一些翻墙通识

一些翻墙通识

· json · rss
Subscribe:
RSS
RSS
JSON
JSON

About

極權社會中遭遇最多危險的既不是無知的大衆,也不是已經理解極權的極少數人,而是那些啓蒙過程中有了質疑極權的意識但還不知道如何保護自己的人。 — @Chillylin


  • 随着鬼子墙的封锁越来越紧,越来越多的人开始接触翻墙,其中绝大多数人都并非熟悉各种网络和安全概念,不可避免的在翻墙的过程中有着各种各样的问题和隐患,今天我们就来讲讲翻墙的一些基础概念和常见误区,帮大家了解GFW,平稳过墙,安全翻墙。
  • 翻墙
    • 简单直接地理解,翻墙就像是海外代购,因为某些原因,商品不能直接从海外寄到我们国内的地址,不得不找一个中介来中转货物,商家发给代购,代购再寄给我们,购买成功✌️。同样地,某些海外网站被GFW屏蔽,我们无法访问,这时候需要一台能访问的国外服务器作为中介转发数据,服务器在被屏蔽的网站和我们的设备之间中转信息,网站访问成功✌️。
  • VPN和梯子
    • VPN的典型使用场景是公司员工在公司外使用的外部网络访问公司的网络时,无法保证员工的网络环境是否安全,是否会监听篡改到公司的网络通信,所以建立一套加密传输信息的系统,既能访问公司内部网络,又能在不安全的网络环境下保证通信安全。当然适用范围不局限于公司,比如普通的网络审查或者电视剧/游戏限制特定地区访问的锁区,VPN 因为突破限制而被广泛使用,但是并不使用于中国大陆,墙(GFW)的网络封锁已经远非普通级别,使用 VPN 就像海淘时快递上了锁,虽然不知道你买的是什么东西,但知道你不想让海关知道,那海关就直接把包裹拦截丢弃;一般网络通信中,都会在通信中标明使用的协议,使用 VPN 时,流量就会明晃晃地标明自己是加密协议,协议特征明显且主动,就像夜空中最闪亮的星。既然不知道你在干什么,那就技术上把 VPN 常用协议的出国连接都直接干扰屏蔽掉,或者线下拦截你真人,让学校辅导员、反诈、派出所线下敲打。
    • 历史不断地告诉我们,只要真实的需求一直存在,那它的供给就永远不会消失,而是找到更难被观测到的方式来实现,就像有禁酒令就会有酒厂制造含有酒精的饮料一样,表面上是叫各种苹果汁、芭乐汁、红茶咖啡,但实际上有着不低的酒精含量,叫作不同口味的酒更准确,类似这样的代理工具就俗称梯子,在GFW看来,你只是在访问一个普通的境外电商网站或者博客,实际上你是在通过这个看似正常的网站作为代理访问各种被封锁的网站。简单总结就是,用VPN,不知道你在看什么,但知道你不想让别人知道你在看什么,用梯子,知道你在看普通网站,不知道你看的这个“普通网站”的内容,也不知道你实际上是在把这个网站当作代理访问其他被封锁的网站。
  • 协议
    • 协议就像语言,要对话的双方都说同一种语言才能够相互理解,网络上的两端也需要使用相同协议才能通信,我们浏览网站用的是一种协议,QQ聊天用的是一种协议,发邮件用的一种协议,VPN也有各种各样的协议,梯子也是。
    • 自建某个协议的梯子,需要在服务器上安装实现这个协议的服务端软件,在你的设备(电脑/手机/路由器…)上安装支持这个协议的客户端软件,配置好账号密码等验证方式来连接上服务器,建立翻墙通道,才能达到翻墙的效果。
    • 主流翻墙协议的客户端,iOS上推荐小火箭 ShadowRocket,Android 上推荐 Exclave ,PC端推荐 mihomo(原 ClashMeta)
  • 线路
    • 只有技术上的突破还不够我们流畅地网上冲浪,我们还面临着物理网络资源上的限制,中国出国网络带宽总量低,人均少,网络服务也是垄断市场,国内家用宽带经过提速降费,虽然普遍就百兆起步,但很大程度上只是中国大局域网内的速度,家用带宽提速的成本被转嫁到企业商用上,商宽补贴家宽,尤其翻墙涉及到出国带宽时,总量就那么多,当然是优先保证企业用户使用,普通出国线路被运营商 QoS 严重劣化,访问国外网络速度慢,丢包率高,不仅是网络使用高峰期,就连普通时段也难以有流畅的体验,很多没有被墙的境外网站也加载缓慢甚至不能完成加载。网络线路有优劣之分,所以想要真正地网上冲浪,你还需要翻墙用的服务器有线路优化。
