防火长城

虽然互联网技术巨头谷歌有可能在10天内终止中国的网络审查，但许多在中国急着“跳墙”的网络用户可能不愿意慢慢等待这一天的到来。现在，许多中国网民手中多了一个“翻墙利器”。 （德国之声中文网）它的名字叫”灯笼”（Lantern）。这一由美国政府资助开发的软件和现有的”翻墙软件”有所不同，它利用社交网络的结构，为用户提供更加方便快捷的全网浏览服务，让互联网受政府限制的网民可以登陆浏览像”Facebook”(脸书)，”Twitter”(推特)或者视频网站”Youtube”等站点。 开发Lantern软件的Brave New Software公司介绍称，绝大多数翻墙软件需要服务器的配合。而在Lantern系统中，每台机器都可以作为服务器，从而比其他工具提供更多的容量。通过运行Lantern，每个在非封锁区的电脑，都可以变成封锁区用户的代理，使他们可以访问被封锁的网站。 用朋友的朋友的朋友的朋友的网络自由冲浪 “穿过长城，我们可以连接世界” 换句话说，一个在中国的网民，可以通过其海外友人的电脑与自由的互联网世界连接。这种连接可以最多跨越四层交友关系。也就是说，这个中国网民最多可以通过朋友的朋友的朋友的朋友的计算机全面浏览互联网。由于Lantern是建立在信任网络的基础上，让相互信任的朋友分享网络连接，所以安全性能也有相当程度的保障。同时，用户在Lantern上的朋友越多，因特网的速度和可靠性就越高。用户可以通过谷歌邮箱中的联系人邀请朋友加入Lantern的网络，逐步扩大网络带宽。 但是，这也为网络审查者追踪”翻墙”网民提供了便利机会。只要用户交友网络中，有一个人为网络审查部门工作，他在自由互联网上浏览的纪录就有可能落入审查部门手中。因为所有相关纪录都有可能被保存在分享网络连接者的计算机中。 所以，Lantern的开发者也表示，该软件只是一个为用户提供快速，安全和方便访问因特网的办法，但并不能以匿名方式规避 网络审查 。而只有在匿名对于用户不重要的时候，使用Lantern浏览互联网才是一个高效的选择。Lantern软件的一大特点是容易安装使用。 挑”灯笼”的绝大多数用户来自中国 据《南华早报》报道，今年11月中旬，网络上开始出现讲授如何使用Lantern的中文版说明。包括艺术家艾未未在内的互联网名人已经在社交网络上提及这一新型翻墙软件。 中国的“网络警察”无所不在 相关报道称，截至目前，该软件已经有13000名用户，其中接近80%来自中国。他们已经从”中国防火长城”之外获取了3.9太字节的数据，占Lantern软件全球数据流量的92.9%。 “灯笼”是一款免费软件。软件开发人员之一霍姆斯（Chris Holmes）向《南华早报》表示：”美国国务院的一项’种子基金’为软件的研发提供了220万美金”。据美国政府公布的消息，仅2013年，美国国务院和国际开发署就拿出2500万美金，用于支持推动 互联网自由 的组织。 “灯笼”被熄灭的危险 致力于研究中国互联网审查制度的温云超（网名”北风”）长期关注各种”翻墙”方法。他已经通过其社交网络向许多用户推荐了Lantern软件。据他介绍，由于许多中国网民翻墙后首先去”Youtube”网站看视频，占用大量带宽，导致使用该软件浏览网页的速度极慢。他观察到，Lantern有时也会”后院失火”，出现终端验证失效等故障。 不过这还不是温云超对Lantern软件最大的顾虑。由于该软件目前规定只有谷歌邮件用户才能使用，随着它在中国大陆使用人数的不断增加，当局有可能采取封杀谷歌邮件（Gmail）的办法，堵住 世界最强”防火长城” 的又一个漏洞。 http://www.dw.de/打着灯笼-轻松翻墙/a-17272775?utm_medium=twitter&utm_source=twitterfeed&maca=chi-rss-chi-top-1043-rdf 翻墙技术博客 订阅地址及社交帐号 获取最新穿墙软件？请发电邮（建议用gmail）到：cdtcaonima@gmail.com。《中国数字时代》开通IPv6，欢迎穿墙阅读。翻越防火长城，你可以到达世界上的每一个角落。（Across the Great Firewall, you can reach every corner in the world.）

