2000万中国人都在翻墙!“墙”究竟是怎样工作的?你的翻墙方法真的安全吗?现今主流翻墙技术存在的缺陷
Summary
TLDR本视频深入探讨了中国大陆的互联网审查机制“墙”及其对普通网民的影响。详细介绍了“墙”的工作原理,包括DNS污染和IP地址黑名单等技术手段,以及它如何限制用户访问国外网站。同时,讲解了各种翻墙技巧和方法,如使用代理服务器、加密技术,以及最新的翻墙软件和协议。但也强调了翻墙的潜在风险,包括法律后果和个人隐私泄露的风险。视频旨在帮助观众更安全地翻墙,同时提醒用户必须谨慎行事,保护个人信息安全。
Takeaways
- 😀 中国大陆由于防火墙(墙)存在,导致许多网站无法正常访问或访问不稳定
- 😞 “墙”主要通过两大功能实现封锁:阻止访问和识别翻墙
- 😡 DNS污染和连接重置是“墙”最常用的技术手段
- 😰 互联网的开放性让“墙”能轻易实施控制,成为信息获取的巨大障碍
- 🤔 使用代理服务器是最基本的科学翻墙方式,但容易被识别
- 😎 加密技术可隐藏真实请求,但“墙”可以通过流量分析识别翻墙
- 🕵️ “墙”还会使用主动探测等方式检测翻墙服务器
- 🔒 使用 CDN 和最新 VPN 协议是当前较稳定的翻墙手段
- ⚠️ 翻墙存在严重的法律风险,用户信息可能成为证据
- 🙏 需要谨慎删除本地存储的敏感信息,注意自我保护
Q & A
什么是“墙”?
-“墙”指的是中国政府建立的世界上最大的防火墙系统,用于监控和阻止中国网民访问某些政府不想让人看到的外国网站,如Google、Twitter、Facebook等。
“墙”的主要功能是什么?
-“墙”的两大主要功能是:1) 阻止访问黑名单上的网址或服务器;2) 通过深度学习等方法分析流量模式,判断是否存在翻墙行为。
“墙”如何实现对网站的封锁?
-主要通过两种方式:1) DNS域名污染,将错误IP地址返回给请求被封锁网站域名的用户。2) 检查请求中的IP和端口,如果匹配黑名单则向用户发送连接重置指令。
墙如何判断加密后的翻墙流量?
-通过分析流量的随机性、字节内容、握手次数等方式判断加密流量是否为翻墙行为。同时,“墙”也会使用主动探测和钓鱼策略收集翻墙流量特征数据。
什么是翻墙的代理服务器方法?
-将访问请求先发给在墙外的中间代理服务器,由其访问目标网站后再转发内容给用户,这可以绕过墙的直接监控。
代理服务器方法的风险是什么?
-“墙”可以通过分析流量,查明真实请求的内容和访问目标,从而封锁代理服务器。同时也可能追查出用户真实身份而面临法律风险。
加密翻墙协议的原理是什么?
-对真实请求内容加密后转发给代理服务器,使“墙”无法直接看到真实内容,但“墙”仍可通过判断流量模式识别出翻墙行为。
CDN上搭建翻墙节点安全吗?
-CDN上搭建翻墙节点被认为是较稳定的翻墙手段之一,但如果用户基数足够大,其服务也可能被识破和干扰。
什么是WireGuard协议?
-一种新型的VPN加密协议,用于保护用户与代理服务器之间的通信,它应用在一些新兴的翻墙工具如Cloudflare的Rapt应用中。
翻墙用户需要注意什么?
-翻墙用户需要格外注意保护自己的个人信息安全,避免留下可能成为证据的网络日志和文件。要及时销毁存储在本地的敏感信息。
Outlines
😧墙的工作原理和特征
本段详细讲述了墙的两个主要功能:阻止用户访问某些网站和不断学习以识别翻墙流量。墙主要通过DNS污染和连接重置来实现阻止功能。学习功能则通过流量分析和其他技术判断通信是否为翻墙行为。
😎使用代理服务器进行翻墙
本段提出了使用代理服务器进行翻墙的基本思路,并分析了这种方法面临的两个主要问题:代理服务器自己可能被墙识别和封锁;翻墙请求在传输过程中可能被墙捕获和分析,从而暴露用户信息。
🔐使用加密技术隐藏翻墙内容
本段阐述了如何使用加密技术对应用层信息进行保护,以防止墙直接读取翻墙请求的具体内容。但即使加密,墙仍可通过流量分析判断翻墙行为。
😊科学翻墙的原则和建议
本段归纳了科学翻墙的一些基本原则:使流量尽可能正常,服务器响应也应正常;使用CDN节点翻墙相对稳定等。最后提醒用户注意保护个人信息,避免因翻墙而面临法律风险。
Mindmap
Keywords
💡墙
💡域名污染
💡连接重置
💡翻墙
💡代理服务器
💡信息加密
💡流量模式
💡主动探测
💡被动监控
💡CDN
Highlights
“墙”通过建立世界上最大的防火墙系统, 监控和阻止通往它不想让你看到的网站流量
DNS域名污染是实现“墙”功能的早期且直接的方法
连接重置是墙阻止人们访问外网的最有效和广泛使用的方法
TCP/IP协议设计的公开透明性,使得“墙”得以利用这些漏洞,发挥其巨大的作用
使用代理服务器,您可以绕过墙的直接监控
加密技术在翻墙中扮演了关键角色
“墙”能通过分析流量模式来识别是否有翻墙的行为
墙已经实现了数十种规则,专门用于识别加密流量
墙采用主动探测技术来试探并识别梯子服务器
被动监控结合机器学习技术是墙的主流做法
使用CDN服务和内容分发网络搭建梯子是一种新兴稳定的翻墙手段
Cloudflare利用CDN节点和WireGuard协议实现翻墙
墙已开始干扰RaptDNS服务器,该翻墙方式的稳定性有待观察
理想情况下,打开浏览器,输入网址就应该能够自由上网
翻墙朋友们一定要格外珍惜和保护好自己
Transcripts
今天我们将一起探讨新中国信息时代的技术壮举
“墙”(The Great Firewall)
以及近期流行的翻墙技巧及其潜在风险
希望通过本次介绍
各位能更安全地翻墙
避免被警方抓到把柄
翻墙对于生活在中国大陆的朋友并不陌生
从谷歌、推特、Facebook到奈飞、Wikipedia、Telegram
乃至当前的GitHub
都面临着无法访问或访问不稳定的问题
输入网址后,要么出现404错误
要么链接被重置
这导致国人与外部世界的联系变得困难重重
无法获取从历史到最新科技的信息
汉字文化圈因此变成了一个闭门造车的信息荒漠
这些都是“墙”的“功劳”
理论上
任何连接到互联网的设备都应能无障碍地
访问网络上的任何网站和服务
只要它所在地区的DNS服务器知道网址所对应的正确IP地址
并且其使用的客户端和浏览器支持通用的TCP/IP协议
但在中国
政府通过建立世界上最大的防火墙系统
来监控和阻止通往它不想让你看到的网站流量
实现了互联网之墙的作用
翻墙首先需要理解墙的两大功能:
阻止和学习
阻止,顾名思义
就是阻止所有访问黑名单上网址或服务器的流量
主要有DNS污染和连接重置两种实现方法
假设您目前位于“墙”内部
希望访问名为youtube
com的视频网站
由于您的浏览器不知道youtube
com对应的IP地址
它会首先向您所在网络的DNS服务器发送一个域名解析请求
通常情况下
一个正常的DNS服务器会返回youtube
com的正确IP地址
但在“墙”内部
DNS服务器维护着一个特殊的黑名单
一旦您请求的域名与这个黑名单上的某个条目相匹配
服务器会迅速响应并返回一个错误的IP地址
这个IP地址通常指向一个“黑洞”服务器
它不会产生任何回复
因此
当您的请求被导向这个“黑洞”时
浏览器最终显示的是“连接超时”的错误
更值得注意的是
这种黑名单可以被逐层下传
甚至复制到离您最近的DNS缓存中
比如您所在城市的主要网络交换机
这意味着,当您尝试访问youtube
com时,请求不会被发送到根服务器
而是在本地网络层面就直接被拦截
这种将黑名单传播到全国各地网络网关的做法
被称为DNS域名污染
DNS域名污染是实现“墙”功能的早期且直接的方法
但它无法阻止那些已知youtube
com实际IP地址的人进行访问
然而,即使您知道youtube
com的真实IP地址,情况仍然不乐观
墙还维护着一个IP地址和端口号的黑名单
如果您尝试访问的IP地址和端口号与黑名单上的条目相匹配
那么墙所控制的路由器、网关、交换机或其他网络设备将直接向您发送一个连接重置指令
并同时丢弃真正的请求
在这种情况下
您最终看到的将是“连接已重置”的提示
可以看出
DNS黑名单实际上是IP地址黑名单的一部分
连接重置目前是墙阻止人们访问外网的最有效和广泛使用的方法
为何“墙”能如此轻易地实现这些功能?
