# 1. GFW 与翻墙泛论

# 1 什么是 GFW ?

【防火长城】是中华人民共和国政府在其互联网边界审查系统的统称。此系统起步于1998年,得名于2002年5月17日 Charles R. Smith 所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与 Great Wall(长城)相谐的效果。

GFW 实质上是一系列【网络封锁】手段的统称,包括 DNS 污染、关键字阻断、IP 封锁、深度包检测⋯⋯

GFW 作为有选择的【网络封锁】,是中共政权实施的【大规模网络审查】的组成部分。由于中共政权只能迫使本国互联网企业及进入中国市场的外企遵照中共的意志进行言论审查,无法要求境外网站删除不受中共欢迎的信息,所以只能采取【网络封锁】来限制本国网民访问【黑名单】上的特定境外网站。

GFW 作为当今世界最为精密的网络审查系统,为中共政权实现了有选择的封闭与开放、政治维稳与经济绩效之间的平衡。封闭和高压管治的网络环境使中共政权在网络空间面临的舆情风险基本处于可控状态,无需像伊朗、白俄罗斯、缅甸政权一样在应对危机时采取“一刀切”式的【断网】措施;封闭的网络环境和广阔的国内市场成就了 BAT 为代表的中国本土互联网企业,它们开发了国际主流网络服务的对应产品,让中国得以在不依赖国际互联网的情况下仍能基本满足本国民众对网络服务的需求,使常态化的【网络封锁】成为可能。

参见:
维基百科 - 防火长城 (opens new window)
维基百科 - 中华人民共和国被封锁网站列表 (opens new window)
中国数字时代 - 翻墙必读 - 被墙网站 (opens new window)
Solidot | 甲骨文报告称中国的互联网像内联网 (opens new window) (2019-07-24)
– 测试网站是否 GFW 屏蔽的工具
GreatFire Blocky (opens new window)
GreatFire Analyzer (opens new window)
https://www.comparitech.com/privacy-security-tools/blockedinchina/

# 2 什么是翻墙?

“翻墙”是指【突破网络封锁】浏览境外被屏蔽的网站的行为。中国网民为了规避审查会用“科学上网”、“爱国上网”等指代“翻墙”。

# 3 GFW 及翻墙方的攻防战

# 3.1 GFW 的封锁手段

  • 技术性手段
    • DNS 污染
    • IP 封锁
    • 关键字阻断(HTTP、HTTPS 的 SNI)
    • 流量特征检测,识别并封杀翻墙代理流量
    • 主动探测
    • 封锁 VPS 服务商的 IP 段 ⋯⋯
  • 政策性手段
    • 管制国内 IDC/ISP/CDN 互联网接入服务市场
    • 强制国内应用市场及国区 App Store 下架 VPN 类应用程序
    • 约谈翻墙工具开发者,胁迫其终止项目
    • 以刑事惩罚打击翻墙服务提供者
    • 以行政处罚打击翻墙的企业或个人 ⋯⋯

# 3.2 翻墙方的应对手段

  • DNS 污染
    • 修改 hosts 文件指定 IP 地址
    • 加密 DNS(DNSCrypt/DoT/DoH/ODoH)
  • IP 封锁
    • 针对目标网站的 IP 封锁
      • 使用 VPN 等网络代理工具,借助代理服务器中转以规避封锁
    • 针对代理服务器的 IP 封锁
      • 更换被封锁的 IP /使用动态 IP(自由门、无界、VPNGate 等诸多翻墙工具以及 Shadowsocks 机场主的做法)
      • 使用 Cloudflare 的 CDN 服务(为国内外众多网站使用,具有基础设施性质,不至于被 GFW 轻易封锁)
  • 流量特征检测
    • 改进协议,将网络代理流量伪装成正常的 HTTPS 加密流量
    • 将代理服务器伪装成正常网站
  • 应用下架
    • Android:从 GitHub 等渠道取得 .apk 安装应用程序
  • iOS:注册使用外区 Apple ID 下载 VPN 类应用程序 ⋯⋯

DNS 污染及其应对的细节参见:
编程随想的博客|扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染” (opens new window) (2014-01-23)
编程随想的博客|对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS (opens new window) (2018-10-09)

其他参见:
steemit|v2ray:简单介绍一下网络连接的封锁与反封锁 (opens new window)
维基百科|中华人民共和国网络审查 (opens new window)
端传媒|道高一尺,墙高一丈:互联网封锁是如何升级的 (opens new window) (2015-09-04)
编程随想的博客|如何翻墙?——写在 BlogSpot 被封之后 {2018-12-26} (opens new window)
Matters|可可托海:道高一尺,魔高一丈:中国人与防火长城的斗争 (opens new window) (2020-01-19)

