本文旨在分析 “翻墙” 行为的法律风险,并基于现行规范性法律文件和相关案例进行学术讨论。在分析相关法条时可能需要对部分
计算机专业术语进行释义。
但
本
文
不涉及有关 “翻墙” 的任何技术指导或方法的具体介绍。
另,本文讨论的一切 “XXX 合法与违法” 问题,分析的主体都是 “单纯访问境外网站”,不包括 “访问、发布、传播违法有害信息”,后者当然属于违法犯罪行为,但这和翻墙行为没有任何本质联系,因为在境内网站也可访问、发布、传播违法有害信息。
在本文大致框架形成以前,我已查阅,大部分探讨都存在着严重的问题,有些是法学常识性问题(或不讨论法律层面的问题),有些是计算机技术方面的常识性问题(常出现在法学类文章中)。
这是一个很有趣的现象 ——“翻墙” 是一个同时牵涉法学和计算机技术的两个领域的跨学科问题。很多法学专家不了解技术;很多技术人员,也没有意愿探讨技术涉及的法律问题。这个疑难问题今天终于被我这个 “既没学好法,又没学好计算机” 的奇葩捡了漏。望两个学科的大佬们对于本文可能出现的纰漏予以指正!
本文论证的逻辑链如下:
国际出入口信道是物理信道,现行法只规定不允许非法架设物理信道 —— 翻墙必定使用合法物理信道(主要在第四章展开论证)—— 翻墙不违法
本文的主要结论如下:
①“个人使用 vpn 等工具翻墙” 的禁止性规定是不存在的,无论是从技术角度还是法律方面,访问境外网站和境内网站没有任何本质区别;
②一切翻墙行为都必须使用国家批准的合法国际出入口信道,因为全球互联网的本来面貌就是所有国家网络基建的互联互通(主要在第四章展开论证)
;
③GFW 的运行基本原理是 “网络攻击或入侵检测”(主要在第四章展开论证)
;
④“翻墙” 的基本原理是抵御 “网络攻击或入侵检测”(主要在第四章展开论证)
。
目录:
一、
案例导入及相关材料真实性的检证
1、什么是邮电部国家公用电信网提供的国际出入口信道?
2、1996 年的 “国际出入口信道” 的概念在 20 年间是否发生变化
3、当我们讨论 “翻墙行为” 究竟是否违法时,我们首先应该讨论什么
4、翻墙行为是否属于私自架设物理信道?
三、提供翻墙方法、售卖翻墙服务的违法性
1、互联网访问基本原理 ——OSI 参考模型
(1)国内网站访问原理
(2)境外网站访问原理
(2)
BGP 路由劫持(“黑洞路由”)
(3)
TCP RST 重置
(4)
协议检测→拆包→关键词匹配→封锁
(5)
深度包检测
一、案例导入及相关材料真实性的检证
《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条、第十四条
笔者此前看到此新闻时一度是不相信的,但未曾料到,近日在检索过程中真的在官方信息公开平台查到了这一案件的处罚决定。但上图显示的 “行政处罚决定书” 拍摄样图并非来源于官方,且样图有很多可疑之处(法律文书课老师看到可能会被气哭),在此提前予以指出:
另附一份我在实习期间曾经手的一份行政处罚决定书的模板(关键信息已经隐藏)。从图中可见,基层机关行政处罚决定书的格式和行文要求是非常高的。而前后两相比较,可以看出前一份处罚决定书颇有些山寨的味道。
当然,上述文书所反映的问题并不必然证明其为刻意捏造,因为笔者对于不同地区基层行政机关的法律文书和执法水平差异并不了解,但至少上述缺陷会降低该材料的可信度。
上述行政处罚案件的处罚依据如下:
1、什么是邮电部国家公用电信网提供的国际出入口信道?
