/ l5 ?( m1 a E' I2 r0 J! k1 [0 q( Z; ^如果有朋友掌握了翻墙方法后在Twitter转播一些天朝ZF禁止的言论或者图片,也可能面临被抓的风险。 这种威胁国家安全的情况可能就比普通的违法行为更加复杂一些,也请各位网友注意。 + F u# w6 B( s* U0 z* V- o6 e1 C4 C5 F 翻墙安全问题 5 U3 T8 E4 \2 k4 g# t在天朝不论是办理电信4G, 5G ⽹路,或是家⽤宽频。都需要填写个⼈资料,提供⾝分证拍照等等流程。有⼀次我带⼀位美国朋友来上海玩,顺便也帮他办了⼿机号码⽅便天朝使⽤,电信单位不但扫瞄了他的护照,还特别拍头像照片留档并且还要提供酒店住宿证明等等。# z8 Z8 z% ~. b% Y
7 ~, ~( Z" x5 y4 Z6 A# p4 ]: E
精确地记录到用户的信息就能够将每个用户的上网行为和个人进行匹配,这就是为什么不论是登录什么网站都需要手机验证码的原因。 6 Y# `4 ]2 q! m- d h v W7 I+ D + k) R0 b+ A5 E/ e这里我们只是做一些技术原理的分析,并不是教授逃避抓捕的方法。 6 j! Q8 D4 `$ F" w4 U+ g0 {! P# G Q* F7 \5 r 证据链 2 _$ c- I- J3 y5 B- w天朝国内的⽹站,都必须向GA登记,这个意思就是GA有权利拿到⽹站访问资料。所以使⽤者访问国内的⽹站时,⽤户资料都是被明确记录下来的。 : v- ~9 G s( f+ d: n( q% i8 [) [$ o+ g9 ?
使⽤者于⽹路上发表⼀些违反国家法律的⾔论,⽹路JC便会依照这些资讯进⾏抓捕,如果⽤户没有资讯背景,在访问时没有透过特定⽅式加密,基本上百分之百肯定是能抓到的。1 k# S1 l% W1 v7 F& L8 A/ r
" {, G! t2 {. _ 翻墙还会被喝茶?- e7 ^. M1 U. r, p+ p9 T
许多翻墙软件公司号称其服务器位于国外,可以安⼼翻墙。这个只是说对了⼀半,所谓翻墙,势必需要连线位于国外的服务器,然⽽连线到国外的服务器并不代表抓不到。很多网友以为自己用了twitter的账号就可以万事大吉,但是事实上问题比想象中的复杂。 ) H, [$ q0 Q; J1 [1 I6 f( \ [5 C M5 a$ i: z VPN的问题 8 c% i# U, m) W1 C- n1 m很多VPN公司并没有做到完善的加密服务,因此很多时候用户就是在裸奔。连线数据不是像航班一样一路从用户的位置直达国外的服务器,而是类似运送快递,通过多个中转站中转运送。如果在国内的中转中没有做好加密措施,你的访问信息就会被发现。4 X$ b$ O7 Q% Q _
/ q, L' C) c+ K. x
透过上图的说明,⼤家可以了解到。翻墙的安全性不在于是否够过国外服务器浏览,⽽是流量经过国内服务器时,是否具备⼀定的安全加密机制。不过目前大部分的网站都有比较高的安全级别,用户在国外网站上的浏览记录,互动行为是被加密保护的,网络JC能看到的也就是你上了什么网站,具体做了什么并不了解。1 H2 a. z+ o# k6 O2 S# U( u- |7 t
% |+ x. T' t4 k4 X 信息泄露 ' o3 b( I$ }4 C" u有时候用户的网上行为被发现不是因为VPN,而是信息保护措施做得不够到位。例如邮寄包裹到国内的地址,或者是注册邮箱使用qq,163等。只要能够把网上的个人和现实中的人对应起来,网上的行为也就知道是谁做的了。 6 s b# F' U3 s5 ]0 k' J o 6 m+ l9 F: l( f4 H' L2 O5 e u我们这里不单单讲的是翻墙,而是每个人都应该注意保护自己的隐私。这种保护自己隐私的行为也不是说为了防止JC怎么逮捕,JC也只是做事的人,和我们打工人一样,没有说要专门找别人的麻烦。保护隐私是为了保护自己的安全。每个人都有一些难以启齿的地方,也都想把自己的小秘密藏起来。很多时候这种我们不愿意展示的人格是通过网路形象呈现的,保护自己的隐私,也是保障自己现实生活不会受到网络暴力的冲击。 / A/ J5 `) H0 x5 y # m" f1 e0 T/ S使用蓝灯翻墙被抓# b' z/ T5 a$ l; g
