directly at Tor. When a Tor client within China connected to a US-based bridge relay, we consistently found that at the next round 15 minute interval (HH:00, HH:15, HH:30, HH:45), the bridge relay would receive a probe from hosts within China that not only established a TCP connection, but performed an SSL negotiation, an SSL renegotiation, and then spoke the Tor protocol sufficiently to build a one-hop circuit and send a BEGIN_DIR cell.
     
  58. ^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17]. (原始內容存檔於2011-11-18). 
  59. ^ Alice; Bob; Carol; Jan Beznazwy; Amir Houmansadr. How China Detects and Blocks Shadowsocks (PDF). ACM Internet Measurement Conference (IMC 』20). gfw.report. 2020-10-27. doi:10.1145/3419394.3423644. 
  60. ^ Anonymous, Anonymous, Anonymous, David Fifield, Amir Houmansadr. Shadowsocks 是如何被检测和封锁的. gfw.report. 2019-12-29 [2021-10-14]. (原始內容存檔於2021-10-08). 
  61. ^ 中国网警“修理”翻墙网民中科院也被牵连. 法國國際廣播電台. 2011-05-18 [2011-05-18]. (原始內容存檔於2011-05-21). 
  62. ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. 自由亞洲電台. 2011-05-12 [2011-05-18]. (原始內容存檔於2011-05-14). 
  63. ^ Theories abound for overseas web access troubles. Global Times. 2011-05-18 [2011-05-19]. (原始內容存檔於2011-05-21). Fang Binxing, president of Beijing University of Posts and Telecommunications, attributed the interruptions to Internet service providers' economic concerns.
    "Service providers have to pay the bill of the international Internet flow for their users. So there is incentive for the companies to discourage users to visit foreign websites," he said.

    An anonymous official with the Ministry of Industry and Information Technology declined to explain why foreign websites were frequently inaccessible a telephone interview with the Global Times, and instead urged users to "check their own technology problems and with the websites' servers on the first place."
     
  64. ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2021-08-19]. (原始內容存檔於2011-05-20). 
  65. ^ 劉宏光. 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因. ChinaUnix.net. 2006-09-26. (原始內容存檔於2010-01-02). 
  66. ^ Gmail blocked in China. 路透社. 2014-12-29 [2014-12-29]. (原始內容存檔於2019-07-13). 
  67. ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好?. scholarsupdate.hi2net.com. [2015-09-15]. (原始內容存檔於2015-12-30). 
  68. ^ Gmail中国内地服务得以部分恢复. 金融時報 (英國). 2014-12-31 [2021-10-03]. (原始內容存檔於2015-09-23). 
  69. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始內容存檔於2015-04-11) (英語). 
  70. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11]. (原始內容存檔於2015-04-14) (中文(繁體)). 
  71. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11]. (原始內容存檔於2015-04-11) (中文(台灣)). 
  72. ^ GitHub. GitHub System Status. [2016-01-02]. (原始內容存檔於2017-02-19). 
  73. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30]. (原始內容存檔於2015-03-31) (中文(台灣)). 
  74. ^ 海寧. 中共借刀杀人 利用海外华人发起DDoS攻击. 大紀元新聞網. 2015-03-27 [2015-03-30]. (原始內容存檔於2015-03-30) (中文(簡體)). 
  75. ^ 外交部回应GitHub遭来自中国的DDoS攻击. Solidot. 2015-03-30. (原始內容存檔於2015-09-24). 近期似乎只要是美國或者其他哪個國家有網站受到攻擊,就會有人聯想是不是中方駭客所為,這很奇怪。我想提醒你,中國是網路駭客攻擊的最主要的受害者之一。 
  76. ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亞洲電台. 2010-06-08 [2010-06-09]. (原始內容存檔於2010-09-28). 
  77. ^ documentary《The Tank Man》
  78. ^ Sarah Lai Stirland. Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers. 2008-05-20 [2009-06-27]. (原始內容存檔於2009-06-26). 
  79. ^ Earnhardt, John. Cisco Testimony Before House International Relations Subcommittee. Cisco Systems, Inc. 2006-02-16 [2007-01-25]. (原始內容存檔於2013-06-02). 
  80. ^ 陶文冬 (編). 奇虎360成功加入GFW防火长城 为国家安全保驾护航. 環球時報. 2012-07-02 18:27 [2021-08-31]. 

來源[編輯]

網頁
  • 田小路. “网上长城”攻防战. 鳳凰周刊, 騰訊新聞. "vingietang" (責任編輯). 2010-12-22 [2021-10-04] (中文(中國大陸)). 

外部連結[編輯]