本頁使用了標題或全文手工轉換

防火長城

維基百科,自由的百科全書
前往: 導覽搜尋
Confusion grey.svg
提示:本條目的主題不是金盾工程
National Emblem of the People's Republic of China.svg
中華人民共和國政府與政治
系列條目

防火長城英語:Great Firewall (of China),常用簡稱:GFW,中文也稱中國國家防火牆[1],中國大陸民眾俗稱防火牆[2]等),是對中華人民共和國政府在其網際網路邊界審查系統(包括相關行政審查系統)的統稱。此系統起步於1998年[3],其英文名稱得自於2002年5月17日Charles R. Smith所寫的一篇關於中國網路審查的文章《The Great Firewall of China[4],取與Great Wall長城)相諧的效果,簡寫為Great Firewall,縮寫GFW[5]。隨著使用的拓廣,中文「牆」和英文「GFW」有時也被用作動詞,網友所說的「被牆」即指被防火長城所遮蔽,「翻牆」也被引申為瀏覽境外網站的行為。

簡介[編輯]

被認為是防火長城主要設計者的方濱興

一般情況下,防火長城主要指中國政府監控和過濾網際網路國際出口上內容的軟硬體系統的集合。例如監視系統就曾與美商合作,構建類似美國的稜鏡計劃的深度偵查機制,但中國政府並進一步設定將查獲的特定網點阻斷等,造成大家所熟知的連線錯誤現象,因此防火牆不是中國特有的一個專門單位,是由分散部門的各伺服器和路由器等裝置,加上相關公司的應用程式所構成,是一個跨軍民合作的大型資訊管制系統,實際上就如大多數國家也會建立網路監管一樣。不過其他政府的管理僅止於金融洗錢、國際詐騙等犯罪行為,與中國的審查機制有著相當大的不同。防火長城的作用主要是監控國際閘道器上的通訊,對認為不符合中共官方要求的傳輸內容,進行干擾、阻斷、遮蔽。由於中國網路審查廣泛,中國國內含有「不合適」內容的網站,會受到政府直接的行政干預,被要求自我審查、自我監管,乃至關閉,故防火長城主要作用在於分析和過濾中國境外網路的資訊互相存取。中國工程院院士、北京郵電大學前校長方濱興是防火長城關鍵部分的首要設計師[1][3][6][7]

然而,防火長城對網路內容的審查是否限制和違反了言論自由,一直是受爭議的話題,官方說詞也相當籠統。有報告認為,防火長城其實是一種圓形監獄式的全面監控,以達到自我審查的目的[8],因為網路的分散式架構,完全封鎖言論是不可能的,事實也證明,任何人在中國大陸地區都能夠在低調的情況下發表敏感言論,但是對於封鎖的恐懼,許多人不希望發出的訊息會被遮蔽而選擇中性的講法或不說出來,例如一套偵測中國官方部屬的DNS汙染伺服器工具在GitHub(世界最大的開源代碼託管服務)上開源發布後,引起了激烈的爭論。一些人認爲,此舉會激怒「牆」的管理者,導致GitHub被封鎖,影響牆內程式員學習交流,所以應該刪除這樣的代碼倉庫,「保持技術社群的純粹」。另一些人,則認爲翻牆是程式員的基本技能,表示不受影響,所以力挺該項目,並極力反對技術社群加入「自我審查」的行列。[9]而中共當局一直沒有正式對外承認防火長城的存在,如當有記者在外交部新聞發布會上問及網際網路封鎖等問題的時候,發言人的答案基本都是「中國政府鼓勵和支持互聯網發展,依法保障公民言論自由,包括網上言論自由。同時,中國對互聯網依法進行管理,這符合國際慣例。」方濱興曾在訪問中被問及防火長城是如何運作的時候,他指這是「國家機密」。不過2015年1月與官方有密切關聯的《環球時報》則發布報導曾公開宣揚其存在。[10]可以發現到官方對牆的理解隨時間發展也不斷改變,從最初資訊的遮蔽與阻止流通用途,進一步到不僅止於過濾政府認為不滿意的各種內容,更到了以發展中國網際網路經濟為名,企圖透過封閉隔絕將網路國界化,視外資為經濟滲透、干涉內政,這些牆存在意義的輿論宣傳,逐步強化了設牆政策的合理性與正當性,但時至今日中國仍一直宣稱是「依法管理以保障網路主權」,如從官方媒體公開發布的報導里就曾涉及防火長城的監控,從側面證明其的確存在[11][12]

中國還有一套公開在公安部轄下的網路安全專案——金盾工程,其主要功能是處理中國公安管理的業務,涉外飯店管理,出入境管理,治安管理等,所以金盾工程和防火長城的關係一直沒有明確的認定。

主要技術[編輯]

封鎖[編輯]

域名解析服務快取污染[編輯]

原理:防火長城對所有經過骨幹出口路由的在UDP的53埠上的域名查詢進行IDS入侵檢測,一經發現與黑名單關鍵詞相符合的域名查詢請求,防火長城會馬上偽裝成目標域名的解析伺服器給查詢者返回虛假結果。由於通常的域名查詢沒有任何認證機制,而且域名查詢通常基於的UDP協議是無連線不可靠的協定,查詢者只能接受最先到達的格式正確結果,並丟棄之後的結果。用戶若改用TCP在53埠上進行DNS查詢,雖然不會被防火長城污染,但可能會遭遇連線重設,導致無法獲得目標網站的IP位址。

IPv6協定時代部署應用的DNSSEC技術為DNS解析服務提供了解析資料驗證機制,可以有效抵禦劫持。

全球一共有13組根域名伺服器(Root Server),2010年中國大陸有F、I、J這3個根域DNS鏡像[13],但曾因為多次DNS污染外國網路,威脅網際網路安全和自由,北京的I根域伺服器被斷開與網際網路的連線。[14][15]目前已取消復原服務。[16]

  • 從2002年左右開始,中國大陸的網路安全單位開始採用域名伺服器快取污染技術,使用思科提供的路由器IDS監測系統來進行域名劫持[來源請求],防止了一般民眾存取被過濾的網站。對於含有多個IP位址或經常變更IP位址逃避封鎖的域名,防火長城通常會使用此方法進行封鎖,具體方法是當用戶從境內向境內DNS伺服器提交域名請求時,DNS伺服器要查詢根域名伺服器,此過程會受防火長城污染。而用戶不做任何保護措施直接查詢境外DNS時,會受防火長城污染。
  • 當用戶從境外查詢境內伺服器(不一定是有效DNS伺服器),結果也會被污染。
  • 2010年3月,當美國和智利的用戶試圖存取熱門社群網站如facebook.com和youtube.com還有twitter.com等域名,他們的域名查詢請求轉交給中國控制的DNS根鏡像伺服器處理,由於這些網站在中國被封鎖,結果用戶收到了錯誤的DNS解析資訊,這意味著防火長城的DNS污染已影響網際網路。[17]
  • 2012年11月9日下午3點半開始,防火長城對Google的泛域名*.google.com進行了大規模的污染,所有以.google.com結尾的域名均遭到污染而解析錯誤不能正常存取,其中甚至包括不存在的域名,而Google為各國客製的域名也遭到不同程度的污染(因為Google通過使用CNAME記錄來平衡存取的流量,CNAME記錄大多亦為.google.com結尾),但Google擁有的其它域名如.googleusercontent.com等則不受影響。有網友推測Google被大規模阻礙連線是因為中共正在召開的十八大[19]
  • 2014年1月21日下午三點半,中國網站的.com域名解析不正常,網站被錯誤地解析至65.49.2.178,該IP位於美國北卡羅來納州的Dynamic Internet Technology,即自由門的開發公司。據推測,可能是操作失誤造成的事故。[20][21]
  • 2015年1月2日起,污染方式升級,不再是解析到固定的無效IP,而是隨機地指向境外的有效IP。剛開始只是對YouTube影片域名(*.googlevideo.com)進行處理,之後逐漸擴大到大多數被污染的域名。[22]這導致了境外伺服器遭受來自中國的DDoS攻擊,部分網站因此遮蔽中國IP。[23]

