美加三所大学测试了5.34亿个域，深度分析中国防火墙的封锁能力

    由纽约州立石溪大学，马萨诸塞州的加州大学伯克利分校的大学和多伦多大学公民实验室通过其名为“GFWatch”系统。在 2020 年 4 月至 12 月的九个月期间，该系统通过中国国内网络向外网访问测试了 5.34 亿个域(域指的就是域名)。测量防火墙 (GFW) 如何在 DNS 级别篡改连接以防止中国用户访问某个域，或阻止外部实体访问中国内部站点。

    研究人员表示，他们使用“GFWatch”测试了 5.34 亿个不同的域，每天访问大约 4.11 亿个域，以记录并验证这些域的“可访问”或“阻止访问”是否为持续性的。

    经过九个月的数据汇总，他们发现中国的防火墙目前阻止了大约 311,000 (31万1千)个域，其中 270,000 (27万)个被阻止访问的域时长期无法访问的，而 41,000(4万1千)个域似乎是意外封锁的。

    研究小组表示，当中国防火墙(GFW)试图封锁较短的域并使用广泛的 DNS 过滤正则表达式 (regex) 时，这些包含该域名称的长尾词语也会被意外封锁，该表达式没有考虑到较短域也是较长域的一部分的情况名，间接禁止其他网站。例如，研究人员表示，当中国当局阻止访问 reddit.com 时，他们还意外阻止了对 bookreddit.com、 geareddit.com 和其他 1,087 个站点的访问。

    研究团队还使用了 311,000 (31万1千)个被封锁域名的列表来确定GFW通常阻止的内容类型。

    研究人员使用 FortiGuard 等域分类服务表示，大约 40% 的被封锁的站点是新注册的域，GFW似乎默认封锁这些新域名，直到他们能够对其内容进行分类和白名单。

    同时研究团队表示，被封锁最多的域名通常与托管与业务相关的内容，其次是托管色情内容的域，然后是专门用于信息技术 (IT) 的域名。

    其他类型的被封锁的域名包括用于避免防火墙阻止的站点托管工具、赌博站点、个人博客、娱乐站点、新闻和媒体站点以及托管恶意/恶意软件内容的域。

    此外，随着该项目的开展和去年新冠状病毒大流行的加剧，研究人员还发现与 COVID-19 相关的域被实时添加到 GFW 过滤规则中。

    研究人员说：“我们发现，被 GFW 屏蔽的大多数域都不受欢迎，并且没有出现在最受欢迎的网站列表中。”并表示，在 138,700 (13万8千7百)个域名样本中，只有 1.3% (约 1,800 个)站点是互联网上最受欢迎的 100,000 个站点之一（根据 Tranco 排名）。

此外，研究人员表示，使用 GFWatch，他们还发现了中国基于 DNS 的阻止（通常涉及更改返回给中国用户的 DNS 记录）的案例，也意外地污染了中国互联网空间之外的几个 DNS 提供商网络内的 DNS 记录，至少 77,000 (7万7千)个站点。

信息来源：How Great is the Great Firewall? Measuring China’s DNS Censorship
参考内容：therecord