科学上网

新的规定还给地方政府分派了任务，要求其定期监察国内网络出版商，监督他们的年度检查。 来源：http://www.nanzao.com/sc/national/152e860125b975b/san-yue-xin-gui-wai-zi-he-zi-jin-yu-nei-di-wang-luo-zhi-jie-fa-chuang-yi-zuo-pin 内地下个月将实施的一项新规定，以对外国公司及内地合资公司在网上发布的内容加强管控。...

来源：https://sodatea.github.io/2015/12/23/all-i-know-about-the-wall/GFW 的封锁方法国内 DNS 服务器的缓存污染发往国外的 DNS 解析请求的拦截或篡改IP 黑名单端口封锁，针对 OpenVPN，SSH，shadowsocks 等，有用到 DPI，多次换端口后封 IP关键字封锁，利用深度包检测（DPI），是主要方法。可用全站 https 应对，不过 GFW 因为无法识别 https，所以会针对所有 https 连接进行随机的中断关于 GFW 的更多技术细节可以参见本文的参考链接GFW 的设备大量硬件设备来自 Cisco入侵检测设备，在北京、上海、广州搭在总交换中心上做旁路监听动态路由设备，放在 ISP 处翻墙方式hosts，只能翻部分被 DNS 投毒的网站，而且随着 Google IP 被封禁得越来越多，已经很难翻了第三方 DNS，作用同 hosts，有风险，可能被再劫持HTTP 代理，主要风险是明文传输（试过在海外 VPS 直接搭 HTTP 代理，用来上百度没问题，一打开 Google 马上被封）HTTPS 代理，比起 HTTP 代理，有了一层 SSL 加密，安全许多，但 SSL 其实并不适合用于翻墙，它并不是专用于混淆的协议，shadowsocks 作者 clowwindy 有一篇文章详细阐述了这个观点Tor，P2P 方式，安全性高。但 GFW 会钓鱼，伪造成 Tor 客户端进入 Tor 网络（obfsproxy 可以应对）。本身网络传输速度不快，不好用Latern 基本同上，就个人使用体验来说，速度太慢GoAgent，基于 GAE，不过 Google IP 被封得差不多了，所以基本不可用GoProxy，GoAgent 的继任者，用于自己部署在 VPS 上SSH，虽然传输安全，但握手阶段特征太明显，会被监控流量和连接数，所以基本只能用一小会儿，一般需要数小时重连一次。2012 年 GFW 加入 DPI 功能之后被封锁得更为严重了，一旦有 HTTP 流量传输就会被墙VPN，工作在数据链路层，流量特征非常明显，出于商业上的考虑（大量在华跨国公司需要用到）所以才还能存活。但是自建的话，L2TP/PP2P/OpenVPN 基本没办法存活多久，只有 Cisco AnyConnect （服务端用开源的 ocserv）还可以用，但是速度有 2M/s 的上限Shadowsocks，这个名气够大了，不详述ShadowVPN, GoHop, SoftEther VPN，都是具有较为强大加密/混淆功能的 VPN 实现，其中 ShadowVPN 因为作者 clowwindy 被请喝茶而删除项目代码，GoHop 功能强大但暂时只支持 Linux，SoftEther VPN 使用不是很方便（而且已经能被 GFW 探测到，见参考链接 13），所以目前都不是很流行V2Ray，新工具，暂不了解IPv6，据说 GFW 暂时还未能有效封禁 IPv6 地址，所以在教育网里还能通过 IPv6 访问 Google/Facebook 等。不过这个应该只是暂时的自己搭建无缝无痛的翻墙服务翻墙路由器，刷 OpenWrt用于自己在家上网。VPN / shadowsocks + chnroutes / cow / meow 自动分流国内外 IPDnsmasq + pdnsd / ChinaDNS如果用了 Airport Extreme 之类的无法刷系统的路由器的话，可以接两层路由器，第一层用刷过 OpenWrt 的路由先翻一遍墙翻墙（HTTP）代理在命令行终端里只能通过配置 http_proxy/https_proxy 变量来翻墙，所以需要一个翻墙代理。而且下述 PAC 文件、运营商描述文件都需要有一个代理作为基础。HTTP 代理只能用国内服务器中转，直接部署在国外肯定被墙建议在海外服务器部署 shadowsocks 服务端，国内服务器部署 shadowsocks 客户端shdaowsocks 代理转 http 代理可用 privoxy / polipo / cow / meowprivoxy / polipo 生成的代理是纯 HTTP 代理，cow / meow 则会自动学习已翻墙/未翻墙网站并更新列表、生成 PAC 等。但是 cow 因为默认认为网站未被墙，所以很多网站会尝试多次连接才能使用代理，速度有一定影响；而 meow 是白名单模式，可能会影响部分国内网站的加载速度提供远程 PAC 文件Windows / Mac / Linux，以及 iOS / Android 5+ 在 WiFi 网络下都可以配置 PAC 代理，Android 4.x 可以用 SmartProxy 这款 App如果没什么特殊需求，最简单的是利用 gfwlist 生成，然后开个静态文件的 http 服务以便客户端访问不过更优的方法是使用 cow 生成的 PAC制作运营商描述文件用于在 2G/3G/4G 下翻墙。不过不是太建议这个方法，根据个人经验，不论设置文件怎么写，总有些时候会出现莫名其妙的问题，到时候就只能删掉描述文件，在需要翻墙时再加回来，很是麻烦而且对于使用了 HttpDNS 服务的各大 App 都无法兼容，包括但不仅限于微信朋友圈小视频、阿里旅行、滴滴出行地图、虾米、淘宝电影选座、网易云音乐等AnyConnect未越狱 iOS 设备，除已下架的 Surge 以外，使用 AnyConnect 是最方便的服务端使用 ocservAnyConnect 用路由表做分流，所以不太精确，而且翻墙后速度最多也只有 2Mbpsocserv 默认限制路由表最长为 64 条，但其实客户端最长可接受 200 条，所以可以通过修改源代码后编译的方式调整这个上限，参看这个帖子这里有个 CentOS & RHEL7 的安装脚本（已调整过路由表上限），即使不用这个脚本而自行安装，也可以参考其中给出的路由表SurgeiOS 翻墙首选，支持 shadowsocks 代理，支持类 PAC 的配置，支持路由表，支持根据 IP 地址分流。虽然配置麻烦，但是配置好之后可以说是一劳永逸。但是既然已经下架就不多介绍了。国际网络线路优化如果有国内服务器，可以直接用前述 shadowsocks 转 http 代理的方法，也可以直接设置 haproxy 转发 shadowsocks 代理如果不想买国内服务器的话，可以使用 微林的 vxTrans 服务 将代理进行端口转发，流量转发至电信 CN2 精品网，解决直连海外 VPS 太慢的问题。但是这里有个坑：由于CN2线路是特殊线路，大部分国外ISP运营商由于没有与CN2直接互联，因此为了避免额外的网间结算费用会限制流量而断开链接（特别是国外VPS服务提供商，这种情况很普遍）。所以建议使用 AliCloud BGP 线路转发TCP 加速（防丢包）（不建议使用）net-speeder，开源，简单粗暴地通过两倍发包来防止丢包，对丢包严重的网络有一定改善作用，不过有一些缺点：双倍发包会造成流量翻倍net-speeder 会造成 pptpd 等不支持双倍发包的网络软件无法正常使用对小文件加速效果不明显这种 TCP 优化机制一直存在争议，因为它实际实际上加剧了网络的拥堵，浪费掉了大量没必要的带宽锐速，比较老牌的 TCP 加速服务，闭源，比 net-speeder 智能，但不支持所有 VPS，闭源还要求 root 权限也让人有点不放心。