IP 封禁如何失效：互联网审查的意外后果

想象你要寄一封重要信件。邮局说：「我们会拦截所有寄往 123 号街道的邮件。」听起来很直接。但后来你才发现，200 家不同的公司共享同一栋大楼的 123 号街道地址。当邮局开始丢弃寄往那个地址的所有邮件时，医生诊所、餐厅、银行——所有人都收不到信件。这就是 IP 封禁在现代互联网上经常发生的情况。

IP 封禁听起来很简单：政府或网络运营商告诉其路由器不要传递发往某个特定互联网协议地址（IP 地址）的数据包。IP 地址是互联网上计算机的数字标识符，就像你家的邮政地址一样。但现代互联网的结构方式意味着这种看似精准的方法经常造成意想不到的伤害。

首先，让我们理解 IP 地址本身是什么。当你在浏览器中输入 example.com 时，你的计算机会查询一个巨大的分布式电话簿，称为域名系统（DNS）。DNS 告诉你的计算机：「example.com 对应的 IP 地址是 203.0.113.42」。然后你的计算机会将请求发送到该 IP 地址。网络运营商可以配置其路由器，使其拒绝将任何流量发送到特定的 IP 地址——就像邮局决定不向特定地址投递邮件一样。

在早期互联网中，这种方法有一定的逻辑。许多网站各自拥有自己的服务器和独特的 IP 地址。如果一家政府想要阻止某个特定网站，它可以找到该网站的 IP 地址，指示其运营商的路由器丢弃所有发往该地址的数据包，问题解决。这就是为什么许多国家的审查工具首先依赖于 IP 封禁。

内容分发网络改变了一切

但大约 15 年前，互联网架构发生了根本变化。像 Cloudflare 和亚马逊网络服务（AWS）这样的公司建立了内容分发网络（CDN）。CDN 是大规模的服务器网络，分散在世界各地。这些公司向网站所有者提议：「不要维护自己的服务器。我们会为你存储和提供你的内容，从靠近你访问者的位置提供。」

为什么这很有吸引力？如果你在日本，CDN 可以从日本的服务器向你提供内容，而不是从美国向你发送。这更快。CDN 还处理安全威胁、垃圾邮件和其他问题。今天，互联网上的大多数网站都使用 CDN——不仅是大公司，还包括小型新闻网站、博客和社区论坛。

关键问题是：数千个完全不相关的网站共享同一个 CDN 的相同 IP 地址。一个 CDN 的单个 IP 地址可能服务于新闻网站、艺术画廊、学术资源库和政治评论网站——所有这些都可能来自不同的国家和政治背景。

当封禁适得其反时

现在封禁变得复杂。假设一个国家想要阻止特定的反对派新闻网站。它找到该网站的 IP 地址——比如 198.51.100.50，一个 Cloudflare 地址。政府指示网络运营商阻止这个 IP。

但 198.51.100.50 也服务于数千个其他网站。邮局阻止了邮箱，但现在 200 家企业的邮件都收不到了。突然之间，医疗保健网站无法访问。小企业网站下线。学校资源库消失。完全无辜的网站因为与目标网站共享基础设施而被意外禁用。

历史上发生过这种情况。2019 年，新西兰在尝试阻止对恐怖袭击视频的访问时，意外阻止了数十个无关网站。2016 年，俄罗斯在尝试阻止特定服务时，禁用了谷歌的大部分 IP 范围，导致 Gmail、谷歌地图和许多其他服务在该国无法访问数小时。2021 年，乌干达在互联网关闭期间阻止的 IP 地址禁用了数百个合法网站。

为什么这种方法仍在使用

如果 IP 封禁如此低效，为什么各国还在使用？有几个原因。首先，它很便宜——一个网络运营商可以配置一条规则，立即起效。其次，许多决策者不了解现代互联网架构。第三，对于真正关心准确性的国家来说，这个问题可能没那么重要。最后，即使它造成附带伤害，它仍然有效地阻止目标内容——目标网站确实无法访问，即使 200 个无关网站也受到影响。

还有一个技术层面的障碍：IP 封禁很容易被绕过。使用虚拟专用网络（VPN）的用户可以通过不同的 IP 地址重新路由其流量，有效地躲避封禁。这意味着 IP 封禁主要影响不知道或不想使用这些工具的普通用户。

核心问题是互联网的本质与其被治理的方式之间的不匹配。现代网络是一个相互连接的系统，其中数千个独立的实体共享基础设施。试图通过封禁单个 IP 地址来精确定位一个目标，就像试图通过关闭一栋大楼来停止一个特定的对话——你会影响建筑物内的每个人。

理解 IP 封禁失效的方式帮助我们理解更广泛的问题：互联网审查的技术局限性、基础设施的相互依赖性，以及为什么有效的网络政策需要理解技术现实。下次你听到某个国家「封禁」一个网站时，记住可能有数百个无关的网站也陷入了困境。