对近期整治翻墙传闻的评论

2022-11-30

如果网信办所谓的「整治翻墙」措施仅限给李老师的这条投稿(https://mastodon.social/@Leeing/109427544462534490),那它可谓黔驴技穷。图1不涉及技术,所针对的都是国内“供应链”——国内电商平台、应用商店、搜索引擎和 UGC 平台,对已经能翻墙的人几乎没有影响。

这里将探讨 GFW 可能升级的封锁手段及应对,以及如何相对安全地翻墙。

目录

1 可能升级的封锁手段

  1. 封 VPS 服务商 IP 段(敏感时节的惯用手段)——部分自建代理失效
  2. 整治 IDC 等机场上游产业链——部分机场失效
  3. 域名白名单(泉州模式)——白名单上的境外域名可用,其余一概封锁,对不依赖域名/TLS 的翻墙手段无效
  4. 协议白名单——对使用 TLS 伪装、未暴露指纹的翻墙协议无效
  5. IP 白名单——几乎全挂
  6. 局部断网(09年新疆模式)
  7. 全国断外网
  8. 全国断网

非技术性反翻墙手段

  • 抓捕机场主&杀鸡儆猴
  • 请翻墙用户喝茶

2 如何应对封锁升级

翻墙的简单科普:目前主流的翻墙方式是使用 Shadowsocks/V2Ray/Trojan 等加密翻墙代理协议,原理是将流量加密/伪装后发送给境外未被封锁的代理服务器,通过代理间接访问被封锁的目标服务器。你可以租用虚拟私人服务器 VPS 或独服自建代理,也可以从代理服务商那里购买现成的服务。因为 Shadowsocks 的图标是纸飞机,所以这类服务商被称为「机场」。

GFW 对翻墙代理协议的封锁方式主要是主动探测和流量检测(学习识别特定流量特征后封锁),对此翻墙协议目前采取混淆/随机化和伪装(正常 HTTPS 流量)两种策略,与GFW持续博弈。

不少机场依赖不过墙的专线资源,只将代理协议作为载具,不需要凭实力和墙搏斗。专线平时固然更快更稳定,但也更脆弱,党国想断就能断。

对策:

  • 提前储备多个不同类型、原理的翻墙服务/翻墙工具——分散风险,避免单点障碍

3 如何相对安全地翻墙

3.1 翻墙会被抓吗?

有可能,但可能性很低。

翻墙行为本身是无法掩盖的。翻墙必然意味着一个境内IP和一个境外IP持续连接,在外观上就是可疑的,即使用墙内服务器中转最终也还是能溯源的。只是受到资源限制,当局只是在跨境网关上,而不是你家家门外进行流量检测,要务是用技术手段阻止翻墙,而不是抓捕每一个翻墙者(就算要抓也是先抓机场主,翻墙只是“行政违法”,开机场构成“犯罪”)

3.2 避雷蜜罐和内鬼

蜜罐

确实有不少翻墙被喝茶的案例,但这里面有很多人使用了蜜罐VPN(钓鱼执法工具),比如大名鼎鼎的老王VPN。

对策:

  • 检索网上的黑名单,避开蜜罐VPN
  • 远离国内应用商店上的 VPN 类应用
  • 慎用免费 VPN 和公益机场
  • 使用/购买翻墙服务前做好背景调查(谷歌搜素关键词,查看相关论坛、网站和 Telegram 群组的用户反馈)

参见:
PlayBeast|揭秘——毒药机场,一个极其不客观,同时随意曝光用户隐私的机场“测评”机构 (2020-03-25)
数字资源|次元口袋机场,一个粉红爱国机场审计用户翻墙网站导致的机场主跑路事件 (2020-05-28)
数字资源|使用国内翻墙机场的最近要小心,支付接口翻车,跑路风险大增,附机场名单 (2020-07-18)
V2raytech|免费VPN有风险,请慎用 (2020-08-01)
V2raytech|那些年跑路的机场 (2020-12-02)
黑名单
10BEASTS|中国翻墙软件黑名单-持续更新
Telegram 频道 爱国三观正机场推荐

