2012年11月30日
第10卷，第11期

中国防火墙背后的网络分裂

中国一旦向世界敞开大门，就无法再次关闭

丹尼尔·安德森

如果您无法访问 YouTube、Facebook、Twitter 和维基百科会怎么样？如果 Google 告知您在搜索期间连接已重置，您会感觉如何？如果 Gmail 只是偶尔可用，而用于撰写本文的 Google Docs 完全无法访问，又会怎么样？这简直是一团糟！

这些事情几乎每天都在中国发生。如果您是来中国的外国游客，您可能会体验到 NBA 球员 J.R. 史密斯遇到的情况：“亲爱的中国，你们不让我在我的台式机上使用 Skype 或 Twitter 真的让我很生气。”²⁰ 正如软件开发人员托尼·亨特所说，“最令人沮丧的事情真的是，我永远不知道是连接断开了还是网站被审查了。”¹⁵

这些问题中的大多数是由 GFW（中国国家防火墙，也称为 GFC）引起的，GFW 是中国全面审查系统中最重要的组成部分之一，也可能是世界上最先进的互联网审查系统。¹² 中国政府可以删除“有害信息”甚至惩罚中国境内的作者。然而，对于托管在中国境外的的信息，中国当局除了阻止或过滤访问之外别无他法。如果国际互联网关口没有审查，传统的审查系统将变得一文不值。这就是为什么 GFW 对整个系统如此关键，对中国政权的稳定如此重要的原因。

另一方面，经济发展对于中国政府的稳定同样至关重要（如果不是更重要的话）。它不能完全切断与互联网的物理连接，以免阻碍商业流量（例如 HTTPS 或 VPN）。随着中国经济的发展，中国的网民数量超过任何其他国家，普及率达到 38.3%。⁵ 过度严厉的审查系统可能会危及政府的稳定。

本质上，GFW 是一个政府控制的攻击系统，它发起的攻击会干扰合法的通信，并且影响的受害者比恶意行为者更多。它使用特殊技术，成功阻止了大多数中国互联网用户访问政府不喜欢的绝大多数网站或信息。然而，GFW 并非完美无缺。一些中国技术专业人士可以使用各种方法和/或工具绕过它。审查和规避之间的军备竞赛已经持续多年，GFW 一路走来造成了附带损害。

这种激进审查制度的受害者不仅包括中国用户，还包括其他与中国无关的国家的用户。 GFW 不仅威胁言论自由和信息自由流动，还威胁全球经济。例如，清华大学经济管理学院教授 Patrick Chovanec 断言，中国对 Google、Facebook 和 Twitter 的审查为中国的竞争对手提供了商业优势，因此也起到了经济保护主义的作用。⁷

简要历史

由于维基百科，大多数人一度认为 GFW 是金盾工程的一部分，由中国公安部 (MPS) 运营。²⁵ 然而，2010 年出现了一篇广为流传的文章，更准确地指出金盾工程最初仅旨在为中国警方建立内部网，与审查公共互联网无关。¹⁴ 这篇文章似乎是由一些参与 GFW 建设的人泄露的，因为它提供了其发展的详细时间表。文章称，GFW 建于 1999 年，由 CNCERT/CC（国家计算机网络应急技术处理协调中心），受 MIIT（工业和信息化部）控制。由于大多数 ISP 是国有企业，也受 MIIT 控制，CNCERT/CC 可以毫无障碍地在所有 ISP 的骨干网中部署审查系统。

方滨兴，现任北京邮电大学校长，是 GFW 的首席设计师和所谓的“GFW 之父”。他在一家国家控制的新闻媒体发表的文章中接受了这个头衔。¹⁸ 事实上，许多顶尖大学、研究所和 IT 公司都为 GFW 的建设和/或运营做出了贡献。只要该项目能带来资金，中国的许多教授和技术专业人士都愿意接受它。有些人甚至为此感到自豪，因为他们相信这堵墙对国家有利。

审查技术

经过十多年的发展，GFW 已部署在中国所有国内 ISP 的网关附近。借助 DPI（深度包检测）技术，GFW 窃听所有国际链路并检查流量，以检测通过网关的任何敏感关键词。 GFW 主要依赖三种技术来阻止“有害”信息：IP 封锁、DNS（域名系统）注入和 TCP RST（重置）。

IP 地址封锁

根据其设计者发表的一篇论文，GFW 依赖空路由（见图 1）通过将目标地址列入黑名单来阻止 IP 数据包。¹⁶ 通过与中国所有 ISP 的网关路由器对等，GFW 将路由信息注入 BGP（边界网关协议）并劫持所有流向被阻止网站（例如 twitter.com）的流量。尽管空路由只能阻止来自中国的出站流量并允许入站流量，但这足以阻止网站，因为当前大多数互联网通信只能通过双向交互建立。

这是一种轻量级的审查解决方案：政府（通过 GFW）维护一个集中的黑名单，而无需 ISP 的过多参与，因此泄漏风险很小；空路由仅为 ISP 的网关路由器增加微小的负载；并且不需要专用设备。然而，IP 封锁很容易通过在中国境外设置代理或将网站移动到另一个 IP 地址来规避。如果网站更改其 IP 地址并保持其域名不变，则用户将始终访问它——无论它使用哪个 IP 地址。

DNS 注入

上网的第一步是查询 DNS 以获取域名的 IP 地址（例如，www.facebook.com）。 GFW 通过 DNS 注入来干扰 DNS 解析。凭借部署在所有国际网关附近的 DPI 设备，GFW 可以监控来自中国境内任何 DNS 服务器（解析器）或终端计算机的每个 DNS 查询。如果 GFW 看到任何敏感查询，例如“www.facebook.com”，它将注入一个带有无效 IP 地址的伪造 DNS 答复。在大多数情况下，伪造的答复比合法的答复到达得早得多，DNS 服务器将接受第一个答复并将其转发给用户。由于 GFW 欺骗了中国境外合法 DNS 名称服务器的 IP 地址，因此中国的 DNS 服务器无法区分伪造的答案和合法的答案。²⁷

GFW 在 ISP 的几个国际网关上操纵 DNS 流量，因此政府无需篡改分布在 ISP 边缘的数千个 DNS 解析服务器。中国几乎所有的 DNS 解析器都受到了污染。¹⁷

TCP RST

GFW 充当 IPS（入侵防御系统），如果检测到敏感关键词，它会检查所有流量并阻止“不良”通信。为了终止 TCP 连接，GFW 注入一系列带有欺骗源地址、端口号和序列号的 TCP 重置数据包，而不会抑制原始请求或合法响应。借助 TCP RST，GFW 可以动态终止任何带有敏感关键词的 TCP 连接——而无需知道“不良”信息源自何处的地址或域名。它仅依赖于敏感关键词列表。⁸ （新墨西哥大学的 Jedidiah R. Crandall 等人发表了一篇关于如何检测这些关键词的论文。^9,10）

与必须承担转发所有“良好”流量以及增加另一个单点故障负担的防火墙不同，GFW 本质上是轻量级的。根据 GFW 设计者发表的论文^4,28，其架构可扩展用于高带宽骨干网。

对于 HTTPS 的加密流量（例如，Gmail），GFW 看不到任何关键词，但它可以通过注入 TCP RST 来盲目地终止加密连接，从而降低这些网站的服务质量。中国政府坚称这种不稳定是由网站服务质量差造成的，但很少有中国网民相信他们。无论如何，这种降低的服务质量迫使他们放弃中国境外的服务（例如 Google）并转向国内服务（例如百度）。

附带损害

刚刚提到的审查技术——IP 封锁、DNS 注入和 TCP RST——也会造成附带损害（即，意外阻止网站或内容）。

TCP RST 是最有效的方法之一，因为它会终止关键词黑名单上的任何连接。例如，2010 年 3 月，Google 在香港的搜索引擎被阻止，因为字符串“rfa”作为搜索参数的一部分出现。对于 GFW，“rfa”表示自由亚洲电台。¹⁹ 同样，由于党和国家领导人的姓名（如胡、习、温）通常是敏感词，在搜索引擎中被禁止，因此搜索中文词汇学习、胡萝卜和温度计也可能被禁止。

