攻克柏林──突破中共封網的技術對策探討
 
石磊
 
2001-9-2
 
【人民報消息】編者按:(我們非常興奮地了解到《美國之音》已經採取步驟,準備從技術上突破中共對海外網站的封鎖。中國民主正義黨「信息柏林牆」工程小組整理了本篇報告,以幫助所有致力於瓦解中共「信息柏林牆」、打破中共信息壟斷的朋友們共享我們所了解的中共封網的實際情況。本文也將就我們我們正採用和正在研究的一些技術對策作簡要介紹。         
                           
由於網絡技術的更新、中共封網的升級以及突破中共封鎖的技術對策也不斷在推出,本篇文章將取代過去所發表過的所有相關的文章。)

突破中共封網的技術對策探討

§§一、中共究竟是如何封鎖海外網站的?

中共封鎖海外網站,也就是不讓普通的上網者看到海外的一些網站上的內容,主要從兩個方面進行:屏蔽網址和過濾網頁內容。

(一)屏蔽網址

所謂屏蔽網址,就是阻擋上網者訪問某些網站,不讓上網者瀏覽該網站的任何資料。《美國之音》的官方網站就屬於遭到中共屏蔽的網站之一。

屏蔽一個海外的網站,有兩種做法。一種是將受屏蔽的網站地址存入提供上網服務的公司的服務機器的數據庫中。當使用該公司上網服務的客戶試圖訪問的網站地址與該數據庫裡存放的受屏蔽的地址相同時,這個客戶要嘛會看到錯誤信息、要嘛等待很久也進不了要訪問的網站、要嘛被自動返回這個上網服務公司的主頁。

過去幾年,中共主要是強迫各個分散的上網服務公司來進行網絡屏蔽,由網絡警察執行檢查和監督。採用這種方法屏蔽海外的某些網站,漏洞是非常顯著的。其中較普遍的漏洞是各類上網服務公司的技術能力和設備參差不齊,網絡警察本身的技術知識和技術能力不見得跟得上技術的發展,以及上網服務公司不斷改變機器設備、更新系統、重新按裝採用新式的軟件等,都會造成屏蔽暫時地、甚至是長期地失去作用。

從去年底、今年初開始,中共已經改變了網絡屏蔽的做法,已經不是依賴上網服務公司來執行屏蔽,而是直接在中國和海外的網絡通訊的「出口」,即網絡通訊的「交通要道」上,設置上面所說的網址屏蔽。這樣,對海外某些網站的屏蔽,有了所謂的「統一管理」,過去幾年無法控制和徹底解決的漏洞,全部被堵住。

在繼續解釋中國屏蔽網址之前,需要解釋一下網站的域名、IP地址和DNS的關係。網站的域名,以《美國之音》為例,是:www.voa.gov。這是一個幫助人們容易理解和記憶的地址名稱,卻不是計算機相互之間傳遞信息時所使用的地址名稱。同這個讓人來閱讀的地址名稱相對應的機器所使用的地址名稱,叫作IP地址。還是以《美國之音》為例,它的IP地址是:152.75.128.7。在沒有網絡屏蔽的情況下,上網的人訪問www.voa.gov和訪問152.75.128.7是完全沒有區別的。DNS是將IP地址同域名對應聯繫起來,讓使用域名地址訪問的人,計算機能夠找到對的IP地址,從而找到網站的資料。DNS本身也是一個服務機,因此也有自己的域名和IP地址。

回到中共屏蔽網址上來,中共屏蔽《美國之音》網站,同時將上面的域名和IP地址封鎖。這樣,中國的網民就不能訪問《美國之音》的網站。

我們暫時不談另一種中國網民普遍使用的、通過代理服務器來訪問被屏蔽的海外網站的技術方式。讓我們從海外網站的方面再作深入一步的解釋。接著上面所作的解釋,如果《美國之音》保持網站的域名www.voa.gov不變,而在機器中改變了IP地址,比如IP變成了152.75.128.8,這樣會出現什麼情況呢?這樣出現的情況是,使用域名作為地址進行訪問的中國網民仍然無法訪問《美國之音》。可是,使用改變了之後的IP地址進行訪問的中國網民卻能夠訪問《美國之音》。這個屏蔽網址的技術漏洞,是中共至今沒有辦法全面堵住。

中共對付海外網站更換IP有兩種主要辦法,一是發現IP變了,立即更新屏蔽網址的數據庫。過去,正義黨網站每變換一次IP,從中國直接上網訪問的人數雖然直線下降,但需要大約一個月的時間,才降到零。這是因為中國當時是通過分散的上網服務公司進行網址屏蔽所造成的結果。現在,由於中共採用了在「出口」進行「統一管理」,新的IP推出不到72小時,有次只有7個多小時,中國上來的訪問量就到了零點。

對於一個功能比較全面的網站,改變一次IP所要付出的努力是比較麻煩的事情。但是中共對於這僅僅只有7~72小時的漏洞還是不能容忍。中共乾脆封掉受屏蔽網站所在的整個服務機上的所有IP地址。這是通過尋找該網站的DNS地址來了解的。還是以《美國之音》為例,它的DNS是地址是:152.75.128.2和152.75.128.20,從而可以發現,凡是IP地址以152.75.開頭的,都屬於《美國之音》。從理論上來說,它共有65,000多個不同的IP地址可以選擇。當然,《美國之音》擁有這麼大量的IP地址群,中共要封鎖所有這些IP地址會明顯降低本身網絡與外部通訊的速度。再說,《美國之音》暫時並沒有採用改變IP的辦法跟中共封網屏蔽打遊擊,中共也沒有這樣做。但是,對於一些使用單部主機或小型網絡的海外某些政治異議組織來說,擁有的IP群常常是只有1~8個,中共屏蔽起來依然是輕而易舉的事情。

綜上所述,中共目前通過在「交通要道」上設置屏蔽的方法,基本上可以做到防止中國網民直接訪問海外受屏蔽的網站。剩下的一個問題就是網民通過代理服務器進行訪問的漏洞了。代理服務器的意思指的是先訪問國外某個提供「二傳手」服務的網址,讓國外的這個提供「二傳手」服務的網站,到受屏蔽的那個網站去讀取資料,再送到訪問者的計算機屏幕上。無論通過一個這樣的「二傳手」(一級代理),還是多通過幾個這樣的「二傳手」(二級代理或多級代理),對中國的網民訪問受屏蔽的網站,沒有什麼本質區別。這類訪問都叫作間接訪問。

然而,中共對付使用代理服務器間接訪問受屏蔽網站的辦法是可想而知的。那就是屏蔽掉所有的已知的代理服務器的IP和網站。

目前,對中國網民來說,直接訪問幾乎不可能,而間接訪問也需要得到還沒有被中共屏蔽的代理服務器的IP或網站。這需要很好的運氣和特別的技術知識才能做到。

那麼,是不是還有什麼別的辦法能夠讓中國的網民看到遭受屏蔽的網站內容呢?有!著名的「三角男孩」就是一種最新的辦法。但是,「三角男孩」所採用的技術是否能夠滿足我們全部期望的要求?我們必須先解釋中共封網的另一個重要方面:網頁過濾。

(二)網頁過濾

對內容的過濾,早已在電子郵件中進行。關於電子郵件的方面的封鎖和反封鎖,不是今天我們要討論的主題。這裏要介紹的,是中共最近已經全面採用網頁內容過濾。

我們首先發現中國過濾網頁是在今年6月份。我們正義黨網絡組的一個工程師,晚上將撥號上網的家庭電腦設置成簡單的網絡服務機。這就建立起一部沒有域名而只有IP地址的網站。這位工程師將隨機取得的IP地址通過電話告訴給在中國的一位朋友。這個IP地址顯然不在中共屏蔽之列。這位工程師在這臺家庭電腦建成的網站中提供了完整的《大參考》(鏡像)、正義黨組織的文件、一些海外異議人士寫的文章,以及海外報刊的新聞等內容。國內的這位朋友通過這個IP,成功地登陸了這位工程師的電腦讀取資料。在過去的兩年中,用這種簡單的方法雖然不能夠達到有規模的訪問量,也遇到過IP遭到屏蔽的情況,但是總是能夠讓中國知道了IP的人成功地讀取資料。可是,現在卻出現了新的情況。