    • 在不同的地区,不同的运营商的优化线路也有不同,比如电信的优化线路 CN2 GIA,联通的 AS9929、AS4837 线路,移动的 CMI、CMIN2 线路。主流的运营商里,电信宽带用户最多,人均国际出口带宽低,且价格昂贵;联通宽带用户较少,人均国际出口带宽高,价格较便宜;移动带宽用户最少,人均国际出口带宽一般,很多用户都是白送宽带积累的,且有墙内墙,国内网络质量较差,综合来讲,最好是在一开始办理带宽时就选联通,如果使用场景需要在多个地区和运营商网络使用,最简单的还是买 CN2 GIA 线路的服务器,全国效果都不错,在某些地区,如泉州等,对所有出国网络都有更严重的限制,严重时候近乎白名单效果,可能就需要国内中转,在国内其他限制不严格的地区再找台服务器,多加一层代理。
    • 还要注意线路的去程和回程也可能不一样,可能只有单程是优化线路,比如去程是广州 → 香港 直连,回程就变成 香港 → 日本 → 北京 → 广州,也不是物理距离越近就一定越好,距离很近的,也可能去程回程都是绕地球的线路,一般 VPS 商家都会提供 Looking Glass服务,可以 traceroute 测试服务器到国内的线路。要注意不要被各种营销活动的季付年付忽悠,尽量只月付,损失不会太大,线路也不一定会一直不变,可能刚开始是优化的线路,过段时间就换成了普通线路,服务器IP也说不定哪天就被墙了,小服务商也有可能随时跑路。VPS 相关的评测、新闻等更多信息也可以选择性地参考 全球主机交流论坛NodeSeekVPS信号旗播报
  • 概率性和确定性
    • 不存在一个可以一劳永逸永远稳定的翻墙协议,你可能不时就会看到自建的梯子被封了的情况,有些可能是间隙性屏蔽几分钟,有些可能是屏蔽端口,有些是直接屏蔽服务器IP,甚至有些在客户端屏蔽,间歇性禁用宽带访问国外网络或者出国流量到一定量级限速、禁用。翻墙软件用户/开发者和GFW是一个持续的博弈过程,对于可识别的旧协议和根本不知道是什么的协议,可以直接屏蔽服务器,但在主流协议逐渐转向隐匿的代理模式时,GFW就难以完全判断一个出国网络连接是正常的还是隐匿的代理,于是通过机器学习等技术来对流量特征进行识别,给出一个可能的概率,这种情况下也会有误判产生,导致正常通信受到影响,所以前面讲的普通正常的境外网络访问也可能有部分是因误杀而无法访问,主流的翻墙协议已经逐渐转向基于类似网页浏览的HTTPS这类被广泛使用的协议,一旦误封会造成更大的经济损失,以此来抑制GFW的威力。在部署翻墙服务时,要选那些有开发者持续维护更新,用户反馈被识别情况少的协议。
  • 需求和商业化
    • 随着不同场景下的需求不同和越来越多的翻墙用户基数,使用方式上也是各种各样。最开始只是DNS污染的时候,改下hosts或者DNS就行了,到IP封禁越来越普遍的时候,普通代理协议也还能用,电脑上装个客户端软件开放个SOCKS5端口,浏览器安装个分流的扩展 AutoProxy 或者 Proxy SwitchyOmega 来分流,默认直连,被墙的网站才走代理;随着移动设备普及,需要全平台翻墙,这个时候 Clowwindy 站出来不仅开源了本来自用的 Shadowsocks 协议,还一人开发了所有平台服务端客户端的全套软件,Shadowsocks 开始在全平台普及;既然这么多设备都需要翻墙,干脆就在路由器上配好翻墙,被封的网站实在太多了,开始境内IP段直连境外IP段全走代理,连接翻墙路由器的设备无需设置也能翻墙,路由器刷机成 OpenWrt 系统,或者软路由全局翻墙也开始普遍起来;随着GFW 开始用机器学习等技术,服务器被识别封禁的越来越多,专门卖梯子的商家也越来越多,个人服务器一旦被封就要重新再买新的或者换IP,商家有很多服务,封了一个还有很多节点,而且有全球各个地区的节点,有些还能解锁流媒体,不用担心单点故障;除了最普通的翻出去就能访问的,还有各种锁区的国外服务,玩游戏需要UDP代理的,还能加上广告屏蔽等等,多样的需求就催生了能整合功能高度自定义的软件,其中最有名的就是clash系列,一系列复杂繁多的规则配置,在规则订阅功能的帮助下,到最终用户面前的操作,被简化到只需要填入一个配置订阅链接就可以了,提供服务的机场也普及开来。