針對境外的IP位址封鎖[編輯]

原理:相比起之前使用的存取控制列表(ACL)技術,現在防火長城採用了效率更高的路由擴散技術封鎖特定IP位址。正常的情況下,靜態路由是由管理員根據網路拓撲或是基於其它目的而提供的一條路由,所以這條路由最起碼是要正確的,這樣可以啟動路由器把封包轉發到正確的目的地。而防火長城的路由擴散技術中使用的靜態路由其實是一條錯誤的路由,而且是有意配置錯誤的,其目的就是為了把本來是發往某個IP位址的封包統統啟動到一個「黑洞伺服器」上,而不是把它們轉發到正確目的地。這個黑洞伺服器上可以什麼也不做,這樣封包就被無聲無息地丟掉了。更多地,可以在伺服器上對這些封包進行分析和統計,取得更多的資訊,甚至可以做一個虛假的回應。這些錯誤靜態路由資訊會把相應的IP封包啟動到黑洞伺服器上,通過動態路由協定路由重分發功能,這些錯誤的路由資訊可以發布到整個網路。這樣對於路由器來講現在只是在根據這條路由條目做一個常規封包轉發動作,無需再進行ACL符合,與以前的老方法相比,大大提高了封包的轉發效率。

一般情況下,防火長城對於中國大陸境外的「非法」網站會採取獨立IP封鎖技術,然而部分「非法」網站使用的是由虛擬主機服務供應商提供的多域名、單(同)IP的主機代管服務,這就會造成了封禁某個IP位址,就會造成所有使用該服務供應商服務的其他使用相同IP位址伺服器的網站用戶一同遭殃,就算是「內容健康、政治無關」的網站,也不能倖免。其中的內容可能並無不當之處,但也不能在中國大陸正常存取。

  • 20世紀90年代初期,中國大陸只有教育網中國科學院高能物理研究所(高能所)和公用資料網3個國家級閘道器出口,中國政府對認為違反中國國家法律法規的站點進行IP位址封鎖。在當時這的確是一種有效的封鎖技術,但是只要找到一個普通的伺服器位於境外的代理然後通過它就可以繞過這種封鎖,所以現在網路安全部門通常會將包含「不良資訊」的網站或網頁的URL加入關鍵字過濾系統,並可以防止民眾透過普通海外HTTP代理伺服器進行存取。

IP位址特定封鎖[編輯]

原理:防火長城配合上文中特定IP位址封鎖裡路由擴散技術封鎖的方法進一步精確到埠,從而使發往特定IP位址上特定埠的封包全部被丟棄而達到封鎖目的,使該IP位址上伺服器的部分功能無法在中國大陸境內正常使用。

經常會被防火長城封鎖的埠:

  • SSH的TCP協定22埠
  • HTTP的80埠
  • PPTP類型VPN使用的TCP協定1723埠,L2TP類型VPN使用的UDP協定1701埠,IPSec類型VPN使用的UDP協定500埠和4500埠,OpenVPN預設使用的TCP協定和UDP協定的1194埠
  • TLS/SSL/HTTPS的TCP協定443埠
  • Squid Cache的TCP協定3128埠

中國移動中國聯通等部分ISP的手機IP段,所有的PPTP類型的VPN都遭到封鎖。

2011年3月起,長城防火牆開始對Google部分伺服器的IP位址實施自動封鎖(按時間段)某些埠,按時段對www.google.com(用戶登入所有Google服務時需此域名加密驗證)和mail.google.com的幾十個IP位址的443埠實施自動封鎖,具體是每10或15分鐘可以連通,接著斷開,10或15分鐘後再連通,再斷開,如此迴圈,使中國大陸用戶和Google主機之間的連線出現間歇性中斷,使其各項加密服務出現問題。[24]Google指中國這樣的封鎖手法高明,因為Gmail並非被完全阻斷,營造出Google服務「不穩定」的假象,表面上看起來好像出自Google本身。[25][26]

2014年5月27日起,幾乎所有Google服務的80和443埠被封鎖。[27]2014年12月26日起,Google數段IP被路由擴散封鎖,直接導致GMAIL客戶端所用的IMAP/SMTP/POP3埠也被封鎖。[28][29]

無狀態TCP協定連線重設[編輯]

原理:防火長城會監控特定IP位址的所有封包,若發現符合的黑名單動作(例如TLS加密連線的握手),其會直接在TCP連線握手的第二步即SYN-ACK之後偽裝成對方向連線兩端的電腦傳送RST封包(RESET)重設連線,使用戶無法正常連線至伺服器。

這種方法和特定IP位址埠封鎖時直接丟棄封包不一樣,因為是直接切斷雙方連線因此封鎖成本很低,故對於Google的多項(強制)加密服務例如Google文件Google線上論壇Google+Google個人資料等的TLS加密連線都是採取這種方法予以封鎖。

從2015年初開始,RST重設已被實時動態黑洞路由取代。[30]

對加密連線的干擾[編輯]

  • 在連線握手時,因為身分認證憑證資訊(即伺服器的公鑰)是明文傳輸的,防火長城會阻斷特定憑證的加密連線,方法和無狀態TCP連線重設一樣,都是先發現符合的黑名單憑證,之後通過偽裝成對方向連線兩端的電腦傳送RST封包(RESET)干擾兩者間正常的TCP連線,進而打斷與特定IP位址之間的TLS加密連線(HTTPS的443埠)握手,或者乾脆直接將握手的封包丟棄導致握手失敗,進而導致TLS連線失敗。但由於TLS加密技術本身的特點,這並不意味著與網站傳輸的內容可被破譯。[31]
  • Tor專案的研究人員則發現防火長城會對各種基於TLS加密技術的連線進行刺探[32],刺探的類型有兩種:
    • 「垃圾二進位探針」,即用隨機的二進位資料刺探加密連線,任何從中國大陸境內存取境外的443埠的連線都會在幾乎實時的情況下被刺探[33],目的是在用戶建立加密連線前嗅探出他們可能所使用的反審查工具,暗示近線路速率深度包檢測技術讓防火長城具備了過濾埠的能力。
    • 針對Tor,當中國的一個Tor用戶端與境外的網橋中繼建立連線時,探針會以15分鐘周期嘗試與Tor進行SSL協商和重協商,但目的不是建立TCP連線。
  • 切斷OpenVPN的連線,防火長城會針對OpenVPN伺服器回送憑證完成握手建立有效加密連線時干擾連線,在使用TCP協定模式時握手會被連線重設,而使用UDP協定時含有伺服器認證憑證的封包會被故意丟棄,使OpenVPN無法建立有效加密連線而連線失敗。

TCP協定關鍵字阻斷[編輯]

Firefox的「連線被重設」錯誤訊息。當碰觸到GFW設定的關鍵詞後(如使用Google等境外搜尋引擎),即可能馬上出現這種畫面。

TCP重設是TCP協定的一種訊息,用於重設連線。一般來說,例如伺服器端在沒有用戶端請求的埠或者其它連線資訊不符時,系統的TCP協定堆疊就會給用戶端回覆一個RESET通知訊息,可見RESET功能本來用於應對例如伺服器意外重新開機等情況。

防火長城切斷TCP連線的技術實際上就是傳送連線重設訊息。對於防火長城而言,傳送連線重設封包比直接將封包丟棄要好,因為如果是直接丟棄封包的話用戶端並不知道具體網路狀況,基於TCP協定的重發和逾時機制,用戶端就會不停地等待和重發,加重防火長城審查的負擔,但當用戶端收到RESET訊息時就可以知道網路被斷開不會再等待了。而實際上防火長城通過將TCP連線時伺服器發回的SYN/ACK封包中伺服器向用戶傳送的序列號改為0從而使用戶端受騙認為伺服器重設了連線而主動放棄向伺服器傳送請求,故這種封鎖方式不會耗費太多防火長城的資源而效果很好,成本也相當的低。