有很多人一看到 “自行建立或使用”、“国际出入口信道” 就激动地跳了起来,认为其含义和 “使用 vpn 访问境外网站” 是同一种意思,但实际上这是一个非常大的误解。
首先,从立法渊源上看,“国际出入口信道” 一词最早起源于 1996 年出台的
《中华人民共和国计算机信息网络国际联网管理暂行规定》
和
关于发布《计算机信息网络国际联网出入口信道管理办法》的通知(邮部〔1996〕492号)
。但很遗憾,在两部规范性法律文件内,并没有对 “国际出入口信道” 作出释义。但从后者的第二条第二款我们可以从 “(含卫星信道)” 这一标注中洞察到 “信道” 可能的含义 —— 即它很可能具有物理意义。
好在,1998 年国务院信息化领导小组又出台了一部相关的部门规章,对 “国际出入口信道” 的含义作出了明确的规定。
因此,国际出入口物理信道,只限于陆地光缆、海底光缆以及卫星通讯等实际存在的、供国内外进行数据、信息交换的物理介质。
根据《电信业务分类目录(2015 年版)》,国际联网所使用的物理信道包括但不限于以下几种:国际陆缆、国际海缆、陆地入境站、海缆登陆站、国际地面传输通道、国际卫星地球站、卫星空间段资源、国际传输通道的国内延伸段,以及国际通信网带宽、光通信波长、电缆、光纤、光缆等国际通信传输设施。
与此同时,我们在立法中可以发现不少细节,其足以就 “国际出入口信道属于物理信道” 这一论点找出进一步的佐证。
首先必须对 GFW 的渊源有一定的了解。
可以发现,GFW 项目在 1998 年才刚刚起步,其命名甚至在 2002 年才出现,继而才出现 “翻墙” 这一概念。
因此,毫不避讳地说,若国内各地基层公安机关真的广泛存在 “依据上述规范性法律文件对公民的‘翻墙’行为予以处罚” 的现象,那绝对是明显的适用法律错误。
更进一步,
《暂行规定》为 “擅自设立非法国际出入口信道” 的行为设定了行政处罚事项,而该处罚的裁量基准是 “15000 元人民币以下”。这个数字,从当今的经济水平来看,对于个人来说不算一个很大的数字(但实际上这个上限对于个人来说已经很高了)。但是我们不要忘了,设立该处罚事项的规范性法律文件是在 1996 年出台的,我们必须关注 1996 年前后的职工平均工资水平,才能洞察 “1 万 5” 在行政裁量基准上的合理与否。
你很难想象,在 1998 年,上海市作为全国经济重镇,职工的年平均工资才 1 万余元,但 “翻一次墙” 的行政处罚上限就可以达到一个上海普通职工工作一年半获得的工资 ——因此,我们从行政处罚的裁量基准可以反推得出,触犯上述规定的行政相对人,更可能是资本力量雄厚的企业 —— 毕竟,一家有能力往台湾海峡私拉电线埋下海底光缆、或者为了 “逛推特” 专门制造并发射私人通信卫星的企业,才可能承受 1 万 5 的罚金。“建立国际出入口信道”,还真不是你普通人玩得起的!