而且，仍然会增加流量消耗，仍然被认为是不道德的，参见 shadowsocks 作者 clowwindy 在 V2EX 上的评论收费翻墙服务（不建议使用免费服务）HTTP 代理以及 AnyConnect轻云使用两年，换过两次域名，另外还挂过两次，不过恢复时间较快。如果发现网站上不去了可以发任意内容邮件到 theqingyun@gmail.com 获取最新地址土行孙使用半年，挂过两次。文档极为完善，对于不怎么翻墙、不熟悉翻墙工具的小白用户十分友好熊猫翻滚价格略贵，有微博客服，一般没什么问题，但小坑不断，典型的互联网服务。最近因不可抗力挂过一周VPN云梯 VPNAstrill，目前似乎速度已经不怎么样了，不推荐VyprVPNEurekaVPT没用过，口碑不错，价格略贵，需要邀请参考链接阅后即焚：“GFW”GFW 技术研究和云梯产品故事深入理解 GFW：总论深入理解 GFW：路由扩散技术GFW 钓鱼计划深入理解 GFW：内部结构深入理解 GFW：结论GFW 研究与诊断工具GFW 的工作原理及突破技术GFW 的原理和绕过GFW 的详细分析及翻墙路由器（fqrouter）的原理和实现How governments have tried to block TorLearning more about the GFW’s active probing system道高一尺，牆高一丈：互聯網封鎖是如何升級的Empirical Analysis of Internet Filtering in ChinaGolden Shield Project – Wikipedia, the free encyclopedia“墙”的文献综述翻墙技术博客订阅地址及社交帐号

来源：《Network knowledge 学习》部分：http://11ten.gitcafe.io/book-n/https://mba811.gitbooks.io/web-study/content/作者：洛桑扎巴Blog：http://www.11ten.net/Twitter：https://twitter.com/ztd811Github：https://github.com/mba811GitBook：https://www.gitbook.com/@mba811*洛桑扎巴是佛教常见词汇，他是噶丹派教主为佛教做事业的情况我等的无上异师、三界法王夏·洛桑札巴，在了义中与怙主文殊菩萨无别。开篇GFW具有重大的社会意义。无论是正面的社会意义，还是负面的意义。无论你是讨厌，还是憎恨。它都在那里。在可以预见的将来，墙还会继续存在。我们要学会如何与其共存。我是一个死搞技术的，就是打算搞技术到死的那种人。当我读到“西厢计划”的博客上的这么一段话时，我被深深的触动了。不是为了什么政治目的，不是为了什么远大理想，仅仅做为一个死搞技术的人显摆自己的价值，我也必须做些什么。博客上的原话是这么写的：作为个搞技术的人，我们要干点疯狂的事。如果我们不动手，我们就要被比我们差的远的坏技术人员欺负。这太丢人了。眼前就是，GFW这个东西，之前是我们不抱团，让它猖狂了。现在咱们得凑一起，想出来一个办法让它郁闷一下，不能老被欺负吧。要不，等到未来，后代会嘲笑我们这些没用的家伙，就象我们说别人“你怎么不反抗？”我把翻墙看成一场我们与GFW之间的博弈，是一个不断对抗升级的动态过程。目前整体的博弈态势来讲是GFW占了绝对的上风。我们花费了大量的金钱（买VPS买VPN），花费大量时间（学习各种翻墙技术），而GFW只需要简单发几个包，配几个路由规则就可以让你的心血都白费。GFW并不需要检查所有的上下行流量中是不是有不和谐的内容，很多时候只需要检查连接的前几个包就可以判断出是否要阻断这个连接。为了规避这种检查，我们就需要把所有的流量都通过第三方代理，还要忍受不稳定，速度慢等各种各样的问题。