2010年2月26日星期五

[GFW BLOG] 文献:[美] 2006 网络自由法案

来源:译者

原文标题:109TH CONGRESS 2D SESSION H.R. 4780

译文标题:[美] 2006 全球网络自由法案

译者:kestry
校对:@xiaomi2020

H.R.4780
第109届国会
第二次会议


法案


促进互联网上的言论自由,保护美国企业,使之免受国外威权政府强迫参与迫害行为以及为其它目的服务。


众议院
2006年2月16号


新泽西州史密斯先生(代表其本人及兰托斯先生、沃尔夫先生、佩恩先生、罗拉巴克先生和俄亥俄州的瑞安先生)提交了下列法案;该法案被分案至国际关系委员会,此外还递至能源和商务委员会,随后经议长决定,将法案分割由相关委员会审议涉及其管辖范围的条款部分。


促进互联网上的言论自由,保护美国企业,使之免受国外威权政府强迫参与迫害行为以及为其它目的服务。

提请该法案由美利坚合众国参议院和众议院审议通过


第一节 简称、目录。


(一)简称-该法案被引述时应被称为“2006全球网络自由法案”

(二)目录-该法案的目录如下:
   第一节  简称、目录
   第二节  结论
   第三节  定义
   第四节  可分割性


第一编 - 促进全球网络自由


sec.101  政策声明
sec.102  国会的理解
sec.103  年度国别人权报告
sec.104  全球网络自由办公室
sec.105  年度互联网限制国家认定、报告


第二编 - 网络自由的最低公共标准


sec.201  搜索引擎及内容服务保护
sec.202  搜索引擎的完整
sec.203  搜索引擎信息过滤透明性
sec.204  保护美国支持的线上内容
sec.205  互联网审查的透明性
sec.206  用户身份信息完整性
sec.207  罚则


第三编 - 对互联网限制国家的出口管制


sec.301  出口管制规定
sec.302  报告


第二节、调查结论


美国国会提出了以下调查结论:
(1)言论自由和新闻自由是基本人权,互联网的自由使用受到世界人权宣言第19条保护,该条规定,必须保护“通过任何媒介和不论国界寻求、接受和传递消息和思想的自由”。
(2)互联网是成功的,因其迅速提供信息给九亿七千二百多万全球用户。
(3)如果信息没有受到政治审查,互联网与其他信息技术的发展将可成为民主变革的力量。
(4)互联网在引起国际社会关注外国威权政府禁止讨论的事件方面起得到作用,比如中国政府企图封锁爆发于2004年的严重急性呼吸道症候群(SARS)的消息。
(5)通过互联网迅速提供充分及未经审查之信息,业已成为美国主要产业之一,亦是其主要出口产品之一。
(6)互联网政治审查会降低服务质量,并最终威胁美国国内外产业自身可靠性及生存力 。
(7)国外威权政府例如白俄罗斯、缅甸、中国、古巴、伊朗、利比亚、马尔代夫、尼泊尔、朝鲜、沙特阿拉伯、叙利亚、突尼斯、土库曼斯坦、乌兹别克斯坦和越南阻止、限制并监视其公民尝试获取信息的行为。
(8)提供未经审查的新闻与信息的网站,例如美国之音和自由亚洲电台的网站,在这些国家经常被屏蔽。
(9)2003年6月,范洪森医生从美国驻越南大使馆网站翻译了一篇题为“什么是民主”的文章后,被越南社会主义共和国政府逮捕,并被判间谍罪名成立,处以13年监禁和3年的居家软禁(上诉后减刑为5年监禁和6年居家软禁)。
(10)根据国务院的国别人权报告,越南政府于2004年加强了对互联网的管制,要求网吧等互联网代理商,登记其用户个人信息以及保存用户访问互联网之记录。此外越南政府还监测电子邮件、敏感的搜索关键词,并控制互联网内容。
(11)中国政府采取的网络审查制度违反了中国宪法第35条对公民言论、出版、集会、结社、游行、示威自由的保护规定。
(12)中国政府推动、延续审查制度,以及加剧仇外——有时特别是针对美国——的民族主义,其长期影响将是损害美国防止美中之间的关系变得敌对的努力。
(13)具有双重用途的技术未加审核的转让已经提高了中国成功入侵台湾的可能,并相应减少了美国与台湾捍卫民主社会的能力,使东亚的紧张局势进一步升级。
(14)经营受到外国威权政府限制的美国科技企业有责任遵守世界人权宣言的原则。
(15)屈服于外国威权政府压力,并为其提供有关互联网用户信息,导致网络异议人士被逮捕和监禁的美国科技企业违反了此类公司须保护和维护人权之共同责任。
(16)美国科技企业为外国威权政府提供技术及培训,以协助这些政府过滤、封锁促进民主与自由的信息。
(17)美国科技企业未能制定使其能够与外国威权政府开展业务的同时保护言论及表达自由的人权之标准。
(18)美国支持言论和新闻自由的普世权利。


第三节、定义


在本法中:
(1)国会有关委员会——除本法另有规定外,“国会有关委员会”这一术语是指:
 (A)众议院国际关系委员会;及
 (B)参议院外交关系委员会。
(2)外国官员
 (A)通常,“外国官员”这一术语是指:
  (i)外国政府或任何部门、机构、国有企业的所有官员或雇员;或
  (ii)以任何政府或部门、机构、国有企业,或部门的官方代表身份行事的所有人员。
 (B)国有企业——对于(A)小节来说,“国有企业”是指一个商业实体,外国政府直接或间接地拥有该商业实体一半以上净发股本或其他受益权益。
(3)互联网——“互联网”指的是计算机设备、电信设施、电磁传输媒介及相关设备和软件的整合体,包括互相关联的世界性的网络 、计算机网络,它采用传输控制协议(TCP)/ 互联网协议(IP)或任何后续协议来传输信息。
(4)互联网主机托管服务——“互联网主机托管服务”和“主机内容托管服务”是一种服务,该服务:
 (A)通过电磁或其他手段存储电子数据,包括网页、电子邮件,文件、图片、音频和视频文件,在线讨论区和网络日志;及
 (B)使这些数据可以通过因特网得到。
(5)互联网封锁——术语“互联网封锁”是指使用诸如防火墙、过滤器及“黑盒”等技术手段,干扰、审查、屏蔽、监控或者限制进入互联网,或通过互联网得到内容。
(6)互联网限制国家——是指由总统根据本法案第105条a款指定的国家。
(7)互联网搜索引擎——术语“互联网搜索引擎”或“搜索引擎”是指一个通过互联网提供的,根据条件、概念、问题、或用户输入的其他数据组成的查询,通过互联网搜索信息并返回给用户结果,包括了统一资源标识符、定位、浏览或下载信息及数据的超链接地址列表的服务。
(8)正当的外国法律执行目的,
 (A)总则:术语“正当的外国法律执行目的”是指对于执行来说,外国官方按照公开发布的法律进行的调查、起诉应具有明确的正当性,近似于须保护促进其管辖权范围内公民的健康、安全及道德。
 (B)解释法律的规则——对于本法案来说,控制、压制及惩罚由公民权利和政治权利国际公约第19条保护的,非暴力政治或宗教意见,并不构成正当外国法律执行意图。
(9)保护过滤条件——术语“保护过滤条件”是指由全球网络自由办公室根据本法案第104条第2款第4项鉴定的单词、词组及短语。
(10)严重限制互联网自由——术语“严重限制互联网自由”是指依据正当外国法律执行意图以外的原因限制或惩罚通过互联网自由获得信息的行为,包括:
  (A)故意屏蔽、过滤或审查可通过互联网获得的非暴力的政治或宗教内容;或
  (B)迫害,起诉或以其他方式惩罚通过互联网及电子邮件传送、张贴非暴力的政治、宗教观点之个人或团体。
(11)美国公司——术语“美国公司”是指:
  (A)任何公司、合伙企业、协会、股份公司、商业信托、非法人组织、或独资的——
   (i)其主要营业场所在美国;或
   (ii)依据美国某州、地区、属地或美国联邦的法律建立;
  (B)任何根据1934年证券交易法第12条(美国法典第15编78j节)进行证券发行注册的发行人;和
  (C)任何符合本条(A)、(B)款描述的实体的国外子公司,这样的实体——
   (i)控制国外子公司的有表决权股份及其他权益;或
   (ii)授权、指挥、控制、或参与由本法案禁止的外国子公司所做行为。
(12)美国支持的内容——术语“美国支持的内容”是指由美国资助的信息实体创建或发展的全部或部分内容。
(13)美国资助的信息实体——术语“美国资助的信息实体”是指:
  (A)任何美国政府官方机构;及
  (B)任何实体:
   (i)接受来自广播理事会拨款进行符合美国1994年国际广播法案(公法103-236号第三编; 美国法典第十五编78i节及下各节)国际广播活动;
   (ii)与国际广播局协调,进行所有由美国政府依据法案支持的非军事国际广播活动(不同于广播理事会按照本法支持的国际广播活动):或
   (iii)接受来自美国政府拨款或其他类似的捐款进行任何信息传播活动。
(14)美国资助的网站——术语“美国资助的网站”是指一个美国资助的信息实体所拥有、管理或注册的万维网地址。


第4节、 可分割性


如果本法案的任何条款,或该条款对任何人或情况的适用被视为无效,则本法案的其余部分,及其规定适用于其他不同个人或情况的有效性,并不受影响。


第一编、全球互联网自由的推广


101、政策说明
以下应成为美国的政策:
(1)推广所有通过互联网访问及提供信息、思想、知识的技能,推动通过任何不受限的媒介获取和传播信息、思想的权力应成为美国外交政策的重要组成部分;
(2)发挥所有美国载体影响力,包括外交、贸易政策以及出口管制等手段,支持、促进并加强促进信息自由传播的原则、做法和价值观;及
(3)禁止任何美国企业参与限制互联网自由国家的对网络内容的政治审查行为。