但很有意思的是,《暂行规定》历经 20 多年,裁量基准竟然从未发生变化,依旧是上限一万五。但是 1996 年的一万五和 2020 年的一万五,可完全不是一个数量级的。但立法部门竟然从没有想着修订,也着实让人奇怪。
2、1996 年的 “国际出入口信道” 的概念在 20 年间是否发生变化
有人会进一步质疑,“国际出入口信道” 这一概念,有没有可能随着时代的发展以及新规范性法律文件的出台,从而被赋予新的内涵和外延呢?我们不妨找一找最近几年的相关文件和新闻来分析一下。
首先,从 2011 年工业和信息化部的 “批准设置塔什库尔干国际通信信道出入口” 的新闻中,我们可以明显看出一个因果联系,即【国际出入口的设立→提升了国际出入口带宽能力】,而只有物理意义的光缆才可能事实上增强数据出入境的吞吐量,虚拟网络连接是做不到的,因此很容易进一步推导得出 ——“设置国际通信信道出入口” 其本身就是 “建设直达光缆”,因此,此时 “信道” 仍然是物理意义上的。
进一步,从近期的规范性法律文件来看,与 “翻墙” 关系最密切的莫过于
工业和信息化部关于清理规范互联网网络接入服务市场的通知(工信部信管函 [2017] 32 号)
以及
工业和信息化部办公厅关于深入推进互联网网络接入服务市场清理规范工作的通知(工信厅信管函〔2018〕161 号)
看到这两份文件的一些措辞,很多人又会将 “
专线(含虚拟专用网络 VPN)等其他信道” 等同于 1996 年、1998 年文件提及的
“国际出入口信道”,但两者是不同的概念。
首先应当明确的是,两者的规制主体范围是不同的,1996 年文件针对的是所有企业和个人,而 2017 年文件仅限于跨境业务经营的企业;96 年文件中 “国际出入口信道” 概念的外延仍然受到 1998 年
《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》的限制,即其外延仅限于物理层面的信道,而 2017 年文件中的 “专线”(含虚拟专用网络 VPN)同时包含物理层面的信道以及虚拟专用网络。因此,前者(因 “信道” 的物理性而)不限制个人使用虚拟 vpn,后者也(因规制主体不包括个人而)不限制个人使用虚拟 vpn。
部分企业违规自建传输网络、非法经营传输业务及违规经营跨境数据通信等问题仍较为突出
企业违规跨境经营
无资质企业非法经营网络服务(包括云服务、CDN 服务)
我认为近些年人们对于 “翻墙” 的研究和讨论有些本末倒置了。
但是,
生活事实和亲身体验很可能影响我们对于一件事情在法律意义上的判断
在上文,我们明确了现行法对于个人上网的禁止性规定只限于 “禁止违规搭建违法物理信道”,那么翻墙是否就是其字面意思 —— 从一堵墙私拉一根网线翻过去呢?答案是否定的。
在看完第四章的互联网技术讨论部分,你会对以下几个重要事实有基本的认识。
(1)
任何人通过任何手段访问任何境外网站,不管是合法手段还是非法手段,不管是访问合法网站还是有违法信息的网站,。因此,翻墙不可能违反关于
“物理信道” 的规定,如果有,那就是适用法律错误。
(2)
全球互联网的本来面貌并非是每一个国家都在各自为政,各自建立一个庞大的 “局域网”,相反,几乎所有国家的网络都是互联互通的。有了国家之间建设的陆上、海底光缆,民众访问境内网站和境外网站从技术上是没有任何区别的,在现行法意义上也是没有任何区别的。
(3)
你不能访问境外网站唯一的原因,是你正在遭受 DNS 劫持、域名污染、DDOS 攻击、TCP 旁路阻断、BGP 劫持(黑洞路由)等网络攻击或防御手段。(这些专业名词会在第四章详细介绍。)这些攻击防御手段只有技术人员才能感受到,普通人唯一的感受就是无法访问外网。当前没有任何公开的官方文件证实了上述攻击手段存在,现行法也没有为上述任何网络攻击手段提供合法性依据。
(4)
你通过任何手段进行翻墙,这一行为的本质是抵御或逃避上述网络攻击,并使用国家批准的合法互联网基础设施访问境外网站,不存在违法的问题,也没有实际的社会危害。
这一段虽然和本文主题 “个人翻墙” 并没有直接关系,但本文的结论和现行司法实践对于 “出售翻墙工具” 的论证是矛盾的,所以必须指出来。
下图展示了可能涉及 “翻墙” 的罪名,我们主要关注第一类案由:“非法出售可访问境外互联网网站的 'VPN' 翻墙服务”,其对应的罪名是 “提供侵入、非法控制计算机信息系统程序、工具罪”。
目前出售翻墙服务是违法犯罪行为,相关的案例在无讼的检索结果中不计其数。法院判决的论述部分基本上与下面的引用大同小异:
自从我学习了这个罪名以来,就对此抱有极大的质疑。翻墙工具怎么可以等同于 “用于侵入计算机信息系统的程序、工具”?
