（在看完第四章的基础上），你将对“GFW”、“翻墙”等话题有更深入、更正确的认识，同时避免被不怀好意的人的类似观点（见下文引用部分）欺骗。

---

1、什么是邮电部国家公用电信网提供的国际出入口信道？2、1996年的“国际出入口信道”的概念在20年间是否发生变化3、当我们讨论“翻墙行为”究竟是否违法时，我们首先应该讨论什么4、翻墙行为是否属于私自架设物理信道？1、互联网访问基本原理——OSI参考模型（1）国内网站访问原理（2）境外网站访问原理

---

a.样图中的文书格式非常极其不规范，正文字体大小悬殊、行距和字距不统一。表面上，该文书似乎是一份标准模板，横线是提前固定的，但细看便可发现，正文文字下划线与页面的边距不统一，因此这明显是在正文文字填写之后才事后加上“下划线”格式的。且文字没有统一边距；b.在“现查明”的正文部分，“‘蓝灯’（Lantern Pro）软件APP”中的“软件”和“APP”系表意相同的两个名词，此处连用存在语病，十分怪异；c.在内容部分，“且最近一周的登陆次数为487次”并没有相应的证据材料予以佐证。首先，行政相对人不可能记住自己使用vpn的连接次数，因此该数据不可能从询问笔录中反映出来。其次，手机app本身并不会保存每天的连接次数，也没有日志的功能；此外，即使该数据在手机和app内部以日志的形式保存，行政机关也不可能靠妄加猜测突然检查朱某某的手机，而是只可能使用远程手段（例如公安机关远程监控系统、电信运营商的举报或直接向运营商收集用户访问境外ip地址相关信息），但这样的证据并没有在此份决定书样图中反映出来，所以在证据层面是可疑的。

上述行政处罚案件的处罚依据如下:

1、什么是邮电部国家公用电信网提供的国际出入口信道？好在，1998年国务院信息化领导小组又出台了一部相关的部门规章，对“国际出入口信道”的含义作出了明确的规定。

3、当我们讨论“翻墙行为”究竟是否违法时，我们首先应该讨论什么

在看完第四章的互联网技术讨论部分，你会对以下几个重要事实有基本的认识。

（1）为什么建立连接要这么复杂呢？一切为了安全和可靠。DNS服务所运用的UDP协议和http请求的tcp协议最大的区别在于，UDP就像一个在国际货物运输过程中前赴后继、不顾一切的承运人，它努力以最快的速度把“货物”交付到你手上，但态度极差，从来不主动跟你联系，也不会接你的电话，货物是否损毁或者送错了人都不在它的义务范围内；而TCP就像一个严谨、可靠、负责、慢条斯理的承运人，它在为你进行货物运输时会不断和你建立联系，在送货前不停打电话跟你反复确认，而且要打三次，生怕送错了人，送完货物也会不紧不慢地和你再三确认，要跟你打四通电话。

网上一个更形象的例子是——

   b2.数据包是如何从你在上海的计算机发至架设在北京的百度服务器呢？

tcp三次握手已经很生动形象了，但毕竟从上海发送一个数据包至百度架设在北京的服务器的难度，与“在小区里和美女当面互相打招呼”的难度压根不在一个数量级，数据包是如何通过祖国大地下架设的“杂乱无章”、连通全国的光纤中找到去往北京的最快的路，而不至于兜圈或者迷路呢？

这要得益于国内几家国有电信运营商建立的庞大的骨干网和城域网。我们作为外行，可以把这种网络理解成一个个互相连通的节点。

例如，中国电信163骨干网分为北京、上海、广州3大片区，这三个片区有大型的骨干路由作为邻近省级区域的数据交汇中心，例如上海片区涵盖了上海、江苏、安徽、山东、浙江、福建、江西这几个省，而每个省的内部又有庞大的、互相连接的城域网，而在某个城市的城域网内部，又有数以万计的学校、企业、家庭等局域网的接入，从而形成了从局域网→城域网→广域网三个层级。

此外，不只是中国电信，其他运营商也有各自的骨干网，例如中国联通有CHINA169骨干网和CNCNET骨干网，中国移动有CMNET全国骨干网……不同国家级互联网业务提供商（Internet Service Provider， ISP）建立的不同骨干网之间也有数据交换的中心，这使得信息和数据包可以自由地从全国的任何地方流向任何地方。（相关链接：《互联网骨干网全面解析》https://zhuanlan.zhihu.com/p/32090927）