102、国会的理解
国会认为:
(1)总统应着手在适合的国际论坛上实施谈判,其中包括经济合作与发展组织(OECD)、世界贸易组织(WTO)、联合国信息社会世界首脑会议(WSIS)和互联网治理论坛(IGF),以获得其他国家同意立法类似的法案,并寻求保护互联网自由的国际协定之发展;
(2) 本法案定义的美国公司允许或协助国外威权政府限制在线访问自由亚洲电台、美国之音或其他美国资助的网站,及限制在线访问美国政府报告,例如年度国别人权报 告人权和国际宗教自由报告之行为,违反了美国外交政策中的国家利益,并削弱美国公共资金为所有生活在不民主的高压社会的人民促进信息自由之努力。


103、年度国别人权报告
(a)报告所涉及经济援助部分——1961年对外援助法第116条(美国法典第22编第2151n节)现予修订,在其结尾处增加以下新的条款:
  “(g)(1)-(d)款所要求内容应包括对各国电子信息自由的评估报告。该评估应包括以下内容:
           “(a)该国公民对互联网接入及使用总体情况评估。
           “(b)对该国政府当局试图过滤、审查或以其他方式屏蔽网络内容程度的评估,以及企图阻止这些内容所采取手段之描述。
           “(c)对该国政府当局迫害、起诉或以其他方式惩罚通过互联网及电子邮件和平表达政治、宗教或异议观点见的个人或团体之已知实例说明。
         “(2)在汇编数据及按第(1)款要求做出评估时,美国外交使团人员应与人权组织和其他适当的非政府组织进行磋商。
(b)报告所涉及安全援助部分——1961年对外援助法第502B条(美国法典第22编第2304节)现予修订,在其结尾处增加以下新的条款:
  “(i)(1)-(b)款所要求内容应包括对各国电子信息自由的评估报告。该评估应包括以下内容:
          “(A)该国公民对互联网接入及使用总体情况评估。
          “(B)对该国政府当局试图过滤、审查或以其他方式屏蔽网络内容程度的评估,以及企图阻止这些内容所采取手段之描述。
          “(C)对该国政府当局迫害、起诉或以其他方式惩罚通过互联网及电子邮件和平表达政治、宗教或异议观点见的个人或团体之已知实例说明。
        “(2)在汇编数据及按第(1)款要求做出评估时,美国外交使团人员应与人权组织和其他适当的非政府组织进行磋商。


104、全球网络自由办公室
(a)机构-目前已成立隶属国务院的全球网络自由办公室(在本节中简称“办公室”)。
(b)职责-除总统分派的其他职责外,办公室应——
  (1)充当努力保护和促进国内外电子信息自由的跨部门合作平台;
  (2)制定并实施一个全球性战略,以打击国外威权政府国家资助、控制下的互联网封锁,以及该政府对其公民使用因特网之威胁与迫害行为;
  (3)为总统提供根据本法案第105(a)规定所认定的年度互联网限制国家名录;
  (4)自本法案颁布之日起180天内——
    (A)确定每一个互联网限制国家在一般及与具体背景、事件相关的特殊情况下有关人权、民主、宗教信仰自由及非暴力的政治异议方面的关键词、词组和短语,为美国公司遵守本法案第202条的要求提供依据;
    (B)定期维护、更新并公布依据(A)款规定确定之关键词、词组和短语;
  (5)建立机制,使美国公司能够将本法案第203、205条要求报告的信息发送到办公室;
  (6)与涉及网络提供、网络维护或网络服务的合适的技术公司,人权组织、学术专家和其他机构,合作制订关于互联网自由的最低公共标准自愿准则;及
   (7)就国会相关委员会的立法行为,向其建议可能有必要保留本法案及本法案因技术革新所作修正案中的条款
(c)其他联邦部门和机构的协作——每个美国政府部门和机构,包括商务部、美国贸易代表办公室、司法部、国际广播局以及国家情报总监办公室,应:
  (1)充分合作,并协助执行本节(b)项描述的该办公室的职责,包括由办公室根据第(b)(2)款制定的战略,和
  (2)使办公室能够得到需要的资源和信息以实现本法案及本法案修正案的目的。
(d)定义——在本节中,术语“国会相关委员会”是指:
  (1)国际关系委员会与众议院能源和商务委员会;及
  (2)对外关系委员会与参议院商务、科学和运输常设委员会。
(e)拨款授权——从2007财年开始及以后每个财政年度,授权向办公室拨付实施本条可能需要的款项。

105、年度互联网限制国家认定、报告
(a)认定:
 (1)一般规定——自本法案颁布之日起180天内,及其后每年,总统应依据本法案之意涵认定互联网限制国家。
 (2)标准——如果总统裁定在之前一年间,某国政府对于该国成为严重限制互联网自由的系统性范式负有直接或间接责任,该国应被认定为互联网限制国家。
 (3)初始认定,
  (A)总则 ,本条(B)款所列国家自本法案颁布之日起均应依照(1)规定视作已被认定的互联网限制国家,直至总统向国会有关委员会作证,该国已不再对其成为严重限制互联网自由的系统性范式负有直接或间接责任时取消该认定。
  (B)国家——本条(A)款所指的国家的是缅甸、中国、伊朗、朝鲜、突尼斯、乌兹别克斯坦和越南。
(b)报告
 (1)总则——自本法案颁布之日起180天内,及其后每年,总统应向国会相关委员会递交报告,其中应包含以下内容:
  (A)在递交报告时依据(a)之规定所认定的互联网限制国家名录。
  (B)应为严重限制互联网自由负责的,每个依据(a)之规定所认定的互联网限制国家的各政府机构及半官方组织的身份信息。
  (C)美国打击(B)项提到的严重限制互联网自由行为所作努力之说明。
 (2)形式——报告中(1)(C)所要求的信息,如必须可以机密形式提供。
 (3)互联网可见——该报告的所有非机密部分应发布至国务院的互联网站点使其公开可见。

第二编 - 网络自由的最低公共标准

 201、搜索引擎及内容服务保护
任何创建、提供或经营互联网搜索引擎及提供互联网主机内容托管服务的美国公司,不得在裁定的互联网限制国家设置用于收藏、存储、服务,或保存这些搜索引擎及主机托管服务所提供的相关文件及其他数据的计算机硬件。

 202、搜索引擎的完整性
任何创建、提供或经营互联网搜索引擎的美国公司不得因保护性过滤条件或下列缘由人为改变搜索引擎的运行:
(1)应任何互联网限制国家官方要求,及其通过他种方式直接或间接传达的意愿,或
(2)互联网限制国家的用户使用搜索引擎查询时,为其生成与他国用户预期或可能得到之结果相异的搜索结果。


203、搜索引擎信息过滤透明性
任何创建、提供或经营互联网搜索引擎的美国公司,应按照全球网络自由办公室指定的格式及频率,向办公室提供任何互联网限制国家官方提供的,用来过滤、限制或以其他方式影响用户使用搜索引擎所得查询结果的已提交、加入的所有条件及参数。


204、 保护美国支持的在线内容
提供互联网主机托管服务的美国公司不得对位于互联网限制国家的美国资助的网站及支持的内容进行网络封锁。


205、互联网审查的透明性
任何提供互联网主机托管服务的美国公司,应按照全球网络自由办公室指定的格式及频率,向办公室提供该公司应任何互联网限制国家官方要求及其通过他种方式直接或间接传达的意愿进行以下行为时,该公司拥有的所有数据及内容的拷贝——
(1)从该公司主机托管服务移除的;
(2)阻止在互联网上提供的;或
(3)阻止通过互联网进入或在互联网限制国家国内传输。


 206、用户身份信息完整性
(a)用户保护——任何提供互联网主机托管服务的美国公司,非经司法部裁定为有正当的法律执行目的,不得为任何互联网限制国家的官员提供使用其主机托管服务的用户可确定之个人身份信息。
(b)私人诉权——任何人如受到相对方违反本条之侵害,可不考虑级别管辖及相对方的国籍,向相关美国地区法院提起损害赔偿诉讼,并要求惩罚性赔偿,或寻求其他适当的救济。


 207、 罚则
(a)民事处罚:(1)任何美国公司或个人违反第206(a)之规定将处以不超过$2,000,000元的罚款。
    (2)任何美国公司或个人违反第201,202,203,204或205之规定将由司法部长起诉并处以罚款不超过$10,000元的民事处罚。
(b) 刑事处罚:(1)任何美国公司,蓄意违反,或试图蓄意违反第206(a)之规定将处以不超过$2,000,000元的罚款,如代表该美国公司的官员、董 事、雇员、代理人、股东等自然人违反该条规定的,应处以不超过$100,000元的罚款,或5年以下监禁,或两者同时处罚。
    (2)任何美国公司,蓄意违反,或试图蓄意违反第201,202,203,204或205之规定将处以不超过$10,000元的罚款,如代表该美国公司 的官员、董事、雇员、代理人、股东等自然人违反该条规定的,应处以不超过$10,000元的罚款,或1年一下监禁,或两者同时处罚。
    (3)根据第(2)条之规定被处以罚款的任何美国公司的官员、董事、雇员、代理人、股东,无论何时都不得由美国公司直接或间接为其支付罚金。


第三编 - 对互联网限制国家的出口管制


301、出口管制规定
自 本法案颁布之日起90天内,国务卿应与商务部长磋商,并发布条令确定恰当的外交政策控制规定与出口许可证制度,使美国辖下的任何人能够了解到,向互联网限 制国家的、全部或部分地参与促进互联网审查制度的最终用户出口任何物品,均应遵守联邦法规汇编第十五编730-774条(通常称为“出口管理条例”)之规 定。


302、报告
自本法案颁布之日起120天内,国务卿应与商务部长磋商,并就贯彻本法案第301条之规定所采取的行动向相关国会委员会提交报告。

相关阅读:

美国专辑

文献法规

译者频道—热点专题—互联网与政治

kestry的个人专辑

来源说明:本文1.0版本来源译者的志愿翻译者团队。


收录说明:本文已经收录到“译者文集”中,同时进入“文献法规”、“美国”、“译者频道—热点专题—互联网与政治”、“译者kestry的个人专辑”索引。



--
Posted By GFW Blog to GFW BLOG at 2/26/2010 09:08:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 中国自创英文单词[中英字典版]

