先 介绍一下VPN:VPN是Virtual Private Network(虚拟专用网)的缩写,本来是用于企业的一种网络服务,原理是客户端使用相应的VPN协议先与VPN服务器进行通信,成功连接后就在操作系 统内建立一个虚拟网卡,一般来说默认PC上所有网络通信都从这虚拟网卡上进出,经过VPN服务器中转之后再到达目的地。通常VPN协议都会对数据流进行强 加密处理,从而使得第三方(例如GFW)无法知道数据内容,这样就实现了翻墙。翻墙时VPN服务器知道你干的所有事情(HTTP,对于HTTPS,它知道 你去了哪)。
VPN
VPN协议主要有这几种:PPTP,L2TP,IPSEC,OPENVPN,SSL VPN,Ikev2 VPN,Cisco VPN,其中的PPTP和L2TP是明文传输协议。
《环球时报》英文网报道,防火长城开始屏蔽外国VPN服务。VPN供应商Astrill本周通知 用户,由于防火长城的升级,使用IPSec、L2TP/IPSec和PPTP协议的设备无法访问它的服务。受影响的主要是iOS设备,其它使用不同协议的 设备仍然能正常工作。另一家VPN服务商VPN Tech Runo本月早些时候称,从去年12月31日开始它的很多IP地址已被屏蔽,部分地区使用L2TP协议的用户也连接不了它的服务器。
网络上不是只有什么狗屁自由民主,还有全世界的无数不图名不图利的人分享的知识,其中相当多的知识并不是只有专业人士才需要。墙的存在限制住了这些知识, 意识到这一点的人会去翻墙,可是那些意识不到的人呢?如果等到哪一天,只有五毛美分和想找小电影的人才去翻墙,中国就没救了。
中国工信部此前发布规 定,在中国提供VPN服务的公司必须登记注册,未登记的VPN服务商将“不会受到中国法律的保护”。中国创新和发展战略研究所的网络安全专家Qin An为防火长城屏蔽外国VPN服务辩护说,事关网络空间主权,中国当局当然不能忽视这些服务,因为它们可能会被用于某些不可告人的目的。
第一次听说“网络空间主权”,涨姿势。
你有没有遇到过家人想了解一种保健品,百度搜索的结果里面赤裸裸的谎话,Google的结果更靠谱的,他们却看不到?
你有没有遇到过朋友想学吉他,可是明明YouTube上就有非常好的从新手教起的视频教程,他们却看不到?
你有没有遇到过对古建筑感兴趣的年轻人,明明知道archive.org上面有大量的古建筑结构图,他们却看不到?
目前国内五毛党喷子真心多,有什么样的民众有什么样的政府 诚不我欺也。
很多人(包括以前的我)都认为GFW的唯一目的就是封锁。封锁一定是主要目的,原因我们翻墙党都很清楚,但请大家想一下为什么墙内还有那么多VPN服务提供商存在呢?和天朝相似的伊朗直接在法律中写上了使用VPN违法,但为什么到现在共匪都没有这么做呢?
TG要用经济发展换取统治合法性,就不可能像朝鲜那样建立天朝局域网,否则人家外资怎么进得来呢?墙内还有一大堆企业依靠墙外的互联网服务呢(例如云计算平
台)。GFW越来越高的误伤率已经引起了不少人的不满,共匪又从来不肯公开承认GFW的存在,害怕翻墙者增多以及自己制造的”墙内互联网是自由的“的谎言
破灭。要说把翻墙的人都抓起来,也不现实:
一是翻墙的人太多(至少千万),而且不少人都不关心政治,抓了反倒起反效果,让更多人知道GFW的存在外加更关心政治;
二是GFW本身就没有任何法律依据,就算抓了,怎么判决呢?共匪官方说辞里面GFW是不存在的,要是因为翻墙抓人,不是直接自打脸了吗?
三是GFW误伤了太多科技类网站,搞得科研人员已经把翻墙作为必修技能之一了,要是谁翻墙就抓谁,科研人员怎么办?
四是不少翻墙软件都引入了流量混淆技术(例如TOR和赛风三),很多时候GFW都判断不出用户是不是在翻墙,怎么抓啊?
五是如果共匪真的什么都不顾,谁连接外网就抓谁,那么必然会激起众怒(去年封锁了github就引起不少程序员的抗议,最后GFW被迫解封),只会让自己快速倒台。
所
以GFW采取了一个办法:故意让墙内活动着一批VPN服务提供商(这些公司都是随时会把用户流量日志送给共匪的),同时不断封锁那些无法控制的翻墙软件和
付费VPN,对于可以轻易破解的PPTP和易被干扰的L2TP则故意放开一码,不惹怒太多人的同时又进行欺骗,让一些人以为自己安全,其实自己的一举一动
都已经在共匪的监视当中了,如果进行了什么”煽动颠覆国家政权“的行动就会被查水表。
那我们如何高姿势越过长城防火墙呢?
首先,尽量不要使用象PPTP、L2TP over IPSec这样的大众VPN。此类VPN上走的数据虽然因为对称/非对称密钥加密的原因,即使是G.F.W.这样的大系统也破解不了它(也就是说无法敏感 词过滤)。但它们的通讯特征太明显,最要命的就是通讯端口,PPTP默认1723端口,L2TP默认1701端口。虽然在服务器上可以很方便的改这两个端 口,可是各个操作系统的客户端上改不了(当年各个操作系统做这个模块时可能都没想到将来有一天会出现这种需要,所以把这部分都做死了,非要改的话要使用一 些极其BT的技术手段)。也就是说如果服务器上PPTP守护进程改为监听3027端口,由于客户端上仍然会将连接请求发到服务器的1723端口,导致双方 将无法进行连接。所以服务器只能用默认端口与客户端通讯。于是G.F.W.一看:内地某机器与国外某机器有一条加了密的连接唉,通讯内容虽然不知道是什 么,但通讯是在1723端口上进行的哦,那99%是PPTP VPN的连接了,剪了它。
于是杯具了。
L2TP over IPSec也是这种情况。只是说它的底层IPSec部分,其他大量普通的通讯也基于它,所以G.F.W.时常会犹豫:剪,玉石俱焚;不剪,中间还有 VPN。所以此类网络通常是在每年那几次大姨妈来时(如两.会.,国.庆.虾米的)一刀切下,平时也就爱理不理了。
所以,如果要一年24X7的不能出问题,那就不能太依赖上述这些大众产品,而要改用相对专业的产品。如OpenVPN或SSH等。此类工具,由于本身不是操作系统的一部分,所以可以象改Linux内核一样:各种订制。G.F.W.每升个级,就做下针对性的解决方案。
具体:呃,我先去收个快递...
补充一点:尽量不要使用代理商提供的客户端软件,而只使用他们的服务,这样安全性会高很多。操作系统自带其客户端的,直接用该客户端(如PPTP VPN、L2TP VPN、SSTP VPN等);操作系统不带其客户端的,使用第三方开源的工具(如OpenVPN、SSH等)。
如此,可防后门 and 木马威胁。