Friday, February 26, 2016

翻墙问答:支付宝Android及百度浏览器会泄漏资料?

问:最近中国主要大科网公司推出的应用程式,都被指有严重的保安漏洞。而支付宝Android版应用程式的保安漏洞,最受关注。支付宝Android应用程式的保安漏洞,到底会如何泄漏听众的个人资料?而听众又可以如何应付?

李建军:支付宝Android版被指出现的保安漏洞,除了会将手机内的通讯录、通话纪录、Wifi基站资料等数据,在用户不知情情况下送到支付宝的主机,亦会每隔若干时间,自动开启Android手机的相机和录音功能,并将录得的声音,以及拍到的照片送回支付宝主机。虽然支付宝否认有关事件,但有技术知识的网民经过技术查证,相关漏洞存在可能性相当高。若然要用支付宝付款的话,比较安全的做法,是使用电脑网页版支付宝进行付款,或使用iOS版的支付宝。iOS版支付宝在苹果的严格审查下,暂时未见有相当严重的私隐问题。在支付宝未澄清所有疑虑前,暂停使用Android版支付宝应用程式,是保障个人私隐最好的方案。

问:那另一间被指泄漏网民私隐的中国大公司又是哪一间?他们所推出的哪一个应用程式出问题?

李建军:另一间被指推出泄漏网民私隐应用程式的大公司是百度,百度推出的浏览器被加拿大多伦多大学公民实验室指应用程式泄漏大量网民个人资料。根据公民实验室的研究结果,百度浏览器的Android版,会将用户浏览过的网址,手机的GPS定位数据,以及IMEI等资料传回百度的主机。如果百度与公安当局合作的话,你用百度浏览器与你自己替公安加装追踪应用程式并无分别。Windows版虽然由于电脑的功能所限,并不会传回GPS数据,但会将电脑硬碟的序号、网络卡序号以及中央处理器型号等资料,同样传到百度的主机中。因此,对注重个人私隐的用户,百度浏览器是非常危险的浏览器,无论Android版还是Windows版都应立即停止使用,以免自己的私隐持续外泄给百度,影响自身安全。

问:无论百度又好,支付宝也好,为何中国公司于应用程式中收集大量个人资料,会受到网民以至外界严厉批评?当中有什么问题?

李建军:首先,中国并不像欧盟和香港一样,有严格的个人资料保护法律,百度或支付宝等公司收集你的个人资料后,有可能转交政府,亦有可能用作商业推销用途,就算不涉及政治,都会相当令用户困扰。而百度也好,支付宝也好,他们传送部分敏感个人资料时,完全未经过加密,这些个人资料如果被有心的黑客拦截,有可能用作攻击你的手机或电脑之用,或可以用来偷窃你的其他个人资料。因此,支付宝以及百度的处理手法才会受到广泛质疑。

问:支付宝以及百度背后都有相当庞大的母公司,在手机上有很多由百度或阿里巴巴所开发的应用程式,那是否代表除了支付宝Android应用程式,以及百度浏览器外,还有其他应用程式可能出现类似私隐泄漏问题?那又如何处理?

答:由于百度的Android软件开发套件,已经公认有问题,因此,百度所开发的应用程式,应避则避。而支付宝往往搭配淘宝网一并使用,因此阿里巴巴公司其他应用程式未必有问题都好,必须与支付宝搭配使用已经是一大问题。因此,如果你需要在淘宝买东西的话,最好在电脑上进行,避免安装或使用阿里巴巴公司所开发的各类应用程式。(完)

原文:http://ift.tt/1TIF0LJ




via 细节的力量 http://ift.tt/1TIF2Dg

Thursday, February 25, 2016

PC版的绿色爱博电视-iPPOTV Ver.12(0944b) 发布日期:2016年2月20日

绿色(免安装)版爱博电视 Ver.12(0944b)做了以下的改进:

(1)更新了中国IP数据库,解决了某些大陆用户被误认为是海外用户的问题
(2)更新了加密方式,因此软件被误报为病毒的现象会减少。

爱博电视在中国大陆,使用的人越多,突破封锁效果越好。用户下载软件后,双 击文件,会出现类似安装的对话窗,这是让用户选择语言设置,接受协议,和建立桌面图标。并非安装。

使用绿色版iPPOTV 0944b, 不受其它翻墙软件影响,即第一次使用时即 使开着其它翻墙软件也不会影响绿色版爱博的使用。不过,只针对大陆地区播出的节目,如果不关闭其它翻墙软件,用户则看不到这类节目。

如果拿不到频道列表,而又不是防火墙设置问题,请用海外邮箱,给ippotv.abcd@gmail.com发一封电子邮件,主题为abcd, 以获得新的结点文件。

由于封锁严重,有时会出现点击频道列表没有反应的情况,此时可以试一试播放 不同的频道,如果都没有反应,请关闭 iPPOTV等十几分钟后再打开。

如有技术问题,可发邮件给: support@starp2p.com

iPPOTV Ver.12(0944b)下载:
http://ift.tt/1RrAUnJ

or
http://ift.tt/1VgA9yT

电驴下载链接:
http://ed2k|file|GreeniPPOTV_Setup_Ver12Build944b.zip|2880790|8A0A8608A62713DE7D169977DAB00820|h=CZK66ESEYMOX27UQMOCQSU7TXWEKWSYQ|/

BT下载链接:
http://ift.tt/24soqU5

MD5:0b1f1d3c04b290280f5e5c80492e9899
SHA1:a18f84e85b3d6254a9deceb62b5a79b51f29ffdb

原文:http://ift.tt/1RrAUnM




via 细节的力量 http://ift.tt/1RrASMC

[视频] 蓝灯单虚拟机隔离上网

来源:https://www.youtube.com/watch?v=1SROJXK9G68


2016年1月3日发布

将Ubuntu虚拟机配置成 蓝灯网关虚拟机,实现隔离上网。相关文本说明http://ift.tt/1RnF4gk;.