# 3.3 对攻防战未来的预判

# 3.3.1 协议的发展趋势

# 伪装

在直连海外代理服务器翻墙的场景中,目前可行的做法是使用真 TLS,将代理流量伪装成正常的 HTTPS 加密流量(比如 V2Ray(Vmess/Vless+WebSocket+TLS)和 Trojan)。不过任何翻墙协议多少都有特征,代理服务器与网站服务器、代理流量与正常的 HTTPS 流量之间仍然可能存在差异,因而需要开发者持续改进协议以应对 GFW 的检测和封锁,双方的封锁/反封锁战还将继续。

# P2P

虽然 P2P 这一术语最近很热,听上去也很有希望,但实际上它并不适用于翻墙。翻墙的过程需要【墙内的P】2【墙外的P】,并不是任意两个 P 都可以自由组合的。

——steemit|v2ray:简单介绍一下网络连接的封锁与反封锁 (opens new window)

VPN Gate 项目和 Tor 项目组测试多年的 Snowflake 网桥可以让任何墙外的用户将自己的计算机贡献成为网桥/VPN 节点,帮助墙内网民【突破网络封锁】。但 GFW 仍可以【协议封锁】的方式应对 VPN 流量和连接网桥的混淆流量,并不会因为 IP 数量过多就破防。因此,P2P 可能并不是可行的出路。

# 3.3.2 新标准的影响

出于通信安全和隐私保护的需要,加密正在成为互联网通信的主流。就如加密的 HTTPS 协议取代明文的 HTTP 协议成为主流,使得第三方无法直接监控用户访问的网页内容,只能通过明文的服务器名称指示(Server Name Indicator, SNI)得知用户访问的网站域名操作系统,令封锁特定网页的手段失效(比如封锁 GitHub 的开源赵家人项目),束缚了 GFW 的手脚。

DoH(DNS over HTTPS)和 ESNI/ECH 有望成为新的互联网标准。加密 DNS 和 SNI 分别可以对抗 GFW 的【DNS 污染】和【SNI 检测】,但无法应对【IP 封锁】,因而只能对 GFW 产生有限的冲击。

# 3.3.3 更坏的可能

  • 【黑名单】改【白名单】(指默认阻断国际联网,白名单网站放行)
  • 彻底切断国际联网
  • 局域断网
  • 全域断网

参见:
Solidot|HTTPS 加密流量超过九成 (opens new window) (2019-11-03) (数据来自 Google,未包括中国)
端传媒|如何在断网下坚持312天?三位新疆网友的生存指南 (opens new window) (2017-01-24)

# 4 翻墙的合法性及法律风险

注1:暂时只讨论翻墙在中国大陆的合法性

注2:“翻墙”仅限“浏览墙外信息”,不包括在墙外发表政治言论,后者可能被控“寻衅滋事罪”

# 4.1 出售翻墙服务的合法性问题

# 4.1.1 罪名及法律后果

罪名:

  • 【提供侵入、非法控制计算机信息系统程序、工具罪】

后果:

  • 【刑事处罚】
    • (一般情形)三年以下有期徒刑或者拘役
    • 情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金
    • 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金

# 4.1.2 相关法律条文

《中华人民共和国刑法》(2020年12月26日全国人大常委员会修正)第二百八十五条第三款

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

# 4.1.3 出售翻墙服务不违法的理由

中国政法大学刑法学教授罗翔的观点:

  • VPN/翻墙工具不符合【专门性】
    • VPN 是中性的工具
  • VPN/翻墙工具不符合【非法性】
    • 工信部(信管函[2017]32号)不属于刑法第九十六条界定的“国家规定”,未达到刑法要求的“非法性”

参见:
澎湃︱罗翔:警惕“计算机流氓罪” (opens new window) (2018-10-16)
Solidot | 北京网络行业协会组织讨论 VPN 相关问题 (opens new window) (2019-12-21)

# 4.2 翻墙的合法性问题

# 4.2.1 违法行为及其法律后果

违法行为:

  • 【擅自建立、使用非法定信道进行国际联网】

法律后果:

  • 【行政处罚】
    • 《计算机信息网络国际联网管理暂行规定》
      • 责令停止联网
      • 给予警告
        • 可以并处15000元以下的罚款
      • 有违法所得的,没收违法所得
    • 《网络安全法》
      • 一般情形
        • 没收违法所得
        • 五日以下拘留
          • 可以并处五万元以上五十万元以下罚款
      • 情节较重的
        • 五日以上十五日以下拘留
          • 可以并处十万元以上一百万元以下罚款

