突破网络审查
此教科書需要更新。 (2024年6月12日) |
突破网络审查(简称:破网)又称为翻墙、科学上网,是指针对互联网审查封锁的限制,绕过相应的IP封锁、内容过滤、域名劫持等,实现对网络内容的访问。
突破网络审查多数采用代理技术,通过与第三方能正常访问审查内容的节点建立连接,间接访问被审查内容。
本文概述突破中国大陆网络审查的现时可行方法。应对其他地区的网络审查亦可与一定程度参考之。
免费翻墙软件
编辑多数翻墙软件采用加密代理技术,具备反域名劫持功能。这些软件经过开发者的不断创新,已经简化到启动程序就可以了,其能自动进行系统代理配置,不需要管理员权限,也不用更改浏览器的任何设置。浏览器访问网页的请求被这些程序自动透明地处理,包括搜寻最快的代理服务器、加密网址和网页内容等。
软件关闭时会把系统代理设置恢复原状。若其未正常退出,浏览器或将无法联网,此时只需把翻墙软件打开后再关闭即可。
如果需要可在电脑上安装多个软件,以备不时之需。
名称 | 官方网站 | 代理接口 | 是否绿色 | 是否开放源代码 |
---|---|---|---|---|
赛风 | https://psiphon.ca https://psiphon3.com |
HTTP代理,端口号自定义 SOCKS代理,端口号自定义 VPN |
是 | 是 |
自由门 | http://dongtaiwang.com | HTTP代理,端口号8580 | 是 | 否 |
无界浏览 | https://wujieliulan.com | HTTP代理,端口号9666,可以自定义 | 是 | 否 |
迷雾通 | https://geph.io/ | 加密代理 | 否 | 是 |
赛风
编辑赛风(Psiphon)是多伦多大学的公民实验室开发的开源软件,现有适用于Windows、Android与iOS系统的版本,均可自动更新。
因官网被封锁,若要获取赛风,可从此页面下载;该页面托管在亚马逊云服务器(AWS)上,凭借“依附的自由”不大可能遭到封杀。如以上链接失效,亦可给get psiphon3.com或wangluo saifeng3.com发一封邮件,内容任意,收到的回复邮件中即包含赛风。尽量不要使用中国国内的邮件服务商所提供的邮箱发送,这样很可能收不到回复邮件。[1]
Windows版本的赛风带有数字签名,下载完成后可以校验。
自由門和無界瀏覽
编辑自由門(FreeGate)和無界瀏覽(UltraSurf)是早期應用面較大的代理軟件,開發者皆有法輪功背景。[2][3][4]
TCB desync
编辑由于防火长城的TCP状态机无法完美复刻真实的TCP状态,其可被特定修改的TCP包操纵,使其在防火长城的TCP控制块(TCP Control Block)上和真实的TCP状态脱同步(desynchronize),无法完成深度包检测。 Geneva、INTANG、phantomsocks、GhosTCP等软件使用和西厢计划(百科)相似的原理,通过修改TCP包绕过防火长城的检测,可以只在客户端运作,不需要第三方服务器。
Shadowsocks(R) & V2Ray
编辑Shadowsocks、ShadowsocksR与V2Ray皆为抗封锁能力较强的代理软件(V2Ray支持多种代理协议,如Shadowsocks,ShadowsocksRVMess,Trojan,VLESS等)。使用它们一般需要购买并部署到位于境外的服务器(VPS),用户要有一定的技术能力。因此,出现了专门出售这类已经搭建好服务器的提供商,俗称“机场”。
在服务器端部署好之后,需要在你的电脑或移动设备上使用专用软件连接到你的服务器,而且客户端配置要和服务器端配置保持一致。
VPN
编辑VPN即虚拟专用网(英语:Virtual Private Network),常用于企业的加密通信,也是一种常见的翻墙方式。设备连接上VPN服务器后,全部流量将通过该服务器中转(全局模式)。
互联网上有不少面向个人的免费与付费VPN服务。中国境内的供应商通常价格较低,然而用户的流量数据对审查机关可见,且有跑路风险,使用者需权衡利弊。
部分VPN协议由于缺乏混淆,会暴露出明显特征,容易受到干扰和封锁。
VPN Gate
编辑VPN Gate是日本筑波大学研发的公共VPN服务,中继服务器数量较多,大都由志愿者义务提供。在中国连接时,由于服务器经常性被封锁,一般需要尝试多次方能找到可用的服务器,但连接后的网速比其他免费工具稍快。
VPN Gate客户端可从其官方网站获取。
匿名软件
编辑翻墙软件专为突破网络封锁而设计,并不能抵抗对流量的嗅探分析,若要隐匿网络活动者的身份,须佐之以匿名软件Tor或I2P。
Tor
编辑Tor的全称是“The Onion Router”(洋葱路由器),其通过三重代理链隐匿路由信息,反制现阶段大量存在的流量过滤、嗅探分析等工具,难以追踪,有效地保证了安全性。
Tor项目的官方网站提供了Tor浏览器——集成了Tor且经过安全性定制的Firefox,并针对封锁了Tor的地区提供了流量混淆工具。中国大陆地区可选择Meek网桥或者Snowflake网桥或以其他翻墙工具作为前置代理接入Tor网络,Obfs4网桥通过请求网桥也可在中国大陆接入。
Tor系自由软件,对个人隐私较有保障。在系统环境可靠的前提下,可以隐匿网络活动者的真实IP和浏览器指纹。各国政府可能会设置“蜜罐”节点试图识别Tor用户的身份。而只有当Tor链路上的三个代理都是蜜罐的情况下,才有可能追查得到某用户的真实IP地址。由于Tor每隔一段时间自动更换代理,任何节点都无法对用户进行长期监视。
I2P
编辑I2P的全称是"Invisible Internet Project"(隐形互联网计划)使用洋葱路由的变体大蒜路由(The Garlic Router)以不同链路发送和接收数据并将信息重新打包以加强混淆,安全性较之Tor更强,且难以封锁,速度尚可(大概40~50KB每秒,I2P内BT下载可达到数百KB),但在开始连接时速度极慢。其基于UDP的SSU协议17年间未曾被封锁过一次,并拥有大量的内部服务。
查看这个页面了解更多:I2P
修改hosts文件
编辑hosts文件负责将域名解析到相应的IP地址,通常用于补充网络中DNS的功能。当一个网站的域名被封锁而IP仍然可达时,可修改hosts文件使访问指向正确的IP地址。
hosts文件在Windows系统中的路径为%SystemRoot%\system32\drivers\etc\hosts
,类Unix操作系统中路径/etc/hosts
。编辑hosts文件需要管理员权限,对于Android系统需要root。该文件中每行的格式示例如下:
127.0.0.1 localhost
此法的优点是无需代理,不失网速。但是一条规则只能解锁一个域名,hosts文件又不支持通配符,有失便利性。
2018年8月24日起,GFW开始启用SNI检测以封锁维基百科全域,仅修改hosts文件无法突破此封锁。
修改hosts文件可能会被一些安全软件发现甚至修复。在修改hosts文件的情况下,360安全卫士的体检可能会认为hosts文件出现问题,卸载360即可;360断网急救箱也会修复hosts文件。腾讯电脑管家运行时,一旦修改hosts文件就会弹出“hosts文件可能被劫持”的提示,但仍然可以信任。
使用SSH的端口转发功能
编辑如果您在中国大陆以外有服务器,而且能用SSH软件连接,那么您可以利用端口转发功能实现代理。
若使用ssh命令登录,您可以附加参数-D
:
ssh root@您的服务器IP -D 1080
使用其他软件的话,请寻找“Dynamic Port Forwarding”、“动态端口转发”类似字样的设置,并将端口设置成1080。连接成功后,修改您的浏览器代理设置,使用SOCKS5,地址127.0.0.1,端口1080,这样您就可以上网了。
由于GFW已经能够识别此类流量的特征,连接时间过长或流量过大会切断SSH连接,所以建议仅作为应急上网手段,而且连接成功后尽快下载其他翻墙软件,或者在服务器上部署翻墙软件服务器端如Trojan、V2ray、Hysteria2等。
在线代理
编辑在线代理(又称网页代理)是由网站提供的代理服务。用户无需在电脑上安装任何软件或修改任何配置,即可通过代理网站访问目标网站。
影响力大的代理网站会被封杀,不会长期可用,用户常常需要搜寻当前可用的代理网站。
由于在线代理掌握了用户与目标网站之间通信的全部数据,因而为安全起见,不可在其上登录重要账号或进行重要操作。
更换网络线路
编辑境外手机卡漫游
编辑手机用户在漫游时,数据流量业务会送回SIM卡所属运营商接入互联网。因此可以购买境外的电话卡在本国漫游,使用其数据流量上网,即可绕过本国的网络审查。缺点是跨国漫游费用一般较为昂贵。
拨号连线
编辑一旦发生物理断网而国际长途电话仍然可用时,可以用老式的56k调制解调器拨号到境外ISP联网。2011年埃及示威期间政府关闭了本国互联网,民众即以此方法反制。
拨号连线的网速以现在的标准来看非常低,故只适用于紧急情况。
安全性提示
编辑- 不要安装中国国内厂商(2345、360、百度、腾讯等)出品的安全软件和浏览器,以及输入法。它们会配合网络审查(如防火长城和“反诈中心”),拦截翻墙工具,以及监控用户的浏览信息。
- 如果担心政府或代理提供者获取隐私信息,应尽量以HTTPS安全连接方式访问目标网站;以HTTPS加密传输之信息无法被中间人窃取或篡改,可保无虞。如果访问HTTPS网站时提示证书错误,那么请不要继续浏览,这种情况往往是信息已经被窃听或篡改(如果继续访问,数据安全性相当于明文)。
- 即使成功翻墙也应当注重保护个人隐私,如果从事敏感活动则建议准备专用环境(例如虚拟机)和专用账号,与常用环境和账号严格隔离,避免他人试探出您的真实身份。目前已确认有很多翻墙之后因发表言论(甚至只是单纯翻墙[5])而遭到警方逮捕的案例。