Friday, November 28, 2014

翻墙问答﹕Detekt软件是否可侦测电脑病毒﹖

问: 一直以来,中国网民都受到政府以间谍软件方式监视。最近,国际特赦组织推出了软件,协助网民自行测试自己的电脑有否受到间谍软作监视。这软件原理是怎样?又能如何帮助到中国网民?


李建军: 现时间谍软件有多神通广大都好,间谍软件一如其他电脑病毒或木马一样,他们在你的电脑收集了资料后,仍然要通过互联网将资料传回控制主机。因此,只要掌握常用间谍软件的传送资料方式,以及在电脑内进行的古怪行为,就可以判断是否有间谍软件在你的电脑内运行。


由德国人所写的Detekt就是根据各网络民权组织,以及保安专家在间谍软件上的研究成果,掌握到间谍软件运行时常见的古怪行为,协助用户以简单的方式检查电脑内是否有间谍软件,以便寻求进一步的协助。


问: 那怎样可以下载到Detekt?运行Detekt电脑又有什么要求?


李建军: 只要先翻墙,然后在谷歌搜寻Detekt六个英文字,就会找到软件的网站,可以免费下载。但由于现时软件只有英文版,未有中文版,因此,使用时难免要翻一翻字典。


下载后不用安装,就可以直接运行。要注意的是,现时Windows 8.1、Mac OS X以及Linux都不能够运行Detekt。在Windows XP,不用作任何特别设定,就可以运行。而在Windows Vista、Windows 7以及Windows 8,就需要有管理员权限才可运行。换言之,在执行Windows Vista、Windows 7和Windows 8的网吧,就不适合运行这软件。而执行时,为结果准确起见,请截断电脑一切互联网通讯。


问: 那Detekt能否铲除间谍软件?


李建军: Detekt不能够铲除间谍软件,只能够指出你的电脑可能有什么间谍软件在执行,以便你寻求进一步援助。


由于Detekt开发时,比较针对西方国家,以及中东国家政府使用的间谍软件技术,Detekt有可能未能侦测到由中国当局所写的软件。但有这类软件,对用户的安全保障肯定远胜于无。

问: 如果真的被人安装了间谍软件又怎办?


李建军: 有部分间谍软件,其中可以透过简单的软件加以移除,如果软件发现的间谍软件,在网上都有移除方法介绍,可以在备份了电脑内的资料后,尝试自行移除有关软件。


但有部分间谍软件,很可能难以移除,那你只剩下两个选择。你可以选择不再使用受感染电脑连接互联网,只作离线用途﹔或备份了重要资料后,将整部电脑的硬碟格式化或乾脆换另一个新硬碟,重新安装作业系统。而不少间谍软件,都与作业系统紧密相连,很可能要被迫做如此痛苦的抉择。


问: 针对Detekt未支援的作业系统,又可以怎么办?


李建军: 先谈比较普及又容易受间谍软件感染的Windows 8.1。在未有Detekt一类由志愿组织开发的反间谍软件支援前,部分重要的操作应避免在Windows 8.1环境下进行,尝试在Windows 8下已证实安全的电脑进行比较稳当。


Mac OS X以及Linux虽然未有Detekt一类软件支援,但由于UNIX系作业系统的保安设计缘故,间谍软件一般很难成功植入电脑之中,这也是暂时为止,Mac和Linux未有这样急切需要间谍软件侦测程式的原因。


至于手机的iOS,以及Android,只要不胡乱做越狱或root机的动作,亦不要随便打开奇怪的软件或电邮附件,暂时都未见手机间谍软件肆虐的情况。而iOS和Android与Mac和Linux一样,都是UNIX系的作业系统,其实设计上相对于Windows都来得安全,比较能抵御间谍软件入侵。


原文:http://ift.tt/1w25nRt








via 细节的力量 http://ift.tt/1rFhDkc

Tuesday, November 25, 2014

VPN翻墙,不安全的加密,不要相信墙内公司

翻墙手段中很重要的一种就是利用VPN翻墙,这种方法可以说技术门槛相当低,就是多数时候花钱才能享受到高质量的服务。


先介绍一下VPN:VPN是Vitral Private Network(虚拟专用网)的缩写,本来是用于企业的一种网络服务,原理是客户端使用相应的VPN协议先与VPN服务器进行通信,成功连接后就在操作系统内建立一个虚拟网卡,一般来说默认PC上所有网络通信都从这虚拟网卡上进出,经过VPN服务器中转之后再到达目的地。通常VPN协议都会对数据流进行强加密处理,从而使得第三方(例如GFW)无法知道数据内容,这样就实现了翻墙。翻墙时VPN服务器知道你干的所有事情(HTT[P,对于HTTPS,它知道你去了哪)。(下面有流程图)


VPN协议主要有这几种:PPTP,L2TP,IPSEC,OPENVPN,SSL VPN,Ikev2 VPN,Cisco VPN,其中的PPTP和L2TP是明文传输协议。对,他们是明文传输协议,但为什么还是有不少人能用这两种方式翻墙呢?


