中国互联网过滤的区域差异
原文連結:Regional variation in Chinese internet filtering
中国的互联网过滤是一个普遍存在且被广泛报道的现象,作为可以说是当今世界上最广泛的过滤制度,已有不少作者进行了研究。然而,现有的研究都认为过滤基础设施和国家本身在这方面基本上是同质的。本文通过直接访问全国各地的互联网服务,研究中国各地过滤的差异。这是通过使用域名服务(DNS)来实现的,它提供了人类可读的名字和机器可路由的互联网地址之间的映射,因此是基于互联网的通信的一个关键组成部分。操纵DNS是国家和机构常用的一种机制,用来阻碍人们使用被认为不受欢迎的互联网服务。我们的实验支持这样的假设:尽管通常被认为是一个单一的实体,但中国的过滤方式最好被理解为一种分散的和半私有化的操作,其中低层次的过滤决定被留给地方当局和组织。本文为理解过滤如何在细粒度上影响人群提供了第一步,并朝着比基于国籍这一广泛标准的互联网过滤更微妙的理解迈进。本文所采用的技术,虽然在此适用于地理标准,但提供了一种方法,可以根据一系列社会、经济和政治因素来分析过滤,以便更充分地理解互联网过滤在中国和世界各地所扮演的角色。
介紹
对于25亿多人来说,互联网已成为沟通、互动和获取信息的核心工具。通过互联网传播的数据量和依赖互联网的个人数量使互联网成为控制社会信息流的有力工具。
越来越多的国家参与了某种形式的互联网过滤或审查(Deibert, Palfrey, Rohozinski, & Zittrain, 2008)。虽然这些政策可以是公开和透明的,至少在有限的范围内,但它们的性质是趋向于保密的。由于互联网过滤对个人和社会的影响,了解世界各地过滤的方式、原因和程度至关重要。
一些团体已经对互联网过滤进行了研究,最著名的是Deibert等人(2008)和Herdict(2012)。然而,在很大程度上,这些团体都集中在国家层面的过滤,研究过滤的目标和国家作为一个整体所采取的方法。
然而,国家层面的过滤必然是一种抽象的描述。许多州都有国家过滤政策,但如果认为这些政策的实施需要在地区之间、网络之间、甚至是个人计算机之间保持一致,那是错误的。为了理解过滤及其在全球网络化世界中的作用,有必要在更细的地理和组织层面上探索连接。
为此,本文研究了互联网过滤的区域差异。具体来说,它考虑的是发生在中国的审查制度,以及这种审查制度在不同城市之间的明显差异。过滤的对象、应用和效果都有所不同。这些因素揭示了作为过滤基础的技术基础设施及其局限性。更重要的是,这些因素提供了对组织结构和政治决策的洞察力,这些结构和决策推动了中国公民所经历的过滤的实例化。
这项工作的关键是假设中国的国家互联网审查制度是通过一个中央协调的地方执行系统来运作的;过滤政策的应用在不同程度上分散在互联网服务提供商等行为者之间。虽然某些过滤决策被严格地复制到全国各地,但其他政策或多或少地由地方运营商进行解释。
本文聚焦于中国的案例,原因有很多。首先,中国的 “金盾工程”(金盾工程,jīndùn gōngchéng)或 “长城防火墙”,可以说是当今使用的最大、技术最先进的过滤机制。截至2011年,该系统运行的总人口约为13亿人,互联网人口估计为5.13亿人(CNNIC,2012年),使中国互联网用户总数与欧盟总人口相当。
其次,中国国家实行严格的动态过滤政策,全球流行的网站、关键词和服务通常会被封锁。这些封杀既是长期的,也是对政治事件的回应。在全国范围内,必须在过滤机制上进行节约,以将计算和人力资源限制在可控的水平上,这可能反映在过滤对用户的影响上。最后,中国提供了一个地理和文化多样性的研究对象。这些因素结合起来,使中国成为大规模和彻底的互联网过滤的可能性的例证。
本文的核心发现是,中国各地的过滤措施差异很大,这强烈地表明过滤政策的具体实施是由地方一级的组织来完成的。尽管如此,全国范围内的具体过滤行为模式还是很明显的,这反映了存在着可以强加给地方组织的详细过滤决策。一个次要的结果是,这些行为中的某些行为强烈地暗示了审查机制不仅被用来阻止对网站的访问,而且还被用来跟踪试图连接到被阻止的资源。
本工作的进展如下。第二部分详细介绍了现有的研究世界各地过滤理论和实践的工作,特别是在中国的情况下。第三部分探讨了绘制过滤和审查制度的方法,现有方法的局限性,以及研究互联网审查制度的伦理问题。第4节介绍了这项工作所遵循的实验和方法。第5节研究了实验的结果,第6节进行了进一步的讨论和分析。最后,第7节总结了实验结果,并提出了未来工作的途径。
既有研究
一些研究和正在进行的项目对全球互联网审查制度和中国的具体情况进行了调查。也许最全面的全球互联网过滤研究是由Deibert等人(2008)提出的。这项工作以其范围和对过滤的社会学和技术方面的关注而著称,研究了过滤主题的性质和国家在过滤过程中的透明度水平。然而,Deibert等人的方法论是以国家的视角来看待互联网过滤,而没有考虑一个国家内部的差异。
