z****n
发帖数: 3189 | 1 vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
连接没断,但是愣是上不了网,也不是啥新闻了。
最近国内比较火热的是走ss。
不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
不过有人说SS没法逮我就不知道他们是什么论据了。
我老人家觉得鸡国以后应该是走这么两步:
1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
识别内容的数据包一律丢弃。也很简单有效。
说真的,翻墙没啥意思。
翻墙出来干啥,上股沟?bing和百度够用了。
上gmail?全世界大把邮件服务器
youtube?那么多广告,都赶超youku了。
看轮子网站?信轮子不如去死
我觉得对屁民的生活基本没啥影响。愤青估计意见会很大,不过没人在乎。 |
r*****t
发帖数: 2860 | |
g*****2
发帖数: 863 | 3 gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
这个策略专门对付商用vpn,ss的,
我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
ss在iphone上不好设置, |
l***o
发帖数: 510 | 4 用了两年ss了,每月10刀的VPS,也经常时断时续.
【在 g*****2 的大作中提到】
: gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
: 这个策略专门对付商用vpn,ss的,
: 我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
: ss在iphone上不好设置,
|
l***o
发帖数: 510 | 5 百度是弱智+猥琐
【在 r*****t 的大作中提到】
: bing和google比起来差了10个百度!
|
g*****2
发帖数: 863 | 6 不要买大牌子的vps, 这些ip都被重点关注,
我买的搬瓦工的vps,表现还不错,一年才10刀,
另外一个linode的vps,1个月10刀, ip上了黑名单, 除了80口,其他端口都被gfw屏
蔽,估计被人玩坏了ip
【在 l***o 的大作中提到】
: 用了两年ss了,每月10刀的VPS,也经常时断时续.
|
s*****n
发帖数: 200 | 7 搞了一个翻墙的app
是继续还是不继续啊。
晕死。这政策真是搞不懂。
暂时, 没做限制,直接用、
https://itunes.apple.com/cn/app/id1196149910 |
e***y
发帖数: 1152 | |
a9
发帖数: 21638 | 9 我的用static key没问题,不过前一阵子有人说static key也不通。可能跟所在地ISP
有关
至于obfsproxy,只要保持一条长连接的TCP,可能GFW会过阵子就发包给你断开了
【在 e***y 的大作中提到】
: open VPN的这个功能很少被讨论
: https://community.openvpn.net/openvpn/wiki/TrafficObfuscation
: 这个会有帮助吧?
|
N**k
发帖数: 3584 | 10 VPN就玩得太过火了
墙上留个洞对圡共利大于弊吧 |
|
|
s*****n
发帖数: 200 | 11 混淆的openvpn。
早就玩过了。不过这玩意在安卓和iphone怎么弄?
还不如用混淆的ss
【在 e***y 的大作中提到】
: open VPN的这个功能很少被讨论
: https://community.openvpn.net/openvpn/wiki/TrafficObfuscation
: 这个会有帮助吧?
|
k**********s
发帖数: 6409 | 12 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做的一塌
糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需要http
隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上处理
DNS请求(不需要跑域名服务器)。 |
v*****w
发帖数: 1317 | 13 ss在ios用wingy和shadowrocket
【在 g*****2 的大作中提到】
: gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
: 这个策略专门对付商用vpn,ss的,
: 我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
: ss在iphone上不好设置,
|
n*********u
发帖数: 1030 | 14 github好像连不上。
还有就是回国休假临时想连一下公司vpn都不给。 |
g*****2
发帖数: 863 | 15 试一下wingy, 还不错,
【在 v*****w 的大作中提到】
: ss在ios用wingy和shadowrocket
|
i***h
发帖数: 12655 | 16 对两边跑的有影响吧
平时在这边用狗邮
回国要查邮箱是很实际的需要
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
e***y
发帖数: 1152 | 17 这个隧道有个略详细的的教程吗?
