Skip to main content

互联网过滤

过滤是阻止或审查互联网流量的礼貌用语。有时会使用虚拟专用网络或 Tor 等服务来访问原本会被过滤的 Internet 通信。

阻塞的地方

image-1658925402678.png

您的计算机尝试连接到https://eff.org,该地址位于列出的IP 地址(与 EFF 网站关联的服务器旁边的编号序列)。在到达https://eff.org的预期 IP 地址之前,会发出对该网站的请求并将其传递给各种设备,例如您的家庭网络路由器和 Internet 服务提供商 (ISP) 。该网站已成功加载到您的计算机。

image-1658925422689.png

(1) 在您的设备上屏蔽或过滤。这在学校和工作场所尤其常见。设置或管理您的计算机和手机的人可以在其上安装限制它们使用方式的软件。该软件改变了设备的工作方式,使其无法访问某些站点,或以某些方式进行在线交流。间谍软件可以以非常相似的方式工作。

image-1658925438619.png

(2)本地网络过滤。这在学校和工作场所尤其常见。管理您的本地网络(如 WiFi 网络)的人会对您的 Internet 活动实施一些限制,例如监控或控制您上网的位置或搜索某些关键字时。

image-1658925451217.png

(3) 互联网服务提供商 (ISP) 阻止或过滤。您的 ISP 通常可以执行与本地网络管理员相同类型的过滤。许多国家/地区的 ISP 受政府强制执行定期互联网过滤和审查。商业 ISP 可以为家庭或雇主提供过滤服务。特定的住宅互联网服务提供商可以选择直接向客户推销过滤连接,并自动将特定的审查方法(如下所述)应用于其 ISP 上的所有连接。即使政府没有要求,他们也可能会这样做,因为他们的一些客户想要这样做。

 

阻塞的发生

IP 地址封锁。“IP 地址”是 Internet 上计算机的位置。通过 Internet 发送的每条信息都有一个“收件人”地址和一个“发件人”地址。Internet 服务提供商或网络管理员可以创建与他们想要阻止的服务相对应的位置列表。然后,他们可以阻止网络上传送到或来自这些位置的任何信息。

这可能导致过度阻塞,因为许多服务可以托管在同一位置或 IP 地址。同样,许多人最终共享任何给定的 IP 地址以访问 Internet。

image-1658925469130.png

在此图中,Internet 服务提供商将请求的 IP 地址与被阻止的 IP 地址列表进行交叉检查。它确定 eff.org 的 IP 地址与被阻止的 IP 地址匹配,并阻止对网站的请求。

DNS 阻塞。  您的设备会询问站点所在的名为“DNS 解析器”的计算机。当您连接到 Internet 时,您的设备使用的默认 DNS 解析器通常属于您的 Internet 服务提供商。ISP 可以对其 DNS 解析器进行编程,使其在用户尝试查找被阻止站点或服务的位置时给出错误答案或不给出答案。如果您更改了 DNS 解析器,但您的 DNS 连接未加密,您的 ISP 仍然可以选择性地阻止或更改被阻止服务的答案。

image-1658925484700.png

在此图中,对 eff.org 的 IP 地址的请求在 Internet 服务提供商级别进行了修改。ISP 干扰 DNS 解析器,并重定向 IP 地址以给出错误答案或没有答案。

关键字过滤。如果流量未加密,互联网服务提供商可以根据其内容阻止网页。随着加密网站的普遍增加,这种类型的过滤变得不那么流行了。

需要注意的是,如果用户安装了设备管理员提供的受信任“CA 证书” ,管理员可以解密加密活动。由于设备的用户必须安装证书,这对于工作场所和学校的本地网络来说是一种更常见的做法,但在 ISP 级别不太常见。

image-1658925503721.png

在未加密的网站连接上,互联网服务提供商 (ISP) 能够根据其被阻止的内容类型检查网站的内容。在此示例中,提及言论自由会导致网站自动被屏蔽。

HTTPS站点过滤。通过 HTTPS 访问站点时,除站点名称外,所有内容均已加密。由于他们仍然可以看到站点名称,因此 Internet 服务提供商或本地网络管理员可以决定阻止访问哪些站点。

image-1658925518531.png

在此图中,计算机尝试访问 eff.org/deeplinks。网络管理员(由路由器表示)能够看到域 (eff.org),但不能看到斜线后的完整网站地址。网络管理员可以决定阻止访问哪些域。

协议和端口阻塞。防火墙或路由器可能会尝试识别某人正在使用哪种互联网技术进行通信,并通过识别他们如何通信的技术细节来阻止某些技术(协议和端口号是可用于识别正在使用的技术的信息示例)用过的)。如果防火墙可以正确识别正在发生的通信类型或正在使用的技术,则可以将其配置为不传递该通信。例如,某些网络可能会阻止某些VoIP(互联网电话呼叫)或VPN应用程序使用的技术。

image-1658925544023.png

在此图中,路由器识别出尝试连接到 HTTPS 站点的计算机,该站点使用端口 443。端口 443 在此路由器的阻止协议列表中。

其他类型的阻塞

通常,阻止和过滤用于阻止人们访问特定的站点或服务。然而,不同类型的阻塞也变得越来越普遍。

网络关闭。网络关闭还可能涉及从物理上拔下网络基础设施,如路由器、网络电缆或蜂窝塔,以使连接在物理上被阻止或严重到无法使用。

这可能是 IP 地址封锁的一种特殊情况,其中所有或大部分 IP 地址都被封锁。因为通常可以知道 IP 地址在哪个国家/地区使用,所以一些国家/地区还尝试暂时阻止所有或大部分外国 IP 地址,允许该国境内的某些连接,但阻止大部分连接到该国以外的连接。

image-1658925557184.png

一台计算机尝试连接到 eff.org 的美国 IP 地址。在 Internet 服务提供商的级别,请求被检查:eff.org 的 IP 地址与被阻止的国际 IP 地址列表进行检查,并被阻止。

节流。互联网服务提供商可以选择性地限制或减慢不同类型的流量。许多政府审查员已经开始减慢与某些网站的连接速度,而不是完全阻止它们。这种类型的阻止更难识别,并且让 ISP 否认它正在限制访问。人们可能会认为他们自己的 Internet 连接速度很慢,或者他们连接的服务无法正常工作。

image-1658925572024.png

一台计算机尝试连接到 eff.org。他们的互联网服务提供商减慢了他们的连接速度。

 

Back to top