由于企业的“翻墙”行为既未使用合法的“国际出入口信道”,也未接入合法的“接入网络”,甚至未使用境内的“互联网络”,已经违反了《中华人民共和国计算机信息网络国际联网管理暂行规定》的规定,公安机关有权责令企业停止国际联网行为,同时给予警告,并处以15000元以下的罚款。
(在看完第四章的基础上),你将对“GFW”、“翻墙”等话题有更深入、更正确的认识,同时避免被不怀好意的人的类似观点(见下文引用部分)欺骗。
因为全球大部分根域名服务器都设立在美国,所以美国掌握互联网的底层,而中国必须建立GFW来保障互联网安全。这也是互联网+产业安全运转的重要基础。
1、什么是邮电部国家公用电信网提供的国际出入口信道?
2、1996年的“国际出入口信道”的概念在20年间是否发生变化
3、当我们讨论“翻墙行为”究竟是否违法时,我们首先应该讨论什么
4、翻墙行为是否属于私自架设物理信道?
1、互联网访问基本原理——OSI参考模型
(1)国内网站访问原理
(2)境外网站访问原理
广东公安执法信息公开平台行政处罚决定书信息 韶雄公(网)行罚决字 [2019]1号
a.样图中的文书格式非常极其不规范,正文字体大小悬殊、行距和字距不统一。表面上,该文书似乎是一份标准模板,横线是提前固定的,但细看便可发现,正文文字下划线与页面的边距不统一,因此这明显是在正文文字填写之后才事后加上“下划线”格式的。且文字没有统一边距; b.在“现查明”的正文部分,“‘蓝灯’(Lantern Pro)软件APP”中的“软件”和“APP”系表意相同的两个名词,此处连用存在语病,十分怪异; c.在内容部分,“且最近一周的登陆次数为487次”并没有相应的证据材料予以佐证。首先,行政相对人不可能记住自己使用vpn的连接次数,因此该数据不可能从询问笔录中反映出来。 其次,手机app本身并不会保存每天的连接次数,也没有日志的功能; 此外,即使该数据在手机和app内部以日志的形式保存,行政机关也不可能靠妄加猜测突然检查朱某某的手机,而是只可能使用远程手段(例如公安机关远程监控系统、电信运营商的举报或直接向运营商收集用户访问境外ip地址相关信息),但这样的证据并没有在此份决定书样图中反映出来,所以在证据层面是可疑的。 |
上述行政处罚案件的处罚依据如下:
《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第195号)(1996年1月23日)
第六条 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。
第十四条 违反本规定第六条、第八条和第十条的规定的,由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。
北大法宝 【法宝引证码】 CLI.2.13908 (现行有效)
关于发布《计算机信息网络国际联网出入口信道管理办法》的通知(邮部〔1996〕492号) 第二条 我国境内的计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。
任何单位和个人不得自行建立或者使用其它信道(含卫星信道)进行国际联网。
北大法宝 【法宝引证码】 CLI.4.14832 (现行有效)
1、什么是邮电部国家公用电信网提供的国际出入口信道?
