科学上网7年经验魔法科普扫盲
科学上网7年经验魔法科普扫盲
引文
有很多不甚了解的朋友可能不清楚 翻… 没错就是那个东西, 我在这里做科学扫盲,咳咳~ 只是扫盲啊,教授这个是违法的,不过任何事情都不是绝对的, 比如 翻墙是违法的技术 , 但是把翻墙的技术拆开看 “Linux运维”,“加密混淆”,”网络通信”,“通信协议”,“Web服务开发” ,这些东西单拿出来看都不违法
大家要知道网络是有“审查”的,科学上网的本质就是 “对抗审查” ,也就是 “反审查” 记住这个词
审查在某些方面对新闻和言论的挑战,当年的Google退出中国大陆就很明显了,德先生是否还能留在这里?
审查技术
GFW
有一个网络审查机器 , 中国国家防火墙 [1]GFW
- 相关论文文献:
[2]GFWeb:大规模衡量防火长城的 Web 审查—— USENIX Security | 国际网络安全与隐私计算顶会
它的诞生
这个GFW是 Great Firewall 的缩写,网信办叫它 “数据跨境安全网关” [3]方滨兴就是GFW首要设计师,其中还有 思科、微软….公司协力,后来GFW项目就移交给 [4]启明星辰运维
这个GFW是一个黑盒,你不知道里面是怎么运作的,你只能根据GFW的行为和现有的信息去猜,不过GFW真正的作用是阻断你的访问,它是有黑名单的,一些网站的IP域名就在这个黑名单中,如果它检测你是访问 YOUTUBE 的那么就会阻断你都访问,向你返回一个404;
它的作用
它的做法有很多,包括但不限于:
- DNS 污染
- 当用户访问特定域名时,GFW 伪造 DNS 响应,将域名解析到错误 IP
- SNI 过滤
- 若检测到敏感域名,直接丢弃 TCP 数据包或 RST 连接
- IP 黑名单
- 这个就很粗暴,GFW 直接屏蔽特定 IP 地址,使得来自这些 IP 的请求全部被丢弃
- 关键词过滤
- GFW 监控 HTTP 请求和部分 HTTPS 明文流量,匹配特定关键词(如政治敏感词)
- 深度包检测
- GFW 会对网络数据包进行深度解析,识别特定协议特征(如 Tor、Shadowsocks、VMess)
- 连接重置
- GFW 监听 TCP 连接,当发现敏感流量时,会伪造 RST 数据包,使连接强制断开
- 端口封锁
- GFW 会阻断特定端口导致 VPN、SSH、代理服务封锁
- 统计分析与流量模式识别
- 监控用户的流量模式(如数据包大小、频率、加密方式),判断是否为代理/VPN 流量
- 人工审查
- GFW 结合人工审核,对特定 IP、账户或行为模式进行封锁
其他的审查方式 “临侦设备”
一般是做电子取证,比如直接部署在小区交换机,也就是说会被网络临侦设备监控到,对策就是加密流量,访问比较重要的数据尽可能不要用明文传输
审查技术相关研究论文
反审查技术
“审查” 和 “反审查” 就是矛和盾的关系,而且它们之间的对抗在技术这条路上越走越远
近几年主流协议
Shadowsokets
他比较轻量,加密传输数据,不过比较老目前被GFW精准识别
- 相关论文文献:
[5]The Random Forest Based Detection of Shadowsock’s Traffic | 基于随机森林的 Shadowsock 流量检测
ShadowsoketsR
ShadowsocksR是Shadowsokets的分支 ,增加了更多的功能和混淆,作者因为被六扇门请去喝茶,项目停止
- 相关论文文献:
[6]Security Analysis of Shadowsocks(R) Protocol | Shadowsocks(R)协议的安全分析
Vmess
- V2ray 的协议拥有不错的加密,早期协议
Vless
- RPRX 是Vmess的简化版,去除冗余部分提高性能,只是默认没有加密,所以需要套TLS加密
Trojan
Trojan模仿HTTPS流量,使用TLS加密,因此流量看起来像正常的HTTPS,抗检测能力较强。
Trojan-go
Trojan的增强版,支持更多传输协议和混淆功能
Trojan 的统计学特征
具有 TLS in TLS的统计学特征,经 RPRX 证实检测的准确率很高