连通性的问题解决了，还要解决数据包在庞大的“网上公路”迷路的可能性。在上述提到的各个级别的网路中，分布着无数路由节点，每一张骨干网都有自己负责的路由群组和节点，整个群组统称为as自治系统（Autonomous system），每一个骨干网管理的as自治系统都经过名为互联网号码分配局的国际机构分配唯一识别代码，例如，中国电信163骨干网的as自治系统编号为AS4134。每一张骨干网都有内部路由协议，每一个节点都在依据某种规定互相交换他们所连通的ip地址信息，作为数据包在“旅行”过程中的指路人。而全国性的骨干网之间也依靠外部路由协议互相交换它们所掌握的“服务器地图“，典型的有BGP协议。

→http协议是明文协议

→https协议更加安全，其在tcp握手的基础之上增加了以下步骤：

验证服务器数字证书、在SSL安全加密隧道协商加密算法的密钥等。

（2）境外网站访问原理

因此，我很遗憾地看到，即使是律所发表的相关文章《天衡解析 | “翻墙”上网的正确姿势》，也犯了非常严重的计算机常识性错误，导致该篇文章论证的前提就是不正确的。这篇文章指出：

然而， 当我们对互联网运行的机制和原理有了初步的了解后就能轻松发现这句标红的话的严重错误——我在上文所介绍的一切专业术语的实际运作，不管是DNS解析、TCP握手，还是AS自治系统、BGP、路由跳转、ICMP协议……一切的基础都是物理层。

如果你没有接入各大运营商设立在城市里的合法的城域网；

如果数据包没有经过各大国家级ISP的合法骨干网和路由节点AS自治系统；

如果境外数据访问没有经过国内三大运营商经国家批准设立的合法国际出入口并通过合法的陆上、海底光缆设施直达境外服务器……

你的一切数据交换和网站访问都是不可能凭空实现的。

换句话说，即使一家企业使用某个国外代理服务器作为中转节点以逃避GFW的审查，这一翻墙行为的一切基础都是建立在使用合法的国家互联网基础设施之上的。因为你不可能自己去发射一颗卫星专门用来刷推特，也不可能自己制造海底电缆，自发地潜水到海底接入别的国家的网络。

因此，对于普通个人和企业来说（这里的“普通”是指没有能力发射卫星、埋海底光缆），根本不存在所谓“非法的国际出入口信道”、非法的“接入网络”、“在不使用境内互联网络的前提下访问域外服务器”。

一个最直接的证据，也是每个人都能亲身试验的方法，就是使用前文介绍的traceroute命令，访问某个境外服务器的ip地址，遍历数据包途经的骨干网和路由节点，你就会知道，你到底是不是在使用国家级电信运营商布建的、国家批准的网络基础设施了。我随机使用一个尚未被限制的境外服务器ip测试一下，结果如下：

可见，当你成功访问境外服务器，当然也意味着成功实现了翻墙，但你的数据经过的是AS4812（中国电信上海路由群组）、AS4134（中国电信163骨干网路由群组），最后通过海底光缆直连美国加利福尼亚州洛杉矶的AS8100路由群组。你使用的一切光缆、路由节点、海底光缆，全都是经过工信部审批通过的国家级互联网基础设施。翻墙就是使用了非法的信道——这种逻辑是很可笑的。

因此，国际出入口就在那里等着你，海底光缆也在向你招手，凭什么不能访问境外网站呢？在看了下文GFW原理和翻墙原理的介绍，你就会知道，你不能访问境外网站的唯一原因是你正在遭受一个不受法律规制的系统的不间断网络攻击，而你使用任何途径翻墙的基本原理永远都是——你使用了某种技术抵御或避免了上述网络攻击。

 2、GFW的原理（1）基于UDP协议的域名解析服务劫持/DNS缓存污染大家一定还记得那个电话号码簿的故事。GFW最早、最初始的原理，就是将这个电话号码簿掉包，或者将号码簿里的电话号码替换成错误的号码，这个原理诞生于2002年，在2012年以前达到高峰。GFW对所有经过骨干出口路由的基于UDP的DNS域名查询请求进行Intrusion Detection Systems（入侵检测系统）检测，一旦发现处于黑名单关键词中相匹配的域名查询请求，防火长城作为中间设备会向查询者返回虚假结果。

