如何突破网络审查
ar en es fa fr my ru vi

审查和网络

    解互联网在实践中是如何被控制的可以帮助将互联网审查的来源与可能的威胁联系起来。互联网控制和审查可以很广泛。一个国家的政府可能不仅封锁对内容的访 问,还可能会监控其国家内的人们正访问什么信息,且可能因为政府认为不可接受的互联网相关活动而惩罚用户。各国政府可能同时定义对什么封锁和实施封锁,或 者他们可能制定法律法规或额外的法律激励从而促使名义上独立的公司的员工去实施拦截和监视。

谁控制着网络?

    互联网治理的完整版故事是复杂的、政治性的,且仍饱受争议。政府经常拥有权力和资源去实现他们互联网监测和控制的首选方案,无论互联网基础设施是由政府自 己或私营电信公司拥有和经营。因此,一个想要封锁信息访问的政府往往能够容易地对该信息产生或出入该国的信息点进行直接或间接的控制。

   政府同时拥有广泛的法定权力监视其公民,且很多比法律允许的更进一步,其会使用额外的法律手段监视或限制互联网使用并按照其自己的规则去重塑它。

政府的参与

    互联网是由美国政府资助的研究在20世纪70年代开发的。它逐渐扩展到学术用途,然后到商业和公共使用。今天,一个全球共同体正努力维持那些标准和协议,其旨在实现全世界范围内公开的连接性和互操作性而没有任何地域的区别。

    然而,政府并没有被强求按照这些目标或有关互联网架构的相关建议来构建互联网基础设施。一些政府设计本国的电信系统有单一的“咽喉要道”,在此其能够控制整个国家对特定网站和服务的访问,且在某些情况下能阻止外界对其互联网部分的访问。

    其他政府则通过法律或采用非正式的控制规制私人互联网服务提供商的行为,有时迫使他们参与监视、封锁或删除对特殊资料的访问。

    一些互联网设施和协调功能是由政府或政府特许的企业管理的。没有一个国际互联网治理是完全独立运作的。政府将控制互联网和电信基础设施的活动作为国家主权的事项,且很多声称有权禁止或封锁对被认为攻击性的或危险的特种内容和服务的访问。

政府为什么要控制网络?

    许多政府对这样一个事实存在问题,即只有一个技术上没有地理或政治边界的全球互联网。对最终用户来说,(除了几毫秒的延迟)一个网站是办在同一个国家还是 世界的另一边并没有区别,但办在世界另一边的事实常让互联网用户愉快却深深地让国家恐慌。受到重新设置地理和地域差别希望的激励,互联网审查可以因为很多 原因发生。

    从网络公开倡议(http://opennet.net)选取一个分类,我们可以介绍其中一些原因如下:

  • 政治原因
    政府想要审查与各自国家的政策相反的观点和意见,包括如人权和宗教类的主题。
  • 社会原因
    政府想要审查与色情、赌博、酗酒、药物和其他可能看起来冒犯人的主题有关的网页。
  • 国家安全原因
    政府想要封锁与反对运动有关的内容,以及任何危害国家安全的事情。

为了确保信息控制是有效的,政府可能也过滤能使人们绕过网络审查的工具。在极端情况下,政府可以拒绝向公众提供互联网服务,就像在朝鲜一样,或者其也能在公众抗议期间在其领土内切断互联网,就如同2005年在尼泊尔及2011年在埃及和利比亚短暂发生的那样。

控制可以同时针对接入服务提供商和内容提供商。
  • 政府可以对接入服务提供商实施严格的控制,从而规制和塑造互联网活动,并能监测和监控该国的互联网用户。这也是一种封锁从国外流入的全球内容的手段。例如,巴基斯坦政府20105月要求当地互联网服务提供商封锁对Facebook的访问,从而封锁对在该社交网站上可用的先知穆罕默德讽刺画的访问,因为他们并不能控制内容提供商Facebook

  • 政府可以要求内容提供商,比如国内的网站编辑、网站管理员或搜索引擎,禁止和封锁对被认为攻击性的或危险的特种内容和服务的访问。例如,本地的谷歌子公司在多国(如20103月前在中国,此后其重定向搜索引擎活动指向谷歌香港)被要求删除有争议的内容。

我被封锁或过滤了吗?

