# 前言
藝人黃子佼的桃色風波,導致最近新聞一直瘋傳「創意私房已關閉」的訊息,並在好奇心的驅使下瀏覽的內容,會被發現網址會被劫持(hijacking)至 TWNIC 的封鎖頁面,
# 網路自由
網路本身是自由的,這句話的自由指的是你可以連線到任何一個網址。然而受到法規的限制,政府可能控制或禁止某些特定網頁的存取。以常見的例如中國大陸封鎖的有:Google、YouTube、Facebook、維基百科等….
網絡自由並不代表對色情、賭博、盜版等行為的容忍或鼓勵,尤其是當這些活動是建立在他人痛苦之上或侵犯他人權益時。這些行為本身就是不應被鼓勵或允許的。更糟糕的是,如果有人因觀看這類影片而涉入犯罪或開始從事非法活動,那將造成更大的問題。
而臺灣,早在 2013 年智慧財產局就因為國內外部分網站提供侵權內容行為而提出國內 ISP 以 DNS 或是封鎖 IP 的行為進行阻擋,但最終不了了之。
在這次新聞媒體渲染下,點開了創意私房,就會發現網址被轉導到封鎖頁面。事實上,在 2020-03-30,TWNIC(財團法人台灣網路資訊中心)召開第一次 DNS RPZ 會議。並透過 DNS 等方式進行網路封鎖持續至今。
# 回應政策區域(DNS RPZ)
# 什麼是 DNS RPZ
域名系統回應政策區域(domain name system response policy zone,DNS RPZ),是由 互聯網系統聯盟(internet systems consortium)開發的一種技術,提供了在 DNS 伺服器層級進行網址過濾的機制。
RPZ 允許網路管理員在 DNS 伺服器加入特殊的回應政策區域,當有查詢要被過濾的網域名稱時,DNS 伺服器就會從這個特殊區域傳回一個指定的 IP 位址或錯誤訊息,從而重定向(redirect)或阻止使用者連線到該網站。並可以有效防止訪問惡意網站、釣魚網站或是政治不正確的內容。
以下內容為例子,電腦要瀏覽 NSFW.com,其對應正確的 IP 為 1.2.3.4,使用者直接輸入網址後,會透過 DNS 伺服器進行網址解析。電腦預設所使用的 DNS 伺服器若為中華電信(168.95.1.1),且 NSFW.com 已被列入中華電信的 DNS RPZ 過濾名單中,則經過 DNS 伺服器解析後會回傳 NXDOMAIN(或被重定向到特定 IP),即無法正常連線並取得原始網頁內容。
若將DNS伺服器改為使用未參與RPZ過濾的公共DNS服務,如CloudFlare的 1.1.1.1,則在解析 NSFW.com 時將不會受到過濾清單的影響,可以正常解析並取得該網站的原始內容。
# 誰使用了 TWNIC 的 RPZ?
2024/04 擷取自 TWNIC (網址已失效),目前已參加的成員有:教育部、中華電信、台灣碩網、宏遠電訊、中嘉和網、大台中數位有線電視、天外天數位有線電視、正源科技、台灣固網(台灣大哥大)、新世紀資通(遠傳)、亞太電信、台灣之星、三大有線電視、公共電視、統一資訊。