当一名用户在使用PPTPVPN翻墙时,实际上他同时启用了128位的MPPE(微软点对点加密)算法来为数据进行加密(具体可以看http://ift.tt/1AM4le3


还有”MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp vpn抓包了的话,可以推出后续的session key从而解密整个pptp vpn流量。所以说PPTP vpn缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量“具体看http://ift.tt/1rmXgs3


这里提一下:我看到有人反馈说当shadowsocks的加密连接算法设置为默认的RC4或略有改进的RC4-MD5时,用上一段时间就会被GFW封锁,需要改密码或IP才能继续使用,一开始我推测是特征检测,但理论上来说特征检测是不受加密方式影响的,换句话说如果GFW成功识别了shadowsocks与远程服务器建立连接时的特征,那么不管使用什么加密方式都会很快被GFW干扰,而不会只有RC4-MD5和RC4连接被干扰,那么最大的可能就是GFW可以破解RC4-MD5,而这同时也是MPPE使用的加密算法,那么PPTPVPN就不再安全了


L2TP则不含任何认证和加密功能,都是由 IPSec 负责的,IKE是 IPSec 的一部分;L2TP 本身只完成数据传输之类的工作,不负责认证和加密,需要配合其它安全协议使用,例如 L2TP/IPSec 这样的,当然这是可选的可以不用,不用的话就没有安全性可言了。用了也不能保证安全,L2TP/IPSec并未被GFW严重封锁,搞不好就是故意的,为了更好的欺骗我们翻墙党同时进行监控。


OPENVPN在12年18大之后就被特征检测搞得半残了,不过现在有些地方效果还不错。OPENVPN的身份验证机制很完善,隧道加密程度也非常强(OPENSSL加密算法)所以也被封锁的很严重(具体看http://ift.tt/1rmXdMU


很多人(包括以前的我)都认为GFW的唯一目的就是封锁。封锁一定是主要目的,原因我们翻墙党都很清楚,但请大家想一下为什么墙内还有那么多VPN服务提供商存在呢?和天朝相似的伊朗直接在法律中写上了使用VPN违法,但为什么到现在共匪都没有这么做呢?


共匪要用经济发展换取统治合法性,就不可能像朝鲜那样建立天朝局域网,否则人家外资怎么进得来呢?墙内还有一大堆企业依靠墙外的互联网服务呢(例如云计算平台)。GFW越来越高的误伤率已经引起了不少人的不满,共匪又从来不肯公开承认GFW的存在,害怕翻墙者增多以及自己制造的”墙内互联网是自由的“的谎言破灭。要说把翻墙的人都抓起来,也不现实:一是翻墙的人太多(至少千万),而且不少人都不关心政治,抓了反倒起反效果,让更多人知道GFW的存在外加更关心政治;二是GFW本身就没有任何法律依据,就算抓了,怎么判决呢?共匪官方说辞里面GFW是不存在的,要是因为翻墙抓人,不是直接自打脸了吗?三是GFW误伤了太多科技类网站,搞得科研人员已经把翻墙作为必修技能之一了,要是谁翻墙就抓谁,科研人员怎么办?四是不少翻墙软件都引入了流量混淆技术(例如TOR和赛风三),很多时候GFW都判断不出用户是不是在翻墙,怎么抓啊?五是如果共匪真的什么都不顾,谁连接外网就抓谁,那么必然会激起众怒(去年封锁了github就引起不少程序员的抗议,最后GFW被迫解封),只会让自己快速倒台。


所以GFW采取了一个办法:故意让墙内活动着一批VPN服务提供商(这些公司都是随时会把用户流量日志送给共匪的),同时不断封锁那些无法控制的翻墙软件和付费VPN,对于可以轻易破解的PPTP和L2TP则故意放开一码,不惹怒太多人的同时又进行欺骗,让一些人以为自己安全,其实自己的一举一动都已经在共匪的监视当中了,如果进行了什么”煽动颠覆国家政权“的行动就会被查水表(我用流程图表示出这一过程)


还有一个证据:有人反映不少墙内VPN都没办法作为TOR的前置代理:”國內vpn貌似都是有問題的呀(都不支持Tor)


打開Tor瀏覽器顯示洋蔥頭是打x的,沒有變成綠色的洋蔥頭。


只有連接國外vpn,Tor的洋蔥頭才是綠色的“


”国内VPN不仅过滤域名,IP,甚至过滤协议,审查浏览记录,各种无节操“


”有可能如你所说——国内 VPN 对 IP 或域名进行了过滤,导致 TOR 无法用【国内】VPN 做前置代理。


另外,国内 VPN 的提供者,很容易受到朝廷的胁迫。


因此,朝廷很容易拿到这些 VPN 服务器上的访问日志。


所以,俺自己从来不用这类 VPN,也建议“高危人群”不要用“


http://ift.tt/1AM4nTj


墙内VPN的客户端很可能就有后门,那么你的防线就会全面崩溃,所以不要使用墙内的VPN服务(除非你只打算浏览网页)


我在http://ift.tt/1rmXdMW


最后照例附上科普文链接集合:http://ift.tt/1Fb6f5L



原文:http://ift.tt/1AM4o9D








via 细节的力量 http://ift.tt/1AM4o9Q

维基百科设立Tor中继

在实名制社交网站Facebook设立加密Tor网站 之后,十大流行网站之一的维基百科也迈出了支持Tor的一小步。维基基金会通过邮件列表透露 ,它设立了一个非出口的Tor中继 。维基基金会称,这个贡献对Tor网络非常小,人人都能做到。它表示尚无计划运行出口中继或设立一个基于隐藏服务的Tor网站,同时表示对于支持隐私和匿名持开放立场。维基百科(至少中文维基)长期以来一直禁止通过Tor编辑条目。


原文:http://ift.tt/11lBoqd








via 细节的力量 http://ift.tt/1xxMFg2

特赦国际:对抗政府网络监视的新工具

@paopaonet:特赦国际@amnesty 发布对抗政府网络监视的新工具【Detekt】。这个工具将有助于揭露一些被政府用来监视的间谍软件程序,从而保护记者和社会积极分子的隐私安全。http://goo.gl/XW41HW