好在,1998年国务院信息化领导小组又出台了一部相关的部门规章,对“国际出入口信道”的含义作出了明确的规定。
关于印发《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》的通知
(国信[1998]001号)第三条 本办法下列用语的含义是: (三)国际出入口信道,是指国际联网所使用的物理信道。 北大法宝 【法宝引证码】 CLI.4.19760 (现行有效)
防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙,中国大陆民众俗称墙、网络长城、功夫网等等),是对中华人民共和国政府在其互联网边界审查系统(包括相关行政审查系统)的统称。此系统起步于1998年,其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。 (维基百科)https://zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E
关于公布上海市1998年度职工月平均工资、国有企业职工年平均工资及增长率的通知
二、1998年度全市国有企业职工年平均工资为11546元,比上年增长0.8%(增幅按国家统计局新口径作了相应调整)。凡按1998年国有企业职工年平均工资计算的事项,均按此水平执行。
沪劳保综发(1999)18号 上海市劳动和社会保障局 (链接:http://law.51labour.com/lawshow-36037.html)
为了推动中国与塔吉克斯坦、巴基斯坦间国际通信业务的共同发展,促进区域的共同繁荣,工业和信息化部批准中国电信设置塔什库尔干国际通信信道出入口,为中亚、南亚区域经济发展提供良好的通信平台和保障。 中塔直达光缆的建设,可以满足中塔间双边落地业务需求……(省略)……中巴直达光缆的建设将从根本上改变……(省略)……,满足中把双边落地及转接业务需求,对巴基斯坦国际出入口带宽能力的丰富和提升具有重大战略意义。 工业和信息化部批准设置塔什库尔干国际通信信道出入口 发布时间:2011-06-27 来源:电信管理局 (链接:http://www.miit.gov.cn/n1146290/n1146402/n7039597/c7065495/content.html)
工业和信息化部办公厅关于深入推进互联网网络接入服务市场清理规范工作的通知 但随着清理规范工作深入开展,一些深层次矛盾逐步浮出水面,部分企业违规自建传输网络、非法经营传输业务及违规经营跨境数据通信等问题仍较为突出,……(省略)……有关事项通知如下: 四、各基础电信企业要加强网络资源和用户台账管理,采取技术、管理、法律等措施,防范网络资源被用于非法经营。要配合各通信管理局做好违规线索核查,及时关停被用于非法经营、违规使用的网络资源。
北大法宝 【法宝引证码】 CLI.4.314373
工业和信息化部关于清理规范互联网网络接入服务市场的通知(工信部信管函[2017]32号) 二、工作重点 (二)严格资源管理,杜绝违规使用
4.违规开展跨境业务问题。未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。
北大法宝 【法宝引证码】 CLI.4.289332
3、当我们讨论“翻墙行为”究竟是否违法时,我们首先应该讨论什么
在看完第四章的互联网技术讨论部分,你会对以下几个重要事实有基本的认识。
(1)
本院认为,被告人为牟取非法利益,违反国家规定,在互联网推广用于侵入计算机信息系统的程序、工具,情节特别严重,其行为已构成提供侵入、非法控制计算机信息系统的程序、工具罪。公诉机关指控的罪名成立。经查,本案的“XXX”软件,利用公用网络架设专用网络,并进行数据加密传输,使计算机信息系统自由访问中国境内无法访问的境外网站,因此,该软件属于“用于侵入计算机信息系统的程序、工具”。被告人在未经电信主管部门批准的情况下,提供的“XXX”软件使客户的计算机自由访问境外网站,数据传输受到加密保护,突破我国技术安全防护措施,危害了国家信息网络安全,符合提供侵入、非法控制计算机信息系统的程序、工具罪的客体。 (2018)鄂1202刑初389号
