前言

翻墙在当今似乎成为了一个必备的生存技能。在之前的文章中我们了解到了如何搭建v2ray来实现访问外网,虽然单纯的看着教程来搭建的梯子确实是让你能访问外网了,但是在国内对于翻墙的封锁和管控是非常的严格的,很有可能你辛辛苦苦搭建的梯子第二天就失效了,需要去维护,这时候反复的修复问题就成了非常头疼的问题。而当你了解理论和原理之后修复和维护就会变得非常简单,你去部署环境和搭建梯子的时候很多当时觉得很难的事情就会迎刃而解。

墙是什么、以及它真正的目的是什么?

墙指的是防火长城,英文名GFW(英文全称:Great Fire Wall),08年以前中国的网络审查制度并不健全,很多国内现在不能直接访问的网站在当时是可以直接访问的。

中国政府建立防火墙的导火索是08年恐怖组织在facebook上针对中国西部策划、协调并实施了恐怖袭击,中国政府要求Facebook官方配合审查,但是fb官方以保护用户隐私的理由拒绝了中国政府,中国政府只能架设防火墙让不配合审查的平台无法在国内开展业务。墙由政治事件而出现最后一众成人网站也跟着躺枪了。

防火墙的目的是保护国家利益,维持国家稳定防止境外分裂势力对中国网民的洗脑以及策反,防火墙制度是利大于弊的。

防火墙的原理

如果没有防火墙,当你访问网络时你的网络通讯数据包运作方式为:

没有防火墙时

  1. 你的本地计算机发出一个数据包请求。
  2. 数据包经过本地网络,接入骨干网经由 DNS(域名解析服务器,作用是将你输入的网址解析成服务器的ip地址)
  3. 解析之后到达国际出口,接入到对应的服务器
  4. 服务器对你的数据进行处理,并返回一个数据包发送到你的电脑

而在有防火墙的情况下,你访问网络时你的网络通讯数据包运作方式是这样的:

有防火墙时

防火墙的工作方式

防火墙主要通过以下三种方式来阻止你正常访问网站.

第一种方式 污染DNS

你的本地计算机发出一个数据包,经过本地网络,接入骨干网络经由DNS服务器的时候防火墙就开始起作用了。由于你的数据包采用http明文传输,防火墙可以探测到流量的部分内容从而污染dns服务器给你解析一个错误的地址,让你无法访问该网站。

第二种方式 关键字阻断

防火墙在探测到你的流量后发现其中有非法的关键字或者敏感词你就会被中断连接。

第三种方式 端口阻断

防火墙会在某些特定的服务器主机的特定端口进行端口阻断切断VPN或者SSL的连接(比如443 80 22这些端口),久而久之防火墙将记录到的大量IP屏蔽(毕竟人家用了cdn,你屏蔽单个ip人家不痛不痒)导致大量国外网站被封锁。

这些是防火墙的主要工作方式。

主流翻墙方式的工作原理

vpn的原理

防火墙部署以后不久,我们根据他的工作原理即可判断出只要防火墙不探明我数据包的真实意图,我们就可以通过连接一台防火墙认为合理的服务器作为中转来代替我访问我想访问的网站和服务。

比方说ssh代理:流程如下

vpn翻墙的原理

本地网络计算机发送一个请求建立加密通道的数据包接入骨干网经由域名解析,防火墙发现我访问的并不是被墙的网站,而是一台被防火墙允许访问的境外vps(服务器),于是防火墙放行。数据包经过中转服务器解密出我真正要访问的网址,跳转到该网址,该网址返回数据到中转服务器然后再经过墙传回本地计算机。

这样一来就完美地规避了防火墙的一切探测手段。而且防火墙也没有任何办法。毕竟政府不可能将所有境外服务器全部禁止访问。因为我的数据不再是http明文传输所以防火墙无法得知我访问的真实域名,无法进行关键字阻断。在DNS解析的时候发现我解析的对象防火墙允许的服务器,这样一来DNS污染对我也无效了。

但是制定防火墙的人也不是傻子,防火墙发现越来越多的流量都是这种模式:即先发送一个数据包请求和服务器的加密连接,然后紧跟着一个代理请求。这种方式的特征太明显了,且有极多的用户以这种方式翻墙。防火墙对这些有特别特征的流量做了两件事。

第一 屏蔽VPN通讯端口,政企用户想要使用vpn必须申报审核。

第二 收集提供vpn服务的服务器ip直接封禁ip地址

经过多年的打压VPN这种代理翻墙的方式慢慢的消失了(更正一下并没有消失,只是被检测出来的可能性变的很高,极容易挂掉)

shadow socks、v2ray、ssr的原理

shadow sock的出现,可以说是一个拐点。它将代理服务器拆分成了本地和远程两个的概念实现经过防火墙的流量全部加密从而消除明显流量特征。后来衍生出来的ssr、v2ray用的都是这个原理。

主流代理方式

他从本地服务器发出一个数据包给本地的shadow sock服务器发送数据加密的请求(这里的本地服务器指的是你电脑上装的shadow socks等软件,当然也可以是你的翻墙路由),本地网络由于不过墙而且可以瞬间完成加密。然后将加密数据经过DNS解析通过骨干网到达国际出口。防火墙由于探测不到流量的明显的特征,于是放行,到达你的远程中转服务器(可以是你自己的vps或者机场的服务器)然后解密你的数据。之后转发到你要访问的网站,网站回应数据发送回来经过远程中转服务器的加密并发送到防火墙,因为防火墙探测不到明显特征且加密的数据无法嗅探到敏感词只能放行,然后数据发送到你的shadow socks服务器解密数据包发回你的电脑从而让你可以访问到该网站。

