科学上网 by Guests Zhen

Transcript

1. 科学上网 By Guests Zhen

2. 提纲 一，防火墙长城带来的现状 二，防火墙长城背景 三，防火墙长城主要技术手段 四，网络审查 五，科学上网常用的方法 六，关于ATGFW.ORG

3. 一，防火墙长城带来的现状

4. 一些本应可以访问的网站

5. 但是，现在它们已被封锁 如果你现在访问，会看到…

6. IE 错误页面 提示无法显示该页面

7. Google Chrome 错误页面 提示 Web page is not available

8. Firefox 错误页面 提示 Connection Interrupted (中文版译为 连接被重置)

9. Safari 错误页面 提示 Safari can’t open the page.

10. 防火墙长城给我们带来的现状是，有很 大一部分的国外网站无法访问、致使我们无 法知道国外最新技术资料、无法与外国技术 人员广泛交流……

11. 二，防火墙长城背景

12. 防火长城 （英语：Great Firewall，常用简称：GFW，中文也称中 国国家防火墙、长城防火墙或万里防火墙），是對中 华人民共和国政府在其管辖互联网内部建立的多套 网络审查系统（包括相关行政审查系统）的称呼。此 系统起步于1998年，其英文名称得自於2002年5月 17日Charles R. Smith所寫的一篇關於中國網路審

    查的文章《The Great Firewall of China》，取與 Great Wall（长城）相谐的效果，简写为Great Firewall，缩写GFW。隨著使用的拓廣，中文「墙」和 英文「GFW」有时也被用作動詞，網民所說的 「GFWed」及「被墙」均指被防火長城所屏蔽。

13. 一般情况下，防火長城主要指中国政府 监控和过滤互联网内容的软硬件系统，由服 务器和路由器等设备，加上相关的应用程序 所构成。它的作用主要是监控网络上的通讯， 对认为不符合中国官方要求的传输内容，进 行干扰、阻断、屏蔽。由於中國網絡審查廣 泛，中國國內含有「不合適」内容的的網站，會 受到政府直接的行政干預，被要求自我审查、 自我监管，乃至關閉，故防火長城主要作用在 於分析和過濾中國境內外網絡的資訊互相訪

    問。

14. 然而，防火长城对网络内容的审查是否 限制和违反了言论自由，一直是受争议的话 题。中國當局一直沒有正式對外承認防火長 城的存在，如当有记者在外交部新闻发布会 上问及互联网封锁等问题的时候，发言人的 答案基本都是「中国政府鼓励和支持互联网 发展，依法保障公民言论自由，包括网上言论 自由。同时，中国对互联网依法进行管理，这 符合国际惯例。」

15. 三，防火墙长城主要技术手段

16. 域名解析服务缓存污染 从2002年左右开始，中国大陆的网络安全单 位开始采用域名服务器缓存污染技术，使用思科提 供的路由器IDS监测系统来进行域名劫持，防止了 一般民众访问被过滤的网站，2002年Google被封 锁期间其域名就被劫持到百度，而中国部分ISP也 会通过此技术插入广告。对于含有多个IP地址或经 常变更IP地址逃避封锁的域名，防火长城通常会使 用此方法进行封锁，具体方法是当用户向境内 DNS服务器提交域名请求时，DNS服务器返回虚

    假（或不解析）的IP地址。

17. 针对境外的IP地址封锁 一般情况下，防火长城对于中国大陆境 外的「非法」网站会采取独立IP封锁技术，然 而部分「非法」网站使用的是由虚拟主机服 务提供商提供的多域名、单（同）IP的主机托 管服务，这就会造成了封禁某个IP地址，就 会造成所有使用该服务提供商服务的其他 使用相同IP地址服务器的网站用户一同遭 殃，就算是「内容健康、政治无关」的网站， 也不能幸免。其中的内容可能并无不當之

    處，但也不能在中国大陆正常访问。

18. IP地址特定端口封锁 防火长城配合上文中特定IP地址封锁里 路由扩散技术封锁的方法进一步精确到端 口，从而使发往特定IP地址上特定端口的数 据包全部被丢弃而达到封锁目的，使该IP地 址上服务器的部分功能无法在中国大陆境 内正常使用。

19. 无状态TCP协议连接重置 防火长城会监控特定IP地址的所有数据包， 若发现匹配的黑名单动作（例如 TLS加密连接的握 手），其会直接在TCP连接握手的第二步即SYN- ACK之后伪装成对方向连接两端的计算机发送 RST包（RESET）重置连接，使用户无法正常连接 服务器。 这种方法和特定IP地址端口封锁时直接丢弃 数据包不一样，因为是直接切断双方连接因此封锁