00:30 虚拟机的具体配置
02:40 确认蓝灯有监听8787端口
04:10 查看IPv4地址
04:26 配置端口转发规则
05:42 Google Chrome 使用 Lantern 代理
06:44 Firefox 使用 Lantern 代理
09:11 保存网关设置(系统重启不丢失)
12:30
IPv6 保护 SSH端口(防暴力攻击)

原文:http://ift.tt/1S1fPCK




via 细节的力量 http://ift.tt/1WMKV0n

Saturday, February 20, 2016

Lantern 2.0.16版

@myleshorton myleshorton released this a day ago · 341 commits to valencia since this release

Tagged 2.0.16

Downloads

原文:http://ift.tt/1QQAKDF




via 细节的力量 http://ift.tt/1QQALHO

翻墙知识 翻墙问答:StartSSL及Opera 的保安问题

wiki620

电子证书原理图(维基百科图片)

问:较早前,CNNIC的数码证书已经被认为不可靠,甚至遭到多个浏览器开发机构的封杀。最近,有韩国保安专家发现,以色列一间发出数码证书的公司,竟然将管理数码证书的主机搬到中国,并由奇虎360公司管理。这到底是什么一回事?

李建军:以色列的StartSSL公司,一直以来发出免费供主机或个人用的数码证书。StartSSL的主机,在去年十二月之前,都设在以色列境内。

但韩国保安专家发现,在去年12月,StartSSL公司宣布会与中国方面进行业务合作之后,StartSSL主机的IP地址,就由以色列境内转到中国电信管理的一个IP之上。而StartSSL公司,并无向全世界用户透露已经将主机搬到中国,并且由奇虎360所管理,引发相当大的保安疑虑。这位专家因此呼吁全球的主机管理人以及用户,停用StartSSL发出的证书,并且由其他机构发出的证书所取代。

在韩国保安专家踢爆StartSSL将主机搬到中国这消息时,StartSSL拒绝修补由Heartbleed保安漏洞造成的问题,已经受到全球不少网络保安专家批评,认为StartSSL的证书不可靠,需要尽快作出更换。而现时StartSSL由于搬主机到中国,那就造成更大的威胁。

问:奇虎不单只暗中控制StartSSL,最近奇虎为首的财团,亦打算收购北欧具翻墙能力的Opera浏览器,现时Opera浏览器是否可靠?中国用户为保自己安全,什么时候需要停用Opera浏览器,改用开放源码浏览器?

李建军:在农历新年期间,Opera董事局通过一项决议,建议Opera股东接受以奇虎为首中国财团的收购建议,而持有百分之三十三股权的最大股东,已经接受了中国方面的建议,但整项收购能否成功,仍需九成股东接纳收购,并得到欧洲监管部门的批准,Opera才会成为一间由中资财团控制的公司。

在现阶段,Opera仍然具备翻墙能力,但由于Opera有可能最终被中资公司收购,因此为避免奇虎将你的敏感资料交予中国当局,现时不应再用Opera浏览器浏览敏感资料,以及查阅电子邮箱,并且慢慢养成使用Mozilla、Safari、Chrome一类开放源码,并且难以被中国企业收购巨型机构所支持的浏览器。而一旦Opera宣布完成所有收购程序,成为奇虎集团一部分后,就应立即停用并且删除Opera浏览器,以策安全。

问:Opera表示,就算Opera被中资公司收购,仍然会遵守欧盟在个人私隐等方面的法律,这又是否表示,听众仍然可以安心使用Opera?

李建军:由StartSSL完全未有公报的情况下,就将主机搬到中国一事来看,奇虎收购Opera后,会否留在欧洲运作相当值得怀疑。有可能奇虎在针对中国市场部分,会将主机搬回中国,并依中国当局要求加插各式监控功能。

联想收购IBM电脑部门后,初时都能遵守美国方面规范,运作上与过往IBM拥有时一样,但近一两年都被揭发未经用户批准,加装各类后门或监控软件。中国财团是否严守国际法律,这是相当值得怀疑。因此,在奇虎完成收购后,Opera并不再适合在翻墙上使用,而在中国当局完全控制Opera的技术后,中国当局可能倒过来强迫中国网民使用Opera,而不能使用其他开放源码的浏览器,因为Opera一切都尽在中国当局掌握之中,亦可以透过压缩技术掌握网民一举一动,而使用其他开放源码浏览器,中国无从藉浏览器掌握网民动向。而像苹果、谷歌之类对私隐权法强硬的公司,更可能宁在中国市场碰壁,都不愿在原则上让步。