简而言之，DNS域名污染就好比你想在电话号码簿上查询朋友的电话号码，但是不曾想，电话号码簿被人掉包了，你拿到的是假的电话号码簿，原本正确的手机号码被替换成了错误的号码，导致你无法打通电话。而该系统触发的规则使用了类似正则表达式的结构，例如规定“对于一切*.google.com的域名解析到某个不存在的ip地址”。

直接使用windows的ping命令就可以亲眼看到DNS污染的运作效果。谷歌官网的服务器明明架设在美国科罗拉多丹佛，但从下图可以看见，在国内从DNS服务器请求到的ip地址却是93.46.8.90这个来自意大利的无效IP地址。

此项技术不仅是2012年前后人们无法再访问Google的直接原因，其在运转过程中更是殃及了全球DNS域名解析服务的正常运作。

DNS污染殃及全球用户的基本原理很简单，就是诸多国外用户的DNS请求被他们的ISP电信运营商随机分发给了全球的根域名缓存服务器（也就是那个优先级最低的电话簿），而碰巧，他们请求被分发给了来自中国的根域名服务器，而因为GFW的存在，其提供的是错误的、虚假的DNS解析服务，其造成的后果可想而知。

因此在这里我忍不住插一句题外话。我曾亲耳听见一个计算机专业毕业的人谈及中国的互联网安全现状。他说，因为全球大部分根域名服务器都设立在美国，所以美国掌握互联网的底层，中国必须建立GFW来保障互联网安全。现在，你应该可以体会到这种言论的恶毒之处。因为现在你终于了解到，电话簿可以随时复制，根域名服务器根本就不是什么互联网的底层，而是最高层（应用层）中一个很简单的技术，你的浏览器永远最先访问本地DNS缓存，往往一般都无须根域名服务器就能解析IP地址；而中国的根域名服务器会对境外服务器域名解析错误的ip地址，因此现实情况是中国的DNS污染在影响全球的互联网运行，而非美国影响了中国的互联网安全，这是完全的颠倒是非。

（2）IP地址或传输层端口人工封锁——BGP路由劫持/“路由黑洞”

我们依旧可以通过traceroute观察到这一技术的运行效果，我们尝试traceroute一下google.com的真实ip地址，得到如下结果：

（3）TCP RST重置（包括对基于TCP协议的DNS域名解析的重置）（4）协议检测→根据流量协议拆包→关键词匹配→封锁

基于此，GFW作为一个独立设备就可以作为旁观者分析经过其附着的主干路由器的所有数据包。

HTTP协议有非常明显的特征，可以轻易被GFW系统检测和识别，GFW进而依据HTTP协议规则对数据包进行拆解，由于其表现为明文，所以可以直接进行关键词匹配。例如，从HTTP的GET请求中取得请求的URL。然后GFW拿到这个请求的URL去与关键字做匹配，比如查找Twitter是否在请求的URL中。而关键字匹配使用的依旧是一些高效的正则表达式算。

 （5）深度包检测（机器学习识别翻墙流量→直接阻断）

不再展开论述，可参考近年来Github网站遭受的攻击。

3、翻墙的原理这一部分我不再展开论述，因为是有法律风险的。有一定网络基础知识的人，在看完上述GFW原理之后，应当能够头脑风暴一下，想出很多合理的逃避审查的思路，也能理解为什么我在上文提及“翻墙不等于侵入计算机系统”了。主要的翻墙原理有以下几种。

……

在文章结尾，我依旧要强调，本文不涉及有关“翻墙”的任何技术指导或方法的具体介绍，同时必须强调——千万不要翻墙访问、发布、传播违法有害信息。

我们很多人都记得2012年以前的那个时代，想要用谷歌搜索资料，只需要修改DNS服务器为8.8.8.8即可，再不济，改个hosts文件就行了。现在，越来越多的方法被封锁了，在这个节骨眼上，居然还有很多人盲目乐观，甚至以他人不懂翻墙而沾沾自喜，这样的现象伴随着民族主义思潮愈演愈烈。

但是我相信，认真学习自己的专业知识，同时广泛地接受和学习其他领域的专业知识，就能轻松避免被网上大肆输出情绪的人鼓动和欺瞒，保持冷静地思考——你真的可以对现状有一个清晰的认识和判断，并在不久的将来参与到各行各业的运行过程中，为社会做出贡献。

而这篇文章，就权当我在学习之余的放松心情、自娱自乐罢。

那么现在，你能否就程序员群体提出的以下选择题给出正确解答了呢？