    成本很低，故对于Google的多项（强制）加密服务 例如Google文件、Google网上论坛、Google+和 Google个人资料等的TLS加密连接都是采取这种 方法予以封锁。

20. 对加密连接的干扰 在连接握手时，因为身份认证证书信息（即服 务器的公钥）是明文传输的，防火长城会阻断特定 证书的加密连接，方法和无状态TCP连接重置一 样，都是先发现匹配的黑名单证书，后通过伪装成 对方向连接两端的计算机发送RST包（RESET）干 扰两者间正常的TCP连接，进而打断与特定IP地址 之间的TLS加密连接（HTTPS的443端口）握手，或 者干脆直接将握手的数据包丢弃导致握手失败，从 而导致TLS连接失败。但由于TLS加密技术本身的

    特点，这并不意味着与网站传输的内容可被破译。

21. 关键字阻断 针对HTTP协议的关键字阻断 2002年左右开始，中国大陆研发了一套关键字过滤系统。這個系統能 够从出口网关收集分析信息，过滤、嗅探指定的关键字。普通的关键词 如果出现在HTTP请求报文的头部（如“Host: www.youtube.com”）时， 则会马上伪装成对方向连接两端的计算机发送RST包（Reset）干扰两 者间正常的TCP连接，进而使请求的内容无法继续查看。 干扰eD2k协议的连接 从2011年开始，防火长城开始对所有境外eD2k服务器进行审查：当境

    内用户使用eD2k协议例如eMule使用迷惑协议连接境外服务器时会被 无条件阻断，迫使eMule使用普通连接连接境外服务器；同时防火长城 对所有普通eD2k连接进行关键字审查，若发现传输内容含有关键字， 则马上切断用户与境外服务器的连接，此举阻止了用户获取来源和散 布共享文件信息，严重阻碍使用eD2k协议软件的正常工作。

22. 间歇性完全封锁 • 间歇性封锁国际出口 • 从2011年5月6日起，中国大陆境内很多互联网公司以及高 校、学院、科研单位的对外网络连接都出现问题，包括中国 科学院。有分析指断网可能是因为防火长城已经具有了探 测和分析大量加密流量并对用户IP地址执行封锁的能力， 而各大机构的出口被封也在其中。具体表现为：当用户使用 了破网（翻墙）软件后，其所在的公共网络IP地址会被临时

    封锁，所有的国际网站都无法访问，包括MSN、iTunes Store等，而访问国内网站却正常，但如果使用境外的DNS 解析域名则将会由于DNS服务器被封锁导致无法解析任何 域名，国内网站也会无法打开。也有分析指，此举是中国当 局在测试逐步切断大部分人访问国际网站的措施，以试探 用户反应并最终达到推行网络「白名单」制，也就是凡没有 在名单上的企业或团体其网络域名将不能解析，一般用户 也无法访问。

23. 对电子邮件通讯的拦截 通常情况下，邮件服务器之间传输邮件或者数据不会进行加密，故 防火长城能轻易过滤进出境内外的大部分邮件，当发现关键字后会通 过伪造RST包阻断连接。而因为这通常都发生在数据传输中间，所以会 干扰到内容。也有網友根據防火长城會過濾進出境郵件的特性，尋找防 火长城部署的位置。 2007年7月17日，大量使用中国国内邮件服务商的用户与国外通信出现了 退信、丢信等普遍现象[31]，症状为： 中国国内邮箱给国外域发信收到退信，退信提示「Remote host

    said: 551 User not local; please try <forward-path>」 中国国内邮箱用户给国外域发信，对方收到邮件时内容均为 「aaazzzaaazzzaaazzzaaazzzaaazzz」。 中国国内邮箱给国外域发信收到退信，退信提示「Connected to ***.***.***. *** but connection died. (#4.4.2)」 国外域给中国国内邮箱发信时收到退信，退信提示「Remote host said: 551 User not local; please try <forward-path>」 国外域给中国国内邮箱发信后，中国国内邮箱用户收到的邮件内容均为 「aaazzzaaazzzaaazzzaaazzzaaazzz」。