一个最简单的反驳实例就是,GFW 最早的原理是将 google.com 指向无效 ip 地址(即第四章论述的 DNS 污染 / 域名劫持),而最早的翻墙原理是在本地建立一个 DNS 库,将 google.com 指向真实的 ip 地址,或者使用 8.8.8.8 这样尚未被污染的 DNS 服务器,这样当你在浏览器键入 google.com 这一域名的时候,其就会访问正确的服务器。而这一行为的唯一操作步骤,就是打开 windows 的一个名为 hosts 的系统文件,将谷歌域名对应的 ip 地址录入,或者修改本地网卡的 DNS 设置,翻墙的效果就达成了。
这样一个简单的步骤,怎么可能侵入了外人的计算机信息系统?
而 “架设专用网络,进行数据加密” 是一个非常常用的网络应用,很简单的例子,在家里访问学校的图书馆以及学术资源,要打开 vpn 软件,这就是建立了一个加密通道,其和翻墙软件的原理是一模一样的,只存在结果上的不同。而这种技术突破 “我国技术安全防护措施” 的唯一原因,是由于这个所谓的 “防护措施” 会对你的网络请求进行分析,而加密流量很难被分析。况且,现行的规范性法律文件从没有提及这些法院判决中提到的 “我国技术安全防护措施”。
另一个很有意思的问题是法院判决中通常会提到的 “
使计算机信息系统自由访问中国境内无法访问的境外网站”。但看了本文第四章,你就会认识到,这个世界上的互联网的本来面貌,就是让每个人可以自由地访问不同国家的服务器,并且这种自由在 2002 年以前是普遍存在的,在 2010 年以前也是大部分人都能享受到的。除非真的有一部行政法规出台,告诉我个人不能访问境外网站,这样我才能理解法院竟然能给出这样的表述。
另外,你可以洞察到,在法官论证部分,通常会有常人难以发现的跳跃性和滑坡论证。例如,“
利用公用网络架设专用网络,并进行数据加密传输,使计算机信息系统自由访问中国境内无法访问的境外网站,因此,该软件属于 “用于侵入计算机信息系统的程序、工具”。” 这句话看似行云流水,但你细究下来,就会产生非常多的疑问 —— 为什么一个工具可以自由访问原本无法访问的境外网站,就是侵入计算机信息系统的工具?为什么有些网站不能访问,其依据是什么?侵入的是哪一个计算机信息系统?该系统的 ip 地址是什么?地理位置具体在哪里?有什么相关规定吗?这种暧昧和含糊其辞其实不难理解,因为 GFW 这个词真的从未出现在某个文件上,但难以想象,“翻墙” 这个词居然可以在相关的判决文书中随处可见。
但是,我是绝对支持对一些市面上大部分出售翻墙工具的人进行惩罚的,因为他们之中很多人都只是偷窃了开源项目技术人员的劳动成果,亦或是提供与其宣称不符的劣质(违法)产品,从而收取暴利,收割智商税。从构成要件上看,我认为其更加符合
非法经营罪的构成要件,而非提供侵入、非法控制计算机信息系统程序、工具罪,因为后者在论证上存在着严重的逻辑漏洞。
另外,不仅仅是出售翻墙工具,还有很多技术人员因为编写开源翻墙项目而获此罪名。因此,这一领域的法律问题应该结合计算机技术问题被更深入、更广泛的探讨,这也是我写这一篇文章的初始动机。因为很多人确实需要通过境外网站查询学术资料、海淘等,这些行为都不存在违法性。而当他们使用翻墙工具访问境外网站大多不受惩罚的同时,惩罚却被转嫁到了提供翻墙方法的人之上。
而与此同时,现在社会上出现一种声音,(依据是李子柒);同时认为:,甚至他们会用嘲讽的语气阴阳怪气道:“”。这种风气我认为非常不好,毫不避讳地说,
