前言 #

在現代電腦網路中，TCP（傳輸控制協議）作為 INTERNET 通訊的基本協議，扮演著非常重要的角色。TCP 不僅負責數據的可靠傳遞，還通過複雜的手勢和流量控制機制確保網路連接的穩定性和高效性。它是一種面向連接、可靠的、基於位元流的传输層協議，在各種應用程式之間數據的可靠傳遞上廣泛應用。

然而，在TCP協議的设计與實現中，有一種機制雖然重要但常常被忽略——TCP重置（TCP Reset）。在某些情況下，TCP會發送一個「重置」（RST）段來終止當前進行中的資料傳輸，這通常被稱為TCP重置。這種機制在某些情況下可能會對網絡安全和系統穩定性造成嚴重影響。本文將深入探討TCP重置帶來的危害與影響，並詳細介紹如何應對這一問題。

這個技術可以在善意的防火牆中應用，但也可用於網路審查或是攻擊，恶意中断TCP連接，是一種旁觀者攻擊。防火長城（GFW）會自動執行TCP重置攻擊，來阻斷不符合當地法規法例的網站。

基本概念 #

背景 #

當兩台電腦之間需要建立雙向虛擬連線時，TCP（Transmission Control Protocol）與IP（Internet Protocol）會一起使用。（UDP則是無连接的IP協議。）兩台電腦上的TCP軟體將透過交換數據包流進行通訊（例如，裝有瀏覽器的電腦和Web服务器）。使用TCP連線為電腦提供了一種便捷的方式來交換對於單個數據包來說過大的數據項，例如影音片段、電子郵件附件或音樂檔案。雖然某些網頁对于單個數據包來說足夠小，但為了方便起見，它們也是透過TCP連線傳送的。

TCP重置 #

TCP重置是TCP協議中的一種錯誤處理機制，用於在网络連接出現異常時快速恢復通訊狀態。當TCP連線因某些原因斷開或發生嚴重錯誤（如數據包損壞、超時等）時，傳送方會向接收方傳送一個帶有RST（Reset）標旗位的TCP報文段，指示對方重置該連線。

TCP重置機制的設計初衷是快速清理無效連線，確保網路資源不被無謂地占用。然而，在實際應用中，由於配置不當、惡意攻擊或協議漏洞等原因，TCP重置可能會引發嚴重的安全問題和性能隱患。 按照最初的设计，這是一種有用的工具。常見的應用是在建立TCP連線時電腦（電腦A）發生崩潰的情況。另一端的電腦（電腦B）仍會持續傳送TCP數據包，因為它不知道電腦A已崩潰。重新啟動電腦A後，它將從舊的崩潰前連線接收數據包。電腦A沒有這些數據包的上下文，也無法知道如何處理這些數據包，因此它可以向電腦B傳送TCP重置。此重置使電腦B知道該連線不再有效。電腦B上的用戶現在可以嘗試其他連線或採取其他措施。

伪造TCP重置 #

在上述情況下，TCP重置是由作為連線端點之一的電腦發送的。但操作中，第三台電腦可以監視連線上的TCP數據包，然後將包含TCP重置的“偽造”數據包送到一個或兩個端點。偽造數據包中的標頭必須誤導地表明它來自端點，而不是偽造者。這些信息包括端點IP地址和端口号。IP和TCP封包標頭中的每個欄位都必須設置為令人信服的偽造值，以便進行偽重置，以欺騙端點關閉TCP連接。正確格式化的偽造TCP重置可能是中斷偽造者可以監視的任何TCP連接的非常有效的方法。

TCP重置是如何產生的 #

TCP重設（RST）是一種用於終止TCP連接或拒絕異常連接請求的機制。在正常的TCP通訊過程中，雙方會通過三次握手建立連接，並通過四次揮手完成連接的关闭。然而，在某些情況下，網路中的主機會發送一個帶有RST標誌位的TCP包，這將導致當前連接被重設。 以下是導致TCP重設的一些主要原因：

1.異常終止連接 #

• 在正常的通訊過程中有時候，如果一方突然斷電、崩潰或因其他原因無法繼續維持連接，它會發送一個RST包來通知另一方終止連接。這種情況下，RST包是合法的，用於清理異常狀態。

2.網路配置錯誤 #

• 在網路設備（如路由器、防火牆）的配置過程中，如果規則設置不當，可能會導致某些合法的TCP流量被錯誤地標記為非法，並觸發RST重設。例如，一些ACL（訪問控制列表）或NAT（網絡地址轉換）配置錯誤可能导致連接被意外終止。

3.中間設備干擾 #

• 在複雜的網路環境中，某些中間設備（如防火牆、負載均衡器）可能會因為處理不當而發送RST包。特別是在處理畸形的TCP包（如重組失敗的数据包）時，這些設備可能會認為連接處於異常狀態，並主動發送RST來重設連接。