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做
的一塌
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需
要http
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上
处理
: DNS请求(不需要跑域名服务器)。
【在 k**********s 的大作中提到】
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做的一塌
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需要http
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上处理
: DNS请求(不需要跑域名服务器)。
|
w*****c
发帖数: 2130 | |
l*n
发帖数: 50 | 19 我在国内呆过两年。
用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
弄的。弄好的话家里所有机器都可以用,设好IPtable
经常非常非常的慢,估计是被墙干扰的。体验很不好。
国内手机没法上国外网站
涉外酒店上海和北京的很多都是被墙的,深圳的好点
操他妈的土工,太恶心了 |
d*********p
发帖数: 1531 | 20 楼主会批评你不替主子着想
【在 l*n 的大作中提到】
: 我在国内呆过两年。
: 用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
: 弄的。弄好的话家里所有机器都可以用,设好IPtable
: 经常非常非常的慢,估计是被墙干扰的。体验很不好。
: 国内手机没法上国外网站
: 涉外酒店上海和北京的很多都是被墙的,深圳的好点
: 操他妈的土工,太恶心了
|
|
|
a*****g
发帖数: 19398 | 21 才给P民戴上个信息枷锁就唧唧歪歪的
【在 l*n 的大作中提到】
: 我在国内呆过两年。
: 用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
: 弄的。弄好的话家里所有机器都可以用,设好IPtable
: 经常非常非常的慢,估计是被墙干扰的。体验很不好。
: 国内手机没法上国外网站
: 涉外酒店上海和北京的很多都是被墙的,深圳的好点
: 操他妈的土工,太恶心了
|
j**********r
发帖数: 3798 | 22 我老在国内试过写程序。没有google,没有stack overflow,不会写了。
那些公司国内分部要连过来看内部网站的怎么办? |
f*******t
发帖数: 7549 | 23 国内大公司比如BAT的内网都架好了VPN。不能google、stackoverflow和github那帮人
不用工作了。
【在 j**********r 的大作中提到】
: 我老在国内试过写程序。没有google,没有stack overflow,不会写了。
: 那些公司国内分部要连过来看内部网站的怎么办?
|
a*****g
发帖数: 19398 | 24 P民被铲子搞得都跪下了,连崽子也都是没独立性的
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
k**********s
发帖数: 6409 | 25
Google一下应该很多。
【在 e***y 的大作中提到】
: 这个隧道有个略详细的的教程吗?
:
:
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做
: 的一塌
:
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需
: 要http
:
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上
: 处理
:
: DNS请求(不需要跑域名服务器)。
:
|
s******k
发帖数: 6659 | |
m*d
发帖数: 7658 | 27 对你没用,不等于对别人没用
真会替主子着想,
用百度等着被魏泽西吗
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
m*d
发帖数: 7658 | 28 ssr现在好破吗
ISP
【在 a9 的大作中提到】
: 我的用static key没问题,不过前一阵子有人说static key也不通。可能跟所在地ISP
: 有关
: 至于obfsproxy,只要保持一条长连接的TCP,可能GFW会过阵子就发包给你断开了
|
z****n
发帖数: 3189 | 29 呵呵,先别说这种话,我觉得搜英文bing不错,搜中文百度不错,也算是不能股沟的权
宜之计而已。
【在 m*d 的大作中提到】
: 对你没用,不等于对别人没用
: 真会替主子着想,
: 用百度等着被魏泽西吗
:
: VPN
: 吧。
|
z****n
发帖数: 3189 | 30 后面两个似乎并没有被墙
【在 f*******t 的大作中提到】
: 国内大公司比如BAT的内网都架好了VPN。不能google、stackoverflow和github那帮人
: 不用工作了。
|
|
|
z****n
发帖数: 3189 | 31 两边跑的直接国际漫游不被墙,没有你说的问题。涉外酒店也是没墙的。
【在 i***h 的大作中提到】
: 对两边跑的有影响吧
: 平时在这边用狗邮
: 回国要查邮箱是很实际的需要
:
: VPN
: 吧。
|
h****a
发帖数: 1098 | |
a9
发帖数: 21638 | 33 昨天就有人问ssr,这到底是个啥?
【在 m*d 的大作中提到】
: ssr现在好破吗
:
: ISP
|
m*d
发帖数: 7658 | |
m**********e
发帖数: 12525 | 35 我肏,bing和百度就够用?
百度看毛片当然够用了,你给我百度给查个正经问题的科学解释:
自然数1,2,3,4.。。。。全集相加,结果等于 -1/12
你看看能在一秒钟内查到正确的解释吗?
【在 z****n 的大作中提到】
: 两边跑的直接国际漫游不被墙,没有你说的问题。涉外酒店也是没墙的。
|
d*****g
发帖数: 4364 | 36 搜索没有Google,其它顶个屁用!
