防火長城

防火長城[1](英語:Great Firewall,常用簡稱:GFW),中文也稱中國國家防火牆[2],通常簡稱為牆、防火牆[3]等,中國國家互聯網信息辦公室稱為數據跨境安全網關[註 1][4][5],解放軍和武警機關等又稱之為國家公共網絡監視系統[6],是中華人民共和國政府監視和過濾國際網際網路出口內容的軟硬體系統集合[7],用於通過技術手段,阻斷不符合中國政府要求的網際網路內容傳輸。
隨著防火長城逐漸為人熟知,「牆」一詞有時也被用作動詞,[8][9],「被牆」即指網站內容被防火長城所封鎖。「翻牆」、「掛梯子」也被引申為突破網路審查瀏覽中國大陸境外被封鎖的網站或使用服務的行為。
簡介[編輯]
中國國家防火牆,即防火長城,主要指中華人民共和國政府用於過濾網際網路國際出口上內容的軟硬體系統的集合。[7] 中國政府通常利用防火長城將特定網站或服務阻斷,人為造成連線錯誤。
防火長城不是中國特有的一個專門單位,而是由分散部門的各伺服器和路由器等裝置,加上相關公司的應用程式構成。其作用是監視所有經過中國國家資料跨境安全閘道器的通訊,以干擾、阻斷、封鎖中國政府認為不符合其法律要求的傳輸內容。
硬體[編輯]
據2010年的估計,防火長城可能擁有數百台曙光4000L伺服器[10]。
歷史[編輯]
方濱興稱此系統起步於1998年[11],然而第一次使用 Great Firewall 這個名字的是白傑明和桑曄所寫的文章《The Great Firewall of China》,文章發表於1997年6月1日,稱當時中國金橋資訊網和中國公用電腦網際網路已經有在封鎖國外新聞網站,這一審查系統開發開始在 1996 年。[12][13]
防火長城自2002年開始自動執行TCP重設攻擊和DNS劫持[14]。
對SNI資訊的檢測是在2018年8月部署的[15],在關於加密伺服器名稱指示的IETF草案發布剛剛1個月後,[16]自2020年7月下旬起,也開始封鎖加密伺服器名稱指示(ESNI)的TLS通信。[17]
主要技術[編輯]

域名解析服務快取污染[編輯]
從2002年左右開始,防火長城在國內進行域名伺服器快取污染[14]。
防火長城對所有經過骨幹網國際出口路由的位於TCP與UDP的53埠上的域名查詢請求進行IDS檢測,一經發現處於黑名單關鍵詞中相匹配的域名查詢請求,防火長城作為中間裝置會向查詢者返回虛假結果,比真的回覆更早到達。由於通常的域名查詢沒有任何認證機制,而且域名查詢通常基於的UDP協定是無連接不可靠的協定,查詢者無法驗證返回結果的正確性,而TCP協定則可以使用TCP連接重設來中斷連接來阻止獲得返回結果。

截至2020年,訪問大部分被牆網站時,均會解析到特定的非中國IP位址,如 美國 Facebook公司、愛爾蘭 Facebook分公司、荷蘭 北省阿姆斯特丹UTC+1資料中心、美國 德克薩斯州達拉斯市SoftLayer科技公司等的IP[19],這些IP位址通常已經被封鎖,如果沒有被封鎖則使用者可能看到瀏覽器的無效TLS憑證之警告。
污染事件[編輯]
- 2010年3月,一名智利域名註冊商的技術人員發現向位於中國的根伺服器查詢facebook.com、youtube.com和twitter.com等域名時的回覆不正常[20][21][22][23]。中國根伺服器運營商Netnod於是暫時切斷了其與網際網路的連接。安全專家認為這與Netnod無關,而是中國政府修改某處網路時造成的[24][25]。
- 2014年1月21日下午三點半,中國網際網路頂級域名解析不正常,出錯網站解析到的IP是65.49.2.178,這個IP位於美國加利福尼亞州費利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由門的開發公司)租用於翻牆軟體連接節點[26][27]。研究人員認為這是因為防火長城的工作人員操作失誤[28][29],另一些人認為,雖然這個IP位址指向一家美國公司,但不能排除真正的駭客借這一IP位址作為跳板發動攻擊的可能[30]。
- 2015年1月2日起,污染方式升級,不再是解析到固定的無效位址(例如環回位址,全零位址[註 2]等),而是隨機地指向境外的非保留IP位址。剛開始只是對YouTube影片域名(*.googlevideo.com)進行處理,之後逐漸擴大到大多數被污染的域名。[31]這導致了境外伺服器遭受來自中國的DDoS攻擊,部分網站因此封鎖中國IP。[32]