4.安全威脅 #

• 憤怒攻擊者可以通過發送偽造的RST包啟動拒絕服務（DoS）攻擊或分布式拒絕服務（DDoS）攻擊。透過向目標伺服器發送大量RST包，攻擊者可以阻止合法客戶端與伺服器之間的正常通訊，從而導致服務中斷。

5.協議實現問題 #

• 某些操作系統或應用程序的TCP/IP協定堆疊可能存在漏洞，導致在特定情況下錯誤地發送RST包。例如，某些老版本的操作系統在處理某些異常流量時可能會觸發不必要的RST重設。

6.網路故障 #

• 硬體問題：如交換機、路由器等設備的物理損壞或配置錯誤。
• 帶寬限制：高流量需求可能导致網絡擁塞，進而引發TCP重設。

7.安全攻擊 #

• SYN Flood攻擊：攻擊者發送大量偽造的連接請求（SYN包），導致伺服器資源耗盡，無法正常回應有效的連接請求。
• 憤怒RST包：黑客通過向目標設備發送RST段來干擾正常的通訊過程。

8.應用程式錯誤 #

• 超時問題：應用程沒有正確處理TCP的重傳機制，導致长时间等待無回應的数据包被自動放棄並發送RST。
• 資源耗盡：例如記憶體洩漏、線程挂起等情況下，應用程式無法正常工作，從而觸發TCP重設。

9.作業系統配置 #

• 防火牆規則設定不當：錯誤的防火牆規則可能导致合法的数据包被誤判為恶意攻擊並阻止其傳輸。
• 網絡介面問題：如網卡驅動程式故障或不兼容等導致的问题。

TCP重置帶來的危害與影響 #

在2016年，由Mirai僵尸網路發起的大規模DDoS攻擊中，攻擊者通过感染大量物聯網設備（如攝像頭、路由器）向目標服務器发送了海量的RST包和其他畸形數據包。這種攻擊不僅導致目標服務器因過載而崩潰，還引發了全球範圍內的インターネット服務中斷。

前言 #

在現代互聯網體系中，域名系統（Domain Name System, DNS）是連接用戶與網站的关键基礎設施，扮演著至关重要的角色。簡單來說，DNS就像是インターネット上的“地址簿”，將人類容易記憶的域名（如www.example.com）轉換為計算機能夠理解的IP地址（如192.168.1.1）。然而，這種看似基礎的功能卻潛藏著一個嚴重的安全隱患。在某些情況下，DNS伺服器可能會被惡意操縱或竄改，導致用戶的查詢結果受到干擾，这种現象被稱為DNS汙染。

DNS的基本原理 #

在了解DNS汙染之前，首先需要明確DNS的工作機制：

• 域名解析過程 ：當用戶輸入網址（例如www.example.com）時，瀏覽器會向本地的DNS快取伺服器發起請求。如果該地址已被快取在本地伺服器上，則直接使用；否則，DNS客戶端將請求傳送至根域名伺服器。
• 分層查找機制 ：根域名伺服器負責指向顶级域名伺服器（如.COM、.NET等）。這些顶级域名伺服器進一步指向權威域名伺服器，最終由權威域名伺服器提供準確的IP地址。
• DNS解析 ：DNS伺服器負責將域名轉換為對應的IP地址，并將結果回傳給用戶的設備。
• 建立連線 ：一旦獲得正確的IP地址，用戶的設備就可以與目標網站建立連線並進行通訊。 在正常情況下，這個過程是快速且安全的。然而，當DNS汙染發生時，惡意行為者會竄改或伪造 DNS 記錄，導致用戶被導向錯誤的目的地。

什麼是DNS汙染？ #

DNS汙染是指透過操縱或偽造 DNS 紀錄，讓用戶在嘗試存取某個合法域名時，被導向錯誤的IP地址。這些錯誤的IP地址通常指向惡意網站、廣告頁面或完全無用的資源。這種攻擊不僅會影響用戶上網的體驗，還可能帶來嚴重的安全風險。

常見的DNS汙染手段 #

1.DNS騙局（Spoofing） #

- 攻擊者喬裝為合法 DNS 伺服器，向用戶的設備傳送虛假的DNS回應。
- 這種手段也稱為全體DNS汙染。在某些情況下，網路營運商或ISP可能會更動所有用戶的DNS設定，從而將用戶導向特定的網站。
- 例如，當用戶嘗試存取“www.example.com”時，攻擊者會回傳一個指向惡意網站的IP地址。

