如何突破网络审查
ar en es fa fr my ru vi

互联网如何工作

想象一下,一组人决定要通过连接其电脑和在这些电脑间发送信息来共享其电脑上的信 息。他们努力的结果是一组能通过计算机网络相互连接的设备。当然,如果该网络能与其他网络,从而与其他计算机和网络用户相连接,那么它将更有价值和用处。 这种电子化连接和共享信息的简单愿望现今在全球互联网上实现了。随着互联网的迅速发展,其互联的复杂性也已增加,且互联网已真正从大量网络的互联中建立起 来了。

互联网的基本任务可以描述为便利数字信息使用一个合适的路径和一种适当的传输模式从其来源到目的地的传输。

本地的计算机网络,被称为本地局域网或LANs, 将同一物理位置的许多计算机和其他设备与彼此物理连接起来。他们还可以通过被称为路由器的设备与其他网络相连接,而路由器管理着网络间的信息流。一个局域 网中的电脑可以出于类似分享文件和打印机或玩多玩家网络视频游戏的目的而直接相互连接。即使不与外部世界相连接,局域网也是十分有用的,但当它与外部世界 相连接时,其显然会变得更加有用。

今天的互联网是一个由这种本地计算机网络与诸如大学和企业网络的大型网络以及虚拟主机服务提供商网络组成的分散的全球性网络。

安排网络之间这些相互联系的组织被称为互联网服务提供商或ISPs。一个互联网服务提供商的职责是将数据传送到适当的位置,往往是通过转发数据到另一个更靠近数据最终目的地的路由器(被称为“下一跳”)。通常情况下,下一跳实际上属于不同的互联网服务提供商。

为了做到这一点,互联网服务提供商可能从一个如国家级提供商般的更大的互联网服务提供 商处购买其自己的互联网通路。(某些国家只有一个单独的国家级提供商,可能是政府经营的或政府下属的,而其他国家则有很多,可能是竞争性的私营电信公 司。)国家级提供商同样可能收到其来自跨国公司之一的连接,这些跨国公司管理和操作常被称为主干网的服务器和连接。

主干网由主要网络设备安装及它们之间通过光缆和卫星的全球连接组成。这些连接使不同国 家和大洲的互联网用户之间的通讯成为可能。通过路由器与该主干网连接的国家和国际提供商有时被称为网关,其是允许不同网络与彼此沟通的连线。这些网关,就 像其他路由器一样,可能是互联网活动被监测或控制的一点。

建设互联网

互联网的创造者普遍认为只有一个互联网,其是全球性的,且在假设计算机的主人想要发生时,其应允许世界上任何地方的任何两台计算机与彼此直接联系。

1996年的一份备忘录中,后来成为互联网架构委员会主席的布莱恩·卡彭特写道:
一般而言,“互联网工程”团体认为目标是连接。……网络的增长似乎表明连接本身就是一种奖赏,且其比任何个人应用都要更有价值。

仍有大批的互联网先驱和早期采用者拥护全球互联互通、开放标准和自由访问信息的理想,虽然这些理想常与政治和商业利益相冲突,而并不常直接影响日常的经营活动和互联网各个部分的政策。

互联网的创始人们也创造了并继续创造旨在使他人也更容易地创造其自己的网络和加入彼此的标准。了解互联网标准可帮助弄清互联网是如何工作的,以及网络站点和服务是如何变成可访问或不可访问的。

连接设备的标准

如今,大多数局域网通过有线以太网或无线以太网(802.11Wi-Fi)技术建立。所有这些组成互联网使用共同技术标准或互联网协议的互联(局域网和其他设备)使计算机找到彼此并与彼此交流。通常情况下,该互联使用私人所有的设备和设施,且在以营利为目的的基础上运作。在某些管辖区,互联网连接由法律广泛规定。在其他国家或地区,则很少或没有规定。

统一全球互联网上所有设备的最基本的标准被称为互联网协议(IP)。

识别网络设备的标准

    当你的电脑连接到互联网时,它通常会被分配给一个数字IP地址。就像一个邮政地址般,该IP地址唯一标识互联网上单一的一台计算机。然而,又不像邮政地址,一个IP地址(尤其是个人电脑设备)并不一定永久与一台特定的计算机相关联。因此,当你的电脑从互联网上断开并在稍后时间重新连接,其可能收到一个不同的(但唯一的)IP地址。目前普遍使用的IP协议版本是IPV4。在IPV4协议中,一个IP地址以用点分隔的0255范围内的四个数字写出(如207.123.209.9)。

域名和IP地址

所有的互联网服务器,如那些主机网站的服务器,也拥有IP地址。例如,www.witness.orgIP地址是216.92.171.152。由于记忆IP地址是繁琐的,且IP地址可能随着时间而改变,特定的系统在适当的地方以使你能更容易地在互联网上达到你的目的地。这个系统就是域名系统(DNS),在此,一组计算机专用于为你的电脑提供已与人类难忘的“名字”相关的IP地址的服务。