蓝灯(Lantern),或称蓝灯VPN,⼀直是天朝常搜寻的翻墙软件。甚⾄2020年12⽉之后⽹路上开始⼴为流传蓝灯破解版。⾝为⽹路专业⼈⼠,我深深了解蓝灯在本质上属于代理,安全加密系数极低,提醒⼤家千万不要再使⽤蓝灯,更不要尝试什么蓝灯破解版。( S5 g7 d6 R" F( T* c# S5 T
: D$ s) t( l+ o6 y" q" U2019年1⽉有⼈因为在⼿机上使⽤蓝灯⽽遭到GA逮捕。2020年10⽉24⽇,张某因为使⽤了蓝灯访问维基百科,被警⽅逮捕。之所以被发现,就如我在上⽂所述,⽹路JC完全可以查找国内路由器的所有纪录,使⽤低度加密的软件,⽆疑是让⾃⼰暴露于⻛险之中。& k3 g2 b. m& M, m" F. Y" f& R
) R2 r1 z, n9 r: ~% G我们非常不推荐使⽤具有⻛险的翻墙软件,由于已经发⽣多起使⽤蓝灯翻墙软件被抓事件,我们强烈建议使⽤者在天朝千万不要下载、使⽤蓝灯,以保障⾃⾝安全。 * E. K4 T+ L6 g8 J; T, f. @) S( ?$ I. N$ I2 o 如何翻墙) e2 r& }3 h# C( s$ ^
关于防火墙的运作以及翻墙原理由于牵扯到IP, DNS, SNI等资讯专业内容较为复杂,我这边将会使⽤简单的⽅式做举例说明,对实际运作有兴趣者可以参考过去我所攥写的「翻墙原理导论(技术⽂章)」。+ L' a9 v9 z( A# z+ C' y, l; W
/ \5 Z) U4 b8 T& A1 ^ 正常网路访问 # B' T& C. L4 T( K( Z1 X7 X$ A在天朝地区,由于⽹路防火⻓城的因素,防火墙会有一个黑名单。只要连接的网站是在黑名单内的(例如Google),防火墙就会阻止用户进行访问,最终实现屏蔽一部分外网的效果。很多人所说的翻墙,就是让用户先连接到一个国外的服务器,再通过国外的服务器访问Google等被屏蔽的网站。因为国外没有对这些网站进行限制,所以这个中转服务器到谷歌脸书是畅通无阻的。, X' r. n% T U/ l5 {: F
% k# f" n, L) Q6 E& ?8 Z
这里需要做的就是骗过防火墙,让它认为你连接到这个中转服务器是规规矩矩的行为。这里主要分为三种方式 # G& V# N* j& C1 n, i, @2 k8 a8 n$ L6 {3 g2 j! _6 L 翻墙方式) x, }! n, G, R7 g. q* m5 a 使⽤VPN【翻墙】 M! Q& r0 l* ]$ {' q7 l; w
第一种方式是和中转服务器通过VPN协议进行连接。这个也是大多数人想到翻墙,第一个出现在脑中的就是VPN。VPN会对传输到中转服务的这些数据进行加密,因此防火墙不知道里面的数据是什么,就认为你应该是个老老实实的用户。9 Z, j! n+ L" X' {" g( \# ?7 d
: G+ v8 B0 N' T
可是这种方式的问题在于VPN协议有相对明显的特征。如果有很多VPN数据连接到同一个国外的服务器,这时候防火墙就会怀疑你们这些人偷偷摸摸的搞什么鬼,因为数据加了密,防火墙也不了解里面的内容。鬼鬼祟祟的还不让我防火墙看,一定是在搞事情!这种一抓一个准,因为绝大部分VPN都是在翻墙,所以防火墙也是看到有人扎堆就直接关掉这个链接。 / `! P* e9 o$ s: h- f! @- a$ ?% P: y" N. t+ f
因此不久之后就会屏蔽掉VPN 端⼝。这就是为什么许多VPN 都是好⽤⼀阵⼦就⽆法使⽤的原因。大厂的VPN也不太稳定也是同样的道理,用的人多了就容易被屏蔽。 f) w8 q Q; F; \# N( T
5 p# g% N$ o; R+ x使⽤SS/SSR【翻墙】 - T- W3 O2 A" f* {+ _SS(shadowsocks)或者SSR(shadowsocksR)就不是通过VPN协议进行连接,而是socks5代理协议。代理也是一种互联网协议,是和VPN的特征不一样。这些数据也会被加密,如果有很多人连接到同一个中转服务器防火墙也会发现这种和VPN一样的“扎堆”现象。# q; C4 F8 m& Q# N! ?