IP位址或傳輸層埠封鎖[編輯]
對攔截行為觀察發現,在早期技術實現中,會使用訪問控制列表(ACL)技術來封鎖特定的IP位址,由此延伸可以封鎖傳輸層協定(TCP或UDP)的特定目的埠的網路流量[14]。不過由於大量的ACL匹配會導致網路效能不佳。現在主要是採用了效率更高的路由擴散技術封鎖特定IP位址,也就是通過將需要攔截的IP位址組態為空路由、黑洞裝置或特別組態的自治域網路上,然後通過動態路由協定將相應組態路由擴散到公眾網際網路網路中,從將條件匹配攔截行為轉為路由器的常規轉發行為,從而提高攔截效率。多見於自主擁有大量IP位址段的需要審查的企業中,例如Facebook,Google,Telegram,Twitter等。
在大規模自治域的出入口路由器上新接入一個起控管作用的子網路或者AS域,將要受控的網路位址組態在這個子網路或者AS域內的路由器中,這樣利用動態路由協定的網路拓撲自動辨識特性,在出入口路由器上將生成受控網路位址的路由資訊,將自治域內部網路對這些受控網路位址的訪問轉入到這個控管子網路或者AS域的網路中,從而實現對受控網路位址的流量控制 。[33]
針對TCP和UDP連接的封鎖[編輯]
2011年3月,防火長城曾經對Google部分伺服器的IP位址實施自動封鎖(按時間段)某些埠,按時段對www.google.com(使用者登入所有Google服務時需此域名加密驗證)和mail.google.com的幾十個IP位址的443埠實施自動封鎖,具體是每10或15分鐘可以連通,接著斷開,10或15分鐘後再連通,再斷開,如此迴圈,使中國大陸使用者和Google主機之間的連接出現間歇性中斷,使其各項加密服務出現問題。[34]Google指責中國這樣的封鎖手法,因為Gmail並非被完全阻斷,營造出Google服務「不穩定」的假象,表面看起來好像問題出自Google本身。[35]
2014年5月27日起,Gmail網頁版的80和443埠被封鎖。2014年12月26日起,Gmail客戶端所用的IMAP/SMTP/POP3埠也被封鎖。[36]
目前[何時?]防火長城會通過限制QoS優先級的方式干擾向境外的UDP連接,如網站使用HTTP/3(QUIC)協定時。[37]
TCP連接重設[編輯]

TCP重設是傳輸控制協定(TCP)的一種訊息,用於重設連接。一般來說,例如伺服器端在沒有客戶端請求的埠或者其它連接資訊不符時,系統的TCP協定堆疊就會給客戶端回覆一個RESET通知訊息,可見RESET功能本來用於應對例如伺服器意外重新啟動等情況。防火長城切斷TCP連接的技術實際上就是比連接雙方更快地傳送連接重設訊息,使連接雙方認為對方終止了連接而自行關閉連接。
外部影片連結 | |
---|---|
![]() |

一般這種攻擊方法需要結合相應的檢測方式來實施,請看深度包檢測。
深度包檢測[編輯]
深度報文檢測(Deep packet inspection, DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及數據挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文檢測,DPI可對報文內容和協定特徵進行檢測。
在中國大陸,DPI一度被ISP用於追蹤使用者行為以改善其廣告推播業務的精準性,而最近則被開放網路促進會視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[38][與來源不符]。基於必要的硬體設施、適宜的檢測模型(關鍵字過濾)及相應的模式匹配演算法,防火長城能夠精確且快速地從實時網路環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。
被認為在防火長城部署了的深度包檢測包括:
- HTTP協定的傳輸內容是未經過加密的,中間裝置可以竊聽。防火長城對 HTTP回覆的檢測在2008年末終止[39],對HTTP請求的Host欄位的檢測仍然存在。
- 早期TLS版本中,伺服器握手回應,包括站點憑證,是未被加密的,所以可以用於辨識出訪問站點。自TLS 1.3開始,ServerHello之後的握手資訊,包括站點憑證,也會被加密後傳輸,一般可以認為能防止對憑證資訊的檢測。[40][41]
