2000万中国人都在翻墙！“墙”究竟是怎样工作的？你的翻墙方法真的安全吗？现今主流翻墙技术存在的缺陷

00:00

今天我们将一起探讨新中国信息时代的技术壮举

00:04

“墙”（The Great Firewall）

00:06

以及近期流行的翻墙技巧及其潜在风险

00:10

希望通过本次介绍

00:12

各位能更安全地翻墙

00:14

避免被警方抓到把柄

00:16

翻墙对于生活在中国大陆的朋友并不陌生

00:19

从谷歌、推特、Facebook到奈飞、Wikipedia、Telegram

00:24

乃至当前的GitHub

00:25

都面临着无法访问或访问不稳定的问题

00:29

输入网址后，要么出现404错误

00:32

要么链接被重置

00:34

这导致国人与外部世界的联系变得困难重重

00:38

无法获取从历史到最新科技的信息

00:41

汉字文化圈因此变成了一个闭门造车的信息荒漠

00:45

这些都是“墙”的“功劳”

00:47

理论上

00:48

任何连接到互联网的设备都应能无障碍地

00:51

访问网络上的任何网站和服务

00:54

只要它所在地区的DNS服务器知道网址所对应的正确IP地址

01:00

并且其使用的客户端和浏览器支持通用的TCP/IP协议

01:06

但在中国

01:06

政府通过建立世界上最大的防火墙系统

01:10

来监控和阻止通往它不想让你看到的网站流量

01:14

实现了互联网之墙的作用

01:16

翻墙首先需要理解墙的两大功能：

01:19

阻止和学习

01:20

阻止，顾名思义

01:22

就是阻止所有访问黑名单上网址或服务器的流量

01:26

主要有DNS污染和连接重置两种实现方法

01:30

假设您目前位于“墙”内部

01:32

希望访问名为youtube

01:34

com的视频网站

01:36

由于您的浏览器不知道youtube

01:37

com对应的IP地址

01:39

它会首先向您所在网络的DNS服务器发送一个域名解析请求

01:44

通常情况下

01:45

一个正常的DNS服务器会返回youtube

01:48

com的正确IP地址

01:50

但在“墙”内部

01:51

DNS服务器维护着一个特殊的黑名单

01:54

一旦您请求的域名与这个黑名单上的某个条目相匹配

01:59

服务器会迅速响应并返回一个错误的IP地址

02:03

这个IP地址通常指向一个“黑洞”服务器

02:07

它不会产生任何回复

02:09

因此

02:09

当您的请求被导向这个“黑洞”时

02:13

浏览器最终显示的是“连接超时”的错误

02:16

更值得注意的是

02:17

这种黑名单可以被逐层下传

02:20

甚至复制到离您最近的DNS缓存中

02:23

比如您所在城市的主要网络交换机

02:26

这意味着，当您尝试访问youtube

02:29

com时，请求不会被发送到根服务器

02:32

而是在本地网络层面就直接被拦截

02:35

这种将黑名单传播到全国各地网络网关的做法

02:38

被称为DNS域名污染

02:40

DNS域名污染是实现“墙”功能的早期且直接的方法

02:45

但它无法阻止那些已知youtube

02:48

com实际IP地址的人进行访问

02:51

然而，即使您知道youtube

02:53

com的真实IP地址，情况仍然不乐观

02:57

墙还维护着一个IP地址和端口号的黑名单

03:01

如果您尝试访问的IP地址和端口号与黑名单上的条目相匹配

03:07

那么墙所控制的路由器、网关、交换机或其他网络设备将直接向您发送一个连接重置指令

03:15

并同时丢弃真正的请求

03:17

在这种情况下

03:18

您最终看到的将是“连接已重置”的提示

03:22

可以看出

03:23

DNS黑名单实际上是IP地址黑名单的一部分

03:27

连接重置目前是墙阻止人们访问外网的最有效和广泛使用的方法

03:33

为何“墙”能如此轻易地实现这些功能？

03:36

回顾互联网的初期发展

03:38

我们可能会发现

03:39

当时的设计者们或许并未预见到网络上会出现如此多的安全威胁

03:45

在TCP/IP协议中

03:47

所有有关请求的信息包括原始IP地址、目标IP地址

03:50

甚至请求内容和端口名称都是以明文形式呈现的