    • 一般人翻墙最方便可行的方式就是买机场的服务,不过也要注意,由于提供翻墙服务本身就有合法性问题,运营者也良萎不齐,所以买梯子的时候也要注意安全,需要真实身份信息的绝对不要买,注意服务条款等,写明遵守中国法律之类的就别买了,还有些爱国机场,主动屏蔽了像法轮功、大纪元之类的网站也没说明,购买后可以试着访问下这类网站验证。买的时候尽量只月付,付款尽量选择有PayPal之类第三方的支付方式,要记住,机场无论大小随时有跑路可能。
  • 翻墙悖论
    • 翻墙遇到最大的问题不是翻墙时的,而是怎么开始,就像没有工作经验的人去找工作,而工作要求是有工作经验,当你需要下载翻墙软件的时候,发现下载地址是被墙的,当你买梯子的时候,发现机场的官网被墙了,要下载翻墙软件你需要先翻墙,要买梯子你需要先有梯子,不要着急,现实世界中充满了缝隙,总有方法可以达成,有很多可访问的在线网页代理、免翻墙镜像、免翻墙下载地址,用这些来临时绕过,或者找社群、能翻墙的朋友求助等,有过类似经历,就记得日后多留一条路,多留一个梯子或者和朋友互为备份,不要再留下单点故障。
  • 日常使用的安全
    • 具体怎么能翻墙,最多人听说的可能就是 VPN,于是当需要翻墙的时候,可能下意识地就会去搜索VPN软件,尤其大多数设备都是移动设备,自然而然地就会去应用商店搜索VPN软件,这是最多人会做的事,所以也是最多恶意潜伏的地方。特别是搜出来一堆免费的 老王VPN、xxxVPN、免费xxVPN,说不定就是蜜罐或者中资背景,你不知道背后是不是会偷偷利用你的设备网络用作网络攻击或者向公安提交你的信息,而且 VPN 本身不适合用来翻墙,不要安装,除非你是走投无路像用IE浏览器下载Chrome浏览器那样临时下载别的翻墙软件这种不涉及隐私信息的操作。
    • 翻墙设备,手机等尽量不要用国内厂商的国产系统,国产手机基本都已经内置了反诈软件,最简单和安全的方式是买个非国行的国外品牌手机全局翻墙,不安装任何国产软件,做到国内和国外访问两个手机物理隔离的效果。
    • 系统、软件及时更新,不要用过时或者无人维护的软件和协议,如 shadowsocksR、trojan、tuic 等
    • 不要在墙内墙外用相同的网名,发相同内容、用墙内手机号注册墙外服务等自曝物理身份信息的行为。
  • 被墙垄断的想象力
    • GFW(墙)的影响人数有十几亿,却甚至没有一个正式的官方名称,它的存在方式也是“刑不可知,则威不可测”式的。最大的恐惧永远是未知,比起物理上的限制,精神上的限制影响更加强大深远,有太多人因为想象中的恐惧就先自我恐吓、自我审查、自我限制,行动被真切的想象而束缚,精神被折磨而痛苦,所有的想象在真正与现实接轨时都会失真,你花在想象它的时间上越久就越脱离现实。我们可以了解它,跨过它,忽视它,超越它,不要把想象力放在这些加倍限制你、缩小你、贬低你存在的地方,把想象力放在爱、创造、探索这些会加倍你力量的地方。
  • 我能做些什么
    • OONI 是一个观测全球互联网审查的非营利性自由软件项目,他们会监测记录世界各地的审查事件的研究报告并实时公开发布,来提高互联网审查的透明度,你可以安装他们的应用 OONI Probe 并上传你所在地网络的审查程度,帮助促进信息平等。
    • GFW Report 是一个主要关注中国互联网审查技术的长期审查监测平台,旨在增进人们对互联网审查的理解并提高对它的认识。他们最近发布了一个面向翻墙人群的匿名调查问卷,试图了解和改进翻墙生态系统,你可以花一分钟时间在这里参与调查。