我们不如多讨论一些技术问题:翻墙
技术问题是最难以引起争议的:因为行就是行,不行就是不行。没有什么好争的。
我想说:我们是不是可以讨论一些如何自架机场,如何翻墙的问题。
翻墙有哪些危险,如何规避风险。这些问题是不是更加务实一些?
我想说:我们是不是可以讨论一些如何自架机场,如何翻墙的问题。
翻墙有哪些危险,如何规避风险。这些问题是不是更加务实一些?
27 个评论
前幾年中國人都有努力自製一些翻牆軟體。問題是長期維護跟間諜滲透的問題。
主要還是中國人彼此間不信任,一信任就被滲透,還有中共的牆也會加高,但翻牆沒跟上就失效了,需要長期穩定的資本維持翻牆技術更新
主要還是中國人彼此間不信任,一信任就被滲透,還有中共的牆也會加高,但翻牆沒跟上就失效了,需要長期穩定的資本維持翻牆技術更新
翻过墙的没有8000万也有1亿,有啥好讨论的,我现在买的129一年的,还行,啥都能看啥都能翻,每次回国都用,用了几年了
支国翻墙的支人多了去了,
就算是肉身翻墙,我之前看了个在香港的支人在推特上发的支臭味十足的小短文,骂台湾人的(内容自行想象,反正关于武力统一指日可待啥的)
所以翻墙只是一部分原因,支人受到的洗脑教育导致自身出现类似斯德哥尔摩的症状也有很大关系,所以有些人在墙外支味还是臭不可闻。
就算是肉身翻墙,我之前看了个在香港的支人在推特上发的支臭味十足的小短文,骂台湾人的(内容自行想象,反正关于武力统一指日可待啥的)
所以翻墙只是一部分原因,支人受到的洗脑教育导致自身出现类似斯德哥尔摩的症状也有很大关系,所以有些人在墙外支味还是臭不可闻。
千翻万翻,不如肉翻
翻墙可以从原理上解释,也可以做很多有关服务器和协议的技术分析。但如果讲危险性,全世界大部分国家都没有墙,你说有啥危险性?很明显这是纯粹由匪拍脑瓜决定的事。
毛泽东时代偷听敌台最多可以枪毙的,因此翻墙的风险纯粹是人治决定。您要在新疆翻墙,被发现是要进教育营的。
至于自己架设服务器,要看个人经济承受能力,如果不是对带宽和延迟要求很高,明显还是机场更合适。
如果您打算开机场 特别是没有机场,如果您人不在墙外,强烈建议做好匿名,编程随想的事犹在眼前,不要使用任何署名账户。
毛泽东时代偷听敌台最多可以枪毙的,因此翻墙的风险纯粹是人治决定。您要在新疆翻墙,被发现是要进教育营的。
至于自己架设服务器,要看个人经济承受能力,如果不是对带宽和延迟要求很高,明显还是机场更合适。
如果您打算开机场 特别是没有机场,如果您人不在墙外,强烈建议做好匿名,编程随想的事犹在眼前,不要使用任何署名账户。
>> 前幾年中國人都有努力自製一些翻牆軟體。問題是長期維護跟間諜滲透的問題。
主要還是中國人彼此間不信任,一信任就被滲透,還有中共的牆也會加高,但翻牆沒跟上就失效了,需要長期穩定的資本維持翻牆技術更新
主要开发者不是中国人的软件有的也是能在中国用的,比如Tor,SSH transport layer protocol出现很多年了也没被屏蔽。
怕被提交有问题的代码就别给编辑权限,没审核过的合并请求不要接受。
软件不复杂的话维护成本也不高啊,大部分时候只要更新一下依赖的库就行了,协议被屏蔽了也没啥,稍微改一下前几个包的头部就能绕过了(有些人可能觉得引入新的易于识别的特征不好)。
还不如讨论如何破解他人的wifi密码这个问题,这个重要的问题比翻墙还要重要,因为它能直接决定你是否被抓
以前自由门和无界是明灯,现在几年没更新了,不行了。法轮功以前还有个嘲讽支那新闻的大实话节目也挺逗的,也被砍好久了。没钱了应该不可能,不知道什么情况了。
确实值得讨论下,比如说在没有事先准备好翻墙工具的前提下,如何完全通过墙内局域网环境实现翻墙,我个人认为挺难的,要知道某些地区某些运营商连GitHub都给墙了,单靠墙内完全找不到翻出去的工具
翻墙也没有什么值得讨论的技术问题了,基本就集中到VPN和VPS这两种了。更加高端的卫星链路够不到,更加低端原始的有人肉抛网线过边境
>> 确实值得讨论下,比如说在没有事先准备好翻墙工具的前提下,如何完全通过墙内局域网环境实现翻墙,我...
