防火长城

防火长城(英语:Great Firewall,常用简称:GFW),中文也称中国国家防火墙,通常简称为防火墙等,中国国家互联网信息办公室称为数据跨境安全网关 ,是中华人民共和国政府监视和过滤网际网路国际出口内容的软硬体系统集合,用于通过技术手段,阻断不符合中国政府要求的网际网路内容传输,一般认为由方滨兴主持设计。

随着防火长城逐渐为人熟知,「墙」一词有时也被用作动词,[7][8][9],「被墙」即指网站内容被防火长城所封锁。「翻墙」、「挂梯子」也被引申为突破网路审查浏览中国大陆境外被封锁的网站或使用服务的行为。

简介

一般情况下,中国国家防火墙,即防火长城,主要指中华人民共和国政府用于过滤网际网路国际出口上内容的软硬体系统的集合。[6]例如中国政府将查获的特定网点阻断,造成大家所熟知的连线错误现象,因此防火墙不是该国特有的一个专门单位,是由分散部门的各伺服器和路由器等装置,加上相关公司的应用程式所构成,是一个军民合作的大型资讯管制系统,世界其他一些国家也存在网路审查,不过其审查物件、规模、执行主体等均与中国的审查机制有着相当大的不同(参见:网际网路审查),例如仅止于金融洗钱、国际诈骗等犯罪行为,或者仅审查儿童色情相关。而防火长城的作用是监视所有经过国际闸道器的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、封锁。由于中国网路审查广泛,中国国内含有「不合适」内容的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境外网路的资讯互相存取。

2021年11月,中国国家互联网信息办公室发布的《网路资料安全管理条例(征求意见稿)》指出数据跨境安全网关是指「阻断存取境外反动网站和有害资讯、防止来自境外的网路攻击、管控跨境网路资料传输、防范侦查打击跨境网路犯罪的重要安全基础设施。」[10]

中国国家防火墙之父方滨兴

中国工程院院士、北京邮电大学前校长方滨兴是防火长城关键部分的首要设计师[2][11][12][13],被称为中国国家防火墙之父[11]

方滨兴称此系统起步于1998年[11],然而第一次使用 Great Firewall 这个名字的是白杰明桑晔所写的文章《The Great Firewall of China》,文章发表于1997年6月1日,称当时中国金桥资讯网中国公用电脑网际网路已经有在封锁国外新闻网站,这一审查系统开发开始在 1996 年。[14][15]

防火长城对网路内容的审查是否没有限制和不违反言论自由,一直是受争议的话题,官方说辞也相当笼统。有报告认为,防火长城其实是一种圆形监狱式的全面监视,以达到自我审查的目的[16]。2007年,人民网转载了题为「百度日本站被GFW封锁 疑与色情内容有关」的文章,是官方最早先提到此系统的报导之一。[17]2011年2月17日有记者在外交部新闻发布会上问及网际网路封锁等问题,发言人的回答是:

众所周知,中国的网际网路发展迅速,网友人数增长很快,已超过4亿。中国政府鼓励和支援网际网路发展,依法保障公民言论自由,包括网上言论自由。同时,中国对网际网路依法进行管理,这符合国际惯例。我们愿同各国就网际网路相关问题加强沟通和交流,共同推进网际网路的良性发展,但反对任何国家借口网际网路自由等问题干涉中国内政。[18]

次日,方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的,他拒绝回答,说 「It's confidential.」(这是机密)[11]

北京大学斯坦福大学两名经济学家在2018年的研究认为,中国大学生对于获取未经审查的政治敏感资讯漠不关心。[19]

主要技术

防火长城工作在旁路,而非闸道器[20]

域名解析服务快取污染

从2002年左右开始,防火长城在国内进行域名伺服器快取污染[21]

防火长城对所有经过骨干网国际出口路由的位于TCPUDP的53埠上的域名查询请求进行IDS检测,一经发现处于黑名单关键词中相匹配的域名查询请求,防火长城作为中间装置会向查询者返回虚假结果,比真的回复更早到达。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协定是无连接不可靠的协定,查询者无法验证返回结果的正确性,而TCP协定则可以使用TCP连接重设来中断连接来阻止获得返回结果。

防火长城向查询zh.wikipedia.org的DNS请求注入伪造回复(使用dig测试)

截至2020年,存取大部分被墙网站时,均会解析到特定的非中国IP位址,如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1资料中心、美国 德克萨斯州达拉斯市SoftLayer科技公司等的IP[22][23],这些IP位址通常已经被封锁,如果没有被封锁则使用者可能看到浏览器的无效TLS凭证之警告。