24. 五，网络审查

25. 中国政府对互联网进行网络内容审查， 这是一种政府行政行为。

26. 法律依据与规定 中国政府对网络内容进行审查的原因和方式是多样、多层次、跨部门的，對网络的审查是从“互联网接入 服务提供者”到“各级人民政府及有关部门”的责任。中国对国内网站实行审查的具体法律依据详见外 部资料中法规一览 主要法律、法规、司法解释 《全国人民代表大会常 务委员会关于维护互联网安全的决定》 《互联网信息服务管理办法》 《互联网电子公告服务管理规定》 《互联网站从事登载新闻业务管理暂行规定》

    《互联网出版管理暂行规定》 《互联网文化管理暂行规定》（2003年7月1日） 《关于网络游戏发展和管理的若干意见》 《互联网IP地址备案管理办法》（2005年3月20日） 《非经营性互联网信息服务备案管理办法》（2005年3月20日） 《最高人民法院、最高人民 检察院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、 贩卖、 传播淫秽电子信息刑事案件具体 应用法律若干问题的解释》 《中国互联网行业自律公约》（2002年4月24日） 《互联网站禁止传播淫秽、色情等不良信息自律 规范》（2004年6月10日） 《中国互联网网络版权自律公约》 《互联网著作权行政保护办法》（2005年5月30日） 《互联网医疗卫生信息服务管理办法》 《互联网药品信息服务管理办法》 《计算机信息网络国际联网保密管理规定》（2000年1月1日） 《计算机信息系统安全保护条例》 《计算机信息网络国际联网管理暂行规定》 《计算机信息网络国际联网安全保护管理办法》 《互联网上网服务营业场所管理条例》 《关于互联网中文域名管理的通告 》

27. 具体依据条款 2000年12月28日中华人民共和国第九届全国人民代表大会常务 委员会第十九次会议通过的《全国人大常委会关于维护互联网安 全的决定》第七条 各级人民政府及有关部门要采取积极措施，在促进互联网 的应用和网络技术的普及过程中，重视和支持对网络安全技术 的研究和开发，增强网络的安全防护能力。有关主管部门要加强 对互联网的运行安全和信息安全的宣传教育，依法实施有效的 监督管理，防范和制止利用互联网进行的各种违法活动，为互联 网的健康发展创造良好的社会环境。从事互联网业务的单位要

    依法开展活动，发现互联网上出现违法犯罪行为和有害信息时， 要采取措施，停止传输有害信息，并及时向有关机关报告。任何 单位和个人在利用互联网时，都要遵纪守法，抵制各种违法犯罪 行为和有害信息。人民法院、人民检察院、公安机关、国家安全 机关要各司其职，密切配合，依法严厉打击利用互联网实施的各 种犯罪活动。要动员全社会的力量，依靠全社会的共同努力，保 障互联网的运行安全与信息安全，促进社会主义精神文明和物 质文明建设。

28. 具体依据条款 《中国互联网行业自律公约》第十条 互联网接入服务提供者应对接入的境内外网 站信息进行检查监督，拒绝接入发布有害信息的网 站，消除有害信息对我国网络用户的不良影响。 2008年1月31日起施行的《互联网视听节目服务管理 规定》规定 申请从事互联网视听节目服务的，应当具备法 人资格，为国有独资或国有控股单位，且在申请之 日前三年内无违法违规记录。亦即互联网视听服务

    的企业必须为国有，非国有独资或者国有控股企业 不能再经营互联网视听服务。

29. 具体依据条款 根据公安部33号令《计算机信息网络国际联网安全保护管理 办法》第五条规定 第五条 任何单位和个人不得利用国际联网制作、复制、查阅 和传播下列信息： （一）煽动抗拒、破坏宪法和法律、行政法规实施的； （二）煽动颠覆国家政权，推翻社会主义制度的； （三）煽动分裂国家、破坏国家统一的； （四）煽动民族仇恨、民族歧视，破坏民族团结的；

    （五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的； （六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教 唆犯罪的； （七）公然侮辱他人或者捏造事实诽谤他人的； （八）损害国家机关信誉的； （九）其他违反宪法和法律、行政法规的。

