美國政府及軍事網站被香港和中國地理封鎖(繁體版)

相關機構: 密西根大學 審查星球

日期: 8月10日, 2020

原文: https://censoredplanet.org/hongkong

最近美國政府公佈了關於”淨網行動“的聲明引起了對美中兩個不容忽視的網絡科技巨頭軍備競賽的擔憂。更進一步地，最近出台的港版國安法已經引起了全球對該地區網絡自由和隱私的擔憂。

在這份報告，我們展示了美國政府和軍事網站已經實施的新技術措施以阻斷來自中國的IP，攔截50個以上的網站。有趣地，我們同樣發現了這些措施被實施在香港（直至最近都被視為一個有著相對“自由”的網絡環境的地區），加劇了對於香港用戶的網絡所處的網絡環境態度改變的擔憂。

儘管這種封鎖經常被運用以保護網站免受不良攻擊，先前的研究發現過度封鎖助長了網絡環境的巴爾乾化(不同地區的用戶有著顯著不同的上網體驗)。我們擔心這種不透明的地理封鎖的實施預兆了互聯網向著高度碎片化的方向滑坡。

背景信息: 在六月下旬(2020), 一位華爾街日報的記者到訪審查星球並且展示給我們一個包含59個被香港封鎖的美國政府和軍事網站列表。我們被尋求深度分析這個現象，我們設立了以下待探索的問題：

1. 哪些美國政府和軍事的網站在香港無法訪問，但是在其他地方可以被訪問？
2. 誰人封鎖以及如何封鎖？
3. 這個封鎖類似於鄰近的中國的封鎖模式嗎？

摘要

• 在59個美國政府和軍事網站中，只有6個域名可以從香港的多個觀測點(vantage points) 直接訪問。其他域名均在服務器方面對香港IP實施了封鎖。
• 其中49個域名被基於DNS地理封鎖。例如：如果執行遞歸解析的DNS解析器處於香港，DNS解析會失敗。
• 我們發現一組6個.mil後綴的DNS域名服務器阻止了來自香港的請求，因此限制了37個.mil的域名訪問。在12個.gov域名的例子中，其他的域名服務器在進行地理封鎖。
• 儘管基於DNS的地理封鎖可以被使用非香港的DNS解析器輕易地規避，我們發現有些域名進一步限制TCP連接(17-20個域名)或者HTTP連接(4-6個域名)，表明了這些網站有意實施限制訪問的措施。
• 我們在中國執行了類似的測量並且觀察到了一樣的封鎖行為，這表明這些域名對中國和香港有著類似的政策。

測試和結果

測試列表:

我們的列表包含了59個與美國政府或美國軍方有關的域名。在這59個域名中，37個是.mil(例如 eucom.mil), 20個是.gov(例如 census.gov), 以及2個是.org(例如 www.hudser.org)。

觀測點:

我們獲得了在香港的一個數據中心網絡和兩個商業VPN服務器網絡的訪問權限。我們使用多個IP地理位置的數據庫(MaxMind, IP2Location, ipinfo.io, DB-IP)和追踪路由以驗證我們的觀測點座落在香港。

控制測試:

我們在香港測試之前，我們從美國、英國、和德國的觀測點實施了控制組的測試(對所有域名進行了DNS解析, TCP握手, 和HTTP GET請求)。所有這些域名成功地被解析並可以訪問。我們收集了所有這些DNS解析的回應以在後面用在我們在香港的地理封鎖測試。

在香港的地理封鎖測試

我們對三種協議進行了地理封鎖測試：DNS, TCP/IP 和 HTTPS.

1. DNS 測試:

我們使用每個香港觀測點的本地解析器對59個域名進行DNS解析。對於其中49個域名，從我們觀測點的DNS查詢接受到了一個錯誤回應(SERVFAIL)。對於其餘10個域名，我們接受到了可路由的IP地址: 6個域名成功地返回了內容，另外4個返回了403 Forbidden頁面。

接下來，我們用Cloudflare(1.1.1.1)和Google(8.8.8.8)作為DNS解析器進行DNS解析並且我們觀測到類似本地解析器得到的結果。我們的追溯顯示Cloudflare和Google的DNS解析器是位於香港的，因此仍然收到地理封鎖的影響。

我們接下來使用了香港外的DNS解析器(例如9.9.9.9，位於新加坡的Quad9解析器)嘗試域名解析。我們觀測到了這方法成功地解析了其中56個域名。

再者，我們觀察到從美國客戶端發出的DNS但是使用位於香港的DNS解析器的請求同樣被封鎖了。

所有這些觀測指出DNS封鎖只發生在香港的DNS解析器的請求，指出DNS解析器實施地理封鎖。 (譯者註: 其實這有點類似GFW早期的DNS污染)

我们调查了DNS解析的每一步骤并且观察到对于所有37个.mil域名，当请求被发送到在DNS链中的一组6个域名服务器(con2.nipr.mil, eur1.nipr.mil, eur2.nipr.mil, pac2.nipr.mil, con1.nipr.mil, pac1.nipr.mil)时，这些解析会失败。令到.gov域名解析失败的域名服务器则是多样的。这些包括例如 ns2.dol.gov和dns02.cns.gov。

基於DNS的地理封鎖是一種有效地限制大量相關域名的訪問的方法，因為它可以被輕易地用一組在解析鏈中處於較高位置的域名服務器執行，而不需要任何單獨的權威域名服務器參與。

但是，它可以被輕易地通過獲得正確的IP地址或者使用香港外的DNS解析器規避。為此，我們收集了所有從我們控制組的回應觀測到的IP數據，並且實行了我們的TCP/IP和HTTPS測試。

2. TCP 測試

我們對於59個從控制組的域名測量中解析到的所有IP進行TCP握手。我們觀測到大約17-20個域名沒有響應TCP握手。為找尋出審查並觀察封鎖實施的位置，我們進行了TCP路由追踪至到IP，並且觀測在超時之前進入美國的鏈接。一個路由追踪的例子展示在這裡。這表明了除基於DNS的地理封鎖外，許多網站對來自香港的客戶端採用了額外的基於IP的地理封鎖，展示了網站管理者阻止來自香港訪問的意願。

再次，我們觀察到通過其他國家的代理(proxy)成功地建立了TCP握手。

3. HTTPS測試:

我們對所有可以建立TCP握手(39-42個域名)並且檢查所有地理封鎖錯誤回應的域名-IP地址配對(Domain-IP Address pairs)實施了HTTPS GET請求。我們觀測到其中4個域名清晰地反映了對所有觀測點進行地理封鎖的HTML回應：stats.bls.gov, www.census.gov, www.jobcorps.gov, www.sss.gov. 再者，從我們的其中一個VPN網絡中的觀察，兩個域名(www.navy.nil, www.usmc.mil) 回應了地理封鎖頁面。一個 www.sss.gov 的封鎖例子展示在了下面：

這個存儲在最流行的CND網絡之一 Amazon CloudFront，指出封鎖是基於訪問的位置的。

考慮到所有地理封鎖的所有不同形式，只有6個域名所可以直接從香港訪問我們的列表中59個域名： www.cao.gov, www.chcoc.gov, www.huduser.org, www.ndi.org, www.osmre.gov, www.swpa.gov

在中國的地理封鎖測試

我們在位於中國的數據中心實行了相同的測試以觀察美國政府與軍事域名是否對香港和中國有同樣的的政策。

對於我們的DNS測量，我們觀測到了與香港49個相同的域名發現了錯誤。給予了正確的IP後，我們觀測到了19個域名與TCP握手階段被地理封鎖，還有6個域名在HTTPS請求發出時顯示出地理封鎖。這些結果與香港的非常相似，顯示了政策上的相似性。

結論

我們擔心這種來自美國政府地理限制世界上特定地方(而其他沒有)的傾向設定了一個對於網絡開放交流的危險先例- 一個被最近"淨網"聲明加劇的擔憂。再者，香港的新的安全法授權了ISP (Internet service provider, 網絡服務提供商)監視與審查，可能不止導致受制於來自中國異常嚴苛政策導致的不穩定網絡空間，還會令其他國家視香港為安全隱患。先前的研究已經表明了用政策與法律實施有效的網絡審查的可行性，同樣的政策與法律可能在接下來幾個月在香港成為現實。我們正在活躍地檢視這個改變，並且收集令到這個嚴苛政策更透明的數據。