Herdict(2012)项目依靠过滤地区的用户报告被屏蔽的网站。这些报告以国家为单位进行汇总和总结。Herdict提供了一个基于网络的工具,向用户展示他们所在地区可能被屏蔽的网站,允许他们确认报告的屏蔽情况。
Morozov(2011)研究了在线监控和审查制度对作为政治变革手段的基于互联网的行动主义的影响。这部作品对互联网影响这种变革的潜力提出了悲观的看法,并探讨了政治行为者利用互联网操纵和扼杀辩论的各种方式。莫罗佐夫认为,权力的平衡通常明显倾向于现有的国家层面的行为者,通过社交媒体组织或更直接的社会不服从,基于互联网的行动主义在很大程度上是对行动者努力的无效应用。
MacKinnon(2012)提出了一个更积极的观点,即个人有能力在网上采取集体行动,谈判并要求改变信息和服务的获取方式。MacKinnon调查了全球信息控制的状况以及个人对这种控制的反应。该著作的重点主要是,但绝不是完全集中在作为服务提供者的公司的行动,以及在政府合作或不合作的情况下做出的广泛决策。MacKinnon认为,企业应该考虑其商业决策的影响,并对其负责。这与Pariser(2011)在较少对抗性的环境中提出的论点相呼应,他探讨了企业为用户定制内容而采用的算法过滤。根据帕里尔的观点,这种行为导致了 “过滤泡沫”,通过掩盖与自己不同的观点,限制了用户的意见和信息。与莫罗佐夫的悲观观点相比,帕里耶和麦金农都认为互联网是个人信息的主要来源,具有强大的力量和功效。
与集体行动这一主题直接相关的是,King、Pan和Roberts(2012)通过对中国流行博客的审查模式的实证分析,发展了一个理论框架来理解中国互联网过滤的国家层面动机。King等人认为,当内容被认为违反了不成文的行为规则时,就会被中国当局直接删除。通过研究被删除帖子的性质以及当局对特定讨论话题的快速反应,金等人认为,中国的审查制度并不像通常所认为的那样,侧重于防止国家对中共的批判,而是以防止导致集体行动的话语为前提;在仍然允许对国家进行批判的同时,降低社会的集体行动潜力。这一理论对于本作品所研究的审查制度的区域差异的潜力具有有趣的意义,以适应不同社会或经济构成的地区。
Yang(2009)详细研究了互联网在中国的使用,他强调了互联网作为中国公民行动主义和对话的力量的作用。最有趣的是,Yang声称,虽然中央政府对批评国家整体的言论不能容忍,但对地方政府和官员的批评却宽松得多。这一观点也是本文所研究的地区性过滤差异的一个驱动因素。
已经有過对过滤和监视互联网连接的手段的多项技术研究。Murdoch和Anderson(2008年)对过滤技术的技术范围进行了有益的概述,他们将互联网过滤分为四大类,复杂程度和效率各不相同。这些方法,尤其是本工作的关键–域名服务(DNS)过滤,将在附录2中进行更详细的讨论。
Clayton、Murdoch和Watson(2006)对中国国家防火墙采用的一种主要方法进行了开创性的研究,他们确定了防火墙在检测到不良内容时指示通信两端放弃连接的具体机制。Clayton等人提出,通过忽略这种指令–TCP RST(’复位’),可以通过适当修改的系统有效地忽略中文过滤。
Crandall、Zinn、Byrd、Barr和East(2007)对中文过滤的目标进行了研究。这项工作利用直接请求来识别被屏蔽的关键词,同时利用基于潜在语义分析的方法来识别与已知兴趣主题相关的以前未知的关键词。该分析不仅确定了广泛的主题和关键词属于中国国家过滤的范围,而且还发现主题可能会根据其感知的严重性而被封锁不同的时间。重要的是,这项工作还揭示了 “长城 “过滤的是中国内部的通信,而不是简单地过滤中国与其他国家之间的界面。中国的 “防火墙 “既涉及到对国内信息的控制,也涉及到对跨境信息流动的控制。
Xu,Morley Mao和Alex Halderman(2011)通过精确地研究过滤行为发生的地点,以及这些行为如何与邻国的网络互动,更直接地研究了中国过滤的基础设施。Xu等人确定了特定的边界路由器–放置在中国和邻国边界上的硬件设备–过滤行为实际发生的地方。这些结果在相对粗粒度的水平上确定了中国境内哪些主要的互联网组织负责托管大部分的过滤基础设施。
Xu等人的研究表明,过滤的基础设施在中国的地理和组织意义上都相对分散,并在一定程度上集中在广东。Xe等人的研究支持了本工作所论证的观点,即中国的过滤基础设施是分布式的、部分分散的。
映射过滤
为了了解网络行为的区域差异,有必要从目标区域内的多个地点进行测量。现有的一些项目涉及到逻辑或地理层面的制图方面。Herdict(2012)项目允许用户通过浏览器插件报告明显被封锁的网站。这些报告被用来展示被过滤网站的全球地图和最常被报告的每个国家的分类。Alkasir项目(Al-Saqaf,2008年)将基于用户的被屏蔽内容报告与试图渗透这种过滤的反审查工具结合起来。在撰写本报告时,一个相对较新的项目–网络干扰开放观察站,试图开发和部署一个由志愿者操作者管理的开放性监测工具网络,以实现对全球过滤的主动监测(Filastò, & Appelbaum, 2012)。
