自序：相信很多朋友訪問某些網站都會出現“連線被重置”的問題，一看到這個我就想毫無疑問肯定是電信他們搞得鬼，把這網站遮蔽掉了。今天我初次使用谷歌翻譯網頁居然也給我跳出個“連線被重置”的提示 心裡很不爽，打算追根究底查個明白，有幸拜讀了這麼一篇文章，特轉載予以分享！

原文：

許多因奧運到中國來的外國人將會使用網際網路與家裡聯絡，告訴家人自己的所見所聞，或者瞭解世界上在發生什麼事。

他們首先就會注意到中國的網速感覺較慢。一部分原因是中國的網際網路擁擠，導致國內國際通訊受到同樣的影響。另一部分原因是訊號需要花費可觀的時間穿越太平洋光纜，來回於中美之間的伺服器；到歐洲的時間會更長，因為也要經過美國。而剩下的一部分原因是中國的網際網路審查，特別是當你瀏覽海外網站時。這就是外國人們知道的。

他們首先極有可能很驚訝，隨後注意到中國的網際網路似乎相當自由並不受控制。他們能尋找關於Tibet Independence或者8×8或者其他一些禁忌條目的資訊嗎？很有可能----而且他們能夠進入一些有爭議的網站。就算他們鍵入中文關鍵詞“民主在中國”，也能得到結果。就連最有名的在中國受到限制的網站——維基百科，他們也能夠訪問。這些觀光客自然會懷疑：我聽說的“防火長城”跟中國對於網際網路的禁錮究竟是怎麼一回事呢？

事實上，奧運觀光客的發現並非是中國網際網路審查的缺位，而是網際網路審查的小花招——一種僅僅為他們準備的波將金式（注：俄國女皇葉卡捷琳娜二世的情夫波將金，官至陸軍元帥、俄軍總指揮。波將金為了使女皇對他領地的富足有個良好印象，不惜工本，在“聖上”必經的路旁建起一批豪華的假村莊。於是，波將金村成了一個世界聞名的、做表面文章和弄虛作假的代號。常用來嘲弄那些看上去崇高堂皇實際上卻空洞無物的東西。）的自由，而且僅僅是在他們待的那段時間裡。根據我與中國兩個科技組織的工程師們的對話顯示，管理網際網路審查的政府部門已經告訴他們要準備好為一些特定的IP地址解禁——一些網咖，飯店房間的埠以及會議中心等，奧運期間外國人有可能在此工作或停留的地方。（我不會透露任何與我討論過這個話題的中國公民的任何資訊，，因為他們承擔著因為批評這套系統或者透露它的工作原理所帶來的經濟或法律風險。而且，我並沒有向中國政府的相關機構尋求他們的說法，因為網際網路審查制度的存在幾乎在除了一些關於保障線上資訊“純淨”的模糊宣告以外，就幾乎沒有被公開討論過。）

不管你怎麼看，中國政府控制網際網路的企圖從來都是粗略、草率或者別有用心的。當美國的技術工作者寫到這個審查體系時，總是傾向於強調它的種種限制。當中國公民談論時——至少是跟我——他們傾向於強調它的強大。兩種觀點都是對的，這使得政府控制網際網路的行為成為更大的控制人民日常生活的的企圖的一部分。

令人失望的是，用“防火長城”來描述中國政府的整個審查體系並不準確。中國事實上已經建立了一個防火牆——一個阻礙中國的網際網路使用者與外界輕鬆聯絡的障礙物——但那只是一個更大、更復雜的審查體系的一部分。官方為這整個計劃所起的名字是“金盾工程”，名義上是用來阻擋損害中國網民的黑客和其他不安全因素的。由於重複這個名詞讓我感到不適，我將使用“審查體系”來代表包括防火長城在內的整個戰略。

在美國，網際網路本來是設計來避免資訊瓶頸的，這樣任何資訊都能夠繞過任何臨時的阻礙呈現在人們面前。在中國，網際網路天生就內嵌資訊瓶頸。即使是現在，中國與世界上其他任何地方的網路聯絡都是通過為數不多的3個國際光纜出口完成的：北部的環渤海地區，接駁通往日本的光纜；中部的上海，同樣是接駁通往日本的光纜；南部的廣州，接駁通往香港的光纜。（中國有一小部分地方通過又貴又慢的衛星方式連線網路。還有一些穿越中亞通往俄羅斯的光纜，但流量不大）在2006年末，由於地震損壞了臺灣附近的主要海底光纜，中國的網際網路使用者才意識到這些出口有多重要。幾個月之後，中國大部分地區的國際通訊才恢復到地震前的速度。

當局能夠很容易就能夠做到發達國家政府很難做到的事：從底層監視所有進出中國的網路流量。他們通過在國際出口處安裝被稱為“嗅探器”的裝置監視進出中國的資料包。這個行為在表面上使用映象來掩飾。“映象”是用來描述正常的備份操作的，在這種情況下也是真實的，但是與此同時，小型映象也被利用起來。資料通過光纜以脈衝的形式傳播，由於需要經過出口閘道器，為數眾多的小映象將資料傳送給一套獨立的隸屬於金盾工程的電腦叢集。這就顯現出這個詞彙（金盾工程）的可怕之處了。在其他組成網際網路的路由器和伺服器（指大規模電腦叢集必需的檔案伺服器）都在盡全力使資料封包到達它應該到的地方時，中國自己用於網際網路審查的電腦卻在檢查這些資料，已確認這些資料是否違禁。

這些映象路由器最初由美國科技公司——思科為中國當局設計並製造的，這也正是思科遭受人權組織如此非議的原因。思科總是對因當局監管需求定製相關裝置的事實抵賴，聲稱它僅僅是把賣給其他任何人的裝置賣給了中國當局。這個議題現在已經沒什麼意義了，因為全世界的公司都能生產同樣功能的路由器，這其中包括中國自己的網路裝置巨頭——華為公司。接下來的功能細化主要在由中國自行研製的監視軟體方面。許多這方面的專家都被認為來自軍隊的科技機構。通過對防火長城做反向研究，以期繞過防火長城的中國及外國工程師告訴我，官方的工作進行的越來越好。

Andrew Lih曾經是一名新聞業專家，現在是一個定居在北京的軟體工程師（同時撰寫了即將出版的The Wikipedia Story)，向我透露了GFW是怎樣阻止中國網際網路使用者從國外網站查詢特定內容的。當用戶從瀏覽器發出請求之後的幾秒鐘內，搶在特定的資訊出現在螢幕上之前，至少有四件事可能出錯——或者說被用來使你出錯。

第一，也是最直接的方法就是“DNS劫持”。DNS或者說域名系統，可以看做登載網站的電話簿。每當你鍵入一個網址時——比如

www.yahoo.com——域名系統就會去檢查與這個網站對應的IP地址。IP地址是用小點分隔的一系列數字——例如，TheAtlantic.com的 IP地址就是38.118.42.200。如果DNS被控制，返回一個空地址或者錯誤的地址，使用者當然就不能到達正確的網站——就像打電話卻被告知一個錯誤的號碼，當然就找不到正確的人。鍵入BBC新聞頻道的網址時，常常就會遇到這種情況：如果你嘗試“news.bbc.co.uk”，你多半會遇到“找不到伺服器”的提示。2002年有兩個月，Google的中文網站就遭遇另一種形式的DNS劫持，訪問Google的使用者被轉到其主要的國內競爭對手百度。中國的學術界抱怨這影響了他們的正常工作。不用面臨選舉壓力的當局仍然不希望與這些重要的團體為敵，Google又回來了。在像17 da 之類的政治敏感時期，許多外國網站都會通過這種方式被暫時禁止訪問。

其次，就是“危機四伏”的連線時期。如果DNS成功返回了正確的結果，你的電腦就會向遠端計算機發送請求連線的訊號。當你的訊號一發出，在另一個系統發出回覆的同時，中國內部用於審查的的電腦就會檢查你的請求的映象，以確認你的請求是否應該被阻止。他們很快地檢查一系列被阻止的IP地址。如果你正嘗試訪問黑名單上的某一個網站，中國的國際閘道器就會通過向你的計算機和你要訪問的站點發送“重置”命令，達到中斷資料傳輸的目的。重置是一個用來修復未同步連線的常用網路功能。然而在這種情況下，它卻成為強制通話的雙方結束通話電話的工具。這時，你在螢幕上通常會看到“連線被重置”，或者有時是“找不到伺服器”，而不是你要訪問的網站。煩人的是，由Blogspot託管的blog在這個黑名單上。在典型的Google風格的搜尋結果中，許多連結都來自維基百科或者其他流行的BSP(Blog Service Provider)。當你在中國搜尋時，你能看到這些連結，卻無法訪問這些網站以獲得你想要的內容。