今年6月中旬的一天,正義黨的這名工程師接到了他國內朋友的電話獲知,他的朋友可以讀到某些新聞資料,可是當打開有關《大參考》和正義黨內容的網頁時,大約在2~3秒中時間裡,他的瀏覽器就自動關閉了。經過幾次嘗試,結果網頁連2~3秒的顯示時間都沒有了,變成完全不能閱讀。與此同時,不怎麼敏感的新聞內容,卻仍然可以讀。這顯然同封鎖IP沒有關係。針對這一新的現象,我們「信息柏林牆」工程小組進行了全面了解。了解的結果是:

中共強迫所有的上網服務公司按裝了一種過濾軟件。這類軟件品牌目前並不統一。它的功能是過濾網頁的「關鍵詞」。使用這種軟件的同時,中國網民訪問任何網站,實際上都不是直接訪問,而是通過一個「過濾網」的「二傳」來進行的。過濾網過濾一些關鍵詞,如「大參考」、「法輪功」、「正義黨」等等,當然也包括了被屏蔽的網址,如www.voa.gov、BigNews.org、cdjp.org等。

過濾網發現了過濾詞之後,做的究竟是些什麼動作呢?我們在7月份從中國多名網絡工程技術人員那裏了解到,這類軟件會記錄訪問者和被訪問者的IP地址、保存被訪問的網頁、並且自動將該保存下來的網頁同該網頁所在的地址發送給網絡警察指定的地方去。作為「二傳手」的過濾網,同時立即停止「二傳」這個網頁,並且立即將該網頁的地址存入服務機的屏蔽數據庫中。這就是為什麼我們的那位工程師在中國的朋友只能夠看到2~3秒鐘、之後不久就再也看不到的緣故。這一切都是自動進行的,效果是驚人的。目前我們暫時沒有發現這樣訪問過的人受到當局調查的情況。這樣訪問過我們所設的單機隨機IP站點的中國網民過去2年中有過許多。

出現這種新的過濾網頁的封鎖辦法之後,我們依然發現一個空子可以鉆,那就是在同樣的方法下面,不設置排好版的頁面,而列出網頁的文件名,讓訪問者下載到自己的計算機裡,然後離線瀏覽。(有興趣的朋友可以參考一下這個參考連結,你不要在網上打開連結,用鼠標器的右鍵點在要閱讀的文件名上,然後你就可以下載該文件存入自己計算機的磁盤上。)這一方法目前沒有遇到障礙。(參考連結)

有關網頁過濾,暫時就解釋到這裏。下面讓我們研究安全網提供的「三角男孩」是如何對付中共屏蔽網址和網頁過濾的。


§§二、「三角男孩」是怎樣突破中共網絡封鎖的?

《美國之音》準備採用的「三角男孩」所提供的反制中共封網的技術,包括三個方面:

第一個方面是更換IP。有關更換IP的作用上面已經講過。「三角男孩」不是更換自己服務機的IP,而是邀請世界各地許許多多的網友,類似上面我們正義黨的那位工程師一樣,將自己的個人電腦變成一個網絡服務機。這樣就產生許許多多可供中國網友直接訪問的IP。而這些IP,中共預先無法知道,不能象上面講到的查詢《美國之音》的IP群那樣查出來全部封掉。從理論上將,中共可以封掉海外所有撥號上網者的IP。但這樣做將使中共與外界的網絡通訊全部中斷。中國大陸的人連海外的電子郵件都會收不到。看來,中共不會下決心這樣做,尤其是中共正在積極爭取加入世貿,暫時不可能這麼做。

