科学上网

winandmac | IOS Safari竟主动传送IP等私隐资料去大陆腾讯?!

一场反送中运动,令不少香港人终于开始识得用VPN,关心网上私隐。苹果iOS原被认为最安全的操作系统,但随着不停向中共跪低,令人担心其安全性,就算是在香港也受有关跪低事件影响。网站reclaimthenet.org报道指出,其实由iOS 12.2测试版开始,苹果就不断向大陆腾讯传送浏览记录,用家就算安装其他浏览器或VPN,都未必能作出保护。

报道指,原来在iOS系统设定中Safari有一项,预设会自动启动网站安全检查Fraudulent Website Warning,在当中有一项条款,写明会向大陆腾讯传送IP等私隐资料,以便成功作出检查。据称,要成功检查用户浏览的网站是否安全,大陆腾讯必然要知道用家正在浏览那一个网站。

阅读更多

v2ray:简单介绍一下网络连接的封锁与反封锁

最近一段时间,针对网络连接的战争愈演愈烈,双方都在尝试不同的策略。以至于对于新人来说,很难理解哪些已经发生过,哪些还在尝试中。于是我打算写篇文章来简单介绍一下整个故事的来龙去脉。 史前时代 最早的封锁大约是 DNS 投毒和 IP 黑名单。具体细节这里不表,简单来说就是 1) 对于特定域名比如 google.com,你的浏览器解析不到正确的 IP 地址; 2) 即使碰巧解析到了正确的 IP 地址,由于 Google 在亚洲地区的 IP...

阅读更多

GFW Blog | 适合自己的才是最好的

最近有很多关于 Shadowsocks 安全性以及各种解决方案的讨论,比如 这个 和 这个,还有这个。实际上讨论的范围不仅限于 Shadowsocks,但不可否认它是目前最流行的翻墙工具,所以也是最大的目标。当然了,这类的讨论不会有什么明确的结论,谁都说服不了谁。重要的是大家表达了自己的观点和需求,让旁人也能更好的了解翻墙中可能碰到的各种问题。于是我也来凑个热闹,说说 V2Ray 的设计理念。来源: https://www.v2ray.com/blog/2017/design.html首先,V2Ray 是什么?V2Ray 是一个网络代理工具。什么是代理?代理是当 A 和 B 想说话但不能直接对话时,要找 C 来传话,这时 C 就是代理。那么在这个过程中,C 有哪些职责?很简单,把话传到,把话传对,并且不泄露给除 A、B 之外的人。看似这个描述很简单,把它应用到代理软件中,可以表述为下面的内容:开放网络连接,使得 A 和 B 可以间接地进行正常通信;通信内容不能被第三方知晓;网络连接要稳定,不能间歇或永久地失效;之所以没有写成一二三条,是因为上述三条的优先级,在不同的人看来是不一样的。大多数人的选择应该会是“正常通信”。毕竟翻墙工具诞生的意义就是让用户访问被墙的网站,比如 Google 被墙了,我架设一个 Shadowsocks 服务器就又可以访问 Google 。至于我在 Google 上搜索了什么,都是一些人畜无害的内容,我想别人也没兴趣知道。只要这个工具能让我爽快地访问 Google,它就是一个好工具。这种情况我们称为“速度优先”。另外一些人可能就比较注重私密性,不管我在搜索一些什么内容,可能也就是一些网红八卦,但我就是不想让别人知道,被别人知道了我就不爽。这种情况我们称为“隐私优先”。还有一些人对服务器的稳定性有需求,平时我不怎么翻墙,而一旦需要的时候,就一定要可以及时翻出去。几百万的大单,谈不成这个月就要喝西北风了。这些人对翻墙服务(或服务器)的稳定性要求很高,服务不能断线。而断线的情况有很多种,比如翻墙协议被识别了,或者服务器被探测了,都可以造成翻墙服务失效。这种情况我们称为“稳定优先”。上述的三种情况在翻墙工具中都有相应的功能,比如“速度优先”可能的问题是 ISP 的 QoS 限制,应对方式是流量混淆。又比如“隐私优先”可能需要工具提供完美的加密方式。而“稳定优先”需要翻墙服务器不被探测,翻墙协议需要减少特征。正是由于这些纷繁复杂的功能,引起了大量的讨论。观众不明就里,而开发人员则忙于推销自己的产品。有些问题呢,就越讨论越看不懂了。从 V2Ray 的角度来看,这是一个不可调和的矛盾。每个人的需求不同,适合自己的才是最好的。不能因为开发人员觉得一项功能好,就强加给用户。用户用着没效果,也不会感谢开发者。举个例子,Shadowsocks 最近的一次协议升级,使用 AEAD 算法取代了 OTA,提供了更好的加密特性。这个升级在“速度优先”的用户看来是完全没有意义的。因为 AEAD 只是加强了数据完整性,对于 QoS 和可被探测性没有任何改进。也就是说,在客观环境不变的情况下,升级到 AEAD 不会在翻墙速度上有任何提升。于是很多人就会问,到底要不要升级 AEAD,升完对我有什么好处。由于惰性,在没有明显优势的情况下,AEAD 的推广有着很大的阻力。V2Ray 则尝试从另一个角度来解决这样的问题:提供很多功能,让用户根据自己的需求自由组合。虽然各种组合并不一定能满足所有人的需求,但总比只有一个选择来得好。对于上述的三个需求,V2Ray 分别提供了不同的特性:速度优先:VMess 协议、mKCP 协议、Mux.Cool 协议,内部路由分流隐私优先:TLS (完整实现,非伪装)稳定优先:HTTP 伪装、BT 伪装等,以及 Mux.Cool 协议。V2Ray 在设计时已考虑到多个功能相互组合的使用,比如你可以使用 VMess + TLS 来达到隐私和速度的双重保证,或者使用 VMess + Mux 来提升速度和稳定性。也考虑到不同的用户的需求不同,V2Ray 的所有功能都可以选择打开或关闭,不会把任何一个功能强加给用户。不同的配置可以达到不同的效果,而在 V2Ray 中,你只需要一个配置文件就可以应对这些不同的需求。当然 V2Ray 的功能远不止上述这些,如果你现在的翻墙工具已不能满足你的日常需求,何不试一下新的轮子呢?翻墙技术博客订阅地址及社交帐号