近日一款叫做 Lantern 的P2P网络封锁突破工具进入了中国用户的视线，以其“通过信任圈子”传播服务信息的特色作为主要卖点，对抗见洞插针（probing）的防火墙系统。若要明白这款服务高调挑战防火墙背后的理由，还得先从它的核心技术 Kaleidoscope 说起。 Kaleidoscope简介 Kaleidoscope是一个P2P中继系统，主要用途是让被封锁网络域内的用户能访问到被封锁的内容。换而言之， Kaleidoscope的主要目的就是突破网络内容封锁，而非匿名或传输安全性 。后者分别是Tor与VPN的主要特性。 在应用需求上的转换使得Kaleidoscope的设计理念也与Tor和VPN大相径庭。作者意识到这个系统最迫切需要解决的问题是来自网络封锁组织的“主动入侵”（伪装成普通用户与伪装成友好中继），因此采取了“ 有限度服务发现 ”的策略，以确保在高入侵率与低可用中继数量的情况下，依旧保持较高的网络服务质量。 Kaleidoscope系统的假设 Kaleidoscope的设计遵循“最大化可用性”的理念，即便它不得不牺牲一定的匿名性。用怪叔叔能理解的话说就是——Kaleidoscope会尽可能帮助你看到页面，但如果页面上是违法的儿童色情，它不会像Tor一样保护你不被抓进去捡肥皂。 所以Kaleidoscope的第一个假设就是—— 大部分被封锁的内容都不是因为非法而被封锁的 ，而是因为它和敏感信息很像（例如恰好在同一网址或服务器上），而被误杀。这意味着该系统假设“看这些信息大概是合法的”（灰色地带），如果观看敏感信息在这个国家属于明确的违法行为，则用户需要额外使用匿名与加密工具来保护自己的人身安全。 与此同时，为了对抗来自网络封锁方的检测与入侵，Kaleidoscope需要非封锁域内有足够的中继出口，否则网络封锁方可能使用流量检测发现并封堵这些中继。但中继出口毕竟是可遇不可求的东西（就像没被封的 Tor Bridge 一样），因此Kaleidoscope尝试利用现实中的人际关系与有限服务发现技术来平衡“发现”与“隐蔽”的跷跷板。 Kaleidoscope的第二个假设是—— 网络内的有足够多的可信中继，无论是否为出口 。这非常重要，因为在这个系统里，入侵者需要获得相当的占比才能取得流量检测上的优势（以有效封锁中继出口）。简单而言，假如安全入侵率为1%，则在1000人的网络里入侵者需要拥有10个伪装节点，而在10万人的网络里它需要1000个节点。这也解释了为什么Lantern作为一个分布式网络，比Tor更擅长利用、更依赖与人多势众的力量以达到自我保护的目的。 有趣的是，Kaleidoscope的最后一个假设，是最贴近GFW属性的中国特色。作者认识到网络封锁方掌控着网络架构的最终控制权。也就是说，假如封锁方来狠的，直接拔网线，禁止加密链接或使用白名单，则任何基于这些网络架构的工具都将失败。 因此Kaleidoscope系统假设与网络封锁方周旋的上策不是和它对扛加密与匿名技术，而是 如何将自己与普通流量混淆起来，增加封锁方的经济成本 ——让封锁方不得不冒增大误封概率的险，并增加封锁需要的人力与硬件成本。这个系统促使封锁方权衡入侵网络的价值与成本，期望达到“知难而退、网开一面”的效果。 Kaleidoscope的基本实现 说了这么多假设，我们再来简单聊聊Kaleidoscope的实际方式。 Kaleidoscope系统针对以下几种不利的网络情景设计—— 网络封锁方控制着整个封锁域的网络架构。 网络封锁方使用基于IP表，DNS与DPI的干扰技术。 网络封锁方使用流量分析，积极寻找主要的中继出口。 网络封锁方会伪装成普通用户与友好中继，发掘隐藏中继与监控网络数据。 这意味着Kaleidoscope系统必须满足以下条件—— 必须是分布式，否则中枢会被封锁。 必须使用点对点加密，否则链接会因为DPI被重置。 