也许国际上最著名的绕过互联网过滤的技术是Tor网络(Dingledine, Mathewson, & Syverson, 2004),它允许用户通过志愿者管理的匿名代理服务器的全球网络转移他们的连接。虽然最初的设计是为了保护用户的连接层面的隐私,但Tor网络是绕过国家过滤的一个非常有效的工具,并投入大量资源支持这种使用。类似的工具包括Psiphon(Psiphon Inc.,2012年)以及许多虚拟专用网络(VPN)服务器,允许用户避开国家过滤。这些服务中的每一项都是通过重新路由连接到与用户所在国家不同的国家。这种技术可以让用户体验到互联网,就像他们的连接来自于路线上的最终国家一样。因此,来自沙特的用户,由于沙特的审查制度很普遍,可以通过美国进行连接,但代价是连接速度略有下降。这使得用户能够避开其国家的本地过滤器,获得美国或代理供应商施加的任何过滤或监视。
这些例子表明了研究互联网过滤的两种主要可能性。第一种是要求特定国家的用户报告他们的经验,如Herdict项目;第二种是利用Tor或VPN等服务直接体验过滤。这两种方法在应用于大规模测量过滤网络时都有局限性。以用户为中心的方法,如Herdict不能轻易地针对其结果,如果在给定的感兴趣的区域内没有用户群体,那么就无法得到结果。此外,也很难根据现实世界的发展,如选举或自然灾害等可能对过滤政策产生影响的情况,按需产生结果。对于基于代理的方法,虽然可以按需查询那些持有代理的区域,但无法在没有代理的感兴趣区域进行实验。
Tor、Psiphon和VPN等系统的一个优点是,它们允许研究人员直接控制流量。感兴趣的网站,甚至是特定的流量模式都可以发送,并检查其效果。这样就可以更详细地检查特定网络的技术行为。相比之下,Herdict所采取的方法无法再现这种复杂程度。在没有经验丰富、技术能力强的用户组成的大型网络的情况下,用户级别的报告只能显示一个网站不可用,而不能说明导致不可用的条件。
在细粒度的地图过滤中,必须考虑两个主要的利益点。其中第一点是特定计算机的精确地理位置。确定一个IP地址的来源国的手段是相对已知的,并且可以以一定的精度获得一个城市的位置。最近Wang、Burgener、Flores、Kuzmanovic和Huang(2011)的成果提出了一些机制,虽然是在美国境内,但中值精度达到了690米。在许多情况下,也可以确定被分配特定IP地址的组织,达到ISP或大公司的水平。Xu等人(2011)对这种方法进行了部分探讨。这些信息可用于建立更详细的过滤观点。
第二个兴趣点是详细研究对特定地点的特定连接实施过滤的技术性质。虽然已经对具体方法进行了研究,如Clayton等人的工作(2006年),但大多数大型项目更多关注的是过滤的存在,而不是其实施的细节。
实验方法
这里所描述的工作旨在发现和绘制中国不同地理区域之间互联网过滤的差异,并确定所发生的过滤的性质。这项调查的目标是深入了解过滤决策的性质,包括集中和控制,以及将过滤权下放给地方层面的行为者。
我们选择的方法是数据驱动的,重点是获取中国互联网用户所经历的不同地域的过滤数据。互联网的DNS提供了丰富的、可获取的数据来源。由于技术上的原因,DNS有许多吸引人的特点,但也避免了第3.1节中详述的法律和道德问题。
由于DNS服务器在将人类可读的资源名称解析为IP地址方面发挥着关键作用,其覆盖范围之广是其他直接数据来源难以比拟的。DNS服务器通常也是开放的,这意味着向这些远程系统提出请求没有任何技术或法律限制。
DNS服务器通常是由互联网服务提供商为其客户的利益而运行的,或者是由管理自己的大型网络的大型组织运行的。因此,一个给定的DNS服务器返回的结果通常反映了相当大的一类用户所经历的互联网的一种观点。
DNS服务器的功能,在一个极其简单的层面上,是一个简单的域名和IP地址之间映射的数据库。因此,请求有关特定域名的信息不会像前面讨论的代理服务那样,导致代表第三方直接访问潜在的敏感资源。重要的是,这避免了让任何第三方(无论是否愿意)参与实验。这些因素使DNS成为中国互联网审查制度的一个重要方面的法律、道德和技术健全的数据的理想来源。
为了获得调查中国各地DNS审查制度的有用样本,我们从亚太网络信息中心(APNIC)获取了一份DNS服务器清单,该中心是负责分配亚太地区IP地址和自主系统号码的区域互联网注册机构。亚太网络信息中心维护着一个WHOIS数据库,该数据库存储着该地区注册域名的信息,包括被认为对特定域名具有权威性的DNS服务器。从APNIC WHOIS数据库中检索到278个位于中国的DNS服务器列表,其中187个服务器是可用的,并能响应远程查询。
免费提供的MaxMind GeoIP数据库(MaxMind公司,2012年)被用来将IP地址解析为其运营城市,从而实现了测试集中几乎所有DNS服务器的地理定位。值得注意的是,正如后面将讨论的那样,这并不代表该服务用户的位置;这些用户从自己的网络连接中发出DNS请求,有可能位于几乎任何地理位置。在实践中,所有用户都可以被安全地假定为在中国境内。