Trojan killer
hysteria 和 hysteria 2
使用QUIC协议,性能强劲
它的独特好处
可以优化速度差的线路的效果,增加传输效率
它的弊端 占用太多带宽导致浪费
借用R佬说的,hysteria 就是激进的发包策略来提升弱网环境的代理可用性,由于疯狂的发包,占用浪费带宽,如果本就数据链路拥堵还用 hysteria 那真是雪上加霜
R佬之言:
RPRX :
我觉得责任感还是比市占率更重要,Xray 不会为了市占率而抛弃作为主流代理软件的责任感去加这样的东西,后来好像是 TCP 作者之一也在推上表达了类似的观点。本质上是这么多年了绝大多数人对协议还是只能看到一时爽而不会去思考大规模铺开的后果,我一直有这样的思考是经常当预言家的原因之一,就像我经常给伊朗人说不要看到个能用的协议就奔走相告恨不得人人都用上,会凉得很快,反正他们也没听过劝就成现在这样了。RPRX :
我看到你的理由包括“让我很烂的 VPS 也可以在晚上发挥作用”,但你大概没有想过这样的代价其实是其它协议、其它流量在晚高峰的体验更差,并且最后一个坚守的软件 Xray 加了 Brutal 后晚高峰就等着一起爆炸,你的这个理由就不复存在。RPRX :
首先是 Hy 文档 QA 中也存在的偷换概念问题,“运营商承诺的带宽”并不等于“从你家到境外 VPS 的带宽”,我说这个应该秒懂,本地运营商最多给你签本运营商的带宽,到境外 VPS 那么复杂的线路可不全是他家的,你一用 Brutal 就是针对整条链路这合适吗? 即使是本地带宽,要求运营商按签给你们的带宽乘以人头去实际扩容放那里也不现实,因为除了晚高峰它们就是闲置,这是对资源的严重浪费,何况运营商签给你的普通家宽本就不是长时间拉满独占,所以并不是没有破解限速就是合理的行为,这就是滥用。
Reality
当时由于 TLS in TLS 的问题,Xray-core搞了 Vision 流控和 Reality,非常nb,唯一的就是不能套 CDN :(
XTLS Vision 流控就是针对握手过程中较短的数据包进行了填充,从而模糊了数据包的长度特征
REALITY 取代 TLS,消除服务端 TLS 指纹特征,仍有前向保密性等,证书链攻击无效,安全性超越常规 TLS
可以指向别人的网站,无需自己买域名、配置 TLS 服务端,更方便,实现向中间人呈现指定 SNI 的全程真实 TLS,搭建都无需域名,可以偷其他网站的证书用偷偷的说一句我超爱用 😊👍
SplitHTTP & XHTTP
在@mmmray @ll11l1lIllIl1lll 等人,“分包上行、流式下行”原理及实现细节开发出了 SplitHTTP,随后 @RPRX 接手开发实现了真正的上下行分离和诸多功能并更名为 XHTTP
开源项目
只列举部分
v2Fly/v2ray-core
https://github.com/v2fly/v2ray-coreXray-core
https://github.com/XTLS/Xray-core
反审查研究社区
[10]Net4People BBS论坛
生态
机场
有很多人挑选不准,其实没有最好的,只有最合适的,要看需求,大机场基本不会跑路,小机场跑路不断,大机场适合有长期需求的用户,小机场就是偶尔玩一玩就可以的,按需求挑选
商家跑路问题
- 这很多就是没办法的,很多人为了贪便宜选择听都没听过的小机场,用是用了但是过一阵呢?,机场主圈韭菜一波后关站跑路,你就只有傻眼的,但很多都是跑路后又新换了一个名字,开一个新机场接着割韭菜
节点池 IP 滥用
- 不论是 机场的还是公共的一些节点池滥用的情况都屡见不鲜, 甚至有些人去用节点池干点坏事(搞渗透测试), 就像我早期的节点池滥用的问题,我都不敢想节点池有多脏,我的Youtube账户都被封禁了 😢
节点超卖问题
- 就是把本来正常够10个人用的带宽节点,卖给20个人甚至更多,如果同一时间用的人多了,超过了节点的负载,那传输效率能好吗?所以说还是能去大机场的还是别去小机场
信息安全问题
- 有一些机场本身就很多人用,但是有些就是干点坏事,通常下节点订单都是(支付宝,微信支付),帽子叔叔如果查到这个机场,你的信息私密性怎么办?
第三方不知名代理软件
信息安全问题
- 和上面机场的一样问题,而且还多因为是软件是第三方的,软件是可以调用你的系统API 开搞事情的,这可能会窃取你设备中的数据,而机场不会,机场卖的只是节点一般不提供第三方代理软件
钓鱼执法软件
- 钓鱼执法就是六扇门的帽子叔叔们的蜜罐,不要贪图小便宜,天上不会掉馅饼
Web代理服务
- x_ui
- 一个比较老的 Web UI 面板,在这之前都是Linux 命令行去设置代理节点
- 3x_ui
x-ui的翻版 ,因为x-ui已经不维护了,加入了新的功能,还支持 Telegram Bot API 汇报运行状态
由于默认明文http连接的问题,RPRX 不推荐这类面板,就算要用也要使用加密代理,SSH端口转发的方式连接设置面板
RPRX的警示 :
https://github.com/XTLS/Xray-core/pull/3884#issuecomment-2439595331
以下都是符合 Xray-core 要求规范的Web面板
- Marzban
https://github.com/Gozargah/Marzban - xray-ui
https://github.com/qist/xray-ui - Hiddify-Manager
https://github.com/hiddify/Hiddify-Manager还有一些一键式部署的就不提及了,Xray-core README文档写的很清楚
客户端代理
v2rayN
- 在Windows 工作环境,我超爱用 😊👍
clash
- 很火的代理软件,可惜作者被请喝茶,项目已经删库了
clash verge
- 现在一直在维护的 一个clash 分支
singbox
- 支持很多较新的协议,还有性能之王 hy2
其他
- 还有一些我用的不多就不提及了,在Xray-core README文档推荐的一些代理客户端也都不错
赛博活佛 cloudflare 的态度
Cloudflare 就像一个搞慈善的公司 😁 真是让我白嫖到麻
活佛之所以是活佛
- 免费的 DNS 解析服务
- 免费的 CDN 加速
- 免费的 DDoS 保护
- 免费的 SSL 证书
- 免费的 Cloudflare Pages
- 免费的 Zero Trust 访问
- 免费的 Cloudflare Workers
- 免费的 R2 存储
- 免费的 Turnstile 人机验证
活佛 cloudflare 的最新条款
- 但泥菩萨都有三分火,emmm~ ,看看 cloudflare 条款吧! 👉 [14]Cloudflare 自助订阅协议
直接看主要部分
- 限制
- 干扰、破坏、更改或修改服务或其任何部分或对服务或连接到服务的网络(包括 Cloudflare 的对等合作伙伴的网络)或服务造成不必要的负担,包括但不限于导致(直接或间接)
您的 Cloudflare 代理域的流量发送到非 Cloudflare 为该域分配的 IP 地址;
- 干扰、破坏、更改或修改服务或其任何部分或对服务或连接到服务的网络(包括 Cloudflare 的对等合作伙伴的网络)或服务造成不必要的负担,包括但不限于导致(直接或间接)
应对思想 风险分摊
- 找 Cloudflare 的替代方案,就是其他供应商的CDN
- 总之就是
“不要把鸡蛋放在一个篮子里”
references
[1] GFW
https://zh.wikipedia.org/zh-cn/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E[2] GFWeb:大规模衡量防火长城的 Web 审查
https://www.usenix.org/conference/usenixsecurity24/presentation/hoang[3] 方滨兴
https://zh.wikipedia.org/zh-cn/%E6%96%B9%E6%BB%A8%E5%85%B4[4] 启明星辰
https://www.venustech.com.cn/[5] The Random Forest Based Detection of Shadowsock’s Traffic | 基于随机森林的 Shadowsock 流量检测
https://ieeexplore.ieee.org/document/8048116[6] Security Analysis of Shadowsocks(R) Protocol | Shadowsocks(R)协议的安全分析
https://onlinelibrary.wiley.com/doi/10.1155/2022/4862571[7] XHTTP: Beyond REALITY
https://github.com/XTLS/Xray-core/discussions/4113[8] v2ray-core项目Issues
https://github.com/v2fly/v2ray-core/issues[9] Xray-core项目Issues
https://github.com/XTLS/Xray-core/issues[10] Net4People BBS论坛
https://github.com/net4people/bbs/issues[11] Cloudflare Community论坛
https://community.cloudflare.com/[12] Tor Project项目gitlab平台 | 反审查分析议题
https://gitlab.torproject.org/tpo/anti-censorship/censorship-analysis/-/issues[13] CensorBib | 互联网审查研究论文
https://censorbib.nymity.ch/[14] Cloudflare 自助订阅协议
https://www.cloudflare.com/en-gb/terms/