这是吃人血馒头的行为。因为他们不知道,真正致力于 “为他们寻找访问境外网站方法” 的人,大多承受着极大的法律风险,而与此同时,GFW 的技术手段越来越强悍,翻墙的成本越来越高,普通人甚至很容易在这一领域被骗 —— 对于这些问题,他们向来是采取无视态度的。如果让这种声音成为这个社会的主流,那么我对这一领域在未来进展的预测将是极其悲观的。
更进一步,我们应当思考,当程序员为 “人们正常访问合法境外网站” 而努力的时候,法律工作者的努力又在哪里?为什么现在大部分法律工作者都在来进行法律方面的论证呢?我不禁陷入了深思……
(第七层:应用层)
(第四层:传输层)
DNS 服务所运用的 UDP 协议和 http 请求的 tcp 协议最大的区别在于,UDP 就像一个在国际货物运输过程中前赴后继、不顾一切的承运人,它努力以最快的速度把 “货物” 交付到你手上,但态度极差,从来不主动跟你联系,也不会接你的电话,货物是否损毁或者送错了人都不在它的义务范围内;而 TCP 就像一个严谨、可靠、负责、慢条斯理的承运人,它在为你进行货物运输时会不断和你建立联系,在送货前不停打电话跟你反复确认,而且要打三次,生怕送错了人,送完货物也会不紧不慢地和你再三确认,要跟你打四通电话。
tcp 三次握手已经很生动形象了,但毕竟从上海发送一个数据包至百度架设在北京的服务器的难度,与 “在小区里和美女当面互相打招呼” 的难度压根不在一个数量级,数据包是如何通过祖国大地下架设的 “杂乱无章”、连通全国的光纤中找到去往北京的最快的路,而不至于兜圈或者迷路呢?
分为北京、上海、广州 3 大片区,这三个片区有大型的骨干路由作为邻近省级区域的数据交汇中心,例如上海片区涵盖了上海、江苏、安徽、山东、浙江、福建、江西这几个省,而每个省的内部又有庞大的、互相连接的城域网,而在某个城市的城域网内部,又有数以万计的学校、企业、家庭等局域网的接入,从而形成了从局域网→城域网→广域网三个层级。
此外,不只是中国电信,其他运营商也有各自的骨干网,例如中国联通有 CHINA169 骨干网和 CNCNET 骨干网,中国移动有 CMNET 全国骨干网…… 不同国家级互联网业务提供商(Internet Service Provider, ISP)建立的不同骨干网之间也有数据交换的中心,这使得信息和数据包可以自由地从全国的任何地方流向任何地方。(相关链接:《互联网骨干网全面解析》https://zhuanlan.zhihu.com/p/)
连通性的问题解决了,还要解决数据包在庞大的 “网上公路” 迷路的可能性。在上述提到的各个级别的网路中,分布着无数路由节点,每一张骨干网都有自己负责的路由群组和节点,整个群组统称为 as 自治系统(Autonomous system),每一个骨干网管理的 as 自治系统都经过名为 互联网号码分配局的国际机构分配唯一识别代码,例如,中国电信 163 骨干网的 as 自治系统编号为 AS4134。每一张骨干网都有内部路由协议,每一个节点都在依据某种规定互相交换他们所连通的 ip 地址信息,作为数据包在 “旅行” 过程中的指路人。而全国性的骨干网之间也依靠外部路由协议互相交换它们所掌握的 “服务器地图 “,典型的有 BGP 协议。
BGP 协议使得各大骨干网的路由节点可以以 tcp 数据包的形式互相转发其掌握的路由信息,从而形成一个庞大的、完整的决策网,对数据包提供全面的 “导航服务”,它能计算出数据包从一个客户端通往另一个外省客户端必经的最优路线和路由节点。条条大路通罗马,当一个路由节点故障时,因为各个节点都互相沟通,从而可以带领数据包
选择其他路线通网可达的节点,避免 “兜圈子”、“迷路” 等情况。
