-
Notifications
You must be signed in to change notification settings - Fork 52
为什么要翻墙?
前言: 时间进入2019年,国内经济下行严重,社会深层次问题的表象化加剧,种种矛盾经过近年的各种维权和抗议活动体现了出来,贸易战进入相持和妥协阶段,短期内中国的舆论环境因习近平2018年废除国家主席任期限制和个人崇拜的造神运动急剧下滑,网络封锁和舆论控制将会更加严重,翻墙的技术手段在不断的博弈中又有了一些新的变化。
(国内政治斗争现状及发展请参考:台湾大学政治学系明居正芝加哥演讲视频明居正芝加哥演讲视频,需要翻墙才能打开该地址)
为什么要翻墙?
由于2018年国家对境外网站的大批封锁和VPN的强制下架,翻墙的机会也越来越少,中国网民能够深刻体验到上网的不便,想看看外面的世界也更是难上加难,2017年1月22日,中国工信部发布通知,自即日起至2018年3月31日,"在全国范围内对互联网网络接入服务市场开展清理规范工作,将依法查处互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务市场存在的无证经营、超范围经营、层层转租等违法行为"。2019年开年达沃斯论坛上国际著名金融大鳄乔治.索罗斯发表演讲,点名指责习近平是开放社会的共同敌人。
2018年9月,广电总局在网上也发布征求意见稿,严格限制境外新闻节目以个人或企业名义搬运进国内互联网的视频平台。可见将来墙内网民自由上网的情况将持续恶化。
2018年12月12日,迅雷以推出支持IPv6版本的更新,国家防火墙对于IPv6地址的部署已经全面竣工,就算是使用YouTube翻墙,但由于YouTube的播放视频地址以及Google Photos的视频地址内容来源***.googlevideo.com为随机地址,因此仅靠host文件无法解决,需要采用无污染的DNS服务器才行。在这里收集并汇总了目前仍然可用的一些免費翻墙方法和翻墙工具,数起来大大小小各有30多种,很多都取自Google+、Facebook、telegram群分享、维基百科以及GitHub、一些博客等网站的分享。
一、什么是墙/防火墙 防火长城(英语:Great Firewall (of China),常用简称:GFW,中文也称中国国家防火墙,中国大陆民众俗称墙、防火墙、功夫网等等),是对中华人民共和国政府在其互联网边界审查系统(包括相关行政审查系统)的统称。此系统起步于1998年,其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。
随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所说的“被墙”即指网站内容被防火长城所屏蔽或者指服务器的通讯被封阻,“翻墙”也被引申为突破网络审查浏览境内外被屏蔽的网站或使用服务(如被GFW屏蔽的网盘Dropbox)的行为。 防火墙的工作原理分以下几种(来自维基):
1.域名解析服务缓存污染 原理:防火长城对所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,防火长城会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协议是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。用户若改用TCP在53端口上进行DNS查询,虽然不会被防火长城污染,但可能会遭遇连接重置,导致无法获得目标网站的IP地址。
2.针对境外的IP地址封锁 原理:相比起之前使用的访问控制列表(ACL)技术,现在防火长城采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。 一般情况下,防火长城对于中国大陆境外的“非法”网站会采取独立IP封锁技术,然而部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网站用户一同遭殃,就算是“内容健康、政治无关”的网站,也不能幸免。其中的内容可能并无不当之处,但也不能在中国大陆正常访问。