阅读更多

GFW Blog | 科学上网二三事

因为一些众所周知的原因,国外一些很棒的服务和网站在我国无法正常访问,例如 Google。但“无法正常访问”不代表“无法访问”。 来源:科学上网二三事 2 通过使用代理服务器可实现穿透防火长城(GFW)1,访问被屏蔽的网络和服务的目的,即我们所说的“科学上网”。常见的科学上网方式包括: VPN(虚拟专用网络) shadowsocks 及相关衍生项目(如 SSR 等) 其它方式(如修改 host、DNS 等方式) VPN...

阅读更多

GFW Blog | 我的科学上网技巧

科学上网技巧分享。来源:https://g2ex.github.io/2016/05/20/Tips-on-Chinternet/尽管也称互联网,但在国内,如若有以下一个或多个需求,你就不得不学习一下科学上网了:访问的网站或服务被(GFW)墙;网络提供商(ISP)劫持了网络流量;需要匿名(隐藏真实 IP)的情况,如渗透测试;躲避网络监控;其他情况。这里分享一下我的科学上网技巧,使用到的工具软件可能有 Shadowsocks、Lantern、Privoxy、Tor。根据不同的目的选择不同的工具。一、绕过 GFW 和 ISP 劫持最简单和不折腾的方法是购买 VPN,次之是购买一台海外 VPS,自己安装 VPN 或 Shadowsocks 服务端。VPN 的优点是可以全局翻墙,Shadowsocks 虽然可以设置全局模式,但是对于不支持代理的本地应用是没有办法的,当然这种情况下可以试试 ProxifierPE 强制所有连接通过代理上网。使用 Shadowsocks 可能遇到的另一个问题是,因为 Shadowsocks 使用的是 SOCKS5 类型的代理,当本地应用只支持 HTTP/HTTPS 类型代理时,就需要自己解决 HTTP 转换为 SOCKS5 的问题。当然,这个问题使用 Privoxy 就能很好地解决。本节主要介绍如何组合使用 Shadowsocks 和 Privoxy,并假设你已经安装并配置好了 Shadowsocks(Linux 中可以安装 shadowsocks-qt5 或 命令行版本的 Shadowsocks)。Shadowsocks 与 Privoxy 组合使用的示意图如下所示:Shadowsocks Privoxy 组合使用示意图假设你已经配置好了 Shadowsocks,接下来配置 Privoxy。Windows 系统中右键点击 Privoxy 托盘图标,依次点击 Edit – Main Configuration 打开配置文件;Linux 系统中 Privoxy 的配置文件位于/etc/privoxy/config。配置文件修改为:123456# 把 HTTP 流量转发到本机 127.0.0.1:1080 的 Shadowsocksforward-socks5 / 127.0.0.1:1080 .# 可选,默认只监听本地连接 127.0.0.1:8118# 可以允许局域网中的连接listen-address 0.0.0.0:8118启动 Shadowsocks 和 Privoxy 后,把本地应用的代理设置为 HTTP/HTTPS 类型的 127.0.0.1:8118,就可以绕过 GFW 和 ISP 了。如果局域网中的其他 PC 或手机也希望使用该电脑上网(假设该电脑 IP 地址为 192.168.1.10),把它们的代理设置为 19.168.1.10:8118 即可。Tips目前,有一个讨巧的的办法替代这两者的组合:使用 Lantern —— 一款开源的安全上网工具。它使用的是 HTTP 类型代理,本地端口为 8787,也就是说,把本地应用的代理设置为 127.0.0.1:8787 就可以使用 HTTP 类型的代理了。而且使用它,也无需自己购买 VPS。Lantern 默认非全局代理,可以在设置中改为全局模式。另一方面,Lantern 只监听本机 127.0.0.1:8787 的连接,如果局域网中的电脑或手机也想通过这台电脑翻墙(假设该电脑 IP 地址为 192.168.1.10),那么也需要配合 Privoxy 使用。