|
通过dns解析之后,拿到了ip,就可以通过ip向服务器发送http请求了,因为http是工作在第七层应用层,tcp是工作在第四层传输层,所以发生http请求之前,还会进行tcp的三次握手。tcp的三次握手是:客户端首先向服务器发送一个带有SYN标识和一个seq的随机数,服务端收到后,需要给客户端回应一个ack,ack的值就是刚才的seq随机数的值+1,在回应包里,还包含一个SYN的标识和一个seq随机数。客户端收到服务端发过来的回应包之后,再给服务端发送一个ack,ack的值就是刚才服务端发过来的seq的值+1。上面三步完成之后,三次握手就完成了,下面就可以开始传数据了。 《用户访问网站原理及流程》 链接:https://blog.csdn.net/heart_mine/article/details/79539224
为什么建立连接要这么复杂呢?一切为了安全和可靠。DNS服务所运用的UDP协议和http请求的tcp协议最大的区别在于,UDP就像一个在国际货物运输过程中前赴后继、不顾一切的承运人,它努力以最快的速度把“货物”交付到你手上,但态度极差,从来不主动跟你联系,也不会接你的电话,货物是否损毁或者送错了人都不在它的义务范围内;而TCP就像一个严谨、可靠、负责、慢条斯理的承运人,它在为你进行货物运输时会不断和你建立联系,在送货前不停打电话跟你反复确认,而且要打三次,生怕送错了人,送完货物也会不紧不慢地和你再三确认,要跟你打四通电话。
网上一个更形象的例子是——
TCP 三次握手好比在一个夜高风黑的夜晚,你一个人在小区里散步,不远处看见一位漂亮妹子迎面而来,但因为路灯有点暗等原因不能100%确认,所以要通过招手的方式来确定对方是否认识自己。 你首先向妹子招手(syn),妹子看到你向自己招手后,向你点了点头挤出了一个微笑(ack)。你看到妹子微笑后确认了妹子成功辨认出了自己。 但妹子有点不好意思,向四周看了一看,有没有可能你是在看别人呢?她也要确认一下。妹子也向你招了招手(syn),你看到妹子向自己招手后知道对方是在寻求自己的确认,于是也点了点头挤出了微笑(ack),妹子看到你的微笑后确认了你就是在向自己打招呼。于是两人加快步伐,走到一起,彼此之间相互拥抱。 CSDN 链接:https://blog.csdn.net/weixin_42221136/article/details/90765716
b2.数据包是如何从你在上海的计算机发至架设在北京的百度服务器呢?
tcp三次握手已经很生动形象了,但毕竟从上海发送一个数据包至百度架设在北京的服务器的难度,与“在小区里和美女当面互相打招呼”的难度压根不在一个数量级,数据包是如何通过祖国大地下架设的“杂乱无章”、连通全国的光纤中找到去往北京的最快的路,而不至于兜圈或者迷路呢?
这要得益于国内几家国有电信运营商建立的庞大的骨干网和城域网。我们作为外行,可以把这种网络理解成一个个互相连通的节点。
例如,中国电信163骨干网分为北京、上海、广州3大片区,这三个片区有大型的骨干路由作为邻近省级区域的数据交汇中心,例如上海片区涵盖了上海、江苏、安徽、山东、浙江、福建、江西这几个省,而每个省的内部又有庞大的、互相连接的城域网,而在某个城市的城域网内部,又有数以万计的学校、企业、家庭等局域网的接入,从而形成了从局域网→城域网→广域网三个层级。
此外,不只是中国电信,其他运营商也有各自的骨干网,例如中国联通有CHINA169骨干网和CNCNET骨干网,中国移动有CMNET全国骨干网……不同国家级互联网业务提供商(Internet Service Provider, ISP)建立的不同骨干网之间也有数据交换的中心,这使得信息和数据包可以自由地从全国的任何地方流向任何地方。(相关链接:《互联网骨干网全面解析》https://zhuanlan.zhihu.com/p/32090927)
