翻墙原理与注意事项
RSF编辑部
一.Http/Https 协议原理
超文本传输协议 (HTTP 协议 )是一种超媒体信息系统的的传输协议,最常见于浏览 HTML 网页等超媒体。
从技术特征来看,http 协议是一个客户端(用户)和服务端(网站)之间请求和应答的通信协议,主要通过 TCP 连接,将通讯信息发送到目的设备的默认端口上(通常是 80 端口,这是 http/https 协议的一个主要特征)。由于 HTTP 协议是一种明文协议,用以通讯的数据没有经过任何加密或验证,存在很大的安全隐患。该协议的隐患主要分为窃听隐患和拦截隐患。
(具体隐患及原因在 HTTPS 协议内容处同解决办法一同说明)
超文本传输安全协议 (HTTPS 协议 )是在上文的 HTTP 的基础上加入了 TLS 加密协议的一种传输协议,其具有高的安全性,可以有效防范中间人攻击和窃听。从技术特征上看, HTTPS协议使用 443 端口而非 HTTP 协议的 80 端口进行信息通讯,并且使用 TLS 协议的密钥对发送的数据进行加密,保障 HTTP 协议发送数据的安全性。
任何 HTTP 协议的数据从客户端到服务端的过程中,都会经过大量的网络设备 (网关 )中转,由于 HTTP 协议本身并没有对数据进行加密,而是以明文(不需要解密也可以直接观看数据包内的内容)的形式进行传输。在数据交互过程中的任何一个网关都可以直接获取所转发的数据内容,因而 HTTP 协议数据在传输的过程中存在被窃听的风险。同时也因为数据包并没有被加密,因而任何一个网关在中转数据的过程中也可以直接篡改数据,因而 HTTP 协议数据在传输的过程中存在被篡改的风险,并且由于 HTTP 协议不会对数据的发送方和接收方进行身份验证,任何网关可以拦截 HTTP 协议的数据包,在篡改其内容后将数据包直接发送回客户端(用户),实现对传输数据的拦截。
HTTPS 协议为了解决这两个隐患,引入了 TLS 加密和 CA 证书两个技术手段。
TLS 加密是基于加密算法所进行的 密钥交换和密钥协商,通过公钥(服务器发送的公共密钥,是公开可被侦查的明文密钥 )与私钥(客户端生产的私人密钥,不公开,无法被侦查 )计算形成的会话密钥来进行信息传输。TLS 加密一般分为对称加密(只有公钥)与非对称加密(一端使用公钥加密,另一端使用私钥解密,公钥加密的信息只有私钥可以解密,反之同理)由于加密使用了随机生产的密钥,使得通过计算暴力破解密钥几乎变得不可能,但由于每次 TLS 加密之前首先需要进行 TLS 握手来获取公钥,且握手是以明文形式进行的,因而使用对称加密的 TLS 加密会因为 TLS 握手导致公钥被泄漏,最终导致加密信息被解密和窃听。而非对称加密时,客户端首先向服务端发送 TLS 握手获得公钥,然后将要发送的数据用公钥加密发送给服务端,服务端收到后根据算法用公钥计算出私钥,再使用私钥对数据包进行解密,并再把回应的数据包用私钥加密发送回客户端,客户端使用私钥进行解密。在这个过程中,因为数据包分别被客户端与服务端用密钥进行加密,因而防范了 HTTP 协议的明文数据被直接窃听的隐患。但同时由于 TLS 握手会暴露公钥,导致通讯过程中存在加密数据的单方面泄漏,目前的 TLS 加密还存在公私钥混合加密来防止公钥直接泄漏问题,但普及性并不高,故具体原理按下不表。
TLS 加密解决了窃听隐患,同时因为加密导致数据包无法被直接篡改内容,但并没有解决数据包被中途拦截并被拦截网关遣返假数据的问题。为了解决这个问题,HTTPS 协议引入了 CA证书。CA 证书是受信任的权威机构发放给网站的身份证明,颁发的 CA 证书通常包含网站的数字签名,HTTPS 协议在发送和接收数据包时,会对目的设备的数字签名进行验证,确保数据包发送/接收的目的地没有被中途拦截并篡改。此外,CA 证书还包含一个公钥(并非 TLS 加密的公钥),客户端可以通过使用 CA 证书自带的公钥对 CA 证书的数字签名进行验证,来确保证书的有效性(证书可以被伪造,因此需要二次验证)虽然 HTTPS 协议在 HTTP 协议的基础上添加了数据加密和身份验证,使得 HTTPS 协议获得了不错的安全性,但仅使用 HTTPS 协议并不安全,TLS 加密的核心是密钥的不对称性,但中国政府可以通过行政手段直接获取国内网站的密钥计算规则,在公钥的基础上直接计算出私钥来解密传输数据。并且通过国产软件在手机/电脑等设备上植入后门,直接利用漏洞窃取本地私钥来窃听通讯。此外,通过后门在设备本地植入伪装受信的 CA 证书机构,也可以直接在本地伪造 CA 证书来欺骗证书验证,实现被浏览网站的冒充与拦截。
二.Socks5 代理技术原理
Socks 协议与 HTTP 协议类似,都是数据传输协议,但 HTTP 协议是通讯协议,SOCKS 协议是转发协议,其技术原理如下:通过 TCP 握手与代理服务器进行通讯,而后将要转发的数据包首先转发至代理服务器,再有代理服务器发送到数据包的目的地(数据包返回过程同理)需要注意的是:SOCKS 协议本身只是转发协议,并不提供加密,因而 SOCKS 协议的转发并不会增强数据包的安全性,一切 SOCKS 协议代理都不具有匿名性,都是可以被追溯的。目前主流的 SOCKS 协议翻墙代理(逃避 GFW 防火墙对网络数据的审核)是基于 SOCKS5 协议进行的代理