- 伺服器名稱指示(SNI)是TLS的一個擴充協定,該協定下,在握手過程開始時客戶端告訴它正在連接的伺服器要連接的主機名稱 [16]。由於SNI資訊並未加密,審查者可以辨識出使用者訪問的網站域名。
TLS站點憑證中間人攻擊[編輯]
2013年1月26日,有中國大陸的使用者在訪問GitHub時發現憑證無效,經檢查發現,GitHub的憑證變為了一自簽署的X.509憑證,生成時間為2013年1月25日,有效期一年,故有人推測GitHub疑似遭到了中間人攻擊。 GreatFire和研究人員認為攻擊是由中國政府策劃的。[42]
自2014年8月28日起,原先可以通過IPv6直連Google的中國教育網(CERNET)內試圖通過https連接*.google.com.*等網頁時,可能收到SSL憑證錯誤的提示,其中以連接www.google.com.hk幾乎是每次連接均收到攻擊,而其它連接例如ipv6.google.com和accounts.google.com也有受到攻擊的報告,但攻擊發生的機率相對較低。偽造的SSL憑證顯示其為google.com,頒發機構即為其本身,與真正的憑證不同,顯示Google在中國教育網上受到中間人攻擊(MITM attack)。
2015年1月17日,Outlook遭到了中間人攻擊[43][44]。19日,GreatFire撰文稱懷疑此攻擊是由國家互聯網信息辦公室(網信辦)發起的[45];22日,網信辦對此文作出了回應,稱「Greatfire.org是境外反華組織創辦的反華網站」,「這一無端臆測,純屬境外反華勢力的造謠和污衊」[46]。
其他[編輯]
對破網軟體的反制[編輯]
因為有防火長城的存在,大量境外網站無法在中國大陸境內正常訪問,於是大陸網友開始逐步使用各類破網軟體突破防火長城的封鎖。針對網上各類突破防火長城的破網軟體,防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。通常的做法是利用上文介紹的各種封鎖技術以各種途徑打擊破網軟體,最大限度限制破網軟體的穿透和傳播。
2015年1月,部分國外VPN服務在中國大陸無法正常使用,包括L2TP/IPSec和PPTP協定。[47]
被動檢測[編輯]
自2021年11月初以來,防火長城部署了一種類似白名單的檢測方法:應用規則來豁免那些不太可能是完全加密的流量;然後它阻止其餘未被豁免的流量。由於翻牆軟體的流量多是完全加密的,這種方法十分有效,僅會誤傷大約0.6%的非翻牆網際網路流量[48]。
主動探測[編輯]
Tor專案的研究人員發現防火長城會對各種基於TLS加密技術的連接進行刺探[49][50],刺探的類型有兩種:
- 「垃圾二進位探針」,即用隨機的二進位資料測試對應埠,任何從中國大陸境內訪問境外的443埠的SSL連接都會在幾乎即時觸發探測[51]。
- 針對Tor,中國的一個Tor客戶端與美國的網橋中繼建立連接後,每15分鐘網橋中繼都可以收到來自中國IP的探測,其會遵循Tor協定傳送一些訊息,用於確認是否為Tor網橋。
除Tor之外,防火長城也會對Shadowsocks[52][53]、SoftEther VPN[54]、AppSpot[54]伺服器發起探測。
間歇性封鎖國際出口[編輯]
從2011年5月6日起,中國大陸境內很多網際網路公司以及高校、學院、科研單位的對外網路連接都出現問題,包括中國科學院。有分析指斷網可能是因為防火長城已經具有了探測和分析大量加密流量並對使用者IP位址執行封鎖的能力,而各大機構的出口被封也在其中。具體表現為:當使用者使用了破網(翻牆)軟體後,其所在的公共網路IP位址會被臨時封鎖,所有的國際網站都無法訪問,包括MSN、iTunes Store等,而訪問國內網站卻正常,但如果使用境外的DNS解析域名則將會由於DNS伺服器被封鎖導致無法解析任何域名,國內網站也會無法打開[55]。也有分析指,此舉是中國當局在測試逐步切斷大部分人訪問國際網站的措施,以試探使用者反應並最終達到推行網路「白名單」制,也就是凡沒有在名單上的企業或團體其網路域名將不能解析,一般使用者也無法訪問[56]。而中共黨機關報《人民日報》旗下的《環球時報》英文版則引述方濱興指,一些ISP必須為自己的使用者支付國際流量費用,因此這些公司「有動機」去阻礙使用者訪問國外網站。一位不願留名的工信部官員說,使用者碰到這些情況應先檢查自己和網站的技術問題。[57][58]
