# 1. GFW 與翻牆泛論

# 1 什麼是 GFW ?

【防火長城】是中華人民共和國政府在其互聯網邊界審查系統的統稱。此系統起步於1998年,得名於2002年5月17日 Charles R. Smith 所寫的一篇關於中國網絡審查的文章《The Great Firewall of China》,取與 Great Wall(長城)相諧的效果。

GFW 實質上是一系列【網絡封鎖】手段的統稱,包括 DNS 污染、關鍵字阻斷、IP 封鎖、深度包檢測⋯⋯

GFW 作為有選擇的【網絡封鎖】,是中共政權實施的【大規模網絡審查】的組成部分。由於中共政權只能迫使本國互聯網企業及進入中國市場的外企遵照中共的意志進行言論審查,無法要求境外網站刪除不受中共歡迎的信息,所以只能採取【網絡封鎖】來限制本國網民訪問【黑名單】上的特定境外網站。

GFW 作為當今世界最為精密的網絡審查系統,為中共政權實現了有選擇的封閉與開放、政治維穩與經濟績效之間的平衡。封閉和高壓管治的網絡環境使中共政權在網絡空間面臨的輿情風險基本處於可控狀態,無需像伊朗、白俄羅斯、緬甸政權一樣在應對危機時採取「一刀切」式的【斷網】措施;封閉的網絡環境和廣闊的國內市場成就了 BAT 為代表的中國本土互聯網企業,它們開發了國際主流網絡服務的對應產品,讓中國得以在不依賴國際互聯網的情況下仍能基本滿足本國民眾對網絡服務的需求,使常態化的【網絡封鎖】成為可能。

參見:
維基百科 - 防火長城 (opens new window)
維基百科 - 中華人民共和國被封鎖網站列表 (opens new window)
中國數字時代 - 翻牆必讀 - 被牆網站 (opens new window)
Solidot | 甲骨文報告稱中國的互聯網像內聯網 (opens new window) (2019-07-24)
– 測試網站是否 GFW 屏蔽的工具
GreatFire Blocky (opens new window)
GreatFire Analyzer (opens new window)
https://www.comparitech.com/privacy-security-tools/blockedinchina/

# 2 什麼是翻牆?

「翻牆」是指【突破網絡封鎖】瀏覽境外被屏蔽的網站的行為。中國網民為了規避審查會用「科學上網」、「愛國上網」等指代「翻牆」。

# 3 GFW 及翻牆方的攻防戰

# 3.1 GFW 的封鎖手段

  • 技術性手段
    • DNS 污染
    • IP 封鎖
    • 關鍵字阻斷(HTTP、HTTPS 的 SNI)
    • 流量特徵檢測,識別並封殺翻牆代理流量
    • 主動探測
    • 封鎖 VPS 服務商的 IP 段 ⋯⋯
  • 政策性手段
    • 管制國內 IDC/ISP/CDN 互聯網接入服務市場
    • 強制國內應用市場及國區 App Store 下架 VPN 類應用程式
    • 約談翻牆工具開發者,脅迫其終止項目
    • 以刑事懲罰打擊翻牆服務提供者
    • 以行政處罰打擊翻牆的企業或個人 ⋯⋯

# 3.2 翻牆方的應對手段

  • DNS 污染
    • 修改 hosts 文件指定 IP 地址
    • 加密 DNS(DNSCrypt/DoT/DoH/ODoH)
  • IP 封鎖
    • 針對目標網站的 IP 封鎖
      • 使用 VPN 等網絡代理工具,借助代理服務器中轉以規避封鎖
    • 針對代理伺服器的 IP 封鎖
      • 更換被封鎖的 IP /使用動態 IP(自由門、無界、VPNGate 等諸多翻牆工具以及 Shadowsocks 機場主的做法)
      • 使用 Cloudflare 的 CDN 服務(為國內外眾多網站使用,具有基礎設施性質,不至於被 GFW 輕易封鎖)
  • 流量特徵檢測
    • 改進協議,將網絡代理流量偽裝成正常的 HTTPS 加密流量
    • 將代理伺服器偽裝成正常網站
  • 應用下架
    • Android:從 GitHub 等渠道取得 .apk 安裝應用程式
  • iOS:註冊使用外區 Apple ID 下載 VPN 類應用程式 ⋯⋯

DNS 污染及其應對的細節參見:
編程隨想的博客|掃盲 DNS 原理,兼談「域名劫持」和「域名欺騙/域名污染」 (opens new window) (2014-01-23)
編程隨想的博客|對比4種強化域名安全的協議——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS (opens new window) (2018-10-09)

其他參見:
steemit|v2ray:简单介绍一下网络连接的封锁与反封锁 (opens new window)
維基百科|中華人民共和國網絡審查 (opens new window)
端傳媒|道高一尺,牆高一丈:互聯網封鎖是如何升級的 (opens new window) (2015-09-04)
编程随想的博客|如何翻墙?——写在 BlogSpot 被封之后 {2018-12-26} (opens new window)
Matters|可可托海:道高一尺,魔高一丈:中國人與防火長城的鬥爭 (opens new window) (2020-01-19)

# 3.3 對攻防戰未來的預判

# 3.3.1 協議的發展趨勢

# 偽裝

在直連海外代理伺服器翻牆的場景中,目前可行的做法是使用真 TLS,将代理流量偽裝成正常的 HTTPS 加密流量(比如 V2Ray(Vmess/Vless+WebSocket+TLS)和 Trojan)。不过任何翻墙协议多少都有特徵,代理伺服器与网站伺服器、代理流量与正常的 HTTPS 流量之间仍然可能存在差異,因而需要開發者持續改進協議以應對 GFW 的檢測和封鎖,雙方的封鎖/反封鎖戰還將繼續。

# P2P

虽然 P2P 这一术语最近很热,听上去也很有希望,但实际上它并不适用于翻墙。翻墙的过程需要【墙内的P】2【墙外的P】,并不是任意两个 P 都可以自由组合的。

——steemit|v2ray:简单介绍一下网络连接的封锁与反封锁 (opens new window)

VPN Gate 項目和 Tor 項目組測試多年的 Snowflake 網橋可以讓任何牆外的用戶將自己的計算機貢獻成為網橋/VPN 節點,幫助牆內網民【突破網絡封鎖】。但 GFW 仍可以【協議封鎖】的方式應對 VPN 流量和連接網橋的混淆流量,並不會因為 IP 數量過多就破防。因此,P2P 可能並不是可行的出路。

# 3.3.2 新标准的影響

出於通信安全和私隱保護的需要,加密正在成為互聯網通信的主流。就如加密的 HTTPS 協議取代明文的 HTTP 協議成為主流,使得第三方無法直接監控用家訪問的網頁內容,只能通過明文的伺服器名稱指示(Server Name Indicator, SNI)得知用家訪問的網站域名,令封鎖特定網頁的手段失效(比如封鎖 GitHub 的開源趙家人項目),束縛了 GFW 的手腳。

DoH(DNS over HTTPS)和 ESNI/ECH 有望成為新的互聯網標準。加密 DNS 和 SNI 分別可以對抗 GFW 的【DNS 污染】和【SNI 檢測】,但無法應對【IP 封鎖】,因而只能對 GFW 產生有限的衝擊。

# 3.3.3 更壞的可能

  • 【黑名單】改【白名單】(指默認阻斷國際聯網,白名單網站放行)
  • 徹底切斷國際聯網
  • 局域斷網
  • 全域斷網

參見:
Solidot|HTTPS 加密流量超過九成 (opens new window) (2019-11-03) (數據來自 Google,未包括中國)
端傳媒|如何在斷網下堅持312天?三位新疆網友的生存指南 (opens new window) (2017-01-24)

# 4 翻牆的合法性及法律風險

注1:暫時只討論翻牆在中國大陸的合法性

注2:「翻牆」僅限「瀏覽牆外信息」,不包括在牆外發表政治言論,後者可能被控「尋釁滋事罪」

# 4.1 出售翻牆服務的合法性問題

# 4.1.1 罪名及法律後果

罪名:

  • 【提供侵入、非法控制计算机信息系统程序、工具罪】

後果:

  • 【刑事處罰】
    • (一般情形)三年以下有期徒刑或者拘役
    • 情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金
    • 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金

# 4.1.2 相關法律條文

《中华人民共和国刑法》(2020年12月26日全国人大常委员会修正)第二百八十五条第三款

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

# 4.1.3 出售翻牆服務不違法的理由

中國政法大學刑法學教授羅翔的觀點:

  • VPN/翻牆工具不符合【專門性】
    • VPN 是中性的工具
  • VPN/翻牆工具不符合【非法性】
    • 工信部(信管函[2017]32号)不屬於刑法第九十六条界定的「国家规定」,未達到刑法要求的「非法性」

參見:
澎湃︱罗翔:警惕“计算机流氓罪” (opens new window) (2018-10-16)
Solidot | 北京网络行业协会组织讨论 VPN 相关问题 (opens new window) (2019-12-21)

# 4.2 翻牆的合法性問題

# 4.2.1 違法行為及其法律後果

違法行為:

  • 【擅自建立、使用非法定信道进行国际联网】

法律後果:

  • 【行政處罰】
    • 《计算机信息网络国际联网管理暂行规定》
      • 责令停止联网
      • 给予警告
        • 可以并处15000元以下的罚款
      • 有违法所得的,没收违法所得
    • 《網絡安全法》
      • 一般情形
        • 没收违法所得
        • 五日以下拘留
          • 可以并处五万元以上五十万元以下罚款
      • 情节较重的
        • 五日以上十五日以下拘留
          • 可以并处十万元以上一百万元以下罚款

