突破網絡審查
此教科書需要更新。 (2024年6月12日) |
突破網絡審查(簡稱:破網)又稱為翻牆、科學上網,是指針對互聯網審查封鎖的限制,繞過相應的IP封鎖、內容過濾、域名劫持等,實現對網絡內容的訪問。
突破網絡審查多數採用代理技術,通過與第三方能正常訪問審查內容的節點建立連接,間接訪問被審查內容。
本文概述突破中國大陸網絡審查的現時可行方法。應對其他地區的網絡審查亦可與一定程度參考之。
免費翻牆軟件
編輯多數翻牆軟件採用加密代理技術,具備反域名劫持功能。這些軟件經過開發者的不斷創新,已經簡化到啟動程序就可以了,其能自動進行系統代理配置,不需要管理員權限,也不用更改瀏覽器的任何設置。瀏覽器訪問網頁的請求被這些程序自動透明地處理,包括搜尋最快的代理伺服器、加密網址和網頁內容等。
軟件關閉時會把系統代理設置恢復原狀。若其未正常退出,瀏覽器或將無法聯網,此時只需把翻牆軟件打開後再關閉即可。
如果需要可在電腦上安裝多個軟件,以備不時之需。
名稱 | 官方網站 | 代理接口 | 是否綠色 | 是否開放原始碼 |
---|---|---|---|---|
賽風 | https://psiphon.ca https://psiphon3.com |
HTTP代理,端口號自定義 SOCKS代理,端口號自定義 VPN |
是 | 是 |
自由門 | http://dongtaiwang.com | HTTP代理,端口號8580 | 是 | 否 |
無界瀏覽 | https://wujieliulan.com | HTTP代理,端口號9666,可以自定義 | 是 | 否 |
迷霧通 | https://geph.io/ | 加密代理 | 否 | 是 |
賽風
編輯賽風(Psiphon)是多倫多大學的公民實驗室開發的開源軟件,現有適用於Windows、Android與iOS系統的版本,均可自動更新。
因官網被封鎖,若要獲取賽風,可從此頁面下載;該頁面託管在亞馬遜雲伺服器(AWS)上,憑藉「依附的自由」不大可能遭到封殺。如以上連結失效,亦可給get psiphon3.com或wangluo saifeng3.com發一封郵件,內容任意,收到的回覆郵件中即包含賽風。儘量不要使用中國國內的郵件服務商所提供的郵箱發送,這樣很可能收不到回覆郵件。[1]
Windows版本的賽風帶有數字簽名,下載完成後可以校驗。
自由門和無界瀏覽
編輯自由門(FreeGate)和無界瀏覽(UltraSurf)是早期應用面較大的代理軟件,開發者皆有法輪功背景。[2][3][4]
TCB desync
編輯由於防火長城的TCP狀態機無法完美復刻真實的TCP狀態,其可被特定修改的TCP包操縱,使其在防火長城的TCP控制塊(TCP Control Block)上和真實的TCP狀態脫同步(desynchronize),無法完成深度包檢測。 Geneva、INTANG、phantomsocks、GhosTCP等軟件使用和西廂計劃(百科)相似的原理,通過修改TCP包繞過防火長城的檢測,可以只在客戶端運作,不需要第三方伺服器。
Shadowsocks(R) & V2Ray
編輯Shadowsocks、ShadowsocksR與V2Ray皆為抗封鎖能力較強的代理軟件(V2Ray支持多種代理協議,如Shadowsocks,ShadowsocksRVMess,Trojan,VLESS等)。使用它們一般需要購買並部署到位於境外的伺服器(VPS),用戶要有一定的技術能力。因此,出現了專門出售這類已經搭建好伺服器的提供商,俗稱「機場」。
在伺服器端部署好之後,需要在你的電腦或流動裝置上使用專用軟件連接到你的伺服器,而且客戶端配置要和伺服器端配置保持一致。
VPN
編輯VPN即虛擬專用網(英語:Virtual Private Network),常用於企業的加密通信,也是一種常見的翻牆方式。設備連接上VPN伺服器後,全部流量將通過該伺服器中轉(全局模式)。
互聯網上有不少面向個人的免費與付費VPN服務。中國境內的供應商通常價格較低,然而用戶的流量數據對審查機關可見,且有跑路風險,使用者需權衡利弊。
部分VPN協議由於缺乏混淆,會暴露出明顯特徵,容易受到干擾和封鎖。
VPN Gate
編輯VPN Gate是日本筑波大學研發的公共VPN服務,中繼伺服器數量較多,大都由志願者義務提供。在中國連接時,由於伺服器經常性被封鎖,一般需要嘗試多次方能找到可用的伺服器,但連接後的網速比其他免費工具稍快。
VPN Gate客戶端可從其官方網站獲取。
匿名軟件
編輯翻牆軟件專為突破網絡封鎖而設計,並不能抵抗對流量的嗅探分析,若要隱匿網絡活動者的身份,須佐之以匿名軟件Tor或I2P。
Tor
編輯Tor的全稱是「The Onion Router」(洋蔥路由器),其通過三重代理鏈隱匿路由信息,反制現階段大量存在的流量過濾、嗅探分析等工具,難以追蹤,有效地保證了安全性。
Tor項目的官方網站提供了Tor瀏覽器——集成了Tor且經過安全性定製的Firefox,並針對封鎖了Tor的地區提供了流量混淆工具。中國大陸地區可選擇Meek網橋或者Snowflake網橋或以其他翻牆工具作為前置代理接入Tor網絡,Obfs4網橋通過請求網橋也可在中國大陸接入。
Tor系自由軟件,對個人私隱較有保障。在系統環境可靠的前提下,可以隱匿網絡活動者的真實IP和瀏覽器指紋。各國政府可能會設置「蜜罐」節點試圖識別Tor用戶的身份。而只有當Tor鏈路上的三個代理都是蜜罐的情況下,才有可能追查得到某用戶的真實IP位址。由於Tor每隔一段時間自動更換代理,任何節點都無法對用戶進行長期監視。
I2P
編輯I2P的全稱是"Invisible Internet Project"(隱形互聯網計劃)使用洋蔥路由的變體大蒜路由(The Garlic Router)以不同鏈路發送和接收數據並將信息重新打包以加強混淆,安全性較之Tor更強,且難以封鎖,速度尚可(大概40~50KB每秒,I2P內BT下載可達到數百KB),但在開始連接時速度極慢。其基於UDP的SSU協議17年間未曾被封鎖過一次,並擁有大量的內部服務。
查看這個頁面了解更多:I2P
修改hosts文件
編輯hosts文件負責將域名解析到相應的IP位址,通常用於補充網絡中DNS的功能。當一個網站的域名被封鎖而IP仍然可達時,可修改hosts文件使訪問指向正確的IP位址。
hosts文件在Windows系統中的路徑為%SystemRoot%\system32\drivers\etc\hosts
,類Unix作業系統中路徑/etc/hosts
。編輯hosts文件需要管理員權限,對於Android系統需要root。該文件中每行的格式示例如下:
127.0.0.1 localhost
此法的優點是無需代理,不失網速。但是一條規則只能解鎖一個域名,hosts文件又不支持通配符,有失便利性。
2018年8月24日起,GFW開始啟用SNI檢測以封鎖維基百科全域,僅修改hosts文件無法突破此封鎖。
修改hosts文件可能會被一些安全軟件發現甚至修復。在修改hosts文件的情況下,360安全衛士的體檢可能會認為hosts文件出現問題,卸載360即可;360斷網急救箱也會修復hosts文件。騰訊電腦管家運行時,一旦修改hosts文件就會彈出「hosts文件可能被劫持」的提示,但仍然可以信任。
使用SSH的端口轉發功能
編輯如果您在中國大陸以外有伺服器,而且能用SSH軟件連接,那麼您可以利用端口轉發功能實現代理。
若使用ssh命令登錄,您可以附加參數-D
:
ssh root@您的服务器IP -D 1080
使用其他軟件的話,請尋找「Dynamic Port Forwarding」、「動態端口轉發」類似字樣的設置,並將端口設置成1080。連接成功後,修改您的瀏覽器代理設置,使用SOCKS5,地址127.0.0.1,端口1080,這樣您就可以上網了。
由於GFW已經能夠識別此類流量的特徵,連接時間過長或流量過大會切斷SSH連接,所以建議僅作為應急上網手段,而且連接成功後儘快下載其他翻牆軟件,或者在伺服器上部署翻牆軟件伺服器端如Trojan、V2ray、Hysteria2等。
在線代理
編輯在線代理(又稱網頁代理)是由網站提供的代理服務。用戶無需在電腦上安裝任何軟件或修改任何配置,即可通過代理網站訪問目標網站。
影響力大的代理網站會被封殺,不會長期可用,用戶常常需要搜尋當前可用的代理網站。
由於在線代理掌握了用戶與目標網站之間通信的全部數據,因而為安全起見,不可在其上登錄重要賬號或進行重要操作。
更換網絡線路
編輯境外手機卡漫遊
編輯手機用戶在漫遊時,數據流量業務會送回SIM卡所屬運營商接入互聯網。因此可以購買境外的電話卡在本國漫遊,使用其數據流量上網,即可繞過本國的網絡審查。缺點是跨國漫遊費用一般較為昂貴。
撥號連線
編輯一旦發生物理斷網而國際長途電話仍然可用時,可以用老式的56k調製解調器撥號到境外ISP聯網。2011年埃及示威期間政府關閉了本國互聯網,民眾即以此方法反制。
撥號連線的網速以現在的標準來看非常低,故只適用於緊急情況。
安全性提示
編輯- 不要安裝中國國內廠商(2345、360、百度、騰訊等)出品的安全軟件和瀏覽器,以及輸入法。它們會配合網絡審查(如防火長城和「反詐中心」),攔截翻牆工具,以及監控用戶的瀏覽信息。
- 如果擔心政府或代理提供者獲取私隱信息,應儘量以HTTPS安全連接方式訪問目標網站;以HTTPS加密傳輸之信息無法被中間人竊取或篡改,可保無虞。如果訪問HTTPS網站時提示證書錯誤,那麼請不要繼續瀏覽,這種情況往往是信息已經被竊聽或篡改(如果繼續訪問,數據安全性相當於明文)。
- 即使成功翻牆也應當注重保護個人私隱,如果從事敏感活動則建議準備專用環境(例如虛擬機)和專用賬號,與常用環境和賬號嚴格隔離,避免他人試探出您的真實身份。目前已確認有很多翻牆之後因發表言論(甚至只是單純翻牆[5])而遭到警方逮捕的案例。