文章

网络审查原理与常见方法及规避

发表于 2025-07-10 更新于 2025-07- 10
作者 Administrator
28~37 分钟 阅读

1. 网络审查定义

网络审查是指由政府、公司、学校或互联网服务提供商(ISP)等机构,通过技术手段限制用户访问特定网站或服务。常见的技术手段包括安装过滤软件、设置防火墙、修改网络配置等。这些措施可以阻止用户访问被认为“不合适”或“有害”的内容。网络审查的目的可能是出于政治、道德、法律或商业原因。例如,一些国家会屏蔽社交媒体平台以控制舆论,学校和公司则可能屏蔽娱乐或社交网站以提高工作和学习效率。

2. 审查与监控关系

网络审查和网络监控密不可分。审查的第一步是“发现”用户的网络活动,这本质上就是监控。只有在监控到用户访问了被认为“不合适”的内容后,才会进行封锁。监控方式包括分析用户访问的网站、通信内容、搜索关键词等。加密技术(如HTTPS、VPN、Tor等)可以让第三方难以看到你的具体网络活动,从而增加审查的难度。推动隐私和加密技术的发展,不仅能保护个人隐私,也能让网络审查变得更难实施。

3. 审查发生的位置

网络审查可以在多个层级进行:

  • 设备本地:在你的电脑、手机等设备上安装限制软件或配置策略,直接阻止访问特定网站或应用。这在学校、公司等环境中很常见。管理员可以通过家长控制软件、企业安全策略等方式实现。

  • 局域网:在本地网络(如家庭WiFi、公司局域网)层面进行流量监控和过滤。网络管理员可以通过路由器或防火墙设置,限制某些网站或服务的访问。

  • ISP层面:互联网服务提供商可以根据政府要求或自身政策,对所有用户的流量进行过滤。这种方式影响范围广,常见于国家级审查或商业过滤服务。

每一层的审查手段和能力不同,越靠近用户的层级(如设备本地)越容易被绕过,但也更难被用户察觉。

4. 常见封锁方式

IP地址封锁

每个网站或服务在互联网上都有唯一的IP地址。通过阻止与特定IP地址的通信,审查者可以让用户无法访问对应的网站。这种方式简单高效,但容易导致“误伤”,因为多个网站可能共用同一个IP(如云服务、CDN)。此外,网站可以通过更换IP或使用CDN来规避封锁。

底层实现

  • 网络设备(如路由器、防火墙)在数据包转发时检查IP头部的目标地址。

  • 若目标IP在封锁列表中,设备直接丢弃该数据包,不再向下游转发。

  • 这种方式可以在本地网络、ISP、甚至国家级骨干网层面实施。

举例
“防火长城”(GFW)会封锁Twitter、Facebook等服务的IP地址。用户尝试访问这些服务时,数据包被GFW丢弃,导致连接超时。

DNS封锁

DNS(域名系统)负责将网站域名(如 eff.org)解析为IP地址。ISP可以通过篡改DNS解析结果,让用户无法获得正确的IP地址,从而无法访问目标网站。DNS封锁的优点是实现简单,但用户可以通过更换DNS服务器或使用加密DNS(如DNS-over-HTTPS、DNS-over-TLS)来绕过。

底层实现

  • DNS污染:拦截DNS查询请求,返回错误的IP(如127.0.0.1或一个无效地址),或根本不返回结果。

  • DNS劫持:ISP或防火墙伪装成DNS服务器,主动响应错误解析结果。

  • 这种方式通常在ISP或国家级DNS服务器上实现。

举例
用户在有限制地方访问“youtube.com”时,DNS查询会被污染,返回一个错误IP,导致无法访问YouTube。

关键词过滤

对于未加密的流量,审查者可以实时检查数据包内容,发现包含敏感关键词的请求后进行拦截。这种方式对加密流量无效。部分机构会要求用户安装自签名CA证书,从而对加密流量进行“中间人攻击”解密,但这种做法主要出现在局域网环境(如公司、学校),在ISP层面较少见。

底层实现

  • 深度包检测(DPI, Deep Packet Inspection):网络设备分析数据包的应用层内容。

  • 若发现敏感词,设备会发送TCP重置包(RST)强制断开连接,或直接丢弃数据包。

  • 只能对明文流量(如HTTP)有效,对HTTPS等加密流量无效。

HTTPS过滤

HTTPS加密了用户与网站之间的通信内容,但域名信息(SNI)仍然是明文的。ISP或网络管理员可以看到你访问了哪个网站(如 eff.org),但无法看到具体页面内容(如 /deeplinks)。因此,他们可以基于域名进行封锁,但无法做到更细粒度的内容过滤。

