墙与梯的较量 —— 那些年我们一起用过的翻墙手段


来源: https://blog.yandere.moe/moe/gfw-vs-proxy/97.html

在某个 Telegram 群讨论到了现在很多 10 多岁的年轻人都学会翻墙了,想起我小的时候,大概也是在 10 岁左右第一次翻墙。作为经历过多次墙与梯的升级的网虫,把这个写下来也算是一个对童年的回忆了……
1. HTTP 代理 & SOCKS 代理年代:
早期的墙屏蔽网站是通过 IP 地址和 DNS 污染进行定点屏蔽,那时候被屏蔽的网站也没像现在这么多。大部分被屏蔽的都是法轮功的网站,一般人也用不到。那个时候可以很容易的通过 HTTP 代理进行审查规避。那个时候有一款浏览器不知道大家听说过没,叫 MyIE,有一个很方便的切换代理功能,由于作者是法轮功成员,他开发的浏览器的主页也有提供很多 HTTP 代理来翻墙用(BTW:根据网络上的传言,作者已经死于 2002 年 5 月 13 日。)不过根据这个软件开发的日期以及维基百科,可能在上个世纪 90 年代就已经有墙了。不过我第一次上网是 2004 年,比这更之前的我是不知道了,欢迎有更老网龄的网虫在评论区回忆一下?
早期的翻墙软件——代理猎手(Proxy Hunter):
确切地说这个并不能被称为翻墙软件,这只是一个帮助你搜索可用 HTTP 代理的软件,利用搜索出来的 HTTP 代理来完成翻墙操作。
网页代理
相信这个大家也用过,一个网站,把网址输入进去就能透过代理访问被屏蔽的网站了。
现在情况:
在不知道哪次的 GFW 升级过程中,HTTP 代理和 SOCKS 代理已经完全可以被检测(毕竟没有加密)并阻断,于是这种翻墙手段只能留在我们的回忆中了。。。
至于网页代理,聪明的开发者想到了一个方法——在发送数据包之前将网页内容 BASE64 编码了一下,这样 GFW 就无法探测被封锁的关键字了,这个方法在 GFW 的又一次升级之后而成为了历史…
2. 修改 DNS 时代:
同样是在墙的早期阶段,GFW 还没有解析 DNS 数据包的能力,而且那时候 ISP 也比较流氓。比如在你访问一个不存在的域名的时候,(北京地区)联通会把你劫持到“北京宽带网 BBN”这个网站的一个广告页面,然后展示给你一些很黄很暴力的广告。那时候就有人提议修改 DNS,不再使用 ISP 提供的 DNS。
208.67.222.222 / 208.67.220.220
8.8.8.8 / 8.8.4.4
这两组神圣的 IP 还有人记得么?修改用境外的 DNS 之后也起到了一定的翻墙效果。
现在情况:
GFW 的某次升级之后可以解析并篡改 DNS 包了,于是此方法失效,淡出了人们的视线中…
3. 自由门&无界浏览时代:
之后不知道从什么时候开始,各位的邮箱里就经常收到一个名为《退X保平安》的邮件,里面附带了一个自由门软件。于是自由门这个翻墙软件开始流行了起来。(题外话:是不是你的第一次翻墙就是用的自由门?)
无界浏览和自由门一样,都是法轮功组织开发的
当然这个软件不仅仅只有中国用户在使用,在其他国家如:伊朗、叙利亚、阿联酋等有网络审查国家的用户也有在用。
现在情况:
仍然处于活跃开发过程中,但是身边用的人基本没有了,这个软件自带内墙(屏蔽法轮功组织不喜欢的网站、色情网站等)、不开源、连接不稳定而饱受诟病而渐渐的消失在了人们的记忆中…
4. HTTPS 代理年代:
HTTPS 代理,比 HTTP 代理多了个 S,代表的东西可就大不同了。那时候的 GFW 是无法识别 SSL 流量的,所以网页代理以及 HTTP 代理都在这个 S 的光环下复活了。
现在情况:
仍然可用,比如石斑鱼的翻墙软件就是利用 squid 产生一个 HTTPS 代理进行翻墙的,网页代理也藏在加密的 HTTPS 之后,这对 GFW 的维护工作产生了不利的影响,因为不像 HTTP 那样可以直接获取到内容。不过在某次的 GFW 升级之后,特征比较明显的 HTTPS 代理被 active probe 检测到而屏蔽,只剩下那些藏在子目录的网页代理以及增加了认证(不管是证书认证还是密码认证)的 HTTPS 代理可用…
