Monday, November 28, 2016

网站启用 HTTPS

网站启用 HTTPS,使用的是Let’s Encrypt的免费证书,360家的StartComWoSign被处罚后,免费的证书也就Let’s Encrypt比较好用了吧,虽然还有腾讯提供的免费免费证书及COMODOAlphaSSL免费的野证书,不过都不怎么保险吧。

由于网站关闭了wordpress缓存插件,也没有进行太多优化,可能访问速度有点慢,好在现在访问的人少,还请大家反馈下访问速度。



via iGFW http://ift.tt/2fvBt6M

Shadowsocks for安卓版客户端(v3.3.0)

Minor bug fixes.

Downloads

原文:http://ift.tt/2fInY21




via 细节的力量 http://ift.tt/2fIpIbv

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险

【翻墙问答】部分垃圾电话过滤程式对用户私隐构成风险(粤语部制图)

 

视频:http://ift.tt/2gnP0ty

问:不少人为了过滤推销电话或其他垃圾电话,都会用特定的过滤程式,拦截这些垃圾来电,但香港传媒发现这些过滤程式是有私隐疑虑,甚至有可能令自己的电话会落入中国企业手上,对自己的朋友构成危险,请问情况如何?

李建军:根据香港调查报导机构Factwire的调查,有中资背景的Whatscall以及CM Security、以色列的Sync.me以及瑞典的Truecaller,都可以透过个别人士电话,反查到当事人身份,这是相当有力证据显示,这些软件都有蒐集用户的电话簿资料,并储存在中央主机。

当然,由于资料泄漏的缘故,无论Whatscall、CM Security、Sync.me和Truecaller都要立即停用,只不过,Whatscall和CM Security,由于大股东是猎豹移动,而猎豹移动的大股东是金山软件。因此,如果你的手机电话簿内容,落入Whatscall或CM Security手中,很大机会落入金山软件手中,这有可能危害到听众其他朋友的安全,因此,不论Whatscall和CM Security作出何等承诺都好,都应即停用相关软件。

问:美国保安专家发现,当地出售的Android廉价手机,都会将资讯不断送到四部中国主机,造成相当大的保安疑虑。请问这次美国保安专家所发现的保安问题是什么?听众可以怎样做,避免买到会泄漏私隐的Android手机?

李建军:出问题的手机软件,大部分都是上海广升科技所提供,广升科技在手机作业系统加入元件,会将资讯传到广升科技四部主机,传送的资讯,包括短信全文、电话簿资料等等,构成的私隐泄漏相当恐怖。由于广升科技的元件,是以系统元件身份在手机或其他Android作业系统器材上执行,所以用户是没有办法阻止相关软件继续将资讯送到广升的主机,亦只有专业人士可以侦测和阻止广升的软件运作。

要避免买到使用广升作业系统的主机,除了要拒绝买华为和中兴通讯的手机外,现时只能选择具自主软件研发能力的手机品牌,例如三星、LG、索尼等大公司。三星、LG和索尼等公司,为了配合他们自身的生态圈以及其他硬件,一般不会将作业系统开发部分外判予其他公司,特别是中国的公司,比较容易避免用到广升科技的软件。而那些无品牌的廉价手机,无论在那一个国家买的,由于要减省开发成本,很可能用上广升科技的软件。对用户而言,这是非常灾难性的情况。

除了大品牌手机,以保安为卖点的手机,像Blackberry以Android作业系统为本手机,亦不会使用广升科技的软件,因为这类保安为卖点的手机,不少都要经过美国或欧洲政府部门的保安审查,如果出现广升科技的间谍软件,根本不可能经过政府的保安审查,更不可能争夺西方国家的政府合约。

问:Mac一直都很难使用无界浏览,不过,透过无界浏览的Firefox插件,Mac都可以使用无界浏览翻墙,这又如何做?

李建军:透过无界浏览Firefox插件,只要安装了插件,很简单按一下插件开关,就可以连接无界浏览的主机翻墙,实现了利用Mac来透过无界翻墙。但要注意的是,最好先用其他浏览器翻墙下载插入,才去安装,直接在Firefox上是安装不了。

这次翻墙问答,我预备了视频,示范如何在Firefox安装无界浏览的插件,欢迎各位听众浏览本台网站收看。除了Mac,Windows和Linux的Firefox,都适合于同一个安装手法和使用方法,这跨平台翻墙方法,是颇为方便要穿梭不同平台的用家的。

原文:http://ift.tt/2fInIQE




via 细节的力量 http://ift.tt/2fIfxDR

三款網路翻牆工具–freenet, lantern, psiphon


這一年多來,偶而幫Open Technology Fund 放在transifex.com上的公開專案進行正體中文化的翻譯。如果我沒理解錯誤(知道正確資訊又剛好有看到這篇文章者煩請指正),OTF有部份資金來自Radio Free Asia,而RFA這個由美國官方資助的公共媒體的確有不少來自美國政府部門的經費支援。不過我要說的是OTF所支持與投入的數位科技專案,多是以協助在資訊封閉不自由的地區、社會、國家如何透過數位技術科技的開發和應用,打斷資訊的隴斷控制。於此同時OTF另一關注的重點則是如何保護人民在使用工具獲取資訊時,不會受到權力者(主要是政府部門)的監控干擾。

来源: http://ift.tt/2g8sEyT
剛好這兩個議題算是我個人比較有興趣的,所以也用了一些時間在相關軟體的中文化與介紹上。而今天要一口氣介紹的三款網路翻牆工具,我都有幸(嗯其實是沒有人和我搶)參與了其正體中文化的進行,當然其中也不少是借力於先行完成的簡體中文稿的基礎。
簡單說明,所謂翻牆工具是為了對付網路的審查與封鎖。因此不能不先了解到底何謂「網路審查與封鎖」?網民們或多或少知道中國GFW的威力以及其對許多境外跨國網站的封鎖政策,我就不多說。自詡為進入民主待深化、人權保障雛備,甚致有人覺得言論太過自由的今日台灣,是否仍然存有網路審查與封鎖的現象呢?答案是:當然有!!!。只是在中國執行「「網路審查與封鎖」」的權力者其無法相應的監督和制衡,而在台灣稍慶幸言論資訊被審查而遭移除的原因與手段多少有點法律正當性的依據,例如以未成年者身心發展健康為由,在校園內的公共電腦透過關鍵字設定而無法連到色情網站、臉書接受用戶檢舉認同女性身體上空照片有色情暗示而移除該貼文或暫時停止張貼者使用、毀謗侮辱他人或內容侵犯著作權遭當事人向網管反應在未經法院審理之前內容已被移除…….

許多政府、公司、學校與公共網路使用區都透過一些軟體來阻止使用者連上某一些網站或網路服務。這樣稱之為網路過濾或是封鎖,也被視為網路審查的一種。內容過濾來自不同的形式.有時整個網站都被封鎖有的只是包含某些關鍵字的內容被過濾.某個國家或許會封鎖了整個臉書網站,有些則是封鎖臉書上部份的社群小組或是含有某些字眼的網頁內容。不管其內容是如何被過濾封鎖,你只有透過一些對付工具才能取得資訊. 對付因應的工具往往透過分散你的網路或透過其它電腦的繞行交通,以躲避執行審查的機器。現有許多對付網路審查的工具,有些提供多出來的安全層帶供你使用。這樣的工具最適合受到威脅的用戶。

(摘自Security First umbrella_app:網路初學者介紹篇communications the internet beginner )
繼續根據umbrella_app網路初學者介紹篇的整理,一般而言要突破網路封鎖所採的方式可歸類至少有三種方式:
1)網站差異:試圖找另一個替代的網域名或網址.以推特為例, 你可以造訪它的行動網址http://m.twitter.com 來取代http://twitter.com. 審查者封鎖網站或網頁往往依照被禁止的黑名單資料,所以不在名單上的網址或許可以躲過一劫,因為他們並不知道某一個特定網站有其它不同的網域名稱,尤其是因為遭封鎖而註冊了其它的網域名.
2)網頁代理器 (例如 https://proxy.org/)是最簡單對付審的方式之一.它是由網站讓用戶可以近用其它遭到封鎖的網址. 使用網頁代理,你只需在其網頁上的輸入框打上被過濾的網址,代理器就會在網頁上呈現出你要求的內容。網頁代理器是一個快速近用封鎖網站的好方法,但是它也有一些缺點:a)它住往無法提供安全保密,如果你的網路行為受到監控的威脅,這就不是一個好的選項。b)有時這個工具也無法提供你要求的正確網頁內容,許多網頁代理無法承載複雜的網站,像是有影音內容的網站。c)如其名稱所示網頁代理由能提供網站服務,你無法利用它來使用即時通訊或是電子郵件程式。d)最後,網頁代理本身也給使用者帶來一些風險,因為代理器會全程記錄你的瀏網行為。有一些代理服務使用了加密功能可以提供多一層的安全防護以及躲避過濾。雖然它的連線有加密但是服務提供者仍然保有你的網路資料,這意謂著它並不是匿名。不管如何,這總是稍比一般性的網頁代理更為安全.最簡單形式的加密網頁代理是透過使”https”開頭的網址,它的網站會使用加密通訊。
3)虛擬私人網路 (VPN)會在你的電腦與其它電腦之間進行加密與傳送。這個電腦可以商用或是非營利,或是由你的公司或是一個信賴者所架設的VPN 服務。代理伺服器只有網頁交通功能,但是VPN可以加密和保護通訊內容。主要的差異就在 VPN伺服器可以加密資料,而代理器則不能。VPN也可以讓你方使使用更多網路資源,例如透過它讀取網頁、電子郵件、即時通訊、網路電話等種種服務。不要使用不信任的VPN:VPN透過本機上的加密保護你的使用記錄,但是VPN提供者仍然可以保留你訪問過的網站活動記錄甚致將其提供給第三方以直接窺探你的瀏覧歷史。依照你受威脅模式的程度,政府很可能監聽或是取得你的 VPN 記錄,這將是很大的風險。
當然可以用來突破網路審查(這裏指的是網站被封鎖無法連上的情況,而非內容被移附)工具應該不少,因透過中文化工作,有機會稍接觸的三種翻牆連網工具簡介:
1) Freenet:中文稱「自由網」,根據其官網上的介紹,「它是一個分散式、非中心化的資訊儲存與存取的系統。系統的目標是要在Internet上可以自由地傳遞各類資訊,而不會受到任何控制。要達到這個目標,就是提供匿名的方式來置放資訊到Freenet上,並且透過Freenet來存取其他Internet資訊。」我個人感覺這個是三個軟體中最複雜神祕的一套,其作用不只是在突破網站封鎖,還得把自己的電腦變成自由網中的一個節點,並劃出自己部份硬碟與流量來做為儲存分享交換「檔案」的空間。有技客利用它來連上DarkNet、Deep Web(暗黑網絡、隱形網絡或深層網絡。泛指一些不能由傳統搜尋器找到的網站,須通過動態請求或由特定的瀏覧器才可找到)
2) Lantern: 中文被譯成「藍燈」。它似乎也有應用到點對點之間的技術,軟體會自動檢測一個網站是否被封鎖。對那些被封鎖的網站,Lantern 通過自有的服務器或者未封鎖地區的用戶運行的 Lantern 來提供訪問。如果網站沒有被封鎖,Lantern 選擇靠邊站。這樣瀏覽器就會直接訪問網站,而速度不受影響。
3) Psiphon: 中文被譯成心「賽風」,是一個以VPN-為基礎的工具但也混合利用了SSH, HTTP Proxy等技術,以代理使用者所有的網路交流,不只限於網頁瀏覧。使用安裝請參考之前umbrella app 工具指南介紹
作了一張簡表來比較這三種軟體的特色。也許因為相對地幸運活在今日台灣,所以沒怎麼能親身比較它們各自的優缺點在哪裏,只能先以官網開發者提供的基本資料作介紹。