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
a9
发帖数: 21638 | |
v*****w
发帖数: 1317 | 38 去年底的ss最后一次还是两次更新也加混淆了,好像还抄了ssr的code。。。
反正现在ss和ssr都在更新,ssr也从一个人到一个团队了,建议两个都试试,各地运营
商封锁方法略有不同,哪个好用用哪个(^_^)
【在 m*d 的大作中提到】
: ssr现在好破吗
:
: ISP
|
m********7
发帖数: 1791 | 39 切断海底光缆的方案比较彻底的解决问题。
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
c****3
发帖数: 10787 | 40 为啥不用SSH tunnel,找个10美元一年的VPS都够用了 |
|
|
a9
发帖数: 21638 | 41 …………
【在 c****3 的大作中提到】
: 为啥不用SSH tunnel,找个10美元一年的VPS都够用了
|
g*****2
发帖数: 863 | 42 你们根本不知道gfw的厉害, 是广谱的,自适应的,
公开协议的vpn ssh tunnel openvpn都轻松断掉, 未知协议的ss也会断的, 未知协议
数据长时间传输, 直接断了,
【在 c****3 的大作中提到】
: 为啥不用SSH tunnel,找个10美元一年的VPS都够用了
|
c****3
发帖数: 10787 | 43 可以在两端用防火墙把gfw伪造的RST包丢弃了,不知道有人试过没有。
【在 g*****2 的大作中提到】
: 你们根本不知道gfw的厉害, 是广谱的,自适应的,
: 公开协议的vpn ssh tunnel openvpn都轻松断掉, 未知协议的ss也会断的, 未知协议
: 数据长时间传输, 直接断了,
|
a*****g
发帖数: 19398 | 44 给P民套上的枷锁随时都可以调整的
帮人
【在 z****n 的大作中提到】
: 后面两个似乎并没有被墙
|
f*******t
发帖数: 7549 | 45 GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
式。
更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
民在看什么页面,如果发现看的是64事件,直接RST。
还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
登陆。由于正常情况下两边没有预先共享的公钥,GFW发现你在试图SSH时可以伪装成一
个服务器,把它自己的公钥发给你,你的用户名密码如果用它的公钥加密,就直接暴露
了。所以自己架SSH服务器一定要只允许用ssh key登陆,并预先存好对方的公钥,达到
完美的安全性。
当然啦,以后土共可以强迫跨境连接把私钥交给它,实行白名单实时审查制,那民间就
不太可能有翻墙的能力了。
【在 c****3 的大作中提到】
: 可以在两端用防火墙把gfw伪造的RST包丢弃了,不知道有人试过没有。
|
c****3
发帖数: 10787 | 46 GWF不是伪造RST包。如果用iptables把SSH Tunnel的TCP连接两段的RST包全过滤了,不
理RST包,它还有啥办法
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
c*******8
发帖数: 707 | 47 卫星上网土共的防火墙就分不了了吧
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
g*********e
发帖数: 14401 | 48 可以啊,你应该去应聘gfw的马公
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
a*****g
发帖数: 19398 | 49 放心吧
铲子为了延缓倒台,神马事情都做得出来的
可以干扰卫星信号,可以派城管去你家砸锅(卫星天线),可以鼓励其他P民监督举报你
不能
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
z****n
发帖数: 3189 | 50 知道bing百度不够用的,却还只会我上面说的那几种翻墙方法的,也活该被墙。
老夫我还有一种独门翻墙方法可以轻松跨过gfw,也都没觉得google不可替代,有时候
我都不知道你们是真无知还是假的无知。
股沟这些年搜索上都在吃老本,招一堆码农进去混吃等死养老的,被人追上只是迟早问
题,你们等着好了。
【在 m**********e 的大作中提到】
: 我肏,bing和百度就够用?
: 百度看毛片当然够用了,你给我百度给查个正经问题的科学解释:
: 自然数1,2,3,4.。。。。全集相加,结果等于 -1/12
: 你看看能在一秒钟内查到正确的解释吗?
