如何判斷域名被中國防火長城屏蔽(China block)?

Back
2022-03-24

什麼是中國防火長城屏蔽(China block)?

China block指的是網站內容被防火長城所封鎖或者指伺服器的通訊被封阻,「防火長城」(英語:Great Firewall,常用簡稱:GFW),也可以稱為「牆」、「網路長城」、「防火牆」、「中國國家防火牆」等等。

「防火長城」起源於1998年,目的是監控國外網際網絡出口的內容進入中國網絡環境,對認為不符合中國官方要求的傳輸內容,進行干擾、阻斷、封鎖。由於中國網路審查廣泛,中國國內含有不合適內容的網站,會收到政府要求修改網站內容,發佈或者更新網頁內容需要先自我審查、自我監管,部分網站甚至會被直接遮罩,故防火長城主要作用在於監控分析和過濾中國境外的所有網絡資源存取,通常網站非法訊息多或較為敏感,中國政府認為會對國家不利的訊息就會直接被阻擋遮罩,常見被牆(牆:通常是指域名被中國防火長城遮罩)的對象:Facebook、Google、Telegram、Twitter、黃賭毒等非法網站、涉政敏感資訊網站等等。

延伸閱讀:首創客製化CDN服務!台灣團隊Apeiro8滿足企業飆速與資安需求

如何判斷被牆

在網路上有許多第三方檢測工具,只要搜尋「被牆查詢」關鍵字就會有很多檢測網站及模擬訪問工具,以下文中我們將使用「Boce」這個檢測工具來說明測試。

【Boce】(https://www.boce.com/):這個檢測工具在中國各地區有很多節點,我們拿域名到此網站上的各個節點測試訪問的結果。

被牆的部分大致上可以分為以下兩種:

【1】「域名被牆」:是指域名被中國防火牆屏蔽,只要在中國地區開啟都會無法使用,若是在中國以外的國家則可以正常訪問。

【2】「IP被牆」:是指IP被中國防火墻屏蔽,IP被牆與域名被牆的區別在於當IP被牆的時候,只要有使用被屏蔽IP的所有域名在中國地區都會無法開啟,但在中國以外的地區就可以正常開啟。

上述兩種被牆在第三方工具檢測的結果看起來會很像,不論是哪一種被牆,我們需要雙重確認,這時候我們可以使用【交叉比對】的方式進行確認,此種方式是用健康的域名的資訊去跟疑似被牆域名或被牆IP進行檢測比對,做近一步的判斷,在網路世界本來就很多種可能性,加上中國有防火長城的干預,使得確認域名問題上變得更加複雜,可以多找一些第三方工具來提升判斷的精準度,以下會介紹簡單的初步判斷方式。

延伸閱讀:殭屍網路猖獗,被動防守沒用!懂分析CDN Log才能預防!

中國防火長城屏蔽(China block)判斷流程圖
中國防火長城屏蔽(China block)判斷流程圖

實際案例判斷解說

域名被牆

Step1:首先找出一個能夠在中國地區正常訪問的健康域名【狀態】欄位能獲取正確響應的HTTP Code,接下來會使用下列域名來進行案例解說和交叉對比測試。

中國防火長城屏蔽(China block)判斷步驟:域名被牆01
中國防火長城屏蔽(China block)判斷步驟:域名被牆01

健康域名:goodexample.com
解析IP:123.123.123.123

Step2:用Boce檢測域名,各個地區節點大部分的【狀態】欄位都是000,代表是拿不到正常http code 200的訊息,訪問異常。

中國防火長城屏蔽(China block)判斷步驟:域名被牆02
中國防火長城屏蔽(China block)判斷步驟:域名被牆02

域名被牆範例:badexample.com
解析IP:234.234.234.234

Step3:用健康域名的IP 123.123.123.123綁定指定解析,一樣獲取不到狀態碼顯示000,代表換了一個健康的IP仍然沒辦法讓域名可以正常訪問,這樣我們可以判斷這個域名badexample.com被牆了。