使用 traceroute(链接:https://tools.ipip.net/traceroute.php),可以利用 ICMP 协议定位您的计算机和目标计算机之间的所有路由器节点。下图展示了我从自己的计算机访问百度设在北京的服务器 39.156.69.79 所经过的骨干网和路由节点,可以看见其经过了 AS4812(中国电信 163 骨干网)的 124.74.232.53、124.74.166.125 等路由节点,而其途径的 AS9808 为中国移动骨干网的 AS 自治系统。
→http 协议是明文协议
→https 协议更加安全,其在 tcp 握手的基础之上增加了以下步骤:
验证服务器数字证书、在 SSL 安全加密隧道协商加密算法的密钥等。
在了解了国内数据包交换原理之后,全球的数据交换就很好理解了 —— 你可以简单地把它理解为国家级骨干网之间的连接和交换。而从国内访问境外服务器有一个特殊之处就在于,我国的国际出入口运营资质是被中国电信、中国联通、中国移动三家国家级 ISP 垄断的。
而国内数据跨境的物理传输介质一般为陆上光缆和海底光缆。通过上海直达美国的 CN2 骨干网海底光缆,亦或是从广州到香港的 163 骨干网线路的连接,国内和国外的数据完全可以自由地进行交换,而服务器的连接、数据包的交换、路由的选择,其本质上和访问国内服务器并没有什么区别,其协议的使用也是全球通用的。
所以,一个真正的国际互联网并不存在所谓的 “墙”,它依旧是通过海底光缆等物理介质,作为 OSI 模型中的第一层,为其他几个层次的互联网运行提供服务。
不管你是否翻墙,不管你访问的是合法的境外网站还是受到管制和审查的网站,一旦你成功 ping 同,实现了数据的交换,那么数据包就一定要通过我国设立的互联网国际出入口,从一条条光缆直达国外的服务器。
因此,我很遗憾地看到,即使是律所发表的相关文章《天衡解析 | “翻墙” 上网的正确姿势》,也犯了非常严重的计算机常识性错误,导致该篇文章论证的前提就是不正确的。这篇文章指出:
然而, 当我们对互联网运行的机制和原理有了初步的了解后就能轻松发现这句标红的话的严重错误 —— 我在上文所介绍的一切专业术语的实际运作,不管是 DNS 解析、TCP 握手,还是 AS 自治系统、BGP、路由跳转、ICMP 协议…… 一切的基础都是物理层。
如果你没有接入各大运营商设立在城市里的合法的城域网;
如果数据包没有经过各大国家级 ISP 的合法骨干网和路由节点 AS 自治系统;
如果境外数据访问没有经过国内三大运营商经国家批准设立的合法国际出入口并通过合法的陆上、海底光缆设施直达境外服务器……
你的一切数据交换和网站访问都是不可能凭空实现的。
换句话说,即使一家企业使用某个国外代理服务器作为中转节点以逃避 GFW 的审查,。因为你不可能自己去发射一颗卫星专门用来刷推特,也不可能自己制造海底电缆,自发地潜水到海底接入别的国家的网络。
因此,对于普通个人和企业来说(这里的 “普通” 是指没有能力发射卫星、埋海底光缆),根本不存在所谓 “非法的国际出入口信道”、非法的 “接入网络”、“在不使用境内互联网络的前提下访问域外服务器”。
一个最直接的证据,也是每个人都能亲身试验的方法,就是使用前文介绍的 traceroute 命令,访问某个境外服务器的 ip 地址,遍历数据包途经的骨干网和路由节点,你就会知道,你到底是不是在使用国家级电信运营商布建的、国家批准的网络基础设施了。我随机使用一个尚未被限制的境外服务器 ip 测试一下,结果如下:
可见,当你成功访问境外服务器,当然也意味着成功实现了翻墙,但你的数据经过的是 AS4812(中国电信上海路由群组)、AS4134(中国电信 163 骨干网路由群组),最后通过海底光缆直连美国加利福尼亚州洛杉矶的 AS8100 路由群组。你使用的一切光缆、路由节点、海底光缆,全都是经过工信部审批通过的国家级互联网基础设施。翻墙就是使用了非法的信道 —— 这种逻辑是很可笑的。
因此,国际出入口就在那里等着你,海底光缆也在向你招手,凭什么不能访问境外网站呢?在看了下文 GFW 原理和翻墙原理的介绍,你就会知道,你不能访问境外网站的唯一原因是你正在遭受一个不受法律规制的系统的不间断网络攻击,而你使用任何途径翻墙的基本原理永远都是 —— 你使用了某种技术抵御或避免了上述网络攻击。
首先,我们反复强调,GFW 这个概念在当前一切公开的规范性法律文件中都是不存在的。因此,对 “翻墙” 进行处罚、甚至将 “翻墙” 这个词写在一个法律文书中简直是无中生有、自取其辱,是非常荒谬的行为。
其次,在学习了以下原理之后,你将清楚地认识到:现行法律规定的所谓 “信道” 都是在物理层的,而 GFW 和翻墙的较量基本上都发生在传输层、网络层、会话层、应用层(参见 OSI 模型)等等,这些层级是法外之地。
在看下文之前,可以同时回顾 —— 你究竟是如何能够访问一个网站的页面的。GFW 目前已知的原理有以下几种:
大家一定还记得那个电话号码簿的故事。GFW 最早、最初始的原理,就是将这个电话号码簿掉包,或者将号码簿里的电话号码替换成错误的号码,这个原理诞生于 2002 年,在 2012 年以前达到高峰。GFW 对所有经过骨干出口路由的基于 UDP 的 DNS 域名查询请求进行 Intrusion Detection Systems(入侵检测系统)检测,一旦发现处于黑名单关键词中相匹配的域名查询请求,防火长城作为中间设备会向查询者返回虚假结果。
简而言之,DNS 域名污染就好比你想在电话号码簿上查询朋友的电话号码,但是不曾想,电话号码簿被人掉包了,你拿到的是假的电话号码簿,原本正确的手机号码被替换成了错误的号码,导致你无法打通电话。而该系统触发的规则使用了类似正则表达式的结构,例如规定 “对于一切 *.google.com 的域名解析到某个不存在的 ip 地址”。
直接使用 windows 的 ping 命令就可以亲眼看到 DNS 污染的运作效果。谷歌官网的服务器明明架设在美国科罗拉多丹佛,但从下图可以看见,在国内从 DNS 服务器请求到的 ip 地址却是 93.46.8.90 这个来自意大利的无效 IP 地址。
此项技术不仅是 2012 年前后人们无法再访问 Google 的直接原因,其在运转过程中更是殃及了全球 DNS 域名解析服务的正常运作。
DNS 污染殃及全球用户的基本原理很简单,就是诸多国外用户的 DNS 请求被他们的 ISP 电信运营商随机分发给了全球的根域名缓存服务器(也就是那个优先级最低的电话簿),而碰巧,他们请求被分发给了来自中国的根域名服务器,而因为 GFW 的存在,其提供的是错误的、虚假的 DNS 解析服务,其造成的后果可想而知。
因此在这里我忍不住插一句题外话。我曾亲耳听见一个计算机专业毕业的人谈及中国的互联网安全现状。他说,因为全球大部分根域名服务器都设立在美国,所以美国掌握互联网的底层,中国必须建立 GFW 来保障互联网安全。现在,你应该可以体会到这种言论的恶毒之处。因为现在你终于了解到,电话簿可以随时复制,根域名服务器根本就不是什么互联网的底层,而是最高层(应用层)中一个很简单的技术,你的浏览器永远最先访问本地 DNS 缓存,往往一般都无须根域名服务器就能解析 IP 地址;而中国的根域名服务器会对境外服务器域名解析错误的 ip 地址,因此现实情况是中国的 DNS 污染在影响全球的互联网运行,而非美国影响了中国的互联网安全,这是完全的颠倒是非。