连通性的问题解决了,还要解决数据包在庞大的“网上公路”迷路的可能性。在上述提到的各个级别的网路中,分布着无数路由节点,每一张骨干网都有自己负责的路由群组和节点,整个群组统称为as自治系统(Autonomous system),每一个骨干网管理的as自治系统都经过名为互联网号码分配局的国际机构分配唯一识别代码,例如,中国电信163骨干网的as自治系统编号为AS4134。每一张骨干网都有内部路由协议,每一个节点都在依据某种规定互相交换他们所连通的ip地址信息,作为数据包在“旅行”过程中的指路人。而全国性的骨干网之间也依靠外部路由协议互相交换它们所掌握的“服务器地图“,典型的有BGP协议。
边界网关协议(英语:Border Gateway Protocol,缩写:BGP),一个去中心化自治路由协议。它通过维护IP路由表或‘前缀’表来实现自治系统(AS)之间的可达性,属于矢量路由协议,其使用基于路径、网络策略或规则集来决定路由。 维基百科 https://zh.wikipedia.org/wiki/%E8%BE%B9%E7%95%8C%E7%BD%91%E5%85%B3%E5%8D%8F%E8%AE%AE
→http协议是明文协议
→https协议更加安全,其在tcp握手的基础之上增加了以下步骤:
验证服务器数字证书、在SSL安全加密隧道协商加密算法的密钥等。
(2)境外网站访问原理
跨国企业使用跨境服务合规方式。跨国企业因协同办公、数据交互等自用需求,可以采用以下方式实现跨境联网:跨国企业从境内发起直接租用3家基础电信企业的国际专线(包括虚拟专网),与企业办公自用网络和设备连接;跨国企业从境外直接发起或委托境外运营商,向3家基础电信企业租用国际专线(包括虚拟专网),与企业办公自用网络和设备连接。跨国企业租用国际专线自建自用办公网络时,可委托有资质的第三方(含持国内IP-VPN、固定网国内数据传送等业务许可的企业)提供系统集成、代维代管等外包服务,但第三方企业不得从事国际专线(包括虚拟专网)的线路资源租售等电信业务经营活动。
因此,我很遗憾地看到,即使是律所发表的相关文章《天衡解析 | “翻墙”上网的正确姿势》,也犯了非常严重的计算机常识性错误,导致该篇文章论证的前提就是不正确的。这篇文章指出:
由于企业的“翻墙”行为既未使用合法的“国际出入口信道”,也未接入合法的“接入网络”,甚至未使用境内的“互联网络”,已经违反了《中华人民共和国计算机信息网络国际联网管理暂行规定》的规定,公安机关有权责令企业停止国际联网行为,同时给予警告,并处以15000元以下的罚款。 (链接:http://www.tenetlaw.com/index.php?m=content&c=index&a=show&catid=8&id=989)
然而, 当我们对互联网运行的机制和原理有了初步的了解后就能轻松发现这句标红的话的严重错误——我在上文所介绍的一切专业术语的实际运作,不管是DNS解析、TCP握手,还是AS自治系统、BGP、路由跳转、ICMP协议……一切的基础都是物理层。
如果你没有接入各大运营商设立在城市里的合法的城域网;
如果数据包没有经过各大国家级ISP的合法骨干网和路由节点AS自治系统;
如果境外数据访问没有经过国内三大运营商经国家批准设立的合法国际出入口并通过合法的陆上、海底光缆设施直达境外服务器……
你的一切数据交换和网站访问都是不可能凭空实现的。
换句话说,即使一家企业使用某个国外代理服务器作为中转节点以逃避GFW的审查,这一翻墙行为的一切基础都是建立在使用合法的国家互联网基础设施之上的。因为你不可能自己去发射一颗卫星专门用来刷推特,也不可能自己制造海底电缆,自发地潜水到海底接入别的国家的网络。
因此,对于普通个人和企业来说(这里的“普通”是指没有能力发射卫星、埋海底光缆),根本不存在所谓“非法的国际出入口信道”、非法的“接入网络”、“在不使用境内互联网络的前提下访问域外服务器”。
一个最直接的证据,也是每个人都能亲身试验的方法,就是使用前文介绍的traceroute命令,访问某个境外服务器的ip地址,遍历数据包途经的骨干网和路由节点,你就会知道,你到底是不是在使用国家级电信运营商布建的、国家批准的网络基础设施了。我随机使用一个尚未被限制的境外服务器ip测试一下,结果如下:
可见,当你成功访问境外服务器,当然也意味着成功实现了翻墙,但你的数据经过的是AS4812(中国电信上海路由群组)、AS4134(中国电信163骨干网路由群组),最后通过海底光缆直连美国加利福尼亚州洛杉矶的AS8100路由群组。你使用的一切光缆、路由节点、海底光缆,全都是经过工信部审批通过的国家级互联网基础设施。翻墙就是使用了非法的信道——这种逻辑是很可笑的。
因此,国际出入口就在那里等着你,海底光缆也在向你招手,凭什么不能访问境外网站呢?在看了下文GFW原理和翻墙原理的介绍,你就会知道,你不能访问境外网站的唯一原因是你正在遭受一个不受法律规制的系统的不间断网络攻击,而你使用任何途径翻墙的基本原理永远都是——你使用了某种技术抵御或避免了上述网络攻击。
2、GFW的原理
(1)基于UDP协议的域名解析服务劫持/DNS缓存污染
大家一定还记得那个电话号码簿的故事。GFW最早、最初始的原理,就是将这个电话号码簿掉包,或者将号码簿里的电话号码替换成错误的号码,这个原理诞生于2002年,在2012年以前达到高峰。GFW对所有经过骨干出口路由的基于UDP的DNS域名查询请求进行Intrusion Detection Systems(入侵检测系统)检测,一旦发现处于黑名单关键词中相匹配的域名查询请求,防火长城作为中间设备会向查询者返回虚假结果。
简而言之,DNS域名污染就好比你想在电话号码簿上查询朋友的电话号码,但是不曾想,电话号码簿被人掉包了,你拿到的是假的电话号码簿,原本正确的手机号码被替换成了错误的号码,导致你无法打通电话。而该系统触发的规则使用了类似正则表达式的结构,例如规定“对于一切*.google.com的域名解析到某个不存在的ip地址”。
直接使用windows的ping命令就可以亲眼看到DNS污染的运作效果。谷歌官网的服务器明明架设在美国科罗拉多丹佛,但从下图可以看见,在国内从DNS服务器请求到的ip地址却是93.46.8.90这个来自意大利的无效IP地址。
此项技术不仅是2012年前后人们无法再访问Google的直接原因,其在运转过程中更是殃及了全球DNS域名解析服务的正常运作。
这种DNS污染的方式曾经向中国大陆以外的用户造成影响。2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、Level3、德国电信、Qwest和西班牙电信等多个国家的大型ISP。
DNS污染殃及全球用户的基本原理很简单,就是诸多国外用户的DNS请求被他们的ISP电信运营商随机分发给了全球的根域名缓存服务器(也就是那个优先级最低的电话簿),而碰巧,他们请求被分发给了来自中国的根域名服务器,而因为GFW的存在,其提供的是错误的、虚假的DNS解析服务,其造成的后果可想而知。
因此在这里我忍不住插一句题外话。我曾亲耳听见一个计算机专业毕业的人谈及中国的互联网安全现状。他说,因为全球大部分根域名服务器都设立在美国,所以美国掌握互联网的底层,中国必须建立GFW来保障互联网安全。现在,你应该可以体会到这种言论的恶毒之处。因为现在你终于了解到,电话簿可以随时复制,根域名服务器根本就不是什么互联网的底层,而是最高层(应用层)中一个很简单的技术,你的浏览器永远最先访问本地DNS缓存,往往一般都无须根域名服务器就能解析IP地址;而中国的根域名服务器会对境外服务器域名解析错误的ip地址,因此现实情况是中国的DNS污染在影响全球的互联网运行,而非美国影响了中国的互联网安全,这是完全的颠倒是非。
(2)IP地址或传输层端口人工封锁——BGP路由劫持/“路由黑洞”
2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、Level3、德国电信、Qwest和西班牙电信等多个国家的大型ISP。
我们依旧可以通过traceroute观察到这一技术的运行效果,我们尝试traceroute一下google.com的真实ip地址,得到如下结果:
(3)TCP RST重置(包括对基于TCP协议的DNS域名解析的重置)