必须使用混淆通信包，否则包本身容易被指纹检测发现。 必须使用远程DNS解析，因为本地的DNS查询结果不可靠。 必须允许多点传递，否则中继出口很容易通过流量分析发现。 必须限制节点发现，否则完整网络很容易被封锁方用大量伪装的用户发掘。 必须合理分配流量，否则封锁方可能伪装成友好中继（甚至中继出口），捕获大量网络信息。 值得一提，所谓“限制节点发现”并不是什么特别神奇的算法。Kaleidoscope系统明确指出，当封锁方入侵网络时，总有一部分中继会被封掉—— 这时不能允许受影响的用户获得新中继 ，因为假如这些用户能获得新中继，入侵节点也能，这样整个网络很快就会被入侵节点遍历。 事实上不论用户的机器是否能访问被封锁资源，Kaleidoscope系统 只要求他们与现实朋友建立可信链接 ，此外的事情都由系统通过节点发现与多点传递算法解决。 Kaleidoscope节点剩下的工作是通过中继传播自己，这里的传播包含不少艺术——包括控制一个节点能知道与能自我宣传的数量、允许的最大节点转跳上限等等。主要用于防止入侵者设立虚假的节点关系来套取网络信息与流量（例如设置一个伪装的中继出口，再将设立许多中继传播这个出口到可信网络里）。Kaleidoscope系统的论文花了很大段文字解释选择每个参数的理由与最优数值估计，这里就不逐一详述了。 在具体实现上，Kaleidoscope通过UDP传播自己的信息，数据则通过SSL/TLS完成。Lantern客户端使用了证书固定（certificate pinning），避免证书替换导致的中间人攻击；同时确保SSL符合“正向加密”（PFS）要求，避免大规模的数据保存与延迟破解。 Kaleidoscope的测试结果 论文里的测试使用了两套方案，一是利用现有社交网络的人际关系圈的数据作为原型进行评估，二是作者们寻找几十位朋友参与项目测试。光说数字恐怕会让各位睡着，这里大概总结下结果好了—— 在社交网络（可信链接）的测试上，Kaleidoscope系统对可信链接数量较多的网络支持更好。Facebook和LiveJournal就比Flickr要更能面对“高入侵率与低可用中继”的环境。 只要还有30%的中继在线，即便入侵者占据了2%的网络节点，出口只占整个网络的0.5%，Kaleidoscope依旧确保用户在3次节点传递以内访问到被封锁的内容（假设网络流量足够）。10%的用户可以直接连上中继出口，而50%的用户可以通过一次转跳连上中继出口。 在实际应用中，作者们发现，除了使用Kaleidoscope系统翻越本国防火墙，还有不少人用它绕过服务器IP限制。 小结 Kaleidoscope（万花筒）作为一个新的分布式中继系统，在“有限度服务发现”与“确保服务高可用性”上有很好的设计理念——这是Tor乃至VPN都没有的特性，完全符合中国特色的上网环境。 但我们也能预测到Kaleidoscope（以及实现它的Lantern）接下来可能遇到的问题。例如说它们一再强调的“信任链接”假设是否能保持下去，还是会被用户的懒惰与知识匮乏所破坏？以及Kaleidoscope系统里需要用到的动态DNS（需要兼容动态IP，否则网络的拓扑变动太大）会带来什么后遗症？这些都是未知之数。 无论如何，我们还是欢迎新一代工具诞生，希望它们战斗下去。 后注 如果你为防火墙服务，又不懂英文，或着懒得读英文，无意中来到这里——请允许我鼓励你考虑下自己生命的价值。在我看来，你比活在监狱中的贪官奸商更让人恶心。他们好歹接受了贿赂拉动了经济。而你，则是在用纳税人的钱，阻碍一个国家的经济与科技发展。 这不是爱国，这是叛国。 参考文献—— Unblocking the Internet: Social networks foil censors  –  Yair Sovran, Jinyang Li, Lakshminarayanan Subramanian Censorship Circumvention via Kaleidoscope  –  Jinyang Li Lantern Q&A for Developers  –  Team Lantern Lantern  – Kaleidoscope系统的一种实现 http://bitinn.net/10629 翻墙技术博客 订阅地址及社交帐号 获取最新穿墙软件？