三月翻墙事件大事记 & 翻墙工具与技术大事记
三月翻墙事件大事记:————————————–↗ (1.点击视频下面工具条中的齿轮,可以把以上文件下载为 PDF 或 PPTX 文件到本地;2.点击工具条右侧的 “Google 幻灯片”可以参与讨论) 三月翻墙工具与技术:————————————–↗ (1.点击视频下面工具条中的齿轮,可以把以上文件下载为 PDF 或 PPTX 文件到本地;2.点击工具条右侧的 “Google 幻灯片”可以参与讨论)翻墙技术博客订阅地址及社交帐号
阅读更多发布者草墙推 | 3 月 31, 2016
三月翻墙事件大事记:————————————–↗ (1.点击视频下面工具条中的齿轮,可以把以上文件下载为 PDF 或 PPTX 文件到本地;2.点击工具条右侧的 “Google 幻灯片”可以参与讨论) 三月翻墙工具与技术:————————————–↗ (1.点击视频下面工具条中的齿轮,可以把以上文件下载为 PDF 或 PPTX 文件到本地;2.点击工具条右侧的 “Google 幻灯片”可以参与讨论)翻墙技术博客订阅地址及社交帐号
阅读更多发布者草墙推 | 3 月 27, 2016
据了解,发生这种“乌龙”的原因是由于Google在亚太地区新增启用了一组服务器。导致未被国内防火墙及时封锁,所以Google后缀的vnjpukinarespksasg等新增亚太服务的IP段都可以使用,但随着防火墙逐步识别,还是会被封锁。来源:http://www.donews.com/net/201603/2921846.shtmDoNews 3月28日消息(记者 安宏)3月27日23时左右,不少网友陆续反映,退出中国大陆已久的谷歌的搜索页居然可以访问了。但访问开放持续不到一小时,就有网友相继反应又无法登录。据了解,发生这种“乌龙”的原因是由于Google在亚太地区新增启用了一组服务器。导致未被国内防火墙及时封锁,所以Google后缀的vnjpukinarespksasg等新增亚太服务的IP段都可以使用,但随着防火墙逐步识别,还是会被封锁。综上所述,不明真相的围观群众还是可以继续踏实“洗洗睡了”。自2012年Google正式退出国内市场后,“重返中国”的各种小道消息始终没有停止传播。对于此事,工信部部长苗圩近日曾做出明确回应,Google未与工信部沟通过回归中国事宜。事实上,Google想将服务再次带回中国,就意味着其必须接受并遵守中国的法律法规、审查并且将服务数据储存在中国。所以即使Google回归中国,也会采取在中国设立服务器的方式,用户需要注册中国区Google账户,并且中国的账户体系是独立于Google的。换句话就是“锁区” 提供服务。截至目前,尚未有关于Google服务何时正式在国内上线的消息,而对于期待Google服务返回中国市场的用户,可能还需要等待些时日。翻墙技术博客订阅地址及社交帐号
阅读更多发布者草墙推 | 3 月 10, 2016
来源:https://gochrome.info/shadowsocks-details/ 写在开始也不知道这是谁写的,站长从本地QQ聊天记录找到这么个文件,打开一看600多行关于shadowsocks的叙述。特此发出来,供各位参阅。里面有不少资源。比如:shadowsocks软件的获取、节点的获取等希望各位可以告知下来源。我好在结尾标注下!废话不多说,开始copy!准备好,开始观看吧。差不多有18000+字没有可用的shadowsocks节点线路,shadowsocks在你手里也是浮云这个作为重点先说一下————————————————————————附录,在文本最后附1: shadowsocks如何实现类VPN代理附2:shadowsocks如何代理本地游戏客户端或其他软件客户端附3: chrome浏览器SwitchyOmega扩展如何添加shadowsocks的代理设置附4:全球付Globalcash虚拟信用卡和paypal申请教程附5:什么是cn2?=============================================================Shadowsocks的小白使用教程http://51.ruyo.net/p/412.htmlhttp://t.cn/Ry42Kbxchrome浏览器配合代理扩展的设置,下拉记事本滑块到底,看附3首先明确一点,不管 Shadowsocks 有几种版本,都分为服务端和客户端,服务端是部署在服务器(VPS)上的,客户端是在你的电脑上使用的。简单说一下windows系统,你有shadowsocks节点的情况下,Shadowsocks客户端的设置代理使用教程Repeat 10 times for this, DO NOT ASK void questions!