對電子郵件通訊的攔截[編輯]
正常情況下,郵件伺服器之間傳輸郵件或者資料不會進行加密,故防火長城能輕易過濾進出境內外的大部分郵件,當發現關鍵字後會通過偽造RST封包阻斷連接。而因為這通常都發生在資料傳輸中間,所以會干擾到內容。[59]也有網友根據防火長城會過濾進出境郵件的特性,尋找到防火長城部署的位置。[60]
2014年12月26日,有很多中國大陸網友反映說一度無法通過客戶端登入到Gmail。在此之前,國內一些使用者可以通過IMAP、SMTP和POP3接收、下載郵件;據路透社報導Google旗下的Gmail業務已經被當局封鎖。[61]12月30日,Gmail的郵件伺服器已在中國大陸境內恢復部分功能。[62][63]但Gmail網頁版至今仍被封鎖。
參與建設[編輯]

- 美國作家伊森·葛特曼說,思科系統和一些其他通信裝置供應商向中華人民共和國政府提供了具有流量監視和過濾功能的網際網路裝置,用來封堵網站和追蹤網上一些活躍的民運人士。2006年2月,美國國會為此召開聽證會,向思科、微軟、雅虎、Google四家公司提出質詢。美國中國資訊中心的亨利·吳(Henry Wu,China Information Center)指責,思科不斷主動地與中國中央及各省國家安全部門聯絡,向其提供最新技術,包括警車間的即時通訊和指揮系統、以及聲音辨識技術和指紋鑑別技術。[66]記者Sarah Lai Stirland在Wired News發表了一篇文章,並公布了一份洩漏的思科機密PPT文件。該文件詳細描述了思科和中國政府在金盾工程上具有商業性質的合作[67]。她還在文章中指責,思科在市場行銷中將這些技術明確劃分為「鎮壓工具(A Tool of Repression)」。思科的辯護者聲稱,實際上,在中國大陸現行的內容過濾系統中,路由器只是作為底層執行裝置對人為指定的目的位址進行封鎖,這是任何一台商用路由器都必須提供的基本功能,思科並沒有向中國政府提供特別開發和客製化的網際網路裝置。[68]。
- 奇虎360公司已經加入中國GFW防火長城計劃,並早在在2005年的時候,奇虎360就已經特派兩位高管齊向東、石曉虹加入研究搜尋引擎安全管理系統,助力該專案的實行。奇虎360方面拒絕透露其在GFW防火長城計劃中承擔的任務與角色,但從目前獲得的一份資料來看,該專案落實在北京三際無限網絡科技有限公司,主要完成人里除了方濱興在列,奇虎360的高管齊向東與石曉虹也名列其中。[69]
相關報導[編輯]
2007年,人民網轉載了題為「百度日本站被GFW封鎖 疑與色情內容有關」的文章,是官方最早先提到此系統的報導之一。[70]2011年2月17日有記者在外交部新聞發布會上問及網際網路封鎖等問題,發言人的回答是:
眾所周知,中國的網際網路發展迅速,網友人數增長很快,已超過4億。中國政府鼓勵和支援網際網路發展,依法保障公民言論自由,包括網上言論自由。同時,中國對網際網路依法進行管理,這符合國際慣例。我們願同各國就網際網路相關問題加強溝通和交流,共同推進網際網路的良性發展,但反對任何國家藉口網際網路自由等問題干涉中國內政。[71]
次日,方濱興在接受《環球時報》英文版採訪時被問及防火長城是如何運作的,他拒絕回答,說 「It's confidential.」(這是機密)[11]
評價[編輯]
防火長城對網路內容的審查是否沒有限制和不違反言論自由,一直是受爭議的話題,官方說辭也相當籠統。[來源請求]
2007年有報告認為,防火長城其實是一種圓形監獄式的全面監視,以達到自我審查的目的[72]。
北京大學和史丹佛大學兩名經濟學家在2018年的研究認為,中國大學生對於獲取未經審查的政治敏感資訊漠不關心。[73]
2021年11月,中國國家互聯網信息辦公室發布的《網路資料安全管理條例(徵求意見稿)》指出數據跨境安全網關是指「阻斷訪問境外反動網站和有害資訊、防止來自境外的網路攻擊、管控跨境網路資料傳輸、防範偵查打擊跨境網路犯罪的重要安全基礎設施。」[4]。
影響[編輯]
相關事件[編輯]
參見[編輯]
注釋[編輯]
參考文獻[編輯]
參照[編輯]
- ^ 蕭強. 互联网上言论自由的"中国特色". 自由亞洲電台. 2003-12-04 [2021-10-08]. (原始內容存檔於2022-06-22) (中文(簡體)).