# 4.2.2 相关法律条文

《中华人民共和国计算机信息网络国际联网管理暂行规定》(1996年2月1日国务院令第195号发布,根据1997年5月20日修正)(下文简称“《暂行规定》”)

第六条 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。

任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第十四条 违反本规定第六条、第八条和第十条的规定的,由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。

《中华人民共和国网络安全法》(2016年11月7日全国人大常委会通过)

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

# 4.2.3 翻墙不违法的理由

# 不违反《暂行规定》的理由

根据《暂行规定》的《实施办法》的解释,“国际出入口信道”指的是“国际联网所使用的物理信道”。事实上任何翻墙工具进行的国际联网都必然经过“法定信道”——“邮电部国家公用电信网提供的国际出入口信道”,只有“私拉海底光缆”才能构成“自行建立、使用非法定信道进行国际联网”。

参见:《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》(1998年2月13日国务院信息化工作领导小组发布并施行)

第三条 本办法下列用语的含义是:

(三)国际出入口信道,是指国际联网所使用的物理信道。

# 不违反《网络安全法》的理由

同 4.1.3 出售翻墙服务不违法的理由

# 4.3 涉案翻墙工具/服务

  • 无界一点通
  • 蓝灯
  • 老王VPN
  • 蚂蚁VPN
  • Turbo VPN
  • Shadowsocks ⋯⋯

# 4.4 翻墙被查的可能原因

  • 翻墙工具/服务本身的原因
    • 翻墙服务本身是公安的钓鱼执法工具
    • 使用的 Shadwosocks 公共节点是蜜罐
    • 翻墙流量被精准识别
  • 终端的原因
    • 国内 Android 手机厂商的 ROM 监控用户
    • 安装的中资应用程序监控用户(360、QQ等)
  • 用户个人的原因
    • 使用实名信息注册墙外网络服务
    • 微信聊天记录包含翻墙相关信息

# 4.5 个人向的翻墙风控建议

  • 不经营翻墙服务(除非你身处中国境外、能做到这辈子不来中国)
  • 不建议与他人合租翻墙服务和 VPS
    • 如果合租,建议做到:
      • 合租伙伴只限熟人,不包括陌生网友
      • 合租以分摊租金为限,确保自己无盈利
  • 如果选择自建翻墙服务,及时更新代理软件的版本
  • 不要从国区 App Store、中资安卓应用市场或网页下载使用来路不明的免费 VPN
  • 不使用 Shadowsocks 共享节点/公益节点(过渡性使用除外)
  • 不使用过往有资安、隐私污点的翻墙服务
  • 确保翻墙终端装置的清洁
    • 非中国国内安卓手机厂商 ROM
    • 从未安装 360、QQ、微信等中资软件
  • 不要在微博、微信等墙内网络平台提及“翻墙”话题、传授翻墙技术
    • 传授翻墙技术可以考虑使用:
      • Protonmail 等暂未被 GFW 封锁的加密邮件服务
      • Singal 等暂未被 GFW 封锁的加密即时通讯软件
      • 线下教学
  • 提高透过购买翻墙服务的支付渠道追溯用户身份的难度和成本
    • 不要使用国内支付平台和渠道(支付宝、微信支付、银联)
    • 使用比特币、USDT 等加密数字货币、外区 PayPal、外国银行在中国司法管辖区外发行的银行卡
  • 尽可能配合 Tor Browser 浏览网页,隐匿网络浏览记录
  • 提高墙外网络服务帐号注册及使用时的匿名强度(参见 匿名上网的初级教程)

参见:
中国数字时代|【CDT导览】从无到有的“翻墙罪”:为中国网民量身定做的“网络枷锁” (opens new window) (2020-11-13)
维基百科|中华人民共和国网络审查#因提供或使用翻墙服务而获刑 (opens new window)

# 5 GFW 与翻墙相关的学术研究

Net4People BBS (opens new window) 基于 GitHub 的向翻墙工具开发者和研究人员的技术论坛。

https://gfw.report/ (opens new window) 一个长期的网络审查观察平台,定期发布 GFW 相关的学术论文。

GFW Report is a long-term censorship monitoring platform, aiming at advancing the understanding and spreading the awareness of Internet censorship. Our platform has a primary focus on the Internet censorship in China as it is one of the most repressive censoring regimes that has been developing and deploying notoriously sophisticated censorship techniques.

Geneva (opens new window) 是一个人工智能驱动的、通过遗传学算法进化规避审查策略和利用发现网络审查系统中的漏洞来规避审查的实验性工具,但它无法突破【IP 封锁】。Geneva 目前只能在 Centos 或 Debian 发行版的 Linux 系统中运行。