来源:译者

标题:那些有中国特色的自创英文单词[中英字典版]
 
网友群体创作

Smilence 笑而不语

vi. When you are expecting some answers from your Chinese audience, you may just get a mysterious smile and their silence only.
动词 当你期望从中国听众那里获得一些回答的时候,你只得到了神秘的微笑和他们的沉默。

n. the facial expression with smile while keeping ones mouth shut.
名词 笑而不语的表情

ie. Once asked about what happened after July, 5th, 2009 in Xinjiang, the western province of China, many Uygurs smilenced.
例句:当被问及新疆七・五事件之后发生了什么,许多维族人笑而不语。

Democrazy 民主妄想

n. Democrazy is an illusional system of government in which people choose their rulers by voting for them in elections, which only exists in few Chinese imagination.
名词 极少数中国人所想象的由人民通过投票来选择领导者的一种妄想中的制度。

ie. In the mysterious land like China, the cure for democrazy, a dangerous sickness can be found in mental-illness hospitals or prisons.
例句:在中国这片神奇的土地上,要治疗民主妄想这种危险疾病的方法就是进精神病医院或监狱。

Togayther 终成眷属

adverb:be with each other no matter what
无论怎样在一起

ie. They met each other in a Chinese university campus; they have been togayther finally after graduation and going abroad.
例句:他们在一所中国的大学校园里相遇,他们终于在毕业出国后终成眷属。

Freedamn 自由

n. Once you think you can do what you want to do, you are also damned in Malegebi.
一旦你以为自己可以想做什么就做什么,你在马勒戈壁也就玩完了。

ie. Life is dear, love is dearer. Both can be given up; then all you have is freedamn.
例句:生命诚可贵,爱情价更高,二者均已抛,自由也未到。

Shitizen P民

n. a shitizen of a particular country like China is legally accepted as belonging to that country without any right of citizen.
P民是在特定的国家,如中国,在法律上被认定属于这个国家但没有任何公民权利的“公民”。

ie. "I'm a senior official as your mayor, and you are only a shitizen!"quote from a high-rank drunk Chinese official, Mr. Lin.
中国的林先生,一位高级官员在酒后说:“我和你们市长一个级别,你就是个P民!”

Divoice 离婚宣言

n. an announcement made for divorce
为离婚而发表的声明

ie. "I am so happy to divorce with you. And I wish you and your Xiaosan a merry marriage like ours."That's a divoice from a woman who managed to leave her ex-husband almost nothing.
例句:“我很高兴与你离婚。我祝你和你的小三的婚姻如我们曾经那样的幸福。”这是一位妇女成功地让她的前夫“净身出户”之后的离婚宣言。

Animale 男人天性

n. the basic instinct of the species called "male"
被称为“男人”这一种群的本能

ie. Tiger Woods didn't do anything wrong but showing his animale.
例句:老虎・伍兹除了展示了一下男人天性之外,什么也没做错。

Amerryca 享乐国

n. A country where people enjoy 70% energy supply and asking others to cut carbon emission.
一个自己享用了全球70%的能源供给却要求别的国家减少碳排放量的国家

ie. If you were elected in Amerryca, you would be a war president and Nobel peace prize winner at the same time too.
例句:如果你在享乐国当选了,你也能同时成为战时总统和诺贝尔和平奖获得者。

Innernet 内联网


n. a restricted computer network connecting other approved networks and computers in certain regions or countries like China, Iran, Vietnam etc.
在某些特定的地区或国家,如中国、伊朗、越南等,仅与被批准的通信网络和电脑相联的网络

ie. "What is Yake Lizard what is Yake Lizard, ah? Innernet is Yake Lizard!" “什么亚克蜥?啊 什么亚克蜥?内联网就是亚克蜥!”
Please refer to this article for more details:请阅读下文获得更多信息:本文中译译者即将推出《泰晤士报:中国的互联网被神秘动物作弄》

Chinese censors tormented by mythical animal - Times Online

Yakshit 亚克蜥

n. abbreviation of Yake Lizard mentioned above
亚克蜥的缩写

ie. "What is yakshit what is yakshit, ah
The CPC Central Committee’s policies are yakshit."
"什么亚克蜥?什么亚克蜥?啊
党的政策亚克蜥。"

Translation of the full lyric of the hot song played on the show of Spring Festival for the year of tiger.
虎年春节联欢晚会上的热门歌曲《亚克蜥》全文歌词英译,by@ChinaGeeks见下:

Yakshit: The New Year’s Hottest Internet Slang?

Departyment 有关部门

n. The most mysterious department in China, which is in charge of almost everything and you can never find it when needed.
最为神秘的中国部门,它主管几乎所有的事,但你永远无法找到它

ie. When google said it wants to negotiate with Chinese departyment about its threat of pulling out of China, it found that there is no such a departyment.
当谷歌说要和中国的有关部门谈判撤出中国的威胁时,它发现它找不到这个“有关部门”。

Suihide 躲猫猫

v. kill oneself by playing seek-and-hide game
躲猫猫式自杀

ie. The word suihide is invented from the experience of Mr. Qiaoming Li ,who was found dead after he was put into custody more than 10 days for his cutting a tree on Kuming city, Yunnan province. The initial report issued by the police said he fell down when playing a hide-and-seek game during the custody along with other prisoners.

“躲猫猫”一词来源于李荞明的经历,他因涉嫌砍伐了一颗云南省昆明市的树木而被拘禁,在拘禁十天后他被发现死亡。警方出具的最早的报告称他是在拘留所里和其他犯人玩“躲猫猫”游戏时意外身亡。

Don’train 动车

v. the advanced high-speed train which costs more than average Chinese can afford.
大多数的中国人乘不起的先进的高速列车

ie. When they were told that most of migrant works cannot afford go back to their hometowns for the Spring Festival reunion by airplane, the officials responded, "Now they have the option to take Don'train."
当被告知多数的农民工没钱乘飞机回家过年时,官员们的回答是“现在他们可以乘动车嘛!”

Corpspend 捞尸费


n. the fare you are supposed to pay for others to save your corpse after you die.
你在死后应付给捞尸者的费用

ie. If you can avoid being fished when you are alive, and save most of the corpspend, you are definitely a successful shitizen!
如果活着的时候你能逃过被“钓鱼”,死后又能省下大部分的“捞尸费”,你绝对是一名成功的P民!

Please refer to the following for details: 请点击下面的报道了解更多详情。

Three Teens Drowned In Jingzhou


Jokarlist 妓者

n. a person whose job is to collect and write false stories for newspapers, magazines, radio or television and make them not as much as jokes.
一名为报纸、杂志、广播或电视制造虚假消息,并使它们显得不那么象笑话并以此为职业的人

ie. Every jokarlist make such statement when they start their professional life, "I swear that in my professional life, I will write only for those who give me tips and make sure nobody would be pissed off by my reports."
每位妓者在开始其职业生涯时都要做如下声明:“我宣誓,我仅为那些给我红包的人写作,并确保无人将因为我的报道而发怒。”

Vegeteal 偷菜

v. the most popular on-line game in China which everyone with IQ above 30 can play.
任何智商在30以上的人都可以玩的中国最流行的网络游戏。

ie. Netizens in Xinjiang have paid cash for friends out of the province to continue play vegeteal for over half a year, and the market demand even created related jobs.
新疆网民向外省的朋友付费来持续玩偷菜游戏超过半年,这种需求甚至创造出了相关的工作岗位。

Related reports相关报道:

NYT:China's Self-Defeating Censorship
全文中译:
纽约时报:中国的网络审查适得其反

Chinsumer 中国消费者

n. Chinese people whose spending can save China, America, EU and Taiwan from financial crisis at same time
那些可以在金融危机中同时拉动中国、美国、欧盟和台湾内需的中国人

ie. Why do we need to export any value to be a superpower? As long as we can export Chinsumers, nobody would look down upon us.
为什么我们需要输出价值观才能成为强国?只要我们能输出中国消费者,就没有人会小看我们。

Sexretary 秘书

n. Assistant who helps her boss whenever and whatever he needs.
帮助老板满足任何时间任何需要的助手

ie. Bill Clinton, as any successful animale, has a wonderful wife and a dozen sexretaries.
比尔・克林顿,作为一名成功的男人,有一名出色的太太和一打秘书。

Canclensor 审查


v. A protective action made by Big brother who always takes care of you with your own money, for example, they help delete inappropriate on-line content before you can get access.
一种由老大哥做出的保护性行动,由他代表你用你自己的钱来照顾你,比如说,删除不健康的网上内容。

ie. "What is yakshit what is yakshit, ah
The canclensor is yakshit."
“什么亚克蜥?啊 什么亚克蜥?内容审查亚克蜥!”