一定要有有效SS节点才行 一定要有有效SS节点才行一定要有有效SS节点才行 一定要有有效SS节点才行一定要有有效SS节点才行 一定要有有效SS节点才行一定要有有效SS节点才行 一定要有有效SS节点才行一定要有有效SS节点才行 一定要有有效SS节点才行网或群共享下载Windows系统的Shadowsocks客户端软件为绿色免安装,下载 解压到任意目录,如:D:/Program Files/shadowsocksshadowsocks的账号(本地客户端配置参数)一般包括这么几个部分4-1 :服务器 IP (一般为域名或数字ip)4-2: Port :服务器端口 (不同的账号的端口也都是不同的)4-3 :Password:你的密码4-4 :加密模式:鼠标点击下拉小三角选取依次手动输入以下3项shadowsocks 服务器域名或IP服务器端口密码并选择ss服务商提供的节点对应的加密方式点击“确定”右下角的 代理端口 指的是本地监听端口,一般保持默认1080就可以,不用你填。现在的ss站都提供二维码形式的ss节点配置参数文件对于二维码形式的ss节点配置文件,也可以用客户端自带的二维码扫描功能快速添加右键>任务栏>ss客户端图标>服务器>扫描屏幕二维码客户端支持添加多线路节点,方便你切换,选择相对你网络环境质量较好,速度快的节点。shadowsocks节点速度快慢,影响shadowsocks节点速度的因素:你的机房(地理位置,影响节点路由),运营商(网络封锁程度、丢包率、延迟),时间段(高峰期),运营商QoS限速,你的本地物理宽带等等。总结起来就是一句话:无法预测。一般免费或付费shadowsocks站都会提供多个不同vps的节点供你选择切换。5. 桌面右下角 任务栏 右键ss图标 选择 启用系统代理。系统代理模式 根据自己需要选择pac或全局代理 ,一般建议pac6. 打开IE浏览器,访问https://www.youtube.com/其他浏览器的shadowsocks代理设置参考上面的教程链接或下面的说明网上找了几个客户端的使用教程 供参考http://www.awolau.com/shadowsocks/shadowsocks-win7-xp.htmlhttp://cnwall.tk/useage-muti-plat-shadowsocks/https://cnlic.com/?paged=2如果使用Shadowsocks,请清除或还原以前修改过的hosts文件,也请务必关闭其他占用1080等端口的代理、翻墙软件=============================================================付费的shadowsocks节点提供商鱼龙混杂,没个统一的流量和收费标准,确需购买,建议多比较几家的节点和流量,能提供试用当然最好,有月付,季付尽量不要选择年付。现在基本所有的shadowsocks站都提供收费服务以下链接是一部分提供收费服务的shadowsocks商家,非广告,非推广,来源网络,仅供参考https://plus.google.com/u/0/112527110814073296465/postshttps://plus.google.com/u/0/+%E5%96%B5%E5%B8%95%E6%96%AF/posts目前7元/月,不限流量和接入设备数量所有节点均支持shadowsocks/IKEv2 VPN/Anyconnect VPN/IPSec Xauth VPN/DNS接入联系方式– hangouts(环聊)或gmailhttps://www.fyzhuji.com/shadow.htmlhttps://www.start-ss.biz/https://www.deepss.org/index.phphttp://my.ssjsq.net/http://playss.co/http://www.qiushiss.com/cart.phphttps://www.bluecloud.pw/http://www.hishadowsocks.com/https://my.ssh91.net/http://www.pgfastss.org/order.phphttp://my.ssh91.net/cart.phphttp://www.pgfastss.com/index.phphttp://blog.onlybird.com/收费ssh代理http://itti.xyz/https://www.ezlink.hk/orderhttps://vnet.link/ 微林(中转)——————————————————————————–*注意*:Shadowsocks.com不是shadowsocks官网,就是一个纯提供商业服务的网站,所售服务和其他shadowsocks商业站一样。