我们依稀记得 BGP 好像是各个 ISP 主干网之间路由节点共享信息的协议
,BGP 劫持就是伪造位于主干道的路由节点的路由表,将其根本没有或者不可能连通的 ip 地址导入路由表,诱骗邻近节点相信该节点拥有这一 ip 地址的访问通道。GFW 通过人工方式维护一个针对特定 IP 地址封锁的列表,从而实现特定 ip 地址的路由欺骗,这样一个节点我们将其称之为 “路由黑洞”。因为基于 BGP 协议,各个节点之间是无条件信任的,所以这个 “谎言” 一传十、十传百,只要一个主干道路由节点被诱骗,其连接的所有节点都会被骗,成为 GFW 运作的 "帮凶"。而 BGP 劫持的 “可传染性” 特征曾经导致全球互联网访问故障。
我们依旧可以通过 traceroute 观察到这一技术的运行效果,我们尝试 traceroute 一下 google.com 的真实 ip 地址,得到如下结果:
可以看见,当数据包跳转给中国电信上海 AS4812 群组的 101.95.120.166 路由节点之后,就再也跟踪不到数据包的踪迹了。这是因为在这一节点,存在着一个无效的路由黑洞,其声称自己拥有 172.217.24.12 这一 ip 地址的访问可达性,但话音刚落,它就把数据包丢弃在角落了……
与此同时,骨干路由器还有一种 ACL Based Forwarding (ABF) 的匹配规则,可以在全国骨干路由器同步步数 ip 端口封锁规则,由于理解不太深入,这里不做专门介绍。
另外,在路由黑洞成为封锁 ip 的主要途径以前,GFW 在早期使用的是访问控制列表(ACL)技术来封锁特定的 IP 地址,但这种方法有性能不佳的问题。这里不做专门介绍。
我们依稀记得 TCP 建立连接前的三次握手,也一定还记得那天在小区里与美女浪漫的邂逅。将 TCP RST 重置套用到这个浪漫的故事里,可以直接表现为:当你对着妹子招手时,旁边突然冲出来一陌生男子骗你说,“对不起,这是我的女朋友,请不要打扰她”;而随后,他又挡在你面前伪装成你的样子,冲向那位女子说,“刚刚招手的就是我,你别误会,我根本就不是在跟你打招呼,我只是在打蚊子,拜拜”—— 这个生动的故事为我们展现了,一个无耻的第三人就这样强行闯入了一个纯洁男子和妙龄女子的浪漫邂逅。
与此同时,DNS 解析服务并非全部都使用 UDP 协议,也有部分使用 TCP 协议的 DNS 解析请求,其被封禁也是依靠 TCP 的 RST 重置,
通过这一技术的反推,有业内人士定位了 GFW 存在的大致位置。其原理如下:
写到这里已经有点写累了 hhh,不知道有多少人看到了这里。当前流行的一切翻墙协议例如 shadowsocks、v2ray 的 VMess 协议等不具有非常显著的特征,而后者可以伪装成其他类型的流量,例如伪装成微信视频等。但无论如何,对于混淆流量和非传统加密协议,GFW 正在使用大家耳熟能详的 “人工智能” 技术,将这些各种各样难以判断和识别的翻墙流量与正规的政企跨境流量相区分开来。
不再展开论述,可参考近年来 Github 网站遭受的攻击。
,保持冷静地思考 —— 你真的可以对现状有一个清晰的认识和判断,并在不久的将来参与到各行各业的运行过程中,为社会做出贡献。
到此这篇个人服务器违法吗(个人服务器搭建违法)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/hd-wfwjg/38844.html