Carass 轻拂菊花

v. the super treatment usually only available to high-rank officials in China
一种通常只有高级别“人民公仆”才能获得的超级待遇

ie. Mr. Xilai Bo, the party boss of Chongqing city, was carassed because of his "Cracking-Organized-Crime" Campaign through a special song created and dedicated to him —— The Song of Xilai
薄熙来,重庆市的党领导,因轰轰烈烈的“打黑行动”而成为一首轻拂菊花的颂歌《熙来之歌》里的主角。

Emotionormal 情绪稳定

adj. being calm and reasonable, usually with the smilence expression
非常平静和讲理的心态,通常此时当事人会笑而不语。

ie. After Yangjia's execution, his mother was reported emotionormal from the mental-illness hospital, according to state-owned media.
在杨佳被处决后,国营媒体说,他的妈妈在精神病院里情绪稳定。

Harmany 河蟹

adj. the stable situation where everybody is emotionormal and there is no sign of unrest at all
每个人都情绪稳定,没有任何群体性事件迹象的美好状态

ie. We have been in a harmany society for too long to remember what is harmony.
我们在一个河蟹的社会呆得太久已经忘记了什么是真正的和谐。



来源说明:本文1.0版本来源译者的志愿翻译者团队及网友。欢迎来信增加更多语种的翻译版本,或增加更多的“中国自创英文单词”。email2: xiaomi2020[at]gmail.com

收录说明:本文已经收录到“译者文集”中,同时进入“
最新消息”、“译者频道—看中国”、“零星其他”、“群体创作”索引。



--
Posted By GFW Blog to GFW BLOG at 2/26/2010 09:05:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

2010年2月25日星期四

[GFW BLOG] 翻墙工具:AES Secure Proxy 加密代理 Beta 0.6

作者:aboutgfw   来源:About GFW : GFW 非官方网站

最新更新:2009 年 10 月 27 日

关于本程式

AES Secure Proxy (下称本程式)由 AboutGFW.com 原创、推出,情况许可的话,请于转载时注明出处。

本程式绝对免费、免安装(本地端),绝无广告及弹出窗口。

本程式基于 Microsoft .NET Framework 及 PHP 5 编写,请确定阁下有合适的运行条件。

本程式可接受其他电脑的连线,有需要的话可自行设定防火墙。

如何安装本程式

本程式由两部份构成:

  1. 远端代理

    用户请将 phpproxy.php 上传到一个可运行 PHP5 的伺服器

  2. 本机代理

    不必安装,用户在本机运行 AESProxy.exe 后,只需于浏览器及其他支援 HTTP 代理的程序中,把 HTTP 代理设定为:

    127.0.0.1 port: 8080 (预设值)

 

此时,用户应可通过本程序上网。

本程式的工作原理

当用户在本机设定 HTTP 代理后,AESProxy.exe 会于后台把所有网页请求转换为 http://你的网址/phpproxy.php?加密后的请求网址

当有关请求送到你的伺服器后,phpproxy.php 会将有关请求解密,并取得目标网页或资源,再传送给用户。

同时,在取得相关资源后,phpproxy.php 会视乎取得的资源类型,决定是否加密。(由于目前只是测试版,只对 html 内容进行加密,而 javascript / css / 图片等将以明文传送)

因此,本程式可确保 GFW 不会因网址及网页内容重设连线,且因网站请求于远端发起,不受错误的 DNS 结果影响。

这个程式的加密可靠吗?

本程式�用 AES CTR 对网址及网页内容进行加密,最高的加密级别可设为256 bits(预设为128bits)。该加密法是美国联邦政府�用的一种区块加密标准,详情可参考: http://zh.wikipedia.org/zh-hans/高级加密标准 ,就网页传送而言,该加密法应相当可靠。

同时,由于 CTR 加密模式可设定一个可变数值(应称为:salt),故即使是同一字符串,每次产生的密文亦不一样,从而使 GFW 没法通过对比特徵码封锁(像一般 只以 BASE64 编码的 PHP PROXY )。

现时这个程式支援什么网站?

本程式目前支援以下项目:

  • 以 GET 或 POST 指令取得网页
  • COOKIE

因此,一般网页的表单传送,登入皆可支援。

 

已测试网站:

已知问题

  • 目前并未对送出的表单加密(未为也,非不能也),请留意
  • 与 Windows 的 UAC 有冲突,必须以管理员模式运行(感谢 @elvis_w 回报)
  • 因目前本程式是对整个网页的原始码进行加密,故在必须等待整个网页下载完成方会显示。(日后会考虑分段加密)(0.5.2 更新)
  • 若网页包含doubleclick 的广告、google analytics,有时会导致浏览器一直显示为载入中。
  • 部份网站如 google.com 的登入因往返  https 及 http 之间,间中会有未能登入的现象。

 

详细设定

远端:

用户可用纯文字编辑程序(如:notepad++),网页编写程序(如:Dreamweaver)修改以下项目:

(注:不可用 记事本 即 notepad 修改,否则会因编码问题出错)

$allowIPs = array();

用此可在此处加入一个或多个容许使用的 IP 位址,其格式如下:

$allowIPs = array(

'111.111.111.111',

'112.112.112.112',

'113.113.113.113'

);

若括号内不填任何 IP 位址 则为容许所有人使用


$key = 'testingkey';

请在单引号内填写密钥,一般设为8位或以上即可

$keybits = 128;

加密程度,可选值为:128、192及256,一般保留预设值 128 即可,可拥有较性效能

 

本机

同样,以纯文字编辑程序或网页编写软件打开 AESProxy.exe.config,该档案的格式如下:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <appSettings>
    <add key="localPort" value="8080" />
    <add key="phpProxyUrl" value="http://yourwebsite/phpproxy.php?" />
    <add key="aesKey" value="testingkey"/>
    <add key="aesBit" value="128"/>
  </appSettings>
</configuration>

 

localPort:本机开启的埠号,除非与其他程序相�,否则保留预设值即可

phpProxyUrl:请填写存放phpproxy.php 的路径

aesKey:保持与远端的 $key 一致

aesBit:保持与远端的 $keybits 一致

建议事项

因设定代理后,墙内网站亦会透过代理连接,影响效能,故建议配合 pac 脚本 或 firefox 的 autoproxy 插件使用。 (日后可能加入一个设定档供用户设定那些网站需经加密代理连接)

有墙外主机的朋友,可与三五知己分享同一个远端连线,一起翻过长城做好汉。 :)

请热心人士帮忙测试,若发现本测试版有问题后,请注明 「问题回报」,电邮给:support[at]aboutgfw.com,我们会尽快跟进。

通过 twitter电子邮件 向我们提供更多的主意。

 


档案下载

.NET Framework 2.0/3.0/3.5 适用 版本: 下载 0.6 

.NET Framework 2.0/3.0/3.5 适用 版本: 下载 0.5.1 版

.NET Framework 2.0/3.0/3.5 适用 版本: 下载 0.5.2.1

 


人手招募

目前 AES PROXY 已可分组自订代理,需要人手维护一个类似autoproxy gfwlist的列表(不过我们应该会分类录入,供用户自订下载[下载将以aes加密,可避免遭解密拦截] ^^ )。

所以目前需要招募人手,有意者请联络我们,谢谢。

 


目前收到的意见

@chuwangtai: 可用,但慢,可能跟主机有关。建议config中可添加多个服务器。

@mickeywaley: 看了下,目前只能WIN下用,我用UBUNTU就不测试了

@elvis_w: 感觉控制台程序不太方便,建议运行成系统服务或者能缩小至任务栏图形前端(0.5.2 更新)

 


更新记录

0.5.0
  •  初版
0.5.1
  •  修正 GBK 支援问题
0.5.2
  •  改为 winform 程序
  • 可最小化到任务栏,点击任务栏图示还原
  • 密钥算法优法,于php 端 及 本机 皆会生成缓存
  • 分段加密,使 css 及 javascript 档得以提早下载,速度提升25-40 %(受网络速度、网页大小影响)
0.5.2.1
  • 修正表单执行错误
  • 改为双击任务栏图示还原表单
0.6
  • 预设直接运线,不使用任何代理
  • 未分类网站以 AES 加密连线(日后版本可设定)
  • 可按需自订网站的代理 (支援正则)
  • 可支援: Free Gate (port: 8580) / Puff (port: 1984) / Tor (port: 8118) / Your Freedom (port: 8080) / 普通 HTTP 代理 (内建一个测试,未开放设定,可到 http://whatismyipaddress.com/ 验�)
  • 未分类网址预设使用 AES 加密连线(暂时仍是用设定档设定)



--
Posted By GFW Blog to GFW BLOG at 2/25/2010 11:56:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] GFW 历史进程

作者:aboutgfw   来源:About GFW : GFW 非官方网站

Facebook 被墙

2009 年 07 月 07 日

社交网站 facebook.com 被墙

Bing 等微软服务被墙

2009 年 06 月 02 日

微软的 Bing.com 上线后一天即被 GFW 屏蔽

同时微软的 Live.com 及 Hotmail.com 都已被墙

Python 下载页面被墙

2009 年 10 月 15 日

Python 下载页面 http://www.python.org/download 被GFW屏蔽,成为首个被墙的编程语言。

Google 服务短暂被墙

2009 年 06 月 24 日

Gmail, Gtalk, Google Docs 等短暂被墙

Twitter 被墙

2009 年 06 月 02 日

大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象

2007 年 07 月 17 日

国家计算机网络与信息安全管理中心上海分中心机房楼奠基

2007 年 04 月 06 日

国家计算机网络与信息安全管理中心上海分中心机房楼奠基,位于康桥镇杨高南路5788号,投资9047万元,“……是国家发改委批准实施的国家级重大项目,目前全国�有北京和上海建立了分中心,它是全国互联网信息海关,对保障国家信息安全担负着重要作用。”

“金盾工程”一期在北京正式通过国家验收

2006 年 11 月 16 日

“金盾工程”一期在北京正式通过国家验收,其为“为中华人民共和国公安部设计,处理中国公安管理的业务,涉外饭店管理,出入境管理,治安管理等的工程”。

“该系统”已经在北京、上海、广州、长沙建立了互相镜像的4套主系统

2005 年

“该 系统”已经在北京、上海、广州、长沙建立了互相镜像的4套主系统,之间用万兆网互联。每套系统由8CPU的多节点集群构成,操作系统是红旗Linux, 数据库用的是OracleRAC。 2005年国家计算机网络与信息安全管理中心(北京)就已经建立了一套384*16节点的集群用于网络内容过滤(005工程)和短信过滤(016工程)。 该系统在广州、上海都有镜像,互相以十万兆网链接,可以协同工作,也可以独立接管工作。

“大规模网络特定信息获取系统”获国家科技进步二等奖

2004 年

国家信息安全重大项目“大规模网络特定信息获取系统”,经费7000万,获国家科技进步二等奖。

“金盾工程”全面启动。

2003 年 09 月 02 日

全国“金盾工程”会议在北京召开,“金盾工程”全面启动。

国家计算机网络应急处理协调中心更名为国家计算机网络应急技术处理协调中心

2003 年 07 月

在北京的国家计算机网络与信息安全管理中心综合楼工程竣工

2003 年 02 月

“国家信息安全管理系统”(005工程)获国家科技进步一等奖

2003 年 01 月 31 日

经 费4.9亿的国家信息安全重大项目“国家信息安全管理系统”(005工程)获2002年度国家科技进步一等奖,方滨兴排名第一,胡铭曾排名第二,清华大 学排名第三,哈尔滨工业大学排名第四,云晓春排名第四,北京大学排名第五,郑纬民排名第七,中国科学院计算技术研究所有参与。