原文:http://ift.tt/1SHnNC1




via 细节的力量 http://ift.tt/1SHnPKd

用 SoftEther VPN 翻墙视频教程

这是本站曾经介绍过 SoftEther VPN 翻墙方法 的视频教程。

日本筑波大学的全球分布式公共VPN中继服务器软件SoftEther VPN正式在GPLv2许可证下开源源代码托管在Github、SourceForgeGoogle Code上。SoftEther VPN是VPN Gate的底层VPN引擎,在开源之后用户将可以编译出自己定制的二进制包。SoftEther VPN提供了一种分布式的免费公共VPN中继服务,服务器由志愿者托管,因此很少能提供长时间的VPN连接,但代理服务器的不断变化也增加了封杀难度。它在安全性上被认为比较脆弱,但易用性很高,用户可以轻松从桌面端或移动端连上VPN。SoftEther VPN遭到了防火墙的严密封杀,但如果你已经下载了软件,它仍然能正常使用。
 
两个视频中提到的网址:
 
IP 检测:www.tracemyip.org
SoftEther 官方网站:www.softether.org
 

原文:http://ift.tt/214KBAx




via 细节的力量 http://ift.tt/21g2kS6

Thursday, February 18, 2016

Lantern 2.0.14版

@myleshorton myleshorton released this a day ago · 341 commits to valencia since this release

Tagged 2.0.14

Downloads

原文:http://ift.tt/20GReDI




via 细节的力量 http://ift.tt/20GRceR

Lantern 2.0.14版

@myleshorton myleshorton released this a day ago · 341 commits to valencia since this release

Tagged 2.0.14

Downloads

原文:http://ift.tt/20GReDI




via 细节的力量 http://ift.tt/20GRceP

Shadowsocks for 安卓版客户端(v2.9.9)

@madeye madeye released this 8 hours ago

Minor bug fixes.

Downloads

原文:http://ift.tt/20GRbYi




via 细节的力量 http://ift.tt/20GRbYm

EnableDNS免费开源的DNS服务器搭建方法:Django,bind9安装与配置

DNS服务主要的功能是将域名转换为相应的IP地址,提供DNS服务的系统就是DNS服务器,DNS服务器可以分为3种,主域名服务器(Master DNS)、辅助域名服务器(Slave DNS)和高速缓存服务器(Cache-only server)。

想要自己搭建一个DNS服务器,一般要用bind软件来搭建。虽然说bind9在Linux中安装挺方便的,但是配置起来却是非常地麻烦,不容易成功。本篇文章就来分享一下EnableDNS这个开源的DNS服务器系统,它的方便之处在于一键安装。

EnableDNS本身是一个提供DNS域名解析服务的服务商,EnableDNS是他们在github上发布的开源项目,采用Django、MysqL和bind9,你可以自己手动一步一步搭建和配置好EnableDNS,也可以使用一键安装的方法快速搭建好EnableDNS服务器。

一、EnableDNS免费DNS服务

1、EnableDNS官网:

1、官方网站:https://enabledns.com/
2、EnableDNS本身也提供DNS域名解析服务,页面简洁,最多可以添加五个域名,还有丰富的API可供使用。
3、这是EnableDNS的DNS解析记录设置页面,支持A、CNAME、MX、AAAA、TXT等记录。

二、EnableDNS开源的DNS服务器安装


1、项目首页:http://ift.tt/1ou1u6r
2、EnableDNS已经提供了手动安装的方法了,显麻烦的话,可以直接使用EnableDNS的一键安装。执行以下命令:
wget http://ift.tt/1LvtStK
chmod 777 ./autoinstall-edns.sh
./autoinstall-edns.sh
3、用Wget下载autoinstall-edns.sh的方法可能会失败,请直接手动将官网的autoinstall-edns.sh下载到本地,然后再上传到服务器上。
4、安装的过程中首先会要求你提供一个EnableDNS的密码。
5、选择程序安装的路径。
6、接着要求为EnableDNS的MysqL数据库设置好密码。
7、之后,还会要求你提供一次数据库密码,就是之前设置好的。
8、最后还要为Django设置好账号和密码等。


三、EnableDNS开源DNS服务器使用

1、进入http://XXXX:8080/admin是管理员界面,而http://xxxx:8080/api/v1.0/api-auth/login/是API信息。

2、使用你在安装的过程中设置的密码登录到EnableDNS Django系统中。

3、这是EnableDNS Django的DNS系统页面,主要有用户、DNSZone等等。

4、为EnableDNS Django添加用户组时,可以设置好用户组权限。

5、然后可以为EnableDNS Django添加新用户。

6、也可以单独为用户组设置权限。

7、EnableDNS Django添加域名DNS前,需要先添加域名。


8、在User Profiles设置好域名拥有者和解析数等。


9、在DNS Zone中设置好名称。


10、在Zone Meta中设置好记录数。


四、EnableDNS安装与使用小结

1、EnableDNS提供的免费DNS服务操作简单方便,官网界面也很清爽,如果有需要找国外的免费DNS服务的话,除之前分享的十大免费DNS域名解析服务,还可以试试EnableDNS DNS服务。

2、EnableDNS免费开源DNS服务器系统安装时要注意相关的组件是否已经成功安装完成,否则会出现错误提示。另外EnableDNS不是一个完整的DNS服务平台,你需要搭配其它的DNS服务综合使用。

原文:http://ift.tt/1LvtQlu




via 细节的力量 http://ift.tt/20GRbI0

干净的DNS, 科学上网

 