花费的是大量的研究的时间，切换线路的时间，找出是什么导致不能用的时间，当然还有服务器的租用费用和带宽费用。我的感觉是，这就像太极里的四两拨千斤。GFW只需要付出很小的成本，就迫使了我们去付出很大的反封锁成本，而且这种成本好像是越来越高了。这场博弈的不公平之处在于，GFW拥有国家的资源和专业的团队。而我们做为个体，愿意花费在翻墙上的时间与金钱是非常有限的。在竞争激烈的北上广深，每天辛苦忙碌的白领们。翻墙无非是为了方便自己的工作而已。不可能在每天上下班从拥挤的地铁中挤出来之后再去花费已经少得可怜的业余时间去学习自己不是翻墙根本不需要知道的名词到底是什么意思。于是乎，我们得过且过。不用Google也不会死，对不对。SSH加浏览器设置，搞一搞也就差不多能用就行啦。但是得过且过也越来越不好过了。从最开始的HTTP代理，到后来的SOCKS代理，到最近的OpenVPN，一个个阵亡。普通人可以使用的方式越来越少。博弈的天平远远不是平衡的，而是一边倒。GFW用技术的手段达到了四两拨千斤的作用。难道技术上就没有办法用四两拨千斤的方法重新扭转这一边倒的局面吗？办法肯定是有的。我能想到的趋势是两个。第一个趋势是用更复杂的技术，但是提供更简单的使用方式。简单的HTTP代理，SOCKS明文代理早已阵亡。接下来的斗争需要更复杂的工具。无论是ShadowSocks还是GoAgent都在向这个方向发展。技术越复杂，意味着普通人要学习要配置的成本就越高。每个人按照文档，在自己的PC上配置ABC的方式已经不能满足下一阶段的斗争需要了。我们需要提升手里的武器，站在一个更高的平台上。传统的配置方式的共同特点是终端配置。你需要在你的PC浏览器上，各种应用软件里，手机上，平板电脑上做各种各样的配置。这样的终端配置的方式在过去是很方便的。别人提供一个代理，你在浏览器里一设置就好用了。但是在连OpenVPN都被封了的今天，这种终端配置的方式就大大限制了我们的选择。缺点是多方面的：翻墙的方式受到终端支持的限制。特别是手机和平板电脑，不ROOT不越狱的话，选择就非常有限了。终端种类繁多，挂一漏万。提供翻墙的工具的人不可能有精力来测试支持所有种类的终端。如果家里有多个笔记本，还有手机等便携设备使用起来就很不方便。躺在床上要刷Twitter的时候，才发现手机的里的OpenVPN帐号已经被封了，新的那个只配置在了电脑里。最主流的终端是Windows的PC机。但是在Windows上控制底层网络的运作非常不方便。给翻墙工具的作者设置了一个更高的门槛。终端一般处于家庭路由器的后面。大多数直穿的穿墙方式都很难在这种网络环境下工作正常。把翻墙工具做到路由器上就可以达到实现更复杂的翻墙技术，同时提供极其简单的使用体验。但是路由器的缺陷也是非常明显的。传统的路由器刷OpenWRT等可以定制的第三方系统有如下缺点：便携不方便，路由器大部分没有电池，也不方便放在包里相比在电脑上装一个软件试试好不好使，额外购买专门用来翻墙的路由器未免试用成本也太高了。如果没有人愿意尝试，更加不会有人来使用。路由器安装软件不方便。笔者花了大量时间研究OpenWRT的USB刷机方式。虽然技术上有所突破，但是仍然感觉不适合普通人操作。硬件受限。路由器的CPU都很慢。内存非常小。如果不是用C来编写应用，速度会非常慢。极大地抬高了开发成本。流行的翻墙工具GoAgent和shadowsocks的最初版本都是Python的。有没有既可以获得路由器的好处，又克服了其缺点的解决方案呢？答案是肯定的。手机做为路由器就可以。目前fqrouter已经推出了Android版本，把手机变成了翻墙路由器。一方面，完成了平台的跃升，从终端翻墙变为了路由器翻墙。另外一方面，因为手机的便携，无需额外设备，安装软件简单，而且硬件强大完胜了常规意义上的路由器。使用手机做为路由器之后：翻墙方式不再受到终端的限制。只要能接入路由器，就可以翻墙。提供翻墙工具的人不需要测试所有的终端是不是支持。