原文:http://ift.tt/2gnNrfx




via 细节的力量 http://ift.tt/2gnNhVa

Shadowsocks不完全指南

什么是 ShadowSocks (影梭)

ShadowSocks 是由@clowwindy所开发的一个开源 Socks5 代理。如其官网所言 ,它是 “A secure socks5 proxy, designed to protect your Internet traffic” (一个安全的 Socks5 代理)。其作用,亦如该项目主页的 wiki中文版) 中所说,“A fast tunnel proxy that helps you bypass firewalls” (一个可穿透防火墙的快速代理)。

不过,在中国,由于GFW的存在,更多的网友用它来进行科学上网。2014 年底的一项调查显示(图一),“最受欢迎的翻墙方案前五名是: fqrouter 、goagent、shadowsocks、自由门、VPN;最坚挺的翻墙方案前五名是:shadowsocks、fqrouter、自由门、VPN、路由器翻墙”。对比2013年的调查结果,可以看到,Shadowsocks的流行度正日益上升,而其稳定性也获得了广泛的认可。

ShadowSocks 的原理

这里推荐“写给非专业人士看的 Shadowsocks 简介”,讲的非常清楚。为防止有同学无法访问该文章,这里摘抄出来:

long long ago…

在很久很久以前,我们访问各种网站都是简单而直接的,用户的请求通过互联网发送到服务提供方,服务提供方直接将信息反馈给用户whats-shadowsocks-01

when evil comes

然后有一天,GFW 就出现了,他像一个收过路费的强盗一样夹在了在用户和服务之间,每当用户需要获取信息,都经过了 GFW,GFW将它不喜欢的内容统统过滤掉,于是客户当触发 GFW 的过滤规则的时候,就会收到 Connection Reset 这样的响应内容,而无法接收到正常的内容
whats-shadowsocks-02

ssh tunnel

聪明的人们想到了利用境外服务器代理的方法来绕过 GFW 的过滤,其中包含了各种HTTP代理服务、Socks服务、VPN服务… 其中以 ssh tunnel 的方法比较有代表性

1) 首先用户和境外服务器基于 ssh 建立起一条加密的通道
2-3) 用户通过建立起的隧道进行代理,通过 ssh server 向真实的服务发起请求
4-5) 服务通过 ssh server,再通过创建好的隧道返回给用户
whats-shadowsocks-03

由于 ssh 本身就是基于 RSA 加密技术,所以 GFW 无法从数据传输的过程中的加密数据内容进行关键词分析,避免了被重置链接的问题,但由于创建隧道和数据传输的过程中,ssh 本身的特征是明显的,所以 GFW 一度通过分析连接的特征进行干扰,导致 ssh
存在被定向进行干扰的问题

shadowsocks

于是 clowwindy 同学分享并开源了他的解决方案

简单理解的话,shadowsocks 是将原来 ssh 创建的 Socks5 协议拆开成 server 端和 client 端,所以下面这个原理图基本上和利用 ssh tunnel 大致类似

1、6) 客户端发出的请求基于 Socks5 协议跟 ss-local 端进行通讯,由于这个 ss-local 一般是本机或路由器或局域网的其他机器,不经过 GFW,所以解决了上面被 GFW 通过特征分析进行干扰的问题
2、5) ss-local 和 ss-server 两端通过多种可选的加密方法进行通讯,经过 GFW 的时候是常规的TCP包,没有明显的特征码而且 GFW 也无法对通讯数据进行解密
3、4) ss-server 将收到的加密数据进行解密,还原原来的请求,再发送到用户需要访问的服务,获取响应原路返回
whats-shadowsocks-04

Shadowsocks 的优劣

优势

  • 支持远程 DNS 解析,防止 DNS 污染。由于 socks5 代理支持远程 DNS 解析,因此不用另外再去找国外的 DNS 服务器,DNS查询直接递给远程代理服务器,然后通过墙外 DNS 服务器查询得到结果再传回客户端。从而 DNS 污染鞭长莫及。
  • 安全。所有数据流量全部经过加密,加密算法可选并支持自定义算法。另外,远程 DNS 解析也使得本地的 ISP 无法通过 DNS 查询获取你所访问的网站。
  • 隐蔽。 OPENVPN 和 VPNgate 都是死在了特征检测上,通常来说基于证书的身份认证过程和密钥交换过程都会带来独特的协议指纹( OPENVPN 有着一套复杂完善的身份认证机制,估计 GFW 就是识别出了这一机制的协议指纹从而成功干掉 OPENVPN 的),从而使得他们在 handshake 阶段就被 GFW 识别出来并阻断了;但 ShadowSocks 直接放弃了服务器端身份认证,也抛弃了密钥协商过程( TLS 连接就是在 handshake 阶段协商出随机密钥的),而是采取事先在服务器端设置好固定密钥的方式来应对加密连接的(设置shadowsocks客户端和服务器端的时候要填写同一个密码,这就是事先设置好的用于加密和解密的密钥)。这样做就大大减少了协议特征,再加上一般的 ShadowSocks 服务器端都是个人租用的专用服务器,流量很小,从而很难被 GFW 发现和封杀。
  • 速度相对较快。由于其隐蔽性,只会有很少的数据包会被 GFW 丢弃,从而保证了连接速度。
  • 连接稳定。同样由于其隐蔽性,较小的丢包率带来的是稳定的连接。
  • 智能切换。 传统的 VPN 方式,在切换网络时非常不方便, 比如连上国外的 VPN 之后会发现访问国内的网站速度严重下降。 ShadowSocks 支持 PAC 列表,根据 PAC 中的规则,有针对性地选用恰当的网络访问方式,兼顾了访问速度与访问效率。移动客户端还支持针对不同应用设置单独代理。
  • 去中心化。服务器端搭建方便快捷,每个人都可以自己动手搭建属于自己的服务器端。部分人以免费或者收费方式共享自己的服务器,即使不想动手搭建的也有很多的免费账号或购买渠道可以选择。
  • 代码开源。不像某些蜜罐式的翻墙工具,开源的代码保证了无后门,从而为上网的隐私性与安全性提供保障。
  • 客户端配置简单。配置时只需要填写 IP /域名、端口号,密码,然后选择加密方式即可。
  • 客户端绿色小巧。Windows版本的客户端只有200多k,而且免安装,解压即可使用。
  • 省电。在移动端上使用,电量管理中几乎看不到它的身影。
  • 支持开机启动,断网无影响,无需手动重连,方便网络不稳定或者3G&Wi-Fi频繁切换的小伙伴。
  • 跨平台。支持主流系统包括 Windows, Linux, Mac, Android, IOS,都有对应的客户端支持。

