我们都知道*天*朝官方的防火墙可是数一数二的强,可以过滤掉许多敏感的词汇搜寻,即使面对日新月异的科技变革,它依旧能与时俱进阻挡许多黑客的入侵。 它内部的过滤系统分成好几个层级,能够适时的阻挡特定的网站,包括你我都熟悉的 facebook、twitter、instagram、Google,以及一些国外的新闻网站。而进入更进阶的层级,我们可以发现*天*朝的防火墙甚至能完全过滤掉被禁止的关键词,且这道防火墙还可以进入家庭网络等网络一并过滤掉这些词汇,让你完全找不到相关的讯息,连你想要自己在网络上 po 出这些字汇或留言都办不到。
最近,面对活跃的民权团体和黑客攻击,*天*朝官方更是不断更新自己的防火墙系统,但显然这也刺激了民权团体利用更高端复杂的科技「云端运算」来反将*天*朝政府一军。
*天*朝网络禁什么?只要「红了、火了」就要禁止! 尽管*天*朝对于网络的审查越来越严谨,不过大部分民众对于被禁的领域却不太清楚,当然像是六四天安门事件或是达赖喇嘛等议题,不用多想一定会被严格查;此外,像是某些议题却只有被禁止几次而不是永久被禁止,例如某些政治事件的纪念日并不会被禁,但是当它被民众广泛讨论后,*天*朝官方就会介入并加以管制。
例如最近最明显的一个例子就是央视前主播柴静的《穹顶之下》,这个纪录片的观看次数在短短几天之内超过一亿人次,引起大陆高层的注意接着就下令封杀,虽然议题没有太多政治敏感的因素,但只要引起过多的讨论度,*天*朝官方就会急着防堵。
除了关键词及敏感议题的禁止,*天*朝对于社群网络的防堵也是不遗余力,例如之前香港社运活动期间,大陆就将通讯软件 Line、KakaoTalk 以及能分享照片的社群网站 instagram 及 Flickr 禁止。
持续走在科技尖端,*天*朝政府时常更新防火墙系统 现在*天*朝最积极防御的就是官方防火墙,会这样也是因为有太多社运人士都具备足够的黑客技巧,致力于和官方进行一场猫抓老鼠的运动。
例如日本的一名信息工程师 Daiyuu Nobori 研发了规避防火墙的工具 VPNGate,不断挑战*天*朝的火墙功能;但之后他就发现*天*朝的防火墙防御机制非常高,它每几天内就会找出新机制去防堵恶意攻击的系统。
此外,*天*朝官方在今年 1 月就重新更新自己的防火墙系统,可以中断任何虚拟专用网 (VPNs),此举不外乎在警告任何使用或是设计 VPNs 的人,*天*朝可以随时切断他们的系统。
防火墙常用手段 DNS 污染 DNS 污染(域名服务器快取;又称域名服务器投毒)。通常来说,一个正常的 vpn 服务应该都会集成 DNS 服务的,这样所有上网的请求都是在服务器上进行。这时,如果本机的运营商网络中,DNS 服务被污染,你的 VPN 自然形同于无。
而在中国还有一种中转形式的 VPN 服务非常常见,它们的上网流程是这样「本机 — — 国内服务器 — — 海外服务器 — — 网站」。这个过程中,第一步、第二步都很容易受 DSN 污染影响,原理和前边的一致。
流量特征分析 可能大家经常会发现,使用 VPN 服务时,并不是那么稳定,有时能连、有时不能连;或者需要用非常奇怪的端口;或者还需要安装客户端等等。这可能是因为你的 VPN 服务被一种名为「流量特征分析」的技术发现(专业的叫法,叫做深度数据包检测)。
在流量空间里,所有的流量都带有特征,比如用什么协议传输、用什么协议加密,都会加上一定的识别流量。VPN 也不例外,无论是明文的 PPTP 还是密文的 L2TP、SSL VPN,其识别特征总是一定的。
很容易可以总结出一些规律,80 端口是明文或证书的,433 端口是 SSL 的,随机端口可能是软件,小流量是私人用,大流量就是公司或团队服务。通过这些规律,可以很容易发现那些 VPN 服务,然后直接屏蔽 IP 和 DNS 解析,没法用了。
内容分析 有时你可能还会发现,即使一个小流量、非标准端口的 VPN 服务也并不稳定。如果这个 VPN 是 PPTP 形式的,那么很可能是在前边的特征分析后,对数据包进行了拆包,将里边传输的内容拎出来单独分析。
SSL VPN 也未必可靠,在 NSA 的棱镜计划就已经曝光,SSL 加密被破解,相关传输内容也可单独拎出来做分析。
再往高了走,那些技术都不是用来大规模利用的,所以对于一般人来说不太需要去在意。
从这些事实来看,我们知道*天*朝官方的防火墙不断在精进,随着科技的趋势一起变革,即使面对新的科技攻击,还是能够快速找到解决机制。
顺便分享一下 2010 年介绍「中国防火长城」的著名影片:
Originally published at www.dun.im on November 28, 2015.