    例如,想要访问证人网站,你可以键入www.witness.org地址,即一个域名,从而代替216.92.171.152。然后,你的电脑向一个DNS服务器发送有该名称的信息。当该DNS服务器将该域名转换成IP地址后,其与你的计算机分享该信息。该系统使网页浏览和其他互联网应用对人来说更人性化,对计算机来说更有利于计算机。

    从数学上讲,IPV4允许一批大约4.2亿不同的计算机连接到互联网。同样也有技术使多台计算机共享一个IP地址。尽管这样,可用地址池或多或少在2011年初将被耗尽。因此,IPV6协议已被制定,其有一个更大的可能唯一地址的资源库。IPV6地址比传统的IPV4地址更长,且更难记忆。IPV6地址的一个例子是:

2001:0db8:85a3:0000:0000:8a2e:0370:7334

    虽然2011年少于1%的互联网用户使用IPV6协议,但这种情况在不久的将来可能会发生巨大的变化。

通过网络发送信息的协议

你使用互联网交换的信息可以有多种形式:

发送给你表亲的电子邮件

一个事件的图片或视频

联系方式的资料库

包含一组指令的档案

包含一份关于敏感话题报告的文件

教一门技能的计算机程序。

有各种各样的互联网软件根据特定协议去配合妥善处理各种形式的信息,比如:

通过简单邮件传输协议(SMTP)的电子邮件

通过可扩展消息在线协议(XMPP)的即时消息

通过文件传输协议(FTP)的文件共享

通过比特流(BitTorrent)协议的点对点文件共享

通过网络新闻传输协议(NNTP)的网络新闻组

    • 协议的结合:使用互联网语音协议(VoIP)的语音通讯,会话发起协议(SIP)和实时传输协议(RTP

    网页

         虽然很多人互换着使用术语“互联网”和“网页”,但实际上网页仅指使用互联网交流的一种方式。当你访问网页时,你使用一种被称为网页浏览器的软件,比如火狐、谷歌浏览器、Opera或者微软IE浏览器。网页运行其上的协议被称为超文本传输协议或HTTP。你可能还听说过HTTPS,其是HTTP的安全版,使用传输层安全(TLS)加密以保护你的通讯。

    追随你在互联网上的信息——旅行

    让我们追随从你的家庭电脑访问一个网站这一例子。

    连接互联网

    要将你的电脑连接到互联网,你可能需要一些额外的设备以首先连接到你的互联网服务提供商的网络,比如一个调制解调器或一个路由器。通常情况下,最终用户的计算机或家庭网络通过下列几种技术之一与互联网服务提供商相连接。

    电话调制解调器(“拨号”),以打电话的形式通过电话线发送互联网数据

    数字用户线路(DSL),一种更有效和高速的在短距离间通过电话线发送数据的方式

    电缆调制解调器(或“有线互联网”),通过有线电视公司的同轴电缆发送互联网数据

    光纤电缆,尤其是在发达国家人口密集的地区

    广域固定无线链路,尤其是在农村地区

    通过移动电话网络的数据服务

      浏览网站

      1. 你输入https://security.ngoinabox.org/。计算机将域名“security.ngoinabox.org”发送给一个指定的域名服务器,其会返回一个包含提供给盒网络服务器(目前是64.150.181.101)中战略技术安全的IP地址的信息。
      2. 然后,浏览器发送一个与该IP地址相连接的请求。
      3. 该请求经过一系列的路由器,每一个都将请求的副本转发到更接近目的地的路由器,直到其到达找到所需特定计算机的路由器。
      4. 该计算机将信息发回给你,允许你的浏览器发送完整的统一资源定位符(URL)和接收数据,从而显示页面。

          从网站发给你的信息穿越了其他设备(计算机或路由器)。沿路径的每一个这样的设备可以被称为一“跃点”;跃点数即你的信息沿其路径接触的计算机或路由器的数量,且往往在530之间。

      为什么这很重要

      通常情况下所有这些复杂过程都是被隐藏的,且你为了找到你所需的信息并不需要了解这些。然而,当有人或组织试图干扰系统运作限制你对信息的访问时,你使用互联网的能力可能受到限制。在这种情况下,了解他们做了什么以干扰你的访问可以变得极其有意义。

      想一想防火墙,其是有意阻止一台计算机和另一台之间某些种类交流的设备。防火墙帮助网 络所有者执行有关何种网络交流和使用被允许的政策。最初,防火墙的使用被视为一种计算机安全措施,因为其可以帮助击退针对无意错误配置和易受感染计算机的 电子攻击。但是,防火墙已被用于更广泛的目的和执行远超出计算机安全范围的政策,包括对内容的控制。