内鬼

国产系统和软件很可能充当内鬼,主动探测代理软件和代理端口,监视、出卖翻墙用户。可能的内鬼包括所有国产安卓手机 ROM,尤其是华为鸿蒙/EMUI,桌面端的 QQ、360 等中资高风险软件。

对策:远离国产系统和软件,使用硬件隔离(翻墙和国产软件分开,专机专用)或虚拟机隔离(用虚拟机隔离国产软件)

3.3 关注次生风险

「原生风险」是指因翻墙行为本身被查,「次生风险」是指由翻墙被查导致翻墙者在墙外平台发表的言论被追究责任。

「次生风险」产生的原因是机场服务在隐私保护做得很差,几乎没有机场承诺「服务器零日志政策」(No-logging policy)。掌控代理服务器的机场主可以看到用户的真实 IP 和访问的网站域名及服务器 IP,但看不到被加密的具体内容,如网站不支持 HTTPS 则可以看到用户浏览的具体内容。一些机场主为了减轻自身责任,有意保存用户浏览记录,配合警方调查。另一方面,不少机场依赖的上游资源商按法律规定必须记录 IP 和端口以便追查,机场主无法自己做主。

「服务器零日志政策」本身是一个无法验证的承诺,用户不可能检查机场的服务器。因此,稳妥起见,你应该只将翻墙工具当作 Tor 和 I2P 等匿名上网工具的【前置代理】「跳板」,让机场主/VPS服务商只能看到 Tor 的入口节点 IP,向他们隐匿你访问的网站域名和服务器 IP。

对策

  • 自建代理(仍有被 VPS 服务商出卖的可能)
  • 选择相对可信的代理服务商(比如机场主在境外,公开反CCP等,但较难证明)
  • 注册/付费环节避免提供国内实名制账号,使用国外邮箱、临时邮箱注册,使用 PayPal、加密货币支付
  • 选择迷雾通
  • 使用 Tor Browser 访问政治敏感网站(如品葱、2047 等)

3.3.1 为什么说迷雾通相对更安全

迷雾通是自由开源软件,在设计上相当注重隐私。在注册环节,迷雾通无需提供邮箱和手机号注册。在付费环节,迷雾通使用盲签名机制,服务器不会将付款信息与用户 IP 相关联。迷雾通服务条款承诺服务器零日志,不主动向第三方披露信息。迷雾通完全不依赖国内的专线资源,是凭硬实力翻墙的技术流。

不同于 Shadowsocks 类协议的单层代理,迷雾通服务是一个双层类 Tor/洋葱路由网络,由众多不公开的桥接服务器和公开的出口服务器两层组成。即使部分服务器被入侵不会导致用户的真实 IP 与浏览记录同时暴露。

迷雾通的开发者 Doctor Eric Yuhao Dong 是加拿大滑铁卢大学 CS PhD、基督徒、非中国公民,从事计算机安全和网络隐私研究,并公开支持民主化、反对中共数字极权。即使你仍然信不过迷雾通,你完全可以放心地把它用作 Tor 的前置代理,如此它所能出卖你的仅仅是你使用了翻墙软件这个事实。

3.3.2 如何使用Tor

Tor 的原理是在数千个志愿节点组成的覆盖网络随机选取 3 个节点,多次转发和加密原始流量,令网络链路中的各环节,包括 ISP、机场/VPS 服务商、Tor 节点都无法同时获知你的真实 IP 和你访问的网站,以此实现网络匿名。

参见 Tor Browser 图文教程(需翻墙,勿直连)
2047 | 沉默的广场:什么是tor,兼谈墙内使用tor浏览器的方法
2047 | Luterngun:【冰箱能听懂的技术贴】如何使用迷雾通+Tor双重代理上2047