第二個方面,是提供代理服務器。參與「三角男孩」的網友設立的服務機同上面所談到的正義黨的那位工程師所提供的服務機性質有所不同。「三角男孩」不是提供網站內容,而是提供一個代理服務器。參與者是當一名「二傳手」。

第一、二兩個方面,對付的是中共屏蔽網址。而這第三個方面,對付的是中共過濾網頁內容。「三角男孩」採用加密傳遞的辦法,讓中共設置的「過濾網」軟件無法找到網頁中的過濾詞。因此中共的過濾網軟件就失去了作用。

根據我們所了解的情況,通過「三角男孩」,中國的網友確實可以非常成功地訪問海外被中共屏蔽的網站。這是目前為止最有效的一種突破中共網絡封鎖的辦法。

§§三、中共已經開始挑戰「三角男孩」

「三角男孩」從出現到使用不到兩個月,中共就研究了對付的辦法。根據中國的多名網絡工程師和普通網友提供的情況來看,目前中國網友很不容易取得「三角男孩」提供的有效IP地址。雖然中國網友使用國外的免費郵件信箱可以得到「三角男孩」隨機提供的IP地址作為跳板,但是得到的IP地址有時不能使用(參與「三角男孩」的個人電腦關機或軟件出了毛病。畢竟這些機器絕大部份都是非網絡專業人士的個人家庭或辦公室電腦),或者得到的IP已經被中共知道之後,成為被屏蔽的對象。一位中國的網絡工程師告訴我們說,他了解到上海的網絡警察正在開發一種新的軟件。那就是全面過濾IP地址。「三角男孩」主要依賴電子郵件來傳播IP地址。中國網友必須首先獲得這樣的IP地址才能開始使用「三角男孩」所提供的跳板服務。因此,使用上面解釋過的、對網頁進行過濾的技術,凡是發現網頁和郵件中出現用數字來表達的IP地址時,立即檢查是否屬於「三角男孩」的一部份,如果是,立即將此IP自動寫入網絡「出口」的屏蔽地址數據庫中。該IP地址很快就能被封鎖掉。從理論和技術兩個方面看,中共網絡警察開發這類軟件,應該沒有多大困難。

第二個問題有點可怕。根據廣東的一名網絡工程師提供的消息說,廣東的網絡警察也接到了對付「三角男孩」的任務。網絡警察的工程師們認為,參與「三角男孩」服務的個人電腦只能是使用Cable和DSL連結上網的電腦,而且對微軟視窗有特別要求,因此有條件又有願望參與「三角男孩」服務的人數應該有限。他們認為,除了象上海網絡警察提出的封鎖IP的辦法很快就能限制住「三角男孩」所提供有效的IP地址之外,可以對提供這類IP地址的個人電腦進行黑客攻擊。由於參與「三角男孩」都是沒有特別網絡經驗的人,他們使用的軟件和設備都非常普通,安全防衛都十分一般,黑客攻擊是輕而易舉的事情。這個消息,同時暴露了中國的所謂「民間黑客」,直接同政府的網絡警察有關係,或者說中共網絡警察正準備利用這些民間的黑客。

第三,一名清華大學的研究生網友說,雖然他們都反對中共封鎖海外網站,但是從技術角度來講,他的同學和導師認為,中共最可能採取的對付辦法,是採用一種類似「病毒」的軟件,讓所有中國上網的計算機全部「中毒」。這種「病毒」將在上網時通過國內的上網服務公司的服務機,自動下載並且更新,從而在自己的計算機中對所瀏覽的網頁進行過濾。如果發現過濾詞在網頁中顯示,那麼瀏覽器就會自動關閉,並且自動發送一條信息給網絡警察。這條信息將包括所瀏覽的網頁的內容和該網友的的個人資料。它還可以進一步把「屢犯」者的計算機破壞掉。這要看如何設計這種「病毒」的程式了。這個方法不是直接針對「三角男孩」的。然而這種採用「病毒」的辦法來封鎖網絡信息可能更加有效。