回顾互联网的初期发展
我们可能会发现
当时的设计者们或许并未预见到网络上会出现如此多的安全威胁
在TCP/IP协议中
所有有关请求的信息包括原始IP地址、目标IP地址
甚至请求内容和端口名称都是以明文形式呈现的
这些信息的长度和位置是固定的
以二进制代码的形式在网络线路上传输
任何人都可以获取和查看这些数据
DNS服务器本身也不需要进行严格的安全认证
TCP/IP协议的创造者们可能未曾想到
对互联网公共安全最大的威胁竟是来自某个国家政府
有些国家利用这一点
动用全国范围内的资源
在互联网的根节点上和骨干网络的交换机上植入木马和黑名单
直接丢弃正常的互联网请求
破坏了公共信息系统的安全
正是因为互联网协议设计的这种公开透明性
才使得“墙”得以利用这些漏洞
发挥其巨大的作用
我们已经深入了解了“墙”的各种特性
现在,让我们探讨科学翻墙的方法
同时也将涉及“墙”的第二大功能——学习能力
以及如何利用翻墙软件来应对这一挑战
正如之前提到的
墙之所以能够有效地执行其功能
是因为它能够识别并针对性地阻断基于TCP请求中的目标IP地址的数据流
鉴于IP地址的可见性
一种自然而然的解决方案就是使用代理服务器
这种方法的基本思路是
您首先将请求发送到一个中间服务器
然后由该服务器将请求转发到最终的目标IP地址
这样,您就可以绕过墙的直接监控
具体来说,假设您想访问twitter
com
您的原始请求(我们称之为请求A)会被打包
打包进另一个TCP/IP请求(请求B)中
其中请求B的起始IP是您的电脑
目标IP则是代理服务器(服务器C)
当代理服务器C接收到请求B后
它会丢弃外部的包装信息
查看并识别内部的请求A
也就是对twitter
com的访问请求
随后
代理服务器C通过其所在网络的网关和DNS访问
twitter.com,获取所需内容
并将这些内容打包
再通过原路线(我们称之为回复D)发送回您的电脑
这样,您就能够间接访问twitter
com,绕过墙的直接监控
当然
这个过程中会出现两个主要问题
首先
我们需要确保代理服务器能够访问
twitter.com
这意味着代理服务器必须位于墙的控制范围之外
随着云服务技术的发展
找到一个位于外网、拥有外部IP地址的虚拟服务器已经变得比较容易
然而这只是解决问题的第一步
当我们使用代理服务器C来发送请求A时
一个核心问题浮现:
如果代理服务器能够理解请求A
那么“墙”也有可能做到同样的事情
换句话说,我们打包后的请求B
尽管是通过代理发送
但在传输过程中仍然必须穿越“墙”内部的各个网络节点
在这一过程中
请求B有可能被“墙”通过多种手段进行探测和分析
例如
“墙”可以在中美海底光缆的出海口部署监听设备
从而捕获所有访问海外IP地址的流量
通过备份这些流量数据
“墙”可以花费更多时间来分析和解读您精心封装的请求A
如果“墙”在请求A中发现了任何列入黑名单的非法IP地址或违禁内容的关键词
那么所谓的IP封锁策略就会再次启动
结果
您所使用的代理服务器的IP和端口号可能会被直接加入“墙”的黑名单中
因此
您的下一次请求可能会遭到直接阻断
这也解释了为什么许多翻墙用户发现他们购买的“梯子”(即翻墙工具)在短时间内就变得无效的原因
此外
如果公安部门对此类活动感兴趣
他们可以通过分析这些请求中包含的发送端IP地址来追踪用户
从路由器的转发记录中
他们能够追溯到具体的城市、小区、楼宇
甚至是具体的房间
因此
翻墙行为不仅仅是技术上的挑战
实际上还涉及到重大的个人隐私和安全风险
在中国大陆
人们为了访问新闻、参与社交、甚至进行商业活动或编程工作而翻墙
可能会面临各种法律后果
从轻微的警告、罚款到严重的刑事责任
因此,在考虑翻墙时
你必须充分评估这些潜在风险
并采取适当的措施来保护自己的安全和隐私
很多人可能会疑问:
既然计算机可以进行加密
为什么还要让“墙”看到我们的真实请求呢?
确实
加密技术在翻墙中扮演了关键角色
著名的Shadowsocks和Vmess等协议就是在这里发挥作用的
这些协议利用密码学方法对您的真实请求A进行加密
从而保护数据免受“墙”的直接监控
加密的具体方法涉及一套专用协议
该协议在您的真实请求前后加入自定义的信号
例如信息长度、加密方式和随机生成的时间码等
用户在相应的客户端和服务器上预设好特定的密码
这样就可以实现对信息的加密和解密
借助哈希函数(也称散列函数)和精心设计的加密算法
最终生成的加密请求在数学上被证明看起来像是一串完全随机的字符
信息的隐藏程度极高
在这种加密保护下
即使“墙”捕获到了您的TCP请求
也无法确定您实际上访问的是哪个网站
对“墙”来说
您可能只是在访问某个服务器
处理一些个人文件而已
是否这样就可以高枕无忧了呐?
遗憾的是
即使加密技术可以隐藏具体的内容
但“墙”仍有多种方法来判断您是否在尝试翻他
这就是我们之前提到过“墙”的第二个功能——学习能力
实际上
“墙”能够通过分析流量模式来识别是否有翻墙的行为
这一点
尤其在处理加密流量时显得尤为重要
普通的互联网流量
即便经过了TLS加密
其特征并不是完全随机的
不同类型的服务和内容
如文字、视频和图片
都有其特定的信息分布模式
至少在数据长度上存在一定的规律
因此
过于随机的流量反而可能暴露出异常
从一些研究“墙”运行机制的学术论文中
我们可以了解到“墙”已经实现了数十种规则
专门用于识别加密流量
例如
它可能会分析传输的二进制信息中
比特为1所占的比例
来判断是否存在翻墙行为
若这个比例恰好为50%,
则可能被认为过于随机
从而引起怀疑
“墙”通过深度学习的方法可以轻易地学习并适应这些模式
例如
它可能会分析在墙内的正常流量
从而确定不同类型流量的特征
此外
“墙”还可能采用类似于钓鱼的策略
暂时允许某些翻墙工具工作
以此来收集新的翻墙流量数据
进而提高其识别模型的准确性
除了流量模式分析
“墙”还可能检查TCP包中的前几个字节内容
一个完全随机的字节流几乎都是乱码
而标准的HTTP或HTTPS请求中的前几个字节
如GET、POST等,通常是可打印字符
这种可打印字符的比例也可能被用作判断翻墙行为的依据
此外
墙还会根据与服务器的握手次数来判断通信的性质
例如,标准的TCP连接需要三次握手
而基于TLS的HTTPS连接则需要五次
不同的翻墙工具在实现上可能有所不同
导致握手次数和长度的变化
比如某些翻墙工具可能会将TLS握手隐藏在伪装流量中
尝试使流量看起来像是正常的网页浏览
然而这些数据包的长度往往会异常短
与正常的网页流量通信有显著差异
通过分析这些特征
“墙”就能识别出实际的翻墙行为
除了之前提到的被动探测方法
墙还曾大量采用主动探测技术
例如,它可能复制您的网络请求
稍后再次向目标IP发送
以观察服务器的反应
普通服务器与梯子服务器的反应往往大相径庭
一些梯子服务器可能会因为特殊配置而报出错误
比如密码错误或无响应
而普通服务器可能会忽略这类异常请求或直接返回正常网页
通过这种方式
墙就能够判断目标服务器是否用于翻墙
并据此采取封锁措施
此外
虽然墙不知道加密请求的具体内容
但协议如Vmess和Shadowsocks的格式是公开且固定的
墙可以通过修改特定位置的比特值来攻击服务器