从Herdict(2012)项目的网站上获得了一份可能被过滤的域名列表。由于Herdict项目从众包报告中接收到关于被过滤网站的报告,并根据国家进行分类,这为潜在的被屏蔽域名提供了有用的数据来源。另一种可能效率较低,但可能更有说服力的方法,是通过Alexa排名(Alexa,2012年)列出全球最常访问的网站。
Herdict项目列出了每个国家最常被报告的被屏蔽网站,每个列表包括前80个被报告的域名。除此以外,测试中还包括了五个流行的中国网站,这些网站在中国大陆应该不会被屏蔽。完整的测试域名列表见附录1。
从APNIC WHOIS数据库中检索到的每一个DNS服务器都要求提供可能被封锁的域名。根据每个案例中收到的DNS响应的性质,记录和分析了结果。
为了确定结果是否准确,在一个没有进行广泛互联网过滤的国家的自我管理DNS服务器上进行了等效查询。远程查询的结果与本地结果进行了启发式比较,并注意到任何差异。
请求序列以一小时的间隔重复了六次,以尽量减少真正的网络错误。来自不同实验组的结果以这样一种方式被结合起来,即超时,这可能代表真正的不良连接,被消除,除非他们被视为在所有结果集一致。
DNS响应类型
附录2中的分类确定了四种主要的过滤技术,其中操纵DNS结果只是其中之一。重要的是要将有意的DNS “中毒 “与真正的网络错误或配置错误的服务器区分开来。就目前的工作而言,这里讨论DNS服务器对查询的关键响应。
无效的服务器错误
DNS服务器在收到特定的查询时,可能会答复说它实际上不是DNS服务器。在这种情况下,请求方将不会收到从请求的名称到IP地址的映射,因此无法连接到请求的机器。这样的响应也可能表明该服务器确实不是DNS服务器。如果这种行为对所有请求都是一致的,那么这可能是真正的错误配置的结果。在其他情况下,这可能意味着审查。
超时错误
一种更简单的行为,也是较难明确归类为审查的行为,就是DNS服务器接受请求,但对被封锁的域名不作任何回应。请求方最终会超过给定的时间阈值而放弃查询。这又使得客户端无法得知被请求域名的IP地址。这种行为在某些情况下又可以归结为真正的网络错误。
这种行为的次要影响是,请求方没有收到对其请求的即时响应。这可能导致对被封锁网站的互联网请求暂停,直到达到超时阈值,从而减慢最终用户的连接速度。
未知域名错误
最简单的直接DNS审查形式是DNS服务器否认请求域名的存在,导致请求方收到错误信息。对于已知的现有域名,这种反应很容易被识别为服务器的恶意行为。
误导性的结果
一种更微妙的审查方法是,对被屏蔽的网站的请求产生有效的DNS响应,为客户提供请求主机名的IP地址,但以错误的IP地址形式提供虚假信息。
这种方法有几个影响。一个潜在的结果是,请求方可能会被引导到一个记录所有访问被禁止网站的尝试的主机。这样,当被误导的用户连接到不正确的目的地时,就可以从一个中心位置记录对被封锁内容的请求。从第5节中可以看出,在中国的情况下,使用误导到可疑IP地址的做法很明显。
真正的结果
最后一种可能性是,DNS服务器返回与所请求的主机名相对应的正确IP地址。虽然这一特定信息可能是准确的,但审查当然也可能通过其他手段进行。
伦理考虑
就其性质而言,大多数过滤检测机制都试图访问被过滤的内容,以检测该内容是否可以被访问。被过滤的内容通常以被认为会被屏蔽的网站或IP地址的形式出现,尽管它也可能是特定的关键字或网络流量模式。然而,有可能对被禁止的内容提出足够多的请求,例如由一些自动检测方法引起的请求,可能会有进一步受到不受欢迎的审查的风险。
一般来说,用户不太可能因为试图访问被屏蔽的内容而受到影响。即使是在互联网普及率较低的小国,互联网的使用规模也太高了,不可能对要求过滤材料的用户进行严格的监管。在绝大多数情况下,这种尝试可能根本不会被记录下来。然而,正如第6节所讨论的那样,有证据表明,在中国的情况下,对被屏蔽服务的DNS请求可能会被记录下来。
在许多司法管辖区,故意滥用网络服务以检测互联网过滤的目的可能是非法的,而这种未经用户或系统运营商同意的滥用显然是不道德的。然而,即使在使用公开的通用服务时,在试图通过第三方访问被屏蔽的内容时,也要认真考虑。
通过运行过滤检测工具参与这种性质的审查研究的志愿者必须在充分了解该工具的性质和所涉及的潜在风险的情况下进行。从这一角度来看,研究人员的负担大大增加,因为他们可能不具备相当的技术专业知识水平,要向参与者说明工具操作的性质和产生的风险。由于对相关国家的过滤、监控和执法的确切性质缺乏了解,对在线审查制度进行道德健全的广泛研究存在重大障碍。Wright、de Souza和Brown(2011)对这些问题进行了更详细的讨论。
結果
这项工作中进行的实验提供了证据,证明中国的全国性过滤方法依赖于松散协调的过滤,基于中央来源的指令和准则,这些指令和准则或多或少地被严格执行–这是一个中央协调的地方执行系统,而不是一个统一和中央控制的全国性基础设施。