“大范围宽带网络动态阻断系统”项目获国防科学技术二等奖

2002 年 11 月

经 费6600万的国家信息安全重大项目“大范围宽带网络动态阻断系统”(大范围宽带网络动态处置系统)项目获国防科学技术二等奖。云晓春排名第一,方滨兴 排名第二。哈尔滨工业大学计算机网络与信息内容安全重点实验室李斌、清华大学计算机系网络技术研究所、清华大学网格计算研究部杨广文有参与。

Google.com封锁解除

2002 年 09 月 12 日

Google.com封锁解除,之后网页快照等功能被封锁,手段为TCP会话阻断

Google.com被封锁,主要手段为DNS污染

2002 年 09 月 03 日

多个国家计算机网络与信息安全管理中心省级分中心同时成立

2002 年 03 月 20 日

国家计算机网络与信息安全管理中心贵州分中心成立

2002 年 02 月 25 日

国家计算机网络与信息安全管理中心新疆分中心成立

2002 年 02 月 01 日

国家计算机网络与信息安全管理中心上海互联网交换中心日前开通并投入试运行

2002 年 01 月 25 日

报导称:“国家计算机网络与信息安全管理中心上海互联网交换中心日前开通并投入试运行,中国电信、中国网通、中国联通、中国吉通等4家国家级互联单位首批接入。中国移动互联网的接入正在进行之中,近期可望成为第五家接入单位。”

国家计算机网络与信息安全管理中心湖北分中心成立

2001 年 12 月 17 日

在北京的国家计算机网络与信息安全管理中心综合楼开始兴建

2001 年 12 月

国家计算机网络与信息安全管理中心广州互联网交换中心成立

2001 年 11 月 28 日

国家计算机网络与信息安全管理中心广州互联网交换中心成立,位于广州市越秀区建中路204号。

国家计算机网络与信息安全管理中心上海互联网交换中心成立

2001 年 11 月 28 日

国家计算机网络与信息安全管理中心上海互联网交换中心成立。提供“互联网交换服务,互联网骨干网华东地区数据交换,数据流量监测与统计,网间通信质量监督,交换中心设备维护与运行,网间互联费用计算,网间互联争议协调”,位于上海市黄浦区中山南路508号。

国家信息化领导小组重新组建

2001 年 08 月 23 日

国家信息化领导小组重新组建,中央政治局常委、国务院总理朱�基任组长。

 

组建国家计算机网络应急处理协调中心

2001 年 08 月 08 日

国家计算机网络与信息安全管理中心组建国家计算机网络应急处理协调中心,缩写CNCERT/CC。

国家计算机网络与信息安全管理中心广州分中心成立

2001 年 07 月 24 日

国家计算机网络与信息安全管理中心广州分中心成立,位于广州市越秀区建中路2、4号。

哈尔滨工业大学建立国家计算机信息内容安全重点实验室

2001 年 07 月

计算机网络与信息安全管理工作办公室批准哈尔滨工业大学建立国家计算机信息内容安全重点实验室,胡铭曾、方滨兴牵头。

“金盾工程”经国务院批准立项。

2001 年 04 月 25 日

国家计算机网络与信息安全管理中心上海分中心成立

2001 年 01 月 19 日

国家计算机网络与信息安全管理中心上海分中心成立,位于上海市黄浦区中山南路508号6楼。国家计算机网络应急技术处理协调中心上海分中心是工业和信息化部直属的中央财政全额拨款事业单位。

人大常委会通过《关于维护互联网安全的决定》

2000 年 12 月 28 日

第九届全国人民代表大会常务委员会第十九次会议通过《关于维护互联网安全的决定》

信息产业部组建计算机网络应急处理协调中心

2000 年 10 月

005工程开始实施

2000 年 05 月

公安部成立金盾工程领导小组及办公室

2000 年 04 月 20 日

国家信息化工作领导小组成立

1999 年 12 月 23 日

国 务院发文成立国家信息化工作领导小组,国务院副总理吴邦国任组长。其第一下属机构计算机网络与信息安全管理工作办公室设在已经成立的国家计算机网络与信 息安全管理中心,取代计算机网络与信息安全管理部际协调小组,对“公安部、安全部、保密局、商用密码管理办公室以及信息产业部”等部门的网络安全管理进行 组织协调。

国家计算机网络与信息安全管理中心成立

1999 年 06 月

国家计算机网络与信息安全管理中心成立,局级事业单位。

公安部送交金盾项目建议书

1999 年 04 月 20 日

公安部向国家计委送交金盾工程立项报告和金盾工程项目建议书

通过开展「金盾工程」

1998 年 09 月

公安部部长办公会议通过研究,决定在全国公安机关开展全国公安工作信息化工程-「金盾工程」建设。




--
Posted By GFW Blog to GFW BLOG at 2/25/2010 11:54:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 评一条读者留言

作者:gfwrev   来源:http://gfwrev.blogspot.com/2010/02/blog-post.html

我们收到了一条有趣的留言

听前同事说起这个文章,今天闲得无聊上网来看下。感觉写这篇文章的老兄看来知道不少情况,但是有些东西的实情其实也并不清楚。举几个例子来说吧:
1、GFW的经费可比金盾工程的多了不知道几十倍!
2、方滨兴之流的根本就不是什么真正的技术专家,只是众多“叫兽”之一而已。(说实话,就方滨兴、云晓春、刘欣然之流的,他们那点儿技术水平都是给我当学生过来的。)
3、GFW的技术水平其实就像作者所说的那样,发现特征、阻断,不行的话就封IP,根本谈不到什么高水平。
4、CNCERT的技术支持一直就是启明星辰,连工作人员都是从启明星辰借调的。

而在数十分钟之后,自曲新闻又有一条几乎相同的留言,似乎这位留言者存在某种混淆。

关于这条留言,我有一些看法:

  1. 可查证的资料显示,GFW的经费是十亿数量级的,而金盾工程是百亿数量级的。
  2. 这位自称学术地位比方滨兴还要高,同时又使用“‘叫兽’”这样的语言,表达出一种随意而悠闲的思想感情,说明这位的身份是非常有意思的。
  3. 关于GFW的技术水平,至少方滨兴等人的论文看起来并不激动人心,在研究过程中GFW经常会让人产生这样的感觉:“啊,为什么这里这么偷工减料。”虽然GFW背后的技术力量的确是中国顶尖的,但做出来的东西却不一定能够摆脱“山寨的本性”。
  4. 启明星辰的确在GFW中起到重要作用,但是而启明星辰对GFW的作用到底怎么定性,只是运维,还是研发,还是参与技术决策?技术支持又是怎样一种角色?字面上理解,技术支持只是配角。总之这些情况因为保密不得而知,也许不同人看启明星辰的角色都有不同的角度。

至于“但是有些东西的实情其实也并不清楚”,我想引一段话,出自人渣经济笔记:

在改革开放以前,中国对外界而言,基本就有点像一个黑洞——巨大但几乎没有什么可靠的信息出来,特别是中国经济的状况。几 年前,哈佛的Dwight Perkins教授在他的非正式退休讲演中就说,改革开放以前,他和不少研究东亚和中国经济的经济学家,一直要做的一件事情就是,在官方数据不可得或者不 可相信的情况下,估算中国经济的大小。 Perkins教授曾跟我说起,为了了解情况,他当年甚至读了不少可以收集到的大陆出版的小说。然后改革开放之后,中国一下开始公布这些数据 了,Perkins教授开玩笑说:坏消息是我们这些多年的工作一下就没什么用了,好消息是我们发现当年我们猜得那些数据还是比较准确的。

事实上我们也是面对GFW这个黑洞从一片迷茫开始,阅读了大量公开可搜索的信息甚至科幻小说(今 年3月份津妇联在何处崭露头角?ww),在理解能力之内对事实进行了最可能的估计。我们的确“对有些东西的实情并不清楚”,然而“清楚”或者对信息的占有 并非一种值得夸耀的资本。我们在这里进行这样写作的目的,并非是作为某种“知道分子”(知道毛,知道不该知道的东西,爆米局就会曾经追查此事,无果)来传 达或者泄漏某种专有的信息以显得自己对于GFW了解深厚,或者证明自己的推测是正确的。也许GFW体制内的人看着这样那样的推测会感到可笑,不过重要的并 非一个人已经知道了什么,而是这个人将会知道些什么、能够知道些什么。读者能够指出文章中的错误是比文章本身更有价值的事情,因为价值在于思考和学习。

这样一些系列从零到有的文章,是要展示一种对GFW进行全面理解的学习过程和方法,表达一种对GFW进行逆向工程的趣味。读者不应该仅仅作为一个信 息的接收者,而是应该有自己积极的思考。如果读者中有百分之一开始自己思考关于GFW的问题,千分之一开始自己动手研究GFW,如果有万分之一开始将原理 付诸实践,那就是很好的结果。如果所有人都只是伸手而没有动力去自行了解GFW,那么就只会让GFW越来越强大,而自己被动挨打被GFW追得到处跑。 GFW在背后技术力量的推动下变动不居,不断地被更新、不断地发生变化,对GFW永远正确的认知或者一劳永逸的翻墙方法并不存在,只有与之对抗的方法和学 习动力能留存下来。而这种动力并非来自某种对GFW的仇恨或者某种对言论自由的向往,而是一种简单的想法——“工部的走卒们,你们的这点把戏是难不倒我们 的。”

展望一下未来

距上次文章已经过去了近几个月,这几个月发生了很多事情。在广电开始灭绝人性之前,我们曾认为中国互联网面临的最大威胁是强力的网络封锁,现在看来 就算是能够分泌GDP的网络部门照样被一刀剁头,彻底关闭互联网反而是更加现实和直接的威胁。而最近超法规组织『中央政法委』的会议上放出的狠话更加强了 这种预期。GFW越来越广泛地使用粗粒度的IP封锁策略,使得在网络层以上的努力都趋于无效。必须承认,私有SSH代理和私有VPN才是当前状况下的最优 解决方案。但是由于这两种方法有较高的成本,其他一些低成本但有一些缺点的方法也暂时作为折中而继续存在研究价值。