底层实现

  • 网络设备监控TLS握手包,提取SNI字段。

  • 若SNI中的域名在封锁列表中,设备丢弃连接或发送TCP重置包。

  • 这种方式无法看到具体页面内容,只能基于域名进行过滤。

举例
访问“https://www.facebook.com”时,SNI字段暴露了facebook.com,GFW检测到后会阻断连接。

协议/端口封锁

不同的网络服务使用不同的协议和端口(如HTTP用80端口,HTTPS用443端口)。防火墙可以识别并阻止特定协议或端口的流量。例如,部分网络会封锁P2P下载、VoIP电话或VPN协议。高级防火墙还能通过深度包检测(DPI)识别并阻止特定应用流量。

底层实现

  • 网络设备检查数据包的目标端口号和协议类型(如TCP/UDP)。

  • 若端口或协议在封锁列表中,数据包被丢弃。

  • 高级防火墙还可通过DPI识别VPN、P2P等协议特征,进行更细致的封锁。

举例
某公司为防止员工使用P2P下载,封锁了BitTorrent协议常用的端口(如6881-6889),并用DPI检测BitTorrent流量特征。

网络中断

极端情况下,审查者会直接切断网络连接(如物理断网、关闭基站、拔掉光缆),或大范围封锁国内外IP地址。这种方式会导致大面积断网,常见于重大事件期间。

底层实现

  • 物理断网:关闭路由器、交换机、基站等关键设备,或拔掉光缆。

  • 大范围IP封锁:在骨干网或ISP层面,屏蔽所有国外IP或特定国家的IP段。

举例
2021年缅甸政变期间,军方多次下令全国断网,导致所有互联网服务中断。

限速(Throttling)

有些审查者不会直接封锁网站,而是故意降低访问速度,让用户以为是网络问题或网站故障。这种方式难以被用户察觉,也便于审查者否认干预行为。

底层实现

  • 网络设备识别特定流量(如YouTube、Netflix),对其带宽进行限制。

  • 可通过流量整形(Traffic Shaping)或带宽管理策略实现。

5. 绕过方法

更换DNS服务商并使用加密DNS

如果审查仅依赖DNS封锁,用户可以在设备网络设置中更换为第三方DNS(如Google DNS、Cloudflare DNS等)。为防止DNS请求被窃听或篡改,建议使用加密DNS(DNS-over-HTTPS或DNS-over-TLS)。但需要注意,新的DNS服务商也能看到你的访问记录,且部分国家会封锁知名加密DNS的服务器。

使用VPN

VPN(虚拟专用网络)会将你的所有网络流量加密后转发到VPN服务器,再由服务器访问目标网站。这样,ISP只能看到你在使用VPN,无法看到具体访问内容。VPN可以绕过IP、DNS、区域封锁,但VPN服务商有能力记录你的访问行为,部分国家会封锁或监控VPN流量。

使用Tor浏览器

Tor通过多层加密和多跳中继实现匿名通信。你的流量会经过全球多个志愿者节点,最后由出口节点访问目标网站。ISP只能看到你在使用Tor,无法知道你访问了哪些网站。Tor适合绕过多种封锁,但速度较慢,且部分国家会封锁Tor节点或检测Tor流量。

使用代理服务器(针对消息应用)

如果WhatsApp、Signal等消息应用被封锁,可以通过配置代理服务器(如SOCKS5、HTTP代理)绕过封锁。代理服务器由志愿者运营,消息内容仍然是端到端加密的,但代理服务器可以看到你的IP地址。适合临时绕过应用封锁。

6. 注意事项

  • 选择绕过工具时要结合自身的安全需求和威胁模型(如是否担心被追踪、是否需要匿名等)。

  • 某些工具(如VPN、Tor)容易被检测到,使用时需权衡风险。

  • 并非所有声称“匿名”或“安全”的工具都能真正保护你的隐私,需选择有信誉的服务商或开源工具。

  • 在高风险环境下,建议多重加密和多种绕过手段结合使用,并随时关注最新的审查和反审查技术动态。

网络
基础
许可协议:  CC BY 4.0