深入解析 TW DNS RPZ 网络封锁与解锁策略
分析 TW DNS RPZ 网络封锁与解锁策略,域名遭劫持时常见“此网域已经遭到封锁”提示,厘清政府管控机制并使用 DoH、VPN 等方式绕过限制,并评估政策成效与隐私风险,归纳成人内容与盗版网站如何受此影响,透过实例与图解说明 DNS 拦截运作机制与自订浏览器、手机 DoH 配置,说明自由与审查交错下的种种冲击。
前言
艺人黄子佼近期卷入桃色风波,该事件引发广泛关注并促使媒体报导“创意私房已关闭”的消息。许多出于好奇心尝试访问该网站的使用者,却发现其网址遭到劫持,最终被导向台湾网络资讯中心(TWNIC)设置的封锁页面。
台湾网络资讯中心(Taiwan network information center,TWNIC)是管理台湾网域(.tw、.台湾)与 IP 位址的机构,负责网络资源分配、技术教育推广、国际合作及网络安全发展。
网络自由
网络本质上是自由的,这里所谓的自由指的是使用者能够连线到任意网站。然而,受到法规限制的影响,政府可能会控制或禁止部分特定网页的存取。例如,在中国大陆,常见的被封锁对象包括 Google、YouTube、Facebook、维基百科 等
网络自由并不意味着对色情、赌博、盗版等行为的容忍或鼓励,尤其当这些活动建立在剥削他人痛苦或侵犯他人权益的基础上时。这些行为本质上就不应受到支持或许可,且若有人因接触此类内容而进一步涉入犯罪或非法活动,将可能引发更严重的社会问题。
而台湾早在 2013 年,因应国内外部分网站提供侵权内容的情况,智慧财产局曾建议国内 ISP 采用 DNS 或封锁 IP 的方式进行阻挡,但最终未能落实。
在近期新闻媒体的渲染下,当使用者点选创意私房时,便会发现其网址被转导至封锁页面。事实上,自 2020-03-30 日起,TWNIC(财团法人台湾网络资讯中心)召开了第一次 DNS RPZ 会议,并透过 DNS 等方式进行网络封锁持续至今。
回应政策区域(DNS RPZ)
什么是 DNS RPZ
域名系统回应政策区域(domain name system response policy zone,DNS RPZ)是一项由 互联网系统联盟 开发的技术,旨在于 DNS 服务器层级实现网址过滤机制。
RPZ 允许网络管理员在 DNS 服务器中配置特殊的回应政策区域,当查询涉及受限制的域名时,该 DNS 服务器将依据预设策略,回传指定的 IP 位址或错误讯息,借此将流量重定向或阻断,从而有效防范访问恶意网站、钓鱼网站或政治不正确的内容。
举例而言,若使用者欲浏览 google.com,其正确 IP 位址为 1.2.3.4,但若该网域已被列入中华电信(DNS 服务器 IP:168.95.1.1)的 RPZ 过滤名单中,DNS 解析后将回传 NXDOMAIN 或被重定向至特定 IP 位址,导致无法正常取得该网站内容。
相对地,若将 DNS 服务器改为使用未参与 RPZ 过滤的公共 DNS 服务(如 CloudFlare 的 1.1.1.1),则在解析 google.com 时不受过滤名单影响,能够正常解析并取得该网站的原始内容。
谁使用了 TWNIC 的 RPZ?
根据 2024/04 撷取自TWNIC的资料,目前已参与该机制的成员包括:
教育部(Ministry of Education Republic of China)
中华电信(Chunghwa Telecom)
台湾硕网(So-net Taiwan)
宏远电讯(SaveCom International)
中嘉和网(KBT)
大台中数位有线电视(VeeTIME Corp.)
天外天数位有线电视(TWT Digital Communication Corporation)
正源科技(Yulon IT Solutions)
台湾固网(台湾大哥大)(Taiwan Fixed Network)
新世纪资通(远传)(New Century InfoComm Tech,NCIC)
亚太电信(Asia Pacific Telecom,APT)
台湾之星(Taiwan Star Telecom,T Star)
三大有线电视(SAN DA CATV)
公共电视(Public Television Service,PTS)
统一资讯(President Information)
换言之,如果使用的是中华电信、台湾固网、远传等网络服务,其预设的 DNS 服务器皆会透过 RPZ 进行过滤。
RPZ 安全吗?