3.IP地址特定端口封锁 原理:防火长城配合上文中特定IP地址封锁里路由扩散技术封锁的方法进一步精确到端口,从而使发往特定IP地址上特定端口的数据包全部被丢弃而达到封锁目的,使该IP地址上服务器的部分功能无法在中国大陆境内正常使用。
4.无状态TCP连接重置 原理:防火长城会监控特定IP地址的所有数据包,若发现匹配的黑名单动作(例如TLS加密连接的握手),其会直接在TCP连接握手的第二步即SYN-ACK之后伪装成对方向连接两端的计算机发送RST数据包(RESET)重置连接,使用户无法正常连接至服务器。这种方法和特定IP地址端口封锁时直接丢弃数据包不一样,因为是直接切断双方连接因此封锁成本很低,故对于Google的多项(强制)加密服务例如Google文档、Google网上论坛、Google+和Google个人资料等的TLS加密连接都是采取这种方法予以封锁。
5.对加密连接的干扰 在连接握手时,因为身份认证证书信息(即服务器的公钥)是明文传输的,防火长城会阻断特定证书的加密连接,方法和无状态TCP连接重置一样,都是先发现匹配的黑名单证书,之后通过伪装成对方向连接两端的计算机发送RST数据包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的TLS加密连接(HTTPS的443端口)握手,或者干脆直接将握手的数据包丢弃导致握手失败,从而导致TLS连接失败。但由于TLS加密技术本身的特点,这并不意味着与网站传输的内容可被破译。 Tor项目的研究人员则发现防火长城会对各种基于TLS加密技术的连接进行刺探,刺探的类型有两种:“垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探,目的是在用户创建加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。针对Tor,当中国的一个Tor客户端与境外的网桥中继创建连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是创建TCP连接。 切断OpenVPN的连接,防火长城会针对OpenVPN服务器回送证书完成握手创建有效加密连接时干扰连接,在使用TCP协议模式时握手会被连接重置,而使用UDP协议时含有服务器认证证书的数据包会被故意丢弃,使OpenVPN无法创建有效加密连接而连接失败。
6.TCP关键字阻断 Firefox的“连接被重置”错误消息。当碰触到GFW设置的关键词后(如使用Google等境外搜索引擎),即可能马上出现这种画面。TCP重置是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。防火长城切断TCP连接的技术实际上就是发送连接重置消息。 对于防火长城而言,发送连接重置数据包比直接将数据包丢弃要好,因为如果是直接丢弃数据包的话客户端并不知道具体网络状况,基于TCP协议的重发和超时机制,客户端就会不停地等待和重发,加重防火长城审查的负担,但当客户端收到RESET消息时就可以知道网络被断开不会再等待了。而实际上防火长城通过将TCP连接时服务器发回的SYN/ACK数据包中服务器向用户发送的序列号改为0从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,故这种封锁方式不会耗费太多防火长城的资源而效果很好,成本也相当的低。
以上是几种主要的手段,其他具体可参考维基百科的介绍。
二、为什么翻墙?
翻墙早已成为社会主义特色的一部分,不知道儿孙们以后看到我们现在的状态会做何感想,可能会像我们现在不能体会那些莫名其妙的明清文字狱一样。可能吧做过一期中国翻墙网民状况调查。对于为什么要翻墙,可能吧的总结是:
80%的人翻墙仅仅是为了“正常”地使用Google等互联网基础服务,他们或许只是想正常地搜索“胡萝卜”。75%的人翻墙会上Twitter等社交网站,72%的人会看外媒的新闻。60%的人翻墙是为了娱乐,比如观看Youtube。因为国内的互联网产品行业相对落后,而优秀的外国互联网产品往往又是被屏蔽,很多人翻墙是为了学习外国的互联网产品,这个比例占了52%。30%的人翻墙会上成人网站。另外有26%的人工作必须翻墙。