请发电邮（建议用gmail）到：cdtcaonima@gmail.com。《中国数字时代》开通IPv6，欢迎穿墙阅读。翻越防火长城，你可以到达世界上的每一个角落。（Across the Great Firewall, you can reach every corner in the world.）

Lantern最新版本为1.0.0 RC1 https://drive.google.com/file/d/0B3jQIp1ENRcfNkJqdC1IaEVXRVE/edit?usp=sharing https://drive.google.com/file/d/0B3jQIp1ENRcfUHJacDNydTdCeEU/edit?usp=sharing 改变： 1、”处于代理站点”增加一些新的站点 2、提供新版本Lantern完整包的下载地址 3、被邀请的人是否打开邀请邮件了，被邀请的人是否安装客户端了，之前没有统计，从这个版本开始统计 4、客户端左上方不显示你的邮箱地址 5、增加如何更新的说明(卸载旧版本，重新运行那个90多KB的文件) 6、支持多国语言 修复： 1、添加好友的时候，总是提示添加失败 2、右下角出现别人添你为好友的信息，朋友的名字有时候是乱码 3、Ubuntu系统下，chromium浏览器的路径有问题 4、【重大BUG】连接云服务器还是连接自己的好友取决于邀请你的人，现在取消这个规则(之前Lantern官方是这么决定的：网友A注册成功了，A连上的云服务器是1，然后A邀请了网友B和C，那么B和C只能连跟A一样的云服务器1,而不是2、3等服务器) 5、facebook等网站图片不能正常显示 6、好友列表一直处于加载状态 7、win8下Lantern界面不能正常显示 8、底部提示”连接失败：无法连接能提供连接的Lantern网络用户”，但是仍然可以翻墙 9、越南网友安装Lantern出现错误提示”we’re sorry,but lantern install failed due to the follo wing error:HTTP/1.1 400 Couldn’t URL” 10、下载的90多KB文件，该文件名有时会出现 ‘0_0_1’这样的错误字符 12、Lantern更新后，”处于代理站点”的配置将被重置 13、Ubuntu系统下，系统左上角提示”untitled” 更新到最新版的方法： 1.直接找到那个90多KB的文件，让它重新下载即可得到最新版； 2.如果你按第1方法操作的时候，出现错误提示，那么你可以卸载旧版Lantern并删除.lantern文件，然后再单击 .lantern的绝对路径： OSX and Unix/Linux: ~/.lantern Windows:C:/Users/YOUR_USERNAME/.lantern 引用地址： http://tieba.baidu.com/p/2740699292 一些程序也可在iaskfq的BitTorrent Sync上下载到。使用方法： 1.在这个地址下载并安装BitTorrent Sync的主程序 http://labs.bittorrent.com/experiments/sync.html 2.安装程序后使用以下密钥连接到iaskfq的共享目录 RDKCZMBNPIBE2XXPMHFKS3JHASKKYMZWX 翻墙技术博客 订阅地址及社交帐号 获取最新穿墙软件？请发电邮（建议用gmail）到：cdtcaonima@gmail.com。《中国数字时代》开通IPv6，欢迎穿墙阅读。翻越防火长城，你可以到达世界上的每一个角落。（Across the Great Firewall, you can reach every corner in the world.）