中共網絡封鎖技術漫談之二:國家級別的關鍵字過濾

Twitter Facebook 轉發 打印
關注度:
【明慧網2003年12月9日】在上一篇中談過了國家網關的IP封鎖,這次來談談國家級別的關鍵字過濾技術。僅僅封鎖IP的效率已經沒法滿足中共的封鎖要求了,那麼它也就投入了巨大的力量來發展更加嚴密的封鎖技術。

在千兆以上的帶寬中(比如主幹路由上),監聽和過濾所有的信息,普通軟件級別的過濾技術是不行的。需要在骨幹路由器上有這樣的設備。CISCO等公司的高級路由設備中,就提供了這樣的系統,最主要的就是IDS(Intrusion Detection System)──入侵檢測系統。它能夠從計算機網絡系統中的關鍵點收集信息,並分析這些信息,檢查網絡中是否有違反安全策略的行為。

這樣的設備能夠幹甚麼呢?他能夠檢測所有經過的網絡數據,如果數據內容有匹配的關鍵字的話,就可以進一步分析,然後決定對該數據流的處理。比如說吧,用戶想到美國之音的網站看英語新聞,http://www.voanews.com/ 。輸入這個地址後,那麼瀏覽器會發出一個網絡請求,其中就包含著VOA這樣的字符。 那麼這個請求到真正的網站之前,就會經過路由的檢測系統。如果系統設置了VOA為關鍵字,那這個網絡數據流就會被檢測到。然後路由器會給用戶和網站都發送一個重置(reset)的數據包。然後用戶就會看到頁面無法顯示。一般檢測設備可能會保持這個用戶和這個網站的重置(reset)狀態大約十幾分鐘,然後又恢復正常狀態。這個時候用戶又可以連上這個網站了。

這樣的系統有幾個弱點,一個就是IDS的反應都有延遲,因為IDS從抓取數據包,監測關鍵字,產生RESET包,到最後發出RESET整個過程都要消耗一定的時間。所以在實際用戶瀏覽中,可能會遇到這樣的情況,可以看到第一頁或者是開始幾個連接,但過幾十秒後就是頁面無法顯示。

再一個弱點就是有很大的誤報率,不過以中共的寧枉勿縱的手段,只要偷偷的做,一般人也不會知道。即使有人抱怨,也可以說是電信的甚麼臨時故障等等,一推了之。個別人要較真,那就用國家安全的理由嚇唬一下,反正「洩露國家機密」是個後備的萬金油,甚麼都可以安上。

再一個就是這樣的監測,在數據流量很大的時候,會拖慢整個網絡。中國大陸的到海外的網絡速度慢,其中一個原因就是在國家出口網關上有這麼多的過濾、監視的程序。

從具體應用的角度講,它主要有3個方面可以過濾。第一個是網址的過濾,就是過濾網絡地址中的關鍵字。比如第一次封鎖Google然後又恢復的時候,大陸的人們就發現,一個優秀的功能「網頁快照」不好使了!想進一步具體瀏覽的網址也可能出現頁面無法顯示的現象。它能夠實現這樣,就是所有的Google的默認快照的網址中,都有類似這樣的字符串 http://216.239.59.104/search?q=cache: , 其中的search?q=cache就被過濾了。 如果用戶手動把其中的「search」改為「custom」,那就又可以看到優秀的快照功能了。

第二個是對網頁內容的過濾。網址的數據量在具體的網絡流量中是很少的,監測所消耗的資源也可以容易承受。而對所有網頁內容的監測,這個在國際出口上就是一個非常大的消耗,而效果卻比較差勁。在2002年左右,中共研發了這樣一套系統,並開始悄悄的強制在各個ISP應用。具體過濾的關鍵字主要是6.4、法輪大法等。這樣過濾的效果並沒有很大作用,卻消耗了很大的網絡資源。因為從監測到處理發出重置(reset)命令需要比較長的時間,往往用戶已經把網頁都下載完了,系統才檢測到。比如用 Google 搜索前一段時間比較熱門的關鍵字「起訴江澤民」,大陸的網民就可能看到整個的頁面,而繼續看下去的時候,才可能只出現半個頁面,然後才出現無法顯示。到2003年下半年,很多ISP開始把這個功能擱置起來了,因為對他們來講實在是得不償失。消耗了那麼多資源,卻沒甚麼用。現在只有很少的部份ISP還在運行這個系統。

因為這個過濾技術原來是用於入侵監測的,現在被中共重點應用在了信息過濾上。那麼他也有一個致命的弱點,就是對加密的信息就無能為力了。網址的關鍵字和網頁的關鍵字都可以用不同的手段來加密,從而使這樣的信息過濾系統從根本上失去作用。不同的加密手段也是後來所有突破網絡封鎖軟件的基礎,這個後面會談到。

隨著破網軟件的不斷出現,中共也發現,僅僅有上面的過濾手段是沒法封住可以加密的網站的,也同時開始研發了一套DNS劫持的系統,在2002年下半年開始悄悄地大面積應用。這個就是第三個能夠過濾的,就是過濾所有DNS請求,凡是有關鍵字的,就返回一個假的IP地址。這個技術在世界上確實是獨一無二的,中共為了研發這套系統,也是花了很大的代價。具體詳細的內容,下次再談吧。

本文章或節目明慧網版權所有,非盈利轉載請註明
來源明慧網,並包含明慧網原文標題及原文鏈接。