IP 封锁会造成附带损害，因为多个网站可以托管在同一个 IP 地址上。 GFW 的对手，即被审查的网站，也可能故意引入附带损害。例如，GFW 阻止了 www.mit.edu 的 IP 地址，因为被中国政府禁止的网站 www.falundafa.org 解析到相同的地址。²⁶ 因此，MIT 的开放课程网站也被阻止了。这引起了如此大的抗议，以至于 GFW 撤销了封锁。

GFW 造成的附带损害并不限于中国。即使您住在美国并访问中国境外的网站，您也可能受到审查。有两个因素促成了这种附带损害：ISP 之间的 BGP 路由和 DNS 解析的迭代。

前缀劫持

GFW 通过 BGP 向中国 ISP 公告路由前缀（网络）来劫持所有流向被阻止网站的流量。这项技术与巴基斯坦用来阻止 YouTube.com 的技术相同，后者在 2007 年导致 YouTube.com 全球范围的阻止。²⁹ 如果中国 ISP（例如，中国电信）将其邻居 ISP 重新公告这些前缀，并且其邻居接受这些前缀，则邻居 ISP 可能会将原本用于这些黑名单网站的流量重定向到 GFW。一些报告表明，在 2010 年初，中国 ISP 有意或无意地劫持了大量互联网流量，表明 GFW 至少有能力审查美国用户的一些访问。^21,24

DNS 污染

已经证明，GFW 使用的 DNS 注入已造成大量附带损害。这意味着源和目标都在中国境外的访问点也可能因 DNS 注入而被阻止。有三个因素导致这种情况

• 一些中国 ISP 是传输自治系统，它们为其他 ISP 提供连接并在它们之间中继流量，尤其是东亚和欧洲的 ISP。

• 几个根服务器 (F、I、J) 托管在中国。（当前 DNS 根服务器列表可在 http://www.root-servers.org 获取。）托管根服务器镜像的 ISP 向邻居 ISP（例如韩国 (KR) 或德国 (DE) 的 ISP）公告其前缀，因此这些 ISP 中的 DNS 解析器会将它们的 DNS 查询定向到中国的根服务器。

• 一个 DNS 查询由一系列迭代子查询组成，如图 2 所示。只要这些子查询中的任何一个通过中国 ISP，GFW 就可以注入伪造的答复并阻止或重定向此访问。

例如，如果韩国 (KR) 的用户想要访问网站 www.sensitive.de，其中 sensitive 是 GFW 阻止的域名，则用户的 DNS 服务器（递归解析器）将向根服务器 (“.”)、TLD 服务器 (“.de”) 和权威名称服务器 (“sensitive.de”) 发送一系列查询，并带有完整域名 (“www.sensitive.de”)。如果用户的 ISP 选择中国的根服务器之一，或者将查询路由到 TLD（顶级域名）服务器或通过中国路由到权威名称服务器，则 GFW 将审查此访问。

根 DNS 服务器污染首先由智利 DNS 运营商检测到。¹³ Renesys 公司的 Martin A. Brown 等人分析了此事件，并确定这种污染可能会影响许多国家，因为三个根 DNS 服务器节点（F、I 和 J）在中国有任播实例。³ 他们认为，在 Netnod 从 CNNIC 撤回中国 I-root 名称服务器的任播路由后，附带损害应该会消失，但附带损害仍在继续。一位匿名作者测量了 173 个国家/地区（不包括中国）的 43,000 多个开放 DNS 解析器，发现其中 26% 的解析器在查询某些带有被阻止关键词子字符串（如 www.facebook.com.de）的域名时受到了污染（表 1）。² 大部分损害来自通往 TLD 服务器（特别是 DE 和 KR 的权威机构）的受审查传输路径，而不是根 DNS 服务器。

对抗 GFW

除了附带损害外，GFW 在阻止大多数网民访问敏感政治信息方面非常成功。没有人确切知道有多少网站被阻止或过滤，但大多数中国网民都知道世界上最受欢迎的网站对他们来说部分或完全不可用，包括 Google、Facebook、Twitter 和 YouTube。

