本页使用了标题或全文手工转换

突破网络审查

维基百科,自由的百科全书
跳到导航 跳到搜索

突破网络审查突破网络封锁,俗称翻墙[1][2]科学上网[3]等。由于“翻墙”在中国大陆境内成为敏感词汇,现在更常使用“科学上网”来代替“翻墙”,通常特指在中国大陆绕过互联网审查封锁技术(IP封锁端口封锁关键词过滤域名劫持等),突破防火长城,实现对网络内容的访问。

突破网络审查的软件通常被称作翻墙软件,俗称梯子。翻墙软件并不只是VPN代理软件。它们着眼于获得被屏蔽的网站内容,并在访问受限网站时向ISP隐藏自己的真实地址信息。

背景[编辑]

少数国家实行了高强度的网络审查,同时大多数国家都有一定的网络规范与监视系统存在,许多人为了确保信息安全与个人隐私,利用了原本设计用来金融交易或是公司、团体保密通信等的各种加密传输手段。这类破网技术的出现出于反对政府进行网络审查封锁,透过这种方式以抵制政府的监控、屏蔽等。互联网的分布式设计从体系上使得任何一个政府或组织完全控制互联网极其困难。与网络审查的技术发展相对应,很多简单有效的绕过审查、突破封锁的技术、方法和软件被希望绕开审查的人们发明出来。

中华人民共和国俄罗斯伊朗等设计了多样化的屏蔽手段应用于信息化社会,以明确实行网络审查制度的中国大陆[4]为例,中华人民共和国政府通过其在网络建设的“防火长城”限制或阻止境内居民访问其境外的色情网站(例如草榴社区)、当局无法管控的的新闻网站(例如BBC中文网)和社交网站(例如FacebookTwitter)等。若中国大陆居民需要访问这些被屏蔽的网站,则需要翻墙

从理论上说,审查部门完全可以用技术手段切断所有代理服务器和VPN连接。但因为大量的国内外银行金融交易和企业在跨国通讯时,都必须使用安全和经济的VPN来传输加密数据,出于经济的考量,进行网络审查的国家还不可能完全切断所有的代理连接和VPN连接,比如中华人民共和国,即使是撇除经贸或军事方面的问题,全私人网络也会有加密需求。一般来说,投入在屏蔽技术的费用也十分昂贵,单单一人所开发的翻墙工具就需要数个大型研究团队投入多年进行破解,因此官方投入网络屏蔽的时候,反而引起黑客兴趣,让网络突破屏蔽工艺技术大幅成长,这也就解释为何多数网络管制的国家都有屏蔽不完全现象,毕竟效益是十分低的,大量的税金被花费在阻挡信息的自由传递上。但是,对于一些流行的免费VPN服务,由于用户人数与流量众多,常会暴露出了公共网络服务的特质,加上部分可能会提供敏感内容的VPN服务已经触犯法律,因此这些过于明显的网络端口会一起遭到来自政府的屏蔽[5]

发展[编辑]

早期的工具都是普通代理工具的完善,当时还没有内容和网址的过滤,仅针对IP封锁网页,只要找到合适的普通代理,在浏览器中设置代理服务器和端口,基本就可以畅通无阻。当时的工具基本是擅长于代理的搜索、校验和动态切换,对较小影响的网站,应用这类工具方便快速。在封锁技术获取发展后,如中华人民共和国的防火长城,能够进行域名污染关键字过滤,人们开始设计更为复杂的反审查软件来进行突破,比如:

  • TLS加密页面代理,它能获取互联网站点中的内容,以TLS的加密形式传递给用户。用户使用加密代理,便能浏览其他各种被审查封锁的网站,而所有的信息都是以加密的形式传输的,当前认为基于TLS技术的通讯,无法嗅探出 网址URL)中除 域名 外的其他内容。
  • 利用TLS等加密技术开发通用软件,创建隧道,在无审查地区的相应的出口中创建一个(或多个)能够为其他计算机提供代理访问服务的服务器,通过服务器代理访问的方式访问被限制的信息。
  • 利用服务端和客户端的软件,自定义加密方式,将服务端软件配置于位于海外的计算机后,便可以使用客户端软件的方式加密浏览海外的信息。
  • 利用现有的基于安全链接的传输协议,在传输层和与其对应的网络层中创建安全的数据传输通道,以连接到未经审查地区的计算机,以间接的形式绕过审查设备访问互联网,例如 VPN
  • 针对中华人民共和国防火长城中的TCP连接重置和域名污染,从底层进行反制,这种手段完全不需要代理或其它的绕过技术[6]西厢计划即综合利用多个 TCP/IP 技术欺骗及反制措施,实现网络突破。