外有國家閘道器的防火長城,內有遍布全國的網路警察,那些論壇和網誌自然也不是什麼共產黨的轄外飛地。
- ^ 2.0 2.1 肖卓. 全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法. 中國資訊工業網. 2010-03-11 [2021-10-08]. (原始內容存檔於2013-01-01) (中文(簡體)).
全國人大代表、北京郵電大學校長方濱興曾擔任國家電腦網路與資訊保安管理中心名譽主任,被譽為中國國家防火牆(GFW)之父。
- ^ 趙衍龍 (編). 社评:防火墙带给中国互联网哪些影响. 環球時報. 2015-01-28 [2021-10-08]. (原始內容存檔於2021-03-25).
防火牆是中國實現網際網路管理一整套技術系統的民間叫法,官方在正式場合從不這麼叫它。
- ^ 4.0 4.1 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知. 中國網信網. 2021-11-14 [2021-11-14]. (原始內容存檔於2021-11-14).
第四十一條 國家建立數據跨境安全網關,對來源於中華人民共和國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播。
- ^ 中国网络新规拟限制赴港上市 提供翻墙违法. 德國之聲. 2021-11-14.
數據跨境安全網關是指阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防範偵查打擊跨境網絡犯罪的重要安全基礎設施。
- ^ 李芳; 劉寶宇; 梁磊; 耿雲飛. “翻墙”的危害了解一下!. 河北武警 (解放軍報). 中國軍網. [2023-09-05].
- ^ 7.0 7.1 潘永忠谈中国的网络审查制度. 法國國際廣播電台(RFI). 2019-03-20 [2021-07-05]. (原始內容存檔於2020-02-26).
- ^ 两岸、新疆、六四⋯⋯被墙前,Clubhouse中文房间在聊哪些公共议题?. 端傳媒. 2021-02-09 [2021-06-02]. (原始內容存檔於2021-06-24).
- ^ 任琛. WhatsApp“被墙” 因为出事了?. 德國之聲. 2017-07-19 [2022-07-27]. (原始內容存檔於2022-06-29).
- ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亞洲電台. 2010-06-08 [2010-06-09]. (原始內容存檔於2010-09-28).
- ^ 11.0 11.1 11.2 11.3 Fang Yunyu. Great Firewall father speaks out. Global Times. 2011-02-18 [2021-08-10]. (原始內容存檔於2011-02-18) (英語).
Fang Yunyu. Great Firewall father speaks out. SINA English. 2011-02-18 [2011-03-03]. (原始內容存檔於2011-02-25) (英語).
Fang Yunyu. Great Firewall father speaks out. china.org.cn. 2011-02-18 [2021-10-08]. (原始內容存檔於2018-03-26) (英語). - ^ Geremie R. Barme; Ye, Sang. The Great Wall: a wonder and a curse!. chinaheritage.net. 2017-07-26 [2021-08-03]. (原始內容存檔於2021-02-26).
- ^ Geremie R. Barme; Ye, Sang. The Great Firewall of China. Wired. 1997-06-01 [2015-12-29]. (原始內容存檔於2016-01-01).
A computer engineer in his late 30s, Comrade X...is overseeing efforts to build a digital equivalent to China's Great Wall. Under construction since last year, what's officially known as the "firewall" is designed to keep Chinese cyberspace free of pollutants of all sorts
- ^ 14.0 14.1 14.2 全球網路自由聯盟. Internet Blocking Exposed (PDF). [2021-10-02]. (原始內容存檔 (PDF)於2020-09-19).
- ^ [TLS] Possible blocking of Encrypted SNI extension in China. mailarchive.ietf.org. [2022-08-16]. (原始內容存檔於2020-08-01).
- ^ 16.0 16.1 Kazuho, Oku,; Christopher, Wood,; Eric, Rescorla,; Nick, Sullivan,. Encrypted Server Name Indication for TLS 1.3. IETF. 2018-07-02 [2021-10-07]. (原始內容存檔於2018-08-13) (英語).
Although TLS 1.3 [I-D.ietf-tls-tls13] encrypts most of the handshake, including the server certificate, there are several other channels that allow an on-path attacker to determine the domain name the client is trying to connect to, including:…
Cleartext Server Name Indication (SNI) [RFC6066] in ClientHello messages. - ^ 揭示和规避中国对加密SNI(ESNI)的封锁. GFW Report. 2023-08-07 [2022-08-16]. (原始內容存檔於2021-12-04) (中文).