|
|
|
z****n
发帖数: 3189 | 51 等我鳖上白名单后,你们怎么混淆都一回事。
【在 v*****w 的大作中提到】
: 去年底的ss最后一次还是两次更新也加混淆了,好像还抄了ssr的code。。。
: 反正现在ss和ssr都在更新,ssr也从一个人到一个团队了,建议两个都试试,各地运营
: 商封锁方法略有不同,哪个好用用哪个(^_^)
|
z****n
发帖数: 3189 | 52 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
不是啥坏事啊,怎么就变成延缓倒台了呢
报你
【在 a*****g 的大作中提到】
: 放心吧
: 铲子为了延缓倒台,神马事情都做得出来的
: 可以干扰卫星信号,可以派城管去你家砸锅(卫星天线),可以鼓励其他P民监督举报你
:
: 不能
|
f*******t
发帖数: 7549 | 53 很多外国友人研究GFW的,比如有哪些技术,过滤关键字是啥,封了哪些网站,设备放
在哪里。北邮CS好多人在做这类研究,绝对是人才济济。
【在 g*********e 的大作中提到】
: 可以啊,你应该去应聘gfw的马公
|
f*******t
发帖数: 7549 | 54 RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
【在 c****3 的大作中提到】
: GWF不是伪造RST包。如果用iptables把SSH Tunnel的TCP连接两段的RST包全过滤了,不
: 理RST包,它还有啥办法
|
T******g
发帖数: 21328 | 55 够黑,到处乱发reset
【在 f*******t 的大作中提到】
: RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
: 先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
: 则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
: VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
|
T******g
发帖数: 21328 | 56 ssh key是个好建议
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
f*******t
发帖数: 7549 | 57 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
位无线电的仪器,一抓一个准。
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
a*****g
发帖数: 19398 | 58 如果是单向接收,主要靠眼睛探测,看见了就砸锅
如果是双向上网,那就无线信号探测
【在 f*******t 的大作中提到】
: 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
: 高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
: 位无线电的仪器,一抓一个准。
|
l******t
发帖数: 55733 | 59
因为他就是个轮子啊
【在 z****n 的大作中提到】
: 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
: 不是啥坏事啊,怎么就变成延缓倒台了呢
:
: 报你
|
a*****g
发帖数: 19398 | 60 逆天道。
【在 z****n 的大作中提到】
: 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
: 不是啥坏事啊,怎么就变成延缓倒台了呢
:
: 报你
|
|
|
t***s
发帖数: 4666 | 61 你如果已经连过那个server那host key 会存在known hosts file 里啊。换了的话会警
告。
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
i****a
发帖数: 36252 | 62 那你说党妈为啥不让孩子们出去遛搭?
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
r***o
发帖数: 1526 | 63 OpenVPN over Stunnel, Stunnel设在443口上,标准的HTTPS协议,这个基本不会被墙 |
m*d
发帖数: 7658 | 64 那你用啥?
【在 a9 的大作中提到】
: 哦,我一直没太用ss,主要是它只支持socks,也就看看网页视频管用。
|
m*d
发帖数: 7658 | 65 卫星也好掐吧,好比当年的偷听敌台罪
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
m*d
发帖数: 7658 | 66 被百度这种专卖假药的追上,还真是搞笑
【在 z****n 的大作中提到】
: 知道bing百度不够用的,却还只会我上面说的那几种翻墙方法的,也活该被墙。
: 老夫我还有一种独门翻墙方法可以轻松跨过gfw,也都没觉得google不可替代,有时候
: 我都不知道你们是真无知还是假的无知。
: 股沟这些年搜索上都在吃老本,招一堆码农进去混吃等死养老的,被人追上只是迟早问
: 题,你们等着好了。
|
x*****g
发帖数: 151 | 67 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
在不断的学习中(machine learning), 有漏洞有时会自动补上。
所以最终看是看谁的技术牛了。 |
g*****2
发帖数: 863 | 68 国内普通事情用百度也可以,你要把广告去掉,把百度自己的垃圾信息去掉,
最有价值的信息一般在个人blog,但Google,百度都对blog降权,排在后面,
如果是编程问题,肯定是用google,
如果是翻墙问题,百度也不错, 下载电影肯定是百度, |
y********i
发帖数: 51 | |
c****3
发帖数: 10787 | 70 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
难道它这种被动拦截,还要到路由器上封IP吗
【在 f*******t 的大作中提到】
: RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
: 先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
: 则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
: VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
|
|
|
f*******t
发帖数: 7549 | 71 GFW会动态封IP呀。有种说法是它检测到未知但类似于vpn的连接,过一会儿就封IP
tunnel。
【在 c****3 的大作中提到】
: 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
: tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
: 难道它这种被动拦截,还要到路由器上封IP吗
|
c****3
发帖数: 10787 | 72 有吗? 动态封IP比较影响流量速度,因为骨干网路由器一堆,到那里去封IP,除非都
是从一个网关走,在那个网关上封。这样网关变成瓶颈,实时检测IP,肯定影响整个网
络的速度。
现在是把traffic从骨干路由器镜像一份,在背后检测,不需要实时,发RST包,对性能
影响不大。
【在 f*******t 的大作中提到】
: GFW会动态封IP呀。有种说法是它检测到未知但类似于vpn的连接,过一会儿就封IP
:
: tunnel。
|
g*****2
发帖数: 863 | 73 SSH tunnel,openvpn这种公开协议早不行了, 长时间无法识别包的传输,都会被临时
中断,
tunnel。
【在 c****3 的大作中提到】
: 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
: tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
: 难道它这种被动拦截,还要到路由器上封IP吗
|
c****3
发帖数: 10787 | 74 中断又不是在路由器封IP。是GFW给TCP连接两端发伪造的RST包,如果两端都不理伪造
的TCP RST包(可以通过防火墙过滤RST包),不按照TCP协议中断连接,TCP连接还是能
继续存在。如果这个连接是SSH tunnel,tunnel就没有被断掉。
【在 g*****2 的大作中提到】
: SSH tunnel,openvpn这种公开协议早不行了, 长时间无法识别包的传输,都会被临时
: 中断,
:
: tunnel。
|
T******g
发帖数: 21328 | 75 赞分析,实在不行拿个国际漫游的手机做备份吧
【在 x*****g 的大作中提到】
: 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
: 1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
: 2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
: 3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
: 个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
: GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
: ,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
: 通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
: 在不断的学习中(machine learning), 有漏洞有时会自动补上。
: 所以最终看是看谁的技术牛了。
|
v*****w
发帖数: 1317 | 76 我去年底回国就是这样。。。project FI很好用
【在 T******g 的大作中提到】
: 赞分析,实在不行拿个国际漫游的手机做备份吧
|
x*****g
发帖数: 151 | 77 请问哪个搬瓦工呢?
【在 g*****2 的大作中提到】
: 不要买大牌子的vps, 这些ip都被重点关注,
: 我买的搬瓦工的vps,表现还不错,一年才10刀,
: 另外一个linode的vps,1个月10刀, ip上了黑名单, 除了80口,其他端口都被gfw屏
: 蔽,估计被人玩坏了ip
|
v*****w
发帖数: 1317 | 78 bandwagonhost把
【在 x*****g 的大作中提到】
: 请问哪个搬瓦工呢?
|
T******g
发帖数: 21328 | 79 这个性价比高,以前还有跨境王
【在 v*****w 的大作中提到】
: 我去年底回国就是这样。。。project FI很好用
|
s*******t
发帖数: 1743 | 80 这逼装的,真他妈的欠揍
神玩意儿啊,操
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
|
|
a*****g
发帖数: 19398 | 81 你是用正常人的眼睛看,还关心影响不影响网络的速度
铲子根本不关心这些,给P民带上信息枷锁,死死的,其他的根本不管的。
【在 c****3 的大作中提到】
: 有吗? 动态封IP比较影响流量速度,因为骨干网路由器一堆,到那里去封IP,除非都
: 是从一个网关走,在那个网关上封。这样网关变成瓶颈,实时检测IP,肯定影响整个网
: 络的速度。
: 现在是把traffic从骨干路由器镜像一份,在背后检测,不需要实时,发RST包,对性能
: 影响不大。
|
g*****2
发帖数: 863 | 82 是这个, 打折时10刀一年
【在 v*****w 的大作中提到】
: bandwagonhost把
|
a9
发帖数: 21638 | 83 没用,卫星上网上行也得走拨号
【在 f*******t 的大作中提到】
: 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
: 高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
: 位无线电的仪器,一抓一个准。
|
a9
发帖数: 21638 | 84 我的static key还活着
我正在写一个走http tunnel的混淆器。
【在 m*d 的大作中提到】
: 那你用啥?
|
a9
发帖数: 21638 | 85 这几个里面前两个是一样的,都是走tunnel,时间一长就给你断开了。
ss目前看还是比较理想的。多连接,tcp,udp可选。
【在 x*****g 的大作中提到】
: 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
: 1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
: 2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
: 3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
: 个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
: GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
: ,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
: 通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
: 在不断的学习中(machine learning), 有漏洞有时会自动补上。
: 所以最终看是看谁的技术牛了。
|
a9
发帖数: 21638 | 86 你试试就好了。你这些招儿前人都总结过了不要抱着stunnel不放了
临时
【在 c****3 的大作中提到】
: 中断又不是在路由器封IP。是GFW给TCP连接两端发伪造的RST包,如果两端都不理伪造
: 的TCP RST包(可以通过防火墙过滤RST包),不按照TCP协议中断连接,TCP连接还是能
: 继续存在。如果这个连接是SSH tunnel,tunnel就没有被断掉。
|
k**********s
发帖数: 6409 | 87
混淆器可以先放放,http应该就够了,目前不光是gfw,一些公司里非常严的fw都没问
题,只要是容许http,就没有翻不过去的。网管看起来都是普通的http请求和答复。和
opnvpn搭配,推送和SIP都没问题(socks和proxy就不行),也没有耗电的问题。做好
了,对速度的影响和延迟都没有什么影响,看油管和打VoIP都畅通。
【在 a9 的大作中提到】
: 我的static key还活着
: 我正在写一个走http tunnel的混淆器。
|
a9
发帖数: 21638 | 88 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
但也有很多说ss都封了的。
我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
https一般都不会保持超长时间连接。
【在 k**********s 的大作中提到】
:
: 混淆器可以先放放,http应该就够了,目前不光是gfw,一些公司里非常严的fw都没问
: 题,只要是容许http,就没有翻不过去的。网管看起来都是普通的http请求和答复。和
: opnvpn搭配,推送和SIP都没问题(socks和proxy就不行),也没有耗电的问题。做好
: 了,对速度的影响和延迟都没有什么影响,看油管和打VoIP都畅通。
|
x*z
发帖数: 1010 | 89 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
1. 国内铁通,美国Comcast
2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
解析域名)
3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
用端口无法链接,如21,22,25之流,最后发现只有443开放
最后SS只能架在IP直连+443上了
【在 a9 的大作中提到】
: 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
: 但也有很多说ss都封了的。
: 我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
: https一般都不会保持超长时间连接。
|
g*****2
发帖数: 863 | 90 这种情况是ip被玩坏了, 大公司的ip就这样,
【在 x*z 的大作中提到】
: 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
: 1. 国内铁通,美国Comcast
: 2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
: 的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
: 解析域名)
: 3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
: 用端口无法链接,如21,22,25之流,最后发现只有443开放
: 最后SS只能架在IP直连+443上了
|
|
|
k**********s
发帖数: 6409 | 91
所以我说先不要去加混淆。我理解的“混淆”是在建好http tunnel前和后还要不时加
一些完全普通的跟你的真实目的无关的http访问。
【在 a9 的大作中提到】
: 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
: 但也有很多说ss都封了的。
: 我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
: https一般都不会保持超长时间连接。
|
v*****w
发帖数: 1317 | 92 哈哈哈铁通,长宽,移动,三大中老年内网哇
这三家都是二级宽带,租电信或者联通的端口,自己拿cisco的设备再组的内网。。。
基本除了443之外其他都封(看地方)。努力投诉可能给你个公网IP
【在 x*z 的大作中提到】
: 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
: 1. 国内铁通,美国Comcast
: 2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
: 的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
: 解析域名)
: 3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
: 用端口无法链接,如21,22,25之流,最后发现只有443开放
: 最后SS只能架在IP直连+443上了
|
a9
发帖数: 21638 | 93 不是,我是说通道还是http协议,但内容实际内容加密后模拟的一个mpegts流。
【在 k**********s 的大作中提到】
:
: 所以我说先不要去加混淆。我理解的“混淆”是在建好http tunnel前和后还要不时加
: 一些完全普通的跟你的真实目的无关的http访问。
|
z****n
发帖数: 3189 | 94 vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
连接没断,但是愣是上不了网,也不是啥新闻了。
最近国内比较火热的是走ss。
不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
不过有人说SS没法逮我就不知道他们是什么论据了。
我老人家觉得鸡国以后应该是走这么两步:
1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
识别内容的数据包一律丢弃。也很简单有效。
说真的,翻墙没啥意思。
翻墙出来干啥,上股沟?bing和百度够用了。
上gmail?全世界大把邮件服务器
youtube?那么多广告,都赶超youku了。
看轮子网站?信轮子不如去死
我觉得对屁民的生活基本没啥影响。愤青估计意见会很大,不过没人在乎。 |
r*****t
发帖数: 2860 | |
g*****2
发帖数: 863 | 96 gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
这个策略专门对付商用vpn,ss的,
我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
ss在iphone上不好设置, |
l***o
发帖数: 510 | 97 用了两年ss了,每月10刀的VPS,也经常时断时续.
【在 g*****2 的大作中提到】
: gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
: 这个策略专门对付商用vpn,ss的,
: 我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
: ss在iphone上不好设置,
|
l***o
发帖数: 510 | 98 百度是弱智+猥琐
【在 r*****t 的大作中提到】
: bing和google比起来差了10个百度!
|
g*****2
发帖数: 863 | 99 不要买大牌子的vps, 这些ip都被重点关注,
我买的搬瓦工的vps,表现还不错,一年才10刀,
另外一个linode的vps,1个月10刀, ip上了黑名单, 除了80口,其他端口都被gfw屏
蔽,估计被人玩坏了ip
【在 l***o 的大作中提到】
: 用了两年ss了,每月10刀的VPS,也经常时断时续.
|
s*****n
发帖数: 200 | 100 搞了一个翻墙的app
是继续还是不继续啊。
晕死。这政策真是搞不懂。
暂时, 没做限制,直接用、
https://itunes.apple.com/cn/app/id1196149910 |
|
|
e***y
发帖数: 1152 | |
a9
发帖数: 21638 | 102 我的用static key没问题,不过前一阵子有人说static key也不通。可能跟所在地ISP
有关
至于obfsproxy,只要保持一条长连接的TCP,可能GFW会过阵子就发包给你断开了
【在 e***y 的大作中提到】
: open VPN的这个功能很少被讨论
: https://community.openvpn.net/openvpn/wiki/TrafficObfuscation
: 这个会有帮助吧?
|
N**k
发帖数: 3584 | 103 VPN就玩得太过火了
墙上留个洞对圡共利大于弊吧 |
s*****n
发帖数: 200 | 104 混淆的openvpn。
早就玩过了。不过这玩意在安卓和iphone怎么弄?
还不如用混淆的ss
【在 e***y 的大作中提到】
: open VPN的这个功能很少被讨论
: https://community.openvpn.net/openvpn/wiki/TrafficObfuscation
: 这个会有帮助吧?
|
k**********s
发帖数: 6409 | 105 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做的一塌
糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需要http
隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上处理
DNS请求(不需要跑域名服务器)。 |
v*****w
发帖数: 1317 | 106 ss在ios用wingy和shadowrocket
【在 g*****2 的大作中提到】
: gfw现在是广谱的,长时间无法识别的包,直接切断,过一会又解封,
: 这个策略专门对付商用vpn,ss的,
: 我自己vps搭的ss,一直能用,可能用的少,就查个gmail,
: ss在iphone上不好设置,
|
n*********u
发帖数: 1030 | 107 github好像连不上。
还有就是回国休假临时想连一下公司vpn都不给。 |
g*****2
发帖数: 863 | 108 试一下wingy, 还不错,
【在 v*****w 的大作中提到】
: ss在ios用wingy和shadowrocket
|
i***h
发帖数: 12655 | 109 对两边跑的有影响吧
平时在这边用狗邮
回国要查邮箱是很实际的需要
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
e***y
发帖数: 1152 | 110 这个隧道有个略详细的的教程吗?
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做
的一塌
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需
要http
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上
处理
: DNS请求(不需要跑域名服务器)。
【在 k**********s 的大作中提到】
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做的一塌
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需要http
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上处理
: DNS请求(不需要跑域名服务器)。
|
|
|
w*****c
发帖数: 2130 | |
l*n
发帖数: 50 | 112 我在国内呆过两年。
用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
弄的。弄好的话家里所有机器都可以用,设好IPtable
经常非常非常的慢,估计是被墙干扰的。体验很不好。
国内手机没法上国外网站
涉外酒店上海和北京的很多都是被墙的,深圳的好点
操他妈的土工,太恶心了 |
d*********p
发帖数: 1531 | 113 楼主会批评你不替主子着想
【在 l*n 的大作中提到】
: 我在国内呆过两年。
: 用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
: 弄的。弄好的话家里所有机器都可以用,设好IPtable
: 经常非常非常的慢,估计是被墙干扰的。体验很不好。
: 国内手机没法上国外网站
: 涉外酒店上海和北京的很多都是被墙的,深圳的好点
: 操他妈的土工,太恶心了
|
a*****g
发帖数: 19398 | 114 才给P民戴上个信息枷锁就唧唧歪歪的
【在 l*n 的大作中提到】
: 我在国内呆过两年。
: 用strong vpn, 一个IP一般用上一两天到一两个月就被封了,要常换。我是在路由器上
: 弄的。弄好的话家里所有机器都可以用,设好IPtable
: 经常非常非常的慢,估计是被墙干扰的。体验很不好。
: 国内手机没法上国外网站
: 涉外酒店上海和北京的很多都是被墙的,深圳的好点
: 操他妈的土工,太恶心了
|
j**********r
发帖数: 3798 | 115 我老在国内试过写程序。没有google,没有stack overflow,不会写了。
那些公司国内分部要连过来看内部网站的怎么办? |
f*******t
发帖数: 7549 | 116 国内大公司比如BAT的内网都架好了VPN。不能google、stackoverflow和github那帮人
不用工作了。
【在 j**********r 的大作中提到】
: 我老在国内试过写程序。没有google,没有stack overflow,不会写了。
: 那些公司国内分部要连过来看内部网站的怎么办?
|
a*****g
发帖数: 19398 | 117 P民被铲子搞得都跪下了,连崽子也都是没独立性的
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
k**********s
发帖数: 6409 | 118
Google一下应该很多。
【在 e***y 的大作中提到】
: 这个隧道有个略详细的的教程吗?