第三個障礙就是“關鍵詞過濾”。你試圖用數字訪問的網際網路地址也許不在黑名單上。但是如果URL（Uniform Resource Locator，是一個普通的用英文表示的網站地址——比如

www.microsoft.com——而不是全是數字的IP地址）中含有被禁止的詞彙，連線同樣會被重置。比如輪子功的全拼.com這個網站並沒有任何實質內容，但中國的網際網路使用者也不能訪問。關鍵詞過濾列表包括英文詞彙、中文詞彙以及其他語言的詞彙，而且被經常修訂——“比如，會加上最近發生礦難的城市名字”——Lih舉例說。在這裡，GFW不通過重置而是通過“黑洞迴圈”來實現目的。黑洞迴圈中頁面請求會陷入到一系列的延遲命令中。這兒有一個類似的例子——怎樣使一個白痴忙碌起來——你拿一張紙，兩面都寫上“請翻面”。當Firefox檢測到出於這種迴圈中時，它會給出錯誤資訊：“Firefox 檢測到該伺服器正在將此地址的請求迴圈重定向。”

最後一步，也是整個GFW最新、最複雜的部分：通過實時檢查每張頁面的內容——或者是紐約時報的特別報道，或者是跟中國有關的blog的最近更新——判斷每一頁的可接受性。這又是通過映象實現的。當你訪問一個喜歡的blog或者新聞站點，請求瀏覽一些特定的頁面時，被請求的頁面同時傳送給你和網際網路審查系統。GFW的掃描器會檢查頁面上是否含有違禁詞彙。如果找到了，他就會中斷連線，不讓你繼續從那個站點上獲得資訊。 GFW會暫時強制阻止“IP1到IP2”的通訊——你的電腦到不受歡迎的網站。通常第一次阻斷通訊時長為兩分鐘。如果在這期間，使用者再次發起同樣的通訊，通訊阻斷將延長到五分鐘。如果你還要試第三次，阻斷時間會變為半小時乃至一小時——如此下去，懲罰力度遞加。

多次重試或者經常訪問“錯誤”的網站的使用者可能會引起當局的注意。至少在規定上，中國的網際網路使用者被要求無論是在網咖或是在其他地方，無論何時，都應該以真實名字上網。當審查系統標記出經常發出越界請求的IP地址時，當局極有可能知道是誰坐在那臺電腦前上網。

所有的這類措施都為從海外獲取資訊的努力增加了不可預測性。有一天你能夠毫無阻礙地訪問NPR(National Public Radio)。下一次，因為NPR做了一個關於Tibet的特別報道，便被GFW“石化”了。即使你重新整理頁面或是點選新聞的連結，都看不到任何東西，而這時阻斷通訊開始了。

這種方法被認為是審查制度一種更為精確與微妙的形式，因為大型的國外網站再也不用被整個“石化”了。規定上來講，這些站點只會在做出“錯誤”報道時陷入麻煩。Xiao Qiang是加州大學伯克利分校新聞學院專職研究中國媒體的專家，他告訴我當局最近開始反向應用這類過濾技術。當海外的中國人，也許是學者，也許是流亡的異議人士，在中文網站上查詢資訊時——比如，公眾健康資料，或者某地非正常活動的新聞——GFW同樣會監視並審查他們獲得的資訊。