=============================================================公开的shadowsocks线路极易遭到恶意流量消耗和DDoS攻击或恶意破解ssh现在明码公开的免费线路,网上论坛和v2ex 还有G+ twitter几乎已经没有了,你可以试着自己搜一下 http://t.cn/RLTGXfn或http://t.cn/RLTGoxm获取shadowsocks节点的几种方式1.抢码获取免费流量免费或免费+收费的shadowsocks站,现在注册码都由站长或管理员严格控制发放了。肉少狼多,现在抢码有难度2.自己买vps搭建。安全,流量独享。缺点;节点单一,速度如何没保证,靠人品值。3.买现成的ss服务商提供的服务缺点:一般都有流量限制。没有有效节点,想免费体验一把的只能自己想其他办法了。http://www.hishadowsocks.com/ 4小时更新一次密码http://www.ishadowsocks.com/ 6小时更新一次密码http://www.surperoneblog.com/shadowsocks.php 6小时更新一次密码http://sscat.cc/free/ 3小时更新一次密码http://kf0.cc/ 4小时更新一次密码https://www.ezlink.hk/free.php 密码每天0点更新http://freehide.co.uk/free-shadowsocks/https://namaho.com 半个月更换一次密码 不限速不限量不收费不负责http://www.htovpn.net/?View=FreeSS 3小时更新一次密码 需要注册http://sskuai.pw/https://plus.google.com/communities/104092405342699579599 shadowsocks免费帐号https://plus.google.com/communities/109962494203239446911https://plus.google.com/+GhostAssassin/posts/NrDZWoXVjSD 免费shadowsocks大集合http://www.fyhqy.com/356/http://yyf.sg/code 免费shadowsocks邀请码集合站QQ搜群 shadowsocks 有的shadowsocks qq群有免费ss线路或内部放邀请码以上链接或链接中的免费shadowsocks随时可能失效,这个就没啥好解释的了。有问题,自己随时google解决。1个shadowsocks讨论圈https://plus.google.com/s/shadowsocks=============================================================提醒一下如非确实必要,尽量不要用shadowsocks全局可以通过软件自带pac或浏览器安装代理管理扩展,实现智能分流如何修改shadowsocks pac文件http://www.awolau.com/shadowsocks/start-pac.html实现科学上网时,启用系统代理后,Shadowsocks客户端会自动配置一个IE代理,使用本地127.0.0.1:1080,默认会选择PAC模式。关于PAC,大家可以参考维基百科。选择PAC模式后,系统会根据PAC配置文件pac.txt(与Shadowsocks.exe同级目录),当你的浏览器访问这个配置文件里面配置的URL时,会使用代理,否则则不会使用代理。这样既节省ss流量,也会提高国内网站的访问速度,这个很不错。最后,如果大家发现有什么网站被Qiang了,可以在pac.txt这个文件里面添加这个网站URL,即可通过ss的代理来访问了。同时,最好也定期从GFWList更新PAC。=============================================================如何制作便携版shadowsocks下载2.5.6版(clowwindy)shadowsocks(只有高于这版的才支持制作便携版)在 shadowsocks.exe 所在目录创建一个 shadowsocks_portable_mode.txt 文件退出程序,重启程序https://github.com/shadowsocks/shadowsocks-windows/releases源码下架,可以自行寻找注:SSR版貌似不支持此项功能=============================================================shadowsocks俗称 纸飞机ShadowSocks是Clowwindy开发的,一个轻量级的几乎跨平台的开源翻墙应用。Shadowsocks 是一个安全的socks5代理,由于服务端与终端都简便易用,目前配合VPS主机后十分稳定,已慢慢取代GAE等成为主流代理工具。Shadowsocks功能特性:1.