多种终端可以同时共享一个路由器。无需重复配置。路由器基于的Linux操作系统给翻墙工具的作者提供了极大的便利，新的工具可以更容易地被实现出来。提供了一定的直穿的可能性。iPhone, Windows Phone等设备不需要越狱，也可以通过翻墙路由器享受到shadowsocks等更高级的翻墙工具。运行在Android上的翻墙工具fqrouter已经在Google Play上架了：https://play.google.com/store/apps/details?id=fq.router2这是趋势一，平台的提升。第二个趋势是去中心化。我相信未来的趋势肯定不是什么境外敌对势力出于不可告人的目的给我们提供翻墙方式。未来的趋势是各自为战的，公开贩卖的各种翻墙服务会被封杀殆尽。我们要确保的底线是，做为个人，在拥有一台国外服务器，然后有一定技术能力的情况下，能够稳定无忧的翻墙。在我们能够保证独善其身的前提下，才有可能怎么去达则兼善天下。才有可能以各自为圆心，把服务以P2P的方式扩散给亲朋好友使用。即便是能够有这样的互助网络建立起来，也肯定是一种去中心化的，开源的实现。只有遍地开花，才能避免被连根拔起。前面谈到路由器刷第三方固件对于个人来说不是理想的翻墙路由器的实现方式。但是固定部署的路由器却是理想的P2P节点。P2P的一个简化版本是APN，也就是把代理放在国内，然后iPhone等可以简单地使用HTTP未加密方式使用代理。这种部署方式就比较适合刷在固定部署的路由器上。个人可以在自己家里的路由器上部署了代理，然后无论走到哪里都可以通过家里的路由器代理上网。使用路由器固定部署P2P节点的好处是P2P网络可以有更多的稳定接入点。这些刷了OpenWRT等第三方系统安装了P2P节点程序的路由器不会是普通人玩得转的。其意义更多是有技术实力的志愿者，提供自己的家庭路由器，以换得其他方面的方便。实现一个P2P的网络的难点有三个：代理服务器的容量有限。传统的代理服务器是无法负载很多人同时用1080P看youtube的，因为带宽不够。不要说免费的P2P网络，就是很多付费的代理服务，也无法满足容量要求。中心服务器被封IP。TOR做为著名的P2P网络，其主要问题就是要接入其网络需要连接一个中心服务器。这些服务器的IP数量是有限的。GFW会尽一切力量找到这些IP，然后封IP。P2P意味着索取与奉献。人人都想这索取，为什么会有人奉献？如果没有一个等价交换做为社区的基础，这个社区是无法长久的。目前仍然没有理想的P2P翻墙方式出现。但是这是fqrouter的努力方向。中心化的翻墙方式，特别是商业贩卖的翻墙服务注定难逃被捕杀殆尽的命运。具有光明未来的翻墙方式必然是去中心化的，松散的，自组织的P2P的。全面学习GFWGFW会是一个长期的存在。要学会与之共存，必须先了解GFW是什么。做为局外人，学习GFW有六个角度。渐进的来看分别是：首先我们学习到的是WHAT和WHEN。比如说，你经常听到人的议论是“昨天”，“github”被封了。其中的昨天就是WHEN，github就是WHAT。这是学习GFW的最天然，最朴素的角度。在这个方面做得非常极致的是一个叫做greatfire的网站。这个网站长期监控成千上万个网站和关键词。通过长期监控，不但可以掌握WHAT被封锁了，还可以知道WHEN被封的，WHEN被解封的。接下来的角度是WHO。比如说，“方校长”这个人名就经常和GFW同时出现。但是如果仅仅是掌握一个两个人名，然后像某位同志那样天天在twitter上骂一遍那样，除了把这个人名骂成名人之外，没有什么特别的积极意义。我更看好这篇文章“通过分析论文挖掘防火长城(GFW)的技术人员”的思路。通过网络上的公开信息，掌握GFW的哪些方面与哪些人有关系，这些合作者之间又有什么联系。除了大家猜测的将来可以鞭尸之外，对现在也是有积极的意义的。比如关注这些人的研究动态和思想发展，可以猜测GFW的下一步发展方向。