翻墙手段中很重要的一种就是利用VPN翻墙,这种方法可以说技术门槛相当低,就是多数时候花钱才能享受到高质量的服务。
先介绍一下VPN:VPN是Vitral Private Network(虚拟专用网)的缩写,本来是用于企业的一种网络服务,原理是客户端使用相应的VPN协议先与VPN服务器进行通信,成功连接后就在操作系统内建立一个虚拟网卡,一般来说默认PC上所有网络通信都从这虚拟网卡上进出,经过VPN服务器中转之后再到达目的地。通常VPN协议都会对数据流进行强加密处理,从而使得第三方(例如GFW)无法知道数据内容,这样就实现了翻墙。翻墙时VPN服务器知道你干的所有事情(HTT[P,对于HTTPS,它知道你去了哪)。(下面有流程图)
VPN协议主要有这几种:PPTP,L2TP,IPSEC,OPENVPN,SSL VPN,Ikev2 VPN,Cisco VPN,其中的PPTP和L2TP是明文传输协议。对,他们是明文传输协议,但为什么还是有不少人能用这两种方式翻墙呢?
当一名用户在使用PPTPVPN翻墙时,实际上他同时启用了128位的MPPE(微软点对点加密)算法来为数据进行加密(具体可以看http://ift.tt/1AM4le3
还有”MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp vpn抓包了的话,可以推出后续的session key从而解密整个pptp vpn流量。所以说PPTP vpn缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量“具体看http://ift.tt/1rmXgs3
这里提一下:我看到有人反馈说当shadowsocks的加密连接算法设置为默认的RC4或略有改进的RC4-MD5时,用上一段时间就会被GFW封锁,需要改密码或IP才能继续使用,一开始我推测是特征检测,但理论上来说特征检测是不受加密方式影响的,换句话说如果GFW成功识别了shadowsocks与远程服务器建立连接时的特征,那么不管使用什么加密方式都会很快被GFW干扰,而不会只有RC4-MD5和RC4连接被干扰,那么最大的可能就是GFW可以破解RC4-MD5,而这同时也是MPPE使用的加密算法,那么PPTPVPN就不再安全了
L2TP则不含任何认证和加密功能,都是由 IPSec 负责的,IKE是 IPSec 的一部分;L2TP 本身只完成数据传输之类的工作,不负责认证和加密,需要配合其它安全协议使用,例如 L2TP/IPSec 这样的,当然这是可选的可以不用,不用的话就没有安全性可言了。用了也不能保证安全,L2TP/IPSec并未被GFW严重封锁,搞不好就是故意的,为了更好的欺骗我们翻墙党同时进行监控。
OPENVPN在12年18大之后就被特征检测搞得半残了,不过现在有些地方效果还不错。OPENVPN的身份验证机制很完善,隧道加密程度也非常强(OPENSSL加密算法)所以也被封锁的很严重(具体看http://ift.tt/1rmXdMU
很多人(包括以前的我)都认为GFW的唯一目的就是封锁。封锁一定是主要目的,原因我们翻墙党都很清楚,但请大家想一下为什么墙内还有那么多VPN服务提供商存在呢?和天朝相似的伊朗直接在法律中写上了使用VPN违法,但为什么到现在共匪都没有这么做呢?
共匪要用经济发展换取统治合法性,就不可能像朝鲜那样建立天朝局域网,否则人家外资怎么进得来呢?墙内还有一大堆企业依靠墙外的互联网服务呢(例如云计算平台)。GFW越来越高的误伤率已经引起了不少人的不满,共匪又从来不肯公开承认GFW的存在,害怕翻墙者增多以及自己制造的”墙内互联网是自由的“的谎言破灭。要说把翻墙的人都抓起来,也不现实:一是翻墙的人太多(至少千万),而且不少人都不关心政治,抓了反倒起反效果,让更多人知道GFW的存在外加更关心政治;二是GFW本身就没有任何法律依据,就算抓了,怎么判决呢?共匪官方说辞里面GFW是不存在的,要是因为翻墙抓人,不是直接自打脸了吗?三是GFW误伤了太多科技类网站,搞得科研人员已经把翻墙作为必修技能之一了,要是谁翻墙就抓谁,科研人员怎么办?四是不少翻墙软件都引入了流量混淆技术(例如TOR和赛风三),很多时候GFW都判断不出用户是不是在翻墙,怎么抓啊?五是如果共匪真的什么都不顾,谁连接外网就抓谁,那么必然会激起众怒(去年封锁了github就引起不少程序员的抗议,最后GFW被迫解封),只会让自己快速倒台。
所以GFW采取了一个办法:故意让墙内活动着一批VPN服务提供商(这些公司都是随时会把用户流量日志送给共匪的),同时不断封锁那些无法控制的翻墙软件和付费VPN,对于可以轻易破解的PPTP和L2TP则故意放开一码,不惹怒太多人的同时又进行欺骗,让一些人以为自己安全,其实自己的一举一动都已经在共匪的监视当中了,如果进行了什么”煽动颠覆国家政权“的行动就会被查水表(我用流程图表示出这一过程)
还有一个证据:有人反映不少墙内VPN都没办法作为TOR的前置代理:”國內vpn貌似都是有問題的呀(都不支持Tor)
打開Tor瀏覽器顯示洋蔥頭是打x的,沒有變成綠色的洋蔥頭。
只有連接國外vpn,Tor的洋蔥頭才是綠色的“
”国内VPN不仅过滤域名,IP,甚至过滤协议,审查浏览记录,各种无节操“
”有可能如你所说——国内 VPN 对 IP 或域名进行了过滤,导致 TOR 无法用【国内】VPN 做前置代理。
另外,国内 VPN 的提供者,很容易受到朝廷的胁迫。
因此,朝廷很容易拿到这些 VPN 服务器上的访问日志。
所以,俺自己从来不用这类 VPN,也建议“高危人群”不要用“
墙内VPN的客户端很可能就有后门,那么你的防线就会全面崩溃,所以不要使用墙内的VPN服务(除非你只打算浏览网页)
我在http://ift.tt/1rmXdMW
最后照例附上科普文链接集合:http://ift.tt/1Fb6f5L
via 细节的力量 http://ift.tt/1AM4o9Q
No comments:
Post a Comment