马来西亚的 DNS 审查政策是对互联网自由的全球性威胁
本月初,马来西亚通信与多媒体委员会(MCMC)发表声明称,国内互联网服务提供商(ISP)将发送给其他 DNS 提供商的 DNS 查询重定向到自己的服务器。该公告引起了强烈舆论反弹。
MCMC 表示,此举旨在保护公众免受 “有害内容”的侵害,即“与在线赌博、色情、侵犯版权、诈骗和其他违反马来西亚法律的行为有关的网站”。
在继续讨论新的 DNS 审查政策之前,让我们先回顾一下是什么 DNS,它在网络基础上起什么作用。
DNS 是域名系统(英文:Domain Name System)的缩写。简单地说,是互联网的字典。当用户在浏览器(如 www.example.com)中输入网址时,电脑需要将这个人类可读的地址翻译成 IP 地址。IP 地址是指数字,用来标识互联网上的特定服务器。这种转换由 DNS 解析器完成。该解析器通常由 ISP 或用户在设备上配置的第三方 DNS 服务处理。
就马来西亚监管机构要求互联网服务提供商重新定向 DNS 查询的命令而言,这意味着,如果用户尝试使用其他 DNS 提供商(如 Google DNS 或 Cloudflare DNS 或 AdGuard DNS),他们的查询将被拦截并重重新定向到互联网服务提供商自己的 DNS 服务器。表面上看,MCMC 说这都是为了保护用户不受“有害”网站的侵害。
互联网服务提供商拦截和重新定向流量有多容易呢
从技术角度看是有可能的,因为互联网服务提供商可以控制通过其网络处理的 DNS 流量。不过,这里有个重要的区别。如果用户使用未加密的明文 DNS 服务器,使用 IPv4 或 IPv6 协议返回 IP 地址,那么互联网服务提供商就可以看到用户访问的网站。这意味着,任何可以访问网络流量的人,首先是用户的互联网服务提供商,都可以读取、拦截并修改用户的查询和响应。一般,DNS 流量都是未加密的,因此大多数用户都会遇到这种情况。
然而,对于互联网服务提供商来说,要对发送到加密 DNS 服务器的用户请求进行同样的处理过程,难度要大得多。虽然加密 DNS 协议尚未成为主流,但由于能解决未加密 DNS 固有的隐私问题,因此正日益受到重视。有几种安全协议用于传输这些加密请求。最广泛采用协议包括 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT)。还有一种新的尖端协议,即 DNS-over-QUIC(DoQ),在速度和可靠性方面都优于上述两种协议。DoQ 仍处于早期应用阶段: AdGuard DNS 是第一个支持该协议的公共解析器。
虽然使用加密的 DNS 服务器可以保护个人网络记录,不让日志记录成为 ISP 的睡前小故事,但加密 DNS 服务器仍然可以推断出用户使用的是其他 DNS 服务器。原因是,被称为“引导”的(英文:Bootstrap)过程。当设备第一次尝试使用加密 DNS 服务器时,它必须首先通过传统的无加密 DNS 解析该服务器的 IP 地址。这一初始步骤称为“引导”,包括向 ISP 的 DNS 发送标准、未加密的 DNS 查询,以获取加密 DNS 服务器的 IP 地址。这将向 ISP 提供提示,表明用户可能使用的是非 ISP DNS 服务器。
不过,这一过程并不明确,很可能会产生大量误报。因此,在执行方面上,我们不确定互联网服务提供商是否会超出重新定向流量的权限范围。这在很大程度上取决于命令或政策的范围和互联网服务提供商的责任。乍一看,互联网服务提供商要确保使用加密 DNS 的用户不会求助于其他 DNS 提供商,唯一的办法似乎就是切断他们与互联网的连接。
长话短说:如果用户使用加密 DNS,就有更多机会避免 DNS 流量被强制重新路由。
新政策的延迟:潜在的问题
在马来西亚通讯管理委员会发布命令几天后,就被暂时搁置了。9月9日,马来西亚通讯部副部长张念群宣布,当局在执行命令前应首先咨询行业领导者。她还指出,将开展这一磋商进程,但没有确定具体的时间表。她说“我们希望 MCMC 进行适当全面的参与。需要一个月,那就一个月吧。需要三个月,那就三个月。”
在 MCMC 迫使互联网服务提供商听从其指令后,马来西亚政府在这一问题上的态度发生了逆转。有报道称,使用 Google 和 Cloudflare 运营的公共 DNS 解析器的用户在访问互联网时遇到了问题。MCMC 建议这些网站的所有者联系他们的互联网服务供应商,如果问题仍然存在,就直接联系 MCMC,但这显然还不够,因为该命令的执行现已无限期暂停。
有几种可能出错的情况。 但首先,我们需要先卖一个关子,强调一件事情。我们认为这种命令在当今的数字互联世界中完全没有一席之地。这种命令的精神与自由网络的理念相悖,不仅如此,它还侵犯用户选择自己所想要使用的服务的基本权利。
虽然目的可能是保护用户免受有害内容的侵害,但赋予政府如此大的控制权以及监控权是有风险的,而且会为潜在的滥用打开方便之门。我们坚信,个人用户应该自己决定想要消费和屏蔽的内容。例如,免费的公共 DNS 服务(如 AdGuard DNS)提供非过滤、广告拦截和家庭保护三个模式,帮助用户管理自己的上网体验。用户应该拥有代理权,而不是服务提供商。
至于除了民众的不满之外,执行过程中可能出现的问题,其中一个可能性是,政府批准的 DNS 服务器因从黑名单上的 DNS 服务器重新定向的请求而瞬间超载。有人可能受到误报问题的影响,看似合法的网站无法打开。
下一步是什么?
马来西亚当局可能已将新政策送交审查,但他们并没有回到绘图板上。新措施仍处于讨论阶段,而且很有可能会付诸实施。即使不是下周,也会在今年某个时候实施。
移动通信管理委员会还表示,它不会禁止虚拟专用网络作为命令执行的一部分。虚拟专用网提供的加密功能确保互联网服务提供商无法看到用户的 DNS 查询或任何其他数据。互联网服务供应商可以检测用户何时连接到 VPN,并识别 VPN 服务器的 IP 地址,但不能查看或更改流量内容,包括通过 VPN 进行的 DNS 查询。这些 DNS 查询将由 VPN 自身的 DNS 服务器处理。
乍一看,不阻止 VPN 服务的决定似乎有些难以理解,因为使用 VPN 很可能会破坏该命令的效力。可能的解释是,当局可能没想到会有很多人“费尽周折”使用 VPN 来绕过限制。
通过不针对 VPN 服务,马来西亚政府将创造一个访问被封锁内容的漏洞。然而,该政策仍会对用户隐私和安全造成影响。它可能会让互联网服务提供商和政府不受限制地获取用户访问过的域名列表(如 google.com、dailymail.com 或 pornhub.com)。此外,如果加密 DNS 用户的互联网访问被切断,这将破坏他们的用户体验(至少可以这么说)和安全,并将在总体上降低网络安全标准。
除了这些担忧之外,新政策还可能给其他国家,特别是那些不重视民主自由的国家提供指针,从而开创一个潜在的危险先例。社会各界必须团结起来,共同应对这些对自由网络的威胁,并明确表示反对。现在是马来西亚,但下一个是不是会有您的国家。