原文:http://ift.tt/1Wqtand




via 细节的力量 http://ift.tt/20GPH0g

Tuesday, February 16, 2016

GFW 封锁方式以及翻墙手段汇总

GFW 的封锁方法

  1. 国内 DNS 服务器的缓存污染
  2. 发往国外的 DNS 解析请求的拦截或篡改
  3. IP 黑名单
  4. 端口封锁,针对 OpenVPN,SSH,shadowsocks 等,有用到 DPI,多次换端口后封 IP
  5. 关键字封锁,利用深度包检测(DPI),是主要方法。可用全站 https 应对,不过 GFW 因为无法识别 https,所以会针对所有 https 连接进行随机的中断

关于 GFW 的更多技术细节可以参见本文的参考链接

GFW 的设备

大量硬件设备来自 Cisco

  1. 入侵检测设备,在北京、上海、广州搭在总交换中心上做旁路监听
  2. 动态路由设备,放在 ISP 处

翻墙方式

  1. hosts,只能翻部分被 DNS 投毒的网站,而且随着 Google IP 被封禁得越来越多,已经很难翻了
  2. 第三方 DNS,作用同 hosts,有风险,可能被再劫持
  3. HTTP 代理,主要风险是明文传输(试过在海外 VPS 直接搭 HTTP 代理,用来上百度没问题,一打开 Google 马上被封)
  4. HTTPS 代理,比起 HTTP 代理,有了一层 SSL 加密,安全许多,但 SSL 其实并不适合用于翻墙,它并不是专用于混淆的协议,shadowsocks 作者 clowwindy 有一篇文章详细阐述了这个观点
  5. Tor,P2P 方式,安全性高。但 GFW 会钓鱼,伪造成 Tor 客户端进入 Tor 网络(obfsproxy 可以应对)。本身网络传输速度不快,不好用
  6. Latern 基本同上,就个人使用体验来说,速度太慢
  7. GoAgent,基于 GAE,不过 Google IP 被封得差不多了,所以基本不可用
  8. GoProxy,GoAgent 的继任者,用于自己部署在 VPS 上
  9. SSH,虽然传输安全,但握手阶段特征太明显,会被监控流量和连接数,所以基本只能用一小会儿,一般需要数小时重连一次。2012 年 GFW 加入 DPI 功能之后被封锁得更为严重了,一旦有 HTTP 流量传输就会被墙
  10. VPN,工作在数据链路层,流量特征非常明显,出于商业上的考虑(大量在华跨国公司需要用到)所以才还能存活。但是自建的话,L2TP/PP2P/OpenVPN 基本没办法存活多久,只有 Cisco AnyConnect (服务端用开源的 ocserv)还可以用,但是速度有 2M/s 的上限
  11. Shadowsocks,这个名气够大了,不详述
  12. ShadowVPN, GoHop, SoftEther VPN,都是具有较为强大加密/混淆功能的 VPN 实现,其中 ShadowVPN 因为作者 clowwindy 被请喝茶而删除项目代码,GoHop 功能强大但暂时只支持 Linux,SoftEther VPN 使用不是很方便(而且已经能被 GFW 探测到,见参考链接 13),所以目前都不是很流行
  13. V2Ray,新工具,暂不了解
  14. IPv6,据说 GFW 暂时还未能有效封禁 IPv6 地址,所以在教育网里还能通过 IPv6 访问 Google/Facebook 等。不过这个应该只是暂时的

自己搭建无缝无痛的翻墙服务

  1. 翻墙路由器,刷 OpenWrt
    用于自己在家上网。

    1. VPN / shadowsocks + chnroutes / cow / meow 自动分流国内外 IP
    2. Dnsmasq + pdnsd / ChinaDNS
    3. 如果用了 Airport Extreme 之类的无法刷系统的路由器的话,可以接两层路由器,第一层用刷过 OpenWrt 的路由先翻一遍墙
  2. 翻墙(HTTP)代理
    在命令行终端里只能通过配置 http_proxy/https_proxy 变量来翻墙,所以需要一个翻墙代理。而且下述 PAC 文件、运营商描述文件都需要有一个代理作为基础。

    1. HTTP 代理只能用国内服务器中转,直接部署在国外肯定被墙
    2. 建议在海外服务器部署 shadowsocks 服务端,国内服务器部署 shadowsocks 客户端
    3. shdaowsocks 代理转 http 代理可用 privoxy / polipo / cow / meow
    4. privoxy / polipo 生成的代理是纯 HTTP 代理,cow / meow 则会自动学习已翻墙/未翻墙网站并更新列表、生成 PAC 等。但是 cow 因为默认认为网站未被墙,所以很多网站会尝试多次连接才能使用代理,速度有一定影响;而 meow 是白名单模式,可能会影响部分国内网站的加载速度
  3. 提供远程 PAC 文件
    Windows / Mac / Linux,以及 iOS / Android 5+ 在 WiFi 网络下都可以配置 PAC 代理,Android 4.x 可以用 SmartProxy 这款 App

