墙中之墙:中国地区性审查的兴起

墙中之墙:中国地区性审查的兴起

https://gfw.report/publications/sp25/zh/

图10:GFW 和河南防火墙曾封锁的累积域名的维恩图。我们在 2023 年 12 月 26 日至 2025 年 3 月 31 日期间(其中 2024 年 3 月 5 日至 10 月 7 日没有测量)每周测试 2.27 亿个域名。河南封锁列表的大小是 GFW 封锁列表的五倍多。

对被封锁域名进行分类。 我们使用了 whoisxmlapi.com [74] 网站分类服务,对 2023 年 11 月 21 日至 2024 年 1 月 15 日期间获取的每个防火墙的封锁列表进行了分类。我们承认并非所有域名都能被分类,因为有些域名不活跃或不托管内容。表7 显示了每个防火墙审查域名的前十个类别。

表7:河南防火墙和 GFW 在 Tranco 前一百万域名中封锁域名的主要类别。未进入各防火墙前十名的类别标记为“–”。

类别

河南

GFW

数量 比例 (%) 数量 比例 (%) 商业 4861 26.9 1183 15.3 计算机 2517 13.9 642 8.3 色情 2394 13.2 2207 28.6 赌博 1276 7.1 – – 社会 1265 7.0 459 5.9 购物 1261 7.0 288 3.7 旅游 1230 6.8 – – 娱乐 1134 6.3 548 7.1 教育 1104 6.1 – – 未分类 1057 5.8 395 5.1 新闻 – – 1378 17.9 个人网站 – – 313 4.1 流媒体 – – 305 4.0

我们在此注意到的一个有趣的点是,河南防火墙比 GFW 更倾向于针对商业、经济、计算机和互联网信息领域的域名。河南防火墙封锁列表上出现的总域名中,超过 35% 来自这两个类别。为了找出关注这些类别的原因,我们假设河南省一直是许多金融争议的中心,其中最突出的是 2022 年因涉及当地贷款机构的金融丑闻而引发的大规模抗议活动[75]。鉴于针对国家控制的金融机构的金融丑闻,该省很可能希望限制对其经济相关信息的访问。另一方面,这可能是审查批评该国商业和经济政策的国家政策的一部分。

另一方面,GFW 则更多地针对新闻和媒体以及成人内容域名。这与长期以来对 GFW 的理解一致,即其旨在更多地限制新闻、道德敏感和政治敏感内容。

另一种观察各个防火墙如何配置过滤规则的方法是推断可能用于封锁列表匹配的正则表达式。正如 Anonymous 等人 [22 §6] 和 Hoang 等人 [3 §4.1] 在他们对 GFW 的 DNS 审查研究中指出的那样,GFW 使用可能针对二级域名、顶级域名和/或子域名的规则来封锁域名。他们开发了一种方法来涵盖 GFW 应用的封锁规则。我们使用了基于表8中列出的排列组合的类似方法,来推断河南防火墙和 GFW 的封锁规则。我们注意到,我们推断的正则表达式可能无法完全反映审查者使用的规则,因为我们的排列组合可能会遗漏基于二级域名的正则表达式或更复杂的正则表达式,例如我们观察到河南防火墙封锁的 *.gov*。尽管如此,我们推断的规则使我们能够识别河南防火墙封锁列表与 GFW 相比的结构性差异。

表8:用于测试河南防火墙和 GFW 封锁规则的排列组合。占位符 {str} 代表单独或与其他字符串组合时不应触发审查的字符串。在这项工作中,我们使用了字符串 ZZZZ。

测试 模式 测试 模式 测试 0 {str}domain{str} 测试 5 {str}domain 测试 1 domain 测试 6 {str}.domain.{str} 测试 2 domain.{str} 测试 7 {str}.domain{str} 测试 3 domain{str} 测试 8 {str}domain.{str} 测试 4 {str}.domain

表8所示,我们为在每日测量实验(第5节)中识别出的每个被审查域名,通过在域名前面和/或后面添加一个固定字符串,生成了九种排列组合。这种方法曾被 Anonymous 等人 [22 §6] 于 2014 年和 Hoang 等人 [3 §4.1] 于 2021 年使用。在这项工作中,我们选择了模式字符串 ZZZZ 来构造每种排列组合。然后,我们独立地向我们的水槽服务器发送包含每种排列组合作为 SNI 的 ClientHello 消息,并记录了每次测试的结果。在我们的测量期间,该实验每天进行四次。

表9所示,河南防火墙和 GFW 使用的最流行的封锁正则表达式模式是 ^(.*\.)?keyword$。此模式旨在用于封锁域名及其子域名。GFW 使用的第二种最流行的封锁正则表达式模式是 ^keyword$,仅用于封锁域名本身,而不封锁其子域名。GFW 使用的第三种最流行的封锁正则表达式模式是 ^(.*\.)?keyword,这很可能是在正则表达式模式中未包含结束锚点的错误。有趣的是,与 GFW 有时采用没有结束锚点的正则表达式模式不同,河南防火墙总是在其正则表达式模式中包含结束锚点。这一结果可能是由于封锁列表维护得更仔细、更一致,或者可能是审查软件本身强制使用以结束锚点结尾的正则表达式模式,以防止人为错误。

表9:我们推断了 GFW 和河南防火墙采用的封锁规则的等效正则表达式。GFW 和河南防火墙分别采用了 24 种和 5 种正则表达式模式。该表仅显示了 GFW 使用超过十次的正则表达式模式。

推断的正则表达式 命中的测试

规则数量 (比例)

GFW

河南

^(.*\.)?keyword$ 1&4 163,355 85% 248,770 64% ^keyword$ 1 17,764 9.3% 3 0.0% ^(.*\.)?keyword 1–4&6&7 7,272 3.8% – – keyword$ 1&4&5 2,483 1.3% 139,575 36% keyword 0–8 647 0.3% – – \.keyword$ 4 429 0.2% 4 0.0% ^keyword 1&2&3 36 0.0% – –

基于我们在第4.3节中发现的解析逻辑缺陷,以及在第4.4节中观察到的注入行为和指纹,我们介绍了一些简单但有效的策略来绕过河南防火墙。所有策略都只需要客户端进行更改,无需服务器端配合,因此易于采用和实施。这些策略已被各种流行的规避工具实现,包括但不限于 Xray [76]、GoodbyeDPI [77] 和 Shadowrocket [78]。

启用任意 TCP 选项字段。 如第4.3节所述,河南防火墙只能解析和封锁 TCP 头部长度为 20 字节的数据包。在操作系统上启用任何 TCP 选项都会导致 TCP 头部长度超过 20 字节。虽然这种规避方案依赖于河南防火墙不寻常的实现方式,但用户或规避工具可以轻松利用这一特性来规避审查。例如,启用 TCP 时间戳(在某些 Windows 版本上默认禁用)将绕过河南防火墙的封锁 [56, 59]。

丢弃带有特定载荷的 TCP RST 数据包。 如第4.4节所示,河南防火墙注入的 TCP RST 数据包带有一个不寻常的 10 字节载荷 0102 03 04 05 06 07 08 09 00 。其独特性使得客户端可以只丢弃由河南防火墙伪造的 RST 数据包,同时保留服务器发送的真实的 RST 数据包。通常情况下,仅丢弃发送给客户端的 TCP RST 数据包不足以规避 GFW 的 TCP RST 审查,因为 GFW 也会向服务器注入 RST 数据包。然而,正如第4.4节所解释的,河南防火墙仅向客户端注入 RST 数据包,因此丢弃发送给客户端的 RST 数据包足以规避审查。这种规避策略可以通过 iptables 规则轻松实现,类似于 Clayton 等人 [6 §5] 介绍的方法。

将 TLS ClientHello 分割或分片到多个数据包中。 如第4.3节所解释的,河南防火墙不执行 TCP 重组,河南防火墙和 GFW 都不执行 TLS 重组 [65]。因此,客户端可以通过将 TCP 数据包分割或将 TLS ClientHello 消息分片到多个 TLS 记录中来规避河南防火墙 [65]。

审查测量研究,特别是在威权政权下,需要在整个研究过程中进行仔细的伦理考量并对潜在的风险进行持续评估。在这项工作中,我们所有的审查测量都是在我们控制的机器上进行的,网络流量由我们的程序自动生成。这是审查测量研究中的一种常见做法,旨在减轻对互联网上其他主机的负担并避免给互联网用户带来风险 [3, 4, 9, 14, 15]。在分析大学网络上的真实世界流量时,我们仅收集了数据包的 TCP 头部长度字段,没有捕获任何可识别个人身份的信息或其他敏感信息。由于本研究不涉及人类受试者,因此 IRB 批准不适用,我们遵循了《门洛报告》(Menlo Report) [81] 中概述的伦理指南。我们的研究团队还咨询了对中国审查制度及其法律问题有深入了解的专家。下面,我们讨论了我们识别出的潜在风险以及为减少这些风险所采取的措施 [81 §C.3.2]。

