信息柏林牆﹕突破中共封网的技術對策探討
* 石磊 *
原作按語﹕我們非常興奮地了解到,“美國之音”已經采取步驟,准備從技術上
突破中共對海外网站的封鎖。中國民主正義党“信息柏林牆”工程小
組整理了本篇報告,以幫助所有致力于瓦解中共“信息柏林牆”、打
破中共信息壟斷的朋友們共享我們所了解的中共封网的實際情況。本
文也將就我們我們正采用和正在研究的一些技術對策作簡要介紹。
由于网絡技術的更新、中共封网的升級以及突破中共封鎖的技術對策
也不斷在推出,本篇文章將取代過去所發表過的所有相關的文章。
-----------------------------------------------------------
* 中共究竟是如何封鎖海外网站的﹖
中共封鎖海外网站,也就是不讓普通的上网者看到海外的一些网站上的內容,主
要從兩個方面進行﹕屏蔽网址和過濾网頁內容。
(一)屏蔽网址
所謂屏蔽网址,就是阻擋上网者訪問某些网站,不讓上网者瀏覽該网站的任何資
料,“美國之音”的官方网站就屬于遭到中共屏蔽的网站之一。
屏蔽一個海外的网站,有兩种做法。一种是將受屏蔽的网站地址存入提供上网服
務的公司的服務机器的數据庫中。當使用該公司上网服務的客戶試圖訪問的网站地
址与該數据庫里存放的受屏蔽的地址相同時,這個客戶要嘛會看到錯誤信息、要嘛
等待很久也進不了要訪問的网站、要嘛被自動返回這個上网服務公司的主頁。
過去几年,中共主要是強迫各個分散的上网服務公司來進行网絡屏蔽,由网絡警
察執行檢查和監督。采用這种方法屏蔽海外的某些网站,漏洞是非常顯著的。其中
較普遍的漏洞是各類上网服務公司的技術能力和設備參差不齊,网絡警察本身的技
術知識和技術能力不見得跟得上技術的發展,以及上网服務公司不斷改變机器設備
、更新系統、重新按裝采用新式的軟件等,都會造成屏蔽暫時地、甚至是長期地失
去作用。
從去年底、今年初開始,中共已經改變了网絡屏蔽的做法,已經不是依賴上网服
務公司來執行屏蔽,而是直接在中國和海外的网絡通訊的“出口”,即网絡通訊的
“交通要道”上,設置上面所說的网址屏蔽。這樣,對海外某些网站的屏蔽,有了
所謂的“統一管理”,過去几年無法控制和徹底解決的漏洞,全部被堵住。
在繼續解釋中國屏蔽网址之前,需要解釋一下网站的域名、IP地址和DNS 的關系
。网站的域名,以“美國之音”為例,是﹕www.voa.gov 。這是一個幫助人們容易
理解和記憶的地址名稱,卻不是計算机相互之間傳遞信息時所使用的地址名稱。同
這個讓人來閱讀的地址名稱相對應的机器所使用的地址名稱,叫作IP地址。還是以
“美國之音”為例,它的IP地址是﹕152.75.128.7。在沒有网絡屏蔽的情況下,上
网的人訪問www.voa.gov 和訪問152.75.128.7是完全沒有區別的。DNS是將IP地址
同域名對應聯系起來,讓使用域名地址訪問的人,計算机能夠找到對應的IP地址,
從而找到网站的資料。DNS本身也是一個服務器,因此也有自己的域名和IP地址。
回到中共屏蔽网址上來,中共屏蔽“美國之音”网站,同時將上面的域名和IP地
址封鎖。這樣,中國的网民就不能訪問“美國之音”的网站了。
我們暫時不談另一种中國网民普遍使用的、通過代理服務器來訪問被屏蔽的海外
网站的技術方式。讓我們從海外网站的方面再作深入一步的解釋。接著上面所作的
