Saturday, January 31, 2015

GFW不是防火墙

GFW的全名叫THE GREAT FIREWALL OF CHINA(中国国家防火墙),很多人看到这点就以为GFW是一种防火墙,所以出现了如下搞笑说法:“GFW应该存在,因为GFW阻挡了很多外国的病毒木马。”


纯属胡扯!先来看看防火墙(FIREWALL)的定义:在电脑运算领域中,防火墙(英文:Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。说的通俗点,防火墙就是学校的看门大爷,没有相应证件的人(被认为有危险的数据)会被挡在校门(你的PC)外。也就是说,防火墙是对外进行防御的,阻挡外部攻击。


GFW的实质是IDS(入侵检测系统)。可能有小白看到这里又会跳起来了,说:“既然是入侵检测系统,那当然是阻挡外国黑客入侵的。”大哥,知道GFW是对哪些流量进行检测吗?是对国内通过国际出口流往国外服务器的数据流进行检测,国外流往国内的数据流GFW从来不管,阻挡个屁的“外国入侵”?


再介绍一下入侵检测系统:入侵检测系统(英语:Intrusion-detection system,缩写为 IDS)是一种网络安全设备或应用软件,可以对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于,IDS是一种积极被动的安全防护技术。IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的N-IDS和基于主机的H-IDS。后又出现分布式D-IDS。互联网工程工作小组将IDS分为四部分:


事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;

事件分析器,分析数据;

响应单元,发出警报或采取主动反应措施;

事件数据库,存放各种数据。

也有一种常见的分类,即:

驱动引擎,捕获和分析网络传输;

控制台,管理引擎和发出报告或采取主动反应措施;

两种分类都是合理的。


一个IDS由于其工作特性,需要有一个安全的内网环境以避免拒绝服务攻击和黑客侵扰,而且进行网络传输检测也不需要合法的IP地址。因此一个典型的IDS应处在一个有DNS服务器、防火墙或路由器的内网之中,从而完全与互联网分开,阻止任何网络主机对IDS的直接访问。


基于网络的IDS的数据源是网络上的数据包。它往往将一台主机的网卡设置为混杂模式,对所有本网段内的网络传输进行检测。一般基于网络的IDS负责着保护整个网段。而基于主机的IDS功能与病毒防火墙类似,在须保护的系统后台运行,对主机活动进行检测。


除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。


入侵检测

发现违反安全策略的网络传输是IDS的核心功能。根据思科公司(记住这家公司,GFW的核心技术提供商,共匪的重要帮凶之一)对入侵检测技术的研究,可以将入侵检测分为几类:简单模式匹配、状态模式匹配、基于协议解码的签名、启发式签名和异常检测(“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动)。他们各有优缺点,须根据实际情况使用。


攻击响应


打断会话

如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,伪造一份报文给会话的两端,造成会话连接中断。这样可以有效的关闭通信会话,阻止攻击。不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信。

这种措施虽然强大,但是也有缺点。这种措施能够阻止的是较长时间的攻击,而像早期的“泪滴攻击”使系统接收到一个特制分组报头时就会崩溃的情况,这种方法无能为力。


过滤管理规则

一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。根据安全策略的不同,这种措施可能包括阻止攻击主机与目标主机的其他传输、阻止攻击主机的所有传输;在某些特殊的情况下,也可以阻止目标主机的与特定网域内主机的通信。


这种措施的优点是同样阻止攻击,它比打断会话节省许多网络传输。不过此种措施无法对抗来自内网的攻击,以及有可能造成拒绝服务。


翻译成GFW版:GFW部署在天朝国际互联网出口上,主要手段有:1,关键字阻断:TCP协议关键字阻断


原理:防火长城用于切断TCP连接的技术其实是TCP的一种消息,用于重置连接。一般来说,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个RESET通知消息,可见RESET功能本来用于应对例如服务器意外重启等情况。而发送连接重置封包比直接将数据包丢弃要好,因为如果是直接丢弃数据包的话客户端并不知道具体网络状况,基于TCP协议的重发和超时机制,客户端就会不停地等待和重发,加重防火长城审查的负担,但当客户端收到RESET消息时就可以知道网络被断开不会再等待了。而实际上防火长城通过将TCP连接时服务器发回的SYN/ACK封包中服务器向用户发送的序列号改为0从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求,故这种封锁方式不会耗费太多防火长城的资源而效果很好,成本也相当的低。同时这种阻断可以双向工作,在中华人民共和国境外访问位于境内的网站时。如果在数据包头部出现部分关键字,连接也可能会被阻断。但是两者的关键词列表并不完全相同,比如在s.weibo.com中搜索“法轮功”连接会被阻断,搜索“六四”则不会,而在中华人民共和国境内访问境外网站时两者都会被阻断。


本发明提供了一种阻断TCP连接的方法和装置;方法包括:保存各TCP连接的连接信息;所述TCP连接的连接信息包括该TCP协议连接的:客户端信息、服务端信息、请求方向TCP等待序列号和应答方向TCP等待序列号;抓取TCP封包,找到该TCP封包所属TCP连接的连接信息,根据所抓取的TCP封包更新该连接信息中的请求方向TCP等待序列号和应答方向TCP等待序列号;如果所抓取的TCP封包为需要阻断的TCP封包,则根据更新后的、该TCP封包所属TCP连接的连接信息生成RST封包,并发送给该TCP连接的客户端和服务端。本发明可以进行准确而持续的阻断,从而能在大流量环境下的高效阻断非法TCP连接。

针对HTTP协议的关键字阻断


2002年左右开始,中国大陆研发了一套关键字过滤系统。這個系統能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求数据包的头部(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST封包(Reset)干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(如「falun」等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。同时这种阻断可以双向工作,在中华人民共和国境外访问位于境内的网站时,如果在数据包头部出现部分关键字,连接也可能会被阻断。两者的关键词列表并不完全相同,比如在境外使用s.weibo.com搜索“法轮功”连接会被阻断,并且90秒无法访问,搜索“六四”则不会,在中华人民共和国境内访问境外网站时两者都会被阻断。


2010年3月23日,Google宣布关闭中国服务器(Google.cn)的网页搜索服务,改由Google香港域名Google.com.hk提供后,由于其服务器位于大陆境外必须经过防火长城,所以防火长城对其进行了极其严格的关键词审查。一些常见的中共高官的姓氏,如“胡”、“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“毛”、“江”、“令”,及常见姓氏“王”、“刘”、“彭”等简体中文单字,当局实行一刀切政策全部封锁,即“学习”、“温泉”、“李白”、“圆周率”也无法搜索,使Google在中国大陆境内频繁出现无法访问或搜索中断的问题。2011年4月,防火长城开始逐步干扰Google.com.hk的搜索服务。2012年10月下旬起,防火长城使用更巧妙方式干扰Google搜索,部分用户在点击搜索结果链接跳转时一直被卡住,一直卡了6分钟之后客户端发送RST重置,然后页面一片空白。原因是链接跳转使用的是HTTP,用HTTPS跳转无影响。


干扰eD2k协议的连接

从2011年开始,防火长城开始对所有境外eD2k服务器进行审查:当境内用户使用eD2k协议例如eMule使用模糊协议连接境外服务器时会被无条件阻断,迫使eMule使用普通方式连接境外服务器;同时防火长城对所有普通eD2k连接进行关键字审查,若发现传输内容含有关键字,则马上切断用户与境外服务器的连接,此举阻止了用户获取来源和散布共享文件信息,严重阻碍使用eD2k协议软件的正常工作。


2,DNS污染:原理:防火长城對所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入侵检测,一經發現與黑名單關鍵詞相匹配的域名查詢請求,防火长城會馬上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查詢通常基于的UDP協議是无连接不可靠的协议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。用户若改用TCP在53端口上进行DNS查询,虽然不会被防火长城污染,但可能会遭遇连接重置,导致无法获得目标网站的IP地址。


IPv6协议时代部署应用的DNSSEC技术为DNS解析服务提供了解析数据验证机制,可以有效抵御劫持。


全球一共有13组根域名服务器(Root Server),2010年中国大陆有F、I、J這3个根域DNS镜像[10],但曾因为多次DNS污染外国网络,威胁互联网安全和自由,北京的I根域服务器被断开与国际互联网的连接。目前已恢复服务。


从2002年左右开始,中国大陆的网络安全单位开始采用域名服务器缓存污染技术,使用思科提供的路由器IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。对于含有多个IP地址或经常变更IP地址逃避封锁的域名,防火长城通常会使用此方法进行封锁,具体方法是当用户从境内向境内DNS服务器提交域名请求时,DNS服务器要查询根域名服务器,此过程会受防火长城污染。而用户不做任何保护措施直接查询境外DNS时,会受防火长城污染。


当用户从境外查询境内服务器(不一定是有效DNS服务器),结果也会被污染。


2010年3月,当美国和智利的用户试图访问热门社交网站如facebook.comyoutube.com还有twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根镜像服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS解析信息,这意味着防火长城的DNS污染已影响国际互联网。


2010年4月8日,中国大陆一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、Level3、德国电信、Qwest和西班牙电信等多个国家的大型ISP。


2012年11月9日下午3点半开始,防火长城对Google的泛域名*.google.com进行了大面积的污染,所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问,其中甚至包括不存在的域名,而Google为各国定制的域名也遭到不同程度的污染(因为Google通过使用CNAME记录来平衡访问的流量,CNAME记录大多亦为.google.com结尾),但Google拥有的其它域名如.googleusercontent.com等则不受影响。有网友推测Google被大面积阻碍连接是因为中共正在召开的十八大。


2014年1月21日下午三点半,中国网站的.com域名解析不正常,网站被错误地解析至65.49.2.178,该IP位于美国北卡罗来纳州的Dynamic Internet Technology,即自由门的开发公司。


3,IP封锁和IP协议阻断:原理:相比起之前使用的控制访问列表(ACL)技术,现在防火长城采用了效率更高的路由扩散技术封锁特定IP地址。正常的情况下,静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由,所以这条路由最起码是要正确的,这样可以引导路由器把数据包转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由,而且是有意配置错误的,其目的就是为了把本来是发往某个IP地址的数据包统统引导到一个“黑洞服务器”上,而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做,这样数据包就被无声无息地丢掉了。更多地,可以在服务器上对这些数据包进行分析和统计,获取更多的信息,甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP数据包引导到黑洞服务器上,通过动态路由协议的路由重分发功能,这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规数据包转发动作,无需再进行ACL匹配,与以前的老方法相比,大大提高了数据包的转发效率。但也有技术人员指出,从以前匹配ACL表到现在匹配路由表是“换汤不换药”的做法,依然非常耗费路由器的性能。而且中国大陆共有9个国际互联网出口和相当数量的骨干路由,通过这种方法封锁特定IP地址需要修改路由表,故需要各个ISP配合配置,所以其封锁成本也是各种封锁方法里最高的。


一般情况下,防火长城对于中国大陆境外的「非法」网站会采取独立IP封锁技术,然而部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其他使用相同IP地址服务器的网站用户一同遭殃,就算是「内容健康、政治无关」的网站,也不能幸免。其中的内容可能并无不當之處,但也不能在中国大陆正常访问。


20世纪90年代初期,中国大陆只有教育网、中国科学院高能物理研究所(高能所)和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP地址封锁。在当时这的确是一種有效的封锁技术,但是只要找到一个普通的服务器位于境外的代理然后通过它就可以繞過這種封鎖,所以現在网络安全部门通常会将包含「不良信息」的网站或网页的URL加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器进行访问。

防火长城配合上文中特定IP地址封锁里路由扩散技术封锁的方法进一步精确到端口,从而使发往特定IP地址上特定端口的数据包全部被丢弃而达到封锁目的,使该IP地址上服务器的部分功能无法在中国大陆境内正常使用。


经常会被防火长城封锁的端口:

SSH的TCP协议22端口

PPTP类型VPN使用的TCP协议1723端口,L2TP类型VPN使用的UDP协议1701端口,IPSec类型VPN使用的UDP协议500端口和4500端口,OpenVPN默认使用的TCP协议和UDP协议的1194端口

TLS/SSL/HTTPS的TCP协议443端口

Squid Cache的TCP协议3128端口

在中国移动、中国联通等部分ISP的手机IP段,所有的PPTP类型的VPN都遭到封锁。


2011年3月起,长城防火墙开始对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,使中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项加密服务出现问题。Google指中国这样的封锁手法高明,因为Gmail并非被完全阻断,营造出Google服务“不稳定”的假象,表面上看上去好像出自Google本身。


4,干扰加密连接:防火长城会监控特定IP地址的所有数据包,若发现匹配的黑名单动作(例如TLS加密连接的握手),其会直接在TCP连接握手的第二步即SYN-ACK之后伪装成对方向连接两端的计算机发送RST封包(RESET)重置连接,使用户无法正常连接至服务器。在连接握手时,因为身份认证证书信息(即服务器的公钥)是明文传输的,防火长城会阻断特定证书的加密连接,方法和无状态TCP连接重置一样,都是先发现匹配的黑名单证书,之后通过伪装成对方向连接两端的计算机发送RST封包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的TLS加密连接(HTTPS的443端口)握手,或者干脆直接将握手的数据包丢弃导致握手失败,从而导致TLS连接失败。但由于TLS加密技术本身的特点,这并不意味着与网站传输的内容可被破译。[21]


Tor项目的研究人员则发现防火长城会对各种基于TLS加密技术的连接进行刺探[22],刺探的类型有两种:


“垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[23],目的是在用户建立加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。


针对Tor,当中国的一个Tor客户端与境外的网桥中继建立连接时,探针会以15分钟周期尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。


切断OpenVPN的连接,防火长城会针对OpenVPN服务器回送证书完成握手建立有效加密连接时干扰连接,在使用TCP协议模式时握手会被连接重置,而使用UDP协议时含有服务器认证证书的数据包会被故意丢弃,使OpenVPN无法建立有效加密连接而连接失败。


简单来说,GFW布置在国际出口,监视着所有向外的流量,一旦发现“非法”(共匪害怕的)数据流就进行阻断。共匪从不承认GFW的存在,但GFW每年花掉的那一大笔天朝纳税人的血汗钱(据估计,防火长城可能拥有数百台曙光4000L服务器。另外,思科公司也被批评参与了中國網絡審查机制。


防火长城(北京)使用曙光4000L机群,操作系统为Red Hat系列(从7.2到7.3到AS 4),周边软件见曙光4000L一般配置


防火长城实验室(哈尔滨工业大学)使用曙光服务器,Red Hat操作系统

防火长城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。2007年防火长城机群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。


有理由相信防火长城(北京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度48万亿次。


2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48接口网络数据。曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为512Gbps甚至更高(北京)。想想看部署和维护要花掉多少钱吧)却是真实存在的,请问哪位愿意拿自己的血汗钱去封锁自己?即便是那些没被封锁的网站,由于都被奴才ISP们对数据包加了延迟以方便GFW进行检测,用户体验也变得极其糟糕,对此玩外服网游的诸位应该深有体会。而翻墙更是一件花费时间精力的事,GFW与翻墙软件之间的战争从未停止过,很可能今天能用的翻墙软件明天就不能用了。


最后我想问一句,还有哪个傻子为GFW叫好吗?GFW从来都只是欺骗愚弄我等屁民的手段之一罢了。\


原文:http://ift.tt/1ySmbG4








via 细节的力量 http://ift.tt/1vkRoXW

天朝颁发的证书一览表

Corporation Root CA //支付宝安全控件带入


CFCA Operation CA //中国金融认证中心,<http://www.cfca.com.cn>,由某些网银插件带入

CFCA Operation CA2

CFCA Policy CA

CFCA Root CA


China Trust Network //天威, http://ift.tt/TC14uj


CNNIC ROOT //不解释


iTruschina CN Enterprise Individual Subscriber CA //天威

iTruschina CN Root CA-1

iTruschina CN Root CA-2

iTruschina CN Root CA-3


UCA Root //上海市数字证书认证中心,这个已经通过WebTrust认证,http://www.sheca.com

UCA Global Root


ROOTCA //中国政府的交叉根证书,安装国内CA的相关软件也带进来,自签发证书, http://ift.tt/XHqIJo


WoSign Premium Server Authority // https://www.wosign.cn/

WoSign SGC Server Authority

Tenpay.com Root CA //腾讯财付通的根证书

Corporation Root CA

Alipay Trust NetWork

China Internet Network Information Center EV Certificates Root


申请标准证书花不了多少钱,个个非要自己签发根证书。我只能阴谋论的认为某下限gov会在需要时用它来中间人攻击。


原文:http://ift.tt/1yXZLIg








via 细节的力量 http://ift.tt/1yXZNQo

HTTP与HTTPS以及墙内的走狗网站们

在三大社交网站(facebook,twitter,google plus)上混过的同道们都应该注意到了一点:这三个网站的域名前面都是https而不是最常见的http。


