IP 封鎖為何會失控：一項應該簡單但往往崩潰的網路防禦

想像你是郵局局長，收到命令要阻止寄送給某個特定地址的所有信件。聽起來很直接——你在系統中記下那個地址，郵差就不會把信送去那裡。但如果那棟建築物裡住著 50 家公司呢？你的封鎖會影響所有人。這個類比接近真實網路中發生的事。今天我們談的是 IP 封鎖——一種看似簡單、實際上經常引發大規模附帶損害的網路防禦手段。


IP 封鎖的基本運作方式

IP 位址是網際網路上的數字地址。當你造訪一個網站，你的電腦會將請求（一種數據包）發送到該網站的 IP 位址。政府或企業可以指示網路設備（通常是路由器或防火牆）丟棄發送至特定 IP 的所有數據包。這就像郵局在地址簿中標記一個地址，然後告訴所有郵差無視發往該地址的信件。

技術上，這是透過存取控制清單（ACL）實現的——基本上是一份「拒絕名單」。路由器在數據到達時檢查其目的地 IP，並決定是否轉發或丟棄。這個過程非常快速，不需要檢查數據內容，只看目的地。


為什麼有人會使用 IP 封鎖

IP 封鎖之所以被採用，是因為在某些情況下它確實有效。如果一個服務運行在它自己的、唯一的 IP 位址上，封鎖該 IP 就會關閉該服務。許多年前，當網站相對稀少時，這種一對一的對應很常見。一個組織有一個網站，一個網站有一個 IP。

一些合法的使用案例確實存在。企業可能會封鎖已知的惡意伺服器 IP，以防止員工的電腦連接到它們。學校可能會限制學生存取不適當內容的伺服器。但政府和審查機構也使用這項技術來阻止人民存取他們認為不受歡迎的線上內容。


IP 封鎖失控的原因：內容交付網路

現在我們到達問題所在。過去 15 年，網路基礎設施的架構發生了重大變化。大型公司——如 Cloudflare、Amazon Web Services（AWS）、Google Cloud——現在運營內容交付網路（CDN）。

CDN 是什麼？想像一個大書籍倉庫，而不是每家出版社都維持自己的倉庫。數千家不同的網站將他們的內容存放在同一個 CDN 的伺服器上。當你要求一個網頁時，你其實是在連接到這個共享的倉庫。這加快了網路速度，也降低了成本。

但這意味著單一 IP 位址經常服務於數百個或數千個完全無關的網站。如果你封鎖該 IP，所有這些網站都會停止工作，即使其中絕大多數對你沒有任何威脅。


IP 封鎖的附帶損害：真實案例

2011 年，巴基斯坦政府試圖封鎖 YouTube。他們獲得了 YouTube 服務所在的 IP 位址，並要求網際網路服務提供商（ISP）封鎖它。看起來直截了當。但 YouTube 在 Google 的全球 CDN 上運行，Google 的 IP 空間同時服務於數千個其他網站、企業服務和應用程式。這次嘗試造成了廣泛的網路故障，許多無關的服務突然無法存取。

類似的事件在多個國家發生過。2016 年，當土耳其政府試圖封鎖維基百科時，他們的方法同樣粗暴。即使在更小的規模上，我們也看過企業誤封鎖 IP 位址，導致意外取消了多個合法服務的存取權限。

這些不是理論上的風險。這些是真實發生且經常重複的事件。


為什麼精確也是困難的

你可能會想：「為什麼不精確封鎖？」答案是技術和現實的複雜性。在 CDN 環境中，很難區分你想阻止的服務和共享同一 IP 的合法服務。網站可以快速改變 IP，可以在多個 IP 上冗餘運行，可以隱藏在代理後面。真正的「外科手術」式的 IP 級別封鎖在現代網路上幾乎是不可能的。


關鍵要點

IP 封鎖之所以失控，不是因為技術本身有缺陷，而是因為網路架構的演進使得該技術變得不適合用途。當網站與 IP 位址一對一對應時，IP 封鎖很乾淨。當數千個網站共享一個 IP 時，任何 IP 級別的操作都成為大錘而不是手術刀。這不是一個可以簡單修復的問題——這反映了一個根本的不匹配。

如果你想深入了解，探索網域名稱系統（DNS）如何作為另一層控制點運作，以及為什麼即使是 DNS 級別的封鎖也有其局限性。瞭解 IP 封鎖也將幫助你理解為什麼單一技術永遠不會完全解決審查或安全問題。