意思是,你今天如果是使用中華電信/台灣固網/遠傳等網路,預設所設置的 DNS 伺服器都會經由 RPZ 進行過濾。
# RPZ 安全嗎?
域名解析的目的是將網址轉換為 IP 地址,我們把網址丟給上述機構的 DNS 伺服器,上述機構只會知道有個人想要取得某個網址的域名,不會知道網頁內容與傳入資訊(如密碼、個資),並將過濾、安全的 IP 傳回給使用者。
例如:我們要瀏覽 NSFW.com,結果域名被劫持,並回傳 150.242.101.120。瀏覽器會比對其證書,當證書與網址不一致、或是網址協定為 http 時跳出不安全因素通知。此時忽略警告,點擊繼續訪問網頁,網頁結果會重定向到 TWNIC 的域名解析封鎖頁面。
此外,如果電腦的受信任的根憑證被竄改,即使域名遭到劫持並信任了可疑的憑證,瀏覽器也不會發出警告通知。由於證書獲得了信任,攻擊者就能夠執行中間人攻擊(man-in-the-middle attack,MITM),進而解析和攔截所有網頁傳遞的內容,並實施更精確的封鎖。因此,在使用公共電腦時不要進行登入的行為。大部分使用者通常不會仔細檢查電腦上的安全憑證是否被篡改,如果 DNS 伺服器和安全憑證經過特別設定,則會更容易遭受攻擊。
# 相關應用
對於相關應用,可以自己建立 DNS 伺服器進行廣告、病毒、色情等釣魚網站過濾,自己建立的 DNS 伺服器就等同於 RPZ 的角色了,現成方案有像是免費的 NextDNS、或是自己架設開源的 AdGuardHome。
# 如何避免網路封鎖
上述內容講了這麼多,其實也就是個 DNS 解析被套上一層 RPZ 而已,要能夠正常瀏覽網站,不要使用這些機構預設所提供的 DNS 伺服器即可。較新的系統可以可以設置 DNS over HTTPs(DoH),DoH 確保攻擊者無法偽造 DNS 內容。從網路管理員的角度來看,DoH 流量會表現為與其他 HTTPS 流量一樣,所以網管會更難追蹤你再看的網頁。
# 瀏覽器端
Step 1: 開啟瀏覽器的設定
Step 2: 搜尋輸入 DNS,並填入 DoH 網址後,在瀏覽網頁就正常解析了。
# 手機端
在手機端上大多數的新系統都支援 DoH,以 iPhone 為例子,要安裝 mobileconfig 配置檔。
安裝後手機的流量都會透過該 DNS 伺服器進行。DNS 伺服器可以選擇公認的伺服器像是 Google 或是 Cloudflare。
- 點擊連結後,點選允許描述檔。
- 到系統找到
設定→一般→VPN 與裝置管理。 - 在
已下載的描述檔,找到Cloudflare DNS over HTTPS,點選右上角的安裝。 - 點選
DNS→把自動切換為Cloudflare DNS over HTTPS。
恭喜,現在手機查詢域名的方式是 DoH。並可以避免 DNS 的劫持與換來更多隱私。
# 結論
網路審查是一個很困難的議題,是政府、公司與使用者的攻防戰。
想想中國大陸的使用者冒險違法使用 VPN(對岸非申請使用 VPN 是違法行為),並藉由不同的加密協定(Shadowsocks、V2ray、Trojan、Hysteria、Juicity、WireGuard、Snell)進行混淆翻牆。而在臺灣,市面上一堆 VPN,付費下載訂閱後也能繞過相關的限制。最後只是讓那些 VPN、中繼商、VPS 伺服器供應商賺飽飽而已。
此外,盜版商的網頁 NSFW.com 被封鎖了,對方今天換成 NSFW.ai, NSFW.io 也能讓政府沒辦法即時性的進行封鎖。
甚至,透過 Telegram, Line, Facebook, Cloud 私人群組進行分享、販售。又要怎麼抓呢?人都是健忘的,過沒多久這些網站又會重啟爐灶,換個方式在網際網路上販售傳播而已。
原本我也不知道「創意私房已關閉」的訊息,不也是新聞媒體一直渲染這件事情,導致一堆人從不認識到認識這個網站。
關於成人內容的產業,其存在和流通引發了廣泛的倫理和法律問題。但如果想看的人願意花費 10 萬請求片源,請你去拍攝,或是提供被害者金源。加害者不斷製造色情影片與轉售的同時。這個產業又怎麼會瓦解呢?真正要解決的,是釋出高額獎金抓出藏鏡人,例如拍攝者、詐騙廣告投遞者,並實施嚴刑峻法。不服從者如 Facebook、YouTube 的劣質廣告(詐騙),直接整個網站封鎖。
然而,這個世界上的色情產業就瓦解了嗎?想看的永遠都有辦法,也會出更高的金額找到片源來看。而 Apple 也曾在 2021 提出 CSAM Detection 最終可能是因為不夠精準而不告而終。對兒童色情的保護仍然是未來的一大議題。
最後,期望世界上沒有人是被脅迫而拍攝不良影片、沒營養的垃圾詐騙廣告少一點。願世界更美好。