    1. 如果没什么特殊需求,最简单的是利用 gfwlist 生成,然后开个静态文件的 http 服务以便客户端访问
    2. 不过更优的方法是使用 cow 生成的 PAC
  4. 制作运营商描述文件
    用于在 2G/3G/4G 下翻墙。不过不是太建议这个方法,根据个人经验,不论设置文件怎么写,总有些时候会出现莫名其妙的问题,到时候就只能删掉描述文件,在需要翻墙时再加回来,很是麻烦
    而且对于使用了 HttpDNS 服务的各大 App 都无法兼容,包括但不仅限于微信朋友圈小视频、阿里旅行、滴滴出行地图、虾米、淘宝电影选座、网易云音乐等

  5. AnyConnect
    未越狱 iOS 设备,除已下架的 Surge 以外,使用 AnyConnect 是最方便的

    1. 服务端使用 ocserv
    2. AnyConnect 用路由表做分流,所以不太精确,而且翻墙后速度最多也只有 2Mbps
    3. ocserv 默认限制路由表最长为 64 条,但其实客户端最长可接受 200 条,所以可以通过修改源代码后编译的方式调整这个上限,参看这个帖子
    4. 这里有个 CentOS & RHEL7 的安装脚本(已调整过路由表上限),即使不用这个脚本而自行安装,也可以参考其中给出的路由表
  6. Surge
    iOS 翻墙首选,支持 shadowsocks 代理,支持类 PAC 的配置,支持路由表,支持根据 IP 地址分流。虽然配置麻烦,但是配置好之后可以说是一劳永逸。
    但是既然已经下架就不多介绍了。

  7. 国际网络线路优化

    1. 如果有国内服务器,可以直接用前述 shadowsocks 转 http 代理的方法,也可以直接设置 haproxy 转发 shadowsocks 代理
    2. 如果不想买国内服务器的话,可以使用 微林的 vxTrans 服务 将代理进行端口转发,流量转发至电信 CN2 精品网,解决直连海外 VPS 太慢的问题。
      但是这里有个坑:

      由于CN2线路是特殊线路,大部分国外ISP运营商由于没有与CN2直接互联,因此为了避免额外的网间结算费用会限制流量而断开链接(特别是国外VPS服务提供商,这种情况很普遍)。

      所以建议使用 AliCloud BGP 线路转发

  8. TCP 加速(防丢包)(不建议使用

    1. net-speeder,开源,简单粗暴地通过两倍发包来防止丢包,对丢包严重的网络有一定改善作用,不过有一些缺点:
      1. 双倍发包会造成流量翻倍
      2. net-speeder 会造成 pptpd 等不支持双倍发包的网络软件无法正常使用
      3. 对小文件加速效果不明显
      4. 这种 TCP 优化机制一直存在争议,因为它实际实际上加剧了网络的拥堵,浪费掉了大量没必要的带宽
    2. 锐速,比较老牌的 TCP 加速服务,闭源,比 net-speeder 智能,但不支持所有 VPS,闭源还要求 root 权限也让人有点不放心。而且,仍然会增加流量消耗,仍然被认为是不道德的,参见 shadowsocks 作者 clowwindy 在 V2EX 上的评论

收费翻墙服务(不建议使用免费服务

  1. HTTP 代理以及 AnyConnect
    1. 轻云
      使用两年,换过两次域名,另外还挂过两次,不过恢复时间较快。如果发现网站上不去了可以发任意内容邮件到 theqingyun@gmail.com 获取最新地址
    2. 土行孙
      使用半年,挂过两次。文档极为完善,对于不怎么翻墙、不熟悉翻墙工具的小白用户十分友好
    3. 熊猫翻滚
      价格略贵,有微博客服,一般没什么问题,但小坑不断,典型的互联网服务。最近因不可抗力挂过一周
  2. VPN
    1. 云梯 VPN
    2. Astrill,目前似乎速度已经不怎么样了,不推荐
    3. VyprVPN
  3. EurekaVPT
    没用过,口碑不错,价格略贵,需要邀请

参考链接

  1. 阅后即焚:“GFW”
  2. GFW 技术研究和云梯产品故事
  3. 深入理解 GFW:总论
  4. 深入理解 GFW:路由扩散技术
  5. GFW 钓鱼计划
  6. 深入理解 GFW:内部结构
  7. 深入理解 GFW:结论
  8. GFW 研究与诊断工具
  9. GFW 的工作原理及突破技术
  10. GFW 的原理和绕过
  11. GFW 的详细分析及翻墙路由器(fqrouter)的原理和实现
  12. How governments have tried to block Tor
  13. Learning more about the GFW’s active probing system
  14. 道高一尺,牆高一丈:互聯網封鎖是如何升級的
  15. Empirical Analysis of Internet Filtering in China
  16. Golden Shield Project – Wikipedia, the free encyclopedia
  17. “墙”的文献综述

原文:http://ift.tt/1R5hyon




via 细节的力量 http://ift.tt/1Lrmwrd

GFW 的详细分析及翻墙路由器 (fqrouter) 的原理和实现

来源:《Network knowledge 学习》部分:http://ift.tt/2144fcj
http://ift.tt/1TijN9N

作者:洛桑扎巴
Blog:
http://www.11ten.net/
Twitter:https://twitter.com/ztd811
Github:http://ift.tt/2144fcl
GitBook:http://ift.tt/1TijN9P

