阮一峰的网络日志

关于对境外网站的屏蔽

最近，国内对境外网站的屏蔽好像又加强了，许多我以前能访问的网站，现在都看不到，对我影响很大。使用代理服务器也不管用，典型的表现是网页刚显示了一点，然后浏览器立刻变成“该页无法显示”。

转贴一篇今天才看到的文章，原文写于2001年，对整个屏蔽机制有很准确的分析，并提出了一种解决办法。

proxy失效的分析

　　近期有关代理大规模失效的问题，从我试验的情况来看，应该是电信在国际出口路由器上使用一程序分析数据包的内容，只要向任何国外主机发送的请求中含有“不良信息”网站的主机名，该路由器就伪装成所要访问的主机，发回一个“关闭连接”的通知，导致浏览器报错。

　　比如，在google或yahoo上，输入www.bbc.com，搜索，就会马上出现网络错误，（这也是在google上site指令出错的原因）更极端一点，在www.deja.com上（或随便什么有使用GET方法的CGI表单的网页），要求输入用户名和密码的地方输入一“不良”网站主机名，同样出错。在国内的网站上则没有这个问题，因为不需要经过国际出口。可见，过滤是针对主机名的，而不是所要访问的网页的内容。

　　进一步测试还发现这种情况也不是每次都出现，但多试几次就行。在不同地区结果也不一定相同，因为国际出口不同。

　　几个问题探讨一下：

　　1.为什么还有代理能正常使用？是否都是“假代理”？

　　2.CHINANET的做法违反了哪些法律？

　　俺非专业人士，只是觉得有两点是违反法理的，一是分析用户数据的内容，相当于窃听电话，是侵犯隐私，二是“冒充”其它主机，侵犯海外服务提供者的名誉权。

　　3.我等网民该如何面对这种无耻行为？技术上解决很不乐观，目前俺还没想到什么办法，因为“关口”掌握在人家手里，我们完全处于劣势。大概只有道义上的谴责，让所有人都知道了。

　　4.用技术手段而不是其他手段来解决这一问题还是道义上的进步了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

看了《proxy失效的分析》一文，我做了一些测试，整个过程如下。

　　定义：

　　IP1——我本地机器第一IP

　　IP2——我本地机器第二IP

　　proxy1——一次代理服务器地址（尚未被封，恕不能公布）

　　proxy2——二次代理服务器地址（不能直接被访问）

　　Web1——境外被屏蔽受访网站（例：文学城）

　　Web2——境外未被屏蔽受访网站（例：雅虎）

　　Web3——国内网站（例：新浪）

　　测试步骤如下：

　　1.清空本地机器的Cache，使用IP1及proxy1，访问Web2，Web3，并深入访问Web2，Web3子页面，一切正常；

　　2.关闭所有打开页面，关闭proxy1，打开空浏览器，清空本地机器Cache，继续访问Web1，Web2，Web3，则Web1因为被屏蔽无法访问，Web2，Web3受访正常；

　　3.关闭所有打开页面，打开空浏览器，清空本地机器Cache，使用proxy1，访问proxy2、proxy2受访正常；

　　4.通过proxy2访问Web1、Web2、Web3，并深入访问子页面，均能够正常访问；

　　5.不使用proxy2，直接通过proxy1访问Web1，读取部分内容后突然中断，再次访问Web1，立即报错，立即访问proxy2，已经无法连接，访问失败，随即访问Web2、Web3，则也无法访问；

　　6.关闭proxy1，关闭所有页面，打开空浏览器，清空本地机器的Cache，访问Web2、Web3，并深入访问子页面，则访问正常；

　　7.关闭所有页面，打开空浏览器，清空本地机器的Cache，隔2个小时后，重复1、2、3、4、5，全部无法成功；

　　8.关闭所有页面，打开空浏览器，清空本地机器的Cache，修改本地机器IP为IP2，重起机器；

　　9.使用proxy1，访问Web2、Web3，并深入访问Web2、Web3子页面，一切正常；

　　10.重复2、3、4动作，一切正常

　　11.重复5、6则发生同样状况

　　由此，完全可以得出结论，出口处有数据包监听系统，理由分析如下：

　　步骤1可以看出当通过proxy1访问“安全”网站时，丝毫没有阻挡；步骤5可以看出，Web1是在发回部分数据后被掐断的，而再综合步骤4可以看出，在实施步骤5时由于数据包中直接含有直接访问Web1的数据，而在步骤4中对Web1的访问则为间接，因此，在步骤5中，Web1能够发回部分数据时因为监听系统尚未发现数据包中含有直接访问Web1的数据，而随即的Web1受访立即中断是因为监听系统已经发现数据包中含有直接访问Web1的数据，因此立即对访问进行了禁止，甚至可以看出是对IP1采取了出口禁止的措施，因此当在IP1及proxy1的状态下无法访问境外，境内的“安全”站点，这点通过步骤1、6得到了验证，更换IP后重复步骤更是准确无误地验证了前面的分析结果。

　　不过目前的监听对通过一次代理再经过二次代理来访问被屏蔽站点的方法还不起作用，步骤3、4可以证明，要禁止这样的访问恐怕目前还有点力不从心吧，更何况对一次代理数据包的分析已经是很耗费系统资源了，难道我们有限的出口带宽就是为了干这件事？这可全都是纳税人的银子啊！

　　很难理解为什么有人要花这么大的力气和代价做这个监听？何况这样对全国网民大规模的监听是否合法有待商榷，这样看来连商业机密的安全都要打个折扣了。

Posted by Ruan YiFeng at May 6, 2004 12:40 PM | 返回首页