流量分析。 为了评估河南防火墙的有效性,我们测量了大学网络上所有 TCP 数据包的 TCP 头部长度字段。我们获得大学隐私和安全办公室的批准以使用这一网络数据。我们还与具有管理类似项目经验的校园网络和安全团队密切合作。这种批准和合作确保我们遵循了标准的安全程序,遵守了网络使用政策,尊重了用户隐私,并最小化了网络的攻击面。此外,我们将用于网络分析的服务器设计为仅接收流量镜像,以确保即使在我们的系统故障时也不会对网络用户的数据产生影响。

我们设计实验以避免收集任何可能与个人关联的潜在敏感信息,例如 IP 地址。具体来说,我们仅以聚合方式收集了所有 TCP 头部中的 4 位数据偏移字段。我们从未手动检查或记录任何原始流量数据。我们奉行最小权限原则,仅将对网络流量分析服务器的访问权限授权给我们团队中一部分的成员。

测量点。 在受审查区域内获取测量点已变得越来越具有挑战性。然而,我们旨在回答的两个关键研究问题需要在中国境内实现多样化的测量点覆盖:1)河南防火墙是否也部署在中国的其他省份?2)其他省份是否也部署了自己的地区性审查设备?我们格外小心地在尽可能寻找多样化的测量点与可能带来的潜在风险之间寻求平衡 [81 §C.3.2]。例如,虽然使用住宅测量点可以让我们从中国更多的网络位置观察到审查情况,但考虑到这样做可能给不知情的用户带来风险 [61],我们决定不使用它们。

我们还探讨了从省外或中国境外远程测量河南防火墙的可能性,这将进一步降低从该区域内部发起连接的风险;然而,正如第4.2节所述,这种方式无法触发河南防火墙。

因此,我们遵循先前工作 [14, 15] 中概述的基本原理和常见做法,策略性地选择了由大型商业云提供商提供的测量点,以减轻针对个人的潜在法律风险。我们使用我们团队中一位既非中国公民也不居住在中国的研究人员的准确身份和联系信息注册了我们的 VPS 账户。在整个研究过程中,我们没有收到来自提供商的任何投诉。为了避免我们的机器导致其他云用户的资源被审查者封锁的可能性,我们为每台机器分配了单独的 IP 地址。


探测速率与设计。为了避免给我们的测量点和探测经过的网络带来过载,我们限制发送到水槽服务器的传输速率。对于 第 3 节第 4 节 中的实验,我们将探测速率限制为每秒最多一次连接;对于 第 5 节 中的实验,我们对每个客户端设置了最高 1 Mbps 的流量上限。虽然我们的探测被审查方记录的风险和潜在危害很小,但我们在实验设计中也考虑了合理否认性(plausible deniability)。也就是说,由于我们的水槽服务器从未回复任何 ServerHello 消息或 HTTP 响应,且未曾建立完整的 TLS 或 HTTP 连接,因此我们的测量行为并不类似用户访问被审查网站时的情形。

在本文中,我们揭示并记录了中国互联网审查策略中一个令人警惕的迹象:我们对中国七个不同城市和省份的测量表明河南省存在一个全新的地区性防火墙。这个河南防火墙对离开该省的流量实施基于 HTTP Host 和 TLS SNI 的审查。与 GFW 相比,它展现出独特的特征,包括独特的数据包注入行为和指纹、不同的连接追踪、解析和封锁逻辑、一个一度比GFW大十倍且更动态的封锁列表,以及更靠近客户端的网络位置。这种本地化的审查表明中国可能正在偏离其集中化的审查体系,允许地方当局在各自区域内施加更大程度的控制。我们提出了一些简单但有效的规避技术来绕过河南的审查系统,这些技术已被各种流行的规避工具所整合。我们希望我们的研究能向更广泛的审查研究社区发出警报,使其意识到并进一步研究中国及其他地区新兴的地区性审查。

为了鼓励未来的研究并促进透明度和可复现性,我们公开了代码、匿名化的数据以及持续更新的封锁列表。为了提高可访问性,本文还提供了中英双语的 HTML 网页版本。项目主页位于: https://gfw.report/publications/sp25/en

我们感谢我们的牧羊人和其他匿名审稿人提出的宝贵意见和反馈。我们也感谢勇敢的中国用户们立即报告并积极研究封锁事件,包括但不限于 5e2t、Hsukqi、ThEWiZaRd0fBsoD、louiesun 和 lemon99ee。我们感谢 ValdikSS、radioactiveAHM、RPRX、Fangliding、GFW-knocker、sambali9、rrouzbeh、nekohasekai、znlihk、V2Ray 开发者、Hysteria 开发者、Shadowrocket 开发者以及许多其他开发者提供的有益讨论,并/或将 TCP 分割和/或 TLS 分片功能集成到他们各自的翻墙工具中。我们还要感谢 Jackson Sippe、Jade Sheffey、Paul Flammarion、斯坦福实证安全研究小组、斯坦福大学安全和网络团队以及许多其他希望保持匿名的个人提供的有益讨论和支持。我们感谢 Net4People BBS、NTC Party 论坛、Xray 社区、V2Ray 社区和 sing-box 社区为审查讨论提供了在线空间。我们感谢 David Fifield 在整个项目过程中提供的反馈、支持与指导。

这项工作部分得到了美国国家科学基金会(NSF)的资助,项目编号为 CNS-2145783、CNS-2319080 和 CNS-2333965,部分得到了斯隆研究奖学金以及美国国防高级研究计划局(DARPA)的青年教师奖计划(项目编号 DARPA-RA-21-03-09-YFA9-FP-003)的支持。文中所表达的观点、意见和/或发现仅代表作者本人,不应被解读为代表美国国防部或美国政府的官方观点或政策。

  1. H. Duan, N. Weaver, Z. Zhao, M. Hu, J. Liang, J. Jiang, K. Li, and V. Paxson, “Hold-On: Protecting against on-path DNS poisoning,” in Securing and Trusting Internet Names. National Physical Laboratory, 2012. [Online]. Available: https://www.icir.org/vern/papers/hold-on.satin12.pdf
  2. Z. Chai, A. Ghafari, and A. Houmansadr, “On the importance of encrypted-SNI (ESNI) to censorship circumvention,” in Free and Open Communications on the Internet. USENIX, 2019. [Online]. Available: https://www.usenix.org/system/files/foci19-paper_chai_update.pdf
  3. N. P. Hoang, A. A. Niaki, J. Dalek, J. Knockel, P. Lin, B. Marczak, M. Crete-Nishihata, P. Gill, and M. Polychronakis, “How great is the Great Firewall? Measuring China’s DNS censorship,” in USENIX Security Symposium. USENIX, 2021. [Online]. Available: https://www.usenix.org/system/files/sec21-hoang.pdf
  4. Anonymous, A. A. Niaki, N. P. Hoang, P. Gill, and A. Houmansadr, “Triplet censors: Demystifying Great Firewall’s DNS censorship behavior,” in Free and Open Communications on the Internet. USENIX, 2020. [Online]. Available: https://www.usenix.org/system/files/foci20-paper-anonymous_0.pdf
  5. S. Fan, J. Sippe, S. San, J. Sheffey, D. Fifield, A. Houmansadr, E. Wedwards, and E. Wustrow, “Wallbleed: A memory disclosure vulnerability in the Great Firewall of China,” in Network and Distributed System Security. The Internet Society, 2025. [Online]. Available: https://gfw.report/publications/ndss25/data/paper/wallbleed.pdf
  6. R. Clayton, S. J. Murdoch, and R. N. M. Watson, “Ignoring the Great Firewall of China,” in Privacy Enhancing Technologies. Springer, 2006, pp. 20–35. [Online]. Available: https://www.cl.cam.ac.uk/~rnc1/ignoring.pdf
  7. Z. Wang, Y. Cao, Z. Qian, C. Song, and S. V. Krishnamurthy, “Your state is not mine: A closer look at evading stateful Internet censorship,” in Internet Measurement Conference. ACM, 2017. [Online]. Available: https://www.cs.ucr.edu/~krish/imc17.pdf
  8. R. Rambert, Z. Weinberg, D. Barradas, and N. Christin, “Chinese wall or Swiss cheese? keyword filtering in the Great Firewall of China,” in WWW. ACM, 2021. [Online]. Available: https://censorbib.nymity.ch/pdf/Rambert2021a.pdf
  9. N. P. Hoang, J. Dalek, M. Crete-Nishihata, N. Christin, V. Yegneswaran, M. Polychronakis, and N. Feamster, “GFWeb: Measuring the Great Firewall’s Web censorship at scale,” in USENIX Security Symposium. USENIX, 2024. [Online]. Available: https://www.usenix.org/system/files/sec24fall-prepub-310-hoang.pdf
  10. K. Bock, iyouport, Anonymous, L.-H. Merino, D. Fifield, A. Houmansadr, and D. Levin. (2020, Aug.) Exposing and circumventing China’s censorship of ESNI. [Online]. Available: https://github.com/net4people/bbs/issues/43#issuecomment-673322409
  11. K. Bock, G. Naval, K. Reese, and D. Levin, “Even censors have a backup: Examining China’s double HTTPS censorship middleboxes,” in Free and Open Communications on the Internet. ACM, 2021. [Online]. Available: https://doi.org/10.1145/3473604.3474559
  12. R. Ensafi, D. Fifield, P. Winter, N. Feamster, N. Weaver, and V. Paxson, “Examining how the Great Firewall discovers hidden circumvention servers,” in Internet Measurement Conference. ACM, 2015. [Online]. Available: https://conferences2.sigcomm.org/imc/2015/papers/p445.pdf
  13. A. Dunna, C. O’Brien, and P. Gill, “Analyzing China’s blocking of unpublished Tor bridges,” in Free and Open Communications on the Internet. USENIX, 2018. [Online]. Available: https://www.usenix.org/system/files/conference/foci18/foci18-paper-dunna.pdf
  14. Alice, Bob, Carol, J. Beznazwy, and A. Houmansadr, “How China detects and blocks Shadowsocks,” in Internet Measurement Conference. ACM, 2020. [Online]. Available: https://censorbib.nymity.ch/pdf/Alice2020a.pdf
  15. M. Wu, J. Sippe, D. Sivakumar, J. Burg, P. Anderson, X. Wang, K. Bock, A. Houmansadr, D. Levin, and E. Wustrow, “How the Great Firewall of China detects and blocks fully encrypted traffic,” in USENIX Security Symposium. USENIX, 2023. [Online]. Available: https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
  16. Sakamoto and E. Wedwards, “Bleeding wall: A hematologic examination on the Great Firewall,” in Free and Open Communications on the Internet, 2024. [Online]. Available: https://www.petsymposium.org/foci/2024/foci-2024-0002.pdf
