来源:RFA
在北京奥运会开幕时,维护新闻自由的国际组织无国界记者在互联网上发起了抗议中国政府打压言论自由、要求中国释放被关押的政治犯的活动。该组织宣布,已有超过17800人在网上参加了这一抗议活动。自由亚洲电台记者何平采访报道 无国界记者组织的网站:www.rsf.org上,到8月15号为止,世界各地上网参加抗议中国政府压制言论自由和要求中国释放政治犯的人数已经超 过了17850人,参加抗议的人数还在不断增加。互联网用户还可以从www.rsfbeijing2008.org直接进入抗议活动的网页。无国界记者组 织的网站以选择标语的形式,让参与者自由表达意愿,这些标语包括:“还奥林匹克政治犯自由”以及“向体育运动说是、向政治压迫说不”等。无国界记者组织驻 美国首都华盛顿的负责人莫里永女士向本台记者介绍了这一活动的情况:
“无国界记者组织在8月8日奥运会开幕式的当天,发起了这项在互联网 上的抗议活动。我们抗议中国政府打压言论自由,并且呼吁释放所有的政治犯。到今天为止,已经有超过来自世界各地17000多人参与了这项活动,我们计划这 次互联网上的抗议活动将一直持续到8月24日北京奥运会闭幕为止。目前在中国的监狱里有数千名在押政治犯,中国已经成为世界上关押记者和网络异议人士的最 大监狱。在2001年中国被授予奥运会举办权的时候,曾向全世界保证要改善人权状况、开放言论自由和释放政治犯等。但是发生在中国国内的实际情况实在令人 失望。现在已经到了大家联合起来,在奥运会结束之前,要求中国政府信守诺言的时候了。”
无国界记者组织网站上的呼吁,还特别要求中国政府尽快释放北京奥运会之前被捕入狱,并正在服刑的政治犯杨佳、师涛等人。杨佳的辩护律师李方平在北京得知了上述消息之后,向本台记者表示:
“我 觉得国际社会发生的影响应该是积极正面的。中国社会的变革一直离不开国际社会的关注。因为胡佳案也使整个国际社会对中国的状况表示更加的关注,希望中国尊 重和保障人权。胡佳作为一个人权工作者仅仅因为批评政府就受到了三年零六个月刑事处罚,本身我觉得这是对中国宪法言论自由的一种漠视。现在我们听到了有这 么多人参与,我作为胡佳的辩护律师也替他感到由衷的高兴。当然我们也希望胡佳能够获得自由。”
师涛的辩护律师莫少平也表示,无国界记者组织所呼吁的言论自由和新闻报道自由是国际公认的准则:
“本 身言论自由或者新闻报道自由是国际公认的一个准则。国际社会都关注中国的言论自由和新闻报道自由,这肯定是有好处的,因为这是一个普世性的原则。我希望包 括这些网站的开通不应该在奥运结束之后又重新被屏蔽,包括对海外媒体的采访规定我希望也不要在奥运结束之后就作废,而应该把它作为永久遵守的法规。”
无国界记者组织的莫里永女士还进一步表示,他们关注中国人权状况的行动并不会因为奥运会的结束而停止:
“我 们不会因为奥运会比赛的结束而停止我们的工作,我们将继续要求中国政府尽早释放所有在押的政治犯、结束对言论自由的打压。北京的奥运会之后,我们将尽力促 使中国政府将给予外国记者采访自由的承诺保持下去,并且希望中国国内的记者同行也能享受到真正的新闻采访报道自由。我们还将继续呼吁国际舆论和世界各国领 导人关注中国目前恶劣的人权状况。”
创建于1979年的无国界记者组织,总部设于法国巴黎,是一个致力于保护记者免受政治迫害、推动新闻自由的国际性非政府组织。它也是由全球60多个非政府组织构成的“国际言论自由交流会”的成员组织之一,在全球15个国家设有16家办事机构。
以上是自由亚洲电台记者何平的报道
Friday, August 15, 2008
17000多人参加无国界记者组织互联网上抗议中国缺乏言论自由
奥运网络政策内外有别 公民记者行动受限
来源:RFA
中国当局放松对海外媒体网站的封锁同时,从各方面进一步收紧对国内网络的限制,更剥夺网络活跃人士的行动自由。自由亚洲电台特约记者丁小的采访报道。
据 大陆网民反映,近期当局进一步加强对互联网信息传播和舆论的限制。其中,在大陆非常流行的网络通讯工具QQ上很多图片无法上传,而QQ群的敏感词汇审查也 是日新月异,新增禁区词汇包括新疆袭击、鼓楼事件、奥运作假甚至物价高涨等等。善用互联网发起公民行动的南京师范大学学者郭泉周五告诉本台他的观察: “qq上很多东西不能上传,比如奥运开幕作假、新疆爆炸、鼓楼事件的照片都不能发,没有任何解释,就是传不了。上传文字的话有时会通知涉及敏感字词不能通 过,qq群里面独裁、游行、集会这都不能传,现在连物价上涨都不能传了。”
与此同时在网络论坛上相关讨论的帖子,一旦与官方论调不符立刻被删甚至关闭主题,郭泉说奥运也成了敏感词:“凡是跟中共主流观点不一致的全部删光,包括代唱事件等等现在都不给讨论,都关闭了。”
于是在大陆互联网上应运而生了“闹运会”等新创词汇,避开审查同时也寄予讽刺,大陆网络人士周曙光说:“现在很多bbs都不能讨论奥运,所以网民讨论的时候都避免用奥运这个词,写成闹运。”
居 住在湖南煤炭坝镇的周曙光年前因为独立采访重庆最牛钉子户而成了网络名人,对社会现象的独特关注和报道为他网罗了众多读者。而在奥运召开之际,这位活跃于 网络的年轻人被国保警察无故限制了行动自由,不但明令不准去北京,连离开居住地也成问题,周曙光周五对本台说:“他们来过很多趟要我承诺不去北京,我要弄 清楚原因,他们都说不出来。昨天我只是去了老家而已,吃完中饭他们就来要接我回煤炭坝,现在看来我去县城他们都会阻止我。”
而周曙光的个 人网站博客连用代理服务器都无法浏览了:“通常顶多用关键词过滤或是封锁ip,现在他用dns劫持,凡是对我域名的查询都会返回一个错误的结果,导致国内 很多人即使用上代理服务器都无法打开。要求我不去北京,并把我网站屏蔽掉,双管齐下阻止我可能的报道,他们也告诉我因为我名气太大了,他们担心我又报导出 让他们觉得很麻烦的事情出来。”
由于国际社会不断批评中国压制新闻舆论自由,当局在开幕前夕解封了本台在内二十多个被屏蔽多年的海外媒体 网站。与此同时却继续甚至加剧封锁国内互联网的做法,引发“假开放”的批评。学者郭泉说:“这次奥运反而强化了中共对新闻和网络的控制,现在感觉放松是取 悦外国人,但对中国人比以前还专制,从互联网来看,没有任何走向民主的迹象。”
以上是自由亚洲电台特约记者丁小的采访报道。
Zola教你玩:如何对抗GFW的域名劫持
作者: 周曙光 来源:周曙光的个人新闻台
前几天我说过,来自译言的《如何忽略防火长城》,非常精彩,这篇文章应该是GFW详细介绍的最好的文章。那篇文章里提到GFW的三种干扰网民访问网站的方法分別是关键字过滤、屏蔽境外网站IP和NS(Domain Name System)劫持,前两者比较常见,我就先不介绍如何对付前两种干扰方式,我先讲一下如何应付DNS劫持。
要了解如何应付DNS劫持,首先必须了解DNS如何实现劫持。我还是先用我的语言通俗地介绍一下DNS如何工作的吧。
DNS如何工作
DNS是域名查询系统,当人们访问一个网站时,如访问www.zuola.com, 网页瀏览器要首先查询一下这个域名对应的IP是什么,DNS返回一个IP后,瀏览器才向那个IP发出数据包,一路上,路由器会按照路由表里的地址一路朝目 標IP发过去数据包,对方主机如果认为自己的主机有这么一个网站,於是返回响应,开始传递网页给瀏览器。如果DNS服务器返回一个假的结果给瀏览器,瀏览 器的访问请求就永远到不了真实的网站那里。这就是DNS劫持。
比如,我现在在湖南电信上网得到的IP和DNS缓存服务器参数是
IP Address:222.244.222.32
Gateway address:222.244.222.1
DNS Server:222.246.129.80, 59.51.78.210
这里的DNS服务器的IP是222.246.129.80和59.51.78.210,这是两台离我最近的DNS缓存服务器,我们可以来利用这两个 DNS服务器来查询世界上任何一个网站的域名,因为他开通了递归查询,也就是说,如果当前DNS服务器不知道这个域名,他会向上级DNS进行查询,开通递 归查询的DNS服务器也本身设置了另一个DNS服务器,遇到他不知道IP的域名他就会向上查询,如果上级的上级都不知道,就会查到域名的whois信息, 然后查whois信息里指定的DNS服务器,whois信息里指定的DNS服务器是权威服务器,返回的值就是“权威应答”。
什么情况下遇到非权威应答呢?那就是我们的上一级DNS服务器里缓存了DNS查询结果,DNS服务器就会马上返回一个IP,这时得到的应答就是非权 威应答,也就是说,可以这样划分,DNS服务器相对於某个具体的域名来说,可以分为权威DNS服务器和DNS缓存服务器。权威DNS服务器是在internic.net註册了的主机,DNS缓存服务器却是任何人都可以自己建立的服务器。
DNS如何变得不诚实
通常情况下,DNS缓存服务器是公正的敬业的值得信任的,会老老实实工作,但有些情况下却会做假。如最近炒的比较火的一个漏洞是DNS 协议的漏洞,人们可以伪造端口和TXID识别符均能匹配的UDP数据包来欺骗DNS服务器缓存一个虚假的结果,可以实现phishing, 比如当你访问你的邮箱或网上银行的时候,把你骗到一个假网站上面,但你看到你访问的网址地址却是准確无误的。还有一种情况下DNS缓存服务器会作假,比如 在DNS服务器里登记一些敏感网站的域名,然后给这些网站设置一些假的IP,这样就阻止使用当前DNS服务器的用户访问不到这些网站。当年我阻止公司同事 被3721流氓软件所害,就是这么乾的,当然,我需要让他们用DHCP获得的DNS服务器IP为我在公司设置的私有DNS缓存服务器IP。
实际上,我之前提到的222.246.129.80和59.51.78.210不是公正无私的DNS缓存服务器,他们会作弊,我演示给你看他们是怎么作弊的:
在Windows操作系统下的“开始”菜单里找到“运行”,然后输入cmd,出现一个黑色的命令行窗口,在这里我们输入
nslookup www.zuola.com 222.246.129.80
然后看到返回一个奇怪的结果
C:\Users\Zola>nslookup www.zuola.com 222.246.129.80
服务器: 222.246.129.80
Address: 222.246.129.80非权威应答:
名称: www.zuola.com
Address: 202.106.1.2
这个IP根本不是我的IP,我按向上箭头键重复执行这命令,会得到好几个不同的结果,如4.36.66.178 / 216.234.179.13 / 203.161.230.171 / 64.33.88.161 / 202.106.1.2 / 202.181.7.85 / 211.94.66.147,就是得不到正確的IP。网友看到这里可以亲手测试一下。如果nslookup www.zuola.com 后面不再添加IP或服务器域名,就意味著使用当前的DNS服务器来查询我的网站IP。
如果直接用权威DNS服务器来查询,
C:\Users\Zola>nslookup www.zuola.com ns1.oray.net
服务器: ns1.oray.net
Address: 202.105.21.217名称: www.zuola.com
Address: 208.97.181.48
则马上得到了我域名的正確的IP。好了,到这里,我似乎可以总结陈述GFW在利用DNS劫持来制止其他中国网友访问我的网站了,但,事情还没完,我 还有更多发现:边界路由器上的GFW不仅能过滤网页中敏感內容,而且能干扰DNS查询並给出错误的IP地址,GFW早就实现了DNS"Cache 投毒"(cache poisoning)。DNS 缓存投毒的结果是,即便是在北京工作的时代周刊的记者使用了代理服务器,或是使用了MCI的VPN网络,他们仍然不能访问我的网站。
证明GFW使用"Cache 投毒"(cache poisoning)的过程很简单:
由於我的域名的whois里指定的权威DNS服务器是ns1.oray.net,这个服务器是中国公司的,这个NS服务器也在中国境內,当在中国境 內查询的时候,查询域名的A记录的UDP数据包就不需要出国,此时不受GFW影响,所以能查到我的真实IP为208.97.181.48。
现在,我登录美国Linux服务器的终端,由於ns1.oray.net 在中国境內,这个时候查询nslookup www.zuola.com ns1.oray.net就需要经过中国的网络边境线了,GFW就会捣蛋了,你看,
[zolazhou]$ nslookup www.zuola.com ns1.dreamhost.com(此服务器在美国)
Server: ns1.dreamhost.com
Address: 66.33.206.206#53Name: www.zuola.com
Address: 208.97.181.48 (这里返回是正確的IP,因为没有越过GFW,不受GFW影响)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 64.33.88.161 (GFW干扰后给出的假IP地址,也许是一个honeypot)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 202.106.1.2 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 216.234.179.13 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 4.36.66.178 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 216.234.179.13 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 4.36.66.178 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 211.94.66.147 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 202.181.7.85 (GFW干扰后给出的另一个假IP地址)[zolazhou]$ nslookup www.zuola.com ns1.oray.net
Server: ns1.oray.net
Address: 202.105.21.217#53Name: www.zuola.com
