“连接被重置”（中）：原理和对策

“连接被重置”（上）：现象和实情

“连接被重置”（中）：原理和对策

“连接被重置”（下）：思考和展望

Andrew Lih曾经是一名新闻业专家，现在是一个定居在北京的软件工程师（同时撰写了即将出版的The Wikipedia Story)，向我透露了GFW是怎样阻止中国互联网用户从国外网站查找特定内容的。当用户从浏览器发出请求之后的几秒钟内，抢在特定的信息出现在屏幕上之前，至少有四件事可能出错——或者说被用来使你出错。

第一，也是最直接的方法就是“DNS劫持”。DNS或者说域名系统，可以看做登载网站的电话簿。每当你键入一个网址时——比如www.yahoo.com——域名系统就会去检查与这个网站对应的IP地址。IP地址是用小点分隔的一系列数字——例如，TheAtlantic.com的 IP地址就是38.118.42.200。如果DNS被控制，返回一个空地址或者错误的地址，用户当然就不能到达正确的网站——就像打电话却被告知一个错误的号码，当然就找不到正确的人。键入BBC新闻频道的网址时，常常就会遇到这种情况：如果你尝试“news.bbc.co.uk”，你多半会遇到“找不到服务器”的提示。2002年有两个月，Google的中文网站就遭遇另一种形式的DNS劫持，访问Google的用户被转到其主要的国内竞争对手百度。中国的学术界抱怨这影响了他们的正常工作。不用面临选举压力的当局仍然不希望与这些重要的团体为敌，Google又回来了。在像17 da 之类的政治敏感时期，许多外国网站都会通过这种方式被暂时禁止访问。

其次，就是“危机四伏”的连接时期。如果DNS成功返回了正确的结果，你的电脑就会向远程计算机发送请求连接的信号。当你的信号一发出，在另一个系统发出回复的同时，中国内部用于审查的的电脑就会检查你的请求的镜像，以确认你的请求是否应该被阻止。他们很快地检查一系列被阻止的IP地址。如果你正尝试访问黑名单上的某一个网站，中国的国际网关就会通过向你的计算机和你要访问的站点发送“重置”命令，达到中断数据传输的目的。重置是一个用来修复未同步连接的常用网络功能。然而在这种情况下，它却成为强制通话的双方挂断电话的工具。这时，你在屏幕上通常会看到“连接被重置”，或者有时是“找不到服务器”，而不是你要访问的网站。烦人的是，由Blogspot托管的blog在这个黑名单上。在典型的Google风格的搜索结果中，许多链接都来自维基百科或者其他流行的BSP(Blog Service Provider)。当你在中国搜索时，你能看到这些链接，却无法访问这些网站以获得你想要的内容。

第三个障碍就是“关键词过滤”。你试图用数字访问的互联网地址也许不在黑名单上。但是如果URL（Uniform Resource Locator，是一个普通的用英文表示的网站地址——比如www.microsoft.com——而不是全是数字的IP地址）中含有被禁止的词汇，连接同样会被重置。比如轮子功的全拼.com这个网站并没有任何实质内容，但中国的互联网用户也不能访问。关键词过滤列表包括英文词汇、中文词汇以及其他语言的词汇，而且被经常修订——“比如，会加上最近发生矿难的城市名字”——Lih举例说。在这里，GFW不通过重置而是通过“黑洞循环”来实现目的。黑洞循环中页面请求会陷入到一系列的延迟命令中。这儿有一个类似的例子——怎样使一个白痴忙碌起来——你拿一张纸，两面都写上“请翻面”。当Firefox检测到出于这种循环中时，它会给出错误信息：“Firefox 检测到该服务器正在将此地址的请求循环重定向。”

