今天的 Tetralet 又在唧唧喳喳了



« 六月 2017 »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    






 

從技術上看封鎖 IP/DNS 之不可行

Tetralet | 26 五月, 2013 11:55

智財局日前放出風聲,打算祭出了管制 IP/DNS 的手段,希望能藉此打擊盜版;身為一個(常把網路鎖起來的)弱弱的網管,個人認為:封鎖網路將對於台灣的民主成果將造成極嚴重的傷害。

封鎖 IP:恐波及無辜

先從封鎖 IP 講起。

比如說,智財局未經司法程序就自行判定 download.example.org 這個網站是個盜版天堂,所以行文要求 Hinet 等等各大 ISP 把 download.example.org 給鎖起來。經查,download.example.org 對應到 127.128.254.15 這個 IP,因此,ISP 可能決定改改 routing table 之類的,把 127.128.254.15 給擋掉,或是利用改寫網路封包的技術,把連向 127.128.254.15 這個 IP 的封包重導到一個 ERROR 451 頁面之類的。

但這時,就遇到問題了。

首先,很多大型網站往往不會只有一個 IP,也往往不只一台主機,(比如說 download1~99.example.org 之類的,往往不會位於同一網段),ISP 要封,可能得鎖一大堆 IP,甚至只好開地圖炮,把整個網段都封掉。很多無辜網站可能會因此莫名其妙被封掉了。

並且,現在虛擬主機技術非常成熟,很多網站為了分散流量及降低管理負擔,可能會花點小錢然後把主機交給一些代理伺服器供應商代管,若真的要封,那麼那些代理伺服器上跑的網站會全部都被封掉。這可就變成『寧錯殺一百也不放過一個』了。這只有專制社會才會有的現象呀!

如果這個網站是架在該國的 ISP 所提供的虛擬空間上,那麼難道 Hinet 要把這個 ISP 的虛擬空間的 IP 全封掉嗎?想想看會造成多大的影響?

接下來,因為會涉及修改 routing table,而網址和 IP 位址的對應不可能一成不變,也就是說 ISP 的路由器的 routing table 可能得定時不停自動更新,(包括智財局的封鎖內容可能會隨時增減),老實說這種作法在技術上是個非常難搞的超級大工程。ISP 真的會被搞死。

且,網路主機往往不是只提供 Web Server 服務,其它重要服務包括 DNS、Mail、FTP 等等,封鎖 IP 的話,這些服務很可能會全部被封掉!

是的,封鎖 IP 的效果保証強大,但因為在封鎖時是不分青紅皂白全擋了,這可能會召來很多的非議:『我們又沒做錯事,只是倒楣和智財局看不順眼的網站放在同一個主機上,為什麼我們要被封?』,再加上技術上要路由器能隨時更新封鎖列表也不容易,所以在實務上封鎖 IP 反而窒礙難行。

封鎖 DNS:幾無效果

既然封鎖 IP 的效果不好,智財局可能會要求改由封鎖 DNS。

要直接封鎖 DNS 是非常不容易的,因為 DNS 是一種分散式的架構,不管是大小網路環境幾乎都會自掛一個 DNS Server,要查詢 DNS 並不是非得經由 ISP 的 DNS Server 才行,所以單單修改 ISP 的 DNS Server 基本上沒有任何意義。DNS 幾乎不可能這樣就被封鎖。(簡單得說,不要用 Hinet 的 DNS 搞不好就能避過了 XD)

並且,有很多系統,包含部份手機系統,都自掛一個小小個人 DNS Server。既然根本不會由 ISP 的 DNS 來進行查詢了,想由改改 ISP 的 DNS Server 就想封鎖網路未免想得太簡單!

其實,若真的想管制 DNS 是有方法的:修改 root name server。在台灣的確有一台 root name server  的鏡像,但網際網路組織怎麼可能坐視台灣的小小智財局單憑一道行政命令就修改 root name server 鏡像裡的資料?修改 root name server 的結果可能會擴及全世界,這個責任智財局擔得起嗎?當然,這種事偉大的祖國政府就幹過,結果位於中國的 root name server 就被下架了。不知智財局要不要有樣學樣一番?