私有SSH代理和VPN可能遇到什么问题(VPS甚至托管主机就太高端这里不考虑):

  1. 提供SSH服务的提供商是有限可识别的,GFW在22端口(理论上可以做到端口无关)上检测SSH协议证书并阻断;效果不好时直接IP封锁。
  2. 提供私有收费VPN服务的提供商也是有限可识别的,VPN协议比SSH稍复杂,直接用IP封锁。
  3. 依据《商用密码管理条例》和《电子签名法》对密钥使用加强管理,对未备案的密钥和密码进行封锁。

网络层可能会出现什么情况:

  1. 发动网评员转职成网络巡查员,依靠自然智能人工检测目标,克服机器检测的简陋性,然后广泛使用黑洞路由封锁,让网络变得半残。
  2. 借鉴伊朗的做法,在出入口用QoS或者直接限速,造成网络极为缓慢但又无法说断网了。(TPE都修好多久了,怎么出国带宽不见涨呢)

备战备荒

  1. 学习电话线上56K调制解调器的使用方法,在断网情况下能够在电话线路上开对等代理。
  2. 留意拨号网络下的标准信息交流平台:各个telnet论坛。
  3. 了解卫星上网知识,掌握卫星上网发展动向。
  4. 在深圳的同学可以考虑搞微波通信或者激光大气通信跟对岸连起来,“以任何形式设置国际通信出入口”(大误

另外顺便说一点闲话,重新审阅了一下中文维基的防火长城条目,有这样一些错误,读者可以对比看看自己的观念中是不是还有这些误解:

  • 域名劫持的入侵检测系统与路由器无关。
  • “已经封锁了几百个北美的DNS服务器”来源不可靠,OpenDNS和GoogleDNS从来都挺好的。
  • IP封锁不在国际出入口,而在ISP级别的AS边界路由器。
  • 关键字过滤阻断不是在主干路由器上完成的,旁路。
  • 实现关键字过滤阻断的入侵检测系统是自主研制开发的,与思科无关。
  • 不存在省级GFW,正文所述实验不严谨,结论错误;实际上由不同TTL判断出的那个所谓的“省级”GFW是我们所称的“二型”——TTL随时序连续变化。

因为维基百科的非原创研究方针所以我也懒得去改了,这些都是没有来源的原创研究。




--
Posted By GFW Blog to GFW BLOG at 2/25/2010 11:44:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 2010最新天朝特色英文单词

来源:http://blog.sina.com.cn/s/blog_47ff7ad80100gjwm.html

Smilence(笑而不语)
smile + silence

Democrazy(痴心妄想)
democracy + crazy

Togayther(终成眷属)
together + gay

Freedamn(自由)
freedom + damn

Shitizen(p民)
shit + citizen

divoice(离婚宣言)
divorce + voice

animale(男人天性)
animal + male

Amerryca(享乐国)
america + merry
其实有个专辑叫做amorica

Innernet(互联网)
inner + internet

Departyment(有关部门)
department + party

suihide(躲猫猫)
suicide + hide

don'train(动车)
don't + train

corpspend(捞尸费)
corps + spend

jokarlist(记者)
journalist + joke

vegeteal(偷菜)
vegetable + steal

Chinsumer(去外国旅游的中国人)
china + consumer

sexretary(秘书)
secretary + sex

canclensor(审查)
censor + cancel

yakshit(亚克西)

carass(轻拂菊花)

harmany(河蟹)
harm many


--
Posted By GFW Blog to GFW BLOG at 2/25/2010 09:40:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 中国特色的英文单词

来源:http://www.chommy.com

from twitter@huyong

Freedamn 中国特色自由

Smilence 笑而不语

Togayther 终成眷属

Democrazy 痴心妄想

shitizen 屁民 [注:英语中确有此单词,非屁民们原创。Shitizen是指那种整天抱怨政府行事方式但又不愿意参加选举投票的人,P民应该翻译成Pigizen,即只配拥有猪权的人。via twitter]

Innernet 中国互联网

Departyment(政府)有关部门

Chinsumer 在国外疯狂购物的中国人

Emotionormal 情绪稳定

Sexretary 女秘书

Halfyuan五毛

canclensor 审查

Wall・ e 防火墙

Circusee 围观

vegeteal(偷菜)

yakshit(亚克西)

animale(男人天性)

corpspend(捞尸费)

suihide(躲猫猫)

niubility(牛逼)

antizen蚁民

gunvernment枪杆子政权

propoorty房地产

stuck market 股市

livelihard生活

stupig笨猪

Z-turn 折腾 [注:似乎美国官方公布的翻译就是这个?]

faketography 正龙拍虎

cheat miles per hour 七十码

GFWed 被墙奸

faceblock 被封的脸书

spring brother 春哥

Ma De In China 草泥马中国

Shamehai 耻都上海

conferensleeping 开会

humiliright 蔑视人权

goveruption 政腐

three watches 3个代表

suisided 被自杀

private center 裆中央

fuck people daily人民日报




--
Posted By GFW Blog to GFW BLOG at 2/25/2010 09:39:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] IPv6反向代理简易架设

非常感谢热心网友赐稿!热烈欢迎大家向我们投稿,投稿信箱地址:chinagfwblog(at)gmail.com

作者:Mike Chen

上次我写的Python脚本进一步完善。 2001:0:53aa:64c:34e6:f226:
522b:2269已经支持Youtube和 Twitter(SSL也支 持),需要使用可以将所有Youtube缓存服务器放入hosts。目前代码已经放在了 http://code.google.com/p/pyproxy/这里

需要自行架设IPv6反向代理的可以参考http://code.google.com/p/pyproxy/

附:通用IPv6反向代理

作者:Mike Chen

今天花了一天时间写了一段Python脚本。负责IPv6的反向代理。主要是Nginx设置反向代理需要一个个域名逐个添加,麻烦。所以我干脆写了一个脚本,自动从HTTP的header内解析出域名连接。

大家可以在这里测试,这个架设于本人的VPS:
2001:0:53aa:64c:34e6:f226:522b:2269

用法: 在hosts内添加:
2001:0:53aa:64c:34e6:f226:522b:2269 域名
如:
2001:0:53aa:64c:34e6:f226:522b:2269 www.chinagfw.org

没有大面积测试过,本人的VPS测试下,连接数可能有些限制,但是效果不错。假如觉得好,请有能力的人自己也来架设一份。

具体信息和代码都在这里, 22M,包括了patch后的twisted库:
http://chencp.info/reverse_proxy.tar

具体功能包括:
1. 白名单设置 , 通用也要限制,否则可能被拿来攻击之类的
2. 日志
3. HTTPS支持。(自签名证书,使用有风险!)

我的IPv6反向代理不长期供应,随时取消。仅为大家测试,好则请各位自行架设。


--
Posted By GFW Blog to GFW BLOG at 2/25/2010 09:24:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 09新疆局域网流行语 疆内原创

非常感谢热心网友赐稿!热烈欢迎大家向我们投稿,投稿信箱地址:chinagfwblog(at)gmail.com

09新疆局域网流行语 疆内原创
09年,我们新疆局域网自己的流行语:

1.无能!!!(置顶)
2.新疆神兽鸭蝌蜥(寻高人画像・・・)内地网民拜春哥,偶们拜鸭蝌蜥
3.新疆电邮Emaisul (Emaisul=EMS+U盘)偶很有柴哦
4.什么时候闪人?(宁可在内地要饭,别留在新疆扯淡)
5.太监网;镜像、被阉割、网中网
6. 代理;私服;扣扣
7. 被河蟹(疆内严重盛行); 封ip; 禁id  ;被谈话
8. 我能上外网(靠!牛逼)
9. 80%(电信网费)欢迎综合电信logo进行创作
10.  20条(短信)
11. **(关键词屏蔽专用)
12. 逐步开放;不会太长;有限访问
13. 柳园上网游;柳园发邮件;柳园亲人视频(泪)
14. 网瘾治疗中心;戒网瘾,来新疆
15. 中国互联网是开放滴
16. 开网只是个传说
17. 网断断、网坚强
18. 马勒戈壁居住
19. 亚心神帖
20. 忽然发现没有网络也可以过的很好(龌龊5毛)(亚心网站强文)
21.浏览率最高的网站:
---------------------------------------------------------------------------------------------------------------------------
无法显示网页
您正在查找的页当前不可用。 网站可能遇到支持问题,或者您需要 调整您的浏览器设置。

--------------------------------------------------------------------------------

请尝试以下操作:

单击  刷新按钮,或稍后重试。

如果您已经在地址栏中输入该网页的地址, 请确认其拼写正确。

要检查您的网络连接,请单击工具菜单,然后单击 Internet 选项。在连接选项卡上,单击设置。 设置必须与您的局域网 (LAN) 管理员或 Internet 服务供应商 (ISP) 提供的一致。
查看您的 Internet 连接设置是否正确被检测。您可能设置让 Microsoft Windows 检查您的网站并自动发现网络连接设置(如果您的网络管理员已经启用此设置)。
单击工具菜单,然后单击Internet 选项。
在连接选项卡上,单击LAN 设置。
选择自动检测设置,然后单击确定。
某些站点要求 128-位的连接安全性。单击帮助菜单,然后单击关于 Internet Explorer 可以查看您所安装的安全强度。
如果您要访问某安全站点,请确保您的安全设置能够支持。请单击工具菜单,然后单击 Internet 选项。在“高级”选项卡上,滚动到“安全”部分,复选 SSL 2.0、SSL 3.0、TLS 1.0、PCT 1.0 设置。
单击上一步按钮,尝试其他链接。



找不到服务器或 DNS 错误
Internet Explorer
----------------------------------------------------------------------------------------------------------------------------------------------



--
Posted By GFW Blog to GFW BLOG at 2/25/2010 08:13:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 深入理解GFW:内部结构