5. 修改 hosts 文件年代:
在上面提到的修改 DNS 规避审查的方法已经无效了,又有别有用心的群众找到了一些网站可用的 IP,并修改到 hosts 文件进行翻墙。这种方法实际是钻了个 GFW 没有发现这些 IP 的空子。
现在情况:
事实上这个方法辉煌了 2 次,第一次是把网站的 IP 放到 hosts 里然后通过 HTTPS 访问,之后 GFW 以主动收集IP并屏蔽的方法废掉了此方法。第二次是 CDN 的普及,很多网站用了如 CloudFlare 的 CDN,一个 IP 被封了,可以 hosts 到另一个 CloudFlare 的 IP 然后以 HTTPS 继续访问。随后在 GFW 的某次升级后可以检测到证书 SNI 并阻断之后淡出了人们的视线…
6. PPTP 年代:
Windows 和 iOS 等系统自带支持的 VPN 协议——PPTP。可以说是最便捷的方式了,不用下载额外的软件,只需要一个 IP、用户名、密码就可以翻墙。不过这么便捷的翻墙软件朝廷肯定是看不下去的啦。。。
现在情况:
PPTP 已经彻底被干扰,无论你怎么设置都是连接不上的哦,PPTP 实在是死的不能再死了,而且加密强度也不高,而渐渐的被人们所遗忘…
7. SSH 翻墙年代:
不知道从什么时候开始,各路折腾 VPS 的折腾党就猛然发现:SSH 可不仅仅是安全管理服务器的工具,更可以用于翻墙。
于是 SSH 翻墙的方法在一瞬间火了起来。
ssh -qTfnN -D 7070 fq@blog.yandere.moe <– 这是我学会的第一句比较长的 linux 命令
现在情况:
在某次的 GFW 升级后,可以根据流量大小识别你是在管理服务器还是在翻墙。之后,那时候还各种百度谷歌搜索免费 SSH 账号和国外的提供免费空间+ SSH 的平台,翻墙圈子里互相帮助共享 SSH 账号的场景就一去不复返了…
8. 赛风年代:
赛风是多伦多大学公民实验室开发的一款开源翻墙软件,基本原理就是利用打了混淆补丁的 SSH 进行翻墙。发邮件给赛风的邮箱或者去官网下载就能获得该软件了。
(图为旧版赛风)
支持很多国家的服务器
现在情况:
仍然可用,速度一般,比较稳定,身边很多人在用这个免费且开源的翻墙软件。客官不妨下一份留作备用?
9. 西厢计划:
这个可以说是真正的翻墙软件而非代理软件,因为这款软件并没有使用任何代理服务器进行翻墙。相反,这个软件的开发人员发现了墙在编写的时候的一些漏洞,并利用这个漏洞翻墙。
现在情况:
由于西厢计划宗旨是说明这个漏洞,而不是一款可以大规模使用的翻墙软件,所以使用的人很少,而且需要懂一些 Linux 才可以使它工作。在某次的 GFW 核心模块升级之后失效。
10. GoAgent、XXNET 翻墙:
GoAgent 是一个可以运行在云平台上的代理软件,大多数用在 Google Appspot 上,也是很老牌的。那时候 Google 还没有被屏蔽,很多人申请一堆 appspot 然后 GoAgent 负载均衡翻墙,然后小圈子里共享高速的 IP 地址。然后有了另一个 fork 叫 XXNET,自带扫描 IP 的功能以及集成了好心人提供的节点,也是基于 GoAgent 的。
现在情况:
随着 Google 所有 IP 被 GFW 河蟹,这种方法也消失在了历史的长河中。
11. Lantern、FireFly、Meek 年代:
自从很多大型服务上了 CDN 业务(Amazon、Azure 等),一群充满研究精神的人发明了一个新的方法“依附的自由(Collateral Freedom)”,通过将目标地址放入 CDN 服务的 Host 头中,GFW 只能检测到访问了 CDN,而无法检测到真正的目标地址。而很多网站都在使用 CDN,无法将所有的 CDN 都墙了。
目前使用本方法的:Lantern、FireFly、Tor Browser – Meek
12. fqrouter 翻墙:
fqrouter,顾名思义 翻墙路由器。是一个在Android平台的翻墙软件,使用GoAgent进行翻墙。就连人民日报记者都在用这款软件。
现在情况:
其作者在 Twitter 上宣布停止开发 fqrouter 了。感谢 fqrouter 作者为翻墙事业作出的贡献:)
其作者在 Twitter 宣布了:“鉴于 RGB 事件的疯狂删帖,fqrouter 即将重启开发。”,期待作者的重出江湖。
13. OpenVPN 年代:
墙再怎么升级也挡不住向往自由的人们,于是开源软件 OpenVPN 又成为翻墙的主力军。OpenVPN 支持高强度的加密,不过就是特征太明显了,你看,又被屏蔽了。。。
现在情况:
差不多已经没办法用了,因为特征是在太明显了,GFW 很轻松就会探测到 OpenVPN 服务器然后加以封锁。不过通过修改配置文件或加混淆补丁等方法还是可以用的。
14. Cisco AnyConnect 年代:
虽然 AnyConnect 和 OpenVPN 一样,有着很明显的特征,但是 AnyConnect 被很多跨国大公司所使用,所以 GFW 也不敢那么草率的屏蔽掉 AnyConnect。也是一种“依附的自由”
现在情况:
截至目前仍然可用,不过配置起来太麻烦。少数技术流会用这个翻墙…
15. VPNGate 年代:
说到 VPNGate,不得不提到 SoftEther VPN,很早之前这个 SoftEther 提供一个日本的学术 VPN,当然在天朝就是用于翻墙了。可能是受到了 SoftEther 的启发,VPNGate 这个软件被日本筑波大学开发了出来,准确地说 VPNGate 是 SoftEther VPN 的一个插件,用了 SoftEther VPN 的 HTTPS 流量模仿。
现在情况:
在时断时续中仍然坚挺,可以作为备用使用。不过要记得更新为最新版本哦。
16. 后起之秀 —— Shadowsocks、V2Ray、ShadowsocksR、ShadowsocksRR…
Shadowsocks:相信大家都不陌生,作者 clowwindy 是全国首例因为开发翻墙软件被喝茶的。之后项目交由另外的人维护。(向 clowwindy 致敬)
V2Ray:在 Shadowsocks 作者被喝茶之后由一名在国外的华裔程序员开发,目的是翻越防火长城,是一个定制性很高的翻墙软件,算是一个“翻墙框架”。基于这个框架你可以开发出属于自己的翻墙协议。目前支持 VMess 协议以及 Shadowsocks 协议、支持流量混淆、支持 KCP。就是配置起来麻烦点,但是配置好之后很好用。
ShadowsocksR(R):是一个 Shadowsocks 的 fork,作者说 ShadowsocksR 的目的是在于加强混淆以应对 QoS。ShadowsocksRR 是在 ShadowsocksR 作者停止更新之后的另一个fork,目前观望中… 
17. 新起之秀 —— WireGuard
 
WireGuard 可以创建快速、现代、安全的 VPN 隧道。
通过 WireGuard 组建起来的 VPN ,借助其中一台可以科学上网的电脑,能使 VPN 内所有其它电脑都具有科学上网的能力。
18. 结尾:
如果有发现有缺少的在记忆中的翻墙软件可以留言补充哦。
翻墙的时候不要忘记那些曾经为了自由的网络而默默付出的人们
即使再高的墙也阻止不了追求自由的人们,希望我们能看到真正的互联网。
Across the Great Wall we can reach every corner in the world.

1 条评论:

匿名 说...

向被埋没于历史长河的英雄们致敬