  17. X. Xu, Z. M. Mao, and J. A. Halderman, “Internet censorship in China: Where does the filtering occur?” in Passive and Active Measurement Conference. Springer, 2011, pp. 133–142. [Online]. Available: https://web.eecs.umich.edu/~zmao/Papers/china-censorship-pam11.pdf
  18. J. Wright, “Regional variation in Chinese Internet filtering,” University of Oxford, Tech. Rep., 2012. [Online]. Available: https://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID2265775_code1448244.pdf?abstractid=2265775&mirid=3
  19. Anonymous, “Issue 2426 | XTLS/Xray-core,” https://github.com/XTLS/Xray-core/issues/2426, 2023, (Accessed on 02/06/2024).
  20. G. Report. (2022, Oct.) Large scale blocking of TLS-based censorship circumvention tools in China. [Online]. Available: https://github.com/net4people/bbs/issues/129
  21. O. Farnan, A. Darer, and J. Wright, “Poisoning the well – exploring the Great Firewall’s poisoned DNS responses,” in Workshop on Privacy in the Electronic Society. ACM, 2016. [Online]. Available: https://dl.acm.org/authorize?N25517
  22. Anonymous, “Towards a comprehensive picture of the Great Firewall’s DNS censorship,” in Free and Open Communications on the Internet. USENIX, 2014. [Online]. Available: https://www.usenix.org/system/files/conference/foci14/foci14-anonymous.pdf
  23. B. Dong, “A report about national DNS spoofing in China on Sept. 28th,” Dynamic Internet Technology, Inc., Tech. Rep., Oct. 2002. [Online]. Available: https://web.archive.org/web/20021015121616/http://www.dit-inc.us/hj-09-02.html
  24. J. Zittrain and B. G. Edelman, “Internet filtering in China,” IEEE Internet Computing, vol. 7, no. 2, pp. 70–77, Mar. 2003. [Online]. Available: https://nrs.harvard.edu/urn-3:HUL.InstRepos:9696319
  25. G. Lowe, P. Winters, and M. L. Marcus, “The great DNS wall of China,” New York University, Tech. Rep., 2007. [Online]. Available: https://censorbib.nymity.ch/pdf/Lowe2007a.pdf
  26. Anonymous. (2020, Mar.) GFW archaeology: gfw-looking-glass.sh. [Online]. Available: https://github.com/net4people/bbs/issues/25
  27. C. Tang, “In-depth analysis of the Great Firewall of China,” http://www.cs.tufts.edu/comp/116/archive/fall2016/ctang.pdf, 2016.
  28. K. Bock, A. Alaraj, Y. Fax, K. Hurley, E. Wustrow, and D. Levin, “Weaponizing middleboxes for TCP reflected amplification,” in USENIX Security Symposium. USENIX, 2021. [Online]. Available: https://www.usenix.org/system/files/sec21-bock.pdf
  29. Sparks, Neo, Tank, Smith, and Dozer, “The collateral damage of Internet censorship by DNS injection,” SIGCOMM Computer Communication Review, vol. 42, no. 3, pp. 21–27, 2012. [Online]. Available: https://conferences.sigcomm.org/sigcomm/2012/paper/ccr-paper266.pdf
  30. B. Marczak, N. Weaver, J. Dalek, R. Ensafi, D. Fifield, S. McKune, A. Rey, J. Scott-Railton, R. Deibert, and V. Paxson, “An analysis of China’s “Great Cannon”,” in Free and Open Communications on the Internet. USENIX, 2015. [Online]. Available: https://www.usenix.org/system/files/conference/foci15/foci15-paper-marczak.pdf
  31. P. Pearce, B. Jones, F. Li, R. Ensafi, N. Feamster, N. Weaver, and V. Paxson, “Global measurement of DNS manipulation,” in USENIX Security Symposium. USENIX, 2017. [Online]. Available: https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-pearce.pdf
  32. A. Filastò and J. Appelbaum, “OONI: Open observatory of network interference,” in Free and Open Communications on the Internet. USENIX, 2012. [Online]. Available: https://www.usenix.org/system/files/conference/foci12/foci12-final12.pdf
  33. R. S. Raman, P. Shenoy, K. Kohls, and R. Ensafi, “Censored Planet: An Internet-wide, longitudinal censorship observatory,” in Computer and Communications Security. ACM, 2020. [Online]. Available: https://www.ramakrishnansr.com/assets/censoredplanet.pdf
  34. A. A. Niaki, S. Cho, Z. Weinberg, N. P. Hoang, A. Razaghpanah, N. Christin, and P. Gill, “ICLab: A global, longitudinal internet censorship measurement platform,” in Symposium on Security & Privacy. IEEE, 2020. [Online]. Available: https://people.cs.umass.edu/~phillipa/papers/oakland2020.pdf
  35. GreatFire, “GreatFire Analyzer,” https://en.greatfire.org/analyzer, n.d., accessed: 2025-04-18.
  36. GreatFire, “Blocky,” https://blocky.greatfire.org/, accessed: 2025-04-18.
  37. Anonymous and Amonymous. (2022, Oct.) Sharing a modified Shadowsocks as well as our thoughts on the cat-and-mouse game. [Online]. Available: https://github.com/net4people/bbs/issues/136