- ^ gfwrev. 深入理解GFW:内部结构. 2010-02-18 [2021-10-04]. (原始內容存檔於2022-07-20).
- ^ NP. Hoang; AA. Niaki; J. Dalek; J. Knockel; P. Lin; B. Marczak; M. Crete-Nishihata; P. Gill; M. Polychronakis. How Great is the Great Firewall? Measuring China's DNS Censorship. USENIX Association: 3381––3398. 2021. ISBN 978-1-939133-24-3.
|booktitle=
被忽略 (幫助) - ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始內容存檔於2020-10-23).
- ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始內容存檔於2019-05-20).
- ^ 中国DNS污染通过根服务器影响全世界. Solidot. 2010-03-26. (原始內容存檔於2011-05-16).
- ^ blackhat. 中国的DNS污染是互联网的真正威胁. Solidot. 2010-11-30. (原始內容存檔於2011-09-06).
當美國和智利的使用者試圖訪問流行社群網站如facebook.com、youtube.com和twitter.com等域名,他們的域名查詢請求轉交給中國控制的DNS根伺服器處理,由於這些網站在中國被封鎖,結果使用者收到了錯誤的DNS資訊。
- ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2021-08-19]. (原始內容存檔於2011-05-11).
- ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始內容存檔於2011-11-24).
- ^ 大陸網路遭駭百度也停擺. 中央社. 2014-01-22. (原始內容存檔於2014-01-22).
- ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始內容存檔於2014-01-27).
- ^ Steven Mufson; Jia Lynn Yang. China accuses hackers of Internet disruption; experts suspect error by government censors. 華盛頓郵報. 2014-01-22. (原始內容存檔於2016-04-01).
「The rule was supposed to be, 『Block everything going to this IP address,』」 said Nicholas Weaver, a researcher at the International Computer Science Institute, which is affiliated with the University of California at Berkeley. 「Instead, they screwed up and probably wrote the rule as 『Block everything by referring to this IP address.』」
- ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. (原始內容存檔於2014-01-23).
- ^ 木彬. 中国互联网突遭神秘攻击 IP指向美国翻墙公司. 環球時報. 2014-01-22 [2023-08-14].
- ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. Solidot. 2015-01-09 [2021-08-19]. (原始內容存檔於2015-04-03).
- ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. Solidot. 2015-01-23 [2021-08-19]. (原始內容存檔於2015-04-02).
- ^ 劉剛; 雲曉春; 方濱興; 胡銘曾. 一种基于路由扩散的大规模网络控管方法. 通信學報. 2003. ISSN 1000-436X. (原始內容存檔於2021-07-07).
- ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始內容存檔於2011-03-17).
- ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20 [2015-01-27]. (原始內容存檔於2015-10-04).(英文)
- ^ China Escalating Attack on Google. 紐約時報. 2014-06-02 [2021-10-08]. (原始內容存檔於2014-07-14) (英語).
- ^ 【翻牆問答】互聯網推新傳輸協議UDP 中國網民難受惠. Radio Free Asia. 2020-02-07 [2021-08-07]. (原始內容存檔於2022-06-22) (中文(香港)).
李建軍:由於中國的電信公司都是國有企業,他們一定會執行黨的政策,因此,他們必然會在UDP上動手腳。現時大部分中國電信公司的做法,都是在網路QoS(中文或者可以稱為服務品質控制)上作出調動,對UDP通訊包的流量和速度作出限制,那麼當你用以UDP為本的技術翻牆時,就會十分之慢,慢至一個不可忍受的程式,那很多人就會放棄使用這種方法。
- ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. 2007 [2021-10-26]. (原始內容存檔於2016-04-10).
- ^ Jong Chun Park; Jedidiah R. Crandall. Empirical Study of a National-Scale Distributed Intrusion Detection System: Backbone-Level Filtering of HTML Responses in China (PDF). 2010 IEEE 30th International Conference on Distributed Computing Systems. IEEE. 2010-06 [2021-10-02]. ISBN 978-1-4244-7262-8. doi:10.1109/ICDCS.2010.46. (原始內容存檔 (PDF)於2022-07-20) (美國英語).
We demonstrate that HTTP HTML response filtering was likely discontinued on many routes between August 2008 and January 2009, and that the apparent ineffectiveness of this form of filtering, which results from its distributed nature, was likely a cause for this.
- ^ Rescorla, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. 2018-08 [2021-10-08]. (原始內容存檔於2019-06-03) (英語).