劣势

若自己搭建 ShadowSocks 服务,需要一定的

  • 技术成本。因为大部分服务端是基于运行 Linux 的 VPS(虚拟主机)搭建,因此需要学会使用 putty 等远程管理工具的使用方法,并掌握一定的Linux基本命令行操作。
  • 金钱成本。租用国外的服务器,需要价格不菲的费用。

若使用免费 ShadowSocks 账号,可能有一定的

  • 时间精力成本。很多免费账号由于使用者众多,人均流量很小,导致网速慢,不稳定,需要不断寻找新的替代,且很多免费账号会定时更新密码,或者是有流量限制,或者是需要定时签到等等,这些都需要花费时间和精力去一一满足需求才能短暂使用。
  • 安全成本。有一些人会将自己的 ShadowSocks 节点免费分享出来,这些人是非常值得肯定和称赞的!但是其中有一小部分人别有居心,例如在 ShadowSocks 的服务器端监听网络流量,进行中间人攻击等,这类钓鱼服务器会严重损害用户的个人信息安全。

若购买收费的 ShadowSocks 账号, 需要一定的

  • 金钱成本 由于很多 ShadowSocks 卖家都是以盈利为目的,需要花费一定的费用。

那么,自己想要有一个影梭账号的话,到底是选用哪种比较好呢?可以看到网上很多卖 ShadowSocks 账号的,有的价格很便宜,比自己搭服务器划算多了,是不是直接购买一个账号比较好呢?

在这里我建议大家自己搭服务器,或者找几个人一起租个服务器比较划算。不推荐购买商业出售的 ShadowSocks。
商业的出售 ShadowSocks 账号的行为绝大部分都是耍流氓。试着算一下,作为一个 ShadowSocks 出售者,他们的成本是服务器的租用费用,而收入是购买 ShadowSocks 账号人数 × 每人花费的 ShadowSocks 账号购买价格。
我们假设,一台服务器的租用成本,是 10 美元一个月,那么如果要想不亏本,且做到低价,假设现在卖给十个人,那么至少每个人每月要 1 美元。但是,服务器的带宽是有限的,假设是 100M 的带宽,那么平均分下来人均带宽只有 10M,而服务器的流量一般也是有限的,如果一共是 1000 M 的流量,那么每人每月只分到 100M 。如果超出流量,服务器的租用费用会增加,就好像我们手机流量超出后,额外的流量需要交钱一样。因此,购买的流量一般都会受限制。
从上面的例子可以看到,服务器资源是大家共享的,使用的人越多,人均分到的资源就越少。但是, ShadowSocks 的卖家需要赚钱,那么怎么办呢?当然是最小化成本,并最大化收入了。也就是说,尽量租用少量廉价的服务器,然后将它以尽可能高的价格卖给尽可能多的消费者。因此,对于 ShadowSocks 的商家而言,超售(即一台服务器原本最多10个人用的,可能最后卖了100个人)的现象非常严重,消费者最终所能享受到的流量和连接速度显然对不起自己的花费。
不如自己租个服务器,不仅能有一个稳定放心的服务器,还能顺便学习些 Linux 的相关知识。
如果嫌麻烦,可以找那种大家一起租一个服务器的,相对而言,至少有一点可以保证,就是不会有各种奇奇怪怪的限制,比如不能发邮件,不能看视频,不能下载特定的某些资源等等。而且最大的一个好处是,租用的人数一般较少,最重要的是这种一般不用担心超售,各方面性能配置等有保证。

ShadowSocks 配置

服务器端配置

服务器的选择

首先是选择一款合适的国外主机作为服务器,一般而言,用来作 ShadowSocks 的服务器的话,并不需要一台独立的国外主机,只需要选择一款虚拟主机(Virtual Private Server,简称 VPS)即可满足需要。这里推荐几家较常用的VPS。

隶属于美国IT7旗下的VPS服务品牌,VPS采用OpenVZ架构,主要针对低端VPS市场。目前拥有洛杉矶、凤凰城、佛罗里达、荷兰4个数据中心。

具体节点的选择,可以在浏览器中输入以下IP进行实际测试(测试地址由www.banwagong.com提供):
美国洛杉矶 US West Coast-Los Angeles:104.224.162.217
美国佛罗里达 US West Coast-Florida:104.224.141.127
欧洲 荷兰 EU-Netherlands:104.224.145.203
美国 凤凰城 US, Arizona :45.62.112.117
一般而言,中国用户使用洛杉矶和凤凰城的机房会有较好的网络体验。

具体套餐如下:

OpenVZ架构 1GB内存 20GB硬盘 2TB流量/月 18.99美元/年(折合人民币9.5元/月)
(低成本大流量首选)
http://ift.tt/2gnNo3l
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 512MB内存 10GB硬盘 1TB流量/月 11.99美元/年
(强力推荐,性价比非常高)
http://ift.tt/2fIoIUV
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 512MB内存 5GB硬盘 500GB流量/月 9.99美元/年
http://ift.tt/2gnN0la
(温馨小提示:此款VPS的年付选项在Billing Cycle的下拉菜单里)