Address: 209.145.54.50 (GFW干扰后给出的另一个假IP地址)
上图来看,国外的朋友访问我的网站也困难是因为他们的DNS请求会经过一次GFW,所以会得到一个假的IP地址並会到这些假IP上去取数据,当然不 会得到任何应答。也是时代周刊的记者都无法访问我的网站的原因。所以,一个小时前,我把我的权威DNS服务器改为美国Dreamhost公司的 ns1.dreamhost.com 的域名解析服务器了。国外的朋友访问我的网站就会得到正確的IP地址了,不会再受GFW的欺骗了。
这个时候,ns1.oray.net这个服务器不再为我工作了,国內的网友访问我的网站里却会总是被GFW所欺骗了:
C:\Users\Zola>nslookup www.zuola.com ns1.dreamhost.com
服务器: ns1.dreamhost.com
Address: 66.33.206.206名称: www.zuola.com.lan
Addresses: ca6a:102:0:f00::e095:1100
202.181.7.85 (又是假IP)C:\Users\Zola>nslookup www.zuola.com ns1.dreamhost.com
服务器: ns1.dreamhost.com
Address: 66.33.206.206名称: www.zuola.com.lan
Addresses: d8ea:b30d:0:5600::e095:5800
209.145.54.50 (又是该死的假IP,DNS劫持)C:\Users\Zola>nslookup www.zuola.com ns1.dreamhost.com
服务器: ns1.dreamhost.com
Address: 66.33.206.206名称: www.zuola.com.lan
Addresses: 424:42b2:0:1000::e095:1200
64.33.88.161( 操!)C:\Users\Zola>nslookup www.zuola.com 208.67.222.222 (即便是OPENDNS也不能解决问题,GFW照样来作弊劫持掉DNS结果)
服务器: resolver1.opendns.com
Address: 208.67.222.222名称: www.zuola.com.lan
Addresses: 202.106.1.2
64.33.88.161 (又是这两个混蛋IP地址)C:\Users\Zola>nslookup www.zuola.com 208.67.222.222
服务器: resolver1.opendns.com
Address: 208.67.222.222名称: www.zuola.com.lan
Addresses: 216.234.179.13
4.36.66.178(一次还给俩假IP,操你妈的GFW)
如何被动应对DNS劫持
网友们读到这里,知道我承受多么残酷的封杀了吧?都怪我太有名了。根据我搜索上面的IP的结果,发现GFW使用此阴毒招数不是今年的事情了。在 2003年就有很多域名受到同样的待遇了。如果不是外宾,用脚都可以想到那些网站是什么类型网站,作为一个普通公民的个人网站,受到GFW如此狠毒的待 遇,估计我是头一个。
Google.cn也奉命屏蔽我的网站內容,GFW又使出如此残忍的手段来封杀我的网站,我有机会的话,我要当著胡锦涛总书记问下我在他眼中到底做 错了什么?GFW的主人到底害怕我什么?我觉得,要么直接给我一幅手銬好了,要么像对待Kevin Mitnick一样不准我接触电脑和网络好了。如果有国外记者看到我这段话,拜託转告一下胡锦涛这个问题。
好了,发泄一下怨气后还是得想想解决办法。还好我们有办法让DNS解析也通过代理服务器来完成。使用FireFox的用户可以下载TOR,然后安装FoxyProxy, 然后找到FoxyRroxy选项里的全局选项,把“使用SOCKS代理服务器来查找DNS”。面对GFW的大力封杀,我只好放弃国內流量了,尽量通过鼓励 RSS订阅和推广使用代理器来恢復自己的网站的功力好了。如果有可能,我改为英文BLOG来赚英文世界的广告费好了,反正写中文网志也赚不到什么钱,写英 文网志的话也不需要来自中国的流量。
如何主动应对DNS劫持
下面开始做一些针对GFW的猜测,眾所周知,UDP协议是一个无连接的协议,对数据包的到达顺序以及是否正确是不关心的,由於GFW会审查53端口 的数据包,所以给针对GFW进行DOS攻击提供了可能。如果有人开发类似病毒的软件不断的向国外IP隨机发出通往UDP53端口的敏感网址数据查询请求, 估计可以让GFW累得罢工,我会很乐意感染这种病毒,我相信很多恨GFW的人也乐意感染这个病毒。谁能在技术层面反驳我这个思路?
下一节介绍如何突破关键词过滤屏蔽IP的网络封锁手段。