All handshake messages after the ServerHello are now encrypted. The newly introduced EncryptedExtensions message allows various extensions previously sent in the clear in the ServerHello to also enjoy confidentiality protection.
- ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2021-10-08]. (原始內容存檔於2019-07-17) (美國英語).
All handshake messages after the ServerHello are now encrypted.
- ^ 陳少舉. 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始內容存檔於2013-01-28).
- ^ Outlook在中国遭中间人攻击. 泡泡網民報告. 2015-01-21 [2015-04-12]. (原始內容存檔於2020-11-24) (中文(簡體)).
- ^ Microsoft Says Outlook Hacked in China. 華爾街日報. 2015-01-21 [2021-10-09]. (原始內容存檔於2021-10-09) (英語).
Outlook users in China accessing their email through an email client saw a pop-up message saying 「Cannot Verify Server Identity」 and asking if they wanted to continue anyway
- ^ Outlook在中国遭中间人攻击. GreatFire. 2015-01-19 [2015-04-12]. (原始內容存檔於2015-04-12) (中文(簡體)).
這次駭客攻擊發生在Gmail被封鎖之後的一個月之內(Gmail到現在仍然處於完全無法使用狀態)。由於這次中間人攻擊與之前對Google、蘋果、雅虎等的攻擊存在諸多相似之處,Greatfire再次懷疑,中國國家互聯網信息辦公室精心策劃了這次襲擊,或者有意允許襲擊發生。
- ^ 国家网信办发言人:“Outlook受中国攻击”的说法纯属污蔑. 中國國家互聯網信息辦公室. 2015-01-22 [2015-04-12]. (原始內容存檔於2020-10-29) (中文(中國大陸)).
Greatfire.org是境外反華組織創辦的反華網站,長期對中國政府進行無端攻擊。此次炒作選在國家網信辦宣布依法關閉一批違法違規網站、欄目和微信公眾帳號之時,蓄意引發不滿情緒,污衊指責中國網路空間治理制度。
- ^ Cao Siqi. Foreign VPN service unavailable in China. Global Times. 2015-01-23 [2021-10-07]. (原始內容存檔於2022-06-22).
Astrill claimed in a Wednesday notice that since this year, VPN protocols used on iOS devices, including IPSec, L2TP/IPSec and PPTP, are not accessible in China in almost real-time.
- ^ Mingshi Wu; Jackson Sippe; Danesh Sivakumar; Jack Burg; Peter Anderson; Xiaokang Wang; Kevin Bock; Amir Houmansadr; Dave Levin; Eric Wustrow. 中国的防火长城是如何检测和封锁完全加密流量的. USENIX Security Symposium 2023. 2023-04-28 [2023-04-28]. (原始內容存檔於2023-04-28).
- ^ 防火长城实时主动探测Tor网桥. Solidot. 2015-09-16 [2022-01-04]. (原始內容存檔於2015-09-17).
- ^ twilde. Knock Knock Knockin' on Bridges' Doors. Tor Blog. 2012-01-07 [2012-01-10]. (原始內容存檔於2012-01-13).
First, "garbage binary" probes, containing nothing more than arbitrary (but sometimes repeated in later probes) binary data, were experienced by the non-China side of any connection that originated from China to TCP port 443 (HTTPS) in which an SSL negotiation was performed. This probe was performed in near-real-time after the connection was established,
…
The second type of probe, on the other hand, is aimed quite directly at Tor. When a Tor client within China connected to a US-based bridge relay, we consistently found that at the next round 15 minute interval (HH:00, HH:15, HH:30, HH:45), the bridge relay would receive a probe from hosts within China that not only established a TCP connection, but performed an SSL negotiation, an SSL renegotiation, and then spoke the Tor protocol sufficiently to build a one-hop circuit and send a BEGIN_DIR cell. - ^ Greenberg, AndyZ. China's Great Firewall Tests Mysterious Scans On Encrypted Connections. 富比士. 2011-11-17 [2011-11-17]. (原始內容存檔於2011-11-18).
- ^ Alice; Bob; Carol; Jan Beznazwy; Amir Houmansadr. How China Detects and Blocks Shadowsocks (PDF). ACM Internet Measurement Conference (IMC 』20). 2020-10-27 [2021-10-07]. doi:10.1145/3419394.3423644. (原始內容存檔 (PDF)於2022-05-31).
- ^ Anonymous, Anonymous, Anonymous, David Fifield, Amir Houmansadr. Shadowsocks 是如何被检测和封锁的. GFW Report. 2019-12-29 [2021-10-14]. (原始內容存檔於2021-10-08).