OpenVZ架构 128MB内存 3GB硬盘 300GB流量/月 5.99美元/年
http://ift.tt/2fIkU5T

OpenVZ架构 96MB内存 2GB硬盘 200GB流量/月 4.99美元/年
http://ift.tt/2gnJkQf

OpenVZ架构 64MB内存 1.5GB硬盘 100GB流量/月 3.99美元/年
(内存太小,有小伙伴反映在搭建过程中会报错,慎用)
http://ift.tt/2fIoaya

注:搬瓦工域名在部分地区被墙,可能需要翻墙访问,但在上面购买的VPS不受影响。搬瓦工从15年6月26日起支持支付宝付款。

DigitalOcean是一家位于美国的云主机服务商,总部位于纽约,成立于2012年,VPS 核心架构采用KVM架构。由于价格低廉,高性能配置、灵活布置的优势,近些年来发展迅猛。

该公司拥有多个数据中心,分布在:New York( Equinix 和 Telx 机房), San Francisco ( Telx ), Singapore ( Equinix ), Amsterdam ( TelecityGroup ), Germany ( Frankfurt ). 其私有数据网络供应商是Level3, NTT, nLayer, Tinet, Cogent, 和Telia。具体节点的选择,可以先在其官方测速界面测试网速后再决定对应的节点。官方提供的测速节点如下:
纽约:节点一IPv4),节点二IPv4),节点三IPv4, IPv6);
阿姆斯特丹:节点一IPv4),节点二IPv4IPv6),节点三IPv4IPv6);
旧金山:节点一IPv4IPv6);
新加坡:节点一IPv4IPv6);
伦敦:节点一IPv4IPv6);
法兰克福:节点一IPv4IPv6);
一般而言,建议非电信用户可以采用新加坡节点,速度非常给力。电信用户不建议采用此VPS,速度比较一般,更推荐 VultrLinode 的日本机房。

推荐套餐:
KVM架构    512MB内存  20GB硬盘    1TB流量/月   5美元/月
http://ift.tt/2gnJh7n
(通过此链接注册后立即获赠10美元,相当于免费赠送两个月时长)
这是其最便宜的套餐了,不过用作个人的 ShadowSocks 服务器已经绰绰有余,没有必要再去购买更高配置的套餐。支持 Paypal 付款。

Vultr 是一家成立于2014年的VPS提供商。根据域名所有者资料,母公司是2005年成立于新泽西州的 ClanServers Hosting LLC 公司,他们家的游戏服务器托管在全球6个国家的14个数据中心,选择非常多。 Vultr 家的服务器采用的 E3 的 CPU ,清一色的 Intel 的 SSD 硬盘,VPS采用KVM架构。 Vultr 的计费按照使用计费(自行选择配置、可以按月或按小时计费),用多少算多少,可以随时取消,另外可以自己上传镜像安装需要的操作系统也是一大亮点。现在已经成为 Digital Ocean 的有力竞争对手。

Vultr的服务器托管在全球14个数据中心,即时开通使用。大陆访问日本机房速度不错,延迟低、带宽足。以下官方测速地址:

机房位置
主机名称(做PING测试)
各机房数据包下载测试

(Asia) Tokyo, Japan / Vultr日本机房
hnd-jp-ping.vultr.com
100Mb 1000Mb

(AU) Sydney, Australia /  Vultr澳大利亚机房
syd-au-ping.vultr.com
100Mb 1000Mb

(EU) Frankfurt, DE /  Vultr德国机房
fra-de-ping.vultr.com
100Mb 1000Mb

(EU) Amsterdam, NL / Vultr荷兰机房
ams-nl-ping.vultr.com
100Mb 1000Mb

Seattle, Washington  / Vultr西雅图机房
wa-us-ping.vultr.com
100Mb 1000Mb

(EU) London, UK / Vultr伦敦
lon-gb-ping.vultr.com
100Mb 1000Mb

(EU) Paris, France / Vultr法国巴黎机房
par-fr-ping.vultr.com
100Mb 1000Mb

Silicon Valley, California / Vultr硅谷机房
sjo-ca-us-ping.vultr.com
100Mb 1000Mb

Los Angeles, California / Vultr洛杉矶机房
lax-ca-us-ping.vultr.com
100Mb 1000Mb

Chicago, Illinois / Vultr芝加哥机房
il-us-ping.vultr.com
100Mb 1000Mb

Dallas, Texas / Vultr达拉斯机房
tx-us-ping.vultr.com
100Mb 1000Mb

New York / New Jersey / Vultr纽约机房
nj-us-ping.vultr.com
100Mb 1000Mb

Atlanta, Georgia / Vultr亚特兰大机房
ga-us-ping.vultr.com
100Mb 1000Mb

Miami, Florida / Vultr迈阿密机房
fl-us-ping.vultr.com
100Mb 1000Mb

推荐套餐:
KVM架构    768MB内存  15GB硬盘   1TB流量/月    5美元/月
这是官网最低配的套餐,但是用来作为 ShadowSocks 的服务器,已是足够满足要求。直接进入官网选择该套餐即可购买。

VPS 服务商中的大哥,高富帅般的存在。价格相对较高,但是性能,稳定性等各方面也非常给力。 VPS 采用 Xen 架构,不过最近的周年庆开始升级到 KVM 架构,VPS 性能进一步提升。推荐给对连接速度和网络延迟有极致追求的用户。

有多个节点,各节点及官方测速地址如下:

Facility
Hostname
Test Download

US East
speedtest.newark.linode.com
100MB-newark.bin

US South
speedtest.atlanta.linode.com
100MB-atlanta.bin

US Central
speedtest.dallas.linode.com
100MB-dallas.bin

US West
speedtest.fremont.linode.com
100MB-fremont.bin

London
speedtest.london.linode.com
100MB-london.bin

Singapore
speedtest.singapore.linode.com
100MB-singapore.bin

Tokyo
speedtest.tokyo.linode.com
100MB-tokyo.bin

日本 Tokyo 机房和 US West 的Fremont 机房对中国用户有较好的网络体验。

推荐套餐:

Xen架构     1GB内存  24GB硬盘   2TB流量/月     10美元/月
这是 Linode 的最低套餐,足够满足 ShadowSocks 的使用需要。
需要的点击此链接进行注册:
http://ift.tt/2fIpGjT
注册时在 Promotion Code 处填入 LINODE10 ,Referral Code 处填入 9cd5c5fd231d0996451da1dbcfb79cf19d82624b ,注册后可获赠10美元。

Linode只能使用信用卡支付,官方会随机手工抽查,被抽查到的话需要上传信用卡正反面照片以及可能还需要身份证正反面照片,只要材料真实齐全,审核速度很快,一般一个小时之内就可以全部搞定。账户成功激活以后,就可以安心使用了。

总结一下:

价格方面,Linode 最高,Vultr 和 Digital Ocean 紧随其后,但是也和 Linode 差不多,搬瓦工价格相比前面的三家要低很多。

价格的差距主要是由于虚拟化的架构区别。前面三家都是采用的 Xen 或者 KVM 架构,而搬瓦工则是 OpenVZ 架构。OpenVZ为不完全虚拟化技术,每个VPS账户共享母机内核,易受同一母机下其他VPS的影响,几乎不能单独修改内核。Xen和KVM为完全虚拟化技术,各VPS之间互相独立,基本互不影响,而且可以任意修改内核。

这三种架构对我们搭建shadowsocks服务器来讲最直观的区别就是,Xen和KVM可通过系统内核修改来优化服务器,大幅度提升shadowsocks的连接速度,尤其体现在晚高峰的时候。

对连接速度和稳定性尤其是网络延迟有极高要求的首选 Linode(只有最快,没有更快),有较高要求的推荐 Vultr (电信用户)或者 DigitalOcean (移动或网通用户)(一分价钱一分货),对于普通用户来讲,搬瓦工就可以(性价比高)。

服务器操作系统选择

在选择服务器操作系统时,推荐选用 CentOS 6 (x86 或者 x64 均可)操作系统。当然,如果服务器端想选用Debian / Ubuntu 系统,或者是Windows系统,也是支持安装 Shadowsocks 的。下文的安装配置过程均以 CentOS 6  为例。

开始安装
通用安装方法

注意:操作系统为 CentOS 6,安装的 Shadowsocks 为 Shadowsocks-Python 原版。

选择好对应的 VPS 并成功在上面部署操作系统后,可以在管理面板或者邮箱收到登录的端口号和密码。下载一个 putty ,打开 putty ,输入服务器IP,端口号,点击open即可开始连接。
putty1

在 login as 后面输入管理员账户 root ,password 填写你在 VPS 管理面板或者邮箱中收到的密码。(注意,密码是不显示在窗口中的)输入完成后按回车即可成功登陆。(注:putty中支持复制粘贴操作,在putty命令行中按下鼠标右键即可粘贴当前系统剪贴板中内容,左键选择需要的内容即复制这些选中的内容到系统剪贴板)putty2

然后在命令行中输入putty3

yum install python-setuptools && easy_install pip

过程中有遇到问是否安装的,一律输入 y 后回车。putty4

显示完成后,再输入putty5

pip install shadowsocks

等待安装完成,显示 “Successfully installed shadowsocks-2.6.10″。意味着Shadowsocks已经成功安装。putty6

接着,创建一个Shadowsocks配置文件。在 putty 中输入以下命令:putty7

vi /etc/shadowsocks.json
 然后复制这样一段putty8
{
    "server":"your_server_ip",
    "server_port":8388,
    "local_address": "127.0.0.1",
    "local_port":1080,
    "password":"auooo.com",
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open": false
}

各个参数说明如下:

Explanation of the fields:

名称
说明

server
填入你的服务器 IP ,即当前操作的 VPS 的 IP 地址,必须修改

server_port
服务器端口,可以根据实际需要修改,或者保持默认

local_address
本地监听地址,建议保持默认

local_port
本地端口,这个参数一般保持默认即可

password
用来加密的密码,可以根据实际需要修改

timeout
单位秒,一般保持默认即可

method
默认的是”aes-256-cfb”,一般保持默认即可

fast_open
使用TCP_FASTOPEN, 参数选项true / false,一般保持默认即可

workers
worker的数量, 在 Unix/Linux 上有效,一般不用加此项

注意:这里是json配置文件,每个参数配置完后都有一个逗号,但是最后一个参数后面是不加逗号的。

修改完成后,按 Esc 键,然后输入putty9

:wq

按下回车,保存退出。

最后,启动 Shadowsocks,在命令行中输入以下命令:
putty10

ssserver -c /etc/shadowsocks.json -d start

即可启动 ShadowSocks 服务
putty11

如果要关闭 Shadowsocks 服务,在命令行中输入以下命令:putty12

ssserver -c /etc/shadowsocks.json -d stop

即可关闭 Shadowsocks 服务putty13

特别番:搬瓦工的一键安装法

作为低端 VPS ,大家购买搬瓦工用得最多的就是拿来科学上网了。搬瓦工可能自己也发现了这个问题,为了满足广大消费者的需求,因时制宜地推出了一键翻墙的安装选项(在此之前还推出了 OpenVPN 的一键安装,当然 VPN 现在已经是被 GFW 摧残得几乎不能用了,不过仍旧可以看出来这家公司还是很接地气的嘛:-D。就在今天——15年6月26日——竟然还支持支付宝支付了,你敢信?!一天之内很多套餐断货了……)。不多说,看一下如何使用一键安装大法吧。