污染事件

  • 2010年3月,一名智利域名注册商的技术人员发现向位于中国的根伺服器查询facebook.com、youtube.com和twitter.com等域名时的回复不正常[24][25][26][27]。中国根伺服器运营商Netnod于是暂时切断了其与网际网路的连接。安全专家认为这与Netnod无关,而是中国政府修改某处网路时造成的[28][29]
  • 2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大规模的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常存取,其中甚至包括不存在的域名,而Google为各国客制化的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡存取的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。[30]
  • 2014年1月21日下午三点半,中国网际网路顶级域名解析不正常,出错网站解析到的IP是65.49.2.178,这个IP位于美国加利福尼亚州费利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由门的开发公司)租用于翻墙软体连接节点[31][32]。研究人员认为这是因为防火长城的工作人员操作失误。[33] [34]
  • 2015年1月2日起,污染方式升级,不再是解析到固定的无效位址(例如环回位址,全零位址[n 2]等),而是随机地指向境外的非保留IP位址。刚开始只是对YouTube影片域名(*.googlevideo.com)进行处理,之后逐渐扩大到大多数被污染的域名。[35]这导致了境外伺服器遭受来自中国的DDoS攻击,部分网站因此封锁中国IP。[36]
  • 2016年3月29日起,防火长城针对Google升级了污染方式。在一开始升级过后,所有包含google, gmail等关键词的域名查询均被污染,导致很多使用者一时间完全无法正常使用Gmail服务。之后,防火长城对规则进行了调整。其中,对于*.google.com域名污染主域名(google.com,不包括www)及部分服务域名(drive.google.com, plus.google.com等),而针对地区域名则选择性地污染泛域名(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地区的域名则不受影响(*.google.us等)。[37]

IP位址或传输层埠封锁

对拦截行为观察发现,在早期技术实现中,会使用存取控制列表(ACL)技术来封锁特定的IP位址,由此延伸可以封锁传输层协定(TCPUDP)的特定目的埠的网路流量[21]。不过由于大量的ACL匹配会导致网路效能不佳。现在主要是采用了效率更高的路由扩散技术封锁特定IP位址,也就是通过将需要拦截的IP位址组态为空路由、黑洞装置或特别组态的自治域网路上,然后通过动态路由协定将相应组态路由扩散到公众网际网路网路中,从将条件匹配拦截行为转为路由器的常规转发行为,从而提高拦截效率。多见于自主拥有大量IP位址段的需要审查的企业中,例如FacebookGoogleTelegramTwitter等。

在大规模自治域的出入口路由器上新接入一个起控管作用的子网路或者AS域,将要受控的网路位址组态在这个子网路或者AS域内的路由器中,这样利用动态路由协定的网路拓扑自动辨识特性,在出入口路由器上将生成受控网路位址的路由资讯,将自治域内部网路对这些受控网路位址的存取转入到这个控管子网路或者AS域的网路中,从而实现对受控网路位址的流量控制 。[38]

针对TCP和UDP连接的封锁

2011年3月,防火长城曾经对Google部分伺服器的IP位址实施自动封锁(按时间段)某些埠,按时段对www.google.com(使用者登入所有Google服务时需此域名加密验证)和mail.google.com的几十个IP位址的443埠实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此回圈,使中国大陆使用者和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。[39]Google指责中国这样的封锁手法,因为Gmail并非被完全阻断,营造出Google服务「不稳定」的假象,表面看起来好像问题出自Google本身。[40]

2014年5月27日起,Gmail网页版的80和443埠被封锁。2014年12月26日起,Gmail客户端所用的IMAP/SMTP/POP3埠也被封锁。[41] [42]

目前[何时?]防火长城会通过限制QoS优先级的方式干扰向境外的UDP连接,如网站使用HTTP/3(QUIC)协定时。[43]

TCP连接重设

Firefox的「连线被重设」错误讯息。当碰触到GFW设定的关键词后(如使用Google等境外搜寻引擎),即可能马上出现这种画面。

TCP重设是传输控制协定(TCP)的一种讯息,用于重设连接。一般来说,例如伺服器端在没有客户端请求的埠或者其它连接资讯不符时,系统的TCP协定堆叠就会给客户端回复一个RESET通知讯息,可见RESET功能本来用于应对例如伺服器意外重新启动等情况。防火长城切断TCP连接的技术实际上就是比连接双方更快地传送连接重设讯息,使连接双方认为对方终止了连接而自行关闭连接。

防火长城自2002年开始自动执行TCP重设攻击[21]

外部影片连结
video icon Observations in mainland China (Chinese)YouTube
防火长城检测到伺服器名称指示(SNI)包含zh.wikipedia.org即注入伪造的TCP重设(reset)包(使用cURL测试)

一般这种攻击方法需要结合相应的检测方式来实施,请看深度包检测

深度包检测

深度报文检测(Deep packet inspection, DPI)是一种于应用层对网路上传递的资料进行侦测与处理的技术,被广泛用于入侵检测流量分析数据挖掘。就字面意思考虑,所谓「深度」是相对于普通的报文检测而言的——相较普通的报文检测,DPI可对报文内容和协定特征进行检测。

