封鎖網路將對於台灣的民主成果將造成極嚴重的傷害。
封鎖 IP:恐波及無辜
先從封鎖 IP 講起。
比如說,智財局未經司法程序就自行判定 download.example.org 這個網站是個盜版天堂,所以行文要求 Hinet 等等各大 ISP 把 download.example.org 給鎖起來。經查,download.example.org 對應到 127.128.254.15 這個 IP,因此,ISP 可能決定改改 routing table 之類的,把 127.128.254.15 給擋掉,或是利用改寫網路封包的技術,把連向 127.128.254.15 這個 IP 的封包重導到一個 ERROR 451 頁面之類的。
但這時,就遇到問題了。
首先,很多大型網站往往不會只有一個 IP,也往往不只一台主機,(比如說 download1~99.example.org 之類的,往往不會位於同一網段),ISP 要封,可能得鎖一大堆 IP,甚至只好開地圖炮,把整個網段都封掉。很多無辜網站可能會因此莫名其妙被封掉了。
並且,現在虛擬主機技術非常成熟,很多網站為了分散流量及降低管理負擔,可能會花點小錢然後把主機交給一些代理伺服器供應商代管,若真的要封,那麼那些代理伺服器上跑的網站會全部都被封掉。這可就變成『寧錯殺一百也不放過一個』了。這只有專制社會才會有的現象呀!
如果這個網站是架在該國的 ISP 所提供的虛擬空間上,那麼難道 Hinet 要把這個 ISP 的虛擬空間的 IP 全封掉嗎?想想看會造成多大的影響?
接下來,因為會涉及修改 routing table,而網址和 IP 位址的對應不可能一成不變,也就是說 ISP 的路由器的 routing table 可能得定時不停自動更新,(包括智財局的封鎖內容可能會隨時增減),老實說這種作法在技術上是個非常難搞的超級大工程。ISP 真的會被搞死。
且,網路主機往往不是只提供 Web Server 服務,其它重要服務包括 DNS、Mail、FTP 等等,封鎖 IP 的話,這些服務很可能會全部被封掉!
是的,封鎖 IP 的效果保証強大,但因為在封鎖時是不分青紅皂白全擋了,這可能會召來很多的非議:『我們又沒做錯事,只是倒楣和智財局看不順眼的網站放在同一個主機上,為什麼我們要被封?』,再加上技術上要路由器能隨時更新封鎖列表也不容易,所以在實務上封鎖 IP 反而窒礙難行。
要直接封鎖 DNS 是非常不容易的,因為 DNS 是一種分散式的架構,不管是大小網路環境幾乎都會自掛一個 DNS Server,要查詢 DNS 並不是非得經由 ISP 的 DNS Server 才行,所以單單修改 ISP 的 DNS Server 基本上沒有任何意義。DNS 幾乎不可能這樣就被封鎖。(簡單得說,不要用 Hinet 的 DNS 搞不好就能避過了 XD)
並且,有很多系統,包含部份手機系統,都自掛一個小小個人 DNS Server。既然根本不會由 ISP 的 DNS 來進行查詢了,想由改改 ISP 的 DNS Server 就想封鎖網路未免想得太簡單!
其實,若真的想管制 DNS 是有方法的:修改 root name server。在台灣的確有一台 root name server 的鏡像,但網際網路組織怎麼可能坐視台灣的小小智財局單憑一道行政命令就修改 root name server 鏡像裡的資料?修改 root name server 的結果可能會擴及全世界,這個責任智財局擔得起嗎?當然,這種事偉大的祖國政府就幹過,結果位於中國的 root name server 就被下架了。不知智財局要不要有樣學樣一番?
所以,智財局可能會要求採取的,就是最最最骯髒的『污染 DNS』的做法:
所以,單單從 DNS 是無法封鎖網路的。技術上幾乎不可行。再加上污染 DNS 這種作法是最最最骯髒的,馬政府不知擔不擔得起這種臭名?
通透式代理伺服器原本是用來節省網路頻寬的使用量的,它會把使用者上過的網站的資料暫存起來,然後如果有其它使用者要求相同的資料,它會直接傳送暫存資料給使用者,可以避免重覆抓取相同資料,以節省頻寬。一般較大規模的網路環境應該都架有代理伺服器。
因為它會檢查『使用者上過哪些網站、下載過哪些資料』,所以當然可以順便用來管制哪些網站可以上、哪些網站不能上。換句話說,全國民眾在何時何地上了哪些網站,政府這下子有法源可以正大光明檢查了,這可以說是大開民主倒車!
可是,不做到這種地步,網路是鎖不住的!
且,若法案不幸真的通過了,那麼政府不管做到什麼地步,反正都是依法有據,那麼到時全國人民真的連晚上睡覺都會做惡夢!
所以說,也許智財局的本意未必是如此,但這個法案實行起來就是不折不扣的白色恐怖。我想不出其它形容詞了...
