【党国狰狞】中共网络封锁技术漫谈

http://www4.dajiyuan.com/i4/3112637351073.gif

海生按：外形象煞希特勒的黑衫党徒的中共法西斯网警

中共网络封锁技术漫谈之一
国家入口网关的IP封锁

作者：长剑在手

【大纪元11月14日讯】众所周知，目前中国大陆有著世界上发展最快的国际网络
(INTERNET)用户群，而出于对公众资讯的自由共用的担心，中共也是在网络封锁上
投入最大，封锁技术也是最严厉的。世界上也有很多人致力于资讯的自由共用，对
于各种反封锁的技术做了很多的开发。笔者想把自己的网络经验以及从朋友那里了
解到的一些资讯，写出来与大家共用。其中也一定有不少不足，欢迎各位方家多多
指正、交流，具体可以到动态网的论坛交流。

目前大陆在网络的方方面面都有各种各样的监测和封锁手段，在这里先谈谈在国家
网关出口的封锁。大概从90年代初期，网络在大陆开始流行。当时在大陆只有教育
网、高能所和公用数据网3个国家网关出口。差不多就是那个时候，出于对从来没
有过的资讯开放的担心，中共也开始在国家网关的封锁上投入了越来越多的力量，
开发了各种方法来阻挡资讯的自由流通。其中，对不喜欢的站点的IP封锁，是最有
效的封锁手段。从美国之音、自由亚洲电台到后来的明慧网等，都是他们固定封锁
列表上的站点。

对于仅仅的IP封锁，人们很快就找到办法来突破了，用普通的代理技术就可以绕过
这样的封锁。只要找到一个海外的普通代理，然后通过代理就可以浏览自己平时看
不到的资讯了，包括浏览新闻、FTP传递档、甚至接收音频视频。出于对于资讯自
由的向往，很快这个方法就开始在相关的人群中流传和推广了。很快，网络封锁部
门也看到了这个问题，就开始把人们常用的代理加入了IP封锁列表。

可是随后人们都发现，网络上的代理数量巨大而位址失效很快、变换很快。在国家
网关上封锁这个，一个是封锁不过来，还一个就是封锁的位址很可能是没用的。随
著政治命令的要求，国内的某些专家开始研发一些高级的封锁技术，同时政府也向
CISCO等海外公司巨资购买了高端网络设备。这些都是后来的内容过滤、URL过滤、
功能变数名称劫持等高级封锁技术的基础。这些以后会逐渐谈到。

对于IP封锁，一般来说中共是有2个列表的，一个是固定的列表，这个是常年封锁
的，比如美国之音，大纪元网站等。还有一个是动态变化的，就是被封的IP可能在
这个列表中保留若干时间（几个月？），然后再解封。动态的列表主要是针对代理
和其他的一些临时的网站封锁。

IP被封锁后的现像是，这个IP再也无法访问大陆的任何站点，而大陆的站点也没法
再访问这个IP。当然现在国内的各个ISP也挺多，都有各自的出国线路，所以也可
能会有些漏网的。比如很多时候，电信封锁了某个地址，而网通并没有那么积极，
可能过一段时间再封，那么网通的用户还暂时可以浏览这个位址。

至于封锁的政策，基本上是宁可错杀一千，也不放过一个。因为一个IP上，可能放
很多个网站。如果有一个网站是中共不喜欢的，那么其他的网站都可能受到池鱼之
殃。比如美国的很多大学都有不少IP是被大陆封锁的。象麻省理工、哥伦比亚大学
等，都可以有学生自己建立的网站，其中可能就有一些台湾的网站，有中共不喜欢
的政治言论的网站，法轮功的网站等等，结果就是被中共一概封锁。大陆的学生想
来美国联系学校，很可能学校的网址就是被封锁的，然后就需要找代理才能够查找
到需要的学术资料。而不少大陆留学生好不容易来到美国后，想再看看家乡的资
讯，结果就居然发现上不了国内的网站了。

比较荒谬的例子是对于GOOGLE网站和sourceforge.net网站的封锁。Sourceforge是
一个世界上最有名的开放源代码项目的技术站点，那里有世界上最全的开放源代码
程式的集合，算得上是相关科目的世界前沿了。可是中共却认为，那里面有能够突
破资讯封锁的项目，就给封锁了。这对于大陆的信息技术的发展，无疑是个明显的
拖后腿。

对于GOOGLE的封锁，已经前后有2次了。一次是2002年8月左右，在全国范围内封锁
了世界上最好的搜索引擎Google，并且在大陆把Google指向了大陆公司自己开发的
一个搜索引擎的网站上，理

由是他可能搜索到对中共有害的资讯。随之而来的是各种相关人士和企业的反对，
很多大陆人士都说，就这样还谈什么“科学技术是第一生产力”？ 这不是笑话吗？
把最前沿的资讯搜索技术封锁在国门之外。迫于各方面的压力，中共不久被迫取消
这次IP封锁。

第二次对Google的封锁也就是不久前，2003年10月18日左右，大陆很多地方又开始
无法登陆Google。中共的封锁历来都是悄悄地进行的，绝大部分线民根本不知道有
这样的在国际网关的封锁。而这次有点不同的是，新浪网自己开始报道了，第一篇
报道说是可能是DNS的问题，然后报道中自己也给出了一些还能用的Google的IP地
址。为什么新浪要这样唱反调呢？其实看看新浪网的搜索就知道了，它的搜索功能
的核心就是用Google的。如果Google被封了，它的搜索也没法用了。所以就这样想
出了一个方法，公开一下，利用全国线民的声浪反对。因为毕竟这样的封锁是见不
得人的，谁下了这样的命令，被公众知道，那可是千夫所指的。结果这次的封锁也
是不了了之了。

另外，由于海外的各种各样的网站和代理服务繁多，中共也是看著有点威胁的就封
了，其中包括很多家庭用的动态IP。如果哪位读者，在家里上网却看不了大陆的大
部分网站，那么很不幸，您也是这个荒谬政策的牺牲者之一了。

当然，他这样的封锁，也是有很多大公司受到池鱼之殃的。一些大公司的IP,包括
雅虎、惠普、CISCO等，也曾经由于他们加了自动的扫描功能变数名称来封锁IP而
被封，不过很快就解除了，因为这样中国政府的损失太大。所以他们后来添加被封
锁的IP也是比较谨慎，基本是由专人在管理。

从社会的发展看，日益增强的国际交流使得中共不可能完全封闭海外的IP。完全开
放的话，那无数知道了被隐瞒了无数真相的民众，就会成为中共垮台的最直接的因
素。虽然现在的封锁和突破封锁还在交互的消长，但社会的不可逆转的开放发展会
让封锁最终失败。而身在其中为这个封锁尽心尽力的相关人员呢，也会看到在这一
段历史中扮演了什么角色，结果很可能比文革的红卫兵还惨哦！

这次先谈到这里，下次再继续吧。有什么意见、建议，欢迎到动态网的论坛上去交
流哦。http://www.dongtaiwang.com （大陆需要用https://ip来访问）;

中共网络封锁技术漫谈之二
国家级别的关键字过滤

作者：长剑在手

【大纪元11月26日讯】在上一篇中谈过了国家网关的IP封锁，这次来谈谈国家级别
的关键字过滤技术。仅仅封锁IP的效率已经没法满足中共的封锁要求了，那么它也
就投入了巨大的力量来发展更加严密的封锁技术。

在千兆以上的带宽中（比如主干路由上），监听和过滤所有的信息，普通软件级别
的过滤技术是不行的。需要在骨干路由器上有这样的设备。CISCO等公司高级的路
由设备中，就提供了这样的系统，最主要的就是IDS（Intrusion Detection
System）--- 入侵检测系统。它能够从计算机网络系统中的关键点收集信息，并分
析这些信息，检查网络中是否有违反安全策略的行为。

