跨墙,帝吧出征!
在FB上有个翻墙科技研究中心,有些人不免对我大防火长城抱怨万分,本人想说的是短视的家伙们,我TG的苦心你不懂。墙外的日杂、美分、港独、轮子、六四余孽、台独、慕洋犬们沆瀣一气,抱成团终日想的就是造谣、诽谤、捏造各样看起来似是而非的言论来抹黑TG和中国,如果你不了解他们的伎俩,很快就会被他们掠略,然后就像香港大学的黄同学一样,加入他们一起抹黑大陆。
所以任何使用本文中的方法翻墙的人,请你在看到六独轮的言论后,理性的分析他们的洗脑言论,结合自己生活中的实际情况,莫要做了肉鸡还不知道。
好了,言归正传:
“墙”是什么
伟大的防火长城 GFW 是 TG 为了加强对互联网的管控,下大力气、花大价钱搞出来的。GFW 部署在天朝互联网的国际出口。既然是花大价钱搞出来的,自然是很牛很强大。GFW 具有如下主要功能:
- DNS 欺骗(DNS 污染) “DNS 欺骗”洋文叫“DNS Spoofing”;“DNS 污染”又称为“域名缓存投毒”,洋文叫“DNS Cache Poisoning”。这两者是一个意思,只是叫法不同。如果你使用的是墙外的 DNS 服务器,那么,你每次进行 DNS 查询,都会要经过国际出口。这时候,GFW 会通过该技术手段伪造 DNS 的查询结果使得你查询到的网站 IP 是错误的。如此一来,你自然就无法该网站。顺便说一下,“DNS 欺骗”与“DNS 劫持”是两码事。“DNS 劫持”是指 DNS 服务器上的记录被人为修改成错误的。在天朝,很多国内的 ISP 会故意修改自己 DNS 服务器上的记录,把某些敏感网站的记录修改成错误的。
- IP 封锁(IP 黑名单)
- 敏感词过滤(关键字过滤) GFW 会维护敏感词列表,如果你访问的网页上包含任何一个敏感词,GFW 会通过技术手段屏蔽该页面。
如何应对 GFW
修改 DNS 服务器
这招是翻墙入门者首先要知道的技能。
为啥要“修改 DNS”捏?主要是用来防止“域名劫持”(但是【不能】防“域名污染”)。“域名劫持”的勾当,貌似国内很多运营商(比如上海电信)都干过。所以捏,尽量不要用你所在运营商提供的 DNS 服务器,不保险。毕竟国内的运营商都受到党国的控制,估计他们也身不由己。
俺推荐几个国外的、知名的、人品好的 DNS 给大伙儿参考。
Google 不愧是牛X的公司,而且很人性化——它提供了如下两个很好记的 DNS 服务器。
- 8.8.8.8
- 8.8.4.4
为了防止 GFW 把 Google 的 DNS 服务器封杀掉,大伙儿还得多再备份几个。下面这些 DNS 的 IP 可就没 Google 的 DNS 那么好记了。
OpenDNS:
- 208.67.222.222
- 208.67.220.220
台湾中华电讯的DNS:
- 168.95.192.1
- 168.95.192.2
香港宽频的DNS:
- 203.80.96.9
- 203.80.96.10
修改 hosts 文件
刚才介绍了“修改 DNS 服务器”。但是刚才俺也说了,“修改 DNS 【无法】对付域名污染”。咋办捏?要对付域名污染,有一个比较简单的方法——修改 hosts 文件。下面来介绍一下。
大部分操作系统都支持 hosts 文件,它提供了 IP 的“别名机制”。这种基于 IP 的别名机制,既可以用来对抗前面提到的“域名污染”,也可以对付“域名劫持”。
如何设置
Windows 系统:
> notepad %SystemRoot%\system32\drivers\etc\hosts
Unix-Linux 家族
$ sudo vim /etc/hosts
打开之后,把那些被封锁的网站的 IP 及域名加入 hosts 文件(每行一个)即可。比方说,上述提到的 Google Drive,它的 IP 是 74.125.227.198,那我们只要在 hosts 加入如下一行:
74.125.227.198 drive.google.com
然后就可以像往常一样使用基于 HTTPS 协议的 Google Drive 了。
优缺点分析
好处:
- 不需要安装软件
- 性能好,无需代理
孬处:
- 访问 HTTP 协议网页,且内容包含敏感词,仍无法访问
- 若 GFW 不只封杀域名还封杀 IP,仍无法访问
- 若某个网站的 IP 变化,还得修改 hosts 文件,麻烦。
综上所述,修改hosts文件的法子,只能用于诸如 Google Drive 之类影响力巨大的网站。因为 Google Drive 用的人已经比较多,GFW 不好意思把整个域名及 IP 段都封杀。因此,只好选择性地封锁 HTTPS 协议,而对 HTTP 协议网开一面(HTTP 协议是明文的,便于 GFW 进行关键词过滤)。这种情况下,“修改 hosts 文件”的招数就可以派上用场了。
加密 Web 代理
刚才提到了“修改 Hosts 的局限性”——无法对抗 IP 黑名单。如果某个网站的 IP 地址被列入 GFW 的黑名单,修改 Hosts 文件是没戏的。咋办捏?
不要怕,还有另外一个东东可以穿墙,那就是“加密 Web 代理”。
基于 HTTPS 方式的加密 Web 代理,主要好处是:无需安装其它软件,光靠浏览器就可以搞定。不过捏,HTTPS 代理一旦用的人多了,容易引起 GFW 的注意,死期也就不远了(正所谓人怕出名猪怕壮)。如果你想用这招,就得经常去逛一些代理网站。
代理软件
代理工具的翻墙原理是这样滴:
假设你想通过翻墙代理访问某个被墙的网站(比如反动网站、黄色网站:),这时候会经历如下几个步骤:
- 你的上网软件(通常是浏览器)会把数据发送给你电脑中的代理工具;
- 该工具把数据进行加密,然后发送给国外的某个代理服务器;
- 该代理服务器把数据解密,然后发送给你要访问的网站。
- 从该网站回传的数据,也是经过上述途径,最终回到你的浏览器。
代理的分类
-
加密 不加密 -
协议类型:HTTP SOCKS 代理
VPN
VPN 其实也是在本地与远程的 VPN 服务器之间建立一个加密通道,所有数据都经由国外的 VPN 服务器到达目的网站。但是,与代理软件不同,VPN 软件会在你的系统中虚拟出一个网卡来。然后,你上网的应用程序(不管是何种类型),都可以通过这个虚拟网卡和 VPN 服务端进行数据传输。
有些提供 VPN 服务的公司,比如开源的、大名鼎鼎的 OpenVPN;还有一些则使用自己公司开发的客户端——因此你需要到它的官方站点下载。
SSH
常用翻墙工具
这些工具原理基本都是基于上述所说的代理软件、VPN等。
- VPN Gate
- 蓝灯(lantern)
- 赛风(psiphone): 轮子作品
- 无界
- 自由门(freegate):轮子作品
- TOR + meek
- I2P
- SS(ShadowSocks)SSR
- VPS
- …
这些软件除了 I2P 还算坚挺,其他的只要用户数量一大,很容易被封。然后他们就得更换代理服务器,所以越小众化的翻墙越不容易被封。
好多程序员都花钱在国外租一台服务器,然后开通代理自己搭建服务器翻墙,但是如果这样做的人多了,GFW 就会封杀国外的服务器,比如阿里的北美服务器,亚马逊的服务器都被封杀过。
所以越小众化的服务器越好,比如某个大学,比如一些老不死的开源社区(freeshell.org)(哈,很难申请的,申请上了就基本不被封)。
GFW 发展到今天,再加上大数据分析,很容易就能发现各样的翻墙服务器,就看它鸟不鸟你。选服务器一定要小众。
好了,释放一篇去年写的 SSH 翻墙方法,因为小众,所以用了3、4年一直没被封。