在解决这个问题之前,首先我们得认识一下什么是墙。
墙,全称“数据跨境安全网关”,俗称防火长城、长城防火墙,英文名 Great Firewall of China,是中华人民共和国工业及信息化部为阻挡互联网上不遵守国内法律内容而设置的一套屏蔽系统。
这套屏蔽系统适用于大部分中国大陆境内的网络地址,而且如果你打开数据漫游,墙也会跟着你到外国去让你痛不欲生。
===============================================
墙所使用的拦截方式主要有三种:DNS污染(DNS_PROBE_FINISHED_NXDOMAIN)、IP地址屏蔽(又称TCP重置攻击,CONNECTION_TIME_OUT)及SNI阻断。
DNS污染又称DNS投毒、DNS下毒、DNS下药(DNS Poisoning),是墙所采用的第一道拦截策略,其原理,就是直接通过域名系统(Domain Network System)封堵违规网站的域名,使你无法通过域名访问这个网站。
DNS污染在10年前很管用,当时一大半国外网站都遭到了DNS污染;可当它遇到国外DNS和hosts文件,就歇菜了。
国外的DNS不适用国内DNS强行跳转的铸币操作(比如 https://www.google.com 跳转到localhost都是小事情) 。改DNS为谷歌所提供的8.8.8.8,这样就可以三下五除二地搞定DNS污染,越过这个网关了。
还有hosts文件。
Hosts文件是一个没有扩展名的操作系统文件,以表的形式存储了主机名和IP地址的映射关系。Hosts又称host table,译为“主机表”。现代系统中,虽然DNS取代了主机表,但主机表的应用依旧很广。和DNS不同的是,用户可以直接对Hosts文件进行控制。
简而言之,hosts文件规定了IP地址和域名的对应关系,一旦你对hosts进行设置,你可以直接越过DNS连接网站。
由于这个原因,十年前大陆网络曾经流行过改hosts上维基百科等境外网站,这样你就可以通过IP直连这些网站,而罔顾DNS污染了。
不过,由于这两个原因,中国政府于2016年更新了屏蔽策略,DNS污染只作为加强防护使用,以IP污染和https的SNI阻断为主要策略,这说明上述这两个解决方案也歇菜了。
那下一个封锁策略——IP污染(又称TCP重置攻击)又是什么呢?
要知道,Internet是以互联网协议(IP,Internet Protocol)为支撑的。当以前治标不治本骗小白的DNS污染都在大神的联手解决下被破解了,不如直接治本,封掉IP地址,这个网站便在中国大陆彻底不可访问。
中国政府为此对这些网站的IP和CDN(内容分发网路)进行了数据包攻击——简而言之,就是当你想访问www.google.com时,你透过ISP(Internet服务提供商)获得了重定向至另一个IP地址的数据包请求——当然,这个请求是中国政府发出来的,它就这样通过假的数据包来达成IP污染的目的。
IP污染也很管用——至少现在70%的国外网站或多或少遭到了IP污染,每天成千上万的假数据包孜孜不倦地替政府达成了封锁网站的使命。
但是,由于多年前http协议没有普及深度包检测,很多网站都是半屏蔽状态——就比如说,中文维基百科以前只有敏感条目打不开,其它条目都能打开,这样一个一个地屏蔽很难解决。更不用说https,这个加上了SSL的加密协议,就是个硬骨头,你再啃也没用。
因此,2015年,中国政府在IP污染基础上,又使用了深度包检测和一种针对https的新方法:SNI阻断。
这玩意又叫做TLS站点中间人证书攻击,就是你访问一个https协议的网站,可是ISP回退给你一张假证书,说明这个网站连接到那个并不属于这个网站的IP,然后执行IP污染(TCP重置攻击)的老套路。
假证书攻击还是很管用,至今无人可破,破了奖励八千万美元并开放巴拿马账户
但是这种极其高大上的手法,世界上只有两个国家用,一个是中国(2015年起),一个是韩国(2019年起)。
(而且这俩屏蔽手法还可以用于屏蔽subdomain,比如GitHub上的端点星计划、品葱备份计划和NodeBE4,就是这么被政府墙掉的)
========================================
IP污染一出来就震惊世人,hosts文件纷纷失效,这下中国网友直接泪奔,仰天大吼出门去,我辈皆是翻墙人。
幸好某组织(轮子)早已做好准备,收买了国外多个代理服务器,在2002年推出了专门用于突破网络审查的专有软件自由门(Freegate)。
这个软件的原理在于,它自动从中国大陆之外寻找代理服务器,然后通过HTTP代理协议连接到这些代理服务器,使用代理的IP进行Internet浏览。
那么,嘛叫代理服务器?
代理服务器是一种特殊的服务器,它并不是为代理服务器主服务的,而是为使用者服务。这些服务器就是一台台电脑,通过特殊的协议形成特定IP地址和端口,你只需要连接这些服务器的特定IP地址和端口,就可以使用这台代理服务器上的网络资源。
专门提供代理浏览服务的代理服务器提供的服务叫做虚拟专用网,也就是大家都熟悉的VPN。
VPN最开始是用来保护私隐和实现公司数字化远程办公的,后来因为轮子使用VPN突破中国网络审查,它也被拿来翻墙。
代理服务器协议分两种,一种叫HTTP协议,一种叫SOCKS协议。现在用的比较多的是新出的SOCKS协议,连接速度快,还安全。
有人就拿这个SOCKS协议搞出来一个开放的代理软件(注意!这个是代理软件,不是专门拿来翻墙的):Shadowsocks(简称SS)。
Shadowsocks允许用户通过这个软件连接到手工输入(或导入)的代理服务器。这个软件属于自由软件,而且简便易用,因此就有人开设网站,批发可以突破网络审查的代理地址。由于SS的logo是一架小飞机,因此这种网站又叫机场。(终于可以看懂tg群里说的是什么了!)
著名的机场有V2ray等,后来这些老机场都被迫关闭或转场,现在的大部分机场都必须收费购买,因此狗都不用
SS出现的时候,轮子的翻墙帝国已经进入末年,纯翻墙领域也崛起了一批生力军,比如Psiphon(赛风)、Lantern(蓝灯)等。
蓝灯这个软件很出名,因为大多数人都是因为它被抓的。广东有两例翻墙被抓的案件,都使用了Lantern的手机端服务。
(PS:最近蓝灯压根就连不上了)
不过大多数用户压根就看不上这些纯翻墙的,他们开始使用更为高级的SS、还有Tor。
(tor可以放在下一篇讲述)
由于Tor可以模拟中国大陆之外的IP地址,因此它也可以被用来突破网络审查。
不过,据品葱网友回应,用tor俗称带套,很慢,并且无法使用YouTube等流媒体服务。
现在流行的主要有SS、SSr,以及另外的一些纯翻墙软件,比如迷雾通(Geph)。
迷雾通本人一直在用,它虽然自动提供节点,却不直接打开全局代理,因为它是与Tor连用的,需要与Tor绑定代理地址,这一点很像SS,SS可以作为迷雾通的停机坪使用。
没有评论:
发表评论