在中国大陆,DPI一度被ISP用于追踪使用者行为以改善其广告推播业务的精准性,而最近则被开放网路促进会视为防火长城城赖以检测关键词及嗅探加密流量的重要技术之一[44][与来源不符]。基于必要的硬体设施、适宜的检测模型(关键字过滤)及相应的模式匹配演算法,防火长城能够精确且快速地从实时网路环境中判别出有悖于预期标准的可疑流量,并对此及时作出审查者所期望的应对措施。

被认为在防火长城部署了的深度包检测包括:

  • HTTP协定的传输内容是未经过加密的,中间装置可以窃听。防火长城对 HTTP回复的检测在2008年末终止[45],对HTTP请求的Host栏位的检测仍然存在。
  • 早期TLS版本中,伺服器握手回应,包括站点凭证,是未被加密的,所以可以用于辨识出存取站点。自TLS 1.3开始,ServerHello之后的握手资讯,包括站点凭证,也会被加密后传输,一般可以认为能防止对凭证资讯的检测。[46][47]
  • 伺服器名称指示(SNI)是TLS的一个扩充协定,该协定下,在握手过程开始时客户端告诉它正在连接的伺服器要连接的主机名称 [48]。由于SNI资讯并未加密,审查者可以辨识出使用者存取的网站域名。这种检测是在2018年8月部署的[n 3][49][50],在关于加密伺服器名称指示IETF草案发布刚刚1个月后。[48]

TLS站点凭证中间人攻击

2013年1月26日,有中国大陆的使用者在存取GitHub时发现凭证无效,经检查发现,GitHub的凭证变为了一自签署的X.509凭证,生成时间为2013年1月25日,有效期一年,故有人推测GitHub疑似遭到了中间人攻击GreatFire和研究人员认为攻击是由中国政府策划的。[51][52]

自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL凭证错误的提示,其中以连接www.google.com.hk几乎是每次连接均收到攻击,而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告,但攻击发生的机率相对较低。伪造的SSL凭证显示其为google.com,颁发机构即为其本身,与真正的凭证不同,显示Google在中国教育网上受到中间人攻击(MITM attack)。GreatFire认为攻击是中国政府策划的[53]

2015年1月17日,Outlook遭到了中间人攻击[54][55][56]。19日,GreatFire撰文称怀疑此攻击是由国家互联网信息办公室(网信办)发起的[54];22日,网信办对此文作出了回应,称「Greatfire.org是境外反华组织创办的反华网站」,「这一无端臆测,纯属境外反华势力的造谣和污蔑」[57]

其他

破网软体的反制

因为有防火长城的存在,大量境外网站无法在中国大陆境内正常存取,于是大陆网友开始逐步使用各类破网软体突破防火长城的封锁。针对网上各类突破防火长城的破网软体,防火长城也在技术上做了应对措施以减弱破网软体的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击破网软体,最大限度限制破网软体的穿透和传播。

2015年1月,部分国外VPN服务在中国大陆无法正常使用,包括L2TP/IPSecPPTP协定。[58][59]

被动监测
主动探测

Tor专案的研究人员发现防火长城会对各种基于TLS加密技术的连接进行刺探[60][61],刺探的类型有两种:

  • 「垃圾二进位探针」,即用随机的二进位资料测试对应埠,任何从中国大陆境内存取境外的443埠的SSL连接都会在几乎即时触发探测[62]
  • 针对Tor,中国的一个Tor客户端与美国的网桥中继建立连接后,每15分钟网桥中继都可以收到来自中国IP的探测,其会遵循Tor协定传送一些讯息,用于确认是否为Tor网桥。

gfw.report 发现并研究了防火长城对Shadowsocks的审查,确认防火长城已经启用主动探测的手段来辨识Shadowsocks伺服器。[63][64]

间歇性封锁国际出口

从2011年5月6日起,中国大陆境内很多网际网路公司以及高校、学院、科研单位的对外网路连接都出现问题,包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对使用者IP位址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当使用者使用了破网(翻墙)软体后,其所在的公共网路IP位址会被临时封锁,所有的国际网站都无法存取,包括MSNiTunes Store等,而存取国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS伺服器被封锁导致无法解析任何域名,国内网站也会无法打开[65]。也有分析指,此举是中国当局在测试逐步切断大部分人存取国际网站的措施,以试探使用者反应并最终达到推行网路「白名单」制,也就是凡没有在名单上的企业或团体其网路域名将不能解析,一般使用者也无法存取[66]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的使用者支付国际流量费用,因此这些公司「有动机」去阻碍使用者存取国外网站。一位不愿留名的工信部官员说,使用者碰到这些情况应先检查自己和网站的技术问题。[67][68]

电子邮件通讯的拦截

正常情况下,邮件伺服器之间传输邮件或者资料不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在资料传输中间,所以会干扰到内容。[69]也有网友根据防火长城会过滤进出境邮件的特性,寻找到防火长城部署的位置。[70]

2014年12月26日,有很多中国大陆网友反映说一度无法通过客户端登入到Gmail。在此之前,国内一些使用者可以通过IMAP、SMTP和POP3接收、下载邮件;据路透社报导Google旗下的Gmail业务已经被当局封锁。[71]12月30日,Gmail的邮件伺服器功能已在中国大陆境内恢复部分功能。[72][73]但Gmail网页版至今仍被封锁。

主动攻击

中华人民共和国从2015年3月开始,使用一种被称为「大炮」的网路攻击攻击方案,对可能涉及违反审查要求的特定网站,进行分散式阻断服务攻击(DDoS)。[74][75][76]

其中2015年3月针对GreatFire的攻击,通过包括劫持常见的网站工具指令码植入攻击代码、一些常见浏览器漏洞等方法,攻击其运营在内容传递网路的被封锁网站的镜像站点,之后又持续五天对代管其反审查专案的GitHub网站进行攻击,导致网站全球存取速度缓慢。[77]中国政府否认有关指责。[78] [79][80]

硬体

据2010年的估计,防火长城可能拥有数百台曙光4000L伺服器[81]

参与建设

  • 美国作家Ethan Gutmann说,思科系统和一些其他通信装置供应商向中华人民共和国政府提供了具有流量监视和过滤功能的网际网路装置,用来封堵网站和追踪网上一些活跃的民运人士。2006年2月,美国国会为此召开听证会,向思科、微软、雅虎、Google四家公司提出质询。美国中国资讯中心的亨利·吴(Henry Wu,China Information Center)指责,思科不断主动地与中国中央及各省国家安全部门联络,向其提供最新技术,包括警车间的即时通讯和指挥系统、以及声音辨识技术和指纹鉴别技术。[82]记者Sarah Lai Stirland在Wired News发表了一篇文章,并公布了一份泄漏的思科机密PPT文件。该文件详细描述了思科和中国政府在金盾工程上具有商业性质的合作[83]。她还在文章中指责,思科在市场行销中将这些技术明确划分为「镇压工具(A Tool of Repression)」。思科的辩护者声称,实际上,在中国大陆现行的内容过滤系统中,路由器只是作为底层执行装置对人为指定的目的位址进行封锁,这是任何一台商用路由器都必须提供的基本功能,思科并没有向中国政府提供特别开发和客制化的网际网路装置。[84]
  • 奇虎360公司已经加入中国GFW防火长城计划,并早在在2005年的时候,奇虎360就已经特派两位高管齐向东、石晓虹加入研究搜寻引擎安全管理系统,助力该专案的实行。奇虎360方面拒绝透露其在GFW防火长城计划中承担的任务与角色,但从目前获得的一份资料来看,该专案落实在北京三际无限网络科技有限公司,主要完成人里除了方滨兴在列,奇虎360的高管齐向东与石晓虹也名列其中。[85]

相关事件

参见

注释

  1. ^ 实际上,防火长城作为入侵检测系统,工作在旁路,并非闸道器
  2. ^ 即 0.0.0.0
  3. ^ 请看Help_talk:如何存取维基百科/存档22018年8月的讨论

