原文题目是《*敏感信息过滤*封站技术揭密》,稍稍作了改动。。。
目前中国大陆有着世界上发展最快的国际网络(INTERNET)用户群。而出于对公众资讯的自由共用的担心,ZG也是在网络封锁上投入最大,封锁技术也是最严厉的。世界上也有很多人致力于资讯的自由共用,对于各种反封锁的技术做了很多的开发。笔者想把自己的网络经验以及从朋友那里了解到的一些资讯,写出来与大家共用。其中也一定有不少不足,欢迎各位方家多多指正、交流,具体可以到动态网的论坛交流。
目前大陆在网络的方方面面都有各种各样的监测和封锁手段,在这里先谈谈在国家网关出口的封锁。大概从90年代初期,网络在大陆开始流行。当时在大陆只有教育网、高能所和公用数据网3个国家网关出口。差不多就是那个时候,出于对从来没有过的资讯开放的担心,ZG也开始在国家网关的封锁上投入了越来越多的力量,开发了各种方法来阻挡资讯的自由流通。其中,对不喜欢的站点的IP封锁,是最有效的封锁手段。从美国之音、自由亚洲电台到后来的*敏感信息过滤*网等,都是他们固定封锁列表上的站点。
对于仅仅的IP封锁,人们很快就找到办法来突破了,用普通的代理技术就可以绕过这样的封锁。只要找到一个海外的普通代理,然后通过代理就可以浏览自己平时看不到的资讯了,包括浏览新闻、FTP传递档、甚至接收音频视频。出于对于资讯自由的向往,很快这个方法就开始在相关的人群中流传和推广了。很快,网络封锁部门也看到了这个问题,就开始把人们常用的代理加入了IP封锁列表。
可是随后人们都发现,网络上的代理数量巨大而位址失效很快、变换很快。在国家网关上封锁这个,一个是封锁不过来,还一个就是封锁的位址很可能是没用的。随着政治命令的要求,国内的某些专家开始研发一些高级的封锁技术,同时政府也向CISCO等海外公司巨资购买了高端网络设备。这些都是后来的内容过滤、 URL过滤、功能变数名称劫持等高级封锁技术的基础。这些以后会逐渐谈到。
对于IP封锁,一般来说ZG是有2个列表的,一个是固定的列表,这个是常年封锁的,比如美国之音等。还有一个是动态变化的,就是被封的IP可能在这个列表中保留若干时间(几个月),然后再解封。动态的列表主要是针对代理和其他的一些临时的网站封锁。
IP 被封锁后的现像是,这个IP再也无法访问大陆的任何站点,而大陆的站点也没法再访问这个IP。当然现在国内的各个ISP也挺多,都有各自的出国线路,所以也可能会有些漏网的。比如很多时候,电信封锁了某个地址,而网通并没有那么积极,可能过一段时间再封,那么网通的用户还暂时可以浏览这个位址。
另外,由于海外的各种各样的网站和代理服务繁多,ZG也是看着有点威胁的就封了,其中包括很多家庭用的动态IP。如果哪位读者,在家里上网却看不了大陆的大部分网站,那么很不幸,您也是这个荒谬政策的牺牲者之一了。有很多大公司受到池鱼之殃的。一些大公司的IP,包括雅虎、惠普、CISCO等,也曾经由于他们加了自动的扫描功能变数名称来封锁IP而被封,不过很快就解除了,因为这样中国政府的损失太大。所以他们后来添加被封锁的IP也是比较谨慎,基本是由专人在管理。
仅仅过滤网址和内容的关键字,是没法封住利用加密手段建立的网站和代理的。那么ZG也一直在想如何从根本上封锁住任何需要封锁的网站。域名劫持就是不顾国际公约的黑客手段,在自己的网络范围内把别人的域名(网络地址)改成假的IP地址,让自己网络范围的人都没法访问别人的地址。
讲到这里,先需要解释一下域名解析(DNS)的原理。大家平常见到的网络地址,都是一个字符串的形式,比如
www.google.com 这样的形式,而计算机实际上看不懂这样的地址,他需要用域名解析(DNS查询)的功能把字符串对应到真实的计算机能够识别的网络地址(IP地址,比如 216.239.53.99 这样的形式),然后才能够进一步通信,传递网址和内容等。在世界上一共有十几个根本(Root)级别的域名服务器,ZG却没有一个,那么他就不能从根本上控制修改别人的域名。这个时候,它们就想到了利用上文中提到的,IDS监测系统来查找所有的域名解析(DNS查询)请求,把其中的含有关键字的请求找到,然后返回一个假的地址,这样就从根本上防止人们访问被过滤的网站。具体来说,比如人们想访问一个网站
http://qingzhou.sytes.net , 那么浏览器先需要查找DNS服务器,看这个域名qingzhou.sytes.net对应的IP地址是哪里,然后才能进一步发出访问请求。由于国内没有根本级别的域名服务器,所以会一级一级的查询到海外来。而在大陆ISP的骨干网络节点的监视系统就会捕捉到这样的请求,然后返回一个假的IP地址(一般是随机的从下面3个地址中挑一个:88.88.88.88 , 65.80.152.100 , 64.33.88.161)。由于假的IP地址返回速度一般都比真实的IP快,那么浏览器等网络工具就会先认识假的IP地址,从而无法访问真实的网站。一般的用户是根本识别不了这样的技术差别,□是知道无法访问那个网站,却根本不知道这是由于网络过滤造成的。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