中国网民对政府的互联网审查感到愤怒，因为互联网是他们获取未审查信息和表达想法的唯一剩余媒介。由于没有合法的途径来表达他们的愤怒，中国网民攻击“GFW 之父”来发泄他们的愤怒，⁶ 在武汉大学向他扔鸡蛋和鞋子¹，并通过用图 3 所示的“愤怒的鞋子”图像替换其内容来破坏他的网站¹¹。

由于 GFW 阻止目标（IP 地址或域名）并检查通道，因此绕过 GFW 的基本策略是找到一些代理节点并加密流量。大多数规避工具都结合了这两种机制，因为仅使用简单的开放代理（HTTP 或 SOCKS）或加密隧道（如 HTTPS）对规避复杂的审查者作用不大。

FreeGate、Ultrasurf 和 Psiphon（版本 3）在中国很受欢迎，因为它们是免费的，并且专为非技术用户设计。它们依赖于中国境外的一系列代理服务器，并将所有 HTTP 流量在 SSL（安全套接字层）隧道中加密到这些服务器。尽管大多数软件都不是开源的，但政府可以通过逆向工程对其进行分析，然后阻止所有代理服务器。因此，该软件必须不时更新。由于它不是开源的，有些人担心某些软件可能包含特洛伊木马。

Tor，著名的匿名通信工具，曾经在中国广泛使用。复杂的加密协议（也基于 SSL）和数千个代理使 Tor 成为绕过 GFW 阻止和监视的理想工具。然而，用户获取代理节点列表的集中式目录服务器是反审查方面的致命缺陷。在 GFW 于 2008 年阻止 Tor 目录的 IP 地址后，Tor 在中国失去了大部分用户。

VPN（虚拟专用网络）和 SSH（安全外壳）是绕过所有监视技术的最强大和最稳定的工具，尽管基本思想与上述工具相同：代理和加密通道。唯一的区别在于 VPN 和 SSH 依赖于中国境外的私有主机（或虚拟主机）或帐户，而不是开放的免费代理。只有技术专业人士才能设置此类主机或帐户，而且大多数都不是免费的。如果商业或公共 VPN 服务足够受欢迎，它们将被 IP 地址和/或域名阻止。事实上，域名 *vpn.* 都被阻止了（例如 vpn.com、vpn.net、vpn.org、vpn.info、vpn.me、vpn.us、vpn.co）。

虽然不存在适用于所有用户的完美解决方案，也没有任何单一解决方案可以保证万无一失，但规避工具确实在长城上凿开了一个洞。

争斗继续

GFW 和规避之间的军备竞赛仍在继续。 GFW 比个人具有优势，因为它控制着中国网络空间以及社会中的所有资源：计算和存储资源、ISP 骨干网、DNS 服务器以及警察和/或法律处罚。然而，GFW 没有强大到足以控制更广阔世界中的互联网基础设施和社区。

Tor 和 GFW 之间的战斗体现了这场军备竞赛。在目录服务器被 GFW 阻止后，Tor 开发了一些未在目录中列出的“桥接”节点。用户可以设置自己的私有桥接节点，从而再次连接到 Tor 网络。然而，在 2011 年，更新后的 GFW 能够通过签名检测隐藏的私有桥接节点并动态阻止它们，因此中国用户再次失去了 Tor 网络。²² 在 2012 年初，Tor 发布了 obfsproxy，它可以混淆 Tor 客户端和桥接节点之间的流量。这样，GFW 只能看到看似无害的转换流量，而无法检测到任何签名。现在 Tor 在中国的用户数量再次增加。²³

云计算给 GFW 带来了新的挑战。在虚拟化的驱动下，云计算以更低的价格提供更多的计算能力。更多个人可以负担得起 Amazon 或 DreamHost 的 VPS（虚拟专用服务器）或 SSH 帐户。随着对国内网站的更多限制或打击，许多小企业将其网站托管在中国境外。从理论上讲，云计算基础设施可以更改其客户网站的 IP 地址，从而减少审查的可能性。

IPv6 是 GFW 的另一个挑战。中国政府鼓励 IPv6 网络，至少出于学术目的，因此中国数百所大学在政府的资助下建立了 IPv6 网络。现在成千上万的学生可以访问支持 IPv6 的服务（例如 youtube.com）。唯一的障碍是 DNS 基础设施仍在 IPv4 上运行，尽管它可以发出一些 IPv6 地址。部署在 IPv4 中的 DNS 注入仍然可以阻止支持 IPv6 的网站。从 2012 年 11 月中国共产党第十八次全国代表大会召开时起，中国网民报告了一些 IPv6 上的审查（使用类似于 IPv4 审查者的技术）。

除了与规避的争斗外，中国政府自身也始终处于两难境地：是鼓励与经济相关的互联网和相关新技术的开发，还是因为对传统审查系统的挑战而限制这些技术的发展。信息的自由流动可能会削弱专制国家的控制；然而，对互联网的过度严厉的镇压（例如切断光纤）可能会损害中国的经济发展，并可能损害国家的控制。

中国一旦向世界敞开大门，就无法再次关闭。最近在阿拉伯之春期间发生的一系列引人注目的事件证明了互联网改变专制社会的力量，并促使中国政府不遗余力地改进互联网审查系统。期望中国政府在不久的将来放弃其审查活动是天真的；然而，现在关闭互联网是不可能的。争斗和军备竞赛将至少在不久的将来继续下去。

参考文献

1. “愤怒的鞋子”。 Flickr； http://www.flickr.com/photos/isaacmao/5738596950/。

2. 匿名。 2012. DNS 注入造成的互联网审查的附带损害。 SIGCOMM 计算机通信评论 42(3): 21-27。

3. Brown, M. A., Madory, D., Popescu, A., Zmijewski, E. 2010. DNS 篡改和根服务器； http://www.renesys.com/tech/presentations/pdf/DNS-Tampering-and-Root-Servers.pdf。

4. 陈曦，方滨兴，李蕾。高速网络入侵检测体系结构。 2004. 计算机研究与发展 41（9 月）：1481-1487。

5. 中国互联网络信息中心。 2012. 中国互联网络发展状况统计报告； http://www.apira.org/data/upload/The29thStatisticalReportonInternetDevelopmentinChina_P9G97q.pdf。

6. 中国防火墙设计师“被鞋击中”。 2011. BBC 新闻亚太地区； http://www.bbc.co.uk/news/world-asia-pacific-13455819。

7. Chovanec, P. 2011. 半岛电视台：中国的互联网审查； http://chovanec.wordpress.com/2010/01/02/al-jazeera-internet-censorship-in-china/。

8. Clayton, R., Murdoch, S., Watson, R. 2006. 忽略中国防火墙。在隐私增强技术中。 Springer: 20-35。

9. ConceptDoppler; http://www.conceptdoppler.org。

10. Crandall, J., Zinn, D., Byrd, M., Barr, E., East, R. 2007. ConceptDoppler：互联网审查的天气追踪器。在第 14 届计算机和通信安全会议论文集中：1-4。

11. 北京邮电大学被破坏的网站； http://yilee.info/media/fang-xiao-zhang/1.jpg。

12. Deibert, R., Palfrey, J. G., Initiative, O., Rohozinski, R., Zittrain, J. 2010. 访问受控。网络空间中权力的塑造、权利和规则。 MIT 出版社：264。

13. Ereche, M. V. 2010. I 根服务器中一个节点的异常行为； https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005260.html。

14. GFW 和方滨兴的历史。（中文）2010 年； https://fangbinxing.appspot.com/2010/08/10/fangbingxing.html。

15. Hunt, T. 2012. 浏览破碎的网络：中国防火墙背后的软件开发人员； http://www.troyhunt.com/2012/03/browsing-broken-web-software-developer.html。

16. 刘刚，云晓春，方滨兴，胡铭曾。基于路由扩散的大规模网络控制方法。 中国通信学会学报：10。

17. Lowe, G., Winters, P., Marcus, M. L. 2007. 中国的 DNS 长城； http://cs.nyu.edu/%7Epcw216/work/nds/final.pdf。

18. 人民邮电报（PPTN）。关于方校长的报告：注意中文输入法。（中文）2010 年； http://www.cnii.com.cn/20080623/ca615907.htm。

19. Schonfeld, E. 2010. 更新：中国防火墙将 Google 误认为自由亚洲电台（或不是）。科技Crunch； http://techcrunch.com/2010/03/30/china-firewall-google-radio-free-asia/。