解釋,如果“美國之音”保持网站的域名www.voa.gov 不變,而在机器中改變了IP
地址,比如IP變成了152.75.128.8,這樣會出現什么情況呢﹖這樣出現的情況是,
使用域名作為地址進行訪問的中國网民仍然無法訪問“美國之音”。可是,使用改
變了之后的IP地址進行訪問的中國网民卻能夠訪問“美國之音”。這個屏蔽网址的
技術漏洞,是中共至今沒有辦法全面堵住的。
中共對付海外网站更換IP有兩种主要辦法,一是發現IP變了,立即更新屏蔽网址
的數据庫。過去,正義党网站每變換一次IP,從中國直接上网訪問的人數雖然直線
下降,但需要大約一個月的時間,才降到零。這是因為中國當時是通過分散的上网
服務公司進行网址屏蔽所造成的結果。現在,由于中共采用了在“出口”進行“統
一管理”,新的IP推出不到七十二小時,有次只有七個多小時,中國上來的訪問量
就到了零點。
對于一個功能比較全面的网站,改變一次IP所要付出的努力是比較麻煩的事情。
但是中共對于這僅僅只有7∼72小時的漏洞還是不能容忍。中共干脆封掉受屏蔽网
站所在的整個服務机上的所有IP地址。這是通過尋找該网站的DNS地址來了解的。
還是以“美國之音”為例,它的DNS 地址是﹕152.75.128.2和152.75.128.20,從
而可以發現,凡是IP地址以152.75.開頭的,都屬于“美國之音”。從理論上來說
,它共有六万五千多個不同的IP地址可以選擇。當然,“美國之音”擁有這么大量
的IP地址群,中共要封鎖所有這些IP地址會明顯降低本身网絡与外部通訊的速度。
再說,“美國之音”暫時并沒有采用改變IP的辦法跟中共封网屏蔽打游擊,中共也
沒有這樣做。但是,對于一些使用單部主机或小型网絡的海外某些政治异議組織來
說,擁有的IP群常常是只有1∼8個,中共屏蔽起來依然是輕而易舉的事情。
綜上所述,中共目前通過在“交通要道”上設置屏蔽的方法,基本上可以做到防
止中國网民直接訪問海外受屏蔽的网站。剩下的一個問題就是网民通過代理服務器
進行訪問的漏洞了。代理服務器的意思指的是先訪問國外某個提供“二傳手”服務
的网址,讓國外的這個提供“二傳手”服務的网站,到受屏蔽的那個网站去讀取資
料,再送到訪問者的計算机屏幕上。無論通過一個這樣的“二傳手”(一級代理)
,還是多通過几個這樣的“二傳手”(二級代理或多級代理),對中國的网民訪問
受屏蔽的网站,沒有什么本質區別。這類訪問都叫作間接訪問。
然而,中共對付使用代理服務器間接訪問受屏蔽网站的辦法是可想而知的。那就
是屏蔽掉所有的已知的代理服務器的IP和网站。目前,對中國网民來說,直接訪問
几乎不可能,而間接訪問也需要找到還沒有被中共屏蔽的代理服務器的IP或网站。
這需要很好的運气和特別的技術知識才能做到。
那么,是不是還有什么別的辦法能夠讓中國的网民看到遭受屏蔽的网站內容呢﹖
有﹗著名的“三角男孩”就是一种最新的辦法。但是,“三角男孩”所采用的技術
是否能夠滿足我們全部期望的要求﹖我們必須先解釋中共封网的另一個重要方面﹕
网頁過濾。
(二)网頁過濾
對內容的過濾,早已在電子郵件中進行。關于電子郵件的方面的封鎖和反封鎖,
不是今天我們要討論的主題。這里要介紹的,是中共最近已經全面采用网頁內容過
濾。
我們首先發現中國過濾网頁是在今年六月份。我們正義党网絡組的一個工程師,
晚上將撥號上网的家庭電腦設置成簡單的网絡服務机。這就建立起一部沒有域名而
只有IP地址的网站。這位工程師將隨机取得的IP地址通過電話告訴給在中國的一位
朋友。這個IP地址顯然不在中共屏蔽之列。這位工程師在這台家庭電腦建成的网站
中提供了完整的“大參考”(鏡像)、正義党組織的文件、一些海外异議人士寫的
文章,以及海外報刊的新聞等內容。國內的這位朋友通過這個IP,成功地登陸了這
位工程師的電腦讀取資料。在過去的兩年中,用這种簡單的方法雖然不能夠達到有
規模的訪問量,也遇到過IP遭到屏蔽的情況,但是總是能夠讓中國知道了IP的人成
功地讀取資料。
可是,現在卻出現了新的情況。今年六月中旬的一天,正義党的這名工程師接到
了他國內朋友的電話獲知,他的朋友可以讀到某些新聞資料,可是當打開有關“大
參考”和正義党內容的网頁時,大約在2∼3秒的時間里,他的瀏覽器就自動關閉了
。經過几次嘗試,結果网頁連2∼3秒的顯示時間都沒有了,變成完全不能閱讀。与
此同時,不怎么敏感的新聞內容,卻仍然可以讀。這顯然同封鎖IP沒有關系。針對
這一新的現象,我們“信息柏林牆”工程小組進行了全面了解。了解的結果是﹕中
共強迫所有的上网服務公司按裝了一种過濾軟件。這類軟件品牌目前并不統一。它
的功能是過濾网頁的“關鍵詞”。使用這种軟件的同時,中國网民訪問任何网站,
實際上都不是直接訪問,而是通過一個“過濾网”的“二傳”來進行的。過濾网過
濾一些關鍵詞,如“大參考”、“法輪功”、“正義党”等等,當然也包括了被屏
蔽的网址,如www.voa.gov、BigNews.org、cdjp.org等。
過濾网發現了過濾詞之后,做的究竟是些什么動作呢﹖我們在七月份從中國多名
网絡工程技術人員那里了解到,這類軟件會記錄訪問者和被訪問者的IP地址、保存
被訪問的网頁、并且自動將該保存下來的网頁同該网頁所在的地址發送到网絡警察
指定的地方去。作為“二傳手”的過濾网,同時立即停止“二傳”這個网頁,并且
立即將該网頁的地址存入服務机的屏蔽數据庫中。這就是為什么我們的那位工程師
在中國的朋友只能夠看到2∼3秒鐘、之后不久就再也看不到的緣故。這一切都是自
動進行的,效果是惊人的。目前我們暫時沒有發現這樣訪問過的人受到當局調查的
情況。這樣訪問過我們所設的單机隨机IP站點的中國网民過去兩年中有過許多。
出現這种新的過濾网頁的封鎖辦法之后,我們依然發現有一個空子可以鑽,那就
是在同樣的方法下面,不設置排好版的頁面,而列出网頁的文件名,讓訪問者下載
到自己的計算机里,然后离線瀏覽。
有關网頁過濾,暫時就解釋到這里。下面讓我們研究安全网提供的“三角男孩”
是如何對付中共屏蔽网址和网頁過濾的。
* “三角男孩”是怎樣突破中共网絡封鎖的﹖
“美國之音”准備采用的“三角男孩”所提供的反制中共封网的技術,包括三個
方面﹕
第一個方面是更換IP。有關更換IP的作用上面已經講過。“三角男孩”不是更換
自己服務机的IP,而是邀請世界各地許許多多的网友,類似上面我們正義党的那位
工程師一樣,將自己的個人電腦變成一個网絡服務机。這樣就產生許許多多可供中
國网友直接訪問的IP。而這些IP,中共預先無法知道,不能象上面講到的查詢“美
國之音”的IP群那樣查出來全部封掉。從理論上將,中共可以封掉海外所有撥號上
网者的IP。但這樣做將使中共与外界的网絡通訊全部中斷。中國大陸的人連海外的
電子郵件都會收不到。看來,中共不會下決心這樣做,尤其是中共正在積极爭取加
入世貿,暫時不可能這么做。
第二個方面,是提供代理服務器。參与“三角男孩”的网友設立的服務机同上面
所談到的正義党的那位工程師所提供的服務机性質有所不同。“三角男孩”不是提
供网站內容,而是提供一個代理服務器。參与者是當一名“二傳手”。
第一、二兩個方面,對付的是中共屏蔽网址。而這第三個方面,對付的是中共過
濾网頁內容。“三角男孩”采用加密傳遞的辦法,讓中共設置的“過濾网”軟件無
法找到网頁中的過濾詞。因此中共的過濾网軟件就失去了作用。
根据我們所了解的情況,通過“三角男孩”,中國的网友确實可以非常成功地訪
問海外被中共屏蔽的网站。這是目前為止最有效的一种突破中共网絡封鎖的辦法。
* 中共已經開始挑戰“三角男孩”
“三角男孩”從出現到使用不到兩個月,中共就研究了對付的辦法。根据中國的
多名网絡工程師和普通网友提供的情況來看,目前中國网友很不容易取得“三角男
孩”提供的有效IP地址。雖然中國网友使用國外的免費郵件信箱可以得到“三角男
孩”隨机提供的IP地址作為跳板,但是得到的IP地址有時不能使用(參与“三角男
孩”的個人電腦關机或軟件出了毛病。畢竟這些机器絕大部份都是非网絡專業人士
的個人家庭或辦公室電腦),或者得到的IP已經被中共知道之后,成為被屏蔽的對
象。一位中國的网絡工程師告訴我們說,他了解到上海的网絡警察正在開發一种新
的軟件。那就是全面過濾IP地址。“三角男孩”主要依賴電子郵件來傳播IP地址。
中國网友必須首先獲得這樣的IP地址才能開始使用“三角男孩”所提供的跳板服務
。因此,使用上面解釋過的、對网頁進行過濾的技術,凡是發現网頁和郵件中出現
用數字來表達的IP地址時,立即檢查是否屬于“三角男孩”的一部份,如果是,立
即將此IP自動寫入网絡“出口”的屏蔽地址數据庫中。該IP地址很快就能被封鎖掉
。從理論和技術兩個方面看,中共网絡警察開發這類軟件,應該沒有多大困難。
第二個問題有點可怕。根据廣東的一名网絡工程師提供的消息說,廣東的网絡警
察也接到了對付“三角男孩”的任務。网絡警察的工程師們認為,參与“三角男孩
”服務的個人電腦只能是使用Cable和DSL連結上网的電腦,而且對微軟視窗有特別
要求,因此有條件又有愿望參与“三角男孩”服務的人數應該有限。他們認為,除
了象上海网絡警察提出的封鎖IP的辦法很快就能限制住“三角男孩”所提供有效的
IP地址之外,可以對提供這類IP地址的個人電腦進行黑客攻擊。由于參与“三角男
孩”都是沒有特別网絡經驗的人,他們使用的軟件和設備都非常普通,安全防衛都
十分一般,黑客攻擊是輕而易舉的事情。這個消息,同時暴露了中國的所謂“民間
黑客”,直接同政府的网絡警察有關系,或者說中共网絡警察正准備利用這些民間
的黑客。
第三,一名清華大學的研究生网友說,雖然他們都反對中共封鎖海外网站,但是
從技術角度來講,他的同學和導師認為,中共最可能采取的對付辦法,是采用一种
類似“病毒”的軟件,讓所有中國上网的計算机全部“中毒”。這种“病毒”將在
上网時通過國內的上网服務公司的服務机,自動下載并且更新,從而在自己的計算
机中對所瀏覽的网頁進行過濾。如果發現過濾詞在网頁中顯示,那么瀏覽器就會自
動關閉,并且自動發送一條信息給网絡警察。這條信息將包括所瀏覽的网頁的內容
和該网友的的個人資料。它還可以進一步把“屢犯”者的計算机破坏掉。這要看如
何設計這种“病毒”的程式了。這個方法不是直接針對“三角男孩”的。然而這种
采用“病毒”的辦法來封鎖网絡信息可能更加有效。
對于“三角男孩”來說,這里所說的前兩种方法是對付IP地址及IP地址的傳播,
讓“三角男孩”提供的跳板服務失去作用。而最后這种“病毒”的辦法,可以成功
地對付“三角男孩”所采用的加密傳遞。訪問者的瀏覽器負責解密之后,內容一顯
示,“病毒”就起作用。這可以在訪問者的計算机上完成,使加密傳遞失去意義。
* 突破中共网絡封鎖的前景和期望
上面所談的情況,可能令很多希望徹底突破中共网絡封鎖的朋友感到失望。然而
全面了解我們的敵人和我們自己,是我們能否取得胜利的關鍵因素。過低地估計我
們的敵人和過高地估計我們自己,都會使我們被動和失敗。然而,我們并不需要失
望。許多比起先進的技術方法來說屬于落后的技術和方法卻依然有效。比如上面介
紹中談到過的顯示文件名、讓訪問者下載离線瀏覽閱讀的方法,可以避免訪問者計
算机“中毒”,而提供內容時更將過濾詞切開嵌入符號。假設“美國之音”作為詞
組屬于中共封网的過濾詞,那么將“美國之音”寫成“美-國-之-音”等,或者將
“美國之音”四個字制作成圖片,都能夠逃避過濾。另外,目前還沒有發現中共能
夠對語音文件進行過濾。“美國之音”的廣播節目如果通過語音,供下載進行傳遞
,也能夠對付中共的网頁過濾。
另外,電子郵件方式中還有許多可以突破中共网絡信息封鎖的地方。我們最后可
能會了解這樣一個真諦﹕新的技術的不斷發明和發展,都不能取代人。我們這里既
想說人可以創造和發明新的技術來突破中共的网絡信息封鎖,也想強調在當前情況
下突破中共的网絡信息封鎖需要人在現有的技術能力之下的堅強意志、辛勤努力和
堅持不懈。
上面已經有所介紹,三年多來封网与反封网的斗爭經驗告訴我們,中共不可能完
全封住中國的网民通過互連网訪問國外的网站。网絡技術不斷更新換代,封网和反
封网的斗爭將繼續下去。但是,我們也不得不承認這樣一個事實﹕中共對网絡信息
的封鎖和過濾,是有一定效果的。反封网的技術和方法,目前還沒有能夠達到徹底
突破中共的网絡封鎖和网頁過濾。雖然從技術方面繼續尋找有效的突破方法依然必
不可少,但是我們認為,突破中共网絡信息封鎖,最后很可能依靠的不是技術,而
是正義的力量。我們把希望寄托在全世界民主國家的政府和人民身上,寄托在中國
愛好民主、自由和反抗中共獨裁統治的人民身上。如果全世界有足夠的人,參与到
運用有限的技術,甚至是普通的、常規的、原始的技術,來共同推倒中共專制政府
設立的“信息柏林牆”,這堵牆就一定能夠被推倒。
雖然“美國之音”是一個美國的民間組織机构,明确聲明不代表美國政府的立場
,但是“美國之音”具有象征意義。今天,我們看到“美國之音”跨出了第一步。
這個信號讓我們相信,全世界的民主國家和民主力量聯合起來、共同來推倒中共獨
裁專制政府所設立的“信息柏林牆”的時刻即將來臨。
作者﹕石磊、顧志剛、董穎、尹嘉標
執筆﹕石磊shilei@cdjp.org
○一年八月三十一日