参考文献

参照

  1. ^ 萧强. 互联网上言论自由的"中国特色". 自由亚洲电台. 2003-12-04 [2021-10-08] (中文(简体)). 外有国家闸道器的防火长城,内有遍布全国的网路警察,那些论坛和网志自然也不是什么共产党的辖外飞地。 
  2. ^ 2.0 2.1 肖卓. 全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法. 中国资讯工业网. 2010-03-11 [2021-10-08]. (原始内容存档于2013-01-01) (中文(简体)). 全国人大代表、北京邮电大学校长方滨兴曾担任国家电脑网路与资讯安全管理中心名誉主任,被誉为中国国家防火墙(GFW)之父。 
  3. ^ 赵衍龙 (编). 社评:防火墙带给中国互联网哪些影响. 环球时报. 2015-01-28 [2021-10-08]. (原始内容存档于2021-03-25). 防火墙是中国实现网际网路管理一整套技术系统的民间叫法,官方在正式场合从不这么叫它。 
  4. ^ 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知. cac.gov.cn. 2021-11-14 [2021-11-14]. (原始内容存档于2021-11-14). 第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。 
  5. ^ 中国网络新规拟限制赴港上市 提供翻墙违法. 德国之声. 2021-11-14. 数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。 
  6. ^ 6.0 6.1 潘永忠谈中国的网络审查制度. 法国国际广播电台(RFI). 2019-03-20 [2021-07-05]. (原始内容存档于2020-02-26). 
  7. ^ Martin Johnson. 纽时多篇文章被“墙”. Greatfire. 2012-09-06 [2021-06-02]. (原始内容存档于2021-06-02). 
  8. ^ 两岸、新疆、六四⋯⋯被墙前,Clubhouse中文房间在聊哪些公共议题?. 端传媒. 2021-02-09 [2021-06-02]. (原始内容存档于2021-06-24). 
  9. ^ 任琛. WhatsApp“被墙” 因为出事了?. 德国之声. 2017-07-19. 
  10. ^ 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室. www.cac.gov.cn. [2022-02-01]. 
  11. ^ 11.0 11.1 11.2 11.3 Fang Yunyu. Great Firewall father speaks out. Global Times. 2011-02-18 [2021-08-10]. (原始内容存档于2011-02-18) (英语). 
    Fang Yunyu. Great Firewall father speaks out. SINA English. 2011-02-18 [2011-03-03]. (原始内容存档于2011-02-25) (英语). 
    Fang Yunyu. Great Firewall father speaks out. china.org.cn. 2011-02-18 [2021-10-08]. (原始内容存档于2018-03-26) (英语). 
  12. ^ 李永峰. 网民披露方滨兴是GFW之父国庆前夕中国网络再次收紧. 亚洲周刊. 2009-10-04, 23 (39) [2009-09-25]. (原始内容存档于2011-05-15) (中文(繁体)). 
  13. ^ 方滨兴的墙内墙外. 南方周末. [2013-07-18]. (原始内容存档于2013-07-21) (中文(中国大陆)). 
  14. ^ Geremie R. Barme; Ye, Sang. The Great Wall: a wonder and a curse!. chinaheritage.net. 2017-07-26 [2021-08-03]. (原始内容存档于2021-02-26). 
  15. ^ Geremie R. Barme; Ye, Sang. The Great Firewall of China. Wired. 1997-06-01 [2015-12-29]. (原始内容存档于2016-01-01). A computer engineer in his late 30s, Comrade X...is overseeing efforts to build a digital equivalent to China's Great Wall. Under construction since last year, what's officially known as the "firewall" is designed to keep Chinese cyberspace free of pollutants of all sorts 
  16. ^ (英文)JR, Crandall; Zinn D; Byrd M; Barr E; East R, ConceptDoppler: A Weather Tracker for Internet Censorship (PDF), Computer and Communications Security, 2007 [2007-09-13], (原始内容存档 (PDF)于2007-10-26) 
  17. ^ 百度日本站被GFW屏蔽 疑与色情内容有关. 人民网. [2008-09-09]. (原始内容存档于2007-04-18). 
  18. ^ 外交部就"北方四岛"、中国互联网发展等答记者问. 2011-02-17 [2021-05-26]. (原始内容存档于2011-03-02). 
  19. ^ 那些和「防火长城」一起长大的中国年轻人. 纽约时报中文网. 2018-08-07 [2018-08-30]. (原始内容存档于2018-08-30) (中文). 经过18个月的调查研究后,北京大学和史丹佛大学两名经济学家今年得出了结论,中国大学生对于取得未经审查的政治敏感资讯漠不关心。他们给北京两所大学的近1000名学生提供了能够绕过审查的免费工具,但发现近半数学生并没有使用它。在那些使用了的学生中,几乎没人花时间浏览遭到封锁的外国新闻网站。 
  20. ^ gfwrev. 深入理解GFW:内部结构. 2010-02-18. 
  21. ^ 21.0 21.1 21.2 全球网路自由联盟. Internet Blocking Exposed (PDF). [2021-10-02]. (原始内容存档 (PDF)于2020-09-19). 
  22. ^ keckl. “反独清网2021”行动正式打响,一批涉独站点被端. 净协线上. 2021-05-23. (原始内容存档于2021-06-24). 
  23. ^ NP. Hoang; AA. Niaki; J. Dalek; J. Knockel; P. Lin; B. Marczak; M. Crete-Nishihata; P. Gill; M. Polychronakis. How Great is the Great Firewall? Measuring China's DNS Censorship. USENIX Association: 3381––3398. 2021. ISBN 978-1-939133-24-3.  |booktitle=被忽略 (帮助)
  24. ^ Chile NIC explains Great Firewall incident. [2019-05-16]. (原始内容存档于2020-10-23). 
  25. ^ Comportamiento anómalo DNS del 24/03/2010. [2019-05-16]. (原始内容存档于2019-05-20). 
  26. ^ 中国DNS污染通过根服务器影响全世界. Solidot. 2010-03-26. (原始内容存档于2011-05-16). 
  27. ^ blackhat. 中国的DNS污染是互联网的真正威胁. Solidot. 2010-11-30. (原始内容存档于2011-09-06). 当美国和智利的使用者试图存取流行社群网站如facebook.com、youtube.com和twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根伺服器处理,由于这些网站在中国被封锁,结果使用者收到了错误的DNS资讯。 
  28. ^ DNS污染问题发生后中国根服务器被关. Solidot. 2010-03-28 [2021-08-19]. (原始内容存档于2011-05-11). 
  29. ^ After DNS problem, Chinese root server is shut down. IT World. 2010-03-26 [2011-05-19]. (原始内容存档于2011-11-24). 
  30. ^ 陈少举. Google.com被DNS污染. Solidot. 2012-11-09. (原始内容存档于2013-01-26). 
  31. ^ 大陆网路遭骇百度也停摆. 中央社. 2014-01-22. (原始内容存档于2014-01-22). 
  32. ^ 中国顶级域名根服务器故障 大部分网站受影响. 新浪科技. 2014-01-21 [2014-01-21]. (原始内容存档于2014-01-27). 
  33. ^ Steven Mufson; Jia Lynn Yang. China accuses hackers of Internet disruption; experts suspect error by government censors. 华盛顿邮报. 2014-01-22. (原始内容存档于2016-04-01). 「The rule was supposed to be, 『Block everything going to this IP address,』」 said Nicholas Weaver, a researcher at the International Computer Science Institute, which is affiliated with the University of California at Berkeley. 「Instead, they screwed up and probably wrote the rule as 『Block everything by referring to this IP address.』」 
  34. ^ 中国网路瘫痪 疑内部作业失误. 自由时报. 2014-01-23 [2014-01-23]. (原始内容存档于2014-01-23). 
  35. ^ 防火长城使用有效IP投毒DNS,其中包括色情网站IP. 2015-01-09 [2021-08-19]. (原始内容存档于2015-04-03). 
  36. ^ 遭DNS投毒DDoS攻击的服务器屏蔽中国IP. 2015-01-23 [2021-08-19]. (原始内容存档于2015-04-02). 
  37. ^ 针对 Google 的 dns 污染又开始了. [2016年3月30日]. [永久失效连结]
  38. ^ 刘刚; 云晓春; 方滨兴; 胡铭曾. 一种基于路由扩散的大规模网络控管方法. 通信学报. 2003. ISSN 1000-436X. (原始内容存档于2021-07-07). 
  39. ^ 翻墙专题:Google掉包问题. RFA. 2011-03-11 [2011-03-21]. (原始内容存档于2011-03-17). 
  40. ^ DAVID BARBOZA; CLAIRE CAIN MILLER. Google Accuses Chinese of Blocking Gmail Service. 纽约时报. 2011-03-20 [2015-01-27]. (原始内容存档于2015-10-04). (英文)
  41. ^ 月光博客. Gmail被中国完全屏蔽. 2014-12-29. (原始内容存档于2015-01-03). 从12月26日开始,Gmail被中国「完全」封锁,Gmail所有客户端通讯协定(IMAP、POP3、SMTP等)埠均被封锁

    根据Google透明度报告显示,从今年5月31日开始,网页版的Gmail已经被中国封锁(80和443埠被封锁)
     
  42. ^ China Escalating Attack on Google. 纽约时报. 2014-06-02 [2021-10-08]. (原始内容存档于2014-07-14) (英语). 
  43. ^ 【翻墙问答】互联网推新传输协议UDP 中国网民难受惠. Radio Free Asia. 2020-02-07 [2021-08-07] (中文(香港)). 李建军:由于中国的电信公司都是国有企业,他们一定会执行党的政策,因此,他们必然会在UDP上动手脚。现时大部分中国电信公司的做法,都是在网路QoS(中文或者可以称为服务品质控制)上作出调动,对UDP通讯包的流量和速度作出限制,那么当你用以UDP为本的技术翻墙时,就会十分之慢,慢至一个不可忍受的程式,那很多人就会放弃使用这种方法。 
  44. ^ Internet Filtering in China in 2004-2005: A Country Study. Open Net Initiative. 2007 [2021-10-26]. (原始内容存档于2016-04-10). 
  45. ^ Jong Chun Park; Jedidiah R. Crandall. Empirical Study of a National-Scale Distributed Intrusion Detection System: Backbone-Level Filtering of HTML Responses in China (PDF). 2010 IEEE 30th International Conference on Distributed Computing Systems. IEEE. 2010-06 [2021-10-02]. ISBN 978-1-4244-7262-8. doi:10.1109/ICDCS.2010.46 (美国英语). We demonstrate that HTTP HTML response filtering was likely discontinued on many routes between August 2008 and January 2009, and that the apparent ineffectiveness of this form of filtering, which results from its distributed nature, was likely a cause for this. 
  46. ^ Rescorla, Eric. The Transport Layer Security (TLS) Protocol Version 1.3. tools.ietf.org. 2018-08 [2021-10-08]. (原始内容存档于2019-06-03) (英语). All handshake messages after the ServerHello are now encrypted. The newly introduced EncryptedExtensions message allows various extensions previously sent in the clear in the ServerHello to also enjoy confidentiality protection. 
  47. ^ Differences between TLS 1.2 and TLS 1.3 (#TLS13) - wolfSSL. 2019-02-18 [2021-10-08]. (原始内容存档于2019-07-17) (美国英语). All handshake messages after the ServerHello are now encrypted. 
  48. ^ 48.0 48.1 Kazuho, Oku,; Christopher, Wood,; Eric, Rescorla,; Nick, Sullivan,. Encrypted Server Name Indication for TLS 1.3. IETF. 2018-07-02 [2021-10-07]. (原始内容存档于2018-08-13) (英语). Although TLS 1.3 [I-D.ietf-tls-tls13] encrypts most of the handshake, including the server certificate, there are several other channels that allow an on-path attacker to determine the domain name the client is trying to connect to, including:…
    Cleartext Server Name Indication (SNI) [RFC6066] in ClientHello messages.
     