原文:http://ift.tt/1uzGXYI








via 细节的力量 http://ift.tt/1xxMFfW

Sunday, November 23, 2014

GoAgent发布3.2.3版

goagent 3.2.3 正式版下载 http://git.io/goa


最近更新



  • [1122 否] 3.2.3 正式版,修复 MacOSX/Linux 平台 CPU 100% 的问题;托盘图标支持设置ADSL拨号网络代理(注意:拨号网络请使用英文名称)。


讨论区



文档



代码



原文:http://ift.tt/PllHbQ








via 细节的力量 http://ift.tt/1C1lfqI

蓝灯 Lantern – v1.5.12(2014-11-22)

2014-11-22发布不需要邀请的蓝灯Lantern v1.5.12,最近Lantern连续更新多个版本,请网友及时更新。


据Lantern官方说明,Lantern是一个遍布全球的网络,它的成员们互相合作来打击互联网审查,通过我们新的点对点翻墙软件,人们 可以提供连接,也可以在连接受限的地方连到网络。联起手来,为每一个人创造一个平等的互联网!


项目主页:

http://ift.tt/YxWwIM

https://getlantern.org/

http://ift.tt/1qJbS4c

http://ift.tt/1vF6h5M

http://ift.tt/1nv2VbX


最新版下载:


* 本文原文链接:蓝灯 Lantern – v1.5.12(2014-11-22)美博园 *


Latest Lantern Release v.1.5.12 (2014-11-22)


http://ift.tt/1xYfapT (Windows XP SP3 and above)


http://ift.tt/1xYfapV (OSX 10.7 64 bit and above)


http://ift.tt/1HxCuA6 (Ubuntu 14.04 and above 32 bit)


http://ift.tt/1xYfaGd (Ubuntu 14.04 and above 64 bit)


Lantern 的目标是:


打 造一个高速、可靠的通向自由的互联网的连接。有了 Lantern,每一台电脑都可以变成服务器。通过运行 Lantern,每一个拥有不受审查的网络的用户可以为那些没有条件的用户提供连接,以此来提供连接到被审查网站(如 Twitter、Facebook 和 YouTube)的途径。


Lantern 的核心是信任网络。以只邀请信任的联系人和朋友并向他们分享互联网连接这种方式,每个人互相帮助,在扩大网络的同时使它仍能对抗审查者的封锁。


以前的使用方法参考:


新翻墙软件Lantern(灯笼、神灯)使用教程 – 美博园


常见问题答疑


Lantern安全性如何?


Lantern 用了很大的精力来确保使用者的安全,不过,在某些情况下,我们无法做到这一点。因此,用户有必要了解如何安全地使用 Lantern。对于在被封锁区域中的用户,非常重要的一点是,只添加您真正信任的人作为您的 Lantern 好友。在您访问网络的时候,所有的流量都将通过这些用户的计算机。如果您添加了您并不信任的朋友,您就得承担添加一个可能会监视您的用户的风险。因此,只 添加您信任的朋友。此外,Lantern 也会把您的流量通过四层朋友圈以内的用户发送出去,也就是从您的朋友的朋友的朋友的朋友的计算机发送出去。我们就是通过这种手段来建立一个拥有更强可连接 性,并且可大可小的网络,因为,被封锁区的人通常没有封锁区外的直接朋友。然而,每多一层联系,就会让您暴露于更加不可信任的用户的视线中(即,您对朋友 的朋友的信任程度比您对于朋友的信任程度要低)。请牢记,Lantern 是提供访问的工具,而不是防止监视的工具。


Lantern 不是匿名工具。如果您希望您访问的网站无法获取您的IP地址或物理地址(基本上他们都能做到这一点,而您可能并不知道),或者您不希望网络监视者知道您访 问了哪些网站,我们推荐您使用 tor。Tor 是个非常出色的软件,我们也经常与他们团队交流。再重申一次,Lantern 的目的是让您可以连接,而 Tor 的目的则是让您匿名。


关于安全的最后一点提醒:无论您用什么工具(包括 Lantern 和 Tor),请不要在政府禁止发布敏感信息的地区的网站上发布这些信息,特别是当您居住在那个地区的时候。这是因为像政府这样的全局网络监管者可以查出是您放置了这个信息并最终找到您。


Lantern收集什么个人信息?



当我无法连上任何提供连接的用户时,Lantern如何工作?


为了让Lantern网络启动,我们设立了 Lantern云服务器。当没有其他用户可以提供访问的时候,会启用这个服务器。我们希望,随着Lantern网络的发展,用户群将会足够大,这个服务器会越来越少。


我们另一个计划是给人们一个选择,让他们可以赞助专用的Lantern云服务器,给他们自己或朋友使用。我们也希望有多余计算能力的公司能与我们合作,捐赠服务器给Lantern网络,来帮助因特网上的自由。

Lantern跟其他工具比较有何特点?


Lantern 的目标是给用户提供快速,安全和方便的访问因特网的方法。Tor是另一个工具,用于规避网络审查。他的目的是匿名,翻墙只是一个可能的副产品。因此,用 Tor看网页比较慢。匿名不重要的时候,用Lantern比较快。与其他翻墙工具相比 (GoAgent,Freegate,Ultrasurf,Psiphon,Autoproxy),Lantern的优点是,即使在存在封锁的情况下,他 仍旧容易安装和使用,以及他的信任点对点网络,很容易扩充。


在不作任何配置的情况下,Lantern像一个代理一样运行。也就是说,电脑上的浏览器自动使用他,不需要你修改任何设置。一些其他工具只能运行于某种浏览器,或者需要复杂的设置。


另一个Lantenr的设计特点是他的点对点架构(peer-to-peera),这样它可以让数据同时从很多电脑传过来,而不是从一个单个服务器。点对点架构可以让网络扩大到亿万用户而只花费很少的代价。


最近,Lantern团队做了一个 uProxy。 是Google Idea赞助的项目。他与Lantern有类似的地方,但也有重要区别。首先,Lantern是独立的应用,在后台运行,而uProxy是浏览器插件,需 要请一个朋友作为你的代理,而Lantern可以有很多直接间接的朋友当代理。另一个差异是,Lantern连接多达4层的朋友,而uProxy只连接一 个直接朋友。最后,Lantern只在访问被封锁的网站时通过代理,而uProxy的所有访问都通过你的朋友。

Lantern为什么不默认设置全局代理?