總的看來，審查系統有一些共有的主要特徵。當新的監控技術出現，或者敏感詞彙表變化時，他們會持續不斷地改進審查的著眼點。這樣就使廣大的網民對“線”劃在哪兒並不清楚。Andrew Lih指出像新加坡或者是阿聯酋這樣的國家也會進行網際網路審查，但他們這樣做時會給出解釋。當位於阿聯酋的訪問者點選色情或者是反伊斯蘭的網站時，會看到以阿拉伯文和英文形式同時出現的資訊：“很抱歉，你試圖訪問的網站由於與阿拉伯聯合大公國在宗教、文化、政治或是道德方面的價值觀不一致而被遮蔽。”在中國，連線超時就完事了。這是你的電腦的問題？還是審查系統在搗鬼？或者是你的ISP，誰自行確定了過濾規則？你不清楚。“審查系統的不確定性在事實上使它變得更有效，”另一位中國的軟體工程師告訴我。“你不知道審查系統要審查什麼，所以要時刻謹慎。”

審查系統的元件還有一個共同點：很容易被繞過。

事實上，在中國任何人想要繞過審查系統都有兩種眾所周知的、可信賴的方法：代理伺服器和VPN（虛擬專用網）。代理伺服器是通過將你的電腦與海外的一臺或一系列電腦連線，如此傳送的資料，其真實來路就會被隱藏。你首先發出一個請求，接著代理伺服器接收，再轉發到海外的另一臺電腦。最後找到你想要的，再傳回到你的電腦。這種方法主要的缺點是速度慢到難以忍受。但是由於大多數代理伺服器是免費的，所以這種方法成為中國學生及駭客的最愛。

VPN（免費VPN服務提供商），又叫虛擬專用網，是一種更快、更受青睞、更正式的方法。本質上，VPN是沿正常的通道建立一條專屬的加密通道。VPN將你從中國國內連上海外的某個伺服器。你的下載及瀏覽請求就會傳送到海外的伺服器，然後由這個伺服器去發現並將你找的東西傳輸回來。審查系統無法阻止你，因為他沒法讀懂你傳送的加密資料。在中國的每個外國公司都在使用這樣的網路。VPN在中國可以自由地推廣，因而個人也能使用。我使用的VPN一年40美元。（一個在中國流亡的人說：不過是一天一毛多一點兒。一個工人說：不過是一週的家用。甚至對於年輕學者來講也只是幾天的收入。）

在技術上講，當局只要願意就可以隨時切斷所有代理伺服器和VPN連線。現時的政策是：如果通過審查系統的資料由於加密而不能被識別，就揮手放行。很明顯審查系統的政策可以隨時扭轉。但是和我交流的每個人都說中國當局擔當不起這樣做的後果。“每家銀行、每一個外國製造商、每家零售商、每一個軟體廠商都需要VPN才能存在，”一箇中國教授告訴我。“如果商業資訊通過公眾網際網路，在審查系統的監控下傳送，他們第二天就會走人。”關閉免費、容易操作的代理伺服器同樣會遇到這樣的問題，只不過是結果沒有如此激烈。加密的郵件也能不通過審查就進入中國。Web介面郵件系統的使用者能夠通過將通常使用的“http”字首更改為“https”來建立加密通道——例如，

https://mail.yahoo.com/,https://mail.google.com/, https://mail.live.com/。為了維護大局，當局必須在採取的措施中允許例外——即使知道許多中國公民會藉機“透氣”。

因為政府不可能堵住GFW的每一個口，許多美國觀察人士由此看出政府控制網上言論付出的巨大代價，以及民主傾向和草根階層的訴求，都是必然的趨勢。最近在一個有影響的美國科技網站釋出了這樣的頭條“防火長城並不是那麼有效”。十月，連線在總標題“The Great Firewall: China’s Misguided—and Futile—Attempt to Control What Happens Online”下組織了一系列報道。

我們需要探索為何這麼多美國人對通過資訊科技傳播的民主願景如此信服的原因 (Samizdat, fax machines, and the Voice of America eventually helped bring down the Soviet system. Therefore proxy servers and online chat rooms must erode the power of the Chinese state. Right?（自己看，就不翻譯了）) 接著，我要強調這個願景對於大多數受到即便是不完美的審查制度影響的公眾來講，是如何不令人信服。

請再次思考網際網路審查制度的意義所在。你以為中國政府真的會關心一個公民是否在維基百科查詢8*8的條目嗎？當然不是。任何人想要知道都能得到——通過代理伺服器、VPN，用電子郵件拜託海外的朋友，甚至是閱讀公共圖書館裡為數眾多的未受審查的外國雜誌。