有關技術已被申請為發明專利。

本發明提供了一種阻斷TCP連線的方法和裝置;方法包括:儲存各TCP連線的連線資訊;所述TCP連線的連線資訊包括該TCP協定連線的:用戶端資訊、伺服端資訊、請求方向TCP等待序列號和應答方向TCP等待序列號;抓取TCP封包,找到該TCP封包所屬TCP連線的連線資訊,根據所抓取的TCP封包更新該連線資訊中的請求方向TCP等待序列號和應答方向TCP等待序列號;如果所抓取的TCP封包為需要阻斷的TCP封包,則根據更新後的、該TCP封包所屬TCP連線的連線資訊生成RST封包,並行送給該TCP連線的用戶端和伺服端。本發明可以進行準確而持續的阻斷,從而能在大流量環境下的高效阻斷非法TCP連線。[34]

外部視訊連結
Observations in mainland China (Chinese)YouTube
2012年穀歌搜尋中國大陸之體驗(中文版)優酷網
  • 針對HTTP協定的關鍵字阻斷
    • 2002年左右開始,中國大陸研發了一套關鍵字過濾系統。這個系統能夠從出口閘道器收集分析資訊,過濾、嗅探指定的關鍵字。普通的關鍵詞如果出現在HTTP請求封包的頭部(如「Host: www.youtube.com」)時,則會馬上偽裝成對方向連線兩端的電腦傳送RST封包(Reset)干擾兩者間正常的TCP連線,進而使請求的內容無法繼續檢視。如果防火長城在資料流中發現了特殊的內文關鍵詞(如「falun」等)時,其也會試圖打斷目前的連線,從而有時會出現網頁開啟一部分後突然停止的情況。在任何阻斷發生後,一般在隨後的90秒內同一IP位址均無法瀏覽對應IP位址相同埠上的內容。
    • 2010年3月23日,Google宣布關閉中國伺服器(Google.cn)的網頁搜尋服務,改由Google香港域名Google.com.hk提供後,由於其伺服器位於大陸境外必須經過防火長城,所以防火長城對其進行了極其嚴格的關鍵詞審查。一些常見的中共高官的姓氏,如「胡」、「吴」、「温」、「贾」、「李」、「习」、「贺」、「周」、「毛」、「江」、「令」,及常見姓氏「王」、「刘」、「彭」等簡體中文單字,當局實行一刀切政策全部封鎖,即「学习」、「溫泉」、「李白」、「圓周率」也無法搜尋,使Google在中國大陸境內頻繁出現無法存取或搜尋中斷的問題。2011年4月,防火長城開始逐步干擾Google.com.hk的搜尋服務。2012年10月下旬起,防火長城使用更巧妙方式干擾Google搜尋,部分用戶在點擊搜尋結果連結跳轉時一直被卡住,一直卡了6分鐘之後用戶端傳送RST重設,然後頁面一片空白。原因是連結跳轉使用的是HTTP,用HTTPS跳轉無影響。[35]
    • 這種阻斷可以雙向工作。在中華人民共和國境外存取位於境內的網站時,如果在封包頭部出現部分關鍵字,連線也可能會被阻斷。兩者的關鍵詞列表並不完全相同,比如在境外使用s.weibo.com搜尋「法輪功」連線會被阻斷,並且90秒無法存取,搜尋「六四」則不會,在中華人民共和國境內存取境外網站時兩者都會被阻斷。
    • 由於HTTPS採取加密傳輸,關鍵詞阻斷無法對網頁傳輸造成影響。但由於身分認證憑證資訊是明文傳輸,因此阻斷仍然是有可能的。
  • 干擾eD2k協定的連線
    • 從2011年開始,防火長城開始對所有境外eD2k伺服器進行審查:當境內用戶使用eD2k協定例如eMule使用模糊協定連線境外伺服器時會被無條件阻斷,迫使eMule使用普通方式連線境外伺服器;同時防火長城對所有普通eD2k連線進行關鍵字審查,若發現傳輸內容含有關鍵字,則馬上切斷用戶與境外伺服器的連線,此舉阻止了用戶取得來源和散布共享檔案資訊,嚴重阻礙使用eD2k協定軟體的正常工作。[36][37]

破網軟體的反制[編輯]

因為防火長城的存在,大量境外網站無法在中國大陸境內正常存取,於是大陸網友開始逐步使用各類破網軟體突破防火長城的封鎖。針對網上各類突破防火長城的破網軟體,防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。通常的做法是利用上文介紹的各種封鎖技術以各種途徑打擊破網軟體,最大限度限制破網軟體的穿透和傳播。

同時根據中國大陸網友反映,防火長城現已有能力對基於PPTPL2TP協定的VPN連線進行監控和封鎖,這使得大陸網友突破防火長城的封鎖變得更加困難。2015年1月起,部分國外VPN服務在中國大陸無法正常使用,這些VPN使用的是IPSecL2TP/IPSecPPTP協定。[38]

而每年每到特定的關鍵時間點(敏感時期)防火長城均會加大網路審查和封鎖的強度,部分破網軟體就可能因此無法正常連線或連線異常緩慢,甚至中國境內和境外的正常網路連線也會受到干擾:

間歇性完全封鎖[編輯]

間歇性封鎖國際出口[編輯]

從2011年5月6日起,中國大陸境內很多網際網路公司以及高校、學院、科研單位的對外網路連線都出現問題,包括中國科學院。有分析指斷網可能是因為防火長城已經具有了探測和分析大量加密流量並對用戶IP位址執行封鎖的能力,而各大機構的出口被封也在其中。具體表現為:當用戶使用了破網(翻牆)軟體後,其所在的公共網路IP位址會被臨時封鎖,所有的國際網站都無法存取,包括MSNiTunes Store等,而存取國內網站卻正常,但如果使用境外的DNS解析域名則將會由於DNS伺服器被封鎖導致無法解析任何域名,國內網站也會無法開啟[39]。也有分析指,此舉是中國當局在測試逐步切斷大部分人存取國際網站的措施,以試探用戶反應並最終達到推行網路「白名單」制,也就是凡沒有在名單上的企業或團體其網路域名將不能解析,一般用戶也無法存取[40]。而中共黨機關報《人民日報》旗下的《環球時報》英文版則引述方濱興指,一些ISP必須為自己的用戶支付國際流量費用,因此這些公司「有動機」去阻礙用戶存取國外網站。一位工信部官員說,用戶碰到這些情況應先檢查自己和網站的技術問題。[41][42]

境內骨幹路由器間歇性阻斷[編輯]

2012年10月下旬,Google位於北京的伺服器被國家級骨幹路由器長時間干擾連線,包括中國大陸境內用戶在內存取時返回「連線逾時」錯誤,造成大量基於Hosts技術利用Google北京伺服器作為反向代理存取Google服務的用戶和軟體無法正常使用,例如GoAgent。測試指出封包經過部分國家級骨幹路由器時被選擇性丟棄,造成與伺服器連線的丟包率飆升,甚至有部分用戶反映被完全阻斷與伺服器之間的連線。

深度包檢測[編輯]

深度封包檢測(Deep packet inspection,DPI)是一種於應用層對網路上傳遞的資料進行偵測與處理的技術,被廣泛用於入侵檢測、流量分析及資料挖掘。就字面意思考慮,所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文檢測,DPI可對報文內容和協定特徵進行檢測。

在中國大陸,DPI一度被ISP用於追蹤用戶行為以改善其廣告推播業務的精準性,而最近則被國外視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一[43]。基於必要的硬體設施、適宜的檢測模型及相應的模式符合演算法,防火長城能夠精確且快速地從實時網路環境中判別出有悖於預期標準的可疑流量,並對此及時作出審查者所期望的應對措施。

華為公司曾被媒體指責涉及向伊朗政府提供DPI所依賴的硬體支援以幫助後者開展網路審查工作[44]

針對IPv6協定的審查[編輯]