阅读更多发布者草墙推 | 2 月 27, 2016
2016.1.19 日本站介绍 “国外信息安全专家体验防火长城” 的全文中文翻译来了。原文:http://blog.zorinaq.com/?e=81@holly_lee (Blog)翻译中文:http://weibo.com/p/1001603945665913854240体验中国的 GFW最近我第一次去了中国。作为一个信息安全专业人士,终于能够亲手摸一下中国的 GFW, 看看它是如何工作的以及翻墙的难度如何,对此我充满了好奇。简短地说,我惊讶于如下方面:它的成熟度很高。比如能够利用 TLS 的侧信道泄漏 (我有关于它能够检测到 安全 web 代理中的 ”TLS 中的 TLS“ 特性的证据)用一些简单的 Unix 安全工具就能翻墙。在中国排名最前的 3 个商业 VPN 供应商里,有 2 个 使用了太短的 RSA 密钥 (1024 位)。中国政府能够把这么短的密钥分解因数出来。(2016-02-15 更新:在接到我的报告之后,这两个供应商停止了短密钥的使用,现在它们用 2048 或者 4096 位的了)为什么要翻墙?很多到中国的西方人有非常合理的理由需要翻墙。GFW 阻止了所有的 Google 服务。这意味着没有 Gmail 来访问你的电子机票,没有 Hangouts 来跟家庭联络,没有 Maps 来寻找旅馆,没有 Drive 来存取旅行计划文档。这就是我翻墙的主要需求。在去中国前我做了一些准备。在手机上我把 Drive 应用里的文档存下来以便离线访问。在 Maps 应用里我把我要去的地方的地图预先加载好,通过放大这些地点我把附近所有的街道和景点的地图都加载到手机上了 -那时候 Google 地图还没有新的离线功能。不过最终 Maps 还是几乎没什么用:我的 GPS 位置总是与真正的地点偏离几百米远。这是因为中国的 GPS 移位问题。(Google 完全可以在它的中国地图上使用 WGS-84 坐标来解决这个问题,可它为什么至今还没做呢?)想法 1就这样我到了北京的旅馆里,试图访问 google.com。访问出错了,GFW 发送了 TCP RST 包阻止了连接。我第一个想法是建立一个 SSH Socks tunnel (ssh -D),从我的笔记本连到美国一个数据中心的服务器上。我用了如下命令来配置 Chrome:$ google-chrome –proxy-server=socks://127.0.0.1:1080$ ssh -D 1080 my-server这种方法工作了几分钟。然后就开始出现严重的丢包,丢包率大概有 60% 到 70%。重启这个 tunnel 又能工作几分钟,然后丢包又出现了。这种丢包会影响到达服务器的所有流量,跟数据种类无关,无论是 SSH 连接还是简单的 ping 都一样。还不清楚 GFW 为什么丢弃数据包。有人说那是在不彻底阻断 VPN 的情况下,对 VPN 进行的干扰。也可能使 GFW 选择了一些可疑的数据包,将它们导向一个子系统来进行深度检测,而这个子系统过载了,没法处理全部流量。不管原因是什么,这样的掉包使得 SOCKS tunnel 变得又慢又不稳定,没法用。想法 2 我尝试了一个稍有点不同的方法:在服务器上运行一个 web 代理 (polipo),对 127.0.0.1:$port 进行侦听,然后用 SSH 端口重定向 (ssh -L) 去访问。$ google-chrome –proxy-server=127.0.0.1:1234$ ssh -L 1234:127.0.0.1:$port my-server一样地,这种方法正常工作了几分钟,然后又出现了丢包。GFW 能够清楚地检测和干扰哪些携带了大量数据的 SSH 通信。想法 3 可以用一个在 TLS 连接之上的代理来代替 SSH。这样 GFW 应该难以检测了,因为通过 TLS 连接来访问代理的流量模式跟访问一个 https 的站点是很接近的。我们把 TLS 连接之上的 web 代理称为安全 web 代理。大多数浏览器还不支持,所以它并不普遍。我用了 stunnel 将一个代理连接包装到 TLS 里,并为我的笔记本打开了一个未加密的代理端口。当然,我需要用身份认证来保护这个配置。不过我不能用标准的代理认证方法,因为如果 GFW 连到它上面,一个 “407 需要代理认证” 就会将它暴露。我也不想用 TLS 客户端认证,因为那样很可能会表示出这可能是某种基于 TLS的 VPN。我仍然要尽可能地让我的安全 web 代理看上去像,活动起来也像一个常规的 HTTPS 端点。我用 Python 写了个短小的中继脚本,它在 $port_a 上侦听并将所有的连接转发到另外一个端点 $host_b:$port_b. 这个中继可以运行在两种模式下。在 “客户端模式” 下(在我的笔记本上)它会将一个 128 位的密钥作为发送到连接的头 16 个字节。在 “服务器模式“ 下(运行在我的服务器上)它会对这个密钥进行校验,只有校验成功才会转发连接,否则就丢弃数据,像一个失去响应的 web 服务器一样。