作者:gfwrev   来源:http://gfwrev.blogspot.com/2010/02/gfw.html

之前我们对GFW进行了大量的黑箱测试,尽管大多数实验数据都得到了良好的解释,但是还是有些数据或者体现出的规律性(不规律性)没有得到合理的解 释。比如TCP连接的各项超时时间,比如Google的443端口被无状态阻断时,继发状态的持续跟源IP相关的问题。比如一般TCP连接的继发阻断时, 窗口尺寸和TTL的连续变化特性。这些问题已经超出纯协议的范畴,需要对GFW的内部结构进行进一步了解才能明白其原因。所以在这一章介绍GFW的实现和 内部结构。

总的来说,GFW是一个建立在高性能计算集群上规模庞大的分布式入侵检测系统。其分布式架构带来了很高的可伸缩性,对骨干网一点上庞大流量的处理问 题被成功转换成购买超级计算机堆砌处理能力的问题。它目前有能力对中国大陆全部国际网络流量进行复杂和深度的检测,而且处理能力“还有很大潜力” (2009年8月)[null]

线路接入

典型意义下GFW线路拓扑

对于GFW在网络上的位置,有很模糊的认知:“在三个国际出口作旁路监听”。然而还希望对在出国之前最后一跳之前发生了什么有详细了解。

GFW希望对不同线路的链路异构性进行耦合,并研究了快速以太网、低速WAN、光纤、专用信号多种类型链路的耦合技术。[03b]而 根据《国际通信出入口局管理办法》,几大ISP有自己的国际出入口局,最后在公用国际光缆处汇合,比如在海缆登陆站之前汇合。据已有的资料,安管中心 (CNNISC)有独立的交换中心,而且有报道说各个ISP是分别接入其交换中心。这样几个材料就可以形成一致的解释:为了适应不同ISP不同的链路规 格,GFW自己的交换中心需要对不同的链路进行整合,不同的ISP分别引出旁路接入GFW。而没有接入GFW的线路则被称为“防外线”[来源不可靠],不受GFW影响。接入的线路类型应该主要是光纤线路,因此通常称此接入方式为分光。这就是“旁路分光”。另外实验发现,GFW的接入地点并不一定紧靠最后一跳,因此图中以虚线表示。需要注意GFW的响应流量重新接回网络的地点难以确认,这里只是假设是与接出的地点相同。

负载平衡

面对多条骨干监测线路接入产生的巨大不均匀流量,不能直接接到处理集群,而是要先进行汇聚然后再负载均衡分流成均匀的小流量,分别送给处理集群并行 处理。首先需要将网络设备通信接口(Pos、ATM、E1等)转换成节点可用的主机通信接口(FE、GE等)。处理负载均衡的算法经过仔细考虑,希望实 现:流量均匀分布、对于有连接协议保持连接约束、算法简单。连接约束是指:一对地址端口对之间的一个连接全部通信都要保证调度到同一个节点。[03b][03a][05a]

GFW关于负载平衡的文章中主要提出两种算法。一种是轮转调度,对于TCP,当SYN到达时,以最近分配的节点号取模再加1,并将连接存入hash表,当后继流量到达时就能查询hash表获得目标节点号。[03a]另一种是基于连接参数的散列,对于N个输出端口调度输出端口号是H(源地址, 目标地址, 源端口, 目标端口) mod N[03b],这个H函数可以是xor[05a]

而之前的某个实验中我们碰到一种特殊的模式,负载平衡在解释其现象中起到了重要作用,下面专门分出一节详细说明。

一个关于窗口值的实验

实验步骤:发送含有关键词的特制包通过GFW,并接收GFW返回的阻断响应包。因为触发阻断之后,同地址对和同目标端口的连接都会受到继发阻断,为 了消除这种干扰,一般采取顺序改变目标端口的扫描式方法。通过前期一些实验,我们已经发现和确认某类(二型)阻断响应包中的TTL和id都跟窗口大小有线 性关系,我们认为窗口是基本量(二型窗口为5042时id发生了溢出,只有在id根据窗口算出时才会发生此种情况)。

然而在顺序扫描中有一种特殊的模式无法用现有证据解释。进一步的实验步骤是:在源、目标地址不变的情况下,顺序扫描目标端口,记录返回的阻断响应包的窗口。数据如下图,横轴是时间(秒),纵轴是端口号,每个点代表一次阻断触发事件中观测者收到的阻断包的窗口值。

实验图像

可以明显看出一种线性增加的趋势。图像取局部放大看:

实验图像局部

可以看出,在同一时间有13根较连续的线。这样产生了几个问题:为什么有独立可区分的不同的线?这些线表示了什么?为什么有13根?为什么每根线是递增的?

  • 为什么有独立可区分的不同的线?现象具有明显的可以继续划分的子模式,而不是一个整体的随机量,并且每个子模式都有良好的连续增加的性质。因此可 以推测产生此现象的内在机制不是一块铁板,而是多个独立的实体。进一步的实验事实是,如果顺序扫描端口每次增加13,那么只会产生一条较连续的线而排除其 他的线。这直接证明了模13同余端口产生结果的不可分性、实体性,以及同余类间的独立性。
  • 这些线表示了什么?我们猜想,这13根线就表征了背后有13个独立实体分别根据某个内在的状态产生阻断响应,窗口值就是其内在状态的直接表现。
  • 为什么有13个?而不是1个2个?这个时候,负载平衡就是对此事实的一种解释良好的模型。如果GFW有13个节点在线,由于希望将流量平均分配到 每个节点,那么根据前面论文所述,便采用模的方式,在源、目标地址不变时,根据目标端口模13分配流量,目标端口模13同余的包会进入同一个节点。实际上 更早的时候的一次实验是发现有15根线,同理可以猜测有15个节点在线。
  • 为什么每根线是递增的?实验中发现,每次阻断GFW会分别向连接双方发送窗口值依次增加的两组阻断包,这样对于每方来说,每次阻断就会使窗口值增 加2。每根线会递增正是说明节点在不断产生阻断包增加窗口值,一部分是实验观察者的观测行为触发的,另一部分则是普通网络流量造成的。如果对数据做差分并 扣除观测造成的影响,甚至还可以对每节点产生阻断的速率有所估计。
  • 但是为什么要让窗口递增?这背后的动机难以找到很合理的解释,可能这个窗口值有计数器的作用,也可能是为了在ip.id上对不同节点产生的包进行区分。事实上,一型的窗口值就是几乎随机但ip.id固定,窗口递增并非是必须的。

然而进一步的实验发现,如果目标端口、源地址不变,而目标地址顺序变化,图像就显得比较紊乱,找不出规律。虽然如此,仍然在局部可以识别出同时存在 13根线的情况,进一步证实“13个节点在线”的猜测。这个实验的意义在于,通过对现象的分解约化,分离出GFW内部的某种独立实体结构,对论文中主张的 负载平衡算法有进一步的实践证实,对GFW的内部结构得到进一步的认识。[*]

数据处理

当数据流通过当数据总线到达终端节点之后,需要将其从物理层提取出来供上层进一步分析,这个部分称为报文捕获。普通的做法,先网卡中断一次通知内核来取,然后控制DMA传到内核空间,然后用户用read(),让内核copy_to_user()将sk_buff的数据复制到用户空间,但是这样复制一次就带来了无谓开销。因此GFW设计环状队列缓存,以半轮询半中断机制减少频繁中断的系统调用开销,用mmap实现zero-copy,把数据直接从网卡DMA到用户空间。这样性能提高很多(耦合也提高很多)。[**]

链路层数据到怀里了,接下来要将数据上交给TCP/IP栈。论文中多次提到libnids(这个库我们也是第一眼就瞟到了,后来发现对诊断没什么 用),将其作为基准,(甚至可能符合国情地)以其为蓝本改进,开发出了一种多线程的TCP/IP(自动机)。后面又在考虑对其进一步做自动机分解优化。后 来又再次提出一种两级连接状态记录表,一级轻量级环状hash表可以缓解大量无效连接和SYN Flood的情况,二级表才真正存储连接的信息。实验结果与此相符:发送SYN之后的超时时间要比发送第一个ACK之后的超时时间短得多。文献中还提到 libnids的half_stream,从实际的情况上看,GFW的TCP栈的确具有鲜明的半连接特性,也就是说:一个方向的TCP栈只检测客户端到服 务端的数据,或者反之。这样一个直接的后果就是,即使服务端根本不在线没响应,客户端照样可以假装三次握手然后触发一堆RST。往好的方向看,也许是因为 多线程TCP栈还原全连接时不想处理数据共享控制的问题。总而言之,GFW有一种非常轻量级的TCP/IP栈,刚好能够处理大多数遵守RFC的连接。如果 用户稍微精明一点就能穿过去,GFW要么坐视不管,要么重写TCP栈。[***]

TCP/IP栈将数据分片重组,流重组之后交给应用层解析。应用层由很多插件模块组成,耦合松,部署易。其应用层插件包括“HTTP、TELNET、FTP、SMTP、POP3、FREENET、IMAP、FREEGATE、TRIBOY”。[05a]有 意思的是,这是首次官方确认GFW与Freegate、Freenet、Triboy的敌对关系。应用层的协议大家都很熟悉不用多解释,不过应用层问题比 传输层更多了。好几个模块都有一些小毛病,比如某类HTTP模块只认得CRLF作为EOL,换作LF便呆了。再比如某类DNS模块,发的DNS干扰包,十 有五六都校验和错误,查询AAAA也返回A,还不如关掉。多数模块都是得过且过,刚好可以工作,一点都不完善。这里列出的、发现的问题按照软件设计一般规 律也只是冰山一角。由此推断,GFW的设计哲学是:better is worse

不过在可以生产论文的话题上,GFW绝不含糊,就是模式匹配。应用层模块把应用层协议解析好了,然后就要看是不是哪里有关键词,字符串匹配。搞了一 堆论文出来,改进AC算法和BM算法,就差汇编的干活了,得出某种基于有限状态自动机的多模式匹配算法,特别适合GFW这种预定义关键词的需求。总之复杂 度是线性的,攻击匹配算法消耗CPU什么的就不要想了。

响应机制

如果匹配到一个关键词了,要积极响应阻断之。响应的手段其他地方已经说得太多,手懒,特此剽窃一段,欢迎举报学术不正之风:

响应机制的发展已经经历IP包过滤(静态IP包过滤、动态IP包过滤)、连接欺骗(传输层连接欺骗、应用层连接欺骗)两个阶段,并且形成了针对不同的应用多种方式共存的现状。

静态IP包过滤是IDS通过和被保护网络与外部网络之间的连通边的端点网络层设备(路由器、三层交换机等)进行联动,在其上设置访问控制列表 (ACL)或静态路由表来实现对指定IP地址的过滤。由于需要过滤的IP地址数量很大,大多数的网络层设备上对ACL大小和性能的支持不能满足要求,因 此,实际工作中大多采用静态路由的方式。使用该种方式,信息入侵检测系统只能通过专用客户端程序静态写入的方式进行访问控制,粒度大(IP地址级),响应 时间慢,容量较小,但是可以静态写入路由设备的配置文件中,是非易失的。

动态IP包过滤是指入侵检测系统采用动态路由协议(BGP,OSPF等)和关键路由设备进行路由扩散,将需要过滤的IP地址扩散到路由设备中的路由表中,特点是响应时间快、容量大,但是只能动态地写入路由设备内存(RAM)中的路由表中,是易失的,同样粒度大。

连接欺骗指信息入侵检测系统在敏感连接传输过程中伪造连接结束信令(RST,FIN)发送给连接的源和目的地址,以中断该连接。特点是实时性强、粒 度小(连接级),可以针对某一次敏感连接进行阻断。缺点是对分析系统工作状态依赖较强,需要向业务网上发送数据包,易受DoS攻击。

通过和连接级防火墙设备进行联动,可以针对连接五元组(传输协议类型、源地址、源端口、目的地址、目的端口)对数据流进行过滤。可以针对指定的任意五元以内的组合条件进行过滤,实时性强、粒度小。

后来又加上了DNS劫持/污染,不过这个手动设置的机制已经不能算一个入侵检测系统的响应了。

日志记录

GFW有日志。这意味着什么?这就意味着当你芬兰国的时候,你的所作所为都记录在案。不光是你一个人,其他所有人都经常芬兰国。但据统计 87.53%的人(361之316)都是无意之中芬兰国,从统计理论上看,记录在案的无效信息过多会造成信息难以利用。因此GFW后期一直在做“数据融 合、聚类、分类的研究”,鸭子硬上弓,各种神经网络、概率模型、人工智能的论文整了一大堆,效果如何呢?

GFW的日志应该会记录这样一些事件信息:起始时间、结束时间、源地址、目标地址、目标端口、服务类型、敏感类型。[null]信息难以利用不等于不能利用,如果日志被翻出来了而且用户没有用代理,那么根据常识,从IP地址对应到人也只是时间问题。这就是说,GFW即使不能阻断,最差也是一个巨型监听设备。

规模估计

问题:
GFW的软硬件配置?
事实:

“虚 拟计算环境实验床”是由国家计算机网络应急技术处理协调中心(CNCERT/CC)和哈尔滨工业大学(HIT)协作建设,以国家计算机网络应急技术处理协 调中心遍布全国31个省份的网络基础设施及计算资源为基础,对分布自治资源进行集成和综合利用,构建起的一个开放、安全、动态、可控的大规模虚拟计算环境 实验平台,研究并验证虚拟计算环境聚合与协同机理。2005年此平台配置如下:[05b]

CNCERT/CC北京曙光4000L128节点2*Xeon 2.4GRAM2G
HIT哈尔滨曙光服务器32节点2*Xeon 2.4GRAM2G
CNCERT/CC上海Beowulf集群64节点2*AMD Athlon 1.5GRAM2G
结论:
GFW(北京)使用曙光4000L机群,操作系统Red Hat系列(从7.2[03a]到7.3[05a]到AS 4),周边软件见曙光4000L一般配置;GFW实验室(哈工大)使用曙光服务器[05b],Red Hat系列;GFW(上海)使用Beowulf集群(攒的?)。
问题:
GFW与曙光是什么关系?
事实:

换 句话说,是先有了用户的应用需求(蛋),才有了曙光4000L的研制(鸡)。这其实不难想像,一套价值几千万元的系统,如果纯是为了填补科学空白,将会延 长产品市场化的时间。曙光4000L充分体现了中科院计算所在科研成果市场化方面的运作能力。……而曙光4000L这套系统就是针对国家信息化的实际应用 而设计的。

曙光4000L的研制……曙光公司从事了工程任务和产品化工作,国防科技大学从事了机群数据库中间件的开发工作,哈尔滨工业大学开发了应用软件。

哈尔滨工业大学(威海)网络与信息安全技术研究中心日前成立,……方滨兴……揭牌。……曙光……向研究中心赠送了一套价值40万元的刀片服务器。

结论:
GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。是不是应该打一点折?(曙光公司=中科院计算所)
问题:
GFW计算规模有多大?
事实:

2007年机群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。[null]计划节点数上千。[null]

曙光4000L……系统节点数为322节点,可扩展到640节点。根据功能的不同,曙光4000L可以分为服务节点、计算节点和数据库节点三类。每个计算节点2个2.4GHZ的Intel Xeon CPU,内存2GB。

2005年国家计算机网络与信息安全管理中心(北京)就已经建立了一套384*16节点的集群用于网络内容过滤(005工程)和短信过滤(016工程)。[来源不可靠]

64个节点、128个处理器(主频为2.8GHz)的曙光4000L……包括系统软件、管理软件、输入输出设备和存储设备,采购金额近千万。

才有了曙光4000L的研制……一套价值几千万元的系统。

国家信息安全重大项目“国家信息安全管理系统”(005工程)经费4.9亿。

猜测:
GFW(北 京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部 分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度 48万亿次(定义不明,GFW不做浮点运算,2003年top500排名榜首地球模拟器5120个CPU)。
问题:
GFW吞吐量有多大?
事实:

2GHz CPU的主机Linux操作系统下可达到600Kpps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48接口网络数据。[03b]

曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbp的实时数据流的并发接入要求。

猜测:
512Gbps(北京)。

结论

噫吁�!危乎高哉!……

注释

  • null引用有特殊含义。
  • [*] 因为性能要求,负载平衡的完整算法必然很简单,不过我们一下子也没有猜出来。由于这个算法是易变的,即使猜出来公布在这里就立刻失效了,因此也没有在这个方向再费精力。
  • [**] 顺便指出论文中存在的一种硬伤。论文中反复把libpcap当反面教材作为性能低下的代表,称其是“传统TCP/IP栈之上的用户层函数库”“基于传统 TCP/IP栈的libpcap”。可是人家libpcap从2001年1月的0.6版本就开始用2.2以上版本内核提供的packet(7) socket,这个跟TCP/IP一点关系都没有。怪罪的对象错了,要怪的是packet(7)而不是libpcap。后来2004年PF_RING出 来,设计很相似,libpcap用上一样nb。不过这个时候GFW也已经研发完了。
  • [***] 如果将其视为bug而不是feature的话,漏洞实在太多,打一两个补丁不解决问题,非重做不可。另外IP碎片和TCP流重组没有做特别研究,即使有漏洞实用性也不会很高。
  • [03a] 杨武, 方滨兴, 云晓春, 张宏莉. 基于骨干网的并行集群入侵检测系统. 哈尔滨工业大学学报. 2003-5-15.
  • [03b] 陈训逊, 方滨兴, 李蕾. 高速网络环境下入侵检测系统结构研究. 计算机研究与发展. 2003-7-15.
  • [05a] 张兆心, 方滨兴, 胡铭曾. 支持IDS的高速网络信息获取体系结构. 北京邮电大学学报. 2005-2-25.
  • [05b] 张伟哲, 方滨兴, 胡铭曾, 刘欣然, 张宏莉, 高雷. 计算网格环境下基于多址协同的作业级任务调度算法. 中国科学 E辑:信息科学. 2005-12-25.
  • 猜测之数字准确性无担保,请自行把握。



--
Posted By GFW Blog to GFW BLOG at 2/25/2010 06:33:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 陈冠中《盛世:中国2013》各版本下载

作者:herolee  来源:http://www.fishnote.net/?p=178

首先感谢豆瓣上的luan、公卯虚与毛姆舅舅同学,特别是luan同学提供手工输入的原始版本。

txt版本:http://dl.dropbox.com/u/3608812/2013.rar
doc版本:http://dl.dropbox.com/u/3608812/2013.doc
pdf版本:http://dl.dropbox.com/u/3608812/2013.pdf
全部3版本打包:http://dl.dropbox.com/u/3608812/2013_all.rar

《2013》豆瓣页 http://www.douban.com/subject/4112874/

更要感谢陈冠中老师,以下是他亲自校对的简体中文doc和pdf原版:

doc版本:http://dl.dropbox.com/u/3608812/sheng%20shi%202013%20CN.doc
pdf版本:http://dl.dropbox.com/u/3608812/sheng%20shi%202013%20CN.pdf
转txt版本:http://dl.dropbox.com/u/3608812/sheng%20shi%202013%20CN.rar
3版本打包:http://dl.dropbox.com/u/3608812/2013-pdf-word-txt.rar



--
Posted By GFW Blog to GFW BLOG at 2/25/2010 06:30:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN

[GFW BLOG] 中国报道周刊的访问方法

来源:中国报道周刊

中国报道周刊开通了Gmail Buzz,欢迎大家使用自己的Gmail帐号跟随关注,最新的文章将在Buzz上同步发布, 地址: https://www.google.com/profiles/chinaweekly

通过Gmail Buzz,你可以不需翻墙就看到中国报道周刊的最新文章,并在上面发表评论。

由于国内信箱存在屏蔽和过滤邮件的功能,并且使用上受到监控,建议大家都使用Gmail来关注和追踪我们的信息。

中国报道周刊的Buzz地址: https://www.google.com/profiles/chinaweekly

中国报道周刊的邮箱: chinaweekly@gmail.com ,投稿可以发送到这个信箱

中国报道周刊的网站: www.china-week.com  (需翻墙访问)



--
Posted By GFW Blog to GFW BLOG at 2/25/2010 06:27:00 PM

--
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN