2025年4月号-神州大地 梦飞舟简介 梦飞舟文章检索

 

 

防火墙才是最辱“华”的东西(一)韦洁筱

 

梦飞舟

 

中共防火墙自中国与国际互联网接轨后,对中国的人文、政治、经济和科技发展都产生了巨大的影响,在某种程度来说,中国人的三代人的思维模式因为防火墙而与世界形成了一定的隔阂。防火墙基本上已经将世界互联网一分为二,即世界的互联网和中国的局域网,但对于中国普罗大众来说,防火墙是一个很虚的概念,民众只知道在中国境内有很多世界主流网页是中国互联网用户无法访问的,但很少有人知道中国防火墙实际上是如何运作的以及这是一个多么庞大复杂和恐怖的系统。

中共防火墙概念其属于1996年,当时互联网才刚进入中国差不多两年, 我们通常所说的防火墙只是一个庞大计划的分支子集,中国对于信息管控的全计划叫做“金盾工程”。金盾工程除了防火墙的搭建,其他的分支专注于其他方面的信息管控和审查手段,其中包括监控软件,网络摄像头以及对互联网服务公司的监管等等。防护墙具体上线时间我们已经无从考察,大约时间是在90年代末。也就是中国人并没有享受多少时间完全自由的互联网世界,不过当时的防火墙是最初级版,只是简单的通过IP和域名对比来禁止访问,当年更多的措施是在线下,比如对当时众多的网吧进行控制和监管,网吧的老板们被要求必须在他们的计算机上安装监控软件,并随时上班网民的违规行为。

2004年,防火墙引入了关键词屏蔽技术。中共从后开始专注于增强初级版的防火墙,重点对付翻墙工具,比如shadowsocks、Nord、V2board等大家熟悉的VPN,在中共控制下,在中国境内的互联用户想观看境外信息,就只能通过链接VPN再浏览信息,正因中共防火墙不断地在和VPN控制,所以每一次到中共重要的日子,比如两会期间,每年的6月4日前后或者每当中国发生了什么重大事故的时候,VPN就会变得非常不稳定。除此之外,中共还做了别的措施,比如在西部省份扩建服务器,加强了所有中国互联网通往世界互联网的边界网关管控。

中共防火墙不只是单纯的科技,当中也包含了大量的人力,中共雇佣了一大批互联网审核人员,监控网上所有的敏感话题和关键词。这些劳动力除了监控,还包括了宣传工作,负责在网上为中共唱赞歌,也就是民众常说的“五毛党”。 根据2017年APSR的一份调查报告,五毛党每年在社交媒体平台上创造出大约4.9亿次虚假的评论,这已经是8年前的报告了,现在这个数量估计要更多。

除了五毛和中共政府自己的审核员,更不用说中国所有的互联网企业都知道要自我审查,自我阉割内容。微博的上线恰恰就是在推特被禁一个月后,可想而知,在中共的操纵下企业内部已经够融了很久,让他们来取代推特,并且这些企业必定已经向政府保证了会内部严格审查内容。

防火墙的运作是多面的,从中共设立防火墙那一刻,中共就在持续不断的对它进行优化和升级让它的力量越来越强大。具体防火墙是从三个方面来对网页和信息进行封锁的,第一层是IP地址拦截,这是防火墙三个维度里最简单的一个方法,所谓的IP地址就是每一个网页或服务器的地址,如同住家地址一样,如果没有这个地址,就没有半大找到这个地方,当网民在浏览器里输入一个网址的时候,输入的网址其实会在后台被翻译成网页的IP地址,互联网再通过IP地址来找到这个网页的所在服务器,更具体的来讲,当输入一个网址的时候,手机或者电脑会发出一个IP数据包,互联网根据IP地址找到想要到达的网站之后,该网站就会反馈信息回到浏览器,这样就成了最终呈现的网页了。发出的数据包上面有两个地址,一个自己的IP地址,一个想要到达网页的IP地址,而中共手上有一个清单是所有他们想要封锁的网页的IP地址,当墙内发出一个IP数据包时,这个数据必定要先经过中国和外界互联网连接的服务器,服务器首先根据发送数据地址判定这是来自中国的IP,于是将IP包上的接收地址跟中共的IP封锁清单进行比对,当IP数据包被识别为正在前往封禁清单中的任何一个IP地址时,数据包就会被导流到一条通往无处的道路消失在虚空之中。IP包从来就没有到达网民想要到达的网页,该网页自然就不会反馈信息回来,作为一个信息发送者根本不知道发生了什么事,只会看到404反馈,这个方式简单高效,但是缺点就是必须经常更新封锁清单,众所周知,这些年来,中共的封锁清单一直在增加。反观,看民主国家想封锁一个IP,例如TIKTOK,又是听证会又是投票又是人民抗议,搞了三年都没有封禁成功。而中共防火墙的清单是越来越多,上百个被封禁的网页,也是中共动动手指就可以完成的事。但IP地址拦截最大的一个缺点是非常容易通过翻墙工具来绕过这种封锁,VPN简单来说就是为数据包加密并提供了一个中转站,数据包就会被识别为不是起源于中国,进而就不会跟IP封锁清单进行比对就绕开了防火墙。也就是因为这个缺点,中共为防火墙增加了第二种封锁方式,DNS中毒攻击。

DNS中毒攻击才是中共防火墙的最主要封锁方式,DNS即Domain Name System 域名系统,简之而言,DNS可以理解为互联网通讯录,浏览器识别的是IP地址,而负责IP翻译的及时遍布全球各地的DNS服务器。所以当网民在手机上输入网址的时候,相当于网民对DNS服务器提出了一个DNS请求,DNS回复一个IP地址给到网民,然后浏览器才能访问该网址,但这个时候中共防火墙的魔爪又伸了过来。

中共有一个DNS拦截清单,里面大约有1.5w到2w个关键词,当网民想要访问拦截清单里的域名时,中共防火墙在手机或电脑里向DNS服务器提出DNS申请的时候就已经进行了拦截,让DNS解析器给网民回传了一个无效IP地址,也就是说,网民的IP地址被污染了,所以网民从来就没有得到过一个正确的IP地址,因此网民的浏览器无法解析网民想要去到的网站。这个方式之所以如此有效是因为世界的DNS系统是在30多年前设计的,在那个时候,网络安全并不重要。现在新一代的DNS SEC系统是增加了这种DNS劫持保护的,但中共防火墙是非常精密的,也会作出相应的更新和调整。

防火墙和VPN之间就是一个道高一尺魔高一丈,不断在斗法升级的过程。

 
分享:


相关文章
- 也谈中国大陆为什么没有戈尔巴乔夫(下)/一真溅雪
- 从世界经验看中国:和平演变的可能与路径/郝明阳
- 贾治国主教:信仰的磐石,良心的灯塔/王红云
- 纪念“六四”36周年:圣莫妮卡海滩举行大型反共活动/殷雙苗
- 盛雪:从六四到今日——暴政崛起与民主世界的迟到反省

作 者 :梦飞舟
出 处 :北京之春
整 理 :2025年4月30日16:25
关闭窗口
Copyright ©《北京之春》编辑部 All Rights Reserved
E-Mail:bjs201022@gmail.com webmaster@bjzc.org manager@bjzc.org
地址:Beijing Spring, PO Box 186, Bogota, NJ 07603 USA
电话:001-718-661-9977