*洛桑扎巴是佛教常见词汇,他是噶丹派教主为佛教做事业的情况我等的无上异师、三界法王夏·洛桑札巴,在了义中与怙主文殊菩萨无别。






开篇

GFW具有重大的社会意义。无论是正面的社会意义,还是负面的意义。无论你是讨厌,还是憎恨。它都在那里。在可以预见的将来,墙还会继续存在。我们要学会如何与其共存。我是一个死搞技术的,就是打算搞技术到死的那种人。当我读到“西厢计划”的博客上的这么一段话时,我被深深的触动了。不是为了什么政治目的,不是为了什么远大理想,仅仅做为一个死搞技术的人显摆自己的价值,我也必须做些什么。博客上的原话是这么写的:
作为个搞技术的人,我们要干点疯狂的事。如果我们不动手,我们就要被比我们差的远的坏技术人员欺负。这太丢人了。眼前就是,GFW这个东西,之前是我们不抱团,让它猖狂了。现在咱们得凑一起,想出来一个办法让它郁闷一下,不能老被欺负吧。要不,等到未来,后代会嘲笑我们这些没用的家伙,就象我们说别人“你怎么不反抗?”
我把翻墙看成一场我们与GFW之间的博弈,是一个不断对抗升级的动态过程。目前整体的博弈态势来讲是GFW占了绝对的上风。我们花费了大量的金钱(买VPS买VPN),花费大量时间(学习各种翻墙技术),而GFW只需要简单发几个包,配几个路由规则就可以让你的心血都白费。
GFW并不需要检查所有的上下行流量中是不是有不和谐的内容,很多时候只需要检查连接的前几个包就可以判断出是否要阻断这个连接。为了规避这种检查,我们就需要把所有的流量都通过第三方代理,还要忍受不稳定,速度慢等各种各样的问题。花费的是大量的研究的时间,切换线路的时间,找出是什么导致不能用的时间,当然还有服务器的租用费用和带宽费用。我的感觉是,这就像太极里的四两拨千斤。GFW只需要付出很小的成本,就迫使了我们去付出很大的反封锁成本,而且这种成本好像是越来越高了。
这场博弈的不公平之处在于,GFW拥有国家的资源和专业的团队。而我们做为个体,愿意花费在翻墙上的时间与金钱是非常有限的。在竞争激烈的北上广深,每天辛苦忙碌的白领们。翻墙无非是为了方便自己的工作而已。不可能在每天上下班从拥挤的地铁中挤出来之后再去花费已经少得可怜的业余时间去学习自己不是翻墙根本不需要知道的名词到底是什么意思。于是乎,我们得过且过。不用Google也不会死,对不对。SSH加浏览器设置,搞一搞也就差不多能用就行啦。但是得过且过也越来越不好过了。从最开始的HTTP代理,到后来的SOCKS代理,到最近的OpenVPN,一个个阵亡。普通人可以使用的方式越来越少。博弈的天平远远不是平衡的,而是一边倒。
GFW用技术的手段达到了四两拨千斤的作用。难道技术上就没有办法用四两拨千斤的方法重新扭转这一边倒的局面吗?
办法肯定是有的。我能想到的趋势是两个。第一个趋势是用更复杂的技术,但是提供更简单的使用方式。简单的HTTP代理,SOCKS明文代理早已阵亡。接下来的斗争需要更复杂的工具。无论是ShadowSocks还是GoAgent都在向这个方向发展。技术越复杂,意味着普通人要学习要配置的成本就越高。每个人按照文档,在自己的PC上配置ABC的方式已经不能满足下一阶段的斗争需要了。我们需要提升手里的武器,站在一个更高的平台上。
传统的配置方式的共同特点是终端配置。你需要在你的PC浏览器上,各种应用软件里,手机上,平板电脑上做各种各样的配置。这样的终端配置的方式在过去是很方便的。别人提供一个代理,你在浏览器里一设置就好用了。但是在连OpenVPN都被封了的今天,这种终端配置的方式就大大限制了我们的选择。缺点是多方面的:
  1. 翻墙的方式受到终端支持的限制。特别是手机和平板电脑,不ROOT不越狱的话,选择就非常有限了。
  2. 终端种类繁多,挂一漏万。提供翻墙的工具的人不可能有精力来测试支持所有种类的终端。
  3. 如果家里有多个笔记本,还有手机等便携设备使用起来就很不方便。躺在床上要刷Twitter的时候,才发现手机的里的OpenVPN帐号已经被封了,新的那个只配置在了电脑里。
  4. 最主流的终端是Windows的PC机。但是在Windows上控制底层网络的运作非常不方便。给翻墙工具的作者设置了一个更高的门槛。
  5. 终端一般处于家庭路由器的后面。大多数直穿的穿墙方式都很难在这种网络环境下工作正常。