  1. 创建了VPS之后,登录搬瓦工的 Client Area,在 Service – My Service 中选择自己的 VPS ,点击 KiwiVM Control Panel 进入 web 控制台。bwg1
  2. 由于 Shadowsocks 一键安装包只支持 CentOS 6 ,因此务必确保VPS是centOS 6 操作系统,如果不是,需要点击控制面板中的 Install New OS 重新安装。bwg2a
  3. 点击面板左侧目录 KiwiVM Extras 下的 Shadowsocks Server,点击 Install Shadowsocks Server,后天会自动进行安装。bwg3
  4. 大概几十秒就会自动安装完成,可以看到提示已经安装成功。然后点击 Go back 按钮返回。 bwg4
  5. 这时候你看到了神马?是的,就是所有你需要填写的 Shadowsocks 客户端信息(IP,端口号,密码和加密方式),搬瓦工已经以图文的方式给你表示出来了,包括提供了 Windows 客户端版本的下载。而且在该页面还能自定义需要的加密方式,切换端口,或者生产新的密码。也能自主控制服务器的启动和停止,如果不想用了,在最后还有一个一键卸载的选项。然后就不用说了,happy地去使用吧。如果英文不好,或者是需要除了Windows客户端版本之外的其他平台客户端,那么请继续看本文下面的内容,客户端配置部分。bwg5

客户端配置

Windows

注:该部分教程基于 Windows 平台的 ShadowSocks 2.3.1 版本制作。由于每过一段时间会发布新版本,因时间精力有限,只更新客户端的下载和新增功能部分,功能介绍部分暂时无法及时更新。

下载地址:

官方下载地址发布页:http://ift.tt/1ICwZ6y

2.5.6 版本(2015.8.20):
下载地址:官网下载网盘下载
(由于版本已经统一,不再有不同环境的版本,若不能正常运行请安装 .net 4.0)
增加 portble 模式(便携模式),如果要用该模式,在使用时创建一个 shadowsocks_portable_mode.txt。(Add portable mode. Create shadowsocks_portable_mode.txt to use it)
支持服务器重排(Support server reorder)。
注:也许该版本将成为最后一个版本。由于突然的作者被请喝茶,2015年8月22日上午10点左右源代码库已经被作者删除。相关事件图片:
821182128221
具体过程,2015年8月20日晚上,作者 clowwindy 在 GitHub 上把他所维护的几个 shadowsocks 实现的代码仓库内的 Issue 面板全部关闭,所有帮助信息全部删除,所有的描述都改成了 Something happened. 同样在20日下午 6:30 左右, v2ex 的 shadowsocks 节点访问被跳转到,无法正常访问。在早上,clowwindy 在 shadowsocks-windows 的 #305 号issue(也是Pull Request)下回答:“I was invited for some tea yesterday. I won’t be able to continue developing this project”.然后声明他将不能再对此项目进行维护。目前此仓库内的所有 clowwindy 的评论都已经被删除,包括这一条。同时,他本人的 Twitter 开启了保护状态,只有先前关注的能看见他的最新状态更新。8月22日上午10点左右,仓库内的代码被删除。

Ps:转自作者博客

原文:http://ift.tt/2fmKNIl




via 细节的力量 http://ift.tt/2fIjA30

Friday, November 18, 2016

土豆丝(Potatso)iOS 平台上一款强大的 广告拦截+翻墙工具

Potatso 是 iOS 平台上一款强大的网络工具,支持通过 Shadowsocks, ShadowsocksR 等自定义代理翻墙。

来源:http://ift.tt/2dXa90b
苹果商店下载:http://ift.tt/2eu0SsA
官方网站:http://potatso.com/
论坛:http://ift.tt/1KvWAKu
文档:http://ift.tt/2dXa90b
作者:https://twitter.com/icodesign_me
官方推特:https://twitter.com/potatsoapp
GitHub:http://ift.tt/29ifVbB
Telegram群组:http://ift.tt/2dX7dRe

简介

Potatso 是 iOS 平台上一款强大的网络工具,利用 iOS 9 开始提供的全新网络 API 开发,支持任何网络环境下自定义代理、自定义规则、查看网络请求等功能。无论您是开发者,还是普通用户,Potatso 都能为您提供更便捷畅快的网络环境。

功能

简洁、易用、强大、安全是Potatso 最基本的功能特点。

Potatso 目前支持以下功能:

  • 系统全局代理(Wi-Fi, 4G 等任何网络环境)
  • 支持 Shadowsocks, ShadowsocksR 等自定义代理
  • 支持根据网络请求自定义规则(直连,代理,拒绝等操作)
  • 内置云集规则,简化使用
  • 支持配置文件、二维码导入代理和规则

使用教程:

  1. Potatso配合Shadowsocks让iOS翻墙教程
  2. Potatso使用教程/规则分享,优雅开启SS代理
  3. IOS上Surge最佳替代品,高颜值的Potatso教程

原文:http://ift.tt/2etZuXg




via 细节的力量 http://ift.tt/2eQ1sp9

土豆丝(Potatso)iOS 平台上一款强大的 广告拦截+翻墙工具

Potatso 是 iOS 平台上一款强大的网络工具,支持通过 Shadowsocks, ShadowsocksR 等自定义代理翻墙。

来源:http://ift.tt/2dXa90b
苹果商店下载:http://ift.tt/2eu0SsA
官方网站:http://potatso.com/
论坛:http://ift.tt/1KvWAKu
文档:http://ift.tt/2dXa90b
作者:https://twitter.com/icodesign_me
官方推特:https://twitter.com/potatsoapp
GitHub:http://ift.tt/29ifVbB
Telegram群组:http://ift.tt/2dX7dRe

简介

Potatso 是 iOS 平台上一款强大的网络工具,利用 iOS 9 开始提供的全新网络 API 开发,支持任何网络环境下自定义代理、自定义规则、查看网络请求等功能。无论您是开发者,还是普通用户,Potatso 都能为您提供更便捷畅快的网络环境。

功能

简洁、易用、强大、安全是Potatso 最基本的功能特点。

Potatso 目前支持以下功能:

  • 系统全局代理(Wi-Fi, 4G 等任何网络环境)
  • 支持 Shadowsocks, ShadowsocksR 等自定义代理
  • 支持根据网络请求自定义规则(直连,代理,拒绝等操作)
  • 内置云集规则,简化使用
  • 支持配置文件、二维码导入代理和规则

使用教程:

  1. Potatso配合Shadowsocks让iOS翻墙教程
  2. Potatso使用教程/规则分享,优雅开启SS代理
  3. IOS上Surge最佳替代品,高颜值的Potatso教程

原文:http://ift.tt/2etZuXg




via 细节的力量 http://ift.tt/2ePY25t

让人耳目一新的 Surge Mac 2.0

Surge Mac 2.0 的变化不仅来自功能迭代上的不断完善,在功能和定位上也有了比较大的变化,将作为一个独立产品单独发售。1.0 当初是作为 Surge iOS 用户的一种福利提供的,从而让用户在 iOS 和 Mac 两个平台上有趋于一致的使用体验,基于配置文件的共享来实现顺畅的网络访问。2.0 的演进不再只是解决网络访问的基础问题,新增的 Surge Dashboard 控制台不仅能直观查看网络访问,还可以方便的控制网络访问。

Surge Mac 2.0 参数的配置和编辑基本都可以在 UI 界面中完成,比起 1.0 的文本编辑模式直观了很多。不过从效率上说,技术流可能还是更喜欢配置文件的文本编辑模式。初次使用建议先下载 surge.conf 范例配置,然后到 Dashboard 的界面中进行参数的调整。

Surge Mac 2.0 安装后,使用步骤可以分为 5 步:

  1. Set as System Proxy,设置系统的代理;
  2. Change Configuration Folder,改变配置的存储文件夹;
  3. 建议设置存储配置的文件夹为 iCloud Drive;
  4. 通过 Finder 定位到 iCloud Drive 的文件夹,下载复制范例配置到其中,用文本编辑器打开配置,修改其中的代理服务器部分;
  5. 由 Surge Mac 的下拉菜单中切换配置。

如果配置文件没有问题,加载好配置文件后,Surge Mac 就可以开始工作了,后期针对参数的细节调整可以在 Surge Dashboard 中完成,由菜单中选择 Dashboard,点击 Surge Dashboard 的工具栏上选择齿轮 ⚙ 图标。

General 部分和配置文件中的 [General] 的部分是对应的,HTTPS Decryption 对应的是配置文件中的 [MITM]部分,URL Rewrite 部分对应的是[URL Rewrite]部分。

UI 界面上调整完参数后保存(工具栏上的磁盘图标),将会保存到你指定的存储位置。需要注意的是,Dashboard 中保存配置后只会保留行后的注释。

Surge Mac 2.0 最大的变化是新增加的 Surge Dashboard,在这个界面上可以直观的查看网络的访问情况,点击具体的条目进一步查看其具体请求的数据,在条目或应用上右键通过菜单项添加规则或者退出应用。

默认打开 Dashboard 时加载的是本地应用(Local Clients)的访问和请求页面,局域网的其他计算机或者虚拟机如果也是通过 Surge Mac 代理上网,会显示在 Remote Clients 下方。

除了可以查看本机的网络访问情况,Surge Mac 还能查看处在同一个局域网环境下的其他 Surge 的访问情况,或是 USB 数据线连接的 iOS 设备上 Surge 的访问情况。要实现远程的访问,必要条件是:

  • 远端设备上安装有 Surge 并处于运行状态;
  • 远端设备 Surge 的配置文件中包含 external-controller-access 的具体定义;
  • 知道远端设备的局域网 IP 和及其配置文件中定义的密码、端口。

通过菜单项选择「File — New Dashboard」(⌘N)新建 Dashboard 窗口,如果选择局域网 IP 的方式连接,需要被访问设备的 IP 地址,例如,iPhone 在 Wi-Fi 网络中获取的 IP (设置-无线局域网,点 ⓘ 查看 iPhone 的 IP 地址)。USB 连接方式比局域网连接更简单,只需要输入 external-controller-access 中定义的端口号和 @ 符号前定义的密码。

在 Dashboard 访问记录上右键可以直接添加规则,同样的方式在 Proxy 面板中也能很方便的编辑现有的规则,具体的参数其实和配置文件中的项目都是对应的,习惯用那种方式来调整取决于个人的习惯。


具体参数含义可以访问 zhHans.conf.ini 进行查看。

Surge Mac 2 还增加了 MitM(即 Man-in-the-middle attack 简称 MitM,用于解密 HTTPS 的流量)的支持 ,通过 Dashboard 的「参数配置」界面能方便的创建 MitM 证书或者安装由 iOS 端创建的证书。

  • Generate New Certificate,创建证书
  • Import Certificate from PKCS#12 File,由 PKCS 文件导入证书
  • Install This Certificate to System,安装配置文件中包含的证书到系统

如果 iOS 版的 Surge 和 Mac 版是通过 iCloud Drive 共享配置,配置好 MitM 的配置文件同步到 Surge for iOS 后还需要多走一步,将证书安装到 iOS 的系统中。

打开 Surge for iOS 的 Config 页面,选择 Edit Configuration,滑动到配置页面底部,点击 HTTPS Decryption 进入 HTTPS 的配置页面。

因为配置文件中已经包含 Mac 上配置好的证书的 base64 编码内容,所以界面上你能看到 Surge MitM 的证书,只不过这里还不被系统信任(Not Trusted by System),点击 Install CA to System,按照向导安装描述文件到系统就可以了。

描述文件安装后,只要 Surge Mac 上的证书不变更,Surge iOS 上以后不用重新配置。Surge Mac 或者 Surge iOS 只要一方创建好 MitM 证书另一方直接安装证书 (Install This Certificate to System) 即可,如果重复创建先前的证书会作废。

Surge Mac 2.0 试用下载:Download Trial,以及价格体系说明。

原文:http://ift.tt/2ePXBZ6




via 细节的力量 http://ift.tt/2ePXc8X