- ^ 54.0 54.1 Roya Ensafi; David Fifield; Philipp Winter; Nick Feamster; Nicholas Weaver; Vern Paxson. Examining How the Great Firewall Discovers Hidden Circumvention Servers. Internet Measurement Conference 2015. 東京. 2016-12-01. doi:10.1145/2815675.2815690 (英語).
- ^ 中国网警“修理”翻墙网民中科院也被牵连. 法國國際廣播電台. 2011-05-18 [2011-05-18]. (原始內容存檔於2011-05-21).
- ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. 自由亞洲電台. 2011-05-12 [2011-05-18]. (原始內容存檔於2011-05-14).
- ^ Theories abound for overseas web access troubles. Global Times. 2011-05-18 [2011-05-19]. (原始內容存檔於2011-05-21).
Fang Binxing, president of Beijing University of Posts and Telecommunications, attributed the interruptions to Internet service providers' economic concerns.
"Service providers have to pay the bill of the international Internet flow for their users. So there is incentive for the companies to discourage users to visit foreign websites," he said.
…
An anonymous official with the Ministry of Industry and Information Technology declined to explain why foreign websites were frequently inaccessible a telephone interview with the Global Times, and instead urged users to "check their own technology problems and with the websites' servers on the first place." - ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2021-08-19]. (原始內容存檔於2011-05-20).
- ^ 秦兝. 详述GFW对SMTP协议的三种封锁手法. fqrouter.tumblr.com. 2015 [2022-07-27]. (原始內容存檔於2022-07-20).
- ^ 劉宏光. 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因. ChinaUnix.net. 2006-09-26. (原始內容存檔於2010-01-02).
- ^ Gmail blocked in China. 路透社. 2014-12-29 [2014-12-29]. (原始內容存檔於2019-07-13).
- ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好?. scholarsupdate.hi2net.com. [2015-09-15]. (原始內容存檔於2015-12-30).
- ^ Gmail中国内地服务得以部分恢复. 金融時報 (英國). 2014-12-31 [2021-10-03]. (原始內容存檔於2015-09-23).
- ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25]. (原始內容存檔於2011-05-15) (中文(繁體)).
- ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始內容存檔於2013-07-21) (中文(中國大陸)).
- ^ documentary《The Tank Man》
- ^ Sarah Lai Stirland. Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers. 2008-05-20 [2009-06-27]. (原始內容存檔於2009-06-26).
- ^ Earnhardt, John. Cisco Testimony Before House International Relations Subcommittee. Cisco Systems, Inc. 2006-02-16 [2007-01-25]. (原始內容存檔於2013-06-02).
- ^ 陶文冬 (編). 奇虎360成功加入GFW防火长城 为国家安全保驾护航. 環球時報. 2012-07-02 [2021-08-31]. (原始內容存檔於2022-04-07).
- ^ 百度日本站被GFW屏蔽 疑与色情内容有关. 人民網. [2008-09-09]. (原始內容存檔於2007-04-18).
- ^ 外交部就"北方四岛"、中国互联网发展等答记者问. 2011-02-17 [2021-05-26]. (原始內容存檔於2011-03-02).
- ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13], (原始內容存檔 (PDF)於2007-10-26)
- ^ 那些和「防火長城」一起長大的中國年輕人. 紐約時報中文網. 2018-08-07 [2018-08-30]. (原始內容存檔於2018-08-30) (中文).
經過18個月的調查研究後,北京大學和史丹佛大學兩名經濟學家今年得出了結論,中國大學生對於取得未經審查的政治敏感資訊漠不關心。他們給北京兩所大學的近1000名學生提供了能夠繞過審查的免費工具,但發現近半數學生並沒有使用它。在那些使用了的學生中,幾乎沒人花時間瀏覽遭到封鎖的外國新聞網站。
來源[編輯]
- 網頁
- KLZ畢業. 入侵防御系统的评测和问题. chinagfw.org. 2009-08-24. (原始內容存檔於2013-05-03).
- 阅后即焚:“GFW”. 自曲新聞. (原始內容存檔於2010-05-07).
外部連結[編輯]
![]() |
維基新聞專題報導:防火長城 |
![]() |
維基共享資源中相關的多媒體資源:防火長城 |
![]() |
英語維基語錄上的相關摘錄:防火長城 |
![]() |
維基教科書中的相關電子教學:防火長城 |
![]() |
維基學院中的相關研究或學習資源:防火長城 |
|
|