2007年10月24日星期三

Ебать the GFW

  
GFW是什么?

防火长城也称中国防火墙或中国国家防火墙,指中华人民共和国政府在其管辖互联网内部建立 的多套网络审查系统的总称,包括相关行政审查系统。其英文名称Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。

一般情况下防火長城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由於中國網絡審查較為完備,中國國內的不合適網站會直接行政干預和關閉,故防火長城主要作用在於對中國境內外的網絡資訊互相訪問進行分析、過濾、阻斷。

除了思科公司为国安开发的防火长城外,还有一套网络安全软件——金盾工程,也是有明确参考文献的过滤系统,如中共的《警察技术》一杂志,就多次提到 金盾和“网监”即公共信息网络安全监察人员,此外在抓捕一些网络犯罪的“评先进”电视节目中,公安部下属的网络监察人员也会现身说法,为听众讲解中共对网 络监管审查的政策,所以这些并不是什么“国家机密”。



金盾工程

完成对互联网的监控大概是“金盾工程”的第一期任务。在这方面,“金盾工程”设定的目标是封锁信息(主要封锁国外网站和服务器,包括封锁网址、网络交流关键字与电子邮件等,所采用的技术包括Ip地址封锁、网页内容过滤、网址过滤、Https证书过滤等等)、实施对网络活动的全面自动监控(如在企事业单位安装过滤软件,系统地过滤网络服务器上通过的邮件、聊天室和即时通讯的内容,并将民众的电子邮件存档,发现并报告敏感内容)、对“重点”目标的所有网络活动实行实时监控(包括网吧监控、个人上网监控等)、收集情报、破坏(如劫持域名和劫持个人电脑)等。此外,“金盾工程”还将支持对网络的行政管理,包括决定网吧的关停,实现网吧监控软件与公安局监控系统的联网和个人上网实名制。



世界上越是优秀的服务,越是有可能被GFWed,这大概就是这个国家的用户不得不面对的一个悲哀。过去是Google、Blogger、Wikipedia、WordPress.com、Vox.com……现在轮到了Flickr。

世界上最令人捉摸不透的东西除了女人的心外,应该就是中国的GFW了。

这两天闹得沸沸扬扬的FeedBurner被封后来又解封的事情,到了现在也没有个结论。

Blogspot.com解封,根据幻灭的麦克风的说法,是因为blogger的故障,临时把DNS指向了另外的服务器,GFW还没反应过来的缘故。

中国ZF其实已经在不同场合间接承认了GFW的存在,比如:江泽民接受华莱士访问的时候:

  华:主席先生,你为什么封锁网站,包括
BBC和华盛顿邮报网站,理由何在?你不信任人民从网路上取得信息及学习吗?
  江:我希望人们将从网上学习很多有用的事情,但无论如何,网上有时也有不健康的东西,特别是网上的色情内容--对我们的年轻人伤害很大。
  华:BBC和华盛顿邮报网站没有色情的东西。
  江:它们被禁可能是因为有些政治消息的报导,我们需要有所选择,我们希望尽可能地限制对中国发展无用的信息。

还有中国国务院新闻办官员的一些发言:

刘正荣:中国公民可自由使用国际互联网
国新办:中国管理互联网符合国际通行做法

摘录几段:

  刘正荣说,有些境外互联网网站刊登了违反中国法律的内容,主要是淫秽色情或恐怖内容,中国通过互联网服务提供商采取了必要措施,这是可以理解的和必要的。
  刘正荣强调,中国没有针对某一国家或某一网站实施特别标准,中国采取这些措施的信息也是透明的。
  刘正荣强调,在中国不能浏览的境外网站数量是非常少的,中国与境外的信息沟通是顺畅的,境外知名网站都是可浏览的。
  刘正荣补充说,任何国家的警察和执法机关对网上的违法行为熟视无睹的话,都是不可理解的。刘正荣研究过美国的《爱国者法》,该法对美国的执法部门如何获取公民的个人信息和通信行为做了具体的规定。
中国ZF依法对互联网进行管理,尽可能限制那些违法、违背社会道德,尤其是对青少年有害的内容在网上传播。这样做的目的是维护广大公众的利益,是合情、合理和合法的。外国公司如要在中国进行运作,也应该遵守中国的法律法规。

对于这些表态,我的理解是这样的:

GFW的存在是十分必要的
GFW的存在是符合中国的法律和世界许多国家的一般做法的
GFW只过滤那些违法、违背社会道德和对青少年有害的网站
我向来是赞同“多谈问题,少谈主义”的。我一直认为解决问题比分清楚谁是谁非要重要得多。既然我们政府认为,按照目前的社会发展阶段和我国的国情,GFW的存在十分必要,那么我认为ZF应该理直气壮地承认GFW的存在并且把GFW制度化。

承认GFW的存在的最重要一点是公布GFW的管理机构。目前,如果我的护照、港澳通行证出现什么问题,我知道我可以向公安局的出入境办公室查询,货物进出口遇到麻烦我可以向海关查询。不知道是不是我的消息闭塞,如果我访问不了国外的某个网站,我是不知道应该向哪个机构查询的。运营商?答复肯定是,您再试试访问其他网站正不正常,如果访问其他网站正常,他们就可以理直气壮的说不是他们的问题了。信产部?CNNIC?反正目前我的做法是,叫一个在国外的人试试,或者用代理服务器试试,如果正常了,说明给GFW封了。


如果政府承认GFW的存在并将其运作制度化,我觉得至少有以下的好处:

1、大家不用再天天在那里抓瞎了。不用在为FeedBurner是否给封捏把汗了。查询一下就知道是否是“黑名单上的人”。是也不怕,有一段时间可以给你转移数据和服务。有关部门还可以和中移动合作,订阅GFW封网通知短信。对一个网站收1块钱就行,象FeedBurner这么多用户,个个都怕它被封了,能收多少钱啊?足以再向CISCO定购更加先进设备了。

2、防止GFW给国内的互联网企业利用。国内的互联网公司神通广大,认识有关部门的有关人员,吹吹风,提供点数据就可以让他们如临大敌。如果广大网民也知道投诉的渠道,至少可以让有关部门的有关人士听听另外一面的观点。或者也不排除有部分“热心”的网民,会更主动地向有关部门提供境外“有害”网站的信息,积极配合GFW的运作。


而我仅仅为可以正常使用我的biges3.blogspot.com就在不断的使用各种跳过GFW的方法。道高一尺,“魔”就想法高一丈;就算Ta两手抓,两手都要硬,我就不信Ta没有软的时候!

从开始的使用http://biges3.blogspot.com.nyud.net:8090/浏览,到后来用入口在巴基斯坦的http://www.pkblogs.com/http://www.inblogs.net/+ biges3来浏览,再然后用修改本机hosts(添加72.14.219.190 biges3.blogspot.com )文件的方法。

本以为在使用境外的DNS解析Blogger地址终于可以避开GFW的时候,在单位刚刚换了铁通的光纤之后竟然发现blogspot竟然又被内部的防火墙和网关毙掉了!!! 内忧外患让我一瞬间明白了当时我D同时面对Jp和GMD的感觉。这个故事告诉我们:实行爱国主义教育最好的方法就是营造相似的条件让LBX感同身受,这样他们才能了解革命先烈的光荣传统,爱祖国,爱人民。鲜艳的红领巾飘荡在胸前... ...


写这些东西的时候,我想到了一个很热门的东西《面对强奸,冒死反抗是人类的耻辱》,看了凤凰卫视的 一虎一席谈,我发现深海水妖陈岚和李银河的观点总的就是:当强奸无可避免的时候,如何更加理性地面对它。

面对着我们社会的种种不合理的现象,我也象老罗一样,有时很想大喊一下:

我操这个世界!我操这个时代!