在我的笔记本上的配置如下:配置浏览器使用 127.0.0.1:5000 上的代理中继脚本在 127.0.0.1:5000 侦听, 插入密钥,并转发到 127.0.0.1:5001stunnel 客户端在 127.0.0.1:5001 上侦听, 将连接包装进 TLS,并转发到 my-server:5002服务器端:stunnel 服务端 my-server:5002 上侦听, 解出实际连接,并转发到127.0.0.1:5003中继脚本在 127.0.0.1:5003 上侦听, 校验密钥(并移除之),然后转发到 127.0.0.1:5004Web 代理在 127.0.0.1:5004 上侦听结果如何?工作得很好!没有包丢失,没有任何问题。在通过这个代理浏览 HTTP 站点时 GFW 会在线路上看到什么呢?在我的系统上对 “curl –head http://www.google.com” 进行抓包结果显示如下 (TLS 记录的大小显示在括号里):C: TCP SYN to proxyS: TCP SYN+ACK reply from proxyC: TCP ACKC: ClientHello (86 bytes)S: ServerHello, Certificate, ServerHelloDone (67+858+9 bytes)C: ClientKeyExchange, ChangeCipherSpec, encrypted Finished (267+6+53 bytes)S: NewSessionTicket, ChangeCipherSpec, encrypted Finished (207+6+53 bytes)C: encrypted ApplicationData #1 (37+197 bytes)S: encrypted ApplicationData #2 (37+693 bytes)(旁注:ApplicationData 记录分成了两部分,第一部分 37 字节,这是为应对 BEAST 而做的 1/n – 1 记录分割)这里有一个 TCP 握手,一个 TLS 握手,一个从客户端发送的,大约 200 字节的加密 ApplicationData 记录(HTTP 请求),以及一个从服务端发送的,大约 700 字节的加密 ApplicationData 记录 (HTTP 回应)。这个 TLS 交换和流量模式类似于一个未经代理的 HTTPS 连接,因此 GFW 无法检测到它是一种翻墙技术。不幸的是,一旦我开始通过我的代理浏览 HTTPS 站点,GFW 就能检测到了并应之以大量的丢包… 它是怎么检测到的呢?想法 4通过一个安全代理浏览 HTTPS 站点会有两层 TLS:外层 TLS 连接到代理,内层连接到站点。我推断 GFW 能够猜测出加密的 ApplicationData 里隐藏了一个代理 CONNECT 请求和另一个 TLS 握手。如下为通过代理运行 “curl –head https://www.google.com” 是的抓包结果:C: TCP SYN to proxyS: TCP SYN+ACK reply from proxyC: TCP ACKC: ClientHello (86 bytes)S: ServerHello, Certificate, ServerHelloDone (67+858+9 bytes)C: ClientKeyExchange, ChangeCipherSpec, encrypted Finished (267+6+53 bytes)S: NewSessionTicket, ChangeCipherSpec, encrypted Finished (207+6+53 bytes)C: encrypted ApplicationData #1 (37+197 bytes)S: encrypted ApplicationData #2 (37+69 bytes)C: encrypted ApplicationData #3 (37+325 bytes)S: encrypted ApplicationData #4 (37+3557 bytes)C: encrypted ApplicationData #5 (37+165 bytes)S: encrypted ApplicationData #6 (37+85 bytes)C: encrypted ApplicationData #7 (37+149 bytes)S: encrypted ApplicationData #8 (37+853 bytes)对 GFW 来说,这 8 个 ApplicationData 记录看上去像 keep-alive 连接上的 4 对 HTTP 请求和回应。不过,根据 的研究所显示的,TLS 的侧信道泄漏是可以被利用的,例如用来观察包大小。试着做一下,我们能看到它们的大小符合一个 CONNECT 请求和一个 TLS 握手交换的信息大小:C: encrypted ApplicationData #1 (37+197 bytes):”CONNECT www.google.com:443 HTTP/1.1rnHost:…
阅读更多