03:56

这些信息的长度和位置是固定的

03:59

以二进制代码的形式在网络线路上传输

04:03

任何人都可以获取和查看这些数据

04:07

DNS服务器本身也不需要进行严格的安全认证

04:11

TCP/IP协议的创造者们可能未曾想到

04:14

对互联网公共安全最大的威胁竟是来自某个国家政府

04:19

有些国家利用这一点

04:21

动用全国范围内的资源

04:23

在互联网的根节点上和骨干网络的交换机上植入木马和黑名单

04:30

直接丢弃正常的互联网请求

04:32

破坏了公共信息系统的安全

04:35

正是因为互联网协议设计的这种公开透明性

04:39

才使得“墙”得以利用这些漏洞

04:41

发挥其巨大的作用

04:43

我们已经深入了解了“墙”的各种特性

04:46

现在，让我们探讨科学翻墙的方法

04:48

同时也将涉及“墙”的第二大功能——学习能力

04:53

以及如何利用翻墙软件来应对这一挑战

04:56

正如之前提到的

04:58

墙之所以能够有效地执行其功能

05:01

是因为它能够识别并针对性地阻断基于TCP请求中的目标IP地址的数据流

05:07

鉴于IP地址的可见性

05:09

一种自然而然的解决方案就是使用代理服务器

05:13

这种方法的基本思路是

05:15

您首先将请求发送到一个中间服务器

05:18

然后由该服务器将请求转发到最终的目标IP地址

05:22

这样，您就可以绕过墙的直接监控

05:25

具体来说，假设您想访问twitter

05:28

com

05:29

您的原始请求（我们称之为请求A）会被打包

05:32

打包进另一个TCP/IP请求（请求B）中

05:35

其中请求B的起始IP是您的电脑

05:38

目标IP则是代理服务器（服务器C）

05:41

当代理服务器C接收到请求B后

05:44

它会丢弃外部的包装信息

05:46

查看并识别内部的请求A

05:49

也就是对twitter

05:50

com的访问请求

05:51

随后

05:52

代理服务器C通过其所在网络的网关和DNS访问

05:56

twitter.com，获取所需内容

05:58

并将这些内容打包

06:00

再通过原路线（我们称之为回复D）发送回您的电脑

06:04

这样，您就能够间接访问twitter

06:06

com，绕过墙的直接监控

06:09

当然

06:09

这个过程中会出现两个主要问题

06:12

首先

06:13

我们需要确保代理服务器能够访问

06:16

twitter.com

06:16

这意味着代理服务器必须位于墙的控制范围之外

06:21

随着云服务技术的发展

06:23

找到一个位于外网、拥有外部IP地址的虚拟服务器已经变得比较容易

06:28

然而这只是解决问题的第一步

06:31

当我们使用代理服务器C来发送请求A时

06:35

一个核心问题浮现：

06:37

如果代理服务器能够理解请求A

06:39

那么“墙”也有可能做到同样的事情

06:42

换句话说，我们打包后的请求B

06:45

尽管是通过代理发送

06:47

但在传输过程中仍然必须穿越“墙”内部的各个网络节点

06:51

在这一过程中

06:53

请求B有可能被“墙”通过多种手段进行探测和分析

06:57

例如

06:58

“墙”可以在中美海底光缆的出海口部署监听设备

07:03

从而捕获所有访问海外IP地址的流量

07:06

通过备份这些流量数据

07:08

“墙”可以花费更多时间来分析和解读您精心封装的请求A

07:13

如果“墙”在请求A中发现了任何列入黑名单的非法IP地址或违禁内容的关键词

07:20

那么所谓的IP封锁策略就会再次启动

07:23

结果

07:24

您所使用的代理服务器的IP和端口号可能会被直接加入“墙”的黑名单中

07:30

因此

07:30

您的下一次请求可能会遭到直接阻断

07:34

这也解释了为什么许多翻墙用户发现他们购买的“梯子”（即翻墙工具）在短时间内就变得无效的原因

07:43

此外

07:43

如果公安部门对此类活动感兴趣

07:46

他们可以通过分析这些请求中包含的发送端IP地址来追踪用户

07:51

从路由器的转发记录中

07:53

他们能够追溯到具体的城市、小区、楼宇

07:57

甚至是具体的房间

07:59