    一般来说,很难确定是否有人阻止你访问一个网站或向他人发送信息。当你尝试访问一个被封锁的网站时,你可能看到一个常规错误信息或什么也没有。该行为可能 会使其看起来像该网站是因技术原因而无法访问。政府或互联网服务提供商可能否认此处有审查的事实,甚至会责备该(国外)网站。
    一些组织,最引人注目的是网络公开倡议,使用软件测试不同国家的网络访问,从而了解访问可能如何被不同各方损害。在某些情况下,这是一个困难甚至危险的任务,其取决于有关当局。
    在一些国家,政府毫无疑问封锁了部分互联网。例如,在沙特阿拉伯,访问露骨色情资料的尝试会得到一个来自政府的明显的信息,解释该网站被封锁了以及为什么被封锁。
    在不告知封锁的国家里,审查最常见的标志之一是很多有相关内容的网站表面上因技术原因而无法访问或者看起来发生了故障(比如,“网页未找到”的错误,或者连接经常超时)。另一个潜在迹象是搜索引擎对特定主题出现反馈无用的结果或什么也没有。
    过滤或封锁也可能由实体而不是政府实施。父母可能过滤影响他们孩子的信息。许多组织,从学校到企业,限制互联网访问以阻止用户从事不受监控的通讯、为个人原因使用上班时间或公司硬件、侵犯著作权或者使用过多的网络资源。

    很多政府拥有资源和法定权力去控制一个国家网络基础设施的大部分。如果政府是你的对手的话,请记住,从互联网到移动和固定电话的整个通信基础设施都能被监控。

地理环境

不同地方的用户可能有各种不同的互联网内容管制经验。

  • 在一些地方,你的政府可能被法律约束过滤或者决定不过滤内容。你可能被你的互联网服务提供商 监控,那么这些信息可以被出售给广告商。政府可能要求互联网服务提供商在其网络上安装监控(但不是封锁)功能。政府可对你的浏览器历史记录和聊天记录提出 正式的请求,或者可储存信息以供日后使用。当其这样做时,其将试着不吸引注意力。你面临着来自非政府行为者的威胁,比如攻击网站或窃取个人财务信息的计算 机犯罪分子。
  • 在一些地方,互联网服务提供商可能使用技术方法封锁某些网站或服务,但政府目前不会跟踪或打击报复访问其的尝试,也没有实施一个协调性的网络内容控制策略。
  • 在一些地方,你可以访问能公平匹配外国服务的本地服务。这些服务由你的互联网服务提供商或政府工作人员巡视。你可以自由地发布敏感内容,但其将被删除。如果这种情况发生过于频繁,那么处罚可能会变得更加严重。限制可能只有在充满政治色彩的事件中才变得明显。
  • 在一些地方,你的政府可能过滤大部分的外国网站,特别是新闻网站。其对互联网服务提供商实施严格控制,并跟踪人们创建内容。如果你使用一个社交网络平台,其会努力渗透它。政府可能怂恿你的邻居暗中监视你。

个人环境

政府有一系列动机监控或限制不同人的网上活动。

  • 活动家:你可能想要改进你的政府或正寻求一个新的。也许你想要改革社会的某特定部分或为少数 群体的权利而奋斗。你可能想要曝光你工作地方的环境问题、虐待劳工、欺诈或贪污。你的政府和雇主在任何时候都将对此感到不满,但如果他们怀疑街头很快会有 抗议活动,那么他们可能将更多的精力放在监视你上。
  • 博客:你可能想要写日常生活,但有些人却因为种族或性别而被禁言。不管你有什么要说你都不应该说。你可能处在一个大多是不受限制的用户的国家,但你的观点在你的社区却不受欢迎。你可能更喜欢匿名或者需要连接到一个支持团队。
  • 记者:你可能有一些同活动家和博客主一样的关注点。有组织犯罪、腐败和政府暴行是危险的报道主题。你可能需要保护自己和成为消息来源的任何活动家。
  • 读者:你可能不积极参与政治,但如此多的内容被审查,故你需要绕行软件以访问娱乐、科学和行业期刊。你可能想要阅读一个网络漫画或浏览关于其他国家的新闻。你的政府可能会忽略这个直到它有一些其他原因去监控你。

过去最常见被封锁的互联网资源是露骨的色情资料;如今,则是社交网络平台。社交网站在国际上的日益流行使得世界上数以百万计的互联网用户变为潜在的审查受害者。

一些社交网站在全球范围内流行,如FacebookMySpaceLinkedln,而另一些网站则在特定的国家或地区拥有大量的用户:中国的QQQzone)、伊朗的Cloob、俄罗斯的vKontakte、秘鲁和哥伦比亚的Hi5、独联体国家的Odnoklassniki、印度和巴西的Orkut、越南的Zing、叙利亚的Maktoob、日本的AmebaMixi、英国的Bebo及其他。

审查如何工作

    [以下部分改编自斯蒂芬·J. 默多克和罗斯·安德森所著的《访问被拒》第三章。]
    在该章中所描述的技术是审查员采用的一些用来试以阻止互联网用户访问特定内容或服务的方法。网络运营商能够使用各种各样的技术在不同程度的准确度和定制化 上过滤或操纵网络中任何一点的互联网活动。通常情况下,这些活动包括使用软件监视用户正尝试做什么和选择性地干预运营商认为被政策禁止的活动。过滤可以由 一国政府或者一个国家或地方的互联网服务提供商甚至是一个本地网络的运营商创建或实施;或者基于软件的过滤可以被直接安装到个人电脑上。
    根据部署组织的动机,部署过滤机制的目标也有变化。他们可能是为了使想要查看某特定网站(或个人网页)的人无法访问,或者使其不可靠,或者甚至为阻止用户 尝试首先去访问它。机制的选择同样基于请求过滤的组织的能力,即他们有什么通路和影响、他们能强制执行其意愿的人群,以及他们愿意花费多少。其他的考虑因 素包括可接受错误的数量、过滤是否应公开或隐蔽、以及其可靠性如何(同时针对普通用户和想要绕过它的用户)。

    我们将介绍几种技术,一旦要封锁的资源列表被创建,则通过其可以对特定内容进行封锁。创建这个列表是一个相当大的挑战,且是部署系统中的共同弱点。不仅网站的庞大数量使得创建一份全面的禁止内容列表困难,而且内容是移动的,网站会改变其IP地址,故保持这份列表的更新需要很多努力。此外,如果一个网站的运营者想要对封锁进行干扰,那么该网站能比其不想干扰更迅速地移动。

我们首先介绍对最终用户使用的技术措施,然后简要讨论对出版商和虚拟主机服务提供商使用的措施,以及非技术性胁迫。

    请注意该方法列表并不详尽,且在特定情况下一种以上的这些策略可能被使用。
针对最终用户的技术措施
    在像互联网般的现代通信网络中,审查和监测(监控人们的通讯或活动)在实践中紧密相连。
    世界上大多数的互联网服务提供商为会计目的和打击类似垃圾邮件的滥用而监控其用户通讯的某些方面。互联网服务提供商经常一起记录用户账户名和IP地址。除非用户使用隐私增强软件加以阻止,否则从技术上,一个互联网服务提供商可以记录所有通过其电缆的信息,包括用户通讯的确切内容。
    该监控亦是以技术为基础的网络审查的前提。一个尝试审查其用户想要发送的通讯的互联网服务提供商能够读取那些通讯,从而确定哪些违反了其政策。因此,减少 互联网审查的核心方法是向互联网服务提供商隐藏通讯的详细内容,不管是在私人事务中还是推广阻碍监测的亲隐私技术的使用时。
    这意味着针对网络审查的反技术措施往往依赖于尽可能随地使用模糊处理或加密,从而使互联网服务提供商不能确切看到已传输的内容是什么。
    本节讨论审查员运用技术手段封锁内容和访问的一些具体方式。

网址过滤

禁止访问网址(整个网址或部分网址)是国家和其它机构屏蔽网络信息的方法之一。网络审查者通常会完全屏蔽某些网站域名,因为他们反对这些域名所包含的内容。屏蔽整个网址是是最简单的屏蔽网站的方法之一。有时,当局会更有选择性地屏蔽某个域名的子域名,其它子域名仍可访问。越南就是这样,政府屏蔽网站的特定部分(如BBC和自由亚洲电台的越南语版),但很少审查用英文写的内容。

比如,审查者可能过滤掉子域名news.bbc.co.uk,而不会过滤bbc.co.uk www.bbc.co.uk。同样,他们还会过滤掉某些内容,而该域名的其它网页内容仍可以访问。方法之一就是查找目录名,比如通过“worldservice”来屏蔽bbc.co.uk/worldservice下的外语新闻,英语网站内容则不受影响。他们甚至可以根据网页名称屏蔽某些网页,以及屏蔽搜索问题中涉嫌攻击或非法内容的关键词。

网址过滤可以在本地实现,通过使用安装在你正在使用的电脑上的特殊软件。例如,网吧的电脑可能都运行过滤软件,阻止访问某些网站。

网址过滤也可以在网络的中间点实施,如代理服务器。网络可以被设置为不允许用户直接访问网站,强制(或者只是鼓励)所有的用户通过代理服务器访问这些网站。

代理服务器被用来传送请求,和在缓存里临时储存它们获取的网页,并向多个用户传送它们。对互联网服务提供商来说,这减少频繁获取一个经常被请求的页面的需要,因此可以节约资源和改进传送时间。

然而,除了改善性能以外,HTTP代理也可以屏蔽网站。代 理决定网页请求是否被允许,如果是这样的话,向托管被请求内容的网络服务器发送请求。因为请求的全部内容可供使用,网页可能被过滤,基于网页名和网页的真 实内容。如果网页被过滤,代理服务器可能返回一个正确的原因的解释,或者假装这个网页不存在或者产生一个错误。

DNS过滤和DNS欺骗

    当你在浏览器中输入一个域名后,浏览器首先会向一台 DNS服务器发出请求(对应于一个已知的数字地址),查找域名,并提供相应的IP地址。

    如果DNS服务器被设定为屏蔽访问,它将询问非法域名黑名单。如果浏览器向黑名单中的域名对应的IP地址发出请求 ,DNS服务器就会给出错误应答,或者根本没有反应。

    如果DNS服务器给予一个无意义的应答或者没有应答,发送请求的电脑不能知道它想联系的服务的正确的IP地址。没有正确的IP地址,发出请求的计算机就无法继续,进而显示错误信息。既然浏览器无法得到网站IP地址,它也无法向网站发出页面请求,结果该域名下的所有服务,如该域名下的所有网页都会被屏蔽。在这种情况下,故意的过滤可能错误地作为技术问题或者偶然故障。

    同样地,审查员可能强制一个DNS项目指向错误的IP地址,因此将网民重定向到错误的网站。这种技术叫做DNS欺 骗,审查员可以用它来劫持某个服务器的身份,显示伪造的网站,或者更改用户流量路线到可以拦截他们的数据的未经授权的服务器。(在一些网络,错误的应答可 能有不同的网络服务器,这清楚地说明发生的过滤的性质。不担心承认他们从事审查的审查员和那些不想让用户对发生的事感到困扰的人使用这一技术。)

IP 过滤

    当数据通过互联网发送时,会被划分为数据组 (packets)。一个数据组包括发送数据以及和发送方式相关的信息,比如发送数据计算机的IP地址,以及目标IP地址。路由器是数据组从发送者到接受者之间所经过的计算机,其作用是确定信息走向。如果审查者希望阻止用户访问路由器,他们可以设置路由器,令其“放弃 ”(忽视和不能传送)发往黑名单IP地址的数据,或者返回错误信息。单纯基于IP地址的过滤会屏蔽某个服务器提供的所有服务,比如网站服务器和电子邮件服务器。既然只依靠IP地址屏蔽内容,即使本来只打算禁止一个,与其共享同一IP地址的多个域名也会同时被封。

关键词过滤

    IP地址过滤只能用于根据数据包来源或去处的通信封锁,而不适用于数据包内容封锁。对于包含违禁内容的 IP 地址,如果无法制作一份完整的列表,或者某些 IP 地 址包括足够多的非违禁内容,如果封锁与其相关的所有通信,这看起来并不合理,因此,对于审查者来说,网址过滤存在一些问题。如果让更为精细的控制成为可 能,需要检查数据包内容是否包含违禁关键字。由于路由器通常并不检查数据包内容,而只是查看数据包头部,因此需要额外的设备,检查数据包内容的过程通常被 称为深度包检测Deep Packet Inspection
    一个被确认包含违禁内容的通信,可通过直接封锁数据包使通信中断,或者向通信的双方发送信息,请求中断会话。实施这些审查和其他功能的设备已在市场上提供。
    作为替代方案,可以使用下述的 HTTP 代理过滤方式。

流量整形

    流量整形是 网络管理者用来让一些网络顺利运行的技术,通过优先某种数据包,延迟其他种类符合一定标准的数据包。流量整形有点类似在街上控制车辆流量。总的来说,所有 的车辆(数据包)有同样的优先次序,但是有些车辆被交通管理员或者红绿灯临时阻挡,以避免在某个地方交通堵塞。同时,一些车辆(消防车,救护车)可能需要 更快地到达它们的目的地,因此通过阻挡其他车辆,给予他们被给予优先权。对为实现最佳性能需要低延时的网络数据包可以适用相同的逻辑(voice over IPVoIP)。

    流量整形也可以被政府或者其他机构用来延迟有特定内容的数据包。如果审查员想限制访问某些服务,他们可以轻松地识别与这些服务相关的数据包,并通过设置它 们的优先级为低,增加延迟。这可能给予用户容易误解的印象,这个网站本来就速度慢或者不可靠,或者它可以简单地使不受欢迎的网站相对其他网站来说不愉快地 被使用。这项技术被不赞成文件分享的互联网服务提供商用来对付点对点文件分享网络,如BitTorrent

端口封锁

    把单个端口编号列入黑名单会限制访问服务器上的某个服务,比如网络或电子邮件。网络上的普通服务都有典型的端口编号。服务和端口编号之间的关系由网络分配号码机构(IANA) 分配,但是它们不是强制性的。 这些分配指令允许路由器对受访服务进行推测。因而,为了屏蔽访问某个网站的网络流量,审查者可以只屏蔽80端口,因为该端口通常提供网络接入服务。
    用户所在的机构,无论是私人企业还是网吧,其网络管理员都可以控制端口的访问,此外,提供互联网连接的 ISP(网络服务提供商)或某些能够访问 ISP 所用连接的组织,如政府审查机构,也可以控制端口访问。除审查之外,还有许多原因可能导致端口被封锁——减少垃圾邮件,阻止使用不受欢迎的网络使用文件即时通信或者网络游戏
    如果端口被封锁,对于用户,所有使用该端口传输的信息都是不可访问。审查通常会封锁端口 10803128 8080,因为这些最常用的代理端口。如果用户面临的正是这种情况,你不能直接使用任何需要使用这些端口的代理,你将不得不使用一个不同的绕行技术,否则找到或者安排创建使用非常用端口的代理。

    例如,在某个大学,对于外部连接,可能只能使用端口 22SSH)、110POP3)、143IMAP)、993(加密式 IMAP)、995(加密式 POP3)和 5190ICQ 即时通讯)。如果用户想使用其他的网络服务,这迫使用户使用绕行工具或者用非常用端口访问服务。

关闭互联网

    关闭互联网连接是政府为应对敏感的政治和社会事件实施极端审查的一个例子。然而,完全的网络中断(如,国内和国际互联网)需要高强度的工作,因为必须关闭 连接国际网络的协议和互联网服务提供商之间互相连接并和用户相连接的协议。有些国家完全关闭网络连接(2005年的尼泊尔,2007年的缅甸和2011年的埃及和利比亚)将它作为平息政治动荡的方法。关闭从持续数小时到几星期,尽管有些人试图通过拨号连接国外的互联网服务提供商或者使用移动网络或者卫星连接。