最后一步，也是整个GFW最新、最复杂的部分：通过实时检查每张页面的内容——或者是纽约时报的特别报道，或者是跟中国有关的blog的最近更新——判断每一页的可接受性。这又是通过镜像实现的。当你访问一个喜欢的blog或者新闻站点，请求浏览一些特定的页面时，被请求的页面同时发送给你和互联网审查系统。GFW的扫描器会检查页面上是否含有违禁词汇。如果找到了，他就会中断连接，不让你继续从那个站点上获得信息。 GFW会暂时强制阻止“IP1到IP2”的通讯——你的电脑到不受欢迎的网站。通常第一次阻断通讯时长为两分钟。如果在这期间，用户再次发起同样的通讯，通讯阻断将延长到五分钟。如果你还要试第三次，阻断时间会变为半小时乃至一小时——如此下去，惩罚力度递加。

多次重试或者经常访问“错误”的网站的用户可能会引起当局的注意。至少在规定上，中国的互联网用户被要求无论是在网吧或是在其他地方，无论何时，都应该以真实名字上网。当审查系统标记出经常发出越界请求的IP地址时，当局极有可能知道是谁坐在那台电脑前上网。

所有的这类措施都为从海外获取资讯的努力增加了不可预测性。有一天你能够毫无阻碍地访问NPR(National Public Radio)。下一次，因为NPR做了一个关于Tibet的特别报道，便被GFW“石化”了。即使你刷新页面或是点击新闻的链接，都看不到任何东西，而这时阻断通讯开始了。

这种方法被认为是审查制度一种更为精确与微妙的形式，因为大型的国外网站再也不用被整个“石化”了。规定上来讲，这些站点只会在做出“错误”报道时陷入麻烦。Xiao Qiang是加州大学伯克利分校新闻学院专职研究中国媒体的专家，他告诉我当局最近开始反向应用这类过滤技术。当海外的中国人，也许是学者，也许是流亡的异议人士，在中文网站上查找资讯时——比如，公众健康数据，或者某地非正常活动的新闻——GFW同样会监视并审查他们获得的信息。

总的看来，审查系统有一些共有的主要特征。当新的监控技术出现，或者敏感词汇表变化时，他们会持续不断地改进审查的着眼点。这样就使广大的网民对“线”划在哪儿并不清楚。Andrew Lih指出像新加坡或者是阿联酋这样的国家也会进行互联网审查，但他们这样做时会给出解释。当位于阿联酋的访问者点击色情或者是反伊斯兰的网站时，会看到以阿拉伯文和英文形式同时出现的信息：“很抱歉，你试图访问的网站由于与阿拉伯联合酋长国在宗教、文化、政治或是道德方面的价值观不一致而被屏蔽。”在中国，连接超时就完事了。这是你的电脑的问题？还是审查系统在捣鬼？或者是你的ISP，谁自行确定了过滤规则？你不清楚。“审查系统的不确定性在事实上使它变得更有效，”另一位中国的软件工程师告诉我。“你不知道审查系统要审查什么，所以要时刻谨慎。”

审查系统的组件还有一个共同点：很容易被绕过。

事实上，在中国任何人想要绕过审查系统都有两种众所周知的、可信赖的方法：代理服务器和VPN（虚拟专用网）。代理服务器是通过将你的电脑与海外的一台或一系列电脑连接，如此传送的数据，其真实来路就会被隐藏。你首先发出一个请求，接着代理服务器接收，再转发到海外的另一台电脑。最后找到你想要的，再传回到你的电脑。这种方法主要的缺点是速度慢到难以忍受。但是由于大多数代理服务器是免费的，所以这种方法成为中国学生及骇客的最爱。

VPN（免费VPN服务提供商），又叫虚拟专用网，是一种更快、更受青睐、更正式的方法。本质上，VPN是沿正常的信道建立一条专属的加密信道。VPN将你从中国国内连上海外的某个服务器。你的下载及浏览请求就会传送到海外的服务器，然后由这个服务器去发现并将你找的东西传输回来。审查系统无法阻止你，因为他没法读懂你发送的加密数据。在中国的每个外国公司都在使用这样的网络。VPN在中国可以自由地推广，因而个人也能使用。我使用的VPN一年40美元。（一个在中国流亡的人说：不过是一天一毛多一点儿。一个工人说：不过是一周的家用。甚至对于年轻学者来讲也只是几天的收入。）