先介绍http:超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是互联网上应用最为广泛的一种网络协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。HTTP是一个客户端终端(用户)和服务器端(网站)请求和应答的标准(TCP)。通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个HTTP请求到服务器上指定端口(默认端口为80)。我们称这个客户端为用户代理程序(user agent)。应答的服务器上存储着一些资源,比如HTML文件和图像。我们称这个应答服务器为源服务器(origin server)。在用户代理和源服务器中间可能存在多个“中间层”,比如代理、网关或者隧道(tunnel)。


尽管TCP/IP协议是互联网上最流行的应用,HTTP协议中,并没有规定必须使用它或它支持的层。事实上,HTTP可以在任何互联网协议上,或其他网络上实现。HTTP假定其下层协议提供可靠的传输。因此,任何能够提供这种保证的协议都可以被其使用。因此也就是其在TCP/IP协议族使用TCP作为其传输层。


通常,由HTTP客户端发起一个请求,创建一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端的请求。一旦收到请求,服务器会向客户端返回一个状态,比如”HTTP/1.1 200 OK”,以及返回的内容,如请求的文件、错误消息、或者其它信息。


HTTP协议的具体定义复杂专业,在此不进行具体介绍,你只需要搞清楚一点:在只使用HTTP协议的情况下,本地浏览器与目标网站之间的数据流是明文的!也就是说,你的ISP知道你都干了些什么,而且任何人(黑客,GFW,盖世太保)都可以对你的数据流进行截取监听,你没有任何隐私可言。


这对于需要登录的网站简直是噩梦,账号密码以及在网站上的发言都很容易被盗取,而且要制作一个能骗过多数人的钓鱼网站也很容易,因为本地浏览器并不会去验证目标服务器的真实身份,很容易遭受中间人攻击(攻击者伪装成目标服务器接收数据流,解密监听后在转给真正的目标服务器)。


为了增加安全性,HTTPS横空出世:网景(曾经很强大的收费浏览器公司,后来被微软用免费的IE搞死)在1994年创建了HTTPS,并应用在网景导航者浏览器中。最初,HTTPS是与SSL一起使用的;在SSL逐渐演变到TLS时,最新的HTTPS也由在2000年五月公布的RFC 2818正式确定下来。(20年后竟然大多数网站还不支持HTTPS,这普及速度真是够慢的!)


HTTP协议和安全协议同属于应用层(OSI模型的最高层),具体来讲,安全协议工作在HTTP之下,运输层之上:安全协议向运行HTTP的进程提供一个类似于TCP的套接字,供进程向其中注入报文,安全协议将报文加密并注入运输层套接字;或是从运输层获取加密报文,解密后交给对应的进程。严格地讲,HTTPS并不是一个单独的协议,而是对工作在一加密连接(TLS或SSL)上的常规HTTP协议的称呼。


HTTPS报文中的任何东西都被加密,包括所有报头和荷载。除了可能的选择密文攻击之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。


好吧,又多了一堆术语:SSL,TLS,不过也可以看出来HTTPS是HTTP与SSL/TLS的组合协议。


SSL:安全套接层(Secure Sockets Layer,SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障。SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通讯方做身份认证,之后交换对称金钥作为会谈金钥(session key)。这个会谈金钥是用来将通讯两方交换的资料做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。


SSL在服务器和客户机两端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行的Web浏览器亦普遍将HTTP和SSL相结合,从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP、FTP、Telnet等等)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。


以下简要介绍SSL协议的工作方式。客户端要收发几个握手信号:


发送一个“ClientHello”消息,内容包括:支持的协议版本,比如TLS1.0版,一个客户端生成的随机数(稍后用户生成“会话密钥”),支持的加密算法(如RSA公钥加密)和支持的压缩算法。


然后收到一个“ServerHello”消息,内容包括:确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信,一个服务器生成的随机数,稍后用于生成”对话密钥”,确认使用的加密方法,比如RSA公钥加密,服务器证书。

当双方知道了连接参数,客户端与服务器交换证书(依靠被选择的公钥系统)。这些证书通常基于X.509,不过已有草案支持以OpenPGP为基础的证书。


服务器请求客户端公钥。客户端有证书即双向身份认证,没证书时随机生成公钥。


客户端与服务器通过公钥保密协商共同的主私钥(双方随机协商),这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换,或简化的公钥加密,双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。


数据传输中记录层(Record layer)用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密,与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。


TLS:IETF(www.ietf.org)将SSL作了标准化,即RFC 2246,并将其称为TLS(Transport Layer Security),其最新版本是RFC 5246,版本1.2。从技术上讲,TLS1.0与SSL3.0的差异非常微小。


TLS利用密钥算法在互联网上提供端点身份认证与通讯保密,其基础是公钥基础设施(public key infrastructure,PKI)。不过在实现的典型例子中,只有网络服务者被可靠身份验证,而其客户端则不一定。这是因为公钥基础设施普遍商业运营,电子签名证书通常需要付费购买。协议的设计在某种程度上能够使主从架构应用程序通讯本身预防窃听、干扰(Tampering)和消息伪造。


TLS包含三个基本阶段:


对等协商支援的密钥算法

基于非对称密钥的信息传输加密和身份认证、基于PKI证书的身份认证

基于对称密钥的数据传输保密


在第一阶段,客户端与服务器协商所用密码算法。 当前广泛实现的算法选择如下:

公钥私钥非对称密钥保密系统:RSA、Diffie-Hellman、DSA;

对称密钥保密系统:RC2、RC4、IDEA、DES、Triple DES、AES以及Camellia;

单向散列函数:MD5、SHA1以及SHA256。(以上均是加密算法,有兴趣请自行google)

TLS/SSL有多样的安全保护措施:

所有的记录层数据均被编号,用于消息验证码校验。

相对而言TLS安全性更高一些,不过两者差别不大。

现在我们看到了,当使用HTTPS,传输过程中数据流始终是被强加密的(举例:facebook:与www.facebook.com采用128位加密技术。该连接采用TLS 1.2。该连接使用AES_128_GCM(迄今为止依然很可靠,极难被破解的加密算法)进行加密和身份验证,并使用ECDHE_ECDSA(迄今为止也很可靠)作为密钥交换机制。twitter:与twitter.com采用128位加密技术。该连接采用TLS 1.2。该连接使用AES_128_GCM进行加密和身份验证,并使用ECDHE_RSA(很可靠)作为密钥交换机制。google plus(所有google服务都一样): 与plus.google.com采用256位加密技术。该连接采用TLS 1.2。该连接使用CHACHA20_POLY1305(也是让人放心的加密算法)进行加密和身份验证,并使用ECDHE_ECDSA(迄今为止也很可靠)作为密钥交换机制。),只有本地浏览器与目标服务器知道内容,谁也没法进行数据的窃取监听。


而且HTTPS还有一个防止中间人攻击和钓鱼的机制,就是数字证书:

服务器设置

要使一网络服务器准备好接受HTTPS连接,管理员必须创建一数字证书,并交由证书颁发机构签名以使浏览器接受。证书颁发机构会验证数字证书持有人和其声明的为同一人。浏览器通常都预装了证书颁发机构的证书,所以他们可以验证该签名。

获得证书

由证书颁发机构签发的证书有免费的,也有每年收费13美元到1500美元不等的。

一个组织也可能有自己的证书颁发机构,尤其是当设置浏览器来访问他们自己的网站时(如,运行在公司或学校局域网内的网站)。他们可以容易地将自己的证书加入浏览器中。

此外,还存在一个人到人的证书颁发机构,CAcert。

作为访问控制

HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。要做到这样,管理员通常会给每个用户创建证书(通常包含了用户的名字和电子邮件地址)。这个证书会被放置在浏览器中,并在每次连接到服务器时由服务器检查。

当私钥失密时

证书可在其过期前被吊销,通常情况是该证书的私钥已经失密。较新的浏览器如Google Chrome、Firefox、Opera和运行在Windows Vista上的Internet Explorer都实现了在线证书状态协议(OCSP)以排除这种情形:浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构,后者会告诉浏览器证书是否还是有效的。


这样,当假冒的目标服务器试图与本地浏览器取得联系时,浏览器发现假冒的目标服务器没有真实有效的证书,就会拒绝连接并爆出警告。简单来说就是小混混(黑客,GFW,有关部门)拿着伪造的学生证(伪造的数字证书)想进学校,但被门卫(浏览器的证书验证系统)发现了,就没能进去。


对HTTPS的最简单描述:我在家(本地浏览器)把信(信息流)放在上了锁的盒子里(SSL/TLS强加密),再交由邮递员(ISP,路由器等)送到朋友(目标服务器)手中,接收时朋友要出事身份证(数字证书),身份正确才能让朋友接收并打开盒子(解密),路上没有人能够得知信的内容。


最后再来谈谈天朝的网站。那个抄袭facebook的(人人网,就是你!),那个抄袭twitter的(不管你是哪的微博,别再到处看了!),以及百度贴吧(抄袭谁的?),各大BBS(你们怎么与google网上论坛这么像),qq空间,淘宝等电子商务网站,还有信箱们,你们怎么全都不支持HTTPS?好不容易支持一下(没有默认支持HTTPS的墙内网站),还用天朝自产流氓证书CNNIC ROOT,这让我们怎么相信你?


HTTPS严重不利于共匪对广大屁民们进行监控,所以墙内网站几乎没有支持HTTPS的,所以说,墙内的社交平台都是些没骨头的货,去那发言就等于欢迎被盖世太保们监控顺便查水表。


有人曾经因为害怕而不敢翻墙,现在看到了吧?微博和twitter,哪里更危险?


原文:http://ift.tt/1ylXPda








via 细节的力量 http://ift.tt/1ySateq

强力推荐把中共数字证书轰出去的程序:RevokeChinaCerts

天朝自己颁发了一些数字证书,和GFW在一起可真是绝配,一个负责DNS污染,一个负责中间人攻击。关于这其中的原理,请看:


http://ift.tt/1ylXPdahttp://ift.tt/1yjwsfh

现在有一个方便的去除这些狗屁证书的方法(适合IE与chrome,不适用firefox,因为firefox是使用自己的一套证书系统,想要删除firefox内置的狗屁证书请先打开firefox,点击选项,再点击高级,点击界面上的证书按钮,点击查看证书,切换到“证书机构”,再比对删除),那就是http://ift.tt/1GHbhwV(github没有被墙),点击网页右方的“download zip”就可以把程序下载下来。里面介绍的很清楚,在此就不再复制粘贴了,希望大家运行all版本(作者建议不要当成首选,但all版本安全性最强)


原文:http://ift.tt/1vkyTTv








via 细节的力量 http://ift.tt/1tKq1W2

Friday, January 30, 2015

简单几步教你不用vpn照样翻墙

最近墙得厉害,陆续也有一些同学问我怎么简单翻墙。在这里教大家一个简单的方法,只需要修改host就可翻墙。

与网上的改host方法不同,百度到的host地址基本是固定的,可能短暂时间有用,但被墙了就gg了。这里提供一个@netsh.org博客的链接,netsh大神会经常更新host地址,就算之前的host地址被墙了,去更新一下就可以继续上了。



博客链接如下:
http://ift.tt/13UM8gd



访问并勾选需要翻的内容,如图1、2所示,点立刻获取,下面的文本框会出现host内容,全部复制。


图1

图1


图2

图2


简单介绍一下如何修改host


windows用户



  1. hosts 文件一般在 Windows 系统的 %windir%(此处为你电脑用户名)\system32\drivers\etc\ 下。或者直接搜索hosts,在\etc\目录下的就是

  2. 用记事本或其他文本编译器打开,将上面给的链接中的host内容全部复制粘贴替换原有全部内容。

  3. 关闭并保存即可。

  4. 若上步显示无法保存,可以另新建一个文本文档,重复2步,再将文本文档命名hosts(注意去掉文件后缀),再粘贴进\etc\目录替换原有hosts文件(注意权限问题)


mac用户


mac用户修改步骤同上, 也在/etc/目录下。

如果找不到或者嫌麻烦的话,可以用gas mask这个小软件(可以自主修改host,并可以在不同的host之间切换)



网盘下载地址:
http://ift.tt/1wDr6tG



使用方法:

解压,打开gas mask(如图3、图4所示),点击show editor window,会显示现有host内容,直接将上面链接给出的host内容覆盖原有内容,点save并activate(如activate是灰色则忽略)


图3

图3


图4

图4


接着就尽情享受墙外世界吧~


注意事项:


  1. 若浏览器中原来安装了goagent或类似翻墙插件,记得要关闭,不然会显示代理服务器无法连接。

  2. 这种方法暂时还上不了youtube(最近被墙了),要享受更好的翻墙服务请购买vpn。

  3. 以上方法是ipv4的翻墙方法,netsh博客里还介绍了ipv6的翻墙法,更简单易操作,但考虑大部分人用ipv4,在此只介绍前者。



  • 喝水勿忘挖井人,感谢netsh


原文 :http://ift.tt/1Jt3IIa








via 细节的力量 http://ift.tt/1tIZlVx

关于科学上网

之前一直用GoAgent,我主要是为了google,而且技术类搜索居多,百度实在是太难用。但最近发现GoAgent的稳定性下降,估计是IP库被封的越来越多。打算多折腾一个来玩玩。


梁博在他公众号「pennyjob」上介绍关于如何科学上网很久了,他还免费提供了翻墙资源,只为了帮广大网民找回一个正常人的上网体验,着实令人感动。另外,这里建议IT的朋友推荐关注一下这个号,梁博还定期推送靠谱的工作机会。非IT的朋友也推荐关注,偶尔有一些很有意思的闲聊,有你在别地看不到的风景。


本文主要介绍Windows上,利用 Shadowsocks + google chrome + Switchomega 的方式,使用梁博提供的免费资源,配置实现科学上网。


1. 首先下载最新版的 Shadowsocks 客户端 Shadowsocks ui 。官方下载地址shadowsocks/shadowsocks。网上第三方的Shadowsocks 客户端不少,但还是建议从官方获取。


2. 下载后解压,双击打开 Shadowsocks.exe ,在Shadowsocks配置界面中填入梁博提供的信息:



  • 服务器IP填 pennyjob.net

  • 服务器端口填 8080

  • 密码填 pennyjob

  • 加密方式选 aes-256-cfb

  • 代理端口填一个 1024 ~ 65535 之间的整数即可,默认为1080


以上填好后点击确定保存并关闭对话框。这时你会在任务栏上发现一个纸飞机形状的图标,右击它,选择启用代理,还可以选择开机启动。注意,如果你要科学上网,这个代理是必须要启用的。


3 . 没有google chrome浏览器的话请下载安装。


4 .下载管理代理的神器Switchomega ,到这里 ,或者到google应用商店 在线安装最新版 (没实现科学上网你可能打不开google的应用商店)。装好后,你会发现chrome的右上角多出一个圆形图标。



  • 点击这个图标,选择 选项 ,打开Switchomega 的配置界面。

  • 在界面的左侧选择 +新建情景模式 ,弹出的对话框中,情景模式名称随便填,比如SSH,情景模式类型选择 代理服务器 ,最后点击 创建 关闭弹出窗。

  • 回到右侧界面,代理协议选择 SOCKS5,代理服务器填127.0.0.1,端口填以上Shadowsocks配置中第2步填好的端口,比如默认的1080,点击 应用选项 保存。

  • 配置自动切换的情景模式,这步是可选的。在界面左侧选择 自动切换 ,在打开的右侧界面中。配置自己上网请求的切换规则。比如你要chrome打开的地址是*.google*.com的(其中*是通配符,匹配一切字符),比如http://ift.tt/1twwP9w

    a .条件类型选择域名通配符条件设置中填入*.google*.com,情景模式选择你上面新建的SSH(情景模式名称,见上面的新建情景模式,这个情景模式的名字是你建立时自己填的)

    b. 添加完切换规则后勾上规则列表规则情景模式同样选择你上面新建的情景模式,比如名称是SSH。默认情景模式就默认直接连接好了。

    c. 在规则列表设置中,规则列表格式建议选择AutoProxy规则列表网址建议填


    http://ift.tt/kxD2nj





关于 规则列表设置 以及规则的相关内容,建议你自己去找资料去了解更多,技多不压身。


简单来说,如果配上切换规则,Switchomega 会根据你的规则匹配你的上网请求域名,决定是否要联合Shadowsocks 使用梁博的资源完成你的上网请求。


最后点击左侧的应用选项,保存配置。


以上全部配好后,回到chrome的右上角,选择那个圆形图标(SwitchyOmega),选择SSH(新建的情景模式名称)或者自动切换(如果你配了)。其实还是建议配上自动切换,不然可能你所有的请求都会走翻墙代理服务器,不免造成资源浪费(这个系统代理模式也有关)。


6. 没有6了。以上全部配完后,chrome中打开google试试,去看墙外更广阔的世界。




最后,鸣谢梁博及为科学上网作出贡献的所有人士,感谢你们,你们是最可爱的。梁博提供的Shadowsocks的配置信息可能随时会有变化,所以还是建议你去关注他的公众号「pennyjob」,随时获取最新的科学上网资讯,码农还能获取最新的工作机会,何乐不为!


原文:http://ift.tt/1twwP9A








via 细节的力量 http://ift.tt/1uLolqC

不翻墙加速使用Google CDN的网站

Google CDN 服务在墙内访问一直不太正常。而国外的很多网站(stackoverflow之类)都用了Google的CDN。


加速方式是

方法1: Chrome中安装ReplaceGoogleCDN这个插件,插件下载地址点
这里


方法2:改 hosts 文件,在文件中追加如下内容



ajax.googleapis.com ajax.lug.ustc.edu.cn
fonts.googleapis.com fonts.lug.ustc.edu.cn
themes.googleusercontent.com google-themes.lug.ustc.edu.cn


两种加速的方式的原理相同,均为将网站中的 ajax.googleapis.com/* fonts.googleapis.com/* , themes.googleusercontent.com/* 的地址替换为中科大提供的镜像的地址。


当然啦,如果想翻墙,推荐使用云梯的VPN,欢迎点我的推荐链接, 这里


原文:http://ift.tt/1yC85Zh








via 细节的力量 http://ift.tt/1zi3dOn

熊猫翻滚:你远可以更优雅地科学上网

最近Gmail又一次惨遭毒手,世界第一局域网的研究取得了新的重大进步,引起社会上下一片热议。虽说此次封锁不是一个“翻墙”就能解决的,不过科学上网方法又一次被讨论起来。


更优雅地翻墙 更优雅地翻墙



简书上一篇 《最实用的“翻墙”教程》 被推上首页,其中提到的“红杏”是我之前考虑过的一个方法,可是它基于Chrome的平台限制似乎是硬伤了。


而简书上的 《科学上网》 专题中多数都是VPN和Shadowsocks:



  • VPN作为配置简单、多平台支持、无门槛的科学上网方案,几乎已经成为科学上网的代言词,不过VPN的全局特性造成了VPN连接时访问国内网站的速度变慢。

  • 而Shadowsocks作为一个非系统集成的方案,在移动端限制诸多:未root的Android手机只能全局上网,未越狱的iPhone只能使用APP内的浏览器上网。


在访问不同的网站时不停切换绝壁是反人类的体验。若是讨论完全免费的科学上网方案,我自然会推荐GoAgent。不过今天我想说说如何优雅地翻墙,就势必是收费的服务了。


有软文恐惧症或软文洁癖患者大可以直接点击右上角还眼睛一片清净了。写这篇“半软文”目的有二,一来真心觉得这个服务不错,二来试试推广链接能不能为我省去一些费用。(您用文中的链接注册充值,我可以得到10%的提成。)



其实第一次听说要写翻墙服务的广告我是拒绝的,因为,你不能让我写,我就马上去写,第一我要试一下,因为我不愿意拍完了以后再加一些特效上去,网速“咣”一下,很快、很爽,这样观众出来一定会骂我,根本没有这样的网速,就证明上面那个是假的。后来我也经过证实他们确实是不错的,我用了大概一个月左右,感觉还不错,后来我在写的时候也要求自己不要加特效,因为我要让读者看到,我用完之后是这个样子,你们用完之后也会是这个样子!



不过到现在还没说名字,这个服务名字叫“ 熊猫翻滚 ”。



熊猫故事


那道墙阻拦行人佳人秋千荡 笑语生 却只能想象

那层纱阻拦铁手伊人芙蓉面 白玉冠 却不可触碰

那条河阻拦父老霸王英雄事 纵横愿 却化为乌有

一个个阻碍 遗恨万年一件件往事 尽是叹惋

何时 有人能够破除种种壁垒令大千世界河清海晏

那一年三藏翻过帕米尔高原来到西天遍览真经无数

那一年张生翻过某寺的高墙和崔莺莺密会月下西厢

那一年毛爷爷翻过巍峨雪山长征后的革命一片坦途

一次次翻越 名垂青史一回回翻滚 改变世界

现在 熊猫带你追寻前人足迹在网络世界翻滚不息

那些异域奇珍 西洋瑰宝那些隐秘前事 不朽过往

皆在此刻 藉由熊猫翻滚 一一呈现予你

来吧 时间开始了



他们提供三种套餐:


套餐种类 套餐种类


“超能熊猫”和“学术熊猫”两种套餐有“一次性购买12个月实付10个月”和“一次性购买6个月实付5.5个月”的优惠,购买“超能熊猫”套餐更提供多线路代理、赠送AnyConnect VPN。


之所以说优雅,“ 熊猫翻滚 ”是使用PAC配置的HTTP/HTTPS代理,优点有下:



  • 配置简单

  • 自动分流

  • 多平台支持


开通“超能熊猫”后,PAC配置一步到位,毫无技术要求:


PAC配置 PAC配置


而iOS的数据网络和AnyConnect通过描述文件配置,简单方便:


配置文件 配置文件


私以为,在VPN、SS之外,这样PAC类的代理或许更为优雅。


熊猫翻滚: http://ift.tt/1eVBSIo


原文:http://ift.tt/1yC85IH








via 细节的力量 http://ift.tt/1yQ2ChI

Shadowsocks.com 所售服务与 Shadowsocks 项目无关

最近收到许多有关 Shadowsocks.com 的邮件,觉得有必要澄清一下:



  1. Shadowsocks.com 并非官方网站。

  2. Shadowsocks.com 所售服务与 Shadowsocks 项目无关。

  3. Shadowsocks 项目从未提供过任何收费服务。


原文:



Henry Wong on Jan 25, 2015 at 11:26 PM

无法连接Google Play,以及态度莫名其妙的服务态度 买了Shadowsocks一年99元的服务,折腾了半天还是无法连接Google Play,填写了技术支持的工单也无法解决问题,无奈之下入手了别的代理服务。后来跟朋友说起这事,朋友建议我询问一下能否退款,然后询问了Shadowsocks的财务部门,得到的回复是「 您是 1 月 11 号购买的,能不能用早就知道了吧?不能用的话我们也不会骗你钱对吧」。Shadowsocks也算有点名气的团队了,没想到却是这样的服务态度。


原文:http://ift.tt/1yWWOrk









via 细节的力量 http://ift.tt/1yWWOrn

翻墙问答﹕VPN被封 用什么方法可有效翻墙﹖

问:近日中国当局加强封锁VPN,令不少网民叫苦连天﹐究竟大陆网民还有什么翻墙方式现时仍然有效?


李建军:如果是Android手机的用户,可以考虑无界一点通2.9a测试版,或自由门Android版3.2。


自由门Android版3.2已经是正式版本,暂时翻墙表现稳定,依赖Android手机、平板电脑或电视机顶盒上网的听众,可以考虑先用自由门Android 3.2版。而无界一点通2.9a现时仍是测试版,因此仍有不稳定的问题﹐主要在连接Google Play商店一直无法接通。但由于现时封网情况严重,纵使无界一点通2.9a仍在测试阶段,都应尽快下载,在其他翻墙情况失败的情况下,仍然可以翻墙上网。


在VPN方面,除了支援微软SSTP协定的VPN外,日本筑波大学的VPNGate服务,暂时在中国地区的翻墙成效良好。而部分使用自家技术的商营VPN服务,由于中国当局未掌握这些公司所使用的VPN协定内容,暂时都仍然成功翻墙上网。如果相当需要使用VPN翻墙的朋友,可以考虑日本筑波大学的免费VPNGate服务,或使用支援SSTP或自行开发技术的商业VPN。


问:那筑波大学的VPNGate,是用那些技术来成功翻墙上网?


李建军:根据筑波大学的资料,大部分成功翻墙上网的中国用户,都是利用OpenVPN或由筑波大学自行研发的免费软件成功翻墙上网。这方面数据反映出,中国当局在封锁OpenVPN方面未能完全掌握。


问:那筑波大学的VPNGate,又因什么技术理由,可以比其他免费服务更能成功翻墙上网?

李建军:首先,VPNGate有极多的志愿者建立主机参与,现时全球有七千多部主机参与测试,中国当局很难主动封锁这七千多个志愿者营运的主机,而且主机的数目以及IP时常在变,这令中国当局并不容易去侦测和掌握到底有哪些人利用VPNGate翻墙上网。


另一方面,VPNGate的客户端软件,支援的VPN技术多样化程度,亦为其他免费计划之冠,除了微软SSTP以及OpenVPN外,更支援SSL-VPN、以太网over HTTPS等技术,这令中国当局暂时难以成功拦截透过VPNGate计划下的通讯,除非中国当局一并掌握了这些比较新的VPN技术,否则暂时仍然能够有效上网。但由于VPN Gate的主机以及IP数目每日不同,因此要每天都去VPNGate主页留意有什么新IP和主机,以及对自己的系统作出调整。


问:那怎样设定VPNGate?


李建军:先用翻墙软件,或现时仍然有效的VPN翻墙到vpngate.net的网页,就可以下载客户端,或知道最新的有效IP列表。


对于Windows的听众,我们建议下载VPNGate的客户端,除了大大减省了设定上的复杂程度,亦可以享受到VPNGate使用多种不同VPN技术翻墙的优势,提高以VPN翻墙成功的比率。而Windows版的VPNGate客户端,使用用户图像介面,相当方便易用,只要执行安装程式,再选择透过VPNGate学术计划连接,就可知道现时可用的主机清单以及主机速度,再选择适当的主机上网。


至于Mac、iPhone、Android和Linux的听众,我们建议现时透过安装OpenVPN客户端,透过OpenVPN客户端翻墙上网。虽然VPNGate指L2TP比较容易设定,但由于L2TP已经成为中国当局的针对对象,暂时未见有任何中国用户成功利用L2TP成功连接VPNGate服务,因此,无论OpenVPN设定相对复杂也好,都要用OpenVPN。而OpenVPN的设定配置文件,需要透过翻墙去下载,因此,千万要保留其他像自由门、动态网之类的翻墙软件,亦要时常留意有那些新的VPN主机,并下载相关的配置文件。


原文:http://ift.tt/1BGDyhB








via 细节的力量 http://ift.tt/1BGDyhI

网站管理员回应防火长城的DDoS攻击:草泥马





防火长城使用有效可访问IP地址投毒污染DNS本质上是把中国的每一台电脑作为超大型DDoS攻击的一部分,已有许多网站和服务器成为这一攻击的受害者,有多名网站/服务器管理员将他们的遭遇 公开记录了下来 。其中一位Craig Hockenberry再次发帖表达他的想法: 草泥马 。他的每一段话都以草泥马的英文Grass Mud Horse结尾以此表达他的气愤之情。中国有数以百万计的BT下载用户,而他们下载的种子文件有许多都加入了海盗湾的tracker服务器,海盗湾早已关闭了tracker服务器,而它长期以来一直被中国屏蔽,于是当BT客户端尝试连接thepiratebay.org的tracker时, 防火长城 用随机IP地址进行DNS投毒 ,于是这些IP相对应的服务器遭到了来自中国的DDoS攻击。


原文:http://ift.tt/1JThEve








via 细节的力量 http://ift.tt/1yhI2rx

说起来 GFW 还真是赶尽杀绝啊……

之前固定一个域名一次连续大量请求也就能拿到 200 个不重复的假地址,现在随便一下都三四千个不重复的……SXBK



嵌入图像的永久链接


原文:http://ift.tt/1LtKNz1








via 细节的力量 http://ift.tt/1BCTC1n

Wednesday, January 28, 2015

美丽新世界:linux 下的惬意生活之tor地下网络代理篇



Everyone has the right to freedom of opinion and expression; this right includes freedom to hold opinions without interference and to seek, receive and impart information and ideas through any media and regardless of frontiers.

—- <<Art. 19, Universal Declaration of Human Rights, 1948>>.


google 重新定义了搜索引擎,苹果重新定义了手机,天朝重新定义了局域网。为让大家保有天朝优越感,+- 屏蔽了大量“非法”网站,有境内/境外的、有纯技术的、有爱情动作的、有轮子功的,反正 +- 不喜欢的通通借由 GFW 这堵墙屏蔽掉。当然,也有主动屏蔽囧朝访问请求的,比如,sourceforge.net 非常反感囧朝的封闭,你朝子民别来我这儿。裆从小就教育我们,哪里有压迫哪里就有反抗,话说屏蔽之前,天朝的宅男还可以下载几部码片看看打发时间,嘚,看吧,让你屏蔽,没事做了,那就研究下怎样翻墙吧。



前面介绍的几种代理方式,都有个共同的特点:第三方先贡献出一台墙外服务器,然后允许你以该服务器作为出口,访问目标网页,出口服务器在获取完整目标网页后再传回给本地。goagent 的出口服务器是 google 的 GAE 引擎所在服务器、shadowsocks 和 openVPN 的出口服务器是各大机构免费开放的 VPN 服务器,由此可见,这些出口服务器是实现翻墙的关键。



有报道称,接入互联网的 PC 数已达 13 亿,分布在全球各地,如果,我说如果,有某种机制,一旦建立相互信任关系后,位于墙外的 PC1 能允许墙内 PC2 将自己作为出口服务器进行目标网页访问,那也是可以实现翻墙,若是可行,13 亿台 PC,你只需选择希望的国家或地区的那台 PC 建立信任,随意指定出口 IP 的代理方案完全可以落地。tor 诞生。



顶级黑客为保证自身安全,对网络匿名访问有非常高的要求,通常:他们先在自己的 PC 上安装虚拟机,然后虚拟机中通过 VPN 代理进入 tor 的地下网络,最后从 tor 的出口中继节点发起网络访问。这样一层套一层的方式,实现绝对匿名访问。tor 项目初衷是为用户创建一套高度匿名网络访问的服务,任何国家、任何计算机设备均可加入将自己设置为一个中继节点,所有中继节点形成了一张巨大的地下网络,你的任何网络访问请求,均可通过这张地下网络多次中转,实现不可回溯的匿名访问,由于这个地下网络中的节点数目非常庞大,用户可以自由选用任何地区的 IP 进行网络访问。接入地下网络前,tor 会让你先连接上索引服务器,由于地下网络中的中继节点数量非常多,所以必须通过索引服务器查找应该连接哪些节点;一旦连接上索引服务器,它将为你分配三个中继节点,入口中继、中转中继、出口中继,这三个中继组成一条地下网络访问路径,你的网络访问请求路径变成客户端-入口中继-中转中继-出口中继-目标网站,回到我们引入地下网络代理的背景,如何指定任意国家的 IP 进行代理访问?这看似不可能实现的任务,在 tor 中易如反掌,只需手工指定路径中的出口中继节点指定为你需要的区域即可。下面我们看下具体操作。



