推 倒 中 国 防 火 长 城

原文来自eWEEK.com
translated by enty

忘记你那普通的防火墙吧：中国的信息审 查依赖的是狡诈而又古老的技术。

中国的国家防火墙是根本没有防火墙。

中华人民共和国根本没有在国际出口路由器上安装防火墙来封马赛克锁国外的网络站点。

实际上，这个独马赛克裁马赛克政马赛克权依赖的是一套久经考验的审查制度，它有一张关键词黑名单，它的路由器深入到因特网的每个角落来检查是否存在这些违马赛克禁的关键词。

“一般认为这是一种防火墙——在此之外的东西都被封马赛克锁了。我们发现有时候有13个节点来进行关键词过滤（一般只有几个）。有的路径并没有被过滤。”Jed Crandall，一位新墨西哥大学工学院的计算机科学的助理教授告诉eWEEK。

实际上，研究者认为，政马赛克府用来阻止用户访问某些它认为含有有害信息的“防马赛克火马赛克长马赛克城”是一座“圆形监狱”—— 监狱中的人不知道他们是否正在被监视着。（译注：“圆形监狱”，原文panopticon，为Jeremy Bentham在1791年提出，大意为将犯人关在一个圆形的牢房中，墙壁是单向透明的，外面的人可以看到里面，里面的人不可以看到外面。这样的方式对于 囚犯来说，更多的是囚禁他们的心理而不是身体。链接指向的是英文维基百科上的相关词条）

有来自加利福尼亚-戴维斯大学的人员的一个研究小组，发现他们所谓的“中国防马赛克火马赛克长马赛克城”并不会封锁所有墙外的违法词汇——只要多到让人们知道它的存在而进行自我审查就足够了。

事 实上，在研究人员放置了探测器的中国主机中，有28%可以通过没有过滤器的线路与外面进行连接，这证明在中国的出口网络连接上并没有一个GFC关键词过滤 器（译注："GFC"，原文如此，国内一般简称为GFW，这里应该是Great Firewall of China的缩写）。

防火墙规避扮演了一个很复杂的角色，它让中国的互联网用户误以为自己一直被封锁。因此研究者正在计划一个新的体系来绕过GFC的关键词过滤，而再也不需要为防火墙规避而费心了。

他 们现在在制造一个工具，名叫“ConceptDoppler”，提供了另一种出人意料的选择：即，用黑名单上的关键词进行“垃圾攻击”（译注：原文 spammify）。首先要确定这些关键词都是些什么，他们传送含有不同关键词的数据包传送到中国，来看含有那些关键词的数据包会被拦截，以及是那些特定 的路由器在做黑名单过滤的工作。那些路由器，会将含有非法关键词的数据包访问请求重置，以阻止国内用户下载那些违禁内容。

研究人员表示，“ConceptDoppler”会像天气预报一样通报中国（以及其它国家）的审马赛克查制度的每个小改变。这个工具会通过特定的算法来生成不同的词，以确定中国的关键词黑名单上都写了些什么。迄今他们已经确定了122个关键词，但是他们告诉eWEEK，违禁的关键词应该有几千个。

除了用来编制一张全世界的网络审马赛克查地图以外，研究人员计划将ConceptDoppler改造成一件可以对关键词黑名单进行“垃圾攻击”攻击的利器。就像一些垃圾邮件发送者采取的技术一样，它会将违禁的关键词分隔开，或者在中间嵌入一些随机的字符。

“垃 圾邮件给了我们启示，”Earl Barr说道，他是加利福尼亚-戴维斯大学的一名主攻计算机科学的研究生。他还在一家报纸上发表过关于这个研究的文章《ConceptDoppler：网 络审查的天气预报员》（ConceptDoppler: A Weather Tracker for Internet Censorship）。

“我们找到了最好的垃圾邮件发送工具——来自匈牙利的程序，然后将这个工具用来做一些好事。”Barr说。

按照他们的设想，当中国的一个地址向一个含有黑名单中的关键词的网站发出连接请求时，安装在网站上的一个程序会发出提醒。网站管理员可以激活这个“垃圾制造工具”，让传输到中国的数据可以绕过关键词过滤。