但我想得更多的是D.H. Lawrence在《查泰莱夫人的情人》开始的时候说的:“Ours is essentially a tragic age, so we refuse to take it tragically. -我们所处的基本上是一个悲剧的时代,所以我们拒绝以悲剧的姿态来面对它。

对于GFW,我觉得我们也应该以妥协的态度来面对它。你大可高调地说让它制度化不是等于承认了它存在的合理性吗?你大可举出GFW存在的种种不合理性,但是我认为,既然我们ZF认为它有存在的必要,一亿多的网民还要在它后面生活很长的时间,那么我们有没有可能找到一种更加合理的办法,让它尽量符合ZF的原意,而不是沦为利益集团的谋利工具呢?

对于那些已经离开中国,也就是在制度之外,高调地批评中国的制度,甚至要求西方制裁中国的人,我向来是嗤之以鼻的,因为为那些人基本是站着说话不腰疼,没有任何风险的。我更加佩服的是那些在制度之内的,在他们力所能及的范围内,冒着巨大的风险,尽可能地去改善制度的弊端,对制度去做有限度地抵抗的人。比如:程益中、蒋彦永等人。

但愿我们的互联网、我们得社会能变得更加美好一点。


--到本篇日志更新时,在单位仍然无法访问biges3.blogspot.com, 只能通过http://flyproxy.com,把地址输入页面中间的文本框浏览。但页面顶端是会有广告条的,而且不是所有的类似这样的代理都能躲开GFW的监视的。

P.S.

一、GFW的制度化包含了下列几点


1、设立预报机制

由于很多国外的互联网服务做得很优秀,大量的网民都使用它们作为上网的日常工具。比如使用gmail作为自己和企业的邮箱,bloglines作为rss订阅的工具,FeedBurner作为管理自己网站的Feed的工具。我们当然非常希望可以畅通无阻地使用这些服务,但如果对于某个服务,我们政府认为非封不可,能否有一个机制可以预先提醒一下,起码给大家一个备份数据,转至其他同类服务的时间。

2、设立查询机制

就象我上面说的那样,当大家发现某个网站访问不了时,可以有一个地方去查询是不是我们ZF认为这个网站不能给我们访问。

3、设立沟通机制

几年前,为开源社区提供服务的sourceforge.net也给封掉,据说是因为上面有些软件是可以让用户绕过政府监管访问国外的网站。我们这些很依赖于开源项目的公司顿时傻眼了,但又无可奈何,因为根本不知道可以向谁投诉这个问题。当时寻找可以绕过GFW的方法的一个很重要的目的就是为了可以访问sourceforge。当然,后来sourceforge解封了,当然,也不知道为什么。设立沟通的机制的目的也就在这里了,一个是有关部门和用户的沟通,用户可以有途径告诉有关部门,这个网站对于我们来说有多么重要,“有害”信息只是占了极小的部分。另外一方面是网站和有关部门的沟通,有点类似于几年前Google被封的事情,通过沟通,后来吧“网页快照”放在独立的服务器上,GFW只封“网页快照”。通过这样的沟通机制,我相信很多的问题是可以得到解决的。毕竟大部分上网的人只是为了获取某方面的信息或者服务,而不是为了颠覆我们的政权。



二、GFW的主要技术


域名劫持

全球一共有13组根(Root)级别的DNS服务器,目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制,所以中国大陆方面未能从根本上控制网站域名。

2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高 级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。

暂时不影响到海外以及港、澳的用戶(但给大陆网民带来极大的麻烦)。



三、关于防火长城的结构猜测


国家入口网关的IP封锁

从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手 段。对于IP封锁,用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。

所以,网络封锁部门现在通常会将中国政府认为特别敏感的网站的网址加入关键字过滤系统,以防止民众透过普通海外http代理服务器突破。


主干路由器关键字过滤阻断

在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要 的就是IDS(Intrusion Detection System)— 入侵检测系统。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安 全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较 大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。从目前已知的情况看,这种关键字过滤技术只对TCP 连接有效,对UDP及其他第四层协议无效,对明文数据有效,对加密数据无效。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所 有通信。

所以在访问境外网站时,如果数据流里敏感字符时,即会立即被提示“该页无法显示”或网页开启一些后突然停止,随后在1-3分钟的时间内无法用同一 IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如 在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内不可访问。(Google.cn除外,原因是国外DNS服务器会将此域名同样指向美国的 Google服务器)。

被屏蔽过滤的关键词主要是xxx、xx、xx、xxx、xxxx、xxxxx、xxxx、xxx、xx、xxxx、xxxx、xxxx、部分国家领 导人姓名、境外媒体、色情、破网软件等字眼上,最近更将”zh.wikipedia.org”维基百科中文网的网址也列入了屏蔽关键词中,故导致无论使用 什么类型或网址的代理服务器都不能正常登入维基中文版。

不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷 新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站就能正常使用(如 my.opera.com)。

对于google.com的查询返回结果有报道称是专门过滤的,即GFW针对google.com返回结果中的网页地址进行过滤,对关键字的过滤并 不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google.com返回的大量网页,中国网络审查更经济而有效的方法便 是像前面所说的一样,而且事实上对于google.com的审查也正是如此。

从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗 源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要 是通过ICP备案来实现的。

从2007年2 月前后,GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转 换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被阻断。2007年2月 8日后,原本可以通过Google.cn移动版访问维基百科的方法也证实失败。估计原因是中国移动在GPRS网关处也安装了一台GFW设备。

6 条评论:

匿名 说...

  
在上次“下载中”事件中,百度以迅雷不及掩耳盗铃之势屏蔽掉了那个关键词(我的blog也几乎被删完了),导致包括我在内的部分网友很郁闷。值得欣喜的是百度日本的上线,其中某些原因加强了部分百度憎恨者对其的好感,直接结果是好几层的用户都来自与百度一母同胞的中华人民共各国。

我们知道,百度为了响应号召提高网民素质,也为了保护其形象,于是屏蔽掉了那个关键词删掉了与之有关的blog、网站。百度与某些部门鱼水情深充分体现出来,把Google这些外来户气得半死。百度这个全球最大的中文搜索引擎屹立在东方文明的土地上,非常挺。

但我刚才发现百度日本居然也被GFW了,这可挺让人纳闷的。百度的奶头(baidu.net)已经被人割掉,百度的鸡巴(baidu.jp读起来特别像)也将被人割掉。这让我们怎么支持国产企业呢?我们连网站都打不开。

可是百度愿意吗?自己的奶头已经被剜掉,鸡巴再被割掉那怎么搞?百度真的不需要国人支持?百度真的要兢兢业业地去服务日本网友? 看看在百度和其他数家公司的所谓的斗争中,百度像一方霸主,竞争中的对手和网民仿佛是地痞小流氓。反正在这里,爷就是老大,爱谁谁。

当然了,百度日本现在的目的是打开日本市场,而不是中国这些个破网民。在百度认为日本市场相对成熟一些的时候,中国网民肯定还可以访问搜索。只不过会像Google.Cn那样而已,来自某地的访问者,自动过滤掉某些关键词。百度撞墙是不可能的,玩玩儿而已。难道你还真以为百度不需要日本以外的网民啊?难道你还真以为百度会背个亲日的“罪名”啊?

肯定不愿意。所以,百度被GFW,未必是真的。极有可能是它自己搞得一个假象。网民无法正常访问baidu.jp,把网民的仇恨全部转移到GFW也就是政府的身上。百度要小心,虽然你和他们关系很好。长城可不是随便玩儿的。

长城是干嘛用的?对付敌人的。

Bige M 说...

  
安全上网和写博客的十个技巧


  相信个人电脑上网的安全问题困扰着每一个上网用户,安全的写博客防止自己惹上意想不到的麻烦也困扰着博客作者,那么,怎样才能保证我们自身的安全并免受外部攻击呢,这里我以自身的经验讲述十点安全技巧,希望大家能补充并探讨。

  1、保证上网的环境是安全可靠的

  不要在网吧上网,要在自己家中上网。网吧用电脑很可能是安全的,但我们无法确认这一点,与此相反的是我们可以保证自己家庭的电脑的安全性。

  2、匿名写作和注册资料

  注册和创建博客时不使用自己的真名,而是使用笔名。不要在博客或者论坛上传自己的照片和真实的身份资料,这点在《网络时代如何保护自己的隐私》中有更为详细的解释。

  3、使用安全的电子邮件系统

  对外联系的信箱,绝对不要使用国内的邮件服务,尽量使用Gmail、Hotmail等国外信箱。

  4、安全地发布文章

  发布交互信息一定要使用代理服务器。例如使用国内的博客服务发表信息时,要使用“匿名代理服务器”、Tor或者Torpark登录发表。

  5、安全的发送电子邮件

  保证所有外发的电子邮件都不包含自己的IP地址,例如在WEB界面的Gmail发送邮件,邮件内不会包含IP地址,使用Outlook客户端发送则会包含IP地址。

  6、不要使用会泄露自身IP地址的QQ软件

  如果非要使用QQ,那么也要在使用SOCKS5代理服务器,通过代理上QQ以便隐藏自己IP地址。

  7、删除或者关闭多余的服务和网络协议

  我们上网时只要使用TCP/IP协议即可,因此我们可以去掉多余的网络协议,对于电脑的服务也是一样的,比如个人电脑不用打开IIS服务和远程桌面服务。

  8、发现异常后立即断开网线

  如果发现上网速度突然变慢,并且观察连接状态的“已发送字节”异常,那表示电脑可以被入侵,在进行杀毒处理前请先断开网线。

  9、使用防火墙

  开启Windows自带的防火墙服务,另外还可以安装一些其他的防火墙系统,例如免费的ARP防火墙

  10、定期使用杀毒软件进行检测杀毒

  预防本地电脑病毒,可以定期运行杀毒等安全软件检测系统的安全和漏洞,发现病毒及时清除。

Bige M 说...

  
GFW 第一定律:只要是 “用户产生内容”(User-generated content, UGC) 的国外网站都会被和谐。

GFW 第二定律:只要是被和谐的网站,国内一定会有个克隆版。

GFW 第三定律:没有被和谐的网站一定不是同类竞争者中最出色的。

Bige M 说...

  
  Oliver 是一位居住在中国的自由职业者,他在8月份做了一份调查,描述了 GFW 运作者的官僚主义和无能为力。在中国民众和 GFW 之间的战争,最终胜利的将是人民群众。一些活跃分子致力于传授对抗 GFW 的技巧。

  从他们那里了解到,审查制度不仅容易被逾越,又是它们也经常自乱阵脚。比如北京宣传部每周会更新禁止条目,以便政府控制舆论,内容包括全国各地的负面新闻、抗议和内部消息。报纸上自然看不到相关内容,但是在网上,一些新闻工作者会告诉你事情真相。

  Oliver 自述他曾被公安局传唤,询问他是否与国外同行联系。

馬尚風 说...

站長你好!你的文章"什么是GFW及废话"已被收錄到『「中國封」諷中國』中。

被和諧的網站,請一起來參與『「中國封」諷中國』這個不和諧運動!

它的目的就是大家一起来打烂「防火长城」!

二零零六年國務院新聞辦主任蔡武在美國華盛頓說“中國的中文互聯網是世界最自由的平臺”。他之所以敢這麼說是因為大多數人都不容易看見「防火長城」(GFW-Great Firewall of China)。「中國封」的推出就是想解決這個悖論,使本來不可見的GFW可視化,現出其原形。如果自己沒有被封鎖的網站或博客,也懇請向更多的人介紹「中國封」。網址http://ChinaBlockage.blogspot.com 當然已經被封鎖了。

請看其他網站對「中國封」運動的評論:
http://blog.chenchangming.com/
http://memedia.cn/2008/02/18/64

Bige M 说...

  
"遥远的东方
辽阔的边疆
还有远古的破墙
前世的沧桑
后世的风光
万里千山牢牢接壤
围着老去的国度
围着事实的真相
围着浩瀚的岁月
围着欲望与理想......"