比如阅读过去发表的论文，可以了解GFW的技术演进历史，可以从历史中找到一些技术或者管理体制上的缺陷。再接下来就是WHY了。github被封之后就常听人说，github这样的技术网站你封它干啥？是什么原因促成了一个网站的被封与解封的？我们做为局外人，真正的原因当然是无从得知的。但是我们可以猜测。基于猜测，可以把不同网站被封，与网络上的舆情时间做关联和分类。我们知道，方校长对于网路舆情监控是有很深入研究的。有一篇论文（Whiskey, Weed, and Wukan on the World Wide Web: On Measuring Censors’ Resources and Motivations）专门讨论监管者的动机的。观测触发被封的事件与实际被封之间的时间关系，也可以推测出一些有趣的现象。比如有人报告，OpenVPN触发的封端口和封IP这样的事情一般都发生在中国的白天。也就是说，GFW背后不光是机器，有一些组件是血肉构成的。剩下的两个角度就是对如何翻墙穿墙最有价值的两个角度了：HOW和WHERE。HOW是非常好理解的，就是在服务器和客户端两边抓包，看看一个正常的网络通信，GFW做为中间人，分别给两端在什么时候发了什么包或者过滤掉了什么包。而这些GFW做的动作，无论是过滤还是发伪包又是如何干扰客户端与服务器之间的正常通信的。WHERE是在知道了HOW之后的进一步发展，不但要了解客户端与服务器这两端的情况，更要了解GFW是挂在两端中间的哪一级路由器上做干扰的。在了解到GFW的关联路由器的IP的基础上，可以根据不同的干扰行为，不同的运营商归属做分组，进一步了解GFW的整体部署情况。整体上来说，对GFW的研究都是从WHAT和WHEN开始，让偏人文的就去研究WHO和WHY，像我们这样偏工程的就会去研究HOW和WHERE。以上就是全面了解GFW的主体脉络。接下来，我们就要以HOW和WHERE这两个角度去看一看GFW的原理。更多请阅读原文：https://mba811.gitbooks.io/web-study/content/fq/fq1.html翻墙技术博客订阅地址及社交帐号

通过电子邮件可以快速得到赛风翻墙软件，支持 Windows 及安卓系统。 发送邮件给以下邮件地址发送一封空邮件（邮件标题和内容都可以为空），就可以通过邮箱得到最新版的赛风翻墙软件。mail@deguozhisheng.com zhongwen@psiphon3.com 8899@saifeng3.com fanqiang@saifeng3.commingjing@psiphon3.com shehui@saifeng3.com接收到的邮件发出邮件不久，大约几秒钟，就可以收到回复的邮件，邮件内容是下载赛风的一些链接，但可以忽略这份邮件，因为再稍等一会就会有第二封邮件发送过来。在第二封邮件，除正文包括一些链接外，在附件中还包含两个文件，分别是:psiphon3.ex_ ，用于 Windows 系统，下载回来后，需要修改扩展名，改为：psiphon3.exe ，然后点击执行，等待完成安装。PsiphonAndroid.apk ，用于安卓系统，下载会回来后，需要在安卓系统安装使用。Windows 版的使用Windows 版下载回来，修改扩展名后，直接点击就可以启动，启动后自动连接远程服务器，连接成功以后，显示界面如下，这表示已经处于科学上网状态。更多下载方式也可以直接访问赛风官方下载网站获得安装程序。官方下载页面：https://psiphon.ca/zh/download.htmlPC版下载地址：https://psiphon.ca/psiphon3.exe安卓版下载地址：https://psiphon.ca/PsiphonAndroid.apk谷歌商店地址：https://play.google.com/store/apps/details?id=com.psiphon3翻墙技术博客订阅地址及社交帐号