综上翻墙的加密方式和算法基本上都是在gfw(防火墙的)这个位置进行的。

vpn和shadow sock的区别就在于一个向服务器发送加密通信请求一个在本地进行加密,在本地加密的好处是过墙的时候该数据已经被加密防火墙无法探测到固定模式和特征。

各种翻墙方式的优缺点

翻墙手段主要有这大类

1.软件翻墙

2.硬件翻墙(即路由器翻墙)

3.网关模式翻墙

第一种 软件翻墙

1.vpn

使用vpn翻墙早年特别流行,导致很多人就把翻墙理解为vpn。vpn指的是virtual private network。早期出现的原因是私密通讯的需求。由于vpn实在是太流行了而且特征明显,在很早之前就可以被防火墙完美识别并且封锁,所以你现在使用vpn已经是非常不安全的了。

2.shadow socks及其一系列衍生的翻墙

如v2ray、ssr这些方式都采用在本地服务器先将流量进行加密,流量发送至远程服务器再解密然后进行转发的方式来突破防火墙的封锁。加密的方法有很多种shadow socks+tls、vmess等等但是无论是哪种协议都不是完全安全的,毕竟防火墙并不会去解密你的流量,而是判断你的流量特征。

知道了协议我们还要知道软件,常用的软件有很多v2ray、shadowsocks、shadowsocksR、shadowrocket等等,不同的软件支持的协议不一样有的功能强大有的协议比较新。

不是协议越新越好,毕竟每个人用的设备网络环境和实际需求不一样。你要是想在老旧的设备上看4k视频,这个时候你用一个复杂的协议,由于cpu的算力不足很可能你的带宽都跑不满,从而导致速度慢体验很差。

软件代理的缺点也十分的明显大部分代理软件都无法拥有最高的底层权限,只能代理应用层的网络流量,这就导致了即使你开了全局代理模式,有些跑在系统层的流量无法代理(毕竟这里的全局指的是代理软件接管到的流量)。

第二种 路由器翻墙

由于路由器是你本地网络接入互联网的最后一环节而且独立于你的电脑所以可以无视电脑的代理规则实现真正的全局代理。

路由器翻墙的原理简单来说可以理解为你将翻墙的软件部署到了路由器上面,连接你路由器的网络设备都可以通过路由器来翻墙。

其相对于软件翻墙有一个明显的有点,它可以应用于无法安装翻墙软件的设备上,比如说vr头显以及家用游戏机等等设备。但是它的缺点也十分明显路由器cpu那羸弱的算力。。。。。。。你们懂的。本来人家的算力只能实现基本的路由器功能你却让它进行大量的加密解密运算。这可能导致你的网络变得很慢。当然这一点也有解决方案——软路由。软路由你可以理解为一台小的计算机,所以性能较强,可以在解密加密运算的同时保证你的带宽和速度。

第三种 网关模式翻墙

网关模式翻墙是指不需要使用路由器这种硬件,通过计算机里面的软件来模拟路由器的作用实现翻墙的办法。比如window下的clash和Mac下的surge。在你的本地局域网中部署一台用了surge或者clash的电脑作为网关接管局域网中所有的网络设备从而实现翻墙。这种方式拥有上面两种方式的全部优点。

各种路线

在部署翻墙服务器时我们一定会遇到线路的问题。

CN2线路

全称是Chinatelecom Next Carrier Network,意思是中国电信下一代承载网络,相较于我们现在使用的老的骨干网会更加的流畅。且会判断优先级,使用起来体验非常的好,缺点也明显贵。很多游戏加速器使用的就是CN2路线。

BGP

全称Border Gateway Protocol,边界网关协议,其机房也叫多线机房。在购买vps或者服务器的时候这是非常常见的名词 。它会自动识别你的线路是电信、联通还是移动自动使用最适合你的线路且在你当前网络不通的情况下会自动切换到其他线路来连接服务器。

GCP

谷歌云缺点就是贵,不过你要是有双币信用卡的话可以白嫖一年的vps。

AWS

亚马逊的云服务

GCP/AWS/Azure都不怎么推荐毕竟人家主要是针对境外的服务商,所以敏感时期经常抽风。

IPLC专线

这个就不说了带宽小流量少,而且奇贵。不过它不经过防火墙审核,优点是永不被墙。

机场与vps搭建翻墙服务器相比孰优孰劣

个人还是比较推荐机场的,毕竟人家线路多而且有专人维护 。在多线路的情况下机场比你自己搭建服务器的价格低的多。且自建vps容易出问题,调试和解决问题要花费大量的时间和精力。

你如果只是看看YouTube上上推特和pivix那么你直接去买机场就好。

但是你如果玩服务器玩建站或者有相关需求的人的话可以玩玩vps。

当然购买机场的时候尽量选择大机场,且尽量找有免费试用的提供商,不要一次性买太久。尽量一个月一个月的买,毕竟跑路的不少。

最后修改:2021 年 11 月 24 日 05 : 12 PM
如果觉得我的文章对你有用,请随意赞赏