这里提出的结果通过显示中国各地过滤的差异模式来支持这一假设。某些域名几乎被所有的服务器统一屏蔽,而其他的域名则根据不同的方法被屏蔽或可能不被屏蔽。此外,在一些情况下,特定的封堵决定在不同地域和组织的网络中重复出现,这强烈地暗示着在这些情况下,集中的指导已经被给出。
下文介绍了在中国各地的DNS服务器上查询据称被禁的域名的结果,以及一些已确定的响应趋势。此外,还强调并探讨了一些特别不寻常的观察行为。本节首先介绍了全国各地过滤行为的大致趋势。随后是对特定被封杀域名的处理,强调了全国范围内某些情况下的一致性和其他情况下的差异。最后,本节介绍了与特定DNS服务器有关的揭示性行为。
大趋势
在中国各地的187台DNS服务器上进行了实验;其中178台服务器至少回答了一个有效但不一定真实的IP地址查询。在回答的服务器中,79台服务器至少回答了一个查询,并给出了似乎是准确的答复,这意味着99台服务器只对请求的域名返回了某种形式的无效结果。
少数服务器显然要么配置错误,要么故意为请求提供无效结果。有五台服务器始终在DNS请求中超时,尽管允许人为地设置了60秒的超时时间。一台服务器尽管显然接受了DNS请求,但始终产生无效的名称服务器错误。
大范围的DNS中毒
实验提供了广泛操纵DNS结果的证据,这种情况以前一节讨论的所有形式出现。有趣的是,个别DNS服务器一般不会在所有域中表现出一致的阻断行为。相反,一个服务器可能为一个域名返回一个错误的IP地址,声称第二个域名不存在,并拒绝响应第三个域名的请求。
这可能反映出任何给定服务器上的过滤功能正在根据不断变化的条件而不断更新。随着新的域或主题被添加到列表中,那么服务器的行为本身也在更新,可能是由不同的操作者选择不同的过滤方法。此外,正如后面详细讨论的那样,某些域被重定向到中央指定的IP地址,因此不能说不存在。其他没有被特别重定向的域可能会被本地运营商认为合适的方式屏蔽。
图1展示了实验中观察到的10个最广泛的错误定向域。因此,这些域名在中国各地的DNS层面几乎被普遍屏蔽。除了每个域名的这种绝大多数的误导结果外,其他服务器很可能因为这个结果而超时或声称不是有效的名称服务器。
这些域名被普遍封杀,而在实施过程中仅有细微的差异,这一事实有力地证明了运营商得到了关于这些域名的具体指示。另一种解释是,对这些域名的请求在通过中国边境路由器时被操纵。虽然不能完全排除这种情况,但确实存在的差异对这种集中的、可能是同质的方法是不利的。
图2列出了10个最常被测试的DNS服务器声称不存在的域名。声称一个域名不存在的情况远没有返回一个不准确的IP地址结果那么常见。还请注意,图2中列出的域名会收到大量的超时请求,以及准确和不准确的IP响应。
这些结果表明,DNS中毒的方法倾向于误导,而不是声称不存在。允许请求超时而不作出反应,而不是产生错误,也是常见的做法。
正如有人提出的那样,这些结果支持了这样的假设,即访问被封锁的域的请求明显存在监视的可能性。通过返回不准确的响应,用户的计算机被引导到尝试连接到不正确的计算机;这种连接可以被观察到。与此相反,当一个域被宣称不存在时,用户方面就不会采取进一步的可观察行动。
超时反应
普遍超时的原因可能是网络中其他点而不是DNS服务器本身发生了过滤。这可能代表某些域的请求不允许通过中国网络的边界,而是在到达有关服务器之前或之后被中间路由器悄悄地丢弃。
为了理解这一点,评论一下DNS协议的底层传输是很有用的。DNS通常使用一种简单高效的底层互联网传输协议,即UDP,与万维网等大多数常见互联网服务所采用的广泛使用的TCP协议不同6,UDP具有比TCP更高的速度和更低的传输开销的优势,但并不能提供可靠的数据传输,也不能暗中确认数据传输的成功。因此,如果对特定域名的DNS请求在网络中被阻断或被丢弃,就很难发现这一事实,其结果只是作为超时来观察。
另一种情况是,当有关的DNS服务器收到对被屏蔽域名的请求时,它们会直接忽略该请求。从这里详述的实验来看,很难确切地验证这两种说法。然而,过滤传输中的DNS流量以阻止请求将更加复杂和昂贵,并且很可能导致比观察到的超时模式更加单一和广泛。地理上接近的网络上的服务器之间缺乏相关性,这也表明网络级过滤不太可能解释这种行为。因此,在服务器一级进行过滤的论点,或两种论点的某种组合,似乎最有可能。
常见的误导性IP地址
在这些实验中,DNS服务器返回的IP地址与请求的域名不一致,观察到的IP地址通常是从所有服务器中相对较小的可能响应池中抽取的;误导性的IP地址既不是随机的,也不是按每个服务器返回的。
这里详述的实验向187台DNS服务器提出了85个域名的请求,总共产生了15,895个请求。在这些请求中,有6658个请求给出了指向IP地址的响应,其中2258个请求被判断为误导性的。这2258个误导性的结果每个都只指向84个IP地址中的1个,这表明全国各地的DNS服务器返回的误导性IP地址之间存在显著的相关性。
对于这个结果,存在两种可能的解释。第一种是存在一个集中的列表,提供特定IP的DNS中毒指令,供DNS服务器运营商实施。第二种可能,如上所述,是观察到的DNS响应在传输过程中被操纵了。同样,没有足够的证据在这些解释中做出任何肯定的选择,但结果缺乏精确的复制,这意味着服务器级过滤的可能性最大。通过分析DNS请求所采取的路线来调查这两种可能性是今后工作的一个有趣的主题。
域名统计
向不同服务器发出的同一域名请求的结果显示,不同组织运营的服务器的行为存在差异。尽管所测试的服务器之间存在一定程度的差异,但地理上和逻辑上相隔的服务器之间存在惊人的相似性,这有力地表明,集中式政策正在不同程度上得到执行。在某些情况下,对于知名的被封禁域,封禁行为有很强的相关性。对于其他的情况,则存在着更大程度的差异。本节的结果详细说明了支持这种分散但协调的过滤观点的显著相关性。
torproject.org的故意误导
Tor项目制作了一些工具,旨在提供匿名和不可追踪的互联网通信,以及绕过审查制度。该工具和项目网站在具有广泛的互联网审查制度的国家普遍被封锁,并与大防火墙的运营商进行持续的过滤军备竞赛。
在查询Tor项目网站的服务器时,在来自多个组织和地理位置的DNS服务器响应中发现了一组一致的误导;共有29个响应将Tor项目的流量重定向到一个独特的替代域名。这个误导的主题是http://www.thepetclubfl.net,一个位于佛罗里达州的宠物美容服务。在与该网站的管理员联系后,证实该网站有一段时间一直在经历以前无法解释的大量中文流量。这证实了这些特殊的重定向似乎并没有经过中国境内的后续屏蔽。第6节将探讨这些重定向的可能目的(图3)。
当然,重定向的域与Tor项目没有任何明显的联系。来自不同服务器的结果都指向同一个域,这强烈地暗示了某种更广泛的联系,要么是通过本地服务器执行的直接指令,要么可能是通过多个组织之间的块列表共享。
还应该注意的是,这种重定向并不是唯一一组注意到的Tor项目的一致重定向。第二个域名的所有者也同样收到了发往Tor项目的流量,他要求作者不要公开他们的域名。虽然这一要求得到了尊重,但问题域名是一个特别有趣的案例,因为重定向不是简单地发生在一个单一的域名上,而是发生在许多后缀不同的类似名称的域名上,如<domain>.com、<domain>.net和<domain>.org.ez-site.net。
这些结果提出了一个耐人寻味的可能性,即有关的重定向是为了响应来自第三方的指令,但已被本地运营商误解。每一个都清楚地将Tor项目的流量重定向到一个类似的域名,但顶级域名有所不同。
未审查领域的中毒问题
除了从Herdict项目中获得的80个域名列表外,实验还加入了5个流行的中国互联网服务的域名,目的是让这些域名不被过滤。令人惊讶的是,在一些情况下,这些域名的结果似乎显示出误导性的结果。这可能是由于DNS服务器的错误配置,由于请求来自中国以外的地方而故意返回无效的结果,或者其他原因。
一个典型的例子是renren.com,一个流行的中国社交网络。如图4所示,该服务至少在两个案例中返回了无效的IP地址。这些服务器位于不同的城市,显然由不同的公司运营,它们在逻辑和物理上都是不同的。然而,这两个服务器都返回了同样的误导性IP地址清单,其中没有一个似乎属于renren.com的服务器。
在直接查询相关IP地址时,有几个似乎在运行未配置的网络服务器软件。目前还不知道这些地址的意义何在。
服务器统计
与中国各地不同服务器之间的域名查询结果相比,各个服务器在响应多个域名查询时的行为也有一些重要的特征可以观察。本节的结果显示了个别服务器的异常行为模式,似乎反映了这些服务器上执行的特定指令。
误导性的结果
被查询的大多数服务器都返回了各种类型的结果,结果有不同程度的误导性。但是,有少数服务器显示出异常极端的负面答复,因此是给出无效答复的示范性例子。
DNS服务器113.11.192.25
该服务器显然位于北京。在85次的域名请求中,该服务器共回应了68次 “没有回应”。这包括百度和人人网等5个可能未被过滤的服务,这可能表明对位于中国以外的请求的歧视。这种歧视可能发生在服务器本身,或通过拦截途中的流量。
另有13个请求返回了有效的IP地址。经检查,这些IP地址都没有被发现与请求的域名相关联。图5列出了域名和相关IP地址的清单。
有关IP地址的性质是值得关注的。这些结果没有明显的模式;它们指向的是看似随机的主机,对应的域和组织似乎相互之间或与最初请求的域没有联系。然而,某些被封锁的域却指向相同的IP地址,尽管这些IP地址与相关域无关。从图5可以看出,YouTube和Facebook都重定向到了同一个IP地址,如peacehall.com和wujie.net,以及backchina.com、boxun.com和open.com.hk。这有可能代表着在同一时间输入服务器的误导性结果,虽然这不一定能证明使用相同的IP地址是正确的。另一种解释可能是,这些域名代表了不同类别的被封杀域名,属于不同的可能监控类别。然而,在没有进一步的证据证明中国过滤基础设施的监控行为的情况下,这些解释只能是猜测。
其余四个域名向该服务器请求的结果是声称不存在这样的域名。
DNS 服務器 202.99.224.203
这个服务器显然位于包头。在85个域名中,大部分结果都是声称该服务器无效,无法返回DNS请求。总共有14个域名的请求结果是报告了一个或多个IP地址,但都没有找到相应的服务器。
我们再次观察到,虽然返回的是无效IP地址,但这些IP地址并不是纯随机的,而是与每个域名一致的,而且是从一个小的IP地址池中抽取出来的,这些IP地址在不同的域名中被多次使用。
这两台DNS服务器的糟糕结果意味着,正常用户会发现它们不可能作为主DNS服务器使用。然而,对已知被屏蔽的网站的误导性结果表明,它们有特定的目的。一种解释是,这些服务器是作为用户的主DNS服务器而存在的,它们拦截那些对被屏蔽网站的请求,而拒绝响应对其他网站的请求。在服务器不回复的情况下,用户的连接可以被配置为回落到提供未过滤结果的二级服务器。由于大多数终端用户的网络连接都是出于可靠性的考虑而配置为使用一个主要和次要的DNS服务器,这可能是一个简单而有效的方法来实现对多个服务器的过滤。
然而,与其他误导域一样,这些服务器同样选择使用从一个小池中抽取的固定和特定的IP地址。
本地主机重定向
当提供不准确的IP地址时,返回地址的一个有趣的选择是将请求指向它的来源计算机。这可以通过使用保留的IP地址127.0.0.1来实现,该地址的DNS指定为 “localhost”。
本地重定向的优点是不需要从互联网上选择真正的IP地址,因为这可能导致不可预测的行为。它还能最大限度地减少通过互联网的流量,因为任何对该连接的进一步请求都会留在用户的计算机上,而不会通过一般的互联网传播。
尽管如此,在被查询的服务器中,使用重定向到本地主机的情况并不特别普遍。在187台被查询的服务器中,只有6台服务器返回指向本地主机的结果,其中4台服务器在任何DNS查询中始终返回本地主机。这可能代表了DNS服务器配置错误,或者是对未授权或非中文请求的全面政策。
然而,有两台服务器的地址为202.99.224.200和202.99.224.223,对大多数请求返回127.0.0.1,但也导致7个域名的无效名称服务器错误。在另外13个案例中,给出的IP响应也是随机的,解析到阿塞拜疆、爱尔兰、美国、意大利和新西兰的主机。
缺少重定向到127.0.0.1地址,与缺少不存在的域名错误一样,导致在请求封锁的域名时,会尝试连接到误导性的IP地址。从网络使用的角度来说,不发生这种尝试会更有效率。这进一步支持了这样的观点,即这种网络流量可能会受到监控或监视。然而,由于这种监视对连接的影响不易衡量,这仍纯属猜测。
地域分布
图6显示了在这些实验所覆盖的各个城市中观察到的过滤变化的概况。较深的灰色标记代表着与准确的响应相比,误导性DNS响应的百分比更大。由于在一个给定的城市内可能有许多服务器获得了结果,因此代表了该城市所有服务器观察到的所有结果的中位数平均百分比。为了表示DNS服务器数量较多的城市,标记根据测试的服务器数量进行对数缩放,范围从东光和哈尔滨等城市的单个服务器到北京的72个服务器。
图6.中国各地的DNS查询显示中位数百分比 中国各地的DNS查询情况,显示被查询域名误导结果的中位数百分比,暗点代表误导结果的百分比更高。圆圈大小代表每个城市被查询服务器的相对数量。
在不同城市或地区的结果中,过滤的整体模式并不明显;在全国范围内存在明显的异质性。这支持了这项工作的核心假设,即在许多情况下,高层对过滤的控制相对宽松,这一点得到了Xu等人(2011)的支持。虽然屏蔽的对象或多或少都有明确规定,但技术细节是在地方而非区域或国家层面决定的。
實驗限制
这项工作所采用的实验方法有一些局限性,首先也是最明显的是,实验依靠的是从APNIC WHOIS数据库中获得的有限的DNS服务器清单。首先也是最明显的一点是,实验依赖于从APNIC WHOIS数据库中获得的有限的DNS服务器列表。虽然所使用的服务器集在地理上合理地覆盖了中国,由于人口和发展密度较高,明显地偏向中国东部,但每个城市所观察到的服务器数量有很大的差距。这个数字从北京的72台服务器到几个小城市的只有一台服务器不等。虽然这将在一定程度上反映出中国DNS服务器放置的现实情况,但似乎不足以真正分析网民的相对体验。
一个更基本的限制是,DNS服务器不一定,或者说通常不可能与用户位于同一地理区域。DNS服务器通常由ISP运营和管理,并自动提供给用户。因此,一个给定的ISP的客户可能分散在不同的地方,他们都可能使用同一个DNS服务器。因此,这里介绍的结果可以说代表了组织上的差异,而不是地域上的差异。
此外,本文的结果代表了2012年中期的快照,因此不能反映审查制度的变化模式。然而,考虑到这些测试的自动化性质,以及进行测试所需的相对较短的时间,收集时间序列数据是一个相对较小的步骤,并有可能揭示随时间变化的有用的审查模式,这对观察现实世界事件之间的关系以及这些事件决定或影响过滤政策的程度具有重要价值。
