中國網路防火牆如何運作：從 DNS 到深度封包檢測的技術拆解

想像你在北京，想訪問一家紐約的新聞網站。你在瀏覽器輸入網址，點擊進去。但什麼都沒有發生——頁面永遠在載入，然後超時。你重試。再超時。這不是網路慢，也不是網站故障。介於你和紐約之間的某個地方，有一道牆攔住了你。

這道牆就是中國網路防火牆（Great Firewall of China），世界上最大、最精密的網路審查系統。它不是一堵真正的牆，而是分散在全國網際網路骨幹上的數百個檢查點，協調運作來監視、過濾和阻斷流量。理解它如何運作，不僅能解釋一個國家級的技術現象，還能讓你更深入理解網路的基本運作方式。

域名系統（DNS）投毒——詢問錯誤的電話簿

網際網路上，你不會記得網站的 IP 地址（電腦的實際地址，看起來像 172.217.14.206）。你記得的是名字：google.com。當你輸入這個名字時，你的電腦會向一個域名系統伺服器提問：「google.com 的 IP 地址是什麼？」這個伺服器就像一本電話簿，它查詢並回答。

防火牆會攔截這些查詢。當你的電腦問「google.com 在哪裡？」時，防火牆的伺服器會搶先回答——但用一個假的 IP 地址，或根本不回答。你被導向一個虛假的伺服器，或者請求直接消失。這種技術稱為 DNS 投毒。它簡單而有效，因為幾乎所有網路請求都從 DNS 查詢開始。

IP 阻斷和主動檢測——斬草除根

有時候，防火牆更直接。它維護著被禁止的伺服器 IP 地址的黑名單。當流量嘗試連接到這些地址時，防火牆會丟棄封包——根本不讓它們通過。這稱為 IP 阻斷。

但還有更有趣的：主動探測（active probing）。當防火牆懷疑你在使用代理伺服器（一種繞過審查的工具）時，它會連接到該伺服器，偽裝成一個普通使用者，試圖引發它作出可疑的回應。如果代理伺服器無法識別這種偽裝的探測，就會洩露自己的身份，防火牆隨後會封鎖它。這像是官員假扮旅客，試著從走私者那裡買違禁品——他們承認了，就被逮捕了。

SNI 檢測和 TLS 握手操控——讀取信封上的字

讀到這裡，你可能在想：「那加密呢？如果流量是加密的，防火牆怎麼知道我在訪問什麼網站？」

答案令人沮喪但很聰明。當你的瀏覽器建立安全連接（HTTPS）時，它會進行 TLS 握手——與伺服器交換密鑰的一個過程。但在加密發生之前，你的瀏覽器會發送一個叫做伺服器名稱指示（SNI）的訊息，本質上就是明文說出「我想連接到 google.com」。防火牆會監聽這個訊息。

SNI 檢測讓防火牆知道你在訪問哪個網站，即使連接本身是加密的。想像寄信時，你用密封的信封寄信，但收件人的地址用大字體寫在信封外面——郵局的人仍然能看見。

更進一步，防火牆會操控 TLS 握手本身。如果檢測到受禁網站，它會向你的電腦發送 RST 封包（一種網路信號，意為「重置這個連接」），強行中斷連接。這種 RST 注入非常有效，因為你的電腦會相信連接失敗了，而不是被審查了。

深度封包檢測——檢查每一個郵件的內容

防火牆最強大的工具是深度封包檢測（DPI）。這種技術檢查流經網路的每一個資料封包的實際內容，尋找特定的模式或關鍵字。它可以識別通訊協定的「指紋」——例如，某些代理軟體有獨特的資料格式。當防火牆看到這個指紋時，就知道你在使用代理，並會封鎖你。

DPI 需要大量的計算能力，但大國防火牆有足夠的資源來做到這一點。它實時分析流量，就像一個郵政檢查官打開每一封信，讀懂內容，然後決定是否允許寄出。

什麼東西仍然能逃脫？

防火牆不是完美的。高頻率輪換的混淆代理——那些經常改變身份和加密方式的工具——往往能躲過 DPI。某些較新的協定，比如 REALITY 和 Snowflake 橋接（一種利用合法流量來隱藏禁用內容的技術），設計上就是為了讓深度檢測變得不可行。但這些都是軍備競賽：當防火牆學會識別一種技術時，使用者會開發新技術。

審查的成本和代價

防火牆運作良好的原因是它的多層次方法。DNS 投毒捕捉最容易的案例。IP 阻斷處理已知的目標。DPI 和 SNI 檢測針對試圖躲避的使用者。沒有一種技術是完美的，但組合使用時，它們形成一道難以穿過的防線。

這個系統也有真實的成本。它不僅影響禁用的網站，還影響網路的整體性能和可靠性。混合的信號和操控的連接會使網路變慢。國家必須投入大量資源來維護它。

理解防火牆如何運作，能幫助你理解互聯網不是自由且自動抗審查的。它的開放性取決於誰控制基礎設施。同時，這也說明為什麼對抗審查的技術會不斷進化——因為檢查和迴避是一個持續的過程。

接下來，你可以深入學習 DNS 的工作原理、加密如何實際保護（和不保護）你的隱私，或者為什麼各個國家都在採用類似的審查技術。