Lantern使用“需要代理的网站列表”有几个原因。首先是效率,直接访问网站比经过代理要快,无论有多少代理。因此,不被封锁的网站应直接访问,而不必经过Lantern。


第 二个理由是,对于监视你的行为的审查者,你的信息流不像是在运行一个翻墙软件。这样,你不是用加密的方式与一个或少数几个境外的电脑联系,而是与很多与不 再你的列表中的电脑交换信息,与没有运行Lantern没有区别。也就是说,只代理那些被封锁的网站,让这些信息淹没在其他信息中。


信任圈如何工作?将他人加为好友是什么意思?


Lantern是建立在信任网络的基础上,他让相互信任的朋友分享网络连接。当你和另一个使用者相互是Lantern朋友时,你们用Lantern相互代理因特网访问。不过,如果Lantern只通过直接朋友代理,使用者常常会因为没有直接朋友在线,而无法得到代理服务。


为 了减轻这个,Lantern用户在信任网络中发掘可以提供访问的朋友,最深可达4层。比如,你要用Lantern来访问因特网,是你的哥哥的合伙人的母亲 的朋友提供了代理。如果她是个网络审查者,她会封锁或分析你的访问。另一方面,如果你用Lantern阅读或发表私人或敏感信息,就好象是她的电脑在阅读 或发表。因此,所有运行Lantern的应该只把它信任的人作为朋友,并且,只使用Lantern来传递非私人和非敏感信息。


通过只添加你信任的朋友,你不光保护你自己,也保护了你的朋友,他们的朋友,朋友的朋友,等等。通过容许使用者在信任网络中深入发掘,Lantern增加了可用的代理,并且维护了抵御封锁的能力。

如何下载Lantern?


Lantern不再受理邀请请求。为了保护Lantern对审查的渗透,现在所有的邀请都只能在朋友与朋友之间。如果您认识并且信任某个已经在使用Lantern的人,请联系他们获得邀请。


我位于没有网络审查的地区,也不认识位于网络审查地区的人,我能不能提供帮助?


当 然了!在封锁区的人还是可以通过你的朋友知道你。因此,虽然你不认识居住在封锁区的人,你的朋友可能知道,朋友的朋友更可能知道。如果你持续运行 Lantern,并添加你信任的朋友,最终,你会被连到一个需要你的用户。这就是为什么邀请你的朋友加入Lantern的重要性。他增加了你帮助封锁区人 们的机会。


Lantern安装完毕,接下来呢?


对于在非封锁区的用户,安装Lantern后有两件基础性工作要做:


— 尽可能多地使用Lantern。


— 添加更多的你信任的用户成为 Lantern 朋友。


每 当你运行Lantern,就建立了一个访问点,封锁区的人可以用它来访问自由的因特网。不过,请了解,只有在你的Lantern网络上的人才能连到你的电 脑。这也是为什么第二步非常关键。你的Lantern网络越大,你帮助别人的机会就越大。因此,请务必邀请尽可能多的你信任的人!


Lantern 会导致我的计算机易受黑客攻击吗?


Lantern 采取一些措施来确保用户的安全。首先,Lantern不允许连接到你的人查看电脑上的内容。他只是容许他使用你的因特网连线。传输的内容是加密的,中间人 (政府或网络提供商或其他人)无法阅读。Lantern还要求所有的连接相互授权,也就是说,只有在你的信任网络中的用户才可以连接到你,而其他人不行。


Lantern是免费的吗?使用它会产生什么花费?


Lantern 是免费的开源软件:可以根据协议自由使用、修改和分发。


如果你的因特网连接带宽是有限的,那么提供其他人访问会包含在这个带宽中。我们建议只在没有带宽限制的电脑上运行Lantern。


如何提供帮助?


请参阅 参与其中


如果还有疑问,应该去哪里获得帮助?


如果有其他技术问题,请参阅开发者问答。也可以在 用户论坛 或 开发者论坛 上发帖。

* * *

※ 本文由美博园(allinfa.com)根据官方介绍整理发布。

* * *


原文:http://ift.tt/1xmXlOo








via 细节的力量 http://ift.tt/1xmXnps

TOR网桥,主动探测攻击和烧钱的GFW

随着GFW的不断升级,goagent以及其他基于GAE开发的翻墙软件越来越不好使,自由门和无界还有赛风在很多地方也瘫痪了,VPN的PPTP协议与L2TP协议也不再安全(共匪已经拥有解密这两种协议的能力了),OPENVPN被特征检测搞得半残了,其他手段基本上是要花钱或者进行复杂配置,所以TOR又成了很多人的选择,特别是TOR最新出了MEEK插件和obfs4网桥。MEEK插件我曾经介绍过 http://ift.tt/1Fb6hdT ,这次就来聊聊obfs4网桥究竟有什么特别之处以及GFW是如何屏蔽TOR的。

2011年有中共匪国的TOR用户报告说一个网桥在使用几分钟之后就被GFW屏蔽了(当时是obfs2网桥,后来TOR官方正式宣布放弃对obfs2网桥的技术支持),GFW究竟是如何做到的呢?