2.DNS篡改（Tampering） #

- 攻擊者直接修改合法的DNS紀錄，使其指向惡意伺服器。
- 這種方法通常需要對DNS伺服器進行未授權的更改，常見於未受保護的企业網路或公共DNS服務中。

3.缓存汙染（Cache Poisoning） #

- 攻擊者透過向DNS遞歸解析器傳送虛假回應，將惡意IP地址儲存到解析器的缓存中。
- 一旦緩存被汙染，所有使用該解析器的用戶都會受到影響，直到緩存過期。
- 這種是最常見的形式。當一個惡意DNS伺服器將偽造的IP地址注入到本地DNS缓存中時，會導致該缓存數據被錯誤地更新。

4.中間人攻擊（MITM） #

- 攻擊者通過攔截並篡改通信過程中DNS請求與回應報文來實現汙染的目的。

DNS汙染的危害 #

1.網絡安全風險 #

- 黑客可以通過修改DNS紀錄，引導用戶訪問偽造的惡意網站，進行魚叉式攻擊、傳播病毒等行為。
- 用户可能誤入惡意網站，導致個人資訊泄露、賬戶被盜等嚴重後果。
- 恶意網站可能會散播病毒、木馬或其他恶意軟件，進一步危害用戶的設備和數據安全。

2.隱私洩露 #

- 恶意網站可能收集用戶資訊，用於非法目的。

3.政治與社會影響 #

- 在某些國家或地區，通過DNS汙染可以實現網絡審查、言論控制等。

4.用户体验下降 #

- DNS汙染會導致用戶無法正常訪問目標網站，甚至被重定向到完全無關的頁面。
- 如用戶試圖訪問銀行官網時被引導至假設登錄頁面，不僅浪費時間，還可能造成經濟損失。

5.信任危機 #

- 如果DNS汙染事件頻發，用戶對互聯網的信任度下降，影響整體網絡環境的安全性和穩定性。
- 企業可能會因為被錯誤指向而失去客戶信任，導致合法業務受损。

如何應對DNS汙染 #

1.使用加密的DNS協議： #

• 部署支持 DNS over HTTPS（DoH）或 DNS over TLS（DoT）等加密協議的DNS服務。
• 這些協議可以確保DNS查詢在傳輸過程中被加密，防止中間人攻擊。

2.選擇可靠的DNS服務提供商： #

• 使用知名且信誉良好的公共DNS服務
  • Google Public DNS（8.8.8.8 和 8.8.4.4）
  • Cloudflare 1.1.1.1
  • OpenDNS (208.67.222.222, 208.67.220.220)
• 這些服務通常會對DNS查詢進行嚴格監控和過濾，降低被汙染的風險。

3.配置本地DNS缓存： #

• 在個人設備上啟用本地DNS缓存功能（如作業系統自带的功能）。
• 通過这种方式，可以減少對外部DNS伺服器的依賴，並降低DNS汙染的影響範圍。

4.企業級防護措施： #

• 對於企業網絡，建議部署專業的DNS安全解決方案，包括實時監控、威脅檢測和響應機制。
• 定期更新DNS記錄，確保所有解析信息準確無誤。

5.提高用戶意識： #

• 教育用戶識別異常的網絡行為，避免點擊可疑鏈接或訪問不明網站。
• 使用多因素認證（MFA）等安全措施，進一步保護帳戶和數據。

6.安裝並更新殺毒軟件 #

• 確保系統和網絡不受惡意軟件的侵擾。

7.定期檢查路由器設置： #

• 確認DNS伺服器地址未被篡改，尤其是新連接或疑似不安全的Wi-Fi網絡中。

8.啟用網絡安全功能： #

• 使用防火牆阻止可疑流量
• 启用反釣魚網站保護

9.提高風險意識： #

• 提高對其他人員對潛在風險的認識。

結論 #

DNS汙染作為互聯網時代的一個隱秘威脅，正在逐步侵蝕著用戶的信任與安全。儘管技術手段在不斷進步，但要徹底解決這個問題仍需要多方共同努力。通過使用加密協議、選擇可靠的DNS服務、配置本地缓存以及提高用戶意識等措施，我們可以有效降低DNS汙染帶來的风险，為更安全的互聯網環境貢獻力量。

前言 #

在全球資訊技術快速發展的今天，網路已成為社會運行的重要基礎設施，而網路安全則是確保网络安全是維持這項基礎設施穩定運作的核心要素。作為在網絡安全領域佔據重要地位的「長城防火牆」，憑藉其強大的技術實力和創新的解決方案，在保障國家信息安全管理方面，實施網路監管的重要手段之一。本文將從技術角度深入了解長城防火牆的功能設計、核心技術以及安全策略，以展現這一網絡安全產品的专业性和可靠性。

全球範圍內的互聯網內容審核機制因國家和地区而異，各國擁有不同的法律框架、文化背景及技術手段來應對互聯網上的信息傳播問題。GFW並非某個國家或地區獨有的特色，每個國家在网络內容審核方面採取的力度和手段各有不同，反映了各自的文化、法律與社會價值觀。