第一步,下载并安装 tor、vidalia。tor 是命令行工具,那些被 windows 毒害的用户患有命令行恐惧症,为解救他们,开发人员在 tor 外开发了一套图形界面的壳 vidalia,通过 vidalia 可在图形界面下操纵 tor。你可以在 http://ift.tt/1Cfpnmr (墙外)找到最新版的 tor 和 vidalia 源码,下载后分别源码安装;



第二步,指定出口中继节点。重点来了,我们引入 tor 地下网络的目的是想实现按自己意愿指定某个国家的 IP 作为访问代理,只要正确配置即可。tor 的配置文件,若是源码安装的,则为 /usr/local/etc/tor/torrc,若从预编译包中安装,则为 /etc/tor/torrc 或 /etc/torrc,vidalia 的配置文件为 /root/.vidalia/torrc。我们以 tor 为例,看看两种指定出口 IP 的方式。








  • 方式一,按国家代码进行指定,在 tor 配置文件中增加如下信息:



# 按国家指定出口中继节点
ExitNodes {MY}
# 严格按 ExitNodes 设定选用出口中继,即便没有可用中继导致创建地下网络路径失败也要严格选用
StrictNodes 1


其中,我希望出口 IP 位于马来西亚,所以在 {} 设定为 MY,你可以换成任何你希望的国家或地区,比如想要台湾 IP,可以设定为 TW,完整国家代码参见http://ift.tt/15MDuRY


  • 方式二,按节点名进行指定,在 tor 配置文件中增加如下信息:



# 按节点名进行指定
ExitNodes voxility,axigy1
# 严格按 ExitNodes 设定选用出口中继,即便没有可用中继导致创建地下网络路径失败也要严格选用
StrictNodes 1


其中,我希望出口 IP 位于罗马尼亚,所有选用 voxility 这个位于罗马尼亚的出口中继节点名,你可以在http://ift.tt/1Cfpq1A 找到当前各国在线的节点名,按需选用,你也可以指定多个出口节点名,用 , 分割,形成候选列表,避免单个节点故障影响你的使用。

关于出口节点的选择,你一定要谨慎!不见得进入地下网络就一定安全。天朝虽无法绝对封锁 tor 的地下网络,但可以把自己隐藏到地下网络中,伪装成一个普通中继节点,这就是所谓的“蜜罐”。另外,除了天朝外还有些社会主义国家也有他们自己的 GFW,比如伊朗、叙利亚、朝鲜等等,如果,你把朝鲜选作出口节点,很好,费了九牛二虎之力翻到墙外,你会发现更多网站无法访问了,就好像你挖条地道越狱,好不容易挖通了,却发现是在隔壁监狱 @_@!因此,你需要告诉 tor 切勿选用这些国家的中继节点:


# 禁用以下国家的中继节点
ExcludeNodes {IR},{SY},{KP},{CN},{MO},{HK}


第三步,设置浏览器让其通过地下路径进行网络访问。前面介绍 goagent 时我们已经设置过浏览器,让浏览器走 goagent 代理模式,这里的设置与前面差不多,点击插件 autoproxy,进入 preferences -> proxy server -> edit proxy server -> add proxy server,添加代理名 tor、IP 为 127.0.0.1、端口为 9050、协议 socks4,保存后重启 firefox,这时你在 autoproxy 中可以看到两个可选代理,见下图:



(在 firefox 中增加 tor 代理模式)

第四步,进入地下网络。tor 威力太大,近年被 GFW 彻底封杀,你用普通方式是无法接入索引服务器,你可以用网桥或者 VPN 接入。

尝试通过网桥进入地下网络。何为网桥?地下网络中的普通中继节点是以公共形式存放在索引服务器上,网桥实际上是种私有中继节点,也就是说,你先用私有中继节点(即网桥)接入索引服务器,接着获取地下网络三个节点的网络路径,然后抛弃私有中继、采用地下网络路径进行访问。目前有两种获取网桥的方法。方法一,直接去官网获取 http://ift.tt/15MDwch ,简单得很,输入验证码即可获取网桥,好吧,我承认,这是我见过最复杂的验证码,你可以把网页放大到最大程度,或许你可以看清;方法二,用你的 google 邮箱给 bridges@torproject.org 写封邮件,主题和正文都为 get bridges,且正文必须是纯文本(你的邮件签名应该禁止掉),几分钟后将收到 tor 项目组自动反馈的邮件,内容正是你需要的网桥,类似:


88.83.241.14:9001 e040f24bfdd1e4aab4fed15db47d8c22dfac454d


其中,三部分依次为网桥的 IP、网桥的端口、网桥的指纹。有了网桥,你需要将其添加进 tor 的配置文件中:


# 使用网桥
UseBridges 1
# 设置网桥
Bridge 88.83.241.14:9001 e040f24bfdd1e4aab4fed15db47d8c22dfac454d


这时,你可以先尝试下能否接入索引服务器,命令行执行:


tor


如果长时间停留在 Bootstrapped 5%: Connecting to directory server,那么说明你刚获取的网桥已经被 GFW 封锁,如下图所示:



(网桥连接地下网络失败)

本次尝试失败!你别惊讶,想想也正常,你能轻松获取网桥,GFW 的运维人员也能轻易获取,他们可是一群天天只干这事儿的人,新出一个网桥,他们就封锁一个。你更别妥协,我们用网桥的目的是为了接入索引服务器,通过前面几节的介绍,你已经具备 VPN 系统全局代理的能力,网桥不行咱就不用网桥,你完全可以在全局代理的环境下不用网桥接入代理服务器。

尝试通过 VPN 进入地下网络。先把上一步添加的网桥信息全部注释掉,然后执行 openVPN 建立系统全局代理环境,最后执行 tor 进入地下网络。如下图所示:



(VPN 连接地下网络成功)

本次尝试成功!由入口、中转、出口三个节点组成地下网络访问路径就创建好了,为确保绝对安全,tor 周期性变更路径中的三个节点,也就是说,这个时段是 node1-node2-node3 组成的路径,下个时段则变成 node11-node22-node33,达到访问不可回溯的目的。

经过以上四步设置,以后,你要想进入地下网络,先运行 VPN 创建系统全局代理环境,接着运行 tor 进入地下网络,最后设置 autoproxy 走 tor 地下网络路径,搞定!你可以访问 http://ift.tt/1beNwMS以确认是否通过地下网络访问。





摘自:http://ift.tt/1vBZRRn



作者:yangyangwithgnu


原文:http://ift.tt/1Cfpqi2








via 细节的力量 http://ift.tt/1v2xYXr

Firefox高级的代理管理工具FoxyProxy介紹

官网简介

FoxyProxy是一个高级的代理管理工具,它完全替代了Firefox有限的代理功能。它提供比SwitchProxy、ProxyButton、 QuickProxy、xyzproxy、ProxyTex、TorButton等等更多的功能。


FoxyProxy能自动切换一个或多个基于URL模式的代理服务器的网络连接。简单来说,Fox yProxy自动化了Firefox的连接设置对话框的手动编辑过程。代理服务器的切换基于加载的URL和你定义的交换规则。


安装使用说明

打开 http://ift.tt/K6NtpK 下载插件安装。


配置


安装完foxyproxy后,在你的浏览器状态栏,或打开附加组件,寻找并直接打开foxyproxy配置选项界面



如上图所示,默认是只有一个“默认”代理服务器,也就是不使用任何代理的连接,首先要做的是选择工作模式(下图),选择到“使用基于其预定义模板…”这个,表示会根据不同的代理规则自动切换连接,相当于autoproxy的自动模式


下面以使用shadowsocks代理为例开讲如何配置,点击“新建代理服务器”打开界面新建一个本地代理



选择”手动配置”,照上图所示,因为SS使用的本地端口是8080,还要勾选socks V5 代理;“常规”标签中要勾上“启用”,可以对代理进行重命名设置颜色等,都填写完毕后点击“确定”,SS的本地代理就配置好了。