30. 从而导致在互联网上查阅违法信息也为 违法。 而这些被称为“法律”的文件，本身存在 合法性争议问题。

31. 五，科学上网常用的方法

32. 突破网络审查或突破网络封锁，俗称 翻墙（穿墙）或破网，是指针对互联网审查封 锁的限制，绕过相应的IP封锁、端口封锁、内 容过滤、域名劫持等，实现对网络内容的访 问。相应突破网络审查软件的叫法有：翻墙 软件、破网软件、破墙软件和穿墙软件。

33. 早期的工具都是普通代理工具的完善， 当时还没有内容和网址的过滤，针对IP封 锁，只要找到合适的普通代理，在浏览器中 设置代理服务器和端口，基本就可以畅通无 阻。当时的工具基本是擅长于代理的搜索、 校验和动态切换，对较小影响的网站，应用 这类工具方便快速。在审查技术手段取得发 展后，比如中国的防火长城，能够进行域名 污染、关键字过滤，人们开始设计更为复杂 的反审查软件来进行突破……

34. DNS 域名系统（英文：Domain Name System）是因特网 的一项服务，它作为将域名和IP地址相互映射的一个分 布式数据库，能够使人更方便的访问互联网。DNS 使用 TCP和UDP端口53。当前，对于每一级域名长度的限制 是63个字符，域名总长度则不能超过253个字符。

35. hosts文件 hosts文件是一个用于储存计算机网络中各节点信 息的计算机文件。这个文件负责将主机名映射到相应的 IP地址。hosts文件通常用于补充或取代网络中DNS的功 能。和DNS不同的是，计算机的使用者可以直接对hosts 文件进行控制。

36. hosts文件在不同操作系统的位置 Windows NT/2000/XP/Vista/7/8（即微软NT系列操作系统）：默认位置为% SystemRoot%\system32\drivers\etc\，但也可以改变。动态目录由注册表键 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Par ameters\DataBasePath决定。 Windows 95/98/Me：%WinDir%\ Linux及其他类Unix操作系统：/etc Mac

    OS 9及更早的系统：System Folder: Preferences或System folder（文件 格式可能与Windows和Linux所对应的文件不同） Mac OS X：/private/etc（使用BSD风格的hosts文件） OS/2及eComStation："bootdrive":\mptn\etc\ Android：/system/etc/hosts Symbian第1/2版手机：C:\system\data\hosts Symbian第3版手机：C:\private\10000882\hosts，只能使用兼容AllFiles的文 件浏览器访问，大部分都不行[1]。 iOS（iPhone）：/etc iOS（iPad）：/private/etc webOS:/etc

37. 常规代理服务器 HTTP协议 主要用于访问网页，一般有内容过滤和缓存功能。端口 一般为80、8080、3128等。 SOCKS 4/5协议 TCP/UDP 身份验证信息 代表软件 Sockscap

    。

38. 反向代理服务器 架设在服务器端，通过缓冲经常被请求的页面来缓解服 务器的工作量。 (常用Squid等……)

39. 分布式代理服务器 利用私立的域名解释系统，让相应的代理服务器客 户端自动以安全链接连接上相应的多台代理服务器服务 端，从而实现相应的代理功能。或通过特定的分布式网 络，将客户端与相应的出口端创建成虚拟的路由网络， 让不同的数据包通过该网络的不同节点和不同出口与外 界链接。

40. SSL 安全套接层（Secure Sockets Layer），一种安全协 议，是網景公司（Netscape）在推出Web浏览器首版的同 时提出的，目的是为网络通信提供安全及数据完整性。 SSL在传输层对网络连接进行加密。。 SSL采用公开密钥技术，保证两个应用间通信的保 密性和可靠性，使客户與服务器应用之间的通信不被攻 击者窃听。它在服务器和客户机两端可同时被支持，目

    前已成为網際網路上保密通讯的工业标准。现行Web浏 览器亦普遍将HTTP和SSL相结合，从而实现安全通信。 此協议和其继任者是TLS。

41. SSH Secure Shell，一项建立在应用层和传输层基础上 的安全协议，为计算机上的Shell（壳层）提供安全的传输 和使用环境。

42. VPN 虚拟私人网络，亦称为虚拟专用网络（英语：Virtual Private Network，），是一种常用于连接中、大型企业或 团体与团体间的私人网络的通讯方法。虚拟私人网络的 讯息透过公用的网络架构（例如：互联网）来传送内联网 的网络讯息。它利用已加密的通道協議（Tunneling Protocol）來達到保密、傳送端認證、訊息準確性等私人 訊息安全效果。這種技術可以用不安全的網路（例如：網 際網路）來傳送可靠、安全的訊息。