许多黑名单中的关键词是可以预料到的，比如“西马赛克藏马赛克独马赛克立马赛克运马赛克动”（Tibetan Independence Movement）、“法马赛克轮马赛克功”（F a l u n G on g）、“罢马赛克工马赛克权”（The right to strike）、“天 安 门马赛克广场马赛克绝马赛克食”（Tiana nm en Square Hun ger Strike Group）、“美国马赛克之音”（Voice of America）等。

而 有一些就让人感到惊讶，比如“转换率”（conversion rate），“我的奋斗”（译注：原文为德语"Mein Kampf"，阿道夫·希特勒的自传）和“国际地质科学联合会”（International geological scientific federation）。也许这些词在汉语中会部分匹配其它违禁词。

比如说，一篇维基百科上关于西德的一个州的文章，如果翻译为中文，可能里面会有和“法马赛克轮马赛克功”相似的词句。Crandall 只能这么揣测为什么黑名单上的有些关键词如此怪异。

“我的一个中国朋友告诉我，政马赛克府不仅屏蔽对他们有害的信息，他们还屏蔽他们认为‘坏的(bad)’。许多和二战有关的网页也被屏蔽了。”

封锁互联网通讯的话，中国并不是唯一的一个。加拿大和英国会封锁儿童色马赛克情的内容，德国也会封锁和纳粹有关的网页。

但 是说到把关键词过滤使到如此“炉火纯青”的境界，中国就是独一无二的了，Crandall 说道。伊朗用的是更简单的代理服务器过滤器（proxy filtering）来进行关键词过滤，而中国的技术可以让路由器探测到每一个独立网页，因此可以避免整站封锁。按照Crandall 的说法，这种做法更像是一个土办法。譬如，“大马赛克屠马赛克杀”（m a s s a c r e ）这个词也出现在了黑名单里面，这意味着所有含有这个词的网页都会被封锁。

但是当中国的过滤技术发挥效用的时候，会让封锁看起来是无意中进行的。按照审马赛克查员的观点，这是一种更加优秀而文雅的封马赛克锁方式。如果对IP进行封锁的话，也许有人可以在另一个IP地址上给被封马赛克锁网站的内容做一个镜像。Barr说道。

然而当使用代理服务器可以绕过审查的时候，这样的方法就遇到了问题。代理服务器迫使审马赛克查马赛克员要检测网络上每一个节点，这要耗费大量的资源，通过造成单一故障点的方式也行不通了。“要解决这个问题的花费非常昂贵。”Barr 说。

然而无论如何，代理服务器是有明确的协议的。因此他们可以绕过绕过用户在另一个通道对通信协议进行修改。

GFC不仅是一种优雅而难以逾越的封锁工具，对于研究者来说，它本身说明的信息更让人感兴趣。中国的国家防火墙告诉研究者这样一个信息，一个数据包的连接被重置以后，其境外来源也会被跟踪。

“你 可以在中国境外通过关键词过滤的方式进行试探，”Crandall 说“我们意识到，在中国境外我们可以找出有多少进入中国的数据包，以及过滤器放在哪个路由器上。我们调节了被返回的数据包，知道它经过了多少个路由器之后 被返回的。我们也可以测试一下黑名单里的关键词，如果被复位，我们就知道它被封马赛克锁了。”

研究员计划寻找一种更好的方法来确定放置过滤器的位置，并且会使用加利福尼亚-戴维斯大学之外的源点来进行测试。中国现在可能正在使用更加狡猾的技术，比如IP转向。占据因特网上的地利后会让研究员更容易确定是否真的如此。

从这一点上看，使用单一的信息源会阻碍研究院确定封马赛克锁点的位置。他们现在所知道的是，中国最大的ISP（网络服务商），中国电信（ChinaNET），通过他们的探测器完成了83.3%的过滤。他们还知道99.1%的过滤发生在中国最后一台出口路由器上，在那里11.8%的信息被过滤掉了。有时候在那里会遭遇13层过滤。

他们还知道的是，其它有志于加入互联网马赛克审马赛克查行列的国家正要复制中国的技术。
转至：译着玩玩