技术原理[编辑]

  • 加密,让审查系统无法判断你在浏览什么内容。
  • 代理,与第三方能正常访问被封锁的信息的代理服务器创建连接,以连接到未经审查地区的计算机,以间接的形式绕过审查设备访问互联网
  • 伪装,将真实的信息混淆在其他信息当中,实现网络流量的伪装。

相关工具[编辑]

方法[编辑]

依照审查封禁的原理,有以下数种方式可绕过审查封禁,各自有不同的优点与局限性:

  • 修改本机 hosts文件,不足之处是需要系统管理员权限(如root权限)来修改,对基于IP地址封禁的网站无效。自2018年8月份起,GFW开始启用基于SNI检测和TCP连接重置的手段进行封锁,所以修改hosts方法不再完全适用。[7][需要更好来源]
  • 使用安全增强式的 DNS(如 TCP 查询方式、DNSSEC 等),不足之处同上
  • 使用特殊 DNS + SNI 代理,或代理软件(如 HTTP 代理、SOCKS 代理等),不足之处在于服务器 IP 遭封禁的话即告失效,而且性能取决于服务器的性能以及连线人数,流量过大的、无法识别的内容也容易引起一些拥有较高审查技术的政府机构的注意
  • 使用 P2P 匿名网络(如 TorI2P 等),不足之处在于性能较差,流量特征明显而容易遭到截断(像是 emule 的 ed2k 模糊协议)
  • 使用 SSH,不足之处在于连线性能较低,因为这个协议本身不是为大量数据传输而设计的,而且现今的安全性也有疑虑(美国国家安全局已有能力解读 SSH[8]
  • 使用 VPN,不足之处在于数据分流不灵活,会将开启了VPN的设备的所有数据流量全部导向至VPN服务器上;另外如果VPN服务器上有流量监视软件运行,那么用户所传输的数据将有信息安全威胁;进一步来说,由于VPN设计的初衷并不是用于突破网络审查,因此数据流量的特征非常明显,容易引起审查机构注意。
  • 使用代理自动配置(PAC)
  • 更换网络连接方式
  • 特殊方法
    • 使用搜索引擎(如谷歌、必应)的快照
  • 政府审查制度内提供的途径
    • 若是有正当需求,如办理跨国界网络活动,可向国营电信商申请跨境网络专线服务,费用高昂,一般在10~20万人民币之间。
    • 某些五星级饭店亦可提供跨境网络服务,但须事先沟通网络质量,若未透过官方管道而是自行架设 VPN,往往质量不佳。

相关软件[编辑]

  • 蓝灯,能够自动检测一个网站是否被封锁,对被封锁的网站,Lantern 通过自有的服务器或者未封锁地区的用户运行的 Lantern 来提供访问。 但在中国国庆节等敏感时期连接极其不稳定[9][10]
  • 赛风,免费、开源,支持多平台(Windows、Android、iOS),但链接不稳定
  • TunnelBear英语TunnelBear,每月500Mb免费试用, 支持Windows,Mac,Android 和 iOS 平台。
  • 自由浏览器 FreeBrowser,仅支持Android,由Greatfire开发
  • 自由门,免费,支持Windows、Android,链接较稳定,能设置不代理网址名单或代理网址名单
  • 无界浏览,免费,支持Windows、Android
  • 萤火虫(Firefly),用 Go 语言编写,采取 meek 工作原理,支持多平台(WindowsAndroidIOS
  • XXNET
  • 浏览器集成包,为进一步降低破网难度,有志愿者ChromiumFirefox等浏览器,与已经配置好的翻墙软件(如GoAgentShadowsocks的客户端软件)一起打包成一键翻墙的浏览器集成包。这类浏览器集成包并不能提供高度安全的隐私保护,因为浏览器集成包的制作者可能会在制作过程中加入恶意程序。当然,这类浏览器集成包的确易于使用。
  • 洋葱路由器(Tor),同时提供暗网及代理。
  • 大蒜路由器,Tor的演进版本,基于Java技术,使用 ed2k 技术实现分布式网络避免全网封杀。
  • CyberGhost,收费,在其Windows应用中可使用IkeV2,OpenVPN进行连接,其官网上对收费用户也提供PPTP,IPsec等协议,在中国,其官网被封禁,在中国安装和更新时均需要使用其他VPN,否则将无法进行安装和更新。在WindowsMacOS,Linux,iOS,安卓平台上均有应用程序,另还有ChromeFireFox扩展程序。也可以在安卓电视、FireStick和指定的路由器上进行安装。用户可通过此服务连接到90多个国家的5900台服务器。[11]

变形代理服务器[编辑]

此类软件注重消除流量协议特征,以应对GFW的DPI深度包检测。需要自行在服务器和终端上部署,比一般的翻墙方法更繁琐。

  • Shadowsocks,简称SS,需要自行购买VPS并搭建代理服务器,用于翻墙,在坊间也有可以直接使用的帐号出售,还有合租一台VPS服务器的情况。
  • ShadowsocksR,简称SSR,其使用方式同上,增加了混淆的特性,可使翻墙流量伪装成正常流量。
  • ShadowsocksRR,简称SSRR,使用方法同上,与SSR相比增加了更多的混淆方式。
  • V2RayProject V[12]项目创作的内核,使用自实现的 Vmess[13] 协议及 mKCP[14] 协议,基于 MIT 协议授权。

相关事件[编辑]

相关规定[编辑]

不过,据新加坡《联合早报》在4月份的报道称,在重庆使用VPN“翻墙”浏览境外网站的用户并未受到任何影响。该报援引复旦大学网络空间治理研究中心副主任沈逸的说法称,规定所称的“擅自使用非法定信道”,不但包括个人“翻墙”行为,还包括网络攻击、非法跨境财务流动等活动。沈逸认为,以重庆人口规模而言,要家家户户追查个人翻墙行为并不实际。
据新加坡《联合早报》称,撰写“重庆翻墙违法”这一报道的记者因发出的消息“与实际官方条文不符、具误导性”而被扣发薪金,相应文章在《重庆晨报》官网也被撤下[20]

相关案例[编辑]

参考文献[编辑]

  1. ^ 只剩下门缝的VPN何去何从. 新华网. 北京商报. 2017-02-07 [2018-12-16]. (原始内容存档于2018-12-16). 
  2. ^ 翻墙,突破各类限制的尝试. 南都周刊. 2009-07-03 [2010-01-30]. (原始内容存档于2010-06-01). 
  3. ^ 贝锐蒲公英X5一分钟异地组网. 新浪新闻中心. 2019-12-07. 
  4. ^ 34个国家网络自由不同程度下降,中国连续两年倒数第一,端传媒,2016年11月16日。
  5. ^ The Connection Has Been Reset中文译文 互联网档案馆存档,存档日期2008-03-25.)
  6. ^ Google Code Archive - Long-term storage for Google Code Project Hosting.. code.google.com. 
  7. ^ 修改HOSTS文件实现翻墙的原理及方法. qinqianshan.com. 2018-07-03 [2019-04-02]. (原始内容存档于2018-08-14) (美国英语). 
  8. ^ BothanSpy. WikiLleaks. 2017-07-06 [2017-09-25]. 
  9. ^ Lantern - Open Internet for Everyone - 常见问题. 
  10. ^ 下载软件及源代码 - Lantern - github. 
  11. ^ 存档副本. Fast and Secure VPN Service. [2020-02-29]. (原始内容存档于2014-03-07).  已忽略文本“CyberGhost VPN” (帮助)
  12. ^ Project V · Project V 官方网站. Project V官方网站. [2018-04-06] (中文). 
  13. ^ VMess 协议 · Project V 开发人员参考. Project V官方网站. [2018-04-06]. (原始内容存档于2018-04-06) (中文). 
  14. ^ mKCP 协议 · Project V 开发人员参考. Project V官方网站. [2018-04-06]. (原始内容存档于2018-04-06) (中文). 
  15. ^ 1996年尼葛洛庞帝的《数字化生存》 页面存档备份,存于互联网档案馆 中国互联网博物馆
  16. ^ 工业和信息化部关于清理规范互联网网络接入服务市场的通知. 中华人民共和国工业和信息化部. 2017-01-22 [2017-01-30]. (原始内容存档于2018-02-01). 
  17. ^ 17.0 17.1 内地工信部禁自行建立或租用VPN 上网“翻墙”将被严控. 香港01. 2017-01-23 [2017-01-23]. 
  18. ^ 重庆晨报. 《重庆市公安机关网络安全管理行政处罚裁量基准》发布 擅自“翻墙”上境外网站 责令停止联网并警告. 重庆晨报. 2017-03-28 [2017-03-28]. 
  19. ^ 重庆:擅自“翻墙”上境外网站 责令停止联网并警告. 财经网. 2017-03-28 [2017-03-28]. 
  20. ^ 林展霆. 重庆用户仍可用VPN翻墙未受罚. 联合早报. 2017-04-16 [2017-04-16]. 

外部链接[编辑]

新闻报道[编辑]

翻墙工具[编辑]

其它[编辑]

参见[编辑]