把翻墙工具做到路由器上就可以达到实现更复杂的翻墙技术,同时提供极其简单的使用体验。但是路由器的缺陷也是非常明显的。传统的路由器刷OpenWRT等可以定制的第三方系统有如下缺点:
  1. 便携不方便,路由器大部分没有电池,也不方便放在包里
  2. 相比在电脑上装一个软件试试好不好使,额外购买专门用来翻墙的路由器未免试用成本也太高了。如果没有人愿意尝试,更加不会有人来使用。
  3. 路由器安装软件不方便。笔者花了大量时间研究OpenWRT的USB刷机方式。虽然技术上有所突破,但是仍然感觉不适合普通人操作。
  4. 硬件受限。路由器的CPU都很慢。内存非常小。如果不是用C来编写应用,速度会非常慢。极大地抬高了开发成本。流行的翻墙工具GoAgent和shadowsocks的最初版本都是Python的。
    有没有既可以获得路由器的好处,又克服了其缺点的解决方案呢?答案是肯定的。手机做为路由器就可以。目前fqrouter已经推出了Android版本,把手机变成了翻墙路由器。一方面,完成了平台的跃升,从终端翻墙变为了路由器翻墙。另外一方面,因为手机的便携,无需额外设备,安装软件简单,而且硬件强大完胜了常规意义上的路由器。使用手机做为路由器之后:
  5. 翻墙方式不再受到终端的限制。只要能接入路由器,就可以翻墙。
  6. 提供翻墙工具的人不需要测试所有的终端是不是支持。
  7. 多种终端可以同时共享一个路由器。无需重复配置。
  8. 路由器基于的Linux操作系统给翻墙工具的作者提供了极大的便利,新的工具可以更容易地被实现出来。
  9. 提供了一定的直穿的可能性。
  10. iPhone, Windows Phone等设备不需要越狱,也可以通过翻墙路由器享受到shadowsocks等更高级的翻墙工具。
运行在Android上的翻墙工具fqrouter已经在Google Play上架了:http://ift.tt/11rblNx
这是趋势一,平台的提升。第二个趋势是去中心化。我相信未来的趋势肯定不是什么境外敌对势力出于不可告人的目的给我们提供翻墙方式。未来的趋势是各自为战的,公开贩卖的各种翻墙服务会被封杀殆尽。我们要确保的底线是,做为个人,在拥有一台国外服务器,然后有一定技术能力的情况下,能够稳定无忧的翻墙。
在我们能够保证独善其身的前提下,才有可能怎么去达则兼善天下。才有可能以各自为圆心,把服务以P2P的方式扩散给亲朋好友使用。即便是能够有这样的互助网络建立起来,也肯定是一种去中心化的,开源的实现。只有遍地开花,才能避免被连根拔起。
前面谈到路由器刷第三方固件对于个人来说不是理想的翻墙路由器的实现方式。但是固定部署的路由器却是理想的P2P节点。P2P的一个简化版本是APN,也就是把代理放在国内,然后iPhone等可以简单地使用HTTP未加密方式使用代理。这种部署方式就比较适合刷在固定部署的路由器上。个人可以在自己家里的路由器上部署了代理,然后无论走到哪里都可以通过家里的路由器代理上网。使用路由器固定部署P2P节点的好处是P2P网络可以有更多的稳定接入点。这些刷了OpenWRT等第三方系统安装了P2P节点程序的路由器不会是普通人玩得转的。其意义更多是有技术实力的志愿者,提供自己的家庭路由器,以换得其他方面的方便。
实现一个P2P的网络的难点有三个:
  1. 代理服务器的容量有限。传统的代理服务器是无法负载很多人同时用1080P看youtube的,因为带宽不够。不要说免费的P2P网络,就是很多付费的代理服务,也无法满足容量要求。
  2. 中心服务器被封IP。TOR做为著名的P2P网络,其主要问题就是要接入其网络需要连接一个中心服务器。这些服务器的IP数量是有限的。GFW会尽一切力量找到这些IP,然后封IP。
  3. P2P意味着索取与奉献。人人都想这索取,为什么会有人奉献?如果没有一个等价交换做为社区的基础,这个社区是无法长久的。
    目前仍然没有理想的P2P翻墙方式出现。但是这是fqrouter的努力方向。
中心化的翻墙方式,特别是商业贩卖的翻墙服务注定难逃被捕杀殆尽的命运。具有光明未来的翻墙方式必然是去中心化的,松散的,自组织的P2P的。