對於「三角男孩」來說,這裏所說的前兩種方法是對付IP地址及IP地址的傳播,讓「三角男孩」提供的跳板服務失去作用。而最後這種「病毒」的辦法,可以成功地對付「三角男孩」所採用的加密傳遞。訪問者的瀏覽器負責解密之後,內容一顯示,「病毒」就起作用。這可以在訪問者的計算機上完成,使加密傳遞失去意義。


§§四、突破中共網絡封鎖的前景和期望

上面所談的情況,可能令很多希望徹底突破中共網絡封鎖的朋友感到失望。然而全面了解我們的敵人和我們自己,是我們能否取得勝利的關鍵因素。過低地估計我們的敵人和過高地估計我們自己,都會使我們被動和失敗。然而,我們並不需要失望。許多比起先進的技術方法來說屬於落後的技術和方法卻依然有效。比如上面介紹中談到過的顯示文件名、讓訪問者下載離線瀏覽閱讀的方法,可以避免訪問者計算機「中毒」,而提供內容時更將過濾詞切開嵌入符號。假設「美國之音」作為詞組屬於中共封網的過濾詞,那麼將「美國之音」寫成「美-國-之-音」等,或者將「美國之音」四個字製作成圖片,都能夠逃避過濾。另外,目前還沒有發現中共能夠對語音文件進行過濾。《美國之音》的廣播節目如果通過語音,供下載進行傳遞,也能夠對付中共的網頁過濾。有興趣的,可以參考這個連結。

另外,電子郵件方式中還有許多可以突破中共網絡信息封鎖的地方。我們最後可能會了解這樣一個真諦:新的技術的不斷發明和發展,都不能取代人。我們這裏既想說人可以創造和發明新的技術來突破中共的網絡信息封鎖,也想強調在當前情況下突破中共的網絡信息封鎖需要人在現有的技術能力之下的堅強意志、辛勤努力和堅持不懈。

上面已經有所介紹,3年多來封網與反封網的斗爭經驗告訴我們,中共不可能完全封住中國的網民通過互連網訪問國外的網站。網絡技術不斷更新換代,封網和反封網的斗爭將繼續下去。但是,我們也不得不承認這樣一個事實:中共對網絡信息的封鎖和過濾,是有一定效果的。反封網的技術和方法,目前還沒有能夠達到徹底突破中共的網絡封鎖和網頁過濾。雖然從技術方面繼續尋找有效的突破方法依然必不可少,但是我們認為,突破中共網絡信息封鎖,最後很可能依靠的不是技術,而是正義的力量。我們把希望寄托在全世界民主國家的政府和人民身上,寄托在中國愛好民主、自由和反抗中共獨裁統治的人民身上。如果全世界有足夠的人,參與到運用有限的技術,甚至是普通的、常規的、原始的技術,來共同推倒中共專制政府設立的「信息柏林牆」,這堵墻就一定能夠被推倒。

雖然《美國之音》是一個美國的民間組織機構,明確聲明不代表美國政府的立場,但是,《美國之音》具有象徵意義。今天我們看到《美國之音》跨出了第一步。這個信號讓我們相信,全世界的民主國家和民主力量聯合起來、共同來推倒中共獨裁專制政府所設立的「信息柏林牆」的時刻即將來臨。

中國民主正義黨海外總部網絡部「信息柏林牆」工程小組

作者:石磊、顧志剛、董穎、尹嘉標。
執筆:石磊[email protected]
2001年8月31日

 
分享:
 

如果您喜歡本文章,歡迎給予捐助,哪怕3元5元也是鼓勵和支持。讓我們一起打拼未來!

 
PayPal在線支付

 
文章二維碼: