跳至內容

說明:如何瀏覽維基百科

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書
(重新導向自Help:NGINX
微笑歡迎
新手工具箱
目錄

常用頁面列表

幫助頁面

歡迎!新來者
新手索引大全
關於維基百科
請求幫助
新手入門
社群首頁
致其他百科用戶
新手入門簡明指南
使用教學材料庫

尋求他人協助

互助客棧
聯絡我們
IRC即時求助
知識問答
小天使
常見問題解答
如何建立新條目?
如何存取維基百科?
到哪裏發問或提建議?
使用VPN時無法編輯頁面?

傳揚維基百科
宣傳片
分享你的感受

新手上路
第一印象
與維基的相識
為什麼寫維基
首次編輯感覺

如果您身處中國大陸,想正常瀏覽維基百科以及其他部分維基媒體基金會旗下專案,需要透過技術手段繞過防火長城的封鎖。本文旨在提供有效的方法。

如果您在使用本文中的方法時遇到問題,可以在Wikipedia:社交媒體提問,或者參考本文精簡前的版本

封鎖手段簡介

防火長城(GFW)針對維基媒體基金會旗下專案主要使用以下技術手段進行封鎖(封鎖其他網站所用的技術手段也類似):

  • DNS污染:DNS服務用於匹配網域名稱IP位址,透過人為修改DNS記錄,使用戶無法獲得正確的IP位址,導致網站無法打開;如果你使用ping命令或者其他DNS請求工具獲得的IP位址不屬於維基媒體基金會所有,則說明遭遇此種手法;
  • IP封鎖:透過ACLBGP劫持黑洞攻擊等技術手段使用戶的封包無法傳遞至正確的伺服器,而是被丟棄或傳送至錯誤目的地,導致網站無法打開;如果你使用traceroute命令發現雖然IP位址屬於維基媒體基金會,但封包在進入運營商骨幹網後便再無追蹤記錄,則說明遭遇此種手法;
  • 深度包檢測:對於未加密的HTTP連接,該技術可以檢測詳細的傳輸內容,如果觸發敏感詞則立即發起TCP重設攻擊;對於HTTPS連接,雖然其採取了加密措施,但是截至目前SNI部分未被加密,因此透過該技術仍然可以獲知用戶瀏覽的網站,如果該網站在封鎖名單中則連接會被重設,此種手法無論使用ping還是traceroute命令結果均為正常,但是瀏覽器會顯示「連接被重設」等錯誤提示。

使用代理伺服器

您可以使用通常被稱作「翻牆軟件」的代理伺服器或者VPN瀏覽維基百科。由於維基百科不允許使用開放代理編輯,您需要申請IP封禁豁免權才能編輯。中文維基百科的本地豁免可透過郵件網站申請,對於全域豁免或其他維基媒體專案,請移步對應頁面了解詳情。中文維基百科的本地IP封禁豁免是長期有效的,但部分其他維基媒體專案的IP封禁豁免有有效期,請務必按時續期。

直接連接

TCB desync

TCB desync透過注入或修改特定TCP封包來欺騙GFW的深度包檢測。例如加利福尼亞大學河濱分校的研究人員在ACM IMC 2017會議上發表的論文《Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship》,文中提出注入特製封包可以使GFW的TCP狀態機(TCP Control Block)與實際狀態「脫同步」(desync),從而繞過GFW的深度包檢測手段,是為TCB desync。[1]

此類別方法的歷史更早可追溯到2010年終止的西廂計劃,其簡單實現了1998年T. Ptacek等人提出的注入方法規避入侵檢測系統(防火長城)。

本文列出一些當前可用的實現了TCB desync的反審查軟件。

Xray

Xray-core的v1.8.3版本引入了TCP和TLS分段支援,可以規避GFW的SNI重設攻擊。[2]使用方法如下:

  1. GitHub發佈頁下載最新版本的Xray內核。
  2. config.json中添加如下組態(以TLS分片為例):
    {
        "dns": {
            "hosts": {
                "regexp:(upload|map)\\.wikimedia\\.org": [
                    "185.15.59.240",
                    "185.15.58.240",
                    "208.80.153.240",
                    "208.80.154.240",
                    "2620:0:861:ed1a::2:b",
                    "2620:0:860:ed1a::2:b",
                    "2620:0:863:ed1a::2:b",
                    "2a02:ec80:300:ed1a::2:b",
                    "2001:df2:e500:ed1a::2:b",
                    "2a02:ec80:600:ed1a::2:b"
                ],
                "domain:wikipedia.org": [
                    "185.15.59.224",
                    "185.15.58.224",
                    "208.80.153.224",
                    "2620:0:863:ed1a::1",
                    "2001:df2:e500:ed1a::1",
                    "2a02:ec80:600:ed1a::1 ",
                    "2a02:ec80:300:ed1a::1",
                    "2620:0:860:ed1a::1",
                    "2620:0:861:ed1a::1"
                ]
            }
        },
        "inbounds": [
            {
                "listen": "0.0.0.0",
                "port": "1083",
                "protocol": "socks",
                "settings": {
                    "auth": "noauth",
                    "udp": true,
                    "ip": "0.0.0.0"
                }
            }
        ],
        "outbounds": [
            {
                "protocol": "freedom",
                "domainStrategy": "UseIP",
                "settings": {
                    "fragment": {
                        "length": "100-200",
                        "interval": "1-2",
                        "packets": "tlshello"
                    }
                },
                "streamSettings": {
                    "sockopt": {
                        "tcpNoDelay": true
                    }
                }
            }
        ]
    }
    
  3. 使用./xray -c /path/to/config.json啟動Xray內核。
  4. 組態瀏覽器使用Xray代理(上例中為SOCKS5協定,埠1083)。注意勾選透過代理查詢DNS的選項。

GoodbyeDPI

若您使用64位元Windows系統,可以在這個頁面下載GoodbyeDPI,解壓後執行2_any_country_dnsredir.cmd即可;

TCPioneer及phantomsocks

對於Windows系統,您也可以在這個頁面下載TCPioneer,解壓後執行tcpioneer.exe即可。TCPioneer的預設設定檔為default.conf,包括對各個網域名稱使用的desync策略,並支援類似Hosts檔案的網域名稱到IP位址的對映,如果您發現使用上述連結內的內建default.conf存在瀏覽問題,請嘗試替換為這個設定檔。

如果您使用macOS或Linux系統,可以使用phantomsocks

域前置

域前置可以讓用戶向防火長城展示經過偽裝的瀏覽資訊,藉此避開SNI封鎖,也就是說雖然瀏覽的是維基百科,但在防火長城看來是在瀏覽別的網站,從而使得連接不會被中斷。

除位於美國三藩市阿什本新加坡的伺服器IP位址外,維基媒體基金會的其他伺服器IP位址可以正常直接連接,但是仍然會受到防火長城連接重設和針對HTTPSSNI檢測的干擾影響,所以可以透過使用多種方法實現域前置,規避防火長城的SNI檢測,瀏覽各個語種版本的維基百科和中文維基語錄等專案。

Chromium內核瀏覽器啟動參數

對於Windows系統中採用Chromium內核的瀏覽器(如ChromeOperaVivaldiBraveMicrosoft Edge等),我們可以在其捷徑中追加--host-rules參數,從而使其連接維基百科時不使用原本的SNI,而是使用其他未被GFW檢測的SNI,從而繞過SNI檢查。[3]

方法如下所述:

  1. 右鍵單擊瀏覽器捷徑;
  2. 打開屬性窗口;
  3. 在「目標」後加入
     --host-rules="MAP *.wikipedia.org wikidata.org, MAP commons.wikimedia.org wikidata.org" --host-resolver-rules="MAP upload.wikimedia.org 208.80.154.240, MAP wikidata.org 185.15.59.224"
  4. 重新啟動瀏覽器即可。

Firefox瀏覽器修補程式

此方法操作起來較為複雜,需要用戶具有相當的電腦相關知識。若您有足夠能力,可以檢視這個頁面來進一步了解。您也可以直接下載構建好的版本

本地反向代理

這裏提供了一個完整組態方法,組態後直接執行Nginx即可。如需要停止服務,可使用nginx -s quit命令或在工作管理員(Windows系統)或使用sudo pkill nginx命令(Linux系統)直接終止Nginx行程。

本地代理工具

有一些代理工具也實現了域前置,它們可能將其稱為「偽造SNI」或其他名稱。關於如何使用其瀏覽維基百科,請參閱其文件。

其他方法

鏡像網站

請注意鏡像站可能會收集網絡連接資訊(如IP位址等)、推播廣告以及竊取您的帳號憑據,強烈建議不要在任何鏡像站上登入維基媒體帳號

主站點 中文站點 類型 可編輯 資源伺服器 遵守版權 版權聲明 原條目連結 備註
https://kfd.me/ https://54e1ad4b4888.kfd.me/wiki/Wikipedia:首页 未知 已代理 CC BY-SA 4.0 不能直接瀏覽,必須先瀏覽主站

中國大陸直連情況

維基百科的網址如下:

維基媒體基金會現已對旗下專案開啟了強制性加密(HTTPS)以及HTTP嚴格傳輸安全(HSTS),未加密的明文版頁面(HTTP)會被強制跳轉到對應的加密版頁面。如果在瀏覽過程中瀏覽器提示證書錯誤,或者頁面停留在明文版而未跳轉至加密版(即地址列不以https://開頭),說明當前連接極有可能已經受到了干擾建議立即停止瀏覽,不要添加例外,以免傳輸的數據被竊聽。

IPv4連接

目前,在中國大陸使用IPv4直接瀏覽維基媒體基金會的不同專案可能會遇到如下情況:

專案 加密(HTTPS) 明文(HTTP)[註 1]
電腦版 流動版 電腦版 流動版
維基百科
所有語言 NoN DNS TCP
維基新聞
中文 NoN DNS TCP
英文 NoN DNS TCP ☒N DNS NoN DNS TCP ☒N DNS
其他語言 ☒N IP
其它中文專案
維基文庫 ☒N IP NoN IP TCP
維基教科書 ☒N IP
維基詞典 ☒N IP
維基語錄 NoN DNS TCP
維基導遊 ☒N IP
維基學院 ☒N IP NoN DNS TCP ☒N IP ☒N DNS
多語言專案
維基物種 ☒N IP
維基共享資源 ☒N IP
維基孵育場 ☒N IP
多語言維基文庫 ☒N IP
元維基 ☒N IP
維基數據 ☒N IP
MediaWiki官網 ☒N IP
後台支援性服務 加密(HTTPS) 明文(HTTP)[註 1]
Toolforge[註 2]
toolserver.org checkY YesY
toolforge.org checkY YesY
wmcloud.org checkY YesY
wmflabs.org NoN DNS TCP
其它服務
媒體檔案伺服器[註 3] ☒N IP
地圖伺服器 ☒N IP
短網址服務[註 4] ☒N IP
後台技術追蹤管理 ☒N IP
技術文件 ☒N IP
郵寄清單 checkY YesY
  • 字母代號:
    • DNS: 此專案會被解析到無效的IP位址或已被封鎖的IP位址,因此無法瀏覽,必須使用Hosts檔案手動修正網域名稱解析。
    • TCP: 此專案還會受到SNI檢測的影響,會出現連接重設現象。對於加密版本(HTTPS),還需要先瀏覽其他專案或者域前置才能正常瀏覽受到SNI檢測的專案。
    • IP : 對於加密版本(HTTPS),由於當前維基媒體基金會位於美國新加坡的伺服器遭遇封鎖,導致該專案無法瀏覽。但可透過修正網域名稱解析的方式直連。對於明文版(HTTP),直接瀏覽IP位址正常,但由於它們的443(HTTPS)埠被封鎖,故無法使用這些IP位址(維基媒體基金會全站已預設開啟HTTPS),故仍然視為無法正常瀏覽。
  • 上標註釋:
  1. ^ 1.0 1.1 明文版頁面會自動跳轉至加密版。不考慮HSTS的影響,如果該跳轉步驟能順利完成,則視為可用,標記為黃色勾號。
  2. ^ 根據維基媒體基金會的設置,直接瀏覽toolforge.org會跳轉至wikitech.wikimedia.org的對應toolforge介紹。
  3. ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至維基共享資源首頁。
  4. ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至元維基中的短網址生成頁面

IPv6連接

維基媒體基金會旗下專案均支援IPv6連接,但是目前IPv6尚不成熟,由於運營商路由表最佳化不夠和頻寬有限等原因,其瀏覽效果不如IPv4連接。

目前,透過IPv6:

  • NoN 任何語種的維基百科、中英文維基新聞及中文維基語錄均無法直接瀏覽,且存在TCP重設。
  • checkY 其他維基媒體基金會旗下專案可直接連接。

維基媒體伺服器列表

維基媒體基金會使用下列IP位址提供服務,您可以使用下列IP位址替換教程中提供的IP位址。text-lbupload-lb之間的數據不互通,通常應該使用text-lb中的IP位址,但是對於媒體檔案伺服器(upload.wikimedia.org)及地圖服務(maps.wikimedia.org)則應該使用upload-lb中的IP位址。您可根據延遲丟包率等數據決定使用哪個伺服器。

另需指出Toolforge單獨擁有數據中心,因此不使用以下任何IP位址,而有其專用的IP位址:185.15.56.11

教育網封鎖了部分IPv6地址,使用前應確認可用性。

位置 數據中心名 對應專案 網絡地址
text-lb upload-lb
IPv4地址 IPv6地址 IPv4地址 IPv6地址
 美國阿什本 eqiad 全部專案 208.80.154.224 2620:0:861:ed1a::1 208.80.154.240 2620:0:861:ed1a::2:b
 美國卡羅爾頓 codfw 208.80.153.224 2620:0:860:ed1a::1 208.80.153.240 2620:0:860:ed1a::2:b
 美國三藩市 ulsfo 198.35.26.96 2620:0:863:ed1a::1 198.35.26.112 2620:0:863:ed1a::2:b
 荷蘭阿姆斯特丹 esams 185.15.59.224 2a02:ec80:300:ed1a::1 185.15.59.240 2a02:ec80:300:ed1a::2:b
 新加坡 eqsin 103.102.166.224 2001:df2:e500:ed1a::1 103.102.166.240 2001:df2:e500:ed1a::2:b
 法國馬賽 drmrs 185.15.58.224 2a02:ec80:600:ed1a::1 185.15.58.240 2a02:ec80:600:ed1a::2:b
巴西巴西聖保羅 magru 195.200.68.224 2a02:ec80:700:ed1a::1 195.200.68.240 2a02:ec80:700:ed1a::2:b
在中國大陸可以直接連接的IP位址
? 在中國大陸部分地區可以直接連接,而另外部分地區無法直接連接的IP位址
在中國大陸不能直接連接的IP位址

說明:

  • dumps.wikimedia.org的IP位址不在上述列表中。

透過查詢text-lb.(数据中心名).wikimedia.orgupload-lb.(数据中心名).wikimedia.org(lb是load balancer的縮寫)可以獲得上述的IP位址。透過參考Wikimedia serversWikipedia:伺服器頁面可以獲得維基媒體基金會伺服器的相關資訊。

參見

參考

  1. ^ Wang, Zhongjie; Cao, Yue; Qian, Zhiyun; Song, Chengyu; Krishnamurthy, Srikanth V. Your state is not mine: a closer look at evading stateful internet censorship. ACM. 2017-11. ISBN 978-1-4503-5118-8. doi:10.1145/3131365.3131374 (英語). 
  2. ^ Release Xray-core v1.8.3 · XTLS/Xray-core. GitHub. [2024-01-05]. 
  3. ^ 通过配置Chromium系列浏览器启动参数以解决DNS污染与SNI阻断. nicebowl.fun. (原始內容存檔於2022-08-22).