然后回到foxyproxy选项,选择“模式订阅”,需要订阅autoproxy的gfwlist规则实现自动对其内包含的网址自动翻墙;空白处右键,菜单中选择“添加新的模式订阅”



在弹出的配置界面中输入:


订阅名称:自己随便写


订阅网址:GFW规则http://ift.tt/kxD2nj ,或使用博主在用的贴吧维护简洁版规则(去除了外网部分用不上的网站地址)http://ift.tt/1CfD58W


代理服务器:点击“添加代理服务器”,选择前面设置好的SS本地代理连接即可,一定要选择否则不会生效


更新频率:随便填写,一般选择60或120分钟检查有无更新


format:上面两条规则都是autoproxy格式的,所以这里也选择autoproxy


obfuscation:默认 无


记得勾上“启用”,最后点击“确定”收工,配置完成。



把本地的SS客户端打开运行,然后在浏览器输入一个被墙的网站进行测试,看看是否会正常使用SS代理成功打开,如有问题,也可切换到它自带的“日志”选项卡,勾选“启用”后点击右边的“刷新”按钮,看看是否有代理连接的日志显示,下图就是在使用SS代理访问twitter的连接日志



收工


总体来说,autoproxy比这个简洁好用些,在操作上也显得方便,特别是添加自定义代理网址,但现实问题是autoproxy的更新跟不上firefox版本而无法正常使用,退而次之,也只有用它了…



原文:http://ift.tt/1CfD590








via 细节的力量 http://ift.tt/1tokZhM

Tuesday, January 27, 2015

Google Chrome浏览器 v40.0.2214.91 美博园翻墙纯净绿色版(20150125)

本文是Google Chrome浏览器 v40.0.2214.91 美博园翻墙纯净绿色版(20150125)。Chrome浏览器虽是后起之秀,以速度和安全著称,现在有很多网友使用。Google Chrome浏览器 – 美博园翻墙纯净绿色版是根据最新的稳定版制作的100%原汁原味绿色纯净版本,目的是打造一个安全可靠的绿色版浏览器,重点放在安全、实用、干净、快速方便,進行了必要的安全设置,增强安全性,并增加了必要的扩展,方便网友翻墙时设置代理等;本绿色版适合于安全翻墙和安全性要求高的朋友使用,当然也适合其他朋友作为常用的浏览器。


下载:


2015-01-25 更新 Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)


* 本文原文链接:Google Chrome浏览器 v40.0.2214.91 美博园翻墙纯净绿色版(20150125)美博园 *


解压密码:mima20150125 (美博园注:此密码主要是防止网络过滤,密码也在文件名上注明)


本地下载:Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Google Drive): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(SkyDrive): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Box):Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Datafilehost): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Mediafire): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(OpenDrive):Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Syncplicity): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)

下载地址(Uploadingit): Chrome浏览器 v40.0.2214.91 美博园纯净绿色版(ChromePortable_v40.0.2214.91-mima20150125.rar)


MD5SHA1验证值:

文件: ChromePortable_v40.0.2214.91-mima20150125.rar

大小: 62,387,180

MD5: 1135FCB119071091FC9E914F34999479

SHA1: CD13515C17AFDBC0B65E9966E52A508D6EACFC38

SHA512: 104AFE664F80479A57CB13B9181CC44B3D4CC7C030060852B3032D4574543F7E1CB60046D518A7F32530337B8AEC262C0EABB3F48C172D38B517F9DBA47C1890

CRC32: E5562233


====================================================

GoogleChrome_v40.0.2214.91-美博园翻墙纯净绿色版-使用说明(2015-01-25)

=====================================================

Google Chrome 是由 Google 开发的一款设计简单、运行高效、支持扩展的浏览器,它基于高速 WebKit/Blink 内核和高性能 JavaScript V8 引擎,在支持多标签浏览的基础上,提供顺畅的浏览体验,并且每个标签都在独立的沙箱内运行,安全性大大提高。


Chrome浏览器虽是后起之秀,以速度和安全著称,现在有很多网友使用。Google Chrome浏览器 – 美博园翻墙纯净绿色版是根据最新的稳定版制作的100%原汁原味绿色纯净版本,目的是打造一个安全可靠的绿色版浏览器,重点放在安全、实用、干净、快速方便,進行了必要的安全设置,增强安全性,并增加了必要的扩展,方便网友翻墙时设置代理等;本绿色版适合于安全翻墙和安全性要求高的朋友使用,当然也适合其他朋友作为常用的浏览器。


本站提供谷歌浏览器 Google Chrome-美博园翻墙纯净绿色版,版权归原作者或公司所有。


缺点:Google Chrome浏览器现在对双击关闭标签功能没有简便解决方案;耗用内存比较大。


如果您使用中有什么意见欢迎反馈,以便更加完善。


一、Google Chrome浏览器 – 美博园翻墙纯净绿色版 使用方法:


下载后解压缩,得到 ChromePortable 文件夹,双击其中的绿色版启动文件:ChromePortable.exe ,即可启动Chrome浏览器”。


【请注意】:启动程序是 ChromePortable.exe ,以后每次启动都是这个,而不是 chrome.exe .


二、Google Chrome浏览器 – 美博园翻墙纯净绿色版的特点:


(一)、根据官方原版100%原汁原味制作的纯净绿色版;

(二)、方便使用,可放置到任何目录和移动设备中使用;

(三)、已经根据日常使用安装了必要的扩展;

(四)、为了增强安全性,進行了必要的设置;


三、为了方便网友使用,安装了几个必要的扩展,如果您自己需要其他扩展,可以到官方网站下载:


http://ift.tt/Zyvezl


1、Proxy SwitchySharp:


http://ift.tt/W4HV4M


网友翻墙浏览海外被墙,这个代理扩展Proxy SwitchySharp,相当于Firefox浏览器的Gproxy、autoproxy等扩展,方便网友快速切换代理,不用每次都要设置代理;

美博园已经填好了常用的一些翻墙工具的代理,网友也可以根据自己使用的代理软件来设置相应的代理。


2、AdBlock:


http://ift.tt/VzlNMz


阻止广告


3、以前版本,美博园安装有“快捷工具(由Google提供)”这个扩展,官方已经停止支持这个扩展


http://ift.tt/17dcP10


这个扩展由google提供,有如双击关闭标签页等等功能


关闭标签(tab)时,可用单击(压下)中间滚轮。


================================================

如果您一时不能翻墙上网,可以给美博园翻墙网的自动订阅邮箱发信,就会收到最新的翻墙软件

邮箱是: allinfa01@gmail.com


注1:最好使用国外信箱,来信索取软件时,邮件标题、正文可无或任意写,一般数分钟内会收到自动回信。

注2:索取信箱名的 allinfa01中可以插入任意英文点“.”,如:allinfa.01@gmail.com、allinf.a01@gmail.com、al.linfa01@gmail.com、a.llinf.a01@gmail.com 等等均可。


===============================================


如果您有什么建议,请到网站留言,我们将尽力为网友服务。


美博园翻墙网 allinfa.com


2015-01-25


原文:http://ift.tt/1z8VjFq








via 细节的力量 http://ift.tt/1H9pKCd

国外DNS服务器

对付DNS劫持,就要国外服务器:

8.8.8.8

8.8.4.4

208.67.222.222

208.67.220.220

209.244.0.3

209.244.0.4

156.154.70.1

156.154.71.1

4.2.2.1

4.2.2.2

208.76.50.50

208.76.51.51

198.153.192.40

198.153.194.40

198.153.192.50

198.153.194.50

198.153.192.60

198.153.194.60

8.26.56.26

8.20.247.20

184.169.143.224

184.169.161.155

67.138.54.100

207.225.209.66

配置方法:控制面板——》网络和Internet——》网络和共享中心——》更改适配器设置——》找到本地连接(就是正在用的那个网络连接)——》右键属性——》Internet协议版本4——》双击打开之后把“自动获取DNS服务器地址”改为“使用下面的DNS服务器地址”并填上地址(从上面那堆里任选一个)

最好事先win+r之后输入cmd回车,再输入ipconfig/flushdns回车,刷新DNS缓存。


原文:http://ift.tt/1ypAgdX








via 细节的力量 http://ift.tt/1ypAguk