' p0 {! z% \3 t6 [
可是这时候防火墙就不能轻易地把大家都给屏蔽了,因为这里面可能会有很多误伤。socks5协议的应用场景不仅仅是翻墙,有很多应用也是采用的这个方式。举个栗子,腾讯要运营北美地区的wechat,深圳腾讯总部的员工可能会用socks5协议连接到腾讯美国硅谷的办公室来处理一些公司内部的事务。这也会有扎堆现象。防火墙要是把这些屏蔽了,影响了公司正常经营,就会有很多的误伤。 7 \2 b# ?# o1 O5 s$ Z. a2 q8 [, k; A" y3 ~- R
shadowsocks就是通过把自己伪装在一群正常人里面,私下干些偷鸡摸狗的事情,这就比扎堆(VPN)会安全很多。但是,目前已经有越来越多的证据证明,SS/SSR已经不是很安全了,所以只要有可能尽量不要采用这种方式。/ |$ Q! q# Z- N/ c1 I& h
7 a8 I. Z& ?; ^; T. k3 l 伪装HTTPS【翻墙】' Q+ l0 P5 J/ ~! F- ~6 {, s
但是道高一尺魔高一丈,socks5的翻墙方法防火墙也在不断地学习,这时候就出现了更完美的方案,就是伪装HTTPS。HTTPS是大家访问网页时使用的数据传输协议,这里的数据也经过加密。如果中转服务器把自己伪装成一个网站,有很多人连接过去,防火墙认为这些人只是在访问这个中转服务器的网站。) t9 s- h1 G( D; t9 T, G
* P8 ~' ^3 Z, e' V" j: }
因为数据是加密的,所以防火墙这时候也懵逼了。这些人扎堆感觉是搞事情的节奏,但是打开这个中转服务器一看还真的是个网站,感觉也没有证据证明这些网友是在翻墙。这就更不容易被封锁。$ s) j2 V& j1 P7 l& t
( C4 q# G4 b' P8 q) X
最近的很多翻墙协议,Torjan就是采用这种原理。当然很多类似V2ray的则是做一个翻墙平台,把不同的翻墙方法都提供给用户,让用户能够根据自己的需要自由组合。" V4 j& l% Z# i8 N# c
1 k" [( f) A* t- V& H q 如何选择节点( A1 D; A# c# M& y
许多⼈询问关于翻墙节点、科学上⽹节点的选择依据。关于节点的选择与地理相对位置有相当⼤的相关。这就像是⻜机⼀定是⻜往越远的地⽅所花费的时间更久,⽹路连线走的海底电缆,也会因为距离造成速度差异,在天朝⼤部分的⼈会选择的节点包括:⽇本、韩国、香港、新加坡、台湾区、美国⻄部等地。 . r" U7 }5 M' o% S; a9 d" b2 | 1 C4 ~! n# v! e* X热门地区! y6 [, u* U3 ?9 F& I3 l
很多三脚猫总喜欢推荐日本、韩国、香港的各种热门线路或者热门地区,这些按常理来说都是对的。但是,我们的小伙伴们就是不按常理出牌。无论哪个线路优质、带宽高、效果好,就会在短时间内雨后春笋般出现在各大机场的推荐中,最终大家纷纷一拥而上的结果就是谁都不快。所以,别盲目看机场的多热门的线路或者数据多好看,动动脑子,国际光纤就那么几条,就那么粗,大家都抢着上怎么受得了。所以,我的观点就是,与其片面追求各种热门线路,还不如设法各种品质的线路甚至冷门线路就都有,别看测试数据,自己实际用用看,用的人少反而效果好。 8 m, A6 j( \# u : i- L% Z& H- q安全 3 m, E& G: O' K+ Q1 M8 x' H0 M1 p这是个容易忽视,但又不知道怎么去关注的话题。现在很多机场都是有试用或者短期的使用的套餐。建议多用用短期套餐,看看运维的情况。好的机场需要长期的不断打理的,数据清洗和维护工作都是相当需要维护力量的。( k( f% m# |8 _! ^6 y' J# \