这时,Privoxy 的配置应该如下:123# 监听局域网中连接到本地 8118 端口的连接,转发给 8787 端口的 Lanternforward / 127.0.0.1:8787listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接二、匿名上网网络中保持匿名的办法是使用 Tor,匿名的意思是隐藏你当前的 IP 地址。Internet 上有很多志愿者运行着 Tor 中继节点,Tor 能保证从出发点的流量至少经过三个不同的中继节点到达目的地址,而且这三个不同的中继不会每次都相同。形象地说,你想把一封匿名信交给小明,在大街上随便找了一陌生人 A 让 A 帮忙转交,A 走了一段路程后随便找了一个陌生人 B 让 B 帮忙转交,B 走了一段路程后随便找了一个陌生人 C 让 C 帮忙转交,最终 C 按照信封上的地址找到了小明并把信交给了他。小明只知道是 C 转交了这封信,至于是谁写的这封信,他就无从得知了。A、B、C 分别对应着 Tor 网络的中继节点,这种投递匿名信的方式就起到了隐藏 IP 地址的效果。如下图所示,使用 Tor 从本机经过三跳访问了 Google。Tor BrowserTor 浏览器为了方便使用 Tor,Tor 开发者把 Tor 集成到了定制版的 Firefox 中,简单设置一下就能正常使用。Tor 浏览器专为大陆等网络环境加入了流量混淆的选项。首次打开浏览器时会弹出 Tor 状态检查,点击设置配置 Tor 网桥,勾选互联网提供商(ISP)是否对 Tor 网络连接进行了封锁或审查中的是,把下一步中的网桥类型选择meek-amazon或meek-azure。这两者在大陆没被完全封锁,因此可以用来做跳板网桥。不过随着网络环境的恶化,Tor 提供的网桥类型都不可用时,就需要使用自己的 Shadowsocks 或 Lantern 代理了。首次打开 Tor 浏览器,在 Tor 设置中勾选互联网提供商(ISP)是否对 Tor 网络连接进行了封锁或审查中的否,在下一步是否需要本地代理访问互联网?中选择是,下一步中设置你的代理:使用 Shadowsocks 则设置为 SOCKS5 类型的 127.0.0.1:1080;使用 Lantern 则设置为 HTTP/HTTPS 类型的 127.0.0.1:8787;如果通过局域网中其他计算机的配置联网,把 127.0.0.1 改为那台计算机的 IP 地址。使用了代理的 Tor 浏览器原理示意图如下(以 Tor + Shadowsocks 组合为例):Tor 浏览器 + Shadowsocks 组合使用示意图Tor Expert BundleTor 浏览器适用于使用浏览器匿名上网的场景,如果打算让本地应用(如其他浏览器、Linux 中的 Terminal 等)也使用 Tor 隐藏 IP 地址,那么就需要自己手动配置 Tor 了。从 Tor 官网下载 操作系统对应的 Expert Bundle,它只包含 Tor 工具,不含浏览器。假设你已经配置好了 Shadowsocks,接下来,为 Tor 配置 Shadowsocks 代理。Windows 系统中,打开 %AppData%/tor 目录(如果不存在则创建该目录),新建 torrc 文件,内容如下:12345678## 通过 SOCKS5 代理SOCKS5Proxy 127.0.0.1:1080## 如果使用 HTTP/HTTPS 代理# HTTPSProxy 127.0.0.1:8118## 如果只允许特定端口的网络连接,如 80 和 443ReachableAddresses *:80,*:443ReachableAddresses reject *:*Linux 系统中,Tor 的配置文件位于 /etc/tor/torrc,配置内容同上。启动 Shadowsocks 和 Tor,因为 Tor 监听的是 SOCKS5 类型的本地 9050 端口,把需要匿名的本地应用代理设置为 SOCKS5 类型,代理地址设置为 127.0.0.1:9050,实现匿名上网。