  38. P. Winter. (2013, Mar.) GFW actively probes obfs2bridges. [Online]. Available: https://bugs.torproject.org/8591
  39. P. Winter and S. Lindskog, “How the Great Firewall of China is blocking Tor,” in Free and Open Communications on the Internet. USENIX, 2012. [Online]. Available: https://www.usenix.org/system/files/conference/foci12/foci12-final2.pdf
  40. T. Wilde. (2012) Knock knock knockin’ on bridges’ doors. [Online]. Available: https://blog.torproject.org/blog/knock-knock-knockin-bridges-doors
  41. Anonymous, Anonymous, Anonymous, D. Fifield, and A. Houmansadr. (2021, Jan.) A practical guide to defend against the GFW’s latest active probing. [Online]. Available: https://github.com/net4people/bbs/issues/58
  42. Anonymous. (2021, Jan.) How to Deploy a Censorship Resistant Shadowsocks-libev Server. [Online]. Available: https://gfw.report/blog/ss_tutorial/en/
  43. S. Frolov, J. Wampler, and E. Wustrow, “Detecting probe-resistant proxies,” in Network and Distributed System Security. The Internet Society, 2020. [Online]. Available: https://www.ndss-symposium.org/wp-content/uploads/2020/02/23087.pdf
  44. S. Frolov and E. Wustrow, “HTTPT: A probe-resistant proxy,” in Free and Open Communications on the Internet. USENIX, 2020. [Online]. Available: https://www.usenix.org/system/files/foci20-paper-frolov.pdf
  45. D. Xue, B. Mixon-Baca, ValdikSS, A. Ablove, B. Kujath, J. R. Crandall, and R. Ensafi, “TSPU: Russia’s decentralized censorship system,” in Internet Measurement Conference. ACM, 2022. [Online]. Available: https://dl.acm.org/doi/pdf/10.1145/3517745.3561461
  46. A. Ortwein, K. Bock, and D. Levin, “Towards a comprehensive understanding of Russian transit censorship,” in Free and Open Communications on the Internet, 2023. [Online]. Available: https://www.petsymposium.org/foci/2023/foci-2023-0012.pdf
  47. R. Ramesh, R. S. Raman, M. Bernhard, V. Ongkowijaya, L. Evdokimov, A. Edmundson, S. Sprecher, M. Ikram, and R. Ensafi, “Decentralized control: A case study of Russia,” in Network and Distributed System Security. The Internet Society, 2020. [Online]. Available: https://www.ndss-symposium.org/wp-content/uploads/2020/02/23098.pdf
  48. T. K. Yadav, A. Sinha, D. Gosain, P. K. Sharma, and S. Chakravarty, “Where the light gets in: Analyzing web censorship mechanisms in India,” in Internet Measurement Conference. ACM, 2018. [Online]. Available: https://delivery.acm.org/10.1145/3280000/3278555/p252-Yadav.pdf
  49. B. Liu, C. Lu, H. Duan, Y. Liu, Z. Li, S. Hao, and M. Yang, “Who is answering my queries: Understanding and characterizing interception of the DNS resolution path,” in USENIX Security Symposium, Aug. 2018. [Online]. Available: https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf
  50. Net4People, “Net4People BBS Issues.” [Online]. Available: https://github.com/net4people/bbs/issues
  51. NTC Community, “NTC Party: “No Thought is a Crime” — Internet Censorship Circumvention Forum.” [Online]. Available: https://ntc.party/
  52. XTLS, “Xray-core Project Issue Tracker.” [Online]. Available: https://github.com/XTLS/Xray-core/issues
  53. V2Fly, “V2Ray Core Project Issue Tracker.” [Online]. Available: https://github.com/v2fly/v2ray-core/issues
  54. SagerNet, “sing-box Project Issue Tracker.” [Online]. Available: https://github.com/SagerNet/sing-box/issues
  55. Hysteria, “Hysteria Proxy Project Issue Tracker.” [Online]. Available: https://github.com/apernet/hysteria/issues
  56. ThEWiZaRd0fBsoD, “在启用 TCP Timestamp(TCP 时间戳)后 GFW 对 obfs4 的审查无效 / After enabling TCP Timestamp, GFW’s censorship of obfs4 is rendered ineffective,” https://github.com/net4people/bbs/issues/442, Jan 2025, (Accessed on April 18, 2025).
  57. ——, “The operators in Henan Province, China, seem to have less stringent censorship regarding IPV6,” https://github.com/net4people/bbs/issues/416, Nov 2024, (Accessed on April 18, 2025).
  58. ghost, ““河南新上的 SNI/HOST 黑名单墙” (GitHub Discussion #3601),” https://github.com/XTLS/Xray-core/discussions/3601#discussioncomment-10293992, Aug 2024, (Accessed on April 18, 2025).
  59. H. Lee, “启用 TCP Timestamps 解决 SNI 阻断,” https://blog.tsinbei.com/archives/1361/, Sep 2023, (Accessed on April 18, 2025).
  60. V. L. Pochat, T. Van Goethem, S. Tajalizadehkhoob, M. Korczyński, and W. Joosen, “Tranco: A research-oriented top sites ranking hardened against manipulation,” in Network and Distributed System Security Symposium 2019, ser. NDSS ’19, 2019.