中國防火長城屏蔽(China block)判斷步驟:域名被牆03
中國防火長城屏蔽(China block)判斷步驟:域名被牆03
中國防火長城屏蔽(China block)判斷步驟:域名被牆04
中國防火長城屏蔽(China block)判斷步驟:域名被牆04

Step4:也可以反過來測試,拿健康的域名goodexample.com用疑似被牆域名的解析IP 234.234.234.234來檢測,確認疑似被牆的域名IP是沒有問題,可以正常獲取狀態碼。

中國防火長城屏蔽(China block)判斷步驟:域名被牆05
中國防火長城屏蔽(China block)判斷步驟:域名被牆05
中國防火長城屏蔽(China block)判斷步驟:域名被牆06
中國防火長城屏蔽(China block)判斷步驟:域名被牆06

IP被牆

Step1:首先先找出一個能夠在中國地區正常訪問的健康域名,接下來會使用下列域名來進行案例解說和交叉對比測試。

中國防火長城屏蔽(China block)判斷步驟:IP被牆01
中國防火長城屏蔽(China block)判斷步驟:IP被牆01

健康域名:goodexample.com
解析IP:123.123.123.123

Step2:用Boce檢測域名,各個地區節點大部分的【狀態】欄位都是000,代表是拿不到http code的訊息無法連線。

中國防火長城屏蔽(China block)判斷步驟:IP被牆02
中國防火長城屏蔽(China block)判斷步驟:IP被牆02

IP被牆範例:example.com
解析IP:321.321.321.321

Step3:用健康域名的IP 123.123.123.123綁定指定解析,可以正常獲取狀態碼,代表換了一個健康的IP域名就可以使用了,這樣我們可以判斷這個域名example.com用的IP 321.321.321.321 被牆了。

中國防火長城屏蔽(China block)判斷步驟:IP被牆03
中國防火長城屏蔽(China block)判斷步驟:IP被牆03
中國防火長城屏蔽(China block)判斷步驟:IP被牆04
中國防火長城屏蔽(China block)判斷步驟:IP被牆04

Step4:反過來再檢測一遍,用被牆的IP 321.321.321.321 指定解析健康的域名 goodexample.com,會發現原本可以正常訪問的域名,用了被牆的IP 變得無法正常獲取狀態碼。

中國防火長城屏蔽(China block)判斷步驟:IP被牆05
中國防火長城屏蔽(China block)判斷步驟:IP被牆05
中國防火長城屏蔽(China block)判斷步驟:IP被牆06
中國防火長城屏蔽(China block)判斷步驟:IP被牆06

域名在特定電信被牆

域名被牆除了在中國所有地區都不能訪問以外,還有一種情況是被特定電信商墻,中國有三大電信商,分別是「中國電信」、「中國聯通」、「中國移動」,這種被電信商墻的情況比較常出現在「中國移動」。

中國防火長城屏蔽(China block)判斷步驟:域名在特定電信被牆01
中國防火長城屏蔽(China block)判斷步驟:域名在特定電信被牆

從上圖範例來看,可以發現都是中國移動線路會顯示異常,此時直接用篩選的方式選擇「移動」會看得更加清楚,經過更換IP重新測試狀態還是會顯示000,這種情況我們就稱之為「域名移動端被牆」,但是使用「中國電信」或「中國聯通」網路的客戶仍然是可以正常訪問域名的。

被牆的解決辦法

【域名被墻】

  1. 放棄舊域名,直接註冊更換新的域名使用。
  2. 檢查網站內容,修正站內的敏感訊息,將被牆的域名搬到中國,使用中國服務器,並且辦理備案。

【IP被牆】

  1. 請供應商更換正常的IP使用。
  2. 等待IP被解封。

延伸閱讀:境外網站進軍中國該使用中國CDN嗎?

Share this post

Blog