還有,HTTPS 之類基本是無法審查的,但還是可以加以干擾或阻隔。(其實 ISP 可以玩的手段可多著呢!請 Google 『中間人攻擊』;只是依法無據之前,ISP 不可能明目張膽這樣搞...);且,現在提供 HTTPS 的網站並不多,期待全世界的網站都走 HTTPS 未免不切實際。(HTTPS 的正式憑証要花錢申請,我個人是負擔不起).
from http://tetralet.luna.com.tw/index.php?op=ViewArticle&articleId=242&blogId=1
封鎖 IP:恐波及無辜
先從封鎖 IP 講起。比如說,智財局未經司法程序就自行判定 download.example.org 這個網站是個盜版天堂,所以行文要求 Hinet 等等各大 ISP 把 download.example.org 給鎖起來。經查,download.example.org 對應到 127.128.254.15 這個 IP,因此,ISP 可能決定改改 routing table 之類的,把 127.128.254.15 給擋掉,或是利用改寫網路封包的技術,把連向 127.128.254.15 這個 IP 的封包重導到一個 ERROR 451 頁面之類的。
但這時,就遇到問題了。
首先,很多大型網站往往不會只有一個 IP,也往往不只一台主機,(比如說 download1~99.example.org 之類的,往往不會位於同一網段),ISP 要封,可能得鎖一大堆 IP,甚至只好開地圖炮,把整個網段都封掉。很多無辜網站可能會因此莫名其妙被封掉了。
並且,現在虛擬主機技術非常成熟,很多網站為了分散流量及降低管理負擔,可能會花點小錢然後把主機交給一些代理伺服器供應商代管,若真的要封,那麼那些代理伺服器上跑的網站會全部都被封掉。這可就變成『寧錯殺一百也不放過一個』了。這只有專制社會才會有的現象呀!
如果這個網站是架在該國的 ISP 所提供的虛擬空間上,那麼難道 Hinet 要把這個 ISP 的虛擬空間的 IP 全封掉嗎?想想看會造成多大的影響?
接下來,因為會涉及修改 routing table,而網址和 IP 位址的對應不可能一成不變,也就是說 ISP 的路由器的 routing table 可能得定時不停自動更新,(包括智財局的封鎖內容可能會隨時增減),老實說這種作法在技術上是個非常難搞的超級大工程。ISP 真的會被搞死。
且,網路主機往往不是只提供 Web Server 服務,其它重要服務包括 DNS、Mail、FTP 等等,封鎖 IP 的話,這些服務很可能會全部被封掉!
是的,封鎖 IP 的效果保証強大,但因為在封鎖時是不分青紅皂白全擋了,這可能會召來很多的非議:『我們又沒做錯事,只是倒楣和智財局看不順眼的網站放在同一個主機上,為什麼我們要被封?』,再加上技術上要路由器能隨時更新封鎖列表也不容易,所以在實務上封鎖 IP 反而窒礙難行。
封鎖 DNS:幾無效果
既然封鎖 IP 的效果不好,智財局可能會要求改由封鎖 DNS。要直接封鎖 DNS 是非常不容易的,因為 DNS 是一種分散式的架構,不管是大小網路環境幾乎都會自掛一個 DNS Server,要查詢 DNS 並不是非得經由 ISP 的 DNS Server 才行,所以單單修改 ISP 的 DNS Server 基本上沒有任何意義。DNS 幾乎不可能這樣就被封鎖。(簡單得說,不要用 Hinet 的 DNS 搞不好就能避過了 XD)
並且,有很多系統,包含部份手機系統,都自掛一個小小個人 DNS Server。既然根本不會由 ISP 的 DNS 來進行查詢了,想由改改 ISP 的 DNS Server 就想封鎖網路未免想得太簡單!
其實,若真的想管制 DNS 是有方法的:修改 root name server。在台灣的確有一台 root name server 的鏡像,但網際網路組織怎麼可能坐視台灣的小小智財局單憑一道行政命令就修改 root name server 鏡像裡的資料?修改 root name server 的結果可能會擴及全世界,這個責任智財局擔得起嗎?當然,這種事偉大的祖國政府就幹過,結果位於中國的 root name server 就被下架了。不知智財局要不要有樣學樣一番?
所以,智財局可能會要求採取的,就是最最最骯髒的『污染 DNS』的做法:
但即使這樣也未必完全封得住。有很多方法是可以設法繞過 DNS 污染的。
把所有 DNS Server 包括 root name server 都封了,然後重導所有 DNS 封包並送出虛假資料,針對某些網址重導至某個 ERROR 451 頁面
所以,單單從 DNS 是無法封鎖網路的。技術上幾乎不可行。再加上污染 DNS 這種作法是最最最骯髒的,馬政府不知擔不擔得起這種臭名?
向中國看齊:架設全國性通透式代理伺服器?
所以,如果真的要封鎖網路,智財局最可能採用的作法是:向中國看齊、架設全國式的通透式代理伺服器,然後從中管制。通透式代理伺服器原本是用來節省網路頻寬的使用量的,它會把使用者上過的網站的資料暫存起來,然後如果有其它使用者要求相同的資料,它會直接傳送暫存資料給使用者,可以避免重覆抓取相同資料,以節省頻寬。一般較大規模的網路環境應該都架有代理伺服器。
因為它會檢查『使用者上過哪些網站、下載過哪些資料』,所以當然可以順便用來管制哪些網站可以上、哪些網站不能上。換句話說,全國民眾在何時何地上了哪些網站,政府這下子有法源可以正大光明檢查了,這可以說是大開民主倒車!
可是,不做到這種地步,網路是鎖不住的!
且,若法案不幸真的通過了,那麼政府不管做到什麼地步,反正都是依法有據,那麼到時全國人民真的連晚上睡覺都會做惡夢!
所以說,也許智財局的本意未必是如此,但這個法案實行起來就是不折不扣的白色恐怖。我想不出其它形容詞了...
還有,HTTPS 之類基本是無法審查的,但還是可以加以干擾或阻隔。(其實 ISP 可以玩的手段可多著呢!請 Google 『中間人攻擊』;只是依法無據之前,ISP 不可能明目張膽這樣搞...);且,現在提供 HTTPS 的網站並不多,期待全世界的網站都走 HTTPS 未免不切實際。(HTTPS 的正式憑証要花錢申請,我個人是負擔不起).
from http://tetralet.luna.com.tw/index.php?op=ViewArticle&articleId=242&blogId=1
