背景
少數國家實行了高強度的網路審查,同時大多數國家都有一定的網路規範與監視系統存在,許多人為了確保信息安全與個人隱私,利用了原本設計用來金融交易或是公司、團體保密通信等的各種加密傳輸手段。這類破網技術的出現出於反對政府進行網路審查封鎖,透過這種方式以抵制政府的監控、封鎖等。網際網路的分散式設計從體系上使得任何一個政府或組織完全控制網際網路極其困難。與網路審查的技術發展相對應,很多簡單有效的繞過審查、突破封鎖的技術、方法和軟體被希望繞開審查的人們發明出來。
歐洲、美國、中華人民共和國、俄羅斯、印度等對網路安全比較重視並設計了多樣化的封鎖手段套用於信息化社會,以封網程度最大的中國大陸為例,中華人民共和國政府通過其在網路建設的“防火長城”限制或阻止境內居民訪問其境外的色情淫穢網站(例如草榴社區)、當局無法管控的的新聞網站(例如BBC中文網)和社交網站(例如Facebook、Twitter)等。若中國大陸居民需要訪問這些被禁止的網站,則需要 翻牆。
從理論上說,審查部門完全可以用技術手段切斷所有代理伺服器和VPN連線。但因為大量的國內外銀行金融交易和企業在跨國通訊時,都必須使用安全和經濟的VPN來傳輸加密數據,出於經濟的考量,進行網路審查的國家還不可能完全切斷所有的代理連線和VPN連線,比如中華人民共和國,即使是撇除經貿或軍事方面的問題,全私人網路也會有加密需求。一般來說,投入在封鎖技術的費用也十分昂貴,單單一人所開發的翻牆工具就需要數個大型研究團隊投入多年進行破解,因此官方投入網路封鎖的時候,反而引起黑客興趣,讓網路突破封鎖工藝技術大幅成長,這也就解釋為何多數網路管制的國家都有封鎖不完全現象,畢竟效益是十分低的,大量的稅金被花費在阻擋信息的自由傳遞上。但是,對於一些流行的免費VPN服務,由於用戶人數與流量眾多,常會暴露出了公共網路服務的特質,加上部分可能會提供敏感內容的VPN服務已經觸法,因此這些過於明顯的網路連線埠會一起遭到來自政府的禁止,直到他們又升級換代為止。
發展
早期的工具都是普通代理工具的完善,當時還沒有內容和網址的過濾,僅針對IP封鎖網頁,只要找到合適的普通代理,在瀏覽器中設定代理伺服器和連線埠,基本就可以暢通無阻。當時的工具基本是擅長於代理的搜尋、校驗和動態切換,對較小影響的網站,套用這類工具方便快速。在封鎖技術獲取發展後,如中華人民共和國的防火長城,能夠進行域名污染、關鍵字過濾,人們開始設計更為複雜的反審查軟體來進行突破,比如:
•TLS加密頁面代理,它能獲取網際網路站點中的內容,以TLS的加密形式傳遞給用戶。用戶使用加密代理,便能瀏覽其他各種被審查封鎖的網站,而所有的信息都是以加密的形式傳輸的,目前認為基於TLS技術的通訊,無法嗅探出網址(URL)中除域名外的其他內容。
•利用TLS等加密技術開發通用軟體,創建隧道,在無審查地區的相應的出口中創建一個(或多個)能夠為其他計算機提供代理訪問服務的伺服器,通過伺服器代理訪問的方式訪問被限制的信息。
•利用服務端和客戶端的軟體,自定義加密方式,將服務端軟體配置於位於海外的計算機後,便可以使用客戶端軟體的方式加密瀏覽海外的信息。
•利用現有的基於安全連結的傳輸協定,在傳輸層和與其對應的網路層中創建安全的數據傳輸通道,以連線到未經審查地區的計算機,以間接的形式繞過審查設備訪問網際網路,例如VPN。
•針對中華人民共和國的防火長城中的TCP連線重置和域名污染,從底層進行反制,這種手段完全不需要代理或其它的繞過技術,西廂計畫即綜合利用多個 TCP/IP 技術欺騙及反制措施,實現網路突破。
技術原理
•加密,讓審查系統無法判斷你在瀏覽什麼內容。
•代理,與第三方能正常訪問被封鎖的信息的代理伺服器創建連線,以連線到未經審查地區的計算機,以間接的形式繞過審查設備訪問網際網路
•偽裝,將真實的信息混淆在其他信息當中,實現網路流量的偽裝。
相關工具
這是一個 動態的未完成列表,內容可能隨時出現變動,所以這個列表可能永遠也不會補充完整。歡迎您 隨時修改並列明來源。
方法
依照審查封禁的原理,有以下數種方式可繞過審查封禁,各自有不同的優點與局限性:
•修改本機hosts檔案,不足之處是需要系統管理員許可權(如 root 許可權)來修改,對基於 IP 地址封禁的網站無效
•使用安全增強式的 DNS(如 TCP 查詢方式、DNSSEC等),不足之處同上
•使用特殊 DNS + SNI 代理,或代理軟體(如 HTTP 代理、SOCKS代理等),不足之處在於伺服器 IP 遭封禁的話即告失效,而且性能取決於伺服器的性能以及連線人數,流量過大的、無法辨識的內容也容易引起一些擁有較高審查技術的政府機構的注意
•使用P2P匿名網路(如Tor、I2P等),不足之處在於性能較差,流量特徵明顯而容易遭到截斷(像是 emule 的 ed2k 模糊協定)
•使用SSH,不足之處在於連線性能較低,因為這個協定本身不是為大量數據傳輸而設計的,而且現今的安全性也有疑慮(美國國家安全局已有能力解讀 SSH)
•使用VPN,不足之處在於數據分流不靈活,會將開啟了VPN的設備的所有數據流量全部導向至VPN伺服器上;另外如果VPN伺服器上有流量監視軟體運行,那么用戶所傳輸的數據將有信息安全威脅;進一步來說,由於VPN的設計,數據流量的特徵非常明顯,容易引起審查機構注意。
•使用代理自動配置(PAC)
•更換網路連線方式
•撥號連線
•衛星上網
•國際漫遊數據流量
•特殊方法
•使用電子郵件獲取被限制的網頁
•使用搜尋引擎(如谷歌、必應)的快照
•政府審查制度內提供的途徑
•若是有正當需求,如辦理跨國界網路活動,可向國營電信商申請短期跨境網路服務,費用與關係有關,一般在10~20萬人民幣之間.
•某些五星級飯店亦可提供跨境網路服務,報價一般來說也在10~20萬人民幣之間.但須事先溝通網路品質,若未透過官方管道而是自行架設 VPN,往往品質不佳。
相關軟體
•藍燈(Lantern),免費(3.x以後有付費版本,免費版4.x以後版本為每月500M,超出限速)、開源,支持多平台(Windows、Linux、Android)。藍燈能夠自動檢測一個網站是否被封鎖。對那些被封鎖的網站,Lantern 通過自有的伺服器或者未封鎖地區的用戶運行的 Lantern 來提供訪問。
•賽風,免費、開源,支持多平台(Windows、Android、iOS),但連結不穩定
•自由瀏覽器 FreeBrowser,僅支持Android,由Greatfire開發
•自由門,免費,支持Windows、Android,連結較穩定,能設定不代理網址名單或代理網址名單
•無界瀏覽,免費,支持Windows、Android
•螢火蟲(Firefly),用 Go 語言編寫,採取 meek 工作原理,支持多平台(Windows、Android、iOS)
•XXNET
•瀏覽器集成包,為進一步降低破網難度,有志願者將Chromium、Firefox等瀏覽器,與已經配置好的翻牆軟體(如GoAgent和Shadowsocks的客戶端軟體)一起打包成一鍵翻牆的瀏覽器集成包。這類瀏覽器集成包並不能提供高度安全的隱私保護,因為瀏覽器集成包的製作者可能會在製作過程中加入惡意程式。當然,這類瀏覽器集成包的確易於使用。
•洋蔥路由器(Tor),同時提供暗網及代理。
•大蒜路由器(I2P),Tor的演進版本,基於Java技術,使用 ed2k 技術實現分散式網路避免全網封殺。
代理伺服器
此類軟體需要自行在伺服器和終端上部署,比一般的翻牆方法更繁瑣。
•Shadowsocks,簡稱SS,需要自行購買VPS並搭建代理伺服器,用於翻牆,在坊間也有可以直接使用的帳號出售,還有合租一台VPS伺服器的情況。
•ShadowsocksR,簡稱SSR,其使用方式同上,增加了混淆的特性,可使翻牆流量偽裝成正常流量。
•ShadowsocksRR,簡稱SSRR,使用方法同上,與SSR相比增加了更多的混淆方式。
•Brook,跨平台(MacOS、Windows、Linux、Linux路由器、Android、iOS、),基於 GPL v3 協定開源。
•V2Ray,Project V項目創作的核心,使用自實現的 Vmess協定及 mKCP協定,基於MIT協定授權。