通常需要进行阻断的情况是审计控制系统旁路监听内网。旁路监听的方式一般是将主交换机的数据镜像到控制系统,控制系统可以采用libpcap捕获数据包。在这种情况下要阻断tcp连接的建立只要在监听到第一次握手的时候,控制系统伪造服务器发起第二次握手回应,就能阻断客户端与服务器连接的建立。因为我们的系统在内网,发出的报文肯定比服务器快,这样客户端接收到我们伪造的报文以后会回应第三次握手,当服务器真正的报文到达的时候客户端将不再处理,此时客户端再向服务器请求数据,因为seq号和ack号出错,服务器不会受理客户端的请求。
TCP协议规定,只要看到RST包,连接立马被中断。从浏览器里来看就是连接已经被重置。大部分的RST是条件触发的,比如URL中包含某些关键字。目前享受这种待遇的网站就多得去了,著名的有facebook。还有一些网站,会被无条件RST。也就是针对特定的IP和端口,无论包的内容就会触发RST。比较著名的例子是https的wikipedia。GFW在TCP层的应对是利用了IPv4协议的弱点,也就是只要你在网络上,就假装成任何人发包。所以GFW可以很轻易地让你相信RST确实是Google发的,而让Google相信RST是你发的。
IP协议的特性叫TTL。TTL是Time to Live的简写。IP包在每经过一次路由的时候,路由器都会把IP包的TTL减去1。如果TTL到零了,路由器就不会再把IP包发给下一级路由。由于GFW会在监听到不和谐的IP包之后发回RST包来重置TCP连接。那么通过设置不同的TTL就可以知道从你的电脑,到GFW之间经过了几个路由器。比如说TTL设置成9不触发RST,但是10就触发RST,那么到GFW就是经过了10个路由器。
另外一个IP协议的特性是当TTL耗尽的时候,路由器应该发回一个TTL EXCEEDED的ICMP包,并把自己的IP地址设置成SRC(来源)。结合这两点,就可以探测出IP包是到了IP地址为什么的路由器之后才被GFW检测到,结合IP地址地理位置的数据库就可以知道其地理位置。 《G.F.W的原理》 http://www.oneyearago.me/2019/06/14/learn_gwf/
(4)协议检测→根据流量协议拆包→关键词匹配→封锁
基于此,GFW作为一个独立设备就可以作为旁观者分析经过其附着的主干路由器的所有数据包。
HTTP协议有非常明显的特征,可以轻易被GFW系统检测和识别,GFW进而依据HTTP协议规则对数据包进行拆解,由于其表现为明文,所以可以直接进行关键词匹配。例如,从HTTP的GET请求中取得请求的URL。然后GFW拿到这个请求的URL去与关键字做匹配,比如查找Twitter是否在请求的URL中。而关键字匹配使用的依旧是一些高效的正则表达式算。
(5)深度包检测(机器学习识别翻墙流量→直接阻断)
不再展开论述,可参考近年来Github网站遭受的攻击。
3、翻墙的原理
这一部分我不再展开论述,因为是有法律风险的。有一定网络基础知识的人,在看完上述GFW原理之后,应当能够头脑风暴一下,想出很多合理的逃避审查的思路,也能理解为什么我在上文提及“翻墙不等于侵入计算机系统”了。主要的翻墙原理有以下几种。
……
在文章结尾,我依旧要强调,本文不涉及有关“翻墙”的任何技术指导或方法的具体介绍,同时必须强调——千万不要翻墙访问、发布、传播违法有害信息。
我们很多人都记得2012年以前的那个时代,想要用谷歌搜索资料,只需要修改DNS服务器为8.8.8.8即可,再不济,改个hosts文件就行了。现在,越来越多的方法被封锁了,在这个节骨眼上,居然还有很多人盲目乐观,甚至以他人不懂翻墙而沾沾自喜,这样的现象伴随着民族主义思潮愈演愈烈。
但是我相信,认真学习自己的专业知识,同时广泛地接受和学习其他领域的专业知识,就能轻松避免被网上大肆输出情绪的人鼓动和欺瞒,保持冷静地思考——你真的可以对现状有一个清晰的认识和判断,并在不久的将来参与到各行各业的运行过程中,为社会做出贡献。
而这篇文章,就权当我在学习之余的放松心情、自娱自乐罢。
那么现在,你能否就程序员群体提出的以下选择题给出正确解答了呢?