【翻墙问答】品葱停摆:疑似内蒙抗争促发封网


2020-09-04
Share
firewall620.jpg 2020年8月31日,蒙古首都乌兰巴托外交部外,大批蒙古人示威抗议中共在内蒙古推行双语教育新政策。(法新社)

问:服务器架设在美国的中文论坛网站品葱,相信是推特以外,聚集不少大陆翻墙网友的网站。但在北京时间周五(9月4日),品葱曾经中断服务数小时,打开网页只能见到Cloudflare错误字眼。品葱使用Cloudflare作安全防护,而Cloudflare其实已经可以很有效提供DDoS上的保护,为何品葱都仍然会出现数小时服务停顿的情况?

李建军:虽然未知品葱暂停服务的确实原因,但Cloudflare自身出问题的可能性基本可以排除——因为全世界很多网站都依靠Cloudflare,提供DDoS防护,以及作出加速,如果问题出自Cloudflare,出现服务问题的一定会不止品葱,而这次事件似乎只有品葱受到影响。

现时相信造成这次品葱中断更大的可能性,是中国当局透过不同黑客技术,得知品葱的主机实际IP,因此意图用DDoS攻击实际上真正储有品葱内容的主机。当然,假如面对的是这类型的攻击,就要暂停一下主机运作,作出调整后重开。因为中国当局的目标,很可能不只DDoS那么简单,而是要破坏品葱的运作,毕竟品葱上有不少讨论内容,于中国当局都十分之敏感,特别涉及近日内蒙古的抗争。甚至有「葱友」从这次品葱「遇袭」的时间点推测,正是内蒙古双语教育新政策争议引起当局紧张,情形正如新疆七五事件后当局采取的封网。

问:一般而言,要知道一个网站的真正IP并不容易,大部分人都只会知道相关网站的IP在Cloudflare的庞大主机内。假如你的推测正确,中国当局又是怎知道品葱的真正IP?

李建军:对大部分网友而言,确实难以知道品葱真实IP。不过,要留意一点:不少使用Let’s encrypt免费数码证书的网站,特别是当使用的是旧版Certbot证书签发程式,都要面对一个问题,就是更新证书时,很可能要短暂关闭Cloudflare的保护功能,方便完成签发证书必要的挑战程序。因为相关挑战程序,是无法在Cloudflare保护下执行。这一步,会令DNS的IP出现短暂的变动,可能相关变动只不过历时几分钟,但已经会在DNS历史纪录上留下纪录,有心人只要花几十美元,向一些有蒐集DNS变动纪录的网站购买相关资料,就不难推断出真正IP的位置。品葱IP可能就是在这个过程中遭曝光真身。

问:对于使用Cloudflare的网主,又想继续使用Let’s encrypt的数码证书,又不想短暂关闭Cloudflare功能令真正主机IP暴露,又应该怎样做?

李建军:Cloudflare网站有指导正确的Let's encrypt指令参数,令你不用暂时关闭Cloudflare保护,都仍然完成得到签发证书过程,这个程序并不使用预设的Let's encrypt的参数,而是需要使用替代方案。(有关方法可在Cloudflare帮助中心上查阅)当然,使用替代方案基本上都安全,因为全世界有很多网站,都使用这个替代方案,在Cloudflare保护下仍然定期更新证书。另外,现时Let's encrypt预设九十日就要更新数码证书,这个亦避免了数码证书有效期太长导于的保安问题。

有一点必须提醒广大网主,那就是如无必要,切勿关闭Cloudflare的保护功能!品葱一事就是教训。要谨记,一般黑客,并不愿意去为了攻入网站而花钱去买DNS变动纪录,但中共并非一般黑客——国家级黑客不单拥有大量僵尸电脑,他们拥有的财政资源,亦远多过一般单打独斗或纯粹为犯罪收益而从事黑客活动的小型集团。中共会根据维稳需要动用广泛资源把握任何机会达到其封锁目的。因此,你的网站内容如果是相对敏感,在保安政策上,亦必须十分之谨慎。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站