# 4.2.2 相關法律條文

《中华人民共和国计算机信息网络国际联网管理暂行规定》(1996年2月1日国务院令第195号发布,根据1997年5月20日修正)(下文簡稱「《暫行規定》」)

第六条 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。

任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第十四条 违反本规定第六条、第八条和第十条的规定的,由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。

《中华人民共和国网络安全法》(2016年11月7日全国人大常委会通过)

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

# 4.2.3 翻牆不違法的理由

# 不違反《暫行規定》的理由

根據《暫行規定》的《實施辦法》的解釋,「國際出入口信道」指的是「國際聯網所使用的物理信道」。事實上任何翻牆工具進行的國際聯網都必然經過「法定信道」——「邮电部国家公用电信网提供的国际出入口信道」,只有「私拉海底光纜」才能構成「自行建立、使用非法定信道进行国际联网」。

參見:《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》(1998年2月13日国务院信息化工作领导小组发布并施行)

第三条 本办法下列用语的含义是:

(三)国际出入口信道,是指国际联网所使用的物理信道。

# 不違反《網絡安全法》的理由

同 4.1.3 出售翻牆服務不違法的理由

# 4.3 涉案翻牆工具/服務

  • 無界一點通
  • 藍燈
  • 老王VPN
  • 螞蟻VPN
  • Turbo VPN
  • Shadowsocks ⋯⋯

# 4.4 翻牆被查的可能原因

  • 翻牆工具/服務本身的原因
    • 翻牆服務本身是公安的釣魚執法工具
    • 使用的 Shadwosocks 公共節點是蜜罐
    • 翻牆流量被精準識別
  • 終端的原因
    • 國內 Android 手機廠商的 ROM 監控用戶
    • 安裝的中資應用程式監控用戶(360、QQ等)
  • 用家個人的原因
    • 使用實名信息註冊牆外網絡服務
    • 微信聊天記錄包含翻牆相關信息

# 4.5 個人向的翻牆風控建議

  • 不經營翻牆服務(除非你身處中國境外、能做到這輩子不來中國)
  • 不建議與他人合租翻牆服務和 VPS
    • 如果合租,建議做到:
      • 合租夥伴只限熟人,不包括陌生網友
      • 合租以分攤租金為限,確保自己無盈利
  • 如果選擇自建翻牆服務,及時更新代理軟體的版本
  • 不要從國區 App Store、中資安卓應用市場或網頁下載使用來路不明的免費 VPN
  • 不使用 Shadowsocks 共享節點/公益節點(過渡性使用除外)
  • 不使用過往有資安、私隱污點的翻牆服務
  • 確保翻牆終端裝置的清潔
    • 非中國國內安卓手機廠商 ROM
    • 從未安裝 360、QQ、微信等中資軟體
  • 不要在微博、微信等牆內網絡平台提及「翻牆」話題、傳授翻牆技術
    • 傳授翻牆技術可以考慮使用:
      • Protonmail 等暫未被 GFW 封鎖的加密郵件服務
      • Singal 等暫未被 GFW 封鎖的加密即時通訊軟體
      • 線下教學
  • 提高透過購買翻牆服務的支付渠道追溯用家身份的難度和成本
    • 不要使用國內支付平台和渠道(支付寶、微信支付、銀聯)
    • 使用比特幣、USDT 等加密數字貨幣、外區 PayPal、外國銀行在中國司法管轄區外發行的銀行卡
  • 盡可能配合 Tor Browser 瀏覽網頁,隱匿網絡瀏覽記錄
  • 提高牆外網絡服務帳號註冊及使用時的匿名強度(參見 匿名上網的初級教程)

參見:
中國數字時代|【CDT导览】从无到有的“翻墙罪”:为中国网民量身定做的“网络枷锁” (opens new window) (2020-11-13)
維基百科|中華人民共和國網絡審查#因提供或使用翻牆服務而獲刑 (opens new window)

# 5 GFW 與翻牆相關的學術研究

Net4People BBS (opens new window) 基於 GitHub 的向翻牆工具開發者和研究人員的技術論壇。

https://gfw.report/ (opens new window) 一個長期的網絡審查觀察平台,定期發布 GFW 相關的學術論文。

GFW Report is a long-term censorship monitoring platform, aiming at advancing the understanding and spreading the awareness of Internet censorship. Our platform has a primary focus on the Internet censorship in China as it is one of the most repressive censoring regimes that has been developing and deploying notoriously sophisticated censorship techniques.

Geneva (opens new window) 是一個人工智能驅動的、通過遺傳學算法進化規避審查策略和利用發現網絡審查系統中的漏洞來規避審查的實驗性工具,但它無法突破【IP 封鎖】。Geneva 目前只能在 Centos 或 Debian 發行版的 Linux 系統中運行。