      另一个例子是域名服务器,其曾被描述为帮助提供对应被请求域名的IP地址。然而,在某些情况下,这些服务器可以被作为审查机制,阻止特定的IP地址被返回,同时有效封锁对来自该域的被请求信息的访问。

      审查可以发生在互联网基础设施中的不同点,覆盖整个网络、域或子域、个别协议或者由过滤软件确定的特定内容。避开审查的最好方法取决于使用的特定审查技术。了解这些不同将有助于你为自己选择适当的措施以有效和安全地使用互联网。

      端口和协议

      为了共享数据和资源,计算机需要同意有关如何格式化和交流信息的约定。这些我们称为协议的约定有时被比作是人类语言的语法。互联网正基于一系列这种协议。

      分层网络模型

          互联网协议依赖于其他协议。例如,当你使用一个网络浏览器访问一个网站时,该浏览器依赖于HTTPHTTPS协议以同网络服务器相交流。这种交流转而也依赖于其他协议。试想,我们为一个特定网站使用HTTPS,从而确保我们安全地访问它。

      在上述例子中,HTTPS协议依赖于传输层安全(TLS协议以加密通讯,从而使其穿过网络时是不公开的和未修改的。转而,传输层安全(TLS)协议依赖于传输控制协议(TCP以确保信息在传输中不会意外丢失或损坏。最后,传输控制协议(TCP)依靠IP协议以确保数据被传递到预定的目的地。

      当使用加密的HTTPS协议时,你的电脑仍然使用未加密的域名服务器(DNS)协议,从而为域名检索IP地址。域名服务器(DNS)协议使用用户数据协议(UDP标记正确路由到域名服务器的请求,且用户数据协议(UDP)依靠IP实际传输数据到预定的目的地。

      由于这种分层协议关系,我们经常把网络协议称作存在于一组层中。每一层的协议负责通讯功能的某一特定方面。

      使用端口

          计算机通过以上提到的传输控制协议(TCP)相互连接并在一段时间内保持连接以允许更高级别的协议执行其任务。传输控制协议(TCP)使用编号端口的概念来管理这些连接并区分不同的连接。编号端口的使用也允许计算机决定哪个特定软件应处理某特定请求或数据块。(用户数据协议也为此使用端口编号。)

           IANA(因特网名称指定机构)为各种被应用服务使用的高级别协议分配端口编号。几个常见的标准分配端口编号的例子如下:

      2021-FTP(文件传输)

      22-SSH(安全壳远程访问)

      23-Telnet(不安全远程访问)

      25-SMTP(发送电子邮件)

      53-DNS(解析计算机名称到一个IP地址)

      80-HTTP (正常网页浏览;有时也用作代理)

      110-POP3 (接收电子邮件)

      143-IMAP (发送/接收电子邮件)

      443-HTTPS (安全网络连接)

      993-安全IMAP

      995-POP3

      1080-SOCKS代理

      1194-OpenVPN

      3128-Squid代理

      8080-标准HTTP式代理

          使用这些特殊编号并不通常是那些协议的技术要求;事实上,任何类型的数据可以通过任何端口发送(并且使用非标准化端口可以成为一种有用的绕行技术)。然 而,这些分配为方便起见在默认情况下使用。例如,你的网络浏览器知道,如果你未指定任何端口号访问一个网站时,它应自动尝试使用端口80。其他种类的软件也有类似的默认值,因此你可以正常使用互联网服务,而不用知道或记住与你使用的服务相关的端口编号。

      加密

      加密是一种针对监视的技术性防御,它利用高深的数学技术对数据重新编码,使窃听者无法理解这种通信。加密还能够防止网络监管者对通信进行修改,或者至少可探测到这种修改。它通常工作起来就像一个隧道,从你正在使用的软件,如一个网络浏览器,到其他的连接终端,如网络服务器。

      对于利用现代密码学的加密通信,想要通过技术方式破解是极度困难的;大量可用的加密软件为防止窃听提供了强大的隐 私保护措施。但另一方面,如果用户无法或没有按照相应的流程进行加密,一些方式能够绕过加密,其中包括目标式恶意软件,或者通过密钥管理或密钥交换。例 如,加密程序通常需要一种方法来确认网络连接另一端的用户或计算机身份,否则,通信将易受到中间人攻击,窃听者冒充某人的通信对象,以此截获私密通信数 据。对于这种身份验证,不同的软件采用了不同的方式,但忽略或跳过这个验证步骤将使用户的加密通信对于监视变得更加脆弱。

      另一种监视技术是通信分析,它利用对通信进行分析,推测通信的内容、来源、目的地或意义,即使窃听者无法理解通信的内容。通信分析是一种非常强大的技术,并且对其进行防御也非常困难。通信分析有助于确认匿名方的身份,对于匿名系统,这种技术尤其需要留意。类似 Tor 之类的先进的匿名系统采用了一些方法,可以降低通信分析的效率,但可能仍然易受攻击,这取决于窃听者的能力。