我们来看一下GFW的三大定律:
GFW第一定律:只要是 “用户产生内容”(User-generated content, UGC)的国外网站都会被和谐。
GFW第二定律:只要是被和谐的网站,国内一定会有个克隆版。
GFW第三定律:没有被和谐的网站一定不是同类竞争者中最出色的。
举几个具体例子好了。
GFW第一定律中“用户产生内容”的意思即用户可以在网站上发布视频、图片、评论等,或者更新自己的内容、而往往这样的发布是面向大量受众,即影响面很大,往往这样的影响不受中国政府控制,比如在YouTube上上传涉及政治敏感的视频,发表涉及中国政府的言论,这正是防火墙的作用,即不让我们在上面发表评论或者不希望我们看到这样的评论,因为推特和Facebook的言论自由的特点,因此在这些平台上也有许多攻击中国政府的言论。
GFW第二定律就不必多说了,像我们平常使用的优酷、新浪微博、qq空间,其实就是从国外的YouTube、推特、Facebook那里借鉴来的,不过这些借鉴版本都要配合中国政府的审查制度。
GFW第三定律,意思是往往那些鲜为人知的国外网站,在中国影响力不大,不会引起什么风波,因此封杀什么的就觉得没有多大必要。 对于翻墙,就我身边的人知道的不多,就我而言经常翻墙也不多。对于原因,鄙人总结如下:
翻墙的动力对于绝大多数人,对于大部分的中国网民,那些Google的基础服务,Twitter,Youtube,在国内已经有了山寨的产品出现,他们可以上百度,新浪微博,优酷。在不翻墙的情况下就能满足消费者的需求,奈何还要麻烦翻墙呢。这就造成了翻墙的需求性不高,动力不足。
翻墙的阻碍优秀的互联网服务集中在美国,这些服务的主要语言是英语,操作习惯也是非China的。虽然大部分这些网站提供了中文界面,但前期的简单设置还是不可少的,很多人以为国外的网站只有英文怕搞不懂,其实这也是信息封锁下从来没有接触过的误区。
翻墙的体验翻墙毕竟是要经过第三方,一般的翻墙方法速度上比正常要慢,稳定性也不好。翻墙合法性我们已经适应了墙内的其乐融融,一片大好的环境,突然接触到对Party不好的评论,都会认为是非法的东西,对合法性的怀疑会造成在浏览的过程中提心吊胆不能畅快淋漓。
翻墙的难度现在的翻墙方法中,简单的不稳定,稳定的不简单。比如自由门和在线代理,几乎不用设置,可过段时间就会发现不能用了。稳定的Tor、SSH、VPN在设置上又相对复杂。
可是为什么会有翻墙?翻墙的价值为了工作,为了学习,为了感受生活,为了看到墙内没有的东西,为了了解真相,为了知道这个世界究竟是什么样的,为了自己不是一直傻傻地走过这一遭,为了不被儿孙们耻笑…
对于有技术恐惧的同学我想说的是,那些没有走出山洞的人类最终没有机会发现新世界,翻墙是一道天然的门槛,它过滤掉了那些好奇心不强,安于现状和缺乏质疑能力的人。最终世界是属于那些像航海家一样敢于在未知大海不断航行发现新大陆的人。天朝的防火墙和大清的闭关锁国政策是一样的,外媒评价说,21世纪还在屏蔽互联网的中国,是一个自废武功的国家。
如果你的身边有想看看外面的世界和听到不同声音的朋友,请将本地址或者文档转发给他,也许会改变他的人生。
----延伸阅读-----
李文亮去世那夜,在口罩上写“言论自由”的年轻人后来经历了什么
青春的记忆有力量 —— 读“哈佛大学学生天安门运动研讨会特辑”
本小站提供海内外新闻报道,社会热点,政治动向,经济分析,历史教育,思想文化,心理研究,翻墙方法,下载资源,希望大家喜欢。 你也可以将优质的内容分享给你身边的人,根据蝴蝶效应,一个小小举动可以在大西洋刮起一场飓风! 我相信这些内容在探寻人生意义,追求职业发展,处理个人情感,构建美满家庭和各种人生重大选择中都能或多或少帮到你们,感谢你们的关注和支持!
哈伯图书馆书目(电子书下载资源汇总,包含各种被大陆禁止和删减的书籍)
大家可以在issue文章comment进行评论和互动交流,你的观点无形中会影响很多看到它的人。