IPv6(網際網路通訊協定第6版)是被指定為IPv4繼任者的下一代網際網路協定版本。在IPv4網路,當時的網路設計者認為在網路協定堆疊的底層並不重要,安全性的責任在應用層。但是即使應用層資料本身是加密的,攜帶它的IP資料仍會泄漏給其他參與處理的行程和系統,造成IP封包容易受到諸如資訊包探測(如防火長城的關鍵字阻斷)、IP欺騙、連線截獲等手段的連線劫持攻擊。

  • 雖然用於網路層加密與認證的IPsec協定可以應用於IPv4中,以保護IPv4網路層資料的安全,但IPsec只是作為IPv4的一個可選項,沒有任何強制性措施用以保證IPsec在IPv4中的實施。因為防火長城是掛載在國家級骨幹路由器的旁路裝置,而網路資料傳輸必須知道封包來源地與封包的目的地才能完成路由轉發,故在IPv4協定時代實施的針對IP位址封鎖技術和特定IP位址埠封鎖技術依然對IPv6有效。
  • 現階段防火長城已經具備干擾IPv6隧道的能力[45],因為IPv6隧道在用戶到遠端IPv6伺服器之間的隧道是建立在IPv4協定上的,因為資料傳輸分片的問題或者端點未進行IPSec保護的時候很有可能暴露自己正在傳輸的資料,讓防火長城有可乘之機干擾切斷連線。
  • 方濱興在他的演講《五個層面解讀國家信息安全保障體系》中說:「比如說Web 2.0概念出現後,甚至包括病毒等等這些問題就比較容易擴散,再比如說IPv6出來之後,入侵檢測就沒有意義了,因為協定都看不懂還檢測什麼。」[46]
  • 自2014年8月28日起,原先可以通過IPv6直連Google的中國教育網(CERNET)內試圖通過https連線*.google.com.*等網頁時,可能收到SSL憑證錯誤的提示,其中以連線https://www.google.com.hk/幾乎是每次連線均收到攻擊,而其它連線例如https://ipv6.google.com/和https://accounts.google.com/也有受到攻擊的報告,但攻擊發生的機率相對較低。偽造的SSL憑證顯示其為google.com,頒發機構即為其本身,與真正的google憑證不同,顯示Google在中國教育網上受到中間人攻擊(MITM attack)。[47][48]

電子郵件通訊的攔截[編輯]

正常情況下,郵件伺服器之間傳輸郵件或者資料不會進行加密,故防火長城能輕易過濾進出境內外的大部分郵件,當發現關鍵字後會通過偽造RST封包阻斷連線。而因為這通常都發生在資料傳輸中間,所以會干擾到內容。也有網友根據防火長城會過濾進出境郵件的特性,尋找到防火長城部署的位置。[49]

2007年7月17日,大量使用中國國內郵件服務商的用戶與國外通訊出現了退信、丟信等普遍現象[50],症狀為:

  • 中國國內信箱給國外域發信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 中國國內信箱用戶給國外域發信,對方收到郵件時內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。
  • 中國國內信箱給國外域發信收到退信,退信提示「Connected to *.*.*.* but connection died.(#4.4.2)」
  • 國外域給中國國內信箱發信時收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 國外域給中國國內信箱發信後,中國國內信箱用戶收到的郵件內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

對此,新浪的解釋是「近期網際網路國際線路出口不穩定,國內多數大型郵件服務供應商均受到影響,在此期間您與國外域名通訊可能會出現退信、丟信等現象。為此,新浪VIP信箱正在採取措施,力爭儘快妥善解決該問題。」而萬網客戶服務中心的解釋是「關於近期國內網際網路國際出口存在未知的技術問題導致國內用戶與國外通訊可能會出現退信、丟信等普遍現象,萬網公司高度重視,一直積極和國家相關機構匯報溝通,並組織了精良的技術力量努力尋找解決方案。」[51]

2014年12月26日,有很多中國大陸網友反映說一度無法通過用戶端登入到Gmail。在此之前,國內一些用戶可以通過IMAP、SMTP和POP3接收、下載郵件;據路透社報導Google旗下的Gmail業務已經被當局封鎖。[52]12月30日,Gmail已在中國大陸境內取消復原部分功能。[53][54]但Gmail網頁版仍被遮蔽。

網路攻擊[編輯]

大炮英語:Great Cannon)是中華人民共和國網路攻擊工具的名稱,藉由攔截大量網路流量,對特定目標網站發動分散式阻斷服務攻擊(DDoS)。[55][56][57]從2015年3月26日至31日的對GitHub發起旁觀者攻擊英語:Man-on-the-side attack)可認為是大炮的第一次重要應用。

第三方研究者指出,此次攻擊採用了HTTP劫持,百度JS指令碼檔案中間人植入了攻擊GitHub的代碼,其功能是每隔2秒載入一次GreatFire紐約時報中文網的帳號首頁。[58]百度已否認自身產品存在安全問題。[59]。這次攻擊導致GitHub在全球範圍內的存取速度下降。[60]外界普遍相信這是中國政府所為,但中國政府予以否認。[61] [62] 3月28日(UTC+8)起,GitHub在中國大陸十分不穩定,多數情況下無法存取。[63]截止29日,攻擊者共使用了四種DDoS攻擊技術:

  1. 第一輪,利用中國大陸以外的網友與翻牆的網友瀏覽被劫持的百度JavaScript檔案,該檔案每2秒向GitHub上的兩個頁面發出請求,被GitHub的彈窗警告攔住;
  2. 第二輪,跨網域<img>攻擊,被GitHub檢查Referer攔住;
  3. 第三輪,DDoS攻擊GitHub Pages
  4. 第四輪,SYN flood,利用TCP協定缺陷傳送大批偽造的TCP連線請求,耗盡GitHub的資源。[64]
使用Traceroute追蹤TTL來證明中國政府對GitHub發動攻擊

根據系統狀態訊息頁面的顯示,已於3月31日停止了網路攻擊,該日凌晨0:09(UTC)已經穩定。GitHub在其Twitter與微博予以了證實。至此,此網路攻擊共持續了五天。

硬體[編輯]

典型意義下GFW的線路拓撲

據估計,防火長城可能擁有數百台曙光4000L伺服器[65]

  • 防火長城(北京)使用曙光4000L機群,作業系統為Red Hat系列(從7.2到7.3到AS 4),周邊軟體見曙光4000L一般配置
  • 防火長城實驗室(哈爾濱工業大學)使用曙光伺服器,Red Hat作業系統
  • 防火長城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求來源、研究發起者、客戶、股東、共同開發者。2007年防火長城集群規模進一步擴大,北京增至360節點,上海增至128節點,哈爾濱增至64節點,共計552節點。機群間星型千兆互聯。計劃節點數上千。
  • 有理由相信防火長城(北京)擁有16套曙光4000L,每套384節點,其中24個服務和資料庫節點,360個計算節點。每套價格約兩千萬到三千萬,占005工程經費的主要部分。有3套(將)用於虛擬計算環境實驗床,計千餘節點。13套用於骨幹網路過濾。總計6144節點,12288CPU,12288GB記憶體,峰值計算速度48萬億次[來源請求]
  • 2 GHz CPU的主機Linux作業系統下可達到600Kbps以上的捕包率。通過骨幹網實驗,配置16個資料流匯流排即可以線速處理八路OC48(一路OC48約2.5Gbps)介面網路資料。曙光4000L單結點的接入能力為每秒65萬封包,整個系統能夠滿足32Gbps的實時資料流的並行接入要求。有理由相信GFW的總吞吐量為512Gbps甚至更高(北京)。

網站轉移[編輯]

會被過濾的網站[編輯]

所有境外的網站都會受到關鍵詞過濾的影響,故可能會出現暫時無法存取的情況。以下這些類型的網站被封鎖的主要原因是因為其網站上發布中國政府不能接受的政治內容或未經國內政治審查過的新聞(比如中國2003年的SARS事件在中國政府揭露事實真相前關於SARS的相關報導和討論)等方面的內容,有些綜合性或技術性的網站只是含有少量的或可能牽涉到這些資訊而被整體封鎖。

被固定封鎖或干擾的網站類型包括(但不限於):

  • 許多國際成人影片網站及大部分針對華人的色情論壇
  • 所有涉及民運法輪功家庭教會疆獨藏獨以及不為中國共產黨所控制或容許之宗教信仰的網站
  • 大部分國際人權、保護記者及中國大陸維權組織的網站
  • 台灣的大部分政府和政黨網站(如總統府中央社民進黨等等)
  • 部分香港泛民主派(香港公民黨社民連
  • 大多數國際廣播電台的中文網(如BBC中文網)
  • 大多數香港、澳門和台灣的綜合(門戶/入口)網站中提供新聞的分站甚至與政治毫無關聯的學術網站
  • 部分港澳台及海外華人/留學生的熱門論壇或討論區
  • 搜尋引擎(雅虎香港hk.search.yahoo.com/search/ 和美國線上search.aol.com/aol/webhome等)
  • 一些國際免費部落格服務(如Blogger
  • 大多數港澳台的部落格服務及社群類網站(如無名小站(關閉)等)
  • 部分港澳台的免費線上電視台;部分海外提供Web 2.0或個人網站服務的知名或影響較大的站點
  • 大多數影片類網站(如YouTubeDailymotionVimeo、雅虎Video等)
  • 大部分社交類網站(FacebookTwitterGoogle+等)
  • 大多數天主教中文網站及部分基督教中文網站
  • 博彩網站(如香港賽馬會投注頁面等)
  • 香港的購物網站(如雅虎香港拍賣)
  • 台灣奇摩拍賣、博客來三民書局
  • 部分個人網站和部落格
  • 大部分檔案寄存網站(如Megaupload等)
  • 大部分雲端運算檔案寄存網站(如DropboxSugarSync等)
  • 部分國際圖片網站(如Flickr部分頁面和Picasa網路相簿等)
  • 大部分免費伺服器或主機(Yahoo! Small Business除首頁外的全部IP和Google App Engine等)
  • 大部分Twitter第三方電腦登入網站或用戶端(如TweetDeckSeesmic英語Seesmic推特中文圈等)以及API
  • 大部分與Twitter相關的圖片服務(如Twitpic、Img.ly、Yfrog英語Yfrog、Twitgoo、ow.ly等)
  • 大部分手機Twitter用戶端(如GravitySocialscope英語SocialscopeSnaptu英語Snaptu等)
  • 一些代理伺服器或有提供類似突破網路封鎖功能(VPNSSH、網頁代理等)的網站(如Hotspot ShieldTor等)
  • 部分RSS服務(如FeedBurner等)
  • 手機瀏覽器Opera Mini國際版(Opera後自我審查使用大陸伺服器)
  • 諾貝爾獎多個官方網站、挪威廣播公司(參見2010年諾貝爾和平獎
  • 在全面啟用HTTPS之前,維基百科的少量中文條目無法正常存取,而通過移動手機端檢視條目可能出現完全無法連線的狀況。(2015年5月19日起中文維基百科被完全遮蔽。[66]
  • 頂級科學雜誌《科學》的部分頁面處於封鎖狀態,無法存取閱讀某些頁面的內容。
  • 大部分由Google提供的有傳播資訊動機的服務(包括GmailGoogle雲端硬碟等,參見Google中國

而一些知名的門戶入口類、技術類、購物類、慈善類網站也經常被封鎖,或被干擾得時斷時續:

至於國際媒體幾乎無一例外被封鎖過,一般英文媒體在大陸召開高層會議或發生較大敏感事件會被短暫封鎖,台灣泛藍媒體(如聯合報、中國時報、中天電視中華電視公司等)有時會被短暫解封,其他大部分海外中文媒體會被長期封鎖或干擾(有部分能開啟首頁,但無法點閱新聞內容):

防火長城對在中國大陸各ISP設定的黑名單基本上是同步和一致的,但有個別網站會有差別,例如:

  • 中國移動封鎖Google的圖片、檔案伺服器域名*.ggpht.com及*.googleusercontent.com,圖片搜尋及諸多Google服務不能使用或出錯。移動也封鎖了HTC手機(含外國/港/台行貨)天氣預報伺服器(AccuWeather提供)htc.accuweather.com,而聯通和電信可以正常更新。

即使同樣是被封鎖的網站,它們的被封鎖手段和程度可能有很大區別。例如中文維基百科僅是被域名污染,通過修改Hosts檔案即可正常存取(但2015年12月4日至6日期間,維基百科預設IP的443埠被封鎖,導致各語言維基百科均無法存取),而法輪功網站明慧網則是既污染了域名又封鎖了IP,無法通過Hosts來進行存取。

會被轉移至以下IP[編輯]

IPv4環境[編輯]
  • 4.2.33.111
  • 4.36.66.178
  • 8.7.198.45
  • 23.89.5.60
  • 37.61.54.158
  • 46.82.174.68
  • 49.2.123.56
  • 54.76.135.1
  • 59.24.3.173
  • 64.33.88.161
  • 64.33.99.47
  • 64.66.163.251
  • 65.104.202.252
  • 65.160.219.113
  • 66.45.252.237
  • 72.14.205.99
  • 72.14.205.104
  • 77.4.7.92
  • 78.16.49.15
  • 93.46.8.89
  • 118.5.49.6
  • 128.121.126.139
  • 159.106.121.75
  • 169.132.13.103
  • 188.5.4.96
  • 189.163.17.5
  • 192.67.198.6
  • 197.4.4.12
  • 202.106.1.2
  • 202.181.7.85
  • 203.98.7.65
  • 203.161.230.171
  • 207.12.88.98
  • 208.56.31.43
  • 209.36.73.33
  • 209.145.54.50
  • 209.220.30.174
  • 211.94.66.147
  • 213.169.251.35
  • 216.221.188.182
  • 216.234.179.13
  • 243.185.187.39
  • 249.129.46.48
  • 253.157.14.165

一個比較特別的例子是 Google+ 的域名 plus.google.com 被重新導向至Google自己的伺服器以封鎖IP位址的形式進行封鎖:

  • 74.125.31.113
  • 74.125.39.102
  • 74.125.39.113
  • 74.125.127.102
  • 74.125.130.47
  • 74.125.155.102
  • 209.85.229.138
  • 210.242.125.20

一個比較特別的例子是 YouTube 影片伺服器的域名 r*.googlevideo.com 還擁有一份特別的投毒污染位址列表:

  • 0.0.0.0
  • 2.1.1.2
  • 4.193.80.0
  • 8.105.84.0
  • 12.87.133.0
  • 16.63.155.0
  • 20.139.56.0
  • 24.51.184.0
  • 28.121.126.139
  • 28.13.216.0
  • 46.20.126.252
  • 46.38.24.209
  • 61.54.28.6
  • 66.206.11.194
  • 74.117.57.138
  • 89.31.55.106
  • 113.11.194.190
  • 118.5.49.6
  • 122.218.101.190
  • 123.50.49.171
  • 123.126.249.238
  • 125.230.148.48
  • 127.0.0.2
  • 173.201.216.6
  • 203.199.57.81
  • 208.109.138.55
  • 211.5.133.18
  • 211.8.69.27
  • 213.186.33.5
  • 216.139.213.144
  • 221.8.69.27
  • 243.185.187.3
  • 243.185.187.30

IPv6環境[編輯]

  • 1.1.1.1
  • 1.2.3.4
  • 10.10.10.10
  • 20.20.20.20
  • 255.255.255.255
  •  ::90xx:xxxx:0:0
  • 10::2222
  • 21:2::2
  • 101::1234
  • 2001::212
  • 2001:DA8:112::21AE
  • 2003:FF:1:2:3:4:5FFF:xxxx
  • 2123::3E12
  • 200:2:253d:369e::
  • 200:2:4e10:310f::
  • 200:2:2e52:ae44::
  • 200:2:807:c62d::
  • 200:2:cb62:741::
  • 200:2:f3b9:bb27::
  • 200:2:5d2e:859::
  • 200:2:9f6a:794b::
  • 200:2:3b18:3ad::
  •  ::