域名解析的核心功能在于将网址转换成相应的 IP 位址。当我们将网址提交给 DNS 服务器时,该服务器仅会记录使用者请求的域名,而不会接触到网页内容或传输的敏感资讯(例如密码、个人资料)。DNS 服务器会回传经过过滤或确认安全的 IP 位址,确保使用者能够安全地连线。
例如,当使用者尝试浏览 NSFW.com,若其域名遭到劫持而回传 150.242.101.120,浏览器将比对该连线的凭证。若凭证与预期域名不一致或连线使用 HTTP 协定,则会显示不安全提示。使用者若选择忽略警告,则最终会被重定向到 TWNIC 设置的封锁页面。
此外,若电脑的“受信任根凭证”遭窜改,即使域名被劫持且信任了可疑凭证,浏览器也可能无法发出有效警告,从而使攻击者得以执行中间人攻击(MITM),进一步拦截和解析所有网页传输内容,实施更精确的封锁。因此,在使用公共电脑时,建议避免进行登入等敏感操作,以降低安全风险。
相关应用
对于相关应用,使用者可以自行建立 DNS 服务器来过滤广告、病毒、色情及钓鱼网站等不良内容,自建的 DNS 服务器在功能上与 RPZ 相似。目前市场上有现成方案,例如免费的 NextDNS 或可自行架设的开源工具 AdGuardHome。
如何避免网络封锁
上述内容说明,实际上只是 DNS 解析中被套用一层 RPZ 而已。若要正常浏览网站,建议不要使用这些机构预设所提供的 DNS 服务器。较新一代的系统可以透过设定 DNS over HTTPS(DoH)来防范攻击者伪造 DNS 讯息。从网络管理员的角度来看,DoH 流量会与其他 HTTPS 流量相同,进而使网管更难追踪使用者浏览的网页。
浏览器端
步骤 1:开启浏览器的设定
步骤 2:搜寻并输入 DNS,填入 DoH 网址后,即可正常解析网页。
手机端
在手机装置上,大部分新系统均支援 DNS over HTTPS(DoH)。以 iPhone 为例,可透过安装 mobileconfig 设定档 来启用此功能。安装完成后,手机所有流量将透过指定的 DNS 服务器进行解析,您可以选择 Google、Cloudflare 或 Quad9 等公认的 DNS 服务器。
点击上述连结后,选择允许安装描述档。
前往系统中的“设定”→“一般”→“VPN 与装置管理”。
在“已下载的描述档”中,找到 Cloudflare DNS over HTTPS 描述档,然后点选右上角的“安装”。
进入“DNS”设定,将“自动”切换为“Cloudflare DNS over HTTPS”。
完成以上步骤后,您的手机将以 DoH 方式查询域名,有效避免 DNS 劫持并提升使用者隐私保护。
备注: 请注意,DNS over HTTPS(DoH)仅为加密 DNS 查询的技术,并不等同于虚拟私人网络(VPN)。
结论
网络审查是一项极为复杂的议题,涉及政府、企业与使用者之间的持续对抗。以大陆为例,使用者冒着违法风险利用 VPN,并结合各种加密协定(如 Shadowsocks、V2ray、Trojan、Hysteria、Juicity、WireGuard、Snell)进行翻墙;而在台湾,市面上充斥着各式 VPN 服务,付费订阅后即可绕过相关限制,最终仅使 VPN 供应商、中间商与 VPS 供应商获利。
此外,若网站遭封锁,网站主只需更换域名,即可让政府难以及时封锁。甚至透过 TG、Line、FB 与各类私密群组分享、贩售该类内容,使得封锁措施形同虚设。正如新闻媒体渲染的“创意私房已关闭”讯息,反而令更多人认识该网站。
成人内容产业涉及广泛的伦理与法律问题,但当市场需求存在时,即使花费巨额资金取得内容,产业仍难以彻底瓦解。真正的解决之道在于释出高额奖金以捉拿幕后操控者(例如拍摄者或诈骗广告投递者),并实施严格法律制裁;对于屡次违规者,则采取全面封锁措施。
然而,色情产业是否能够真正根除仍存疑问:想观看的人总能找到方法,甚至不惜支付更高金额获得内容。值得一提的是,Apple 于 2021 年曾提出儿童性虐待素材(child sexual abuse material,CSAM)检测系统,计划透过比对使用者 iCloud 照片与儿童保护组织提供的已知 CSAM 图片杂凑值来侦测相关素材,但最终因争议与准确性问题而未获推行。
期盼未来能有更完善的措施,减少因胁迫而拍摄的不良影片与缺乏内容、没营养价值的诈骗垃圾广告,让这个世界变得更加美好。