  49. ^ lrinQVQ. Google相关情况说明及失效反馈汇总. github.com/googlehosts. 2018-11-06. (原始内容存档于2020-09-13). GFW已于2018年8月底进一步升级封锁技术,因此目前您可能无法通过hosts存取Google的相关服务。 
  50. ^ 现在SNI封锁已经出现了. 北大未名BBS. 2018-08-25. (原始内容存档于2021-08-09). 
  51. ^ 陈少举. 中国国家防火墙对GitHub进行了中间人攻击. solidot. 2013-01-26 [2013-01-26]. (原始内容存档于2013-01-28). 
  52. ^ martin. 中国, GitHub 和中间人攻击. greatfire. 2013-01-30 [2013-01-30]. (原始内容存档于2013-06-14). 这让中国政府陷入两难的境地。他们不能选择性封锁部分页面,也不能检测使用者在Github上到底在干什么。他们不能完全屏蔽Github,伤害了在中国的公司。这样中间人攻击是唯一可行的方案。利用伪造的SSL凭证,中国政府能窃听并且监视加密的流量。 
  53. ^ 谷歌在中国教育网遭国家级中间人攻击. greatfire.org. 2014-09-04 [2015-02-02]. (原始内容存档于2015-03-27). 当局并没有在教育网上直接封锁Google,因为这很可能招致全国学生、教师以及科研人员的反感。当局选择在教育网内对Google发动中间人攻击,这样一来,学生和科研人员能继续使用Google,而当局又可以监听并有选择地拦截搜寻请求以及结果。 
  54. ^ 54.0 54.1 Outlook在中国遭中间人攻击. GreatFire. 2015-01-19 [2015-04-12]. (原始内容存档于2015-04-12) (中文(简体)). 这次骇客攻击发生在Gmail被封锁之后的一个月之内(Gmail到现在仍然处于完全无法使用状态)。由于这次中间人攻击与之前对Google、苹果、雅虎等的攻击存在诸多相似之处,Greatfire再次怀疑,中国国家互联网信息办公室精心策划了这次袭击,或者有意允许袭击发生。 
  55. ^ Outlook在中国遭中间人攻击. 泡泡网民报告. 2015-01-21 [2015-04-12]. (原始内容存档于2020-11-24) (中文(简体)). 
  56. ^ Microsoft Says Outlook Hacked in China. 华尔街日报. 2015-01-21 [2021-10-09]. (原始内容存档于2021-10-09) (英语). Outlook users in China accessing their email through an email client saw a pop-up message saying 「Cannot Verify Server Identity」 and asking if they wanted to continue anyway 
  57. ^ 国家网信办发言人:“Outlook受中国攻击”的说法纯属污蔑. 中国国家互联网信息办公室. 2015-01-22 [2015-04-12]. (原始内容存档于2020-10-29) (中文(中国大陆)). Greatfire.org是境外反华组织创办的反华网站,长期对中国政府进行无端攻击。此次炒作选在国家网信办宣布依法关闭一批违法违规网站、栏目和微信公众帐号之时,蓄意引发不满情绪,污蔑指责中国网路空间治理制度。 
  58. ^ Cao Siqi. Foreign VPN service unavailable in China. Global Times. 2015-01-23. Astrill claimed in a Wednesday notice that since this year, VPN protocols used on iOS devices, including IPSec, L2TP/IPSec and PPTP, are not accessible in China in almost real-time. 
  59. ^ 网易. 《环球时报》英文版:部分国外VPN服务在中国无法正常使用_网易财经. money.163.com. 2015-01-23 [2015-08-21]. (原始内容存档于2016-03-05). 
  60. ^ 防火长城实时主动探测Tor网桥. Solidot. 2015-09-16 [2022-01-04]. (原始内容存档于2015-09-17). 
  61. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. (原始内容存档于2012-01-13). First, "garbage binary" probes, containing nothing more than arbitrary (but sometimes repeated in later probes) binary data, were experienced by the non-China side of any connection that originated from China to TCP port 443 (HTTPS) in which an SSL negotiation was performed. This probe was performed in near-real-time after the connection was established,

    The second type of probe, on the other hand, is aimed quite directly at Tor. When a Tor client within China connected to a US-based bridge relay, we consistently found that at the next round 15 minute interval (HH:00, HH:15, HH:30, HH:45), the bridge relay would receive a probe from hosts within China that not only established a TCP connection, but performed an SSL negotiation, an SSL renegotiation, and then spoke the Tor protocol sufficiently to build a one-hop circuit and send a BEGIN_DIR cell.
     