因此

07:59

翻墙行为不仅仅是技术上的挑战

08:02

实际上还涉及到重大的个人隐私和安全风险

08:06

在中国大陆

08:07

人们为了访问新闻、参与社交、甚至进行商业活动或编程工作而翻墙

08:13

可能会面临各种法律后果

08:15

从轻微的警告、罚款到严重的刑事责任

08:19

因此，在考虑翻墙时

08:21

你必须充分评估这些潜在风险

08:24

并采取适当的措施来保护自己的安全和隐私

08:28

很多人可能会疑问：

08:29

既然计算机可以进行加密

08:32

为什么还要让“墙”看到我们的真实请求呢？

08:35

确实

08:36

加密技术在翻墙中扮演了关键角色

08:39

著名的Shadowsocks和Vmess等协议就是在这里发挥作用的

08:43

这些协议利用密码学方法对您的真实请求A进行加密

08:48

从而保护数据免受“墙”的直接监控

08:51

加密的具体方法涉及一套专用协议

08:54

该协议在您的真实请求前后加入自定义的信号

08:58

例如信息长度、加密方式和随机生成的时间码等

09:03

用户在相应的客户端和服务器上预设好特定的密码

09:07

这样就可以实现对信息的加密和解密

09:10

借助哈希函数（也称散列函数）和精心设计的加密算法

09:15

最终生成的加密请求在数学上被证明看起来像是一串完全随机的字符

09:22

信息的隐藏程度极高

09:23

在这种加密保护下

09:25

即使“墙”捕获到了您的TCP请求

09:28

也无法确定您实际上访问的是哪个网站

09:31

对“墙”来说

09:32

您可能只是在访问某个服务器

09:35

处理一些个人文件而已

09:36

是否这样就可以高枕无忧了呐？

09:39

遗憾的是

09:39

即使加密技术可以隐藏具体的内容

09:42

但“墙”仍有多种方法来判断您是否在尝试翻他

09:48

这就是我们之前提到过“墙”的第二个功能——学习能力

09:51

实际上

09:52

“墙”能够通过分析流量模式来识别是否有翻墙的行为

09:56

这一点

09:57

尤其在处理加密流量时显得尤为重要

10:00

普通的互联网流量

10:01

即便经过了TLS加密

10:04

其特征并不是完全随机的

10:06

不同类型的服务和内容

10:08

如文字、视频和图片

10:10

都有其特定的信息分布模式

10:12

至少在数据长度上存在一定的规律

10:15

因此

10:16

过于随机的流量反而可能暴露出异常

10:20

从一些研究“墙”运行机制的学术论文中

10:23

我们可以了解到“墙”已经实现了数十种规则

10:26

专门用于识别加密流量

10:28

例如

10:29

它可能会分析传输的二进制信息中

10:32

比特为1所占的比例

10:34

来判断是否存在翻墙行为

10:37

若这个比例恰好为50%，

10:39

则可能被认为过于随机

10:41

从而引起怀疑

10:42

“墙”通过深度学习的方法可以轻易地学习并适应这些模式

10:48

例如

10:49

它可能会分析在墙内的正常流量

10:52

从而确定不同类型流量的特征

10:54

此外

10:55

“墙”还可能采用类似于钓鱼的策略

10:58

暂时允许某些翻墙工具工作

11:01

以此来收集新的翻墙流量数据

11:03

进而提高其识别模型的准确性

11:06

除了流量模式分析

11:08

“墙”还可能检查TCP包中的前几个字节内容

11:11

一个完全随机的字节流几乎都是乱码

11:14

而标准的HTTP或HTTPS请求中的前几个字节

11:19

如GET、POST等，通常是可打印字符

11:22

这种可打印字符的比例也可能被用作判断翻墙行为的依据

11:27

此外

11:28

墙还会根据与服务器的握手次数来判断通信的性质

11:32

例如，标准的TCP连接需要三次握手

11:35

而基于TLS的HTTPS连接则需要五次

11:40

不同的翻墙工具在实现上可能有所不同

11:43

导致握手次数和长度的变化

11:46

比如某些翻墙工具可能会将TLS握手隐藏在伪装流量中

11:51

尝试使流量看起来像是正常的网页浏览

11:54

然而这些数据包的长度往往会异常短

11:58

与正常的网页流量通信有显著差异

12:01

通过分析这些特征

12:03

“墙”就能识别出实际的翻墙行为

12:06

除了之前提到的被动探测方法

12:08

墙还曾大量采用主动探测技术

12:12

例如，它可能复制您的网络请求

12:14

稍后再次向目标IP发送

12:17

以观察服务器的反应

12:19

普通服务器与梯子服务器的反应往往大相径庭

12:23

一些梯子服务器可能会因为特殊配置而报出错误

12:27

比如密码错误或无响应

12:29

而普通服务器可能会忽略这类异常请求或直接返回正常网页

12:35

通过这种方式

12:36

墙就能够判断目标服务器是否用于翻墙

12:40

并据此采取封锁措施

12:42

此外

12:42

虽然墙不知道加密请求的具体内容

12:45

但协议如Vmess和Shadowsocks的格式是公开且固定的

12:50

墙可以通过修改特定位置的比特值来攻击服务器

12:54

例如将某个比特从0改为1

12:57

这可能导致服务器误认为存在时间错误或其他问题

13:01

进而产生错误响应

13:03

通过这种方式

13:04

墙可以主动制造错误请求

13:06

试探并识别梯子服务器

13:08

一旦发现异常，就可能封锁该服务器

13:12

然而随着翻墙协议的不断进化和服务器混淆技术的提升

13:17

墙现在已经较少使用这种主动探测方法

13:21

因为它可能导致巨大的流量浪费

13:23

并有暴露自身的风险

13:25

当前

13:26

被动监控结合机器学习技术是墙的主流做法

13:30

这表明，虽然墙拥有强大的监控能力

13:33

但它并不总是选择行动

13:35

有时，它可能采用钓鱼策略

13:38

收集数据来完善其识别模型

13:41

对于翻墙用户来说

13:43

最佳的做法是尽量使流量看起来像正常的网页浏览流量

13:48

同时

13:48

梯子服务器对异常请求的响应应尽可能接近普通网站的反应

13:53

例如返回网址的首页

13:55

而不是错误信息

13:57

目前流行的Trojan协议正是基于这样的原理

14:00

此外

14:00

使用CDN服务和内容分发网络搭建梯子是一种新兴且相对稳定的翻墙手段

14:08

尽管这种方法在概念上颇为大胆

14:10

相当于在公安局门口作案

14:12

俗话说

14:13

“最危险的地方往往是最安全的

14:16

Cloudflare利用的正是这一原理

14:18

它的节点全部部署在CDN上

14:21

并且基于一种名为WireGuard的最新VPN协议

14:25

要启用这种翻墙方式

14:27

通常需要使用海外的手机

14:29

在北美区下载名为RaptApp的应用

14:32

并获得RaptPlus账号

14:34

有了这些工具，即使回到中国大陆

14:36

也可以通过该App实现翻墙

14:39

此外，基于WireGuard协议

14:41

Rapt还被移植到了桌面电脑、Apple TV甚至OpenWRT路由器上

14:46

使得整个家庭都能通过这种方式翻墙

14:50

然而这些方法的稳定性仍有待观察

14:53

据最新消息

14:54

墙已开始干扰RaptDNS服务器

14:56

若RaptPlus的用户数量足够多

14:59

我们不知道何时可能不得不与Cloudflare告别

15:02

作为一个海外的观察者

15:04

我对这一现象感到深深的感慨

15:06

本来普通的互联网用户

15:08

并不需要了解太多关于以太网

15:11

TCP IP DNS网关端口

15:14

路由器

15:15

以及服务器和信息加密的深奥知识

15:18

理想情况下

15:19

打开浏览器

15:20

输入网址就应该能够自由上网

15:23

然而正是由于墙的存在

15:25

许多中国网民

15:26

不得不学习

15:27

这些复杂的网络信息安全知识

15:30

仿佛每个人

15:31

都获得了网络信息安全的硕士学位

15:34

最后我要提醒

15:35

所有在中国大陆地区翻墙的朋友们

15:38

一定要格外珍惜和保护好自己

15:41

任何可能暴露个人信息的网络日志

15:43

和文件都应妥善处理

15:46

以免留下隐患

15:47

记得及时销毁存储在本地的敏感信息

15:51

不要让这些

15:52

成为将来可能对您不利的证据