20. Smith, J. R. 2011; https://twitter.com/#!/TheRealJRSmith/statuses/128181662222794752。

21. Toonk, A. 2010. 中国 ISP 劫持互联网。 BGPmon； http://bgpmon.net/blog/?p=282。

22. Tor。 2011. 桥接很容易被 GFW 检测到。工单 #4185。 Tor Bug Tracker Wiki（10 月）； https://trac.torproject.org/projects/tor/ticket/4185。

23. Tor obfsproxy； https://www.torproject.org/projects/obfsproxy.html.en。

24. 美中经济与安全审查委员会。 2010. 提交国会报告：241； http://www.uscc.gov/annual_report/2010/annual_report_full_10.pdf。

25. 维基百科。中国防火墙； http://en.wikipedia.org/wiki/Great_Firewall_of_China。

26. Winstein, K. J. 2002. 中国阻止麻省理工学院的网址。 The Tech 122(58)； http://tech.mit.edu/V122/N58/58web.58n.html。

27. 闫斌，方滨兴，李斌，王勇。 2006. DNS 欺骗攻击的检测与防御。 计算机工程 32(21)。

28. 杨武，方滨兴，云晓春，张宏莉。 2004. 骨干网并行集群入侵检测系统。 哈尔滨工业大学学报 3。

29. YouTube 劫持：RIPE NCC RIS 案例研究。 2008. RIPE 网络协调中心； http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study。

喜欢或讨厌？请告诉我们

[email protected]

丹尼尔·安德森是一位互联网技术和政策研究员。您可以通过电子邮件联系丹尼尔： [email protected]。

最初发表于 Queue vol. 10, no. 11—
在数字图书馆中评论本文

更多相关文章

保罗·维克西 - 要么静态，要么回家
当前和历史上计算机与网络安全中的大多数问题都归结为一个简单的观察结果：让其他人控制我们的设备对我们不利。在另一个时间，我将解释我所说的“其他人”和“不利”是什么意思。就本文而言，我将完全专注于我所说的控制是什么意思。我们失去对设备控制的一种方式是外部分布式拒绝服务 (DDoS) 攻击，它用不需要的流量填充网络，从而没有空间容纳真正的（“需要的”）流量。其他形式的 DDoS 类似：例如，低轨道离子炮 (LOIC) 的攻击可能不会完全填满网络，但它可以使 Web 服务器忙于应答无用的攻击请求，以至于服务器无法应答任何有用的客户请求。

阿克塞尔·阿恩巴克、哈迪·阿斯加里、米歇尔·范·埃滕、尼科·范·埃克 - HTTPS 市场的安全崩溃
HTTPS（超文本传输安全协议）已发展成为安全 Web 浏览的事实标准。通过基于证书的身份验证协议，Web 服务和互联网用户首先使用 TLS/SSL 证书相互验证（“握手”），对 Web 通信进行端到端加密，并在浏览器中显示挂锁，以指示通信是安全的。近年来，HTTPS 已成为保护在线社交、政治和经济活动的重要技术。

莎朗·戈德堡 - 为什么保护互联网路由需要这么长时间？
BGP（边界网关协议）是将互联网粘合在一起的粘合剂，使不同组织运营的大型网络之间能够进行数据通信。 BGP 通过为组织之间的流量设置路由，使互联网通信全球化——例如，从波士顿大学的网络，通过更大的 ISP（互联网服务提供商），如 Level3、巴基斯坦电信和中国电信，然后到住宅网络，如 Comcast 或企业网络，如美国银行。

本·劳里 - 证书透明度
2011 年 8 月 28 日，一个错误颁发的 google.com 通配符 HTTPS 证书被用于对伊朗的多个用户进行中间人攻击。该证书由一家名为 DigiNotar 的荷兰 CA（证书颁发机构）颁发，DigiNotar 是 VASCO Data Security International 的子公司。后来的分析表明，DigiNotar 早在一个多月前（至少自 7 月 19 日起）就已意识到其系统遭到破坏。它还表明，至少已颁发了 531 个欺诈性证书。最终计数可能永远不会为人所知，因为 DigiNotar 没有所有错误颁发的证书的记录。