例如将某个比特从0改为1
这可能导致服务器误认为存在时间错误或其他问题
进而产生错误响应
通过这种方式
墙可以主动制造错误请求
试探并识别梯子服务器
一旦发现异常,就可能封锁该服务器
然而随着翻墙协议的不断进化和服务器混淆技术的提升
墙现在已经较少使用这种主动探测方法
因为它可能导致巨大的流量浪费
并有暴露自身的风险
当前
被动监控结合机器学习技术是墙的主流做法
这表明,虽然墙拥有强大的监控能力
但它并不总是选择行动
有时,它可能采用钓鱼策略
收集数据来完善其识别模型
对于翻墙用户来说
最佳的做法是尽量使流量看起来像正常的网页浏览流量
同时
梯子服务器对异常请求的响应应尽可能接近普通网站的反应
例如返回网址的首页
而不是错误信息
目前流行的Trojan协议正是基于这样的原理
此外
使用CDN服务和内容分发网络搭建梯子是一种新兴且相对稳定的翻墙手段
尽管这种方法在概念上颇为大胆
相当于在公安局门口作案
俗话说
“最危险的地方往往是最安全的
Cloudflare利用的正是这一原理
它的节点全部部署在CDN上
并且基于一种名为WireGuard的最新VPN协议
要启用这种翻墙方式
通常需要使用海外的手机
在北美区下载名为RaptApp的应用
并获得RaptPlus账号
有了这些工具,即使回到中国大陆
也可以通过该App实现翻墙
此外,基于WireGuard协议
Rapt还被移植到了桌面电脑、Apple TV甚至OpenWRT路由器上
使得整个家庭都能通过这种方式翻墙
然而这些方法的稳定性仍有待观察
据最新消息
墙已开始干扰RaptDNS服务器
若RaptPlus的用户数量足够多
我们不知道何时可能不得不与Cloudflare告别
作为一个海外的观察者
我对这一现象感到深深的感慨
本来普通的互联网用户
并不需要了解太多关于以太网
TCP IP DNS网关端口
路由器
以及服务器和信息加密的深奥知识
理想情况下
打开浏览器
输入网址就应该能够自由上网
然而正是由于墙的存在
许多中国网民
不得不学习
这些复杂的网络信息安全知识
仿佛每个人
都获得了网络信息安全的硕士学位
最后我要提醒
所有在中国大陆地区翻墙的朋友们
一定要格外珍惜和保护好自己
任何可能暴露个人信息的网络日志
和文件都应妥善处理
以免留下隐患
记得及时销毁存储在本地的敏感信息
不要让这些
成为将来可能对您不利的证据
浏览更多相关视频
翻墙后如何保障自身隐私安全?clash删库请重视这几个地方,科学上网vpn工具小心暴露自己信息!别被喝茶还不清楚原因,详细整理了一份翻墙安全手册,新手必备,不敢百分百有效但能达到80-90%以上安全度
在中國翻墻,牢記安全三原則!一個真實故事告訴你翻墻被抓的後果!2023年回中國探親系列(5)【莊也閑聊天10】
The Internet: Crash Course Computer Science #29
解密最好的科学上网方式 详解/辟谣永不被墙的「国际专线IPLC IEPL」 内网机场行业背后的事情 【硬核翻墙系列】 第十期
Basic Computing Skills - Orientation
In conversation with the Godfather of AI
5.0 / 5 (0 votes)