政府關心的是要對資訊控制得恰到好處，使民眾不至於反感。大多數中國人，同大多數美國人一樣，主要是對自己的祖國感興趣。他們周圍充斥的是關於中國和中國人的資訊，遠遠多過能吸收的範圍。報攤上滿是數不清的印刷精美的雜誌。為數不少的大型書店裡，書碼得整整齊齊，到處是各類廣告，公共圖書館裡也是一樣。音像店裡有各種東西的盜版。數不清的電視訊道。當然還有網際網路，在那裡中文網站和關於中國的網站迅速增殖。當長城背後的東西已足夠豐富，幹嘛還要花費時間和精力，並擔當不必要的風險，僅僅是為了看看外面？

所有金盾工程使用的技術，所有幫助建立防火長城的神奇映象——這些和其他現實的成就都是為了一個早已存在的目的。他們通過使探尋外部資訊成為討厭的事，把中國人都趕回到慣常社會控制手段產生作用的環境。

中文bloggers已經明白要想在中國被訪問，他們的網站必須建在中國，同他們潛在的主要受眾一起待在長城的一側。當然，他們也能在海外傳播同樣的資訊。但是正如前任CNN駐北京通訊員、現在香港大學新聞與傳媒研究中心的Rebecca MacKinnon所說，他們的讀者不會做翻牆的努力去找他們。“如果你想要在中國有影響，你就必須要在中國，”她告訴我說。當然，在中國就意味著遵守政府針對所有媒體的一系列管制措施：經濟威脅、法律風險；不可避免的自我審查。

中國的大多數blog由大型網際網路公司提供服務。這些公司知道政府要讓他們對blogger的不合適言論負責。因而這些公司為了生存，也被迫進行額外的審查。

相當數量的受薪政府審查員負責刪除不合適的評論和警告越界的blogger。（沒有官方的資料，但是據估計有數萬人之多）公民舉報顛覆材料的行為是被鼓勵的。宣傳部門經常發出指示說明哪些能、哪些不能被報道。在十月，位於巴黎的無國界記者組織公佈了一份由化名為“陶西喆”的中國網路科技專家提供的令人震驚的報告。他收集了他和他的同事們收到的來自當局的幾十份指令。下面是其中一例：

6月17日18時35分 北京市網路管理辦公室副處長 陳華
各位，近一段時間以來，網上有不少關於深圳員工胡新宇"過勞死"的報道和帖
文，請各網站不再轉發此類文章，已有的要全部壓到後臺，論壇和部落格中也不要貼
發有關胡新宇"過勞死"的文章。

“國內的審查制度是真實存在的，而且有關social control, human surveillance, peer pressure, and self-censorship，”伯克利的Xiao Qiang說。去年秋天，一隊來自加州大學戴維斯分校和新墨西哥大學的電腦科學家釋出了一份關於防火長城的原理和如何擾亂它的詳盡報告。但是他們著重強調了一個非技術因素，“審查導致的自我審查。”

把中國描述為受意識形態禁錮的國家並不正確。它在許多方面難以置信的開放。“大多數中國人比從前生活在這片土地上的人感覺自由得多，”一個在美國獲得博士學位的中國軟體工程師告訴我。“從前沒有任何言論的一點空間，政府很聰明地選擇再不威脅其生存的方面持續擴大空間。”但是忽視人民禁止討論話題帶來的累積效應同樣是錯誤的。“不管美國人是否支援布什，它們都不可避免的注意到Abu Ghraib，”Rebecca MacKinnon說。在中國，“這樣的控制意味著整個被認為對社會穩定有害的言論都不能存在於公眾討論中。”大多數中國人對國際熱議的話題完全沒有概念，比如關於三峽大壩的爭議。

關於今日中國的無數問題都歸結為：這樣的情況能夠持續多久？在自然環境崩潰之前工業還能持續增長多久？在窮人抓狂之前，貧富分化的情況還能繼續惡化多久？這些構成一張類似問題的清單。而防火長城將這些問題置於另一個形式：政府控制民眾知情權的情況還能持續多久？目前看來，很長。

P.S.：原文的Digg頁面：Why Internet Censorship in China is So Incredibly Effective（上過Digg科技頻道的首頁，我就是這樣找到的，看來不僅是我們自己關心）