这项工作的最后一个主要限制是,它提供了一个纯技术性的观点,即在中国发生的一种过滤形式。这些结果提供了一个了解用户互联网连接限制的窗口,但在审查对用户的浏览行为、对各种形式的内容的社会态度、对论坛的选择、通信模式和手段以及对新闻来源的访问等方面的影响方面,提供的数据很少。因此,这里详述的实验为我们提供了对中国更广泛的互联网审查现象的部分了解。
討論
互联网作为表达和交流自由的工具,其威力已得到广泛认可(MacKinnon,2012年;Yang,2009年),尽管有些人怀疑其在实现真正的政治或社会变革方面的功效(Morozov,2011年)。通过这些实验和其他实验,在中国的案例中,很明显的一点是,中国国家愿意花费大量资源来维持对全国网络信息流的主动控制。
这方面一个有趣的结果是,明显缺乏公开的过滤,这可能是以不存在域结果的形式预期的。相反,在所调查的大多数服务器中,在回答查询时提供了误导性的IP地址。从用户的角度来看,这些误导的实际结果是多种多样的。在某些情况下,可能会显示一个替代网页,如Tor项目及其重定向到佛罗里达州的宠物美容服务的情况;在其他情况下,当误导没有指向一个有效的网络服务器时,将向用户显示一个错误信息。然而,在很大程度上,并没有明确的过滤声明,如在许多其他州审查互联网。
对这种行为的一个可能的解释是,当DNS响应结果为无效域时,用户的计算机会立即终止连接–它没有有效的地址可以到达。通过提供一个替代地址,防火墙确保用户的计算机能进行一些连接。如果如实验结果所示,这个连接是连接到位于中国以外的计算机,那么可以保证用户的连接将通过中国的边界路由器,而中国的边界路由器被认为会发生相当程度的过滤(Xu等,2011)。
这种行为有力地支持了这样的假设,即这种误导的目的是确保试图连接到被禁止服务的用户通过已知路由器进行可观察的连接。在本研究过程中已经确定,至少在已知的例子中,与虚假报告的IP地址的连接确实成功完成。这种行为允许对试图接触被审查信息的用户进行监视和监测,即使这种监测不需要主动进行。
这项工作中进行的实验的重点是过滤的区域差异,以支持过滤的实施是基于中央政策下放给地方组织的假设。如图1清楚地表明,尽管在大范围的过滤结果中没有发现整体的地理格局,但中国各地的过滤存在着广泛的差异。然而,过滤的范围和差异表明,地方行为者大量参与了低层次的过滤决策,即使这些决策反映了广泛的指导方针,如要求屏蔽特定的主题或网站。
这些实验中发现的过滤模式最有趣的是全国范围内的相关性,这表明了协调性。然而,这些实验也证明了在不同地点根据需求进行差异化过滤的明确能力。今后在这一领域工作的一个重要途径是确定过滤决定随时间的发展,并观察过滤决定从中央政府政策到地区执行时的反应速度。
結論
这里介绍的工作提出,一般来说,将互联网过滤视为一个国家的同质现象是错误的,实施过滤制度的实际情况很可能导致用户所经历的过滤在地域和组织上的差异化。这就导致了过滤实践的必要的分散性,反映在不同但相关的屏蔽模式上,反映了中央的政策–中央协调分散执行的政策。在这项工作过程中进行的实验支持了这一假设–不同地区的过滤情况差异很大,但某些模式和特征在实验结果中表现得很明显。研究这些关联性和差异性对于理解过滤背后的技术和动机都有很大的意义,并提出了可以采用各种机制来获得这种理解。
为了应对审查研究的技术和道德挑战,这些实验代表了对中国互联网用户所经历的明显过滤的全国范围内的远程调查,并特别提到了通过DNS发生的屏蔽尝试。这些实验揭示了DNS结果的广泛中毒,包括无效的服务器响应,声称不存在的有效域名,以及返回与请求域名不对应的IP地址。
对这些结果的分析揭示了这种过滤的一些趋势,最明显的是误导性的域名响应比声称域名不存在的情况更为普遍。过滤的程度因地域而异,但在不同服务器对被屏蔽域名的请求作出响应时返回的误导性IP地址的频繁关联意味着,除了在互联网上传递数据时对数据进行全国范围的操纵外,还存在自上而下的本地过滤。
通过DNS操纵所经历的过滤反映出人们明显倾向于误导而不是直接封堵;这可能部分是由于人们希望通过使过滤看起来更类似于网络错误而不是公开的限制来软化过滤。正如某些域名持续误导到给定的IP地址,以及随后的证据表明这些连接本身并没有被屏蔽,我们有理由相信除了更直接的屏蔽之外,还有一定程度的监控在运作。
中国互联网过滤的经验为莫罗佐夫的论点(Morozov,2011)提供了有限的支持,即通过互联网进行行动主义的潜力受到了根深蒂固的掌权者的严重挑战。从这些实验中可以看出过滤的范围和程度,以及在一些地区看到的低水平的过滤,表明在过滤的愿望和允许某些自由的需要之间正在进行微妙的平衡。这与Crandall等人(2007)提出的技术数据以及King等人(2012)的理论发展相一致,这些数据表明,人们对不同类别的被审查话题的反应会随着政治环境的变化而变化。
从这些实验中可以清楚地看到,中国过滤的基础设施是复杂的,由多个在地理和组织上有差异的行为者管理和运作,彼此之间的沟通并不完善。在某些情况下,集中式的决策很明显,而在其他情况下,则是地方性的。虽然这个过滤系统的结构旨在控制国内和跨境的信息流动,但它却能提供对中国决策者的政策、公民的行动和反应的潜在深入了解。