全面学习GFW

GFW会是一个长期的存在。要学会与之共存,必须先了解GFW是什么。做为局外人,学习GFW有六个角度。渐进的来看分别是:
首先我们学习到的是WHAT和WHEN。比如说,你经常听到人的议论是“昨天”,“github”被封了。其中的昨天就是WHEN,github就是WHAT。这是学习GFW的最天然,最朴素的角度。在这个方面做得非常极致的是一个叫做greatfire的网站。这个网站长期监控成千上万个网站和关键词。通过长期监控,不但可以掌握WHAT被封锁了,还可以知道WHEN被封的,WHEN被解封的。
接下来的角度是WHO。比如说,“方校长”这个人名就经常和GFW同时出现。但是如果仅仅是掌握一个两个人名,然后像某位同志那样天天在twitter上骂一遍那样,除了把这个人名骂成名人之外,没有什么特别的积极意义。我更看好这篇文章“通过分析论文挖掘防火长城(GFW)的技术人员”的思路。通过网络上的公开信息,掌握GFW的哪些方面与哪些人有关系,这些合作者之间又有什么联系。除了大家猜测的将来可以鞭尸之外,对现在也是有积极的意义的。比如关注这些人的研究动态和思想发展,可以猜测GFW的下一步发展方向。比如阅读过去发表的论文,可以了解GFW的技术演进历史,可以从历史中找到一些技术或者管理体制上的缺陷。
再接下来就是WHY了。github被封之后就常听人说,github这样的技术网站你封它干啥?是什么原因促成了一个网站的被封与解封的?我们做为局外人,真正的原因当然是无从得知的。但是我们可以猜测。基于猜测,可以把不同网站被封,与网络上的舆情时间做关联和分类。我们知道,方校长对于网路舆情监控是有很深入研究的。有一篇论文(Whiskey, Weed, and Wukan on the World Wide Web: On Measuring Censors’ Resources and Motivations)专门讨论监管者的动机的。观测触发被封的事件与实际被封之间的时间关系,也可以推测出一些有趣的现象。比如有人报告,OpenVPN触发的封端口和封IP这样的事情一般都发生在中国的白天。也就是说,GFW背后不光是机器,有一些组件是血肉构成的。
剩下的两个角度就是对如何翻墙穿墙最有价值的两个角度了:HOW和WHERE。HOW是非常好理解的,就是在服务器和客户端两边抓包,看看一个正常的网络通信,GFW做为中间人,分别给两端在什么时候发了什么包或者过滤掉了什么包。而这些GFW做的动作,无论是过滤还是发伪包又是如何干扰客户端与服务器之间的正常通信的。WHERE是在知道了HOW之后的进一步发展,不但要了解客户端与服务器这两端的情况,更要了解GFW是挂在两端中间的哪一级路由器上做干扰的。在了解到GFW的关联路由器的IP的基础上,可以根据不同的干扰行为,不同的运营商归属做分组,进一步了解GFW的整体部署情况。
整体上来说,对GFW的研究都是从WHAT和WHEN开始,让偏人文的就去研究WHO和WHY,像我们这样偏工程的就会去研究HOW和WHERE。以上就是全面了解GFW的主体脉络。接下来,我们就要以HOW和WHERE这两个角度去看一看GFW的原理。

更多请阅读原文:http://ift.tt/2144fcr




via 细节的力量 http://ift.tt/1Kn9zno

Monday, February 15, 2016

Shadowsocks for 安卓版客户端(v2.9.7)

@madeye madeye released this 9 days ago · 14 commits to master since this release

Minor bug fixes.

Downloads

原文:http://ift.tt/1DkQKsN




via 细节的力量 http://ift.tt/1R4uURA

lantern 2.0.13版

@myleshorton myleshorton released this 23 hours ago · 328 commits to valencia since this release

Tagged 2.0.13

Downloads

原文:http://ift.tt/1nv2VbX




via 细节的力量 http://ift.tt/1VgF02X

PC版的绿色爱博电视-iPPOTV Ver.12(0944a) 发布日期:2016年2月14日

绿色爱博电视 Ver.12(0944a)主要是针对被AVAST误报病毒做了改进。

用户下载软件后,双击文件,会出现类似安装的对话窗,这是让用户选择语言设置,接受协议,和建立桌面图标。并非安装。使用绿色版iPPOTV v0944a, 不受其它翻墙软件影响,即第一次使用时即使开着其它翻墙软件也不会影响绿色版爱博的使用。假如下载的Green_iPPOTV.exe放置在桌面上,安装后,在桌面上会出现一个iPPOTV文件夹,进入该文件夹执行iPPOTV.exe就可以开始使用,不需要另外设置.你可以将这iPPOTV文件夹拷贝至U盘,从U盘执行iPPOTV.exe也可以使用.

如果拿不到频道列表,而又不是防火墙设置问题,请用海外邮箱,给 ippotv.abcd@gmail.com发一封电子邮件,主题为abcd, 以获得新的结点文件。

由于封锁严重,有时会出现点击频道列表没有反应的情况,此时可以试一试播放不同的频道,如果都没有反应,请关闭 iPPOTV等十几分钟后再打开。请大家广泛传播 iPPOTV,

如有技术问题,可发邮件给: support@starp2p.com

iPPOTV Ver.12(0944a)下载:
http://ift.tt/1VgA9yT

MD5:7026ba9d12bd620fac8857552f02046c
Sha1:84a09ef5231c83479aa2a9557ee1ed7e737d3324

iPPOTV

原文:http://ift.tt/1VgA7aj




via 细节的力量 http://ift.tt/1VgA7qD

Saturday, February 13, 2016

通过电子邮件获得赛风(psiphon)科学上网工具

通过电子邮件可以快速得到赛风翻墙软件,支持 Windows 及安卓系统。 



发送邮件


给以下邮件地址发送一封空邮件(邮件标题和内容都可以为空),就可以通过邮箱得到最新版的赛风翻墙软件。

接收到的邮件


发出邮件不久,大约几秒钟,就可以收到回复的邮件,邮件内容是下载赛风的一些链接,但可以忽略这份邮件,因为再稍等一会就会有第二封邮件发送过来。

在第二封邮件,除正文包括一些链接外,在附件中还包含两个文件,分别是:

  • psiphon3.ex_ 用于 Windows 系统,下载回来后,需要修改扩展名,改为:psiphon3.exe ,然后点击执行,等待完成安装。
  • PsiphonAndroid.apk ,用于安卓系统,下载会回来后,需要在安卓系统安装使用。



Windows 版的使用


Windows 版下载回来,修改扩展名后,直接点击就可以启动,启动后自动连接远程服务器,连接成功以后,显示界面如下,这表示已经处于科学上网状态。



更多下载方式


也可以直接访问赛风官方下载网站获得安装程序。

原文:http://ift.tt/1ThTXUG




via 细节的力量 http://ift.tt/242Gdkz