还是老问题,如果本地应用只支持 HTTP/HTTPS 代理类型,那么仍需要使用 Privoxy,修改其配置文件为:12forward-socks5 / 127.0.0.1:9050 .listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接这样一来,本地应用的代理设置为 HTTP/HTTPS 类型的 127.0.0.1:8118 就可以实现匿名上网了。Privoxy + Tor + Shadowsocks 组合使用示意图如下所示:Privoxy + Tor + Shadowsocks 组合使用示意图One More Tip使用 Tor 匿名访问网络除了应用于渗透测试,另一个应用场景是编写爬虫变换 IP 地址爬取站点,减小被网站屏蔽的可能性。在 Linux Terminal 中,使用 export 命令设置代理,可以只在当前 Terminal 中生效,12export http_proxy=http://127.0.0.1:8118export https_proxy=https://127.0.0.1:8118三、总结接下来简要归纳上述内容,给出每种组合的配置内容。Privoxy + Shadowsocks 组合 —— 翻墙配置 Privoxy,Linux 系统中位于 /etc/privoxy/config:12forward-socks5 / 127.0.0.1:1080 .listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。如果不使用 Privoxy,本地代理需设置为 SOCKS5 类型的 127.0.0.1:1080。Privoxy + Tor + Shadowsocks 组合 —— 匿名上网配置 Privoxy,Linux 系统中位于 /etc/privoxy/config:12forward-socks5 / 127.0.0.1:9050 .listen-address 0.0.0.0:8118 # 可改为 0.0.0.0:8118 允许局域网的连接配置 Tor,Windows 系统中位于 %AppData%/tor/torrc,Linux 系统中位于 /etc/tor/torrc:123SOCKS5Proxy 127.0.0.1:1080 # Shadowsocks 代理地址ReachableAddresses *:80,*:443ReachableAddresses reject *:*本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。如果不使用 Privoxy,本地代理需设置为 SOCKS5 类型的 127.0.0.1:9050。Privoxy + Tor + Lantern 组合 —— 匿名上网配置 Privoxy,Linux 系统中位于 /etc/privoxy/config:12forward-socks5 / 127.0.0.1:9050 .listen-address 0.0.0.0:8118 # 可改为 0.0.0.0:8118 允许局域网的连接配置 Tor,Windows 系统中位于 %AppData%/tor/torrc,Linux 系统中位于 /etc/tor/torrc:123HTTPSProxy 127.0.0.1:8787 # Lantern 代理地址ReachableAddresses *:80,*:443ReachableAddresses reject *:*本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。如果不使用 Privoxy,本地代理需设置为 SOCKS5 类型的 127.0.0.1:9050。翻墙技术博客订阅地址及社交帐号

阅读更多

CDT/CDS今日重点

彭帅事件相关敏感词

【老大哥馆】数据跨境安全网关

【404档案馆】从“习大大”到“习近平思想”:个人崇拜如何进化

CDT 电子报

CDT推荐

youtube频道: guanguan

微信公众号:它基金

更多推荐媒体……

支持中国数字时代

CDT 电子书