簡史 #

隨著互聯網用戶的快速增長及互聯網技術的發展，各國政府逐漸意識到需要加強對信息傳播的管理以維持社會秩序。最初，這種監管主要體現在對有害信息的屏蔽上，如色情、賭博等非法內容的禁令。然而，到了20世紀末及進入21世紀後，隨著網路用戶數量激增，以及互聯網市場開放程度日益提高，GFW的功能也逐漸從單純的内容過濾轉向了全面的技术層面控制。

GFW的形成與演變是一個動態的过程。一開始政府採取一系列技術措施來監控和限制境外互聯網上的危害信息在本國境內傳播。隨著網路應用的發展，尤其是部落格、論壇等互動性強的應用出現，政府加強對互聯網內容的審查力度，并通過封鎖IP地址、域名等方式進行控制。自此，GFW逐漸擴展至多個領域和技术層面，包括但不限於搜索引擎的屏蔽機制、社交平台的信息過濾等。

總體而言，GFW已經成為各國政府實施網路監管的重要手段之一，在保障國家信息安仝的同时，也引發了關於言論自由與互聯網開放性的廣泛討論。儘管其初衷是為了維護國家安全及社會穩定，但在實際執行過程中存在諸多爭議和批評聲音，被認為是當今世界最複雜且規模最大的線上審查機制之一。

現狀 #

2006年，一個致力於促進新聞自由的非政府組織無國界記者發佈了一份清單，其中列出了「互聯網敵人」。該組織認定一個國家屬於「互聯網敵人」的理由不止是它們「審查網路新聞和資訊」，還在於它們幾乎都在「系統性地壓制互聯網用戶」。以下便是他們公布的關於「監視互聯網」的國家/地區清單。

1. 目前的互聯網敵人：

   • 巴林：2012年至今
   • 白俄羅斯：2006年至2008年、2012年至今
   • 中華人民共和國：2008年至今
   • 古巴：2006年至今
   • 埃塞俄比亞：2014年至今
   • 印度：2014年至今
   • 伊朗：2006年至今
   • 朝鮮：2006年至今
   • 巴基斯坦：2014年至今，2020年11月巴基斯坦總理更是授予巴基斯坦電信管理局刪除和屏蔽對政府不利內容的權力
   • 俄羅斯：2014年至今
   • 沙特阿拉伯：2006年至今
   • 苏丹：2014年至今
   • 叙利亞：2006年至今
   • 土庫曼斯坦：2006年至今
   • 阿聯酋：2014年至今
   • 英國：2014年至今
   • 美國：2014年至今
   • 烏茲別克斯坦：2006年至今
   • 越南：2006年至今

2. 过去的互聯網敵人：

   • 埃及：2006年至2010年（現在置於監視互聯網的國家/地區清單中）
   • 缅甸：2006年至2013年
   • 突尼斯：2006年至2010年（現在置於監視互聯網的國家/地區清單中）

3. 目前對互聯網進行監控的國家/地區：

   • 澳大利亞：2009年至今
   • 埃及：2011年至今
   • 厄立特里亚：2008年至2009年、2011年至今
   • 法国：2011年至今
   • 哈萨克斯坦：2008年至今
   • 马来西亚：2008-2009, 2011年至現在
   • 南韓：2009年至今
   • 斯里兰卡：2008-2009，2011年至今
   • 泰国：2008年至現在
   • 突尼斯：2011年至現在
   • 土耳其：2010年至今
   • 挪威：自2020年起（僅挪威邊界的元数据被監控）

4. 过去對互聯網進行監控的國家/地區：

   • 巴林：2008年至2009年、2011年（現今的互聯網敵人）
   • 白俄羅斯：2009年至2011年（現今的互聯網敵人）
   • 印度：2008年至2013年（現今的互聯網敵人）
   • 约旦：2008年
   • 利比亚：2008年、2011年
   • 俄罗斯：2010年至2013年（現今的互聯網敵人）
   • 塔吉克斯坦：2008年
   • 阿联酋：2008年至2013年（現今的互聯網敵人）
   • 委內瑞拉：2011年
   • 也门：2008年至2009年

2006年初版的互聯網敵人名單列出了13個國家/地區。在2006年至2012年期間，其先降到10個，再增加至12個。它在2013年沒有更新。2014年的名單則開始把互聯網監控和審查兩者一起考慮，使之增加到19個。2014年以後它就沒有再更新。

2008年初版的「對互聯網進行監控的國家/地區」列出了10個國家/地區。在2006年至2012年期間，其先增加至16個，再降到11個。2020年則於名單中新增了挪威，使之加到12個。

2013年3月12日，無國界記者推出了《互聯網監控特別報告》（Special report on Internet Surveillance），當中包含了兩個新名單：