中共网络封锁技术漫谈之二:国家级别的关键字过滤


【明慧网2003年12月9日】在上一篇中谈过了国家网关的IP封锁,这次来谈谈国家级别的关键字过滤技术。仅仅封锁IP的效率已经没法满足中共的封锁要求了,那么它也就投入了巨大的力量来发展更加严密的封锁技术。

在千兆以上的带宽中(比如主干路由上),监听和过滤所有的信息,普通软件级别的过滤技术是不行的。需要在骨干路由器上有这样的设备。CISCO等公司的高级路由设备中,就提供了这样的系统,最主要的就是IDS(Intrusion Detection System)──入侵检测系统。它能够从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为。

这样的设备能够干甚么呢?他能够检测所有经过的网络数据,如果数据内容有匹配的关键字的话,就可以进一步分析,然后决定对该数据流的处理。比如说吧,用户想到美国之音的网站看英语新闻,http://www.voanews.com/ 。输入这个地址后,那么浏览器会发出一个网络请求,其中就包含着VOA这样的字符。 那么这个请求到真正的网站之前,就会经过路由的检测系统。如果系统设置了VOA为关键字,那这个网络数据流就会被检测到。然后路由器会给用户和网站都发送一个重置(reset)的数据包。然后用户就会看到页面无法显示。一般检测设备可能会保持这个用户和这个网站的重置(reset)状态大约十几分钟,然后又恢复正常状态。这个时候用户又可以连上这个网站了。

这样的系统有几个弱点,一个就是IDS的反应都有延迟,因为IDS从抓取数据包,监测关键字,产生RESET包,到最后发出RESET整个过程都要消耗一定的时间。所以在实际用户浏览中,可能会遇到这样的情况,可以看到第一页或者是开始几个连接,但过几十秒后就是页面无法显示。

再一个弱点就是有很大的误报率,不过以中共的宁枉勿纵的手段,只要偷偷的做,一般人也不会知道。即使有人抱怨,也可以说是电信的甚么临时故障等等,一推了之。个别人要较真,那就用国家安全的理由吓唬一下,反正「泄露国家机密」是个后备的万金油,甚么都可以安上。

再一个就是这样的监测,在数据流量很大的时候,会拖慢整个网络。中国大陆的到海外的网络速度慢,其中一个原因就是在国家出口网关上有这么多的过滤、监视的程序。

从具体应用的角度讲,它主要有3个方面可以过滤。第一个是网址的过滤,就是过滤网络地址中的关键字。比如第一次封锁Google然后又恢复的时候,大陆的人们就发现,一个优秀的功能「网页快照」不好使了!想进一步具体浏览的网址也可能出现页面无法显示的现象。它能够实现这样,就是所有的Google的默认快照的网址中,都有类似这样的字符串 http://216.239.59.104/search?q=cache: , 其中的search?q=cache就被过滤了。 如果用户手动把其中的「search」改为「custom」,那就又可以看到优秀的快照功能了。

第二个是对网页内容的过滤。网址的数据量在具体的网络流量中是很少的,监测所消耗的资源也可以容易承受。而对所有网页内容的监测,这个在国际出口上就是一个非常大的消耗,而效果却比较差劲。在2002年左右,中共研发了这样一套系统,并开始悄悄的强制在各个ISP应用。具体过滤的关键字主要是6.4、法轮大法等。这样过滤的效果并没有很大作用,却消耗了很大的网络资源。因为从监测到处理发出重置(reset)命令需要比较长的时间,往往用户已经把网页都下载完了,系统才检测到。比如用 Google 搜索前一段时间比较热门的关键字「起诉江泽民」,大陆的网民就可能看到整个的页面,而继续看下去的时候,才可能只出现半个页面,然后才出现无法显示。到2003年下半年,很多ISP开始把这个功能搁置起来了,因为对他们来讲实在是得不偿失。消耗了那么多资源,却没甚么用。现在只有很少的部份ISP还在运行这个系统。

因为这个过滤技术原来是用于入侵监测的,现在被中共重点应用在了信息过滤上。那么他也有一个致命的弱点,就是对加密的信息就无能为力了。网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础,这个后面会谈到。

随着破网软件的不断出现,中共也发现,仅仅有上面的过滤手段是没法封住可以加密的网站的,也同时开始研发了一套DNS劫持的系统,在2002年下半年开始悄悄地大面积应用。这个就是第三个能够过滤的,就是过滤所有DNS请求,凡是有关键字的,就返回一个假的IP地址。这个技术在世界上确实是独一无二的,中共为了研发这套系统,也是花了很大的代价。具体详细的内容,下次再谈吧。










查询
至今为止所有文章
选择时间区间
: