網站遭封鎖的技術方法：DNS過濾、IP阻擋、深度檢測等解析

想象你寄一封信到朋友家，郵局在分揀時看到地址，決定丟棄它。或是信件到達了，但被打開檢查內容後被沒收。又或是通往那個地址的所有道路都被封閉。網站遭封鎖的方式就像這些郵件審查的例子——政府和網路服務供應商使用不同層級的技術，在不同的「郵件處理點」攔截資訊。本文帶你了解這些技術如何運作，它們的成本是什麼，以及為什麼有些方法比其他方法更容易被繞過。

DNS過濾：在查詢電話簿時被攔截

DNS（Domain Name System）就像網路的電話簿。當你在瀏覽器輸入網址（比如example.com），你的電腦會向DNS伺服器詢問：「example.com的IP位址是多少？」IP位址是一串數字，用來識別網際網路上的真實位置。DNS過濾就是攔截這個查詢過程。政府要求當地網路服務供應商修改DNS伺服器的回應，使其對被封鎖網站的查詢返回錯誤的IP位址，或根本不回應。

這個方法很便宜且容易實施——只需要修改幾台伺服器的設定。但它的弱點也很明顯：使用者可以改用其他DNS伺服器（例如由其他國家營運的公開DNS）。這就像郵局管制了當地的電話簿，但你可以查詢其他來源的電話簿一樣。大多數一般使用者不知道可以改變DNS設定，但任何懂網路的人都能輕易繞過。

IP阻擋：在郵件寄出前就拒收

IP阻擋直接針對被封鎖網站的IP位址。當你的電腦嘗試與某個IP位址通訊時，網路會根本拒絕連線。這通常發生在網際網路交換點（Internet Exchange Points）或主幹線路上，由網路供應商或政府機關的防火牆執行。

實施這個方法需要更多的技術基礎設施。網路必須檢查每個封包（packet）的目的地IP位址，並決定是否允許通過。成本不算太高，但如果被封鎖網站與許多合法網站共用同一個IP位址，過濾會導致合法網站也無法使用。這就是為什麼精確的IP阻擋很難執行：單一IP上可能託管數百個網站。繞過方法包括使用代理伺服器或改用IPv6位址（一個較新的網際網路協議），而許多防火牆還沒有針對IPv6進行完整的過濾。

SNI檢測：閱讀信封上的名字

SNI（Server Name Indication）是HTTPS連線的一部分。當你使用安全連線造訪網站時，即使通訊內容本身被加密，你仍然必須告訴伺服器你想造訪哪個網站的名稱。政府和網路供應商可以檢查SNI資訊，而不需要解密連線內容。

這個方法的優勢是它相對容易實施，成本中等。它不需要破解加密，只是讀取通常是未加密的握手過程中的資訊。缺點是，即使被封鎖網站與數百個其他網站共享同一個IP位址，SNI檢測也能針對特定網站。然而，這個方法最近開始被新技術（如ESNI和TLS 1.3的改進版本）所削弱，這些技術會加密SNI資訊本身。繞過方法包括使用VPN或造訪位於不同IP的代理。

深度封包檢測：打開信件讀內容

深度封包檢測（DPI）檢查通過網路傳輸的資料內容，尋找特定的模式或關鍵字，而不只是查看IP位址或網域名稱。這個方法需要大量的計算能力，因為系統必須檢查每個封包的實際內容。它可以識別即使連接到代理伺服器的活動，因為系統識別的是通訊的實際內容，而非目的地。

實施DPI的成本相當高——需要強大的伺服器和複雜的軟體。少數大型網路（通常在資金充足的國家）使用DPI。這個方法也很難完全保護隱私，因為它要求檢查加密通訊。某些國家已要求或禁止使用端對端加密來應對DPI。繞過方法主要依靠加密——如果所有通訊都被充分加密，DPI變成有效。

BGP攔截和網路層面的干預：切斷所有道路

BGP（Border Gateway Protocol）是網際網路的路由系統。一些國家攔截了BGP公告，使得進入其領土的流量實際上無法到達某些IP位址。這個方法在網際網路的核心層運作，成本非常高，但也極其有效——它甚至能阻擋使用了VPN的使用者，因為它完全切斷了到該IP位址的路由。

只有擁有大量網際網路基礎設施的國家才能執行這種攔截。繞過方法很有限——通常只能使用託管在被允許國家的伺服器。

節流和完全關閉：降速和開關

某些政府不是直接封鎖網站，而是故意減慢連線速度（節流），使某些服務無法實際使用。這個方法很難技術上驗證，但對使用者的影響相同。最終手段是完全關閉網際網路或特定區域的網際網路，這在政治動盪時期時有發生。實施這個方法的成本最低（只需切斷電源或下令所有供應商停止服務），但政治成本很高。

每個國家使用的方法各不相同：某些國家主要依賴DNS過濾和IP阻擋（相對便宜且不容易被發現），而其他國家投資了DPI和BGP層面的控制。了解這些方法如何運作，能幫助你理解網路審查的技術本質——它不是黑魔法，而是工程決策。