43. IPV6 IPv6（Internet Protocol version 6，網際網路通訊 協定第6版）這是個用於封包交換互联网络的網路層協 議，是IPv4的下一代網際網路協議版本。

44. SPDY SPDY是Google开发的基于传输控制协议(TCP)的 应用层协议 。Google最早是在Chromium中提出的 SPDY协议。目前已经被用于Google Chrome浏览器中 来访问Google的SSL加密服务。

45. 关于hosts开放项目： SmartHosts https://code.google.com/p/smarthosts/ HostsFile https://github.com/davidsun/HostsFile

46. 免费公用DNS服务器 Google Pubilc DNS IPV4:8.8.8.8/8.8.4.4 IPV6:2001:4860:4860::8888/2001:4860:4860::8844 OpenDNS 208.67.222.222/208.67.220.220 中国114DNS 114.114.114.114

    / 114.114.115.115 http://dns.v2ex.com 支持基础Google服务与Apple Store加速

47. GoAgent

48. 西厢计划 针对中国的防火长城中的TCP连接重置 和域名污染，从底层进行反制，这种手段完 全不需要代理或其它的绕过技术。

49. 六，关于ATGFW.ORG

50. None

51. 我们是谁？我们在做什么？ ATGFW.ORG, 該域名取自Across The Great FireWall(翻越防火长城)的首字母， AT同时也是Anti(反抗)的缩写，及可表达At (@)的意思。【ORG】强调我们的非营利性 质。 我們致力傳播翻牆技術、資源。

52. 我们的logo。

53. 如何订阅ATGFW.ORG？ 发邮件至 ATGFW+subscribe@googlegroups. com 主题，正文都写subscribe 既可。 Rss 订阅 http://www.atgfw.org/feeds/posts/default

54. 网站只是一个显示的载体，更 多时候，我们注重线下的翻墙推广 活动。

55. None
56. None
57. None
58. None
59. None
60. None
61. None
62. None
63. None
64. None
65. None
66. None
67. None

68. 如何让身边的人科学上网？

69. 需求！

70. 我們需要你的加入……

71. 部分章节内容引用来自维基百科 防火长城 http://zh.wikipedia.org/zh-cn/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E 该条目最近编辑的五位用户 [Antonidas159] [Blueexpress] [Lwrless] [120.6.64.69] [YFdyh000] 中华人民共和国被封锁网站列表

    http://zh.wikipedia.org/wiki/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91% E5%85%B1%E5%92%8C%E5%9B%BD%E8%A2%AB%E5%B0%81%E9%94%81% E7%BD%91%E7%AB%99%E5%88%97%E8%A1%A8 该条目最近编辑的五位用户 [Blueexpress] [教数学的班主任] [134.148.10.12] [YFdyh000] [Chan-1994-A] 中华人民共和国网络审查 http://zh.wikipedia.org/wiki/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91% E5%85%B1%E5%92%8C%E5%9B%BD%E7%BD%91%E7%BB%9C%E5%AE% A1%E6%9F%A5 该条目最近编辑的五位用户 [Xingchunge] [Blueexpress] [YFdyh000] [Gqqnb] [Xingchunge] 突破网络审查 http://zh.wikipedia.org/wiki/%E7%AA%81%E7%A0%B4%E7%BD%91%E7%BB%9C% E5%AE%A1%E6%9F%A5 该条目最近编辑的五位用户 [New Discover] [Pudh4418] [Tianjiao959] [Hsw0922] [Hyh1048576] 其他文字及图片来源Guests Zhen 使用版权[CC BY-SA 3.0] [GFDL]释出。

72. 以上幻灯片都是我为了测试键盘和鼠 标，随便打的，其实我并不理解它们是什么 意思，请勿跨省追捕。

73. • 고마워 ขอบคุณ 谢谢 Paldies Grazie Terima kasih Merci ध

    यवाद Thank you Asante Obrigado Kiitos Kia ora Dankon Teşekkürler ந றி ありがとう