这样的设备能够干甚么呢？他能够检测所有经过的网络数据，如果数据内容有匹配
的关键字的话，就可以进一步分析，然后决定对该数据流的处理。比如说吧，用户
想到美国之音的网站看英语新闻，http://www.voanews.com/ 。输入这个地址后，
那么浏览器会发出一个网络请求，其中就包含著VOA这样的字符。 那么这个请求到
真正的网站之前，就会经过路由的检测系统。如果系统设置了VOA为关键字，那这
个网络数据流就会被检测到。然后路由器会给用户和网站都发送一个重置
（reset）的数据包。然后用户就会看到页面无法显示。一般检测设备可能会保持
这个用户和这个网站的重置（reset）状态大约十几分钟，然后又恢复正常状态。
这个时候用户又可以连上这个网站了。

这样的系统有几个弱点，一个就是IDS的反应都有延迟，因为IDS从抓取数据包，监
测关键字，产生RESET包，到最后发出RESET整个过程都要消耗一定的时间。所以在
实际用户浏览中，可能会遇到这样的情况，可以看到第一页或者是开始几个连接，
但过几十秒后就是页面无法显示。

再一个弱点就是有很大的误报率，不过以中共的宁枉勿纵的手段，只要偷偷的做，
一般人也不会知道。即使有人抱怨，也可以说是电信的甚么临时故障等等，一推了
之。个别人要较真，那就用国家安全的理由吓唬一下，反正「泄露国家机密」是个
后备的万金油，甚么都可以安上。

再一个就是这样的监测，在数据流量很大的时候，会拖慢整个网络。中国大陆的到
海外的网络速度慢，其中一个原因就是在国家出口网关上有这么多的过滤、监视的
程序。

从具体应用的角度讲，它主要有3个方面可以过滤。第一个是网址的过滤，就是过
滤网络地址中的关键字。比如第一次封锁Google然后又恢复的时候，大陆的人们就
发现，一个优秀的功能「网页快照」不好使了！想进一步具体浏览的网址也可能出
现页面无法显示的现象。它能够实现这样，就是所有的Google的默认快照的网址
中，都有类似这样的字符串 http://216.239.59.104/search?q=cache: ， 其中的
Search?q=cache就被过滤了。 如果用户手动把其中的「search」改为
「custom」，那就又可以看到优秀的快照功能了。

第二个是对网页内容的过滤。网址的数据量在具体的网络流量中是很少的，监测所
消耗的资源也可以容易承受。而对所有网页内容的监测，这个在国际出口上就是一
个非常大的消耗，而效果却比较差劲。在2002年左右，中共研发了这样一套系统，
并开始悄悄的强制在各个ISP应用。具体过滤的关键字主要是6.4、法轮大法等。这
样过滤的效果并没有很大作用，却消耗了很大的网络资源。因为从监测到处理发出
重置（reset）命令需要比较长的时间，往往用户已经把网页都下载完了，系统才
检测到。比如用 Google 搜索前一段时间比较热门的关键字「起诉江泽民」，大陆
的网民就可能看到整个的页面，而继续看下去的时候，才可能只出现半个页面，然
后才出现无法显示。到2003年下半年，很多ISP开始把这个功能搁置起来了，因为
对他们来讲实在是得不偿失。消耗了那么多资源，却没甚么用。现在只有很少的部
份ISP还在运行这个系统。

因为这个过滤技术原来是用于入侵监测的，现在被中共重点应用在了信息过滤上。
那么他也有一个致命的弱点，就是对加密的信息就无能为力了。网址的关键字和网
页的关键字都可以用不同的手段来加密，从而使这样的信息过滤系统从根本上失去
作用。不同的加密手段也是后来所有突破网络封锁软件的基础，这个后面会谈到。

随著破网软件的不断出现，中共也发现，仅仅有上面的过滤手段是没法封住可以加
密的网站的，也同时开始研发了一套DNS劫持的系统，在2002年下半年开始悄悄地
大面积应用。这个就是第三个能够过滤的，就是过滤所有DNS请求，凡是有关键字
的，就返回一个假的IP地址。这个技术在世界上确实是独一无二的，中共为了研发
这套系统，也是花了很大的代价。具体详细的内容，下次再谈吧。有甚么意见、建
议，欢迎到动态网的论坛上去交流哦。http://www.dongtaiwang.com （大陆需要
用该网站上的最新域名来访问）

11/26/2003 2:05:58 PM