   中断国际连接并不必然破坏国内的互联网服务提供商之间的连接或者单个互联网服务提供商的不同用户间的交流。将用户与内网完全隔离还需采取进一步措施。因此,中断有多个互联网服务提供商的国家的本地网络连接更难。

攻击出版人

    审查员也可以通过侵害出版人的出版或者托管信息的能力,从源头上禁止发布内容和服务,这有多种实现方法。

法律限制

有时,执法者能诱导服务运营商自己履行或配合审查。例如,一些博客主机或电子邮件服务提供商,可能决定在自己的服务器上执行关键字过滤,也许是因为政府告诉他们该这么做。(在这种情况下,期待任何形式的规避行为将抵消这些服务的审查, 这几乎没有希望;我们通常设想将规避行为作为一种获得在别的地方的想要的网络服务的努力,如在一个不同的国家,或不同的管辖区域。)

Denial of Service(拒绝服务)

    如果部署过滤的组织没有权利(或无法访问网络基础设备)实施常规的封锁,可通过令服务器或网络连接过载的方式使网站服务访问。这种技术,称为 DoS(拒绝服务)攻击,可通过一台具有快速网络连接能力的计算机进行实施;更为常用的是,利用数量更多的计算机实施分布式 DoSDDoS)攻击。

域名注销

    在前文中,我们已经提到,网页请求的第一阶段是联系本地 DNS 服务器,查找目标网址的 IP 地址。保存所有已存在的域名是不可行的,因此使用一种名为递归解析器来存储指向其他 DNS 服务器的指针,而这些 DNS 服务器更可能提供所需的答案。递归解析器将遍历每个 DNS 服务器,直到发现能够返回请求答案的“可信的”服务器。
    域名系统是按照等级方式进行组织的,最上层为域名中的国家域,如“.uk”和“.de”,以及非地理位置的顶级域名如“.org”和“.com”。负责这类域名的服务器将子域名(如 example.com)的解析授权给其他 DNS 服务器,而后者对这些域名的请求进行解析。因此,如果负责等级域名的 DNS 服务器将某个域名注销,递归解析器将无法找到 IP 地址,并为用户提供该网站的访问服务。

    国家类的顶级域名通常由相应国家的政府或由其指定的机构进行管理。因此,如果网站使用某个国家的域名,而对于这个国家,该网站提供的内容违禁,那么它将面临域名被注销的危险。

关闭服务器

    为内容提供主机服务的服务器必须存放在某个地点,以便管理员进行管理。对于这些服务器的存放地点,如果反对这些网站内容的人员具有法律或非法律的控制权,那么他们可以断掉这些服务器的连接或要求管理员关掉它。

威胁用户

    审查员同样可以以各种不同的方式阻止用户访问被禁止的材料。

监视

    上述对违禁内容的封锁机制使用的是未成熟的技术,并且存在规避的可能。还有一种方式,可能与过滤同时使用,即对访问的网站进行监视。如果用户访问(或试图访问)违禁内容,那么将采取实施法律(或非法律)措施进行惩罚。

    如果真相已在很多网站公布,它将阻止人们试图访问这些被禁内容,即使那些封锁的技术本身并不能真正能够防止人们获得这些信息。在一些地方,审查员试图制造一种到处都是他们的情报人员以及每个人都不断地被监视的印象,不论是否真的是这样。

社会化技术

    社会化技术通常用于阻碍用户访问不当内容。例如,在一个家庭里,将个人电脑放在起居室而不是有更多隐私的房间,这样所有人都可以看到电脑显示器;阻碍孩子 访问不当网站,这是一种低调而隐蔽的方式。在图书馆中,对电脑进行精心的摆放,以使图书馆官员在办公桌处就可以清楚地看到电脑屏幕。网吧安装闭路电视监控 (CCTV)摄像头。当地法律可能要求安装这种摄像头,并且还要求提供用户提供政府颁发的带有照片的身份证。

偷窃和破坏通讯器材

    在一些地方,审查人员有能力完全禁止某些种类的通信技术。在这种情况下,他们可以公然没收或搜寻并摧毁被禁止的通信设备,以发送一个信息,就是它的使用将不被允许。