相關事件[編輯]

針對網路封鎖的訴訟[編輯]

由於按照中華人民共和國有關法律,民事訴訟的被告必須有直接利害關係,而行政訴訟只能針對具體行政行為進行訴訟,目前在有關網路封鎖的訴訟中,被告多為電信業者,沒有直接針對防火長城或相關行政主管部門的訴訟。

北京奧運會[編輯]

法新社報導,中國政府曾討論是否在北京奧運會期間放寬防火長城的遮蔽範圍[67]。在奧運前夕,曾一度被限制存取的Blogger、《中國時報》、《明報》等網站陸續被解除封鎖,中文維基BBC中文網和大赦國際網站等網站在8月1日亦被證實解封[68],但部分被禁網站仍然未被解禁,包括「法輪功」網站、「西藏流亡政府」網站以及和「六四事件」相關的網站[69]。《齊魯晚報》報導,有外國媒體指責中國政府違背先前全面開放網際網路的承諾,奧組委發言人孫偉德表示,奧運期間將提供媒體「充分」的網路使用權,但外國記者上網不會完全不受限制。根據中國的法律,不得通過網際網路傳播違反法律的資訊,如宣揚法輪功,以危害國家利益。希望媒體尊重中國「有關法律法規」。但文中沒有解釋為何眾多與法輪功完全無關的新聞機構、部落格、社交和影片網站也無法存取。[70]國際奧委會新聞委員會主席高斯帕也表示,國際奧委會一些官員和中國當局已達成協定,同意中國封鎖一些被認為是敏感的、與奧運無關的網站[71]

奧運會結束數月後,中國政府對海外新聞網站的封鎖又重新開始。至2008年12月,重新被封鎖的網站包括德國之聲BBC美國之音法廣澳廣加拿大廣播電台等新聞機構的中文網站。此外,根據總部在美國的非盈利維權組織「自由之家」16日發布的新聞稿,這次遭中國政府封閉的還有一些被視為敏感的網站,包括無國界記者、《亞洲周刊》和《明報》等。中華人民共和國外交部發言人劉建超表示,中國總體上是採取對外開放的政策,但是中國和其他國家一樣,對於網站還是要依法做必要的管理,某些網站確實存在違反中國法律的事情[72]。有評論認為,當局此次收緊輿論控制是為了防止經濟危機進一步轉化為社會與政治危機[73]

DNS污染擴散[編輯]

2010年3月,當美國和智利的用戶試圖存取Facebook、Youtube、Twitter等網站時,由於他們的域名查詢請求轉交給DNS根伺服器i.root-servers.net在中國的節點處理,而這些網站在中國被封鎖,結果用戶收到了錯誤的DNS解析資訊。這意味著防火長城的DNS污染已影響到中國境外的網際網路。[17][74]

對Google的封鎖[編輯]

對維基百科的封鎖[編輯]

2014年中國網路異常事件[編輯]

2014年1月21日下午中國發生大範圍網路故障。由於中國通用頂級域域名解析出現異常,許多網站域名被解析到了完全沒有反應的IP位址 65.49.2.178。

亞太經合組織(APEC)會議[編輯]

2014年11月,由北京主辦的亞太經合組織(APEC)會議的新聞中心,提供的網路服務不過濾任何網站,記者可自由登入Facebook、Twitter、Google、英國廣播公司等外國網站,是當局首次在大型國際活動期間全面開放網際網路。[75]外交部發言人華春瑩在例行記者會上表示:「中國網際網路是開放的,我們將依法進行管理。如我們承諾過的,有關部門將為峰會圓滿舉行竭盡全力。媒體中心設施齊全,是專門為高標準提供相關服務而建造,包括網際網路服務」。[76]

世界互聯網大會[編輯]

2014年11月,在浙江烏鎮舉辦的第一屆世界互聯網大會期間,中國電信提供了專用無線網路「iWifi-Wuzhen」,使用該無線網路的嘉賓、記者以至普通遊客們都可以正常使用FacebookTwitter美國之音德國之聲自由亞洲電台BBC中文網等被防火長城封鎖的網站。而登記使用「iWifi-Wuzhen」專用無線網路,用戶必須在登入頁面使用本人的手機號碼註冊,取得驗證碼後才可以使用。至於使用普通手機3G、4G資料網路的用戶,即使身在烏鎮,則仍然受制於防火長城的管制,無法直接使用被封鎖的網站。[77]

2015年11月第二屆世界互聯網大會期間,大會組織者向與會者提供了一套特殊的使用者名稱和密碼,用此使用者名稱和密碼登陸專用無線網路後,同樣可以自由瀏覽境外網站,但如果直接使用當地的網際網路,依然無法瀏覽這些網站[78]

2015年防火長城升級[編輯]

自2014年底起,中國官方在網路封鎖戰中逐漸佔據上風,大批VPN服務商相繼遭到封鎖[79],更有甚者提議立法限制VPN服務於大陸網路的註冊使用[80],此舉致使民怨沸騰並遭到社會言論指責。《南華早報》報導,在紀念中國人民抗日戰爭暨世界反法西斯戰爭勝利70周年大會前夕,多個被用於繞過網際網路限制的服務遭到關閉或干擾。[81]

此外中國官方通過一系列物理措施,使一些翻牆工具的開發者迫於壓力放棄開發,例如2015年8月下旬,Shadowsocks的作者迫於前來「關心」的警方壓力[82]刪除了自己的專案[83][84]GoAgent的作者則自行將專案刪除[85]

在中國使用的技術中,可以探查網友通訊內容的深度包檢測技術(DPI)趨近成熟,初期雖然機器需要時間對加密報文演算法結構等加以學習,但日後有很大希望成功實現實時監視通訊內容,銀行及所有企業的資訊將能被檢測並抽取出明文,嚴重威脅企業在華利益,也讓歐美將防火牆列為貿易操縱工具。

基於DPI獲取的資訊,GFW有能力更快捷高效地為設在外地,特別是如港澳及台灣的外商伺服器植入木馬[86],同時基於使翻牆者與伺服器通訊停止的DDoS攻擊、干擾阻斷連接的DNS汙染等攻擊手段打擊各地程式員的開發交流,導致國際網路損失。

封鎖所採用的技術手段已不限於阻止獲取資訊面,而是能轉而用於掌握網路意識形態、話語權的對決,乃是金融與經濟等資料保密與資訊通暢的戰爭[87],甚至會波及基礎建設的日常運作等[88],對此,原視中國網路審查為內政問題的美國等,自2015年中起將對中國官方的網路干預行為進行第三方介入[89][90]。如果外商沒有遵守本地法律,甚至連單純的商業活動都會被防火長城封鎖[91],例如Google公司除了敏感性的Google搜尋之外,其他無關功能如Google地球服務等亦在中國大陸受到封鎖。[92]同時收看網路媒體也因為版權的法規問題,如果想使用串流服務,也存在著需要翻牆進入中國大陸網路的「邊境管制」現象。[93]

針對開發者的主動網路攻擊[編輯]

自2015年3月26日起至31日止,防火長城對GitHub發起旁觀者攻擊英語:Man-on-the-side attack,主要針對運用GitHub服務做鏡像的GreatFire紐約時報中文版發動。[94][95][96]

2015年4月26日,大炮對開放原始碼網站wpkg.org與旅遊網站ptraveler.com發動了攻擊,凡是用中國IP瀏覽嵌入了Facebook Connect按鈕指令碼的網站,皆會被重新導向至這兩個網站。[97][98]

XcodeGhost風波[編輯]

Xcode為蘋果公司所發行、供程式設計師開發OS XiOSwatchOStvOS應用程式的整合開發環境

在2015年9月17日左右,新浪微博用戶 @唐巧_boy 發布微博聲稱Xcode有可能被第三方代碼注入,而在社交平台上引起軒然大波。烏雲網後續發布相關的知識庫文章[99]