是啊,假设我现在不能翻墙,我似乎也不知道应该怎么获取翻墙的技术了。
我翻墙的历史可老远了:从2008年开始就翻墙了。
>> 确实值得讨论下,比如说在没有事先准备好翻墙工具的前提下,如何完全通过墙内局域网环境实现翻墙,我个人认为挺难的,要知道某些地区某些运营商连GitHub都给墙了,单靠墙内完全找不到翻出去的工具
更新:下面放的searx的实例至少有61个在中国被屏蔽了。
不能访问github离只能靠"墙内"找工具还远着呢。
可以用还没被屏蔽的searx的实例来搜索东西,
https://raw.githubusercontent.com/searxng/searx-instances/refs/heads/master/searxinstances/instances.yml
https://testingcf.jsdelivr.net/gh/searxng/searx-instances/searxinstances/instances.yml
https://fastly.jsdelivr.net/gh/searxng/searx-instances/searxinstances/instances.yml
https://cdn.jsdelivr.net/gh/searxng/searx-instances/searxinstances/instances.yml
cdn.jsdelivr.net 在中国应该用一下加密DNS就能开了, raw.githubusercontent.com 我不太清楚,有些人可能会说很多DNS over HTTPS服务器在中国被屏蔽了,但这只是小问题,用hostname是IP的URL就不会发SNI了,用dnscrypt也行。
你可能觉得不能从github下软件就没法获得工具了,实际上还是有办法的,有一些官网没被屏蔽且有发布构建好的版本,用包管理器也可以下到一些,f-droid上也有(2023年6月中国屏蔽了 *.f-droid.org ,大部分镜像还没事,
https://cloudflare.f-droid.org
有开encrypted client hello可以直接用),打算自己搭服务器的人下到SSH客户端应该就算成功了。
还有些更"暴力"的方法,比如client-side censorship evasion,没被用IP blocking的网站都可以直接访问。
>> 不能访问github离只能靠"墙内"找工具还远着呢。可以用还没被屏蔽的searx的实例来搜索东...
增长知识了,不过要深入研究起来翻墙工具只是实现翻墙的其中一个因素,未来真要全面收紧怎么找到可靠的主机商或者是找到墙内能直接访问的机场也是一个难题
>> 以前直接在百度就能搜到自由门和蓝灯的下载,现在没有这些了
百度怎么可以让你能搜到这些。过去是过去,现在不可能有。
>> client-side censorship evasion,这个能不能细说?
太复杂了,建议看论文,下面的几个都和中国有关。
https://geneva.cs.umd.edu/papers/2019-ccs-geneva.pdf
https://www.ndss-symposium.org/ndss-paper/symtcp-eluding-stateful-deep-packet-inspection-with-automated-discrepancy-discovery/
https://upb-syssec.github.io/blog/2023/record-fragmentation/
比较容易理解的几类攻击,下面出现的TCB都是指Transmission Control Block:
1. 拆分会触发TCP RST的数据。用多个TCP segment发送一段数据估计很多人都能想到,但在中国,我知道的被用了SNI blocking网站里,只有很小一部分能只靠这招访问,在印度倒是很有效,常见的操作系统不用特权也能实现它。
TLS Record Fragmentation,似乎很晚才被用来绕过审查,但连TLS 1.0都支持这个功能。
Handshake messages MAY be coalesced into a single TLSPlaintext record or fragmented across several records
https://www.rfc-editor.org/rfc/rfc8446.html#section-5.1
2. TCB Desynchronization 比较常见的方法是发送一个不会到达服务器(设置较小的TTL或Hop Limit)或会被服务器忽略(变种超多,不同地区能用的方法可能不一样,还跟服务器的TCP/IP stack有关,不正确的checksum属性和加MD5 digest应该是比较经典的方法)的带数据的TCP包,让middlebox认为之后通过的、本来会触发TCP RST的包不在接收窗口内。有些变种在linux、windows、android不用特权也能实现。
3. TCB Teardown 和第2类共用部分技术,但发送的TCP包的Control bits的RST或FIN要设成1。Great Firewall of China有个比较怪的行为:
如果不传输一些数据,带FIN的包会被无视,先发一个带数据的包或在那个包加上数据就不会被无视了(SymTCP的论文里有提到)。
https://github.com/hufrea/byedpi
放两条ByeDPI的命令让大家体验一下,执行命令后会启动一个SOCKS5服务器,"--ttl"参数可能需要调整:
ciadpi.exe --ip 127.0.0.1 --port 54321 --tlsrec 1
ciadpi.exe --ip 127.0.0.1 --port 54321 --fake 6 --fake-data ":AAAAAA" --ttl 10