注意我前面提到的一个词:特征检测。简单来说,很多互联网连接建立时都会有着某些特征(可以想象成他们都是一些有个性的人,打招呼时用的是自己的方式,从而很容易被别人从人堆里认出来),这些特征在一大堆流量里是很容易被认出来的(例如一大堆明文流量里的加密流量就非常显眼,TOR也有一样的问题,所以墙内使用TOR的人越多,诸位TOR用户和我就越安全,请为了自己的安全推广TOR),而GFW就是利用了这一点:众所周知墙内无法直连TOR(不过前段时间有份实验报告中提到在教育网TOR还是可以直连的,有条件的人可以试一下,不过即使是能直连也建议不要直连,因为TOR流量实在是太特别了,一定会成为重点监控对象,最好通过网桥或者前置代理掩盖TOR流量),因为GFW一是把绝大部分中继节点和目录服务器的IP都加入了黑名单(TOR要先与目录服务器连接获取节点信息再与节点连接建立环路,TOR中继的信息都是公开的,GFW的走狗们去网站 http://ift.tt/1Fb6hdV 就能把中继节点的IP放到黑名单里了),二是利用特征检测识别出了TOR流量并在TOR请求连接时进行阻断,具体来说就是放过走到墙外的TCP请求流,阻断返回的TCP数据流,这样TOR就无法正常建立连接了。

为了对付封锁,TOR团队就开发出了网桥,不过obfs2网桥依旧是在连接时会表现得很特别(具体来说GFW用了DPI(Deep Packet Inspection,深度包检测
http://ift.tt/1HxwreZ )检测到当一个天朝用户试图连接网桥或中继节点时,TOR客户端会发送一个密码列表进行TLS连接(TLS hello,为了与网桥建立HTTPS连接,TOR连接直到出口节点都是HTTPS强加密连接),这一过程非常独特,只有TOR会这么表现,那么GFW就会意识到这是在与TOR网桥进行通信),GFW意识到这一点后就进行了主动探测攻击(我试着用流程图表示出攻击过程),从而将网桥废掉。

obfs3比起obfs2改进了不少,但依旧可以被GFW用主动探测攻击屏蔽,于是为了应对GFW,obfs4横空出世了。

看看obfs4的配置:Bridge obfs4
178.209.52.110:443 67E72FF33D7D41BF11C569646A0A7B4B188340DF cert=Z+cv8z19Qb8RxWlkagp7SxiDQN++b7D2Tntowhf+j4D15/kLuj3EoSSGvuREGPc3h60Ofw iat-mode=0

比起obfs3,后面多了一大堆:“67E72FF33D7D41BF11C569646A0A7B4B188340DF”是建立连接时的验证密码,和后面的证书“cert=Z+cv8z19Qb8RxWlkagp7SxiDQN++b7D2Tntowhf+j4D15/kLuj3EoSSGvuREGPc3h60Ofw”一起建立了一个严格的连接验证机制,这样一来GFW就没办法伪装成TOR客户端与网桥进行连接了,而且也改进了连接时所用的协议,GFW要想进行特征检测很困难。

但其实还有一个问题没有解决:网桥不是公开的,但可以去
http://ift.tt/qYFiXg 或者通过邮件(具体看这里 http://ift.tt/qaVYdw )获取网桥,那么,GFW的走狗们也可以这么做,然后把获取到的网桥加入黑名单,从而使得诸位找网桥变得困难。关于如何解决这一点我有一个想法:网桥中继也许可以采取像自由门一样的动态IP技术(很多人以为自由门就是简单的连接代理服务器然后翻墙,但如果就是如此,那么自由门早就废掉了,我打开资源监视器之后发现自由门同时与不少IP进行连接,而且不断在变动,还与两个后面相同的域名一直连接着: 111-252-81-24.dynamic.hinet.net 61-230-111-251.dynamic.hinet.net ,我打不开这两个域名对应的网页,但应该是动态网公司的服务器域名,可能自由门就是从这里即时更新代理服务器IP,使共匪无法封锁;还有一个 61-67-165-host139.kbtelecom.net.tw ,依旧是打不开,这三个域名应该对应的都不是网页,而是IP地址库),每个网桥都拥有IP地址库,当第一次用网桥连上TOR后就即时变换IP,如果发现网桥被封锁就自动与IP地址库连接(我不知道动态网公司是怎么做到不让共匪全面封锁他们的主机的,也许是在重要的平台上搭建的地址库(例如云计算平台,例如电子商务平台。解说一下:为了节省成本,不少网站都采用了在同一台服务器主机上搭建VPS共用IP的策略,所以GFW的IP屏蔽误伤率非常高))更新网桥IP从而重新连接上。但自由门一直都不开源,动态网公司也一直不肯说明技术细节,所以要实现这一想法非常困难:(

论技术,GFW没有多高明,特征检测IP屏蔽之类早就不是新领域了,要不是该死的思科(卖给共匪核心技术和大量设备),GFW都不见得能搭建起来,但GFW通过砸了N多天朝屁民们的血汗钱,硬是将95%的流量困在了墙内!共匪倒台之后,建立维护GFW的钱一定要回到我们每个人手上!