受到XcodeGhost影響的應用程式眾多,其中包括微信網易雲音樂滴滴打車等知名度較高的應用[100]。蘋果公司對此事進行了公開聲明[101],並對於部分感染App進行了緊急下架處理。後部分下架應用程式的廠商重新編譯之後才得以重新上架。

雖然防火長城與該事件沒有直接關係,但正是因為防火長城的存在,蘋果公司的App Store等服務在中國大陸存在存取緩慢的問題,導致開發者選擇了從非正規的第三方管道下載套件,同時部分XcodeGhost的作者通過在大陸地區各大蘋果開發社群網站散布自己帶有後門框架的Xcode來誘使開發人員使用,從而埋下隱患,對中國網際網路的發展造成了不小的震動。[來源請求]

被美國列為貿易壁壘[編輯]

美國貿易代表辦公室在2016年4月發布的年度特別301報告中稱,中國對網際網路的審查過濾對外國企業是個嚴重的貿易障礙。報告中指出,中國在過去一年加緊了對網站的遮蔽,全球25家用戶流量最多的網站中有八家被中國遮蔽。

據美聯社報導,依賴網際網路進行銷售、結算以及其它功能的外國和國內企業紛紛抱怨「防火牆」阻礙了公司的運營,以導致部分跨國公司損失嚴重。

美國商會一月份的調查顯示,接受調查的公司中有將近百分之八十的公司表示,他們受到了中國網路遮蔽所帶來的「消極影響」。有超過半數的受訪企業表示他們在使用網路工具或搜尋資訊時被遮蔽。很多中國網友也抱怨「防火牆」阻礙了他們與客戶或商業夥伴交流以及學生申請海外院校。一些人通過使用虛擬私人網路(VPN)繞開「防火牆」的遮蔽,但現在這些虛擬私人網路也開始遭到北京當局遮蔽,後來在2015年12月前後,GFW突然遮蔽了全部出自國外(不包括ikev2在內)的所有不受控制的VPN連線。

那份年度報告還指出,中國對很多境外網站的遮蔽都顯得很武斷,有些和社會穩定或國家安全沒有關係的網站也被遮蔽,比如美國一家大型家居裝飾網站,裡面的內容看上去一點都不敏感,但這種卻是典型的有可能被防火牆遮蔽的網站。[102]

為此,中國外交部發言人洪磊主持例行記者會,聲稱:中國網際網路蓬勃發展,為各國企業提供了廣闊發展空間。中國吸引外資的政策不會變,保護在華外企各方面合法權益的政策不會變,為外企在中國創造良好經營環境的政策也不會變。我們希望各國尊重其他國家自主選擇的網際網路發展道路、管理模式、公共政策以及參與網際網路治理的權利。[103]

參考文獻[編輯]

參照[編輯]