  61. X. Mi, X. Feng, X. Liao, B. Liu, X. Wang, F. Qian, Z. Li, S. Alrwais, L. Sun, and Y. Liu, “Resident Evil: Understanding residential IP proxy as a dark service,” in 2019 IEEE Symposium on Security and Privacy (SP), 2019, pp. 1185–1201. [Online]. Available: https://ieeexplore.ieee.org/document/8835239
  62. “IP2Location LITE IP address geolocation database.” [Online]. Available: https://www.ip2location.com/database/ip2location
  63. K. Bock, G. Hughey, L.-H. Merino, T. Arya, D. Liscinsky, R. Pogosian, and D. Levin, “Come as you are: Helping unmodified clients bypass censorship with server-side evasion,” in SIGCOMM. ACM, 2020. [Online]. Available: https://geneva.cs.umd.edu/papers/come-as-you-are.pdf
  64. 5e2t, “After enabling TCP timestamp, GFW’s censorship of obfs4 is rendered ineffective,” https://github.com/net4people/bbs/issues/442#issuecomment-2566913190, Jan 2025, (Accessed on April 7, 2025).
  65. N. Niere, S. Hebrok, J. Somorovsky, and R. Merget, “Poster: Circumventing the GFW with TLS record fragmentation,” in Computer and Communications Security. ACM, 2023. [Online]. Available: https://nerd2.nrw/wp-content/uploads/2024/05/3576915.3624372.pdf
  66. G. Wan, F. Gong, T. Barbette, and Z. Durumeric, “Retina: analyzing 100GbE traffic on commodity hardware,” in ACM SIGCOMM, 2022. [Online]. Available: https://zakird.com/papers/retina.pdf
  67. K. Bock, P. Bharadwaj, J. Singh, and D. Levin, “Your censor is my censor: Weaponizing censorship infrastructure for availability attacks,” in Workshop on Offensive Technologies. IEEE, 2021. [Online]. Available: https://www.cs.umd.edu/~dml/papers/weaponizing_woot21.pdf
  68. klzgrad, “GFW技术报告:入侵防御系统的评测和问题,” https://www.chinagfw.org/2009/09/gfw_21.html, Aug 2009, accessed: 2025-04-11.
  69. gfwrev, “HTTP URL/深度关键词检测,” https://gfwrev.blogspot.com/2010/03/http-url.html, Mar 2010, accessed: 2025-04-07.
  70. N. Weaver, R. Sommer, and V. Paxson, “Detecting forged TCP reset packets,” in Network and Distributed System Security. The Internet Society, 2009. [Online]. Available: https://www.ndss-symposium.org/wp-content/uploads/2017/09/weav.pdf
  71. W. Eddy, “Transmission Control Protocol (TCP),” RFC 9293, Aug. 2022. [Online]. Available: https://www.rfc-editor.org/info/rfc9293
  72. R. S. Raman, M. Wang, J. Dalek, J. Mayer, and R. Ensafi, “Network measurement methods for locating and examining censorship devices,” in Emerging Networking Experiments and Technologies. ACM, 2022. [Online]. Available: https://dl.acm.org/doi/pdf/10.1145/3555050.3569133
  73. “Centralized Zone Data Service,” https://czds.icann.org/home, (Accessed on 01/31/2024).
  74. “Website categorization api | domain category check | whoisxml api,” https://website-categorization.whoisxmlapi.com/api, (Accessed on 04/25/2024).
  75. “Security forces in china attack protesters seeking frozen funds - the new york times,” https://www.nytimes.com/2022/07/11/business/china-bank-protest.html, (Accessed on 04/25/2024).
  76. XRay developers. XRay. [Online]. Available: https://github.com/XTLS/Xray-core
  77. GoodbyeDPI developers. GoodbyeDPI. [Online]. Available: https://github.com/ValdikSS/GoodbyeDPI
  78. ShadowRocket developers. ShadowRocket. [Online]. Available: https://apps.apple.com/us/app/shadowrocket/id932747118
  79. S. Frolov and E. Wustrow, “The use of TLS in censorship circumvention,” in Network and Distributed System Security. The Internet Society, 2019. [Online]. Available: https://tlsfingerprint.io/static/frolov2019.pdf
  80. XRay developers. XRay pull request. [Online]. Available: https://github.com/XTLS/Xray-core/pull/3660
  81. M. Bailey, D. Dittrich, E. Kenneally, and D. Maughan, “The menlo report,” IEEE Security and Privacy, vol. 10, no. 2, p. 71–75, Mar 2012. [Online]. Available: https://doi.org/10.1109/MSP.2012.52

以下元评审由 2025 IEEE Symposium on Security and Privacy (S&P) 的程序委员会根据论文征集要求,在评审过程中编写。

本文实证性地确认了中国河南省已开始部署地区性审查机制的传闻,且其审查比防火长城更为严格。论文对河南防火墙实施的审查进行了全面分析,涵盖入站和出站两个方向,揭示了其运作方式、封锁策略和残余审查机制。此外,论文还检查了中国其他省份是否存在类似的地区性审查,但未发现除防火长城之外的额外干扰证据。

  • 对先前研究有限的重要结果进行了独立确认
  • 在一个成熟领域中取得了有价值的进步
1) 本文对先前研究有限的重要结果提供了独立确认。论文构建了一个测量体系,以确认(并扩展)关于中国河南省内地区性审查的传闻报告。除了对这种新型地区性审查的存在和封锁行为提供系统性理解外,本文还独立确认了防火长城封锁行为的不对称性。 2) 通过应用不同的已知研究方法,对中国部分地区一种新的审查现象进行了详尽研究,本文在一个成熟领域中取得了有价值的进步。研究所进行的测量是可靠的,并依赖于经过验证的测量方法,为一种此前未被进一步分析的审查形式提供了见解。
Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org