参考资料:
http://ift.tt/Kx4MSl “How the Great Firewall of China is Blocking Tor” http://ift.tt/1Hxwt6x

补充一下torrc文件设置方法(网桥版本):

AvoidDiskWrites 1

SocksListenAddress 127.0.0.1

ControlPort 9151

SocksPort 9150

HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C

UpdateBridgesFromAuthority 1

DirReqStatistics 0

ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}

ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}

StrictNodes 1

最后照例附上科普文链接集合:
http://ift.tt/1Fb6f5L 

來源: http://ift.tt/1Hxwt6y
BY: Ghost Assassin


原文:http://ift.tt/1Hxwt6G








via 细节的力量 http://ift.tt/1qUnxDk

Android翻墙利器 Fqrouter 发布 2.12.2 版本 优化instgram的访问速度

下載鏈接:http://ift.tt/1bXDNcB


修复Android 5.0 无法使用的问题

优化instgram的访问速度

支持goagent 3.2.0

VPN模式可退出

shadowsocks rc4-md5

fqrouter是一个Android 安卓手机翻墙工具,现在更新到2.11.9版。默认使用的是一些公共代理,但是为了更加安全,你自己有代理服务器,也可以进入Settings自己添加。支持的代理协议有:GoAgent,SSH, HTTP代理,WEBVPN 以及 ShadowSocks。

官方主页:http://fqrouter.com/

项目源码托管:http://ift.tt/150nHIS

Google Play 鏈接:http://ift.tt/11rblNx


What’s fqrouter

It is a software designed to help you circumvent Great Firewall of China (GFW). Fqrouter has a number of public proxies built-in, so it works out of box by just one click. It works on Android mobile, without ROOT permission. If ROOT permission is given, it can also run as “router”. Being router means, not only the Android mobile running fqrouter is able to access restricted websites, it can “share” the free internet to other devices.


GFW Circumvention

fqrouter use the following methods concurrently to circumvent GFW:



  1. Bypass: scramble TCP protocol, to avoid URL keyword filtering

  2. Bypass: scramble HTTP protocol, to avoid URL keyword filtering

  3. Bypass: manually query DNS to resolve correct ip to avoid DNS hijacking

  4. Bypass: resolving google.com to not blocked ip to avoid SSL packet drop

  5. Proxy: GoAgent/SSH/HTTP/SPDY/Shadowsocks


fqrouter can bypass GFW, but there are cases (IP blocked) fqrouter has to fallback to use proxy. To maximize the stability and speed, fqrouter will try to use proxies smartly:



  1. Direct Access: for China ip

  2. Direct Access: direct connection is tried first, use proxy only if direct access blocked

  3. Fallback: one proxy died will fallback to another, without corrupting the connection

  4. Fallback: when scrambler not working, fallback to proxy transparently

  5. Load balancing: proxies used in round robin way


Free Internet Sharing

There are a number of ways to share free internet to other devices via fqrouter.



  1. wifi in => fqrouter => wifi out (A.K.A wifi repeater)

  2. Pick & Play

  3. 3G in => fqrouter => wifi out (Android built-in)

  4. 3G/wifi in => fqrouter => usb out (Android built-in)

  5. 3G/wifi in => fqrouter => bluetooth out (Android built-in)

  6. lan in => fqrouter => wifi out (some set-top box)


Wifi repeater is a unique feature, however it requires hardware/driver support


Pick & Play scan the devices in your LAN, and forge the default gateway to redirect their traffic via fqrouter


History

fqrotuer project was started as a ROM for tplink-wr703n, a mini wireless router capable of running 3rd party OS OpenWRT. At that time, I did not believe it is possible to make Android mobile phone as wireless router. But after the discovery of ways to start wifi hotspot concurrently with normal wifi connection on Android phones, the development focus then shifted from OpenWRT to Android. However, the support of OpenWRT is still on my radar, home wifi-router running OpenWRT is still the best platform for infrastructure depl;oyment, such as Home/Office.


原文:http://ift.tt/1AvBieA








via 细节的力量 http://ift.tt/1xmPjVQ

不懂代码也会写HOST!(二)如何找出WINDOWS和ANDROID应用程序所使用的域名


  • Windows


对于一般的Windows应用程序来说,Chrome的方法自然是没用。说到底,找域名的终极方法就是想办法把网络访问日志抓出来,那么我们就可以想想,Windows下有什么可以抓日志的软件呢?不少防火墙都有日志功能,但还得再装个软件……这里有个更简单的方法,而且不少经常翻墙的朋友都有安装,我们可以马上拿来用,就是GoAgent。


首先想办法让你的GoAgent能够正常使用,不管是改配置文件甚至是在VPN后跑GoAgent都可以。


然后就是想办法让你的目标应用程序跑在GoAgent下。大多数Windows应用程序都支持设定代理服务器,或者干脆使用IE代理:



然后让你的目标应用程序跑起来,GoAgent就会输出日志:




(屏蔽了一些可能泄露隐私的东西。)


从日志中可以清楚地看到应用程序所使用的域名,记录下来——可能需要手打。若日志跑得太快,请配合截图。



  • Android


早些时候我都是靠抓包来出Android域名表的,后来实在受不了了,便公开征求了一下方案,有人推荐了“AdAway”,中文名叫“广告走开”——很多朋友也使用它同步Host文件。


那么首先在你的Android设备上安装AdAway: GitHub(源码) F-droid(应用市场) 酷安(应用市场) 。记住,这货需要ROOT。


以下使用民间汉化版作介绍,英文版请自己对照。首先打开AdAway,在菜单里选择“记录DNS请求”:



然后启动TCPdump:



启动完毕后,便可以让它在后台默默运行了。这时我们回到启动器,随便启动一个被墙的APP比如FaceBook或者Twitter之类。当然,如果你没有翻墙的话,是运行不起来的。这时我们回到AdAway,打开日志文件:



域名出来了。


需要注意的是:1,这里只会记录DNS请求,如果一个域名已经在host里有对应的IP,那么系统是不会进行DNS请求的,TCPdump也不会记录。2,过程虽然简单,但收集一个APP完整的所需域名的清单,可能需要你多次重启手机,请务必保持耐心



  • 拾遗


一些收集域名中可能用到的小技巧会写在这里,未来可能会有更新:


当你看到一个域名,比如clients2.google.com,那么你应该会想到还有clients1.google.com或者clients3.google.com,在墙外Ping一下试试能不能解析。

两个监控网络的小工具,我一直在用,功能值得大家探索:Windows上的
IP雷达 ,Android上的OS Monitor 。虽然同类软件有很多,但这两个免费,小巧,不流氓。


————————————————————我是萌萌哒分割线————————————————————


下期开始讲收集到域名后,如何找能用IP地址。你问我iOS怎么抓域名?我不会啦……而且我只有一台iPod Touch……









via 细节的力量 http://ift.tt/1vdfcu3

Friday, November 21, 2014

自由亚洲电台新版app

RFA-APP620.jpg


Photo: RFA


问:最近本台的app在iOS的版本更新了,请问这次更新对听众有什么好处?


李建军:新版的自由亚洲电台应用程式,主要是针对iPhone及 iPad的使用者﹐ 能够提供更多多媒体内容,丰富听众所得到资讯的内容。另一方面,在应用程式介面设计上,图像比以往大得多,更容易操作。而在社交网站支援方面,亦令听众除了在推特和面书外,亦可以在谷歌+分享内容,基本上听众主流在墙外使用的社交网站都支援得到。但听众留意﹐你要下载﹐才能有本台的新版app。


而新版的自由亚洲电台应用程式,亦支援Chromecast。只要将Chromecast插到支援HDMI的电视机中,再配合新的应用程式,你不只能在iPhone和iPad上看到自由亚洲电台的内容,亦可以透过Chromecast在电视上收看,大大改进了收看应用程式上视频的体验,不再拘限于支援Airplay的设备。


问:那可以在哪里买到Chromecast?


Chromecast刚登陆香港,如果香港有亲友的话,可以透过Google Play订购,再托亲友寄回大陆。由于Chromecast相当小巧,因此应该不难如一般信件一样寄到府上。就算亲友携回大陆,由于像U盘一般大,不会阻碍任何行李空间。


问:最近在下载Mozilla插件,或个别开放源码软件时,一直都未能够成功下载,直至翻墙后,才能够下载插件或软件。到底发生了什么问题?是否与中国当局的网络封锁有关?


李建军:最近有报告指,中国当局封锁Edgecast的CDN服务,而很多Mozilla插件开发商,以至开放源码计划的下载主机都使用Edgecast的CDN,由于Edgecast CDN被封锁引发的连锁反应,导致中国听众在使用一些与政治无关的服务上出现问题。


问:那什么叫CDN?


李建军:CDN是Content Delivery Network的简称,针对使用人数众多,又消耗大量频宽的应用,例如软件档案下载,或大型的博客系统等,就会由多部主机共同去承担发放内容的任务。CDN除了比较具成本效益外,亦由于由多部主机共同负责发放内容,抵御DDoS之类袭击能力亦会大为提升。理论上,除非出现国家级的袭击,否则主流商用CDN一般都能抵御DDoS攻击。


问:那为什么中国当局要针对Edgecast的CDN?


李建军:Edgecast的客户群中虽然多是商业机构,但亦有一些发放中国当局眼中相当敏感内容的网站,包括了全球主要博客系统之一Wordpress.com,以及储存不少中文政治声音资讯的Soundcloud,有可能中国当局原本只是想封锁Wordpress.com以及Soundcloud,但由于CDN的IP由多个不同网站共享,当中包括了开放源码计划软件的网站,因此殃及池鱼。

问:那日后会否继续出现因中国当局针对个别CDN,导致其他非政治网站都一同被封的事件?


李建军:由于DDoS攻击日益猖獗,不少网站都开始选择Cloudflare之类的 CDN服务,抵御各类DDoS攻击,而不少中国当局眼中钉的网站为防受到中国当局的攻击,都同样采用了Cloudflare之类的 CDN服务。倘若中国当局不只封锁Edgecast,更将封锁范围扩大到Cloudflare之类CDN服务,日后中国网民浏览其他国家的网站时可能遇到更多麻烦,甚至去个别企业或电子商务网站都需要翻墙上网。


而中国当局采取封锁CDN的消极手段,取代过往大规模攻击异见网站的做法殊不为奇。在今年夏天中国当局疯狂攻击香港大学民意网站,最终Cloudflare成功击退中国当局的袭击,可以反映出商业CDN的可靠度足以抵御中国当局动用政府资源所作的攻击。而当中国当局发现过往的手段不再凑效时,就会改为封锁个别 CDN网络地址,防止国民很容易浏览到这些资讯。(完)


原文:http://ift.tt/11Cfm2d








via 细节的力量 http://ift.tt/11CfkHI

《时经帖》—— 准备入手两年付费 SS 服务,搜罗这么多家,花眼求推荐!

付费 Ss 哪家强?下面的Ss 服务都是 v2ex 上搜集来的,应该都有用户,求推荐^-^

背景信息:坐标哈尔滨,中国电信教育网,会搭配 4G 网络使用 Ss

需求:能持续提供2年稳定服务,youtube 720P (我这儿带宽足够)不卡顿

奢求:无视防火墙的存在(室内配合路由使用,室外手机,意味着配置完就不想管了,长期挂着)

ps:有些服务需要选服务器,哪边的线路比较好,针对背景信息?