  62. ^ China's Great Firewall Tests Mysterious Scans On Encrypted Connections. [2011-11-17]. (原始内容存档于2011-11-18). 
  63. ^ Alice; Bob; Carol; Jan Beznazwy; Amir Houmansadr. How China Detects and Blocks Shadowsocks (PDF). ACM Internet Measurement Conference (IMC 』20). gfw.report. 2020-10-27. doi:10.1145/3419394.3423644. 
  64. ^ Anonymous, Anonymous, Anonymous, David Fifield, Amir Houmansadr. Shadowsocks 是如何被检测和封锁的. gfw.report. 2019-12-29 [2021-10-14]. (原始内容存档于2021-10-08). 
  65. ^ 中国网警“修理”翻墙网民中科院也被牵连. 法国国际广播电台. 2011-05-18 [2011-05-18]. (原始内容存档于2011-05-21). 
  66. ^ 中国网络国际访问频故障 温水煮蛙测试断外网反应?. 自由亚洲电台. 2011-05-12 [2011-05-18]. (原始内容存档于2011-05-14). 
  67. ^ Theories abound for overseas web access troubles. Global Times. 2011-05-18 [2011-05-19]. (原始内容存档于2011-05-21). Fang Binxing, president of Beijing University of Posts and Telecommunications, attributed the interruptions to Internet service providers' economic concerns.
    "Service providers have to pay the bill of the international Internet flow for their users. So there is incentive for the companies to discourage users to visit foreign websites," he said.

    An anonymous official with the Ministry of Industry and Information Technology declined to explain why foreign websites were frequently inaccessible a telephone interview with the Global Times, and instead urged users to "check their own technology problems and with the websites' servers on the first place."
     
  68. ^ 方滨兴教授回应国外网站不能拜访事件. Solidot. 2011-05-18 [2021-08-19]. (原始内容存档于2011-05-20). 
  69. ^ 秦兝. 详述GFW对SMTP协议的三种封锁手法. fqrouter.tumblr.com. 2015. 
  70. ^ 刘宏光. 找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因. ChinaUnix.net. 2006-09-26. (原始内容存档于2010-01-02). 
  71. ^ Gmail blocked in China. 路透社. 2014-12-29 [2014-12-29]. (原始内容存档于2019-07-13). 
  72. ^ 看在中国留学生的面子上 Gmail又能用了 - 好还是不好?. scholarsupdate.hi2net.com. [2015-09-15]. (原始内容存档于2015-12-30). 
  73. ^ Gmail中国内地服务得以部分恢复. 金融时报 (英国). 2014-12-31 [2021-10-03]. (原始内容存档于2015-09-23). 
  74. ^ Perlroth, Nicole. China Is Said to Use Powerful New Weapon to Censor Internet. The New York Times. The New York Times Company. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (英语). 
  75. ^ 路西. 中国采取新方式 网络封锁扩大到境外. BBC中文网. 2015-04-11 [2015-04-11]. (原始内容存档于2015-04-14) (中文(繁体)). 
  76. ^ 秦雨霏. 中共祭出新武器审查网络 访问陆网或被监控. 大纪元. 2015-04-10 [2015-04-11]. (原始内容存档于2015-04-11) (中文(台湾)). 
  77. ^ GitHub. GitHub System Status. [2016-01-02]. (原始内容存档于2017-02-19). 
  78. ^ 陈晓莉. GitHub遭遇史上最大规模DDoS攻击,反中国网路防火墙专案被锁定. 台湾iThome. 2015-03-30 [2015-03-30]. (原始内容存档于2015-03-31) (中文(台湾)). 
  79. ^ 海宁. 中共借刀杀人 利用海外华人发起DDoS攻击. 大纪元新闻网. 2015-03-27 [2015-03-30]. (原始内容存档于2015-03-30) (中文(简体)). 
  80. ^ 外交部回应GitHub遭来自中国的DDoS攻击. Solidot. 2015-03-30. (原始内容存档于2015-09-24). 近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方骇客所为,这很奇怪。我想提醒你,中国是网路骇客攻击的最主要的受害者之一。 
  81. ^ 中国GFW预作新技术储备用大奖赛招徕人才(图). 自由亚洲电台. 2010-06-08 [2010-06-09]. (原始内容存档于2010-09-28). 
  82. ^ documentary《The Tank Man》
  83. ^ Sarah Lai Stirland. Cisco Leak: ‘Great Firewall’ of China Was a Chance to Sell More Routers. 2008-05-20 [2009-06-27]. (原始内容存档于2009-06-26). 
  84. ^ Earnhardt, John. Cisco Testimony Before House International Relations Subcommittee. Cisco Systems, Inc. 2006-02-16 [2007-01-25]. (原始内容存档于2013-06-02). 
  85. ^ 陶文冬 (编). 奇虎360成功加入GFW防火长城 为国家安全保驾护航. 环球时报. 2012-07-02 18:27 [2021-08-31]. 

来源

网页
  • 田路. “网上长城”攻防战. 凤凰周刊. "vingietang" (责任编辑). 2010-12-22 [2021-11-18]. (原始内容存档于2021-11-18) (中文(中国大陆)). 

外部连结

#