  1. ^ 1.0 1.1 全國人大代表、北京郵電大學校長方濱興:實施過濾計劃慎用在線更新輸入法. 中國資訊工業網. 2010-03-11 [2010-03-18]. 
  2. ^ 環球時報:防火牆帶給中國互聯網哪些影響. 環球時報. 2015-01-28 [2015-01-28]. 
  3. ^ 3.0 3.1 Great Firewall father speaks out. Global Times. [2011-02-18] (英語). 
  4. ^ (英文)Great Firewall of China,2008年1月30日新增。
  5. ^ (簡體中文)百度日本站被GFW遮蔽疑與色情內容有關,人民網(有百度員工指出這是百度自我審查遮蔽內地用戶,GFW並沒有封鎖,詳見南方人物周刊:百度搜不到的與索取到的
  6. ^ 李永峰. 網民披露方濱興是GFW之父國慶前夕中國網絡再次收緊. 亞洲週刊. 2009-10-04, 23 (39) [2009-09-25] (中文(繁體)‎). 
  7. ^ 方濱興的牆內牆外. 南方周末. [2013-07-18] (中文(中國大陸)‎). 
  8. ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13] 
  9. ^ 道高一尺,牆高一丈:互聯網封鎖是如何升級的. 端聞. 2015-09-04. 
  10. ^ 防火牆給中國互聯網哪些影響:成就本土行業崛起. 環球網. 2015-01-28. 
  11. ^ 區域經濟規劃密集亮相下半年步伐或繼續加快. 新華網>新華財經. 2011年7月7日. 
  12. ^ 聽美國專家揭秘中國互聯網癱瘓的原因. 人民網通信頻道. 2014年1月26日. 
  13. ^ (英文)Asia Pacific Root servers亞太互聯網絡信息中心
  14. ^ DNS污染問題發生後中國根服務器被關. Solidot. 2010-03-28 [2011-02-10]. 
  15. ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. 
  16. ^ Root Server Technical Operations Assn. [2014-01-25]. 
  17. ^ 17.0 17.1 China censorship leaks outside Great Firewall via root server. Ars Technica. 2010-03 [2011-05-19]. 
  18. ^ A Chinese ISP Momentarily Hijacks the Internet. PC World. 2010-04-09 [2011-05-19]. 
  19. ^ 我們的網絡為什麼這麼卡. 2012-11-09 [2012-11-09]. 
  20. ^ 中國頂級域名根服務器故障 大部分網站受影響. 新浪科技. 2014-01-21 [2014-01-21]. 
  21. ^ 中國網路癱瘓 疑內部作業失誤. 自由時報. 2014-01-23 [2014-01-23]. 
  22. ^ 防火長城使用有效IP投毒DNS,其中包括色情網站IP. 2015-01-09. 
  23. ^ 遭DNS投毒DDoS攻擊的服務器屏蔽中國IP. 2015-01-23. 
  24. ^ 翻牆專題:Google掉包問題. RFA. 2011-03-11 [2011-03-21]. 
  25. ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 紐約時報. 2011-03-20. (英文)
  26. ^ Google accuses China of blocking Gmail. 法新社. 2011-03-21 [2013-03-18]. [失效連結]
  27. ^ 2014年中國大陸屏蔽谷歌服務事件. [2014年5月27日]. 
  28. ^ Gmail被中國完全屏蔽. [2014-12-29]. 
  29. ^ 社評:中國出於安全考慮「封」Gmail不可信. [2014年12月30日]. 
  30. ^ GFW此次升級的原理推測. [2014年1月14日]. 
  31. ^ 翻牆專題:安全加密登入的方法. RFA. 2011-03-18 [2011-03-21]. 
  32. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. 
  33. ^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17]. 
  34. ^ 專利號2009100850310, 《一種阻斷TCP連線的方法和裝置》, http://www.cpquery.gov.cn/txnQueryBibliographicData.do?select-key:shenqingh=2009100850310, 2015-5-25查閱.
  35. ^ 防火牆可能採用了更巧妙的方式干擾Google搜尋 http://it.solidot.org/article.pl?sid=12/10/31/0510237
  36. ^ 翻牆OK »關於GFW審查eD2k協議的相關內容匯總. [2012-11-29]. 
  37. ^ chengr28. 小盆友的可考證處:(In 2012-11-28)關於eD2k服務遭審查. [2012-11-29]. 
  38. ^ 《環球時報》英文版:部分國外VPN服務在中國無法正常使用
  39. ^ 中國網警「修理」翻牆網民中科院也被牽連. RFI. 2011-05-18 [2011-05-18]. 
  40. ^ 中國網絡國際訪問頻故障 溫水煮蛙測試斷外網反應?. RFA. 2011-05-12 [2011-05-18]. 
  41. ^ Theories abound for overseas web access troubles. 環球時報. 2011-05-18 [2011-05-19]. 
  42. ^ 方濱興教授回應國外網站不能拜訪事件. Solidot. 2011-05-18 [2011-05-19]. 
  43. ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. [2014-12-31]. 
  44. ^ Special Report: How foreign firms tried to sell spy gear to Iran. Reuters. 
  45. ^ (In 2012-11-20)關於近日IPv6隧道被阻斷連接. 2012-11-08 [2012-11-08]. 
  46. ^ 方濱興院士解讀國家信息安全保障體系(轉載). 中華人民共和國工業和信息化部. 2009年 [2011-03-21]. 
  47. ^ 谷歌在中國教育網遭國家級中間人攻擊. greatfire.org. 2014年9月4日. 
  48. ^ 知名網站遭遇SSL中間人攻擊 手法很熟業務很忙. 2014年10月21日. 
  49. ^ 找出GFW在Internet的位置,全面分析國內到國外郵件受阻的原因 - ChinaUnix.net
  50. ^ 無恥的GFW,測試GFW工作原理 - MDaemon Server - 郵件伺服器-郵件系統-郵件技術論壇(BBS),日期為2007年7月6日,有網友在此抱怨GFW的封鎖
  51. ^ (簡體中文)萬閘道器于海外郵件通訊問題的進展通告
  52. ^ Gmail blocked in China. Reuters. 2014-12-29. 
  53. ^ 看在中國留學生的面子上 Gmail又能用了 - 好還是不好?
  54. ^ Gmail中國內地服務得以部分取消復原
  55. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11] (英語). 
  56. ^ 路西. 中國採取新方式 網絡封鎖擴大到境外. BBC中文網. 2015-04-11 [2015-04-11] (中文(繁體)‎). 
  57. ^ 秦雨霏. 中共祭出新武器審查網絡 訪問陸網或被監控. 大紀元. 2015-04-10 [2015-04-11] (中文(台灣)‎). 
  58. ^ insight-labs. 百度統計js被劫持用來DDOS Github. 烏雲知識庫. 
  59. ^ 百度線上網絡技術(北京)有限公司. 百度安全攻防實驗室的微博. 
  60. ^ GitHub. GitHub System Status. 
  61. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. 台灣iThome. 2015-03-30 [2015-03-30] (中文(台灣)‎). 
  62. ^ 海寧. 中共借刀殺人 利用海外華人發起DDoS攻擊. 大紀元新聞網. 2015-03-27 [2015-03-30] (中文(簡體)‎). 
  63. ^ Github證實遭到DDoS攻擊,HTTP劫持已停止. 奇客Solidot. 2015-03-27 (中文(中國大陸)‎). 
  64. ^ 對GitHub的大規模DDoS攻擊已超過80個小時. 奇客Solidot. 2015-03-30 [2015-03-30] (中文(中國大陸)‎). 
  65. ^ 中國GFW預作新技術儲備用大獎賽招徠人才(圖). 自由亞洲電台. 2010-06-08 [2010-06-09]. 
  66. ^ 中文維基百科被屏蔽. solidot. 2015-05-19 [2015-05-19]. 
  67. ^ China may relax Internet curbs during the Olympics: official. Google - 法新社. 2008-02-05 (英語). 
  68. ^ 胡錦濤接受外國媒體記者採訪. BBC. 2008年8月1日 [2008年8月1日] (中文(中國大陸)‎). 
  69. ^ 奧運前夕中國解禁國際特赦網站. BBC. 2008年8月1日 [2008年8月1日] (中文(中國大陸)‎). 
  70. ^ 外媒指責中國政府未兌現奧運期間網絡自由承諾. 齊魯晚報. [2008-08-31] (中文(簡體)‎). 
  71. ^ 北京奧組委:外國記者上網不會完全不受限. 聯合早報. 2008-07-31 (中文(新加坡)‎). 
  72. ^ China 'bans BBC Chinese website'. BBC. 2008年12月16日 [2008年12月16日] (英語). 
  73. ^ 中國再屏蔽外國敏感網站引發爭議. VOA. 2008年12月17日 [2008年12月17日] (中文(簡體)‎). 
  74. ^ 中國DNS污染通過根服務器影響全世界. 
  75. ^ 中國政府會議期間首度全面開放互聯網. 東方報業集團. 2014-11-05 [2014-12-30]. 
  76. ^ 記者手記:從facebook到禱告室 體味自由空間. 文匯報. 2014-11-07 [2014-12-30]. 
  77. ^ 孟航. 中國烏鎮互聯網大會全面解禁境外網站. BBC中文網. 2014-11-19 [2014-11-19]. 
  78. ^ 烏鎮峰會特設上網賬戶 發小米手機預裝大會APP. 南華早報中文網. 2015-12-16 [2015-12-16]. 
  79. ^ 中國防火長城再次升級 多數VPN服務失效. UDN. 2015-01-15 (中文(台灣)‎). 
  80. ^ 中國網絡封鎖升級大範圍屏蔽VPN. 紐約時報中文網. 2015-01-30 (中文(中國大陸)‎). 
  81. ^ VPN服務受到進一步打擊. 
  82. ^ clowwindy. Adopting iOS 9 network extension points · Issue #124 · shadowsocks/shadowsocks-iOS. GitHub. [2015-08-22]. (原始內容存檔於2015-08-22) (英語). Two days ago the police came to me and wanted me to stop working on this. Today they asked me to delete all the code from GitHub. I have no choice but to obey. 
  83. ^ clowwindy. remove · shadowsocks/shadowsocks@938bba3. GitHub. 2015-08-22 [2015-08-22]. 
  84. ^ clowwindy. shadowsocks/shadowsocks. GitHub. 2015-08-22 [2015-08-22]. 
  85. ^ GoAgent開發者刪除項目,GitHub再次受到DDoS攻擊. Solidot奇客. 
  86. ^ 中國機構首次曝光境外駭客組織「海蓮花」. 風傳媒. 2015-05-30 (中文(香港)‎). 
  87. ^ 《華盛頓郵報》:美國擬制裁中國網路經濟間諜. 風傳媒. 2015-09-01 (中文(香港)‎). 
  88. ^ 報復中國網攻 美國忌諱什麼?. 世界新聞網. 2015-08-04 (中文(台灣)‎). 
  89. ^ 歐巴馬出重拳 授權美國制裁國際駭客. 風傳媒. 2015-04-02 (中文(香港)‎). 
  90. ^ 紐約時報:美國決定報復中國網絡攻擊. VOA. 2015-08-01 (中文(新加坡)‎). 
  91. ^ 谷歌入華已板上釘釘,谷歌將於近期舉行發布會. 搜狐網. 
  92. ^ Google Play想入華,野心和難度一樣大. 雷鋒網. 
  93. ^ 翻牆專題:看電視劇也要翻牆?. 
  94. ^ 陳曉莉. GitHub遭遇史上最大規模DDoS攻擊,反中國網路防火牆專案被鎖定. iThome (臺北). 2015-03-30 [2015-04-11] (中文(台灣)‎). 
  95. ^ 蕭菁菁. GitHub日前被網路流量塞爆 疑似大陸利用防火長城展開DDoS攻擊. 臺北. 2015-03-31 [2015-04-11] (中文(台灣)‎). 
  96. ^ 申鏵. 針對GitHub的攻擊已經停止. 自由亞洲電台. 2015-04-03 [2015-04-11] (中文(簡體)‎). 
  97. ^ WinterIsComing. 開源網站wpkg.org疑遭大炮攻擊. Solidot. 2015-04-27 [2015-04-27] (中文(中國大陸)‎). 
  98. ^ China foreign website malfunction drives home Internet woes. 路透社. April 27, 2015 [2015-04-29] (英語). 
  99. ^ XCode編譯器里有鬼 – XCodeGhost樣本分析. 
  100. ^ 【持續更新】已知有後門的iOS App. 
  101. ^ Apple. 有關 XcodeGhost 的問題和解答. 蘋果公司官方網站. [2015-09-27] (中文(簡體)‎ and 英語). 
  102. ^ 美貿易代表辦公室:中國網絡防火牆是貿易障礙. 美國之音. [2016-04-08]. 
  103. ^ 美國妄稱:中國網絡防火牆阻礙國際商貿. 搜狐網. [2016-04-09]. 

來源[編輯]

網頁

外部連結[編輯]

參見[編輯]

中華人民共和國網路審查
突破網路審查(俗稱「翻牆」、「破網」、「科學上網」、「番茄」)
相關主張與設施
相關人物