—————————————————————————————————-



http://www.ssh91.com/

——————-



节点西海岸、日本

http://ift.tt/121brg7

——————-



旧金山、纽约、新加坡 、香港 、东京

http://jingyun.org/pay/

——————-



http://ift.tt/Xw21Rl

——————-

脚着谢公屐

https://xiegongji.net/

——————-

熊猫翻滚

http://ift.tt/1w50eTu

——————-



身登青云梯 (好基友么……)

http://ift.tt/WHnPz1

——————-

红杏

虽然不是Ss

http://honx.in

——————-



香港 美国 日本、新加坡、台湾

https://vpnso.com/

——————-



https://www.runox.cc/

——————-



http://ift.tt/1tXDgAM

——————-



不知道 @Showfom 这个”同一个账号仅限一个终端使用”是指

同一时间只能一个终端

还是所有时间都只能同一个终端?

http://ift.tt/1sfuduO

——————-



SSH,据说即将支持OpenVPN与国内服务器

http://ift.tt/1tXDic0

—-


原文:http://ift.tt/1tXDeZQ








via 细节的力量 http://ift.tt/1xVDKYq

Thursday, November 20, 2014

开源翻墙工具:萤火虫 FireFly Proxy

内置TOR的meek流量混淆技术,可通过默认浏览器直接翻墙,支持HTTP(s)和SOCKS5协议,可自定goagent等http代理、SSH和Shadowsocks账号(需要自备)。


支持黑名单/白名单(自动更新),墙内直通,墙外自动翻墙,浏览器建议使用FireFox或Chrome,无需安装翻墙插件。


支持Windows系统,操作说明和设置界面为中文,自动解压缩到桌面并生成快捷方式,纯绿色,删除文件即卸载。


项目页:http://ift.tt/1F4lOME

下载地址:http://ift.tt/1qzv3DF


原文:http://ift.tt/14RjpK8








via 细节的力量 http://ift.tt/1F5WHsU

利用goagent更新Chrome简单方法

Chrome自动更新的网址目前被墙,正常情况下无法更新版本。Chrome更新时系统后台运行GoogleUpdate程序进行版本检测和在线更新,此程序无法识别我们通常在Chrome代理扩展中设置的代理,但可正常识别系统中的IE代理。需要更新Chrome时,右键托盘中goagent图标,将IE代理设置为8086端口或8087端口的goagent代理即可。


最新版本的goagent已修复拨号网络无法设置IE代理的BUG,拨号网络和局域网两种方式均可正常设置IE代理。


原文:http://ift.tt/1qx9qUv








via 细节的力量 http://ift.tt/14QwfIS

不懂代码也会写HOST!(一)利用CHROME找出被屏蔽的网站域名

首先要说的是,本篇文章适用于计算机初学者——有一定基础,但代码苦手。诚然,若是会一点代码,干这些事情会方便很多。但我的目的是希望能够更多的人翻墙——从imouto.host开始到现在,这个想法,始终未变。


一般来说,若是你撞墙了,一般会是这个样子:



或是这个样子:



那么若是想通过Host大法破解,第一步则是需要找到被干掉的域名。当然, 你若是会抓包,甚至会架代理服务器之类的 ,那么不管什么设备,分析出域名访问都轻而易举——当然您也不必往下看了。既然是给计算机初学者的教程,自然就来点简单的。


如果这个网页完全无法打开——就如本篇文章开篇的效果一样,很明显,你知道就是那个域名被干掉了。这个大家都知道。比如你看到了“由于 google.com 响应时间过长……”那么你就会把 google.com 加入到你的Host域名表中了。



当你通过Host解决了这一个域名之后,F5刷新,你会发现,页面打开得并不完整,或者速度很慢——这是因为,一个页面中包含了很多元素,但这些元素往往都是放在了不同的域名中,那么如何找出当前页面中所有需要写入Host的域名呢?让我们在Chrome下按下F12键呼出控制台,选择NetWork标签,再按下Ctrl+F5(忽略缓存强制刷新):



你可以看到,被红色高亮的,就是页面中载入错误的元素。复制载入错误的元素的URL,就可以得到被墙的域名。比如这里的两个域名就是 s0.wp.com 和 stats.wp.com 。同时,通过分析Status一栏的错误代码你可以得知载入错误的原因(比如若是404的话其实真的就是服务器反馈页面未找到,若是真被墙了不会有404反馈的),大家可以访问 维基百科中HTTP状态码的词条 来学习更多的知识。顺便:点击Status标题栏可以排序HTTP状态码,让当前页面载入错误的元素排至最前端。


这个步骤往往在你制作Host的过程中要重复多次,随着页面元素一点一点的被Host修复,另外一些页面元素载入错误也会随之浮出,请保持耐心。


下面讲一个进阶的方法,是我在制作维基百科Host段过程中发现的,希望大家能够做到举一反三。


首先在Chrome下查看某个网站的证书,在下图中点击“证书信息”:



然后点击:详细信息→使用者备用名称:



看到下面那个框了吗?统统复制!这个招数在未来,在分析某个IP承载了哪些域名时,也会用到。


OK,今天就到这里,下期我将会讲到不懂代码的你如何快速找出Windows和Android应用程序用到的域名,敬请期待。然后就是,这个系列可能会写很多期,大概得连载到春节吧……请原谅我的拖延症,薪水低到爆,工作忙成狗,希望能有伯乐能速速解救我于水火……


原文:https://goo.gl/TxFk8V








via 细节的力量 http://ift.tt/14QwhjJ