所以,智財局可能會要求採取的,就是最最最骯髒的污染 DNS的做法:

把所有 DNS Server 包括 root name server 都封了,然後重導所有 DNS 封包並送出虛假資料,針對某些網址重導至某個 ERROR 451 頁面
但即使這樣也未必完全封得住。有很多方法是可以設法繞過 DNS 污染的。

所以,單單從 DNS 是無法封鎖網路的。技術上幾乎不可行。再加上污染 DNS 這種作法是最最最骯髒的,馬政府不知擔不擔得起這種臭名?

向中國看齊:架設全國性通透式代理伺服器?

所以,如果真的要封鎖網路,智財局最可能採用的作法是:向中國看齊、架設全國式的通透式代理伺服器,然後從中管制。

通透式代理伺服器原本是用來節省網路頻寬的使用量的,它會把使用者上過的網站的資料暫存起來,然後如果有其它使用者要求相同的資料,它會直接傳送暫存資料給使用者,可以避免重覆抓取相同資料,以節省頻寬。一般較大規模的網路環境應該都架有代理伺服器。

因為它會檢查『使用者上過哪些網站、下載過哪些資料』,所以當然可以順便用來管制哪些網站可以上、哪些網站不能上。換句話說,全國民眾在何時何地上了哪些網站,政府這下子有法源可以正大光明檢查了,這可以說是大開民主倒車!

可是,不做到這種地步,網路是鎖不住的!

且,若法案不幸真的通過了,那麼政府不管做到什麼地步,反正都是依法有據,那麼到時全國人民真的連晚上睡覺都會做惡夢!

所以說,也許智財局的本意未必是如此,但這個法案實行起來就是不折不扣的白色恐怖。我想不出其它形容詞了...

還有,HTTPS 之類基本是無法審查的,但還是可以加以干擾或阻隔。(其實 ISP 可以玩的手段可多著呢!請 Google 『中間人攻擊』;只是依法無據之前,ISP 不可能明目張膽這樣搞...);且,現在提供 HTTPS 的網站並不多,期待全世界的網站都走 HTTPS 未免不切實際。(HTTPS 的正式憑証要花錢申請,我個人是負擔不起)

據說政府還有計劃鎖 VPN、BT、eMule 之類的... 唔,這對台灣的網路環境會造成多大的衝擊呢?真的是想都不敢想...
迴響

Re: 從技術上看封鎖 IP/DNS 之不可行

可以借轉臉書嗎?

[回應] Jesta1987 @ 31/05/2013, 07:30

Re: 從技術上看封鎖 IP/DNS 之不可行

沒想到臺灣也會有這種情況,大陸的GFW已經存在多年,我們這一代85後的幾乎或多或少受此坑害,那時候想盡辦法翻牆的經歷還曆曆在目,到這一代90以后的卻仿佛亮無知覺,這其實是一種比麻木還要可怕的意識。
工作後接觸外貿碰上諸多不便,貪圖方便常用VPN,倒少了當年那份折騰的心思,看了PO主文章,覺得百感交集。想起的一句台词:这里的围墙很奇怪,刚来的时候很恨它,不久就习惯了它,最终变成了依赖它。
这句话或者就是我们目前90以后的写照吧。

[回應] Ben Wong @ 31/05/2013, 23:13

Re: Jesta1987

請自由轉載。謝謝!

[回應] Tetralet @ 01/06/2013, 16:56

Re: Ben Wong

沒錯...

最可悲的是,
人們不管遭到什麼樣的不公平待遇,
時間會撫平這一切:『久了就習慣了』,
這就是台灣政府施政如此肆無忌憚的主因:
反正人們習慣得很快、遺忘得很快,
等到選舉來時再來高喊幾個口號,選票就回來了...

這也就是很多人希望這個法案能夠一開始就不通過的主因:
等真的通過了,造成傷害後來再來補救早就來不及,
放出去的權力,想收回來談何容易!
它必定會變成台灣民主過程中一個永遠難以磨滅的傷口。

[回應] Tetralet @ 01/06/2013, 17:31

Re: 從技術上看封鎖 IP/DNS 之不可行

一直受到GWF的迫害的人类,无语!

[回應] 元谷 @ 03/06/2013, 13:56

Re: Re: Jesta1987

借轉載...謝謝

[回應] Bird @ 10/07/2014, 17:00

authimage
驗證碼皆為英文大寫字母
僅輸入前4碼即可。後2碼是假的,欺敵用。
這是為了防制 Spam 而設計的。若造成您的不便還請見諒!
Accessible and Valid XHTML 1.0 Strict and CSS
Powered by LifeType - Design by BalearWeb