常见的代理类型有:
Shadowsocks/ShadowsocksR
V2ray
Trojan
前两种代理是基于 SOCKS 协议的转发代理,并通过协议算法将代理数据包进行加密,使得GFW 无法解包审查数据包内的具体内容,又由于转发数据的代理服务器不在 GFW 的拦截名单上,故 GFW 会对代理内容进行放行,从而实现逃避 GFW 对数据包内容的审查而将数据发送到墙外。
但这两种代理由于要对数据包进行加密,且加密的形式十分有限,导致数据包的特征十分明显,现已证明这两种代理的数据包可以被 GFW 完美识别,故这两种代理协议现已并不安全。
Trojan 代理是在 SOCKS 协议的基础上,使用 HTTPS 协议对数据包进行伪装,使代理数据包在形式上同正常的 HTTPS 协议的数据一样,这使得代理数据包能够隐藏在互联网上庞大的HTTPS 数据包流量中,让 GFW 错误认为代理数据包只是正常访问伪装成正常网站的代理服务器,从而躲避 GFW 的审查。
这种代理模式具有较高的隐蔽性,但由于其代理模式的单一性,容易被 GFW 的主动探测审查到,故也并不安全。
以上三种主流的 SOCKS5 代理协议都存在固有的协议性缺陷,可被 GFW 轻易识别,但这三种代理的缺陷不仅在于此,目前流行于中国大陆的 SOCKS5 代理都存在服务商隐患(不论是 xx云或者是 XX 机场)。一方面绝大部分的代理数据都要经过有审查的出口 BGP 和香港中转服务器,使得这些转发数据实际上毫无隐私可言,可以被中国政府直接获取到。
另一方面,目前国内可以使用微信/支付宝支付购买来获得的SOCKS5 代理服务实际上都是实名制的代理,中国政府可以通过监视支付记录清楚的知道何人购买了代理,并通过对代理服务器的上游提供商或者代理服务的服务商施压来获得后台数据,从而调查个人的翻墙记录。因此,应该尽可能的不要使用 SOCKS5 代理翻墙进行敏感活动,否则极有可能在后台留下活动记录。如果没有很好的翻墙方式,应当选用诸如 TOR 之类的加密工具加密自己的网络访问流量,并尽可能的不使用香港的服务器。
三.VPN 与 VPN 代理
虚拟专用网 (VPN)是一种通过 VPN 协议与技术手段构建起来的虚拟网络链路,与中文互联网语境下常说的 VPN 代理不同 (这里包含了 SOCKS5 代理,但其与 VPN 实际上毫无关系 ),VPN 实际上是通过使用专用线路或在现有网络上使用隧道协议创建一个虚拟的点对点连接而形成的网络链路,因其具有高度的保密性,且对数据的访问人和数据的完整性有较为严格的要求,成为各政府或企业用来远程访问专用网络的一种手段, VPN 因其内部传输的信息加密且不暴露在公共互联网上,往往不会被 GFW 审查,故而常被人用来当成翻墙手段使用。
VPN 不能使在线连接完全匿名,但它们通常可以增加隐私和安全,可靠的 VPN 不用担心数据在传输过程中泄漏或被劫持,没有访问权限的人也很难连接到 VPN 服务器。但是,VPN 由于其协议的具有很强的特征性,且并非为了逃避数据审查而设计的初衷,导致其流量包极易被检测或注意到,即使使用 VPN 可以让使用者的 IP 地址被隐藏,但仍然可以通过跟踪cookie 和设备指纹仍然可以找到使用者。此外,VPN 的可靠性和保密性完全依赖于 VPN 服务提供商,目前国内外存在大量的钓鱼执法 VPN(例如老王,蓝灯等)通过提供 VPN 服务窃取翻墙者的翻墙行为及隐私,因此仅建议使用比较知名的国际 VPN(比如 EXPRESS VPN)作为备用的翻墙手段,且必须考虑购买 VPN 的支付问题,极其不推荐使用所谓免费的 VPN 进行网络活动。
一些注意事项
1.目前中国大陆的网关(比如路由器,小区网络基站)都带有窃听和侦查的网安后门,在使用代理工具进行翻墙时应切记谨慎行事,尽可能不留下明显的身份信息(比如使用代理加 TOR
浏览器,并定期清理浏览数据和 cookies),在境外互联网不要贸然发言、留下活动痕迹或使用与墙内身份有关的网络身份,不要暴露自己。
2.目前中国大陆生产/销售的移动设备(华为/小米)都自带合法监听(包括上网记录和麦克风),且腾讯公司的 QQ、微信等软件也已经被证明会读取设备的浏览记录和扫描本地文件,应当尽可能使用未安装国产软件的设备(最好是安装了 LINUX 系统的设备)进行翻墙活动,并定期清理数据。
3.在选择翻墙方式时谨慎选择,不要贪图便宜或方便,不要使用免费的翻墙软件(极有可能有后门)
4.出于安全目的,可以自行在 youtube 等网站详细了解翻墙的相关知识,自行掌握更多安全技术,一切网络活动以安全为第一位。
欢迎加入工农解放社
团结全心全意为无产阶级服务的各组织,寻找共同为社会主义革命奋斗的战友!
联系我们:
[email protected]
群组: Telegram: View @Liberation1917
XMPP桥接群: Join the Conversation