:
:
: 在OpenVPN之前加一个http隧道。唯一的问题是网上能找到的http隧道几乎都做
: 的一塌
:
: 糊涂不好使。用sslh,同一个80口既可以听http,也可以听OpenVPN,这样不需
: 要http
:
: 隧道的时候,可以直接从80口连OpenVPN。还有就是DNS也走VPN,在VPN服务器上
: 处理
:
: DNS请求(不需要跑域名服务器)。
:
|
s******k
发帖数: 6659 | |
m*d
发帖数: 7658 | 120 对你没用,不等于对别人没用
真会替主子着想,
用百度等着被魏泽西吗
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
|
|
m*d
发帖数: 7658 | 121 ssr现在好破吗
ISP
【在 a9 的大作中提到】
: 我的用static key没问题,不过前一阵子有人说static key也不通。可能跟所在地ISP
: 有关
: 至于obfsproxy,只要保持一条长连接的TCP,可能GFW会过阵子就发包给你断开了
|
z****n
发帖数: 3189 | 122 呵呵,先别说这种话,我觉得搜英文bing不错,搜中文百度不错,也算是不能股沟的权
宜之计而已。
【在 m*d 的大作中提到】
: 对你没用,不等于对别人没用
: 真会替主子着想,
: 用百度等着被魏泽西吗
:
: VPN
: 吧。
|
z****n
发帖数: 3189 | 123 后面两个似乎并没有被墙
【在 f*******t 的大作中提到】
: 国内大公司比如BAT的内网都架好了VPN。不能google、stackoverflow和github那帮人
: 不用工作了。
|
z****n
发帖数: 3189 | 124 两边跑的直接国际漫游不被墙,没有你说的问题。涉外酒店也是没墙的。
【在 i***h 的大作中提到】
: 对两边跑的有影响吧
: 平时在这边用狗邮
: 回国要查邮箱是很实际的需要
:
: VPN
: 吧。
|
h****a
发帖数: 1098 | |
a9
发帖数: 21638 | 126 昨天就有人问ssr,这到底是个啥?
【在 m*d 的大作中提到】
: ssr现在好破吗
:
: ISP
|
m*d
发帖数: 7658 | |
m**********e
发帖数: 12525 | 128 我肏,bing和百度就够用?
百度看毛片当然够用了,你给我百度给查个正经问题的科学解释:
自然数1,2,3,4.。。。。全集相加,结果等于 -1/12
你看看能在一秒钟内查到正确的解释吗?
【在 z****n 的大作中提到】
: 两边跑的直接国际漫游不被墙,没有你说的问题。涉外酒店也是没墙的。
|
d*****g
发帖数: 4364 | 129 搜索没有Google,其它顶个屁用!
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
a9
发帖数: 21638 | |
|
|
v*****w
发帖数: 1317 | 131 去年底的ss最后一次还是两次更新也加混淆了,好像还抄了ssr的code。。。
反正现在ss和ssr都在更新,ssr也从一个人到一个团队了,建议两个都试试,各地运营
商封锁方法略有不同,哪个好用用哪个(^_^)
【在 m*d 的大作中提到】
: ssr现在好破吗
:
: ISP
|
m********7
发帖数: 1791 | 132 切断海底光缆的方案比较彻底的解决问题。
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
c****3
发帖数: 10787 | 133 为啥不用SSH tunnel,找个10美元一年的VPS都够用了 |
a9
发帖数: 21638 | 134 …………
【在 c****3 的大作中提到】
: 为啥不用SSH tunnel,找个10美元一年的VPS都够用了
|
g*****2
发帖数: 863 | 135 你们根本不知道gfw的厉害, 是广谱的,自适应的,
公开协议的vpn ssh tunnel openvpn都轻松断掉, 未知协议的ss也会断的, 未知协议
数据长时间传输, 直接断了,
【在 c****3 的大作中提到】
: 为啥不用SSH tunnel,找个10美元一年的VPS都够用了
|
c****3
发帖数: 10787 | 136 可以在两端用防火墙把gfw伪造的RST包丢弃了,不知道有人试过没有。
【在 g*****2 的大作中提到】
: 你们根本不知道gfw的厉害, 是广谱的,自适应的,
: 公开协议的vpn ssh tunnel openvpn都轻松断掉, 未知协议的ss也会断的, 未知协议
: 数据长时间传输, 直接断了,
|
a*****g
发帖数: 19398 | 137 给P民套上的枷锁随时都可以调整的
帮人
【在 z****n 的大作中提到】
: 后面两个似乎并没有被墙
|
f*******t
发帖数: 7549 | 138 GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
式。
更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
民在看什么页面,如果发现看的是64事件,直接RST。
还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
登陆。由于正常情况下两边没有预先共享的公钥,GFW发现你在试图SSH时可以伪装成一
个服务器,把它自己的公钥发给你,你的用户名密码如果用它的公钥加密,就直接暴露
了。所以自己架SSH服务器一定要只允许用ssh key登陆,并预先存好对方的公钥,达到
完美的安全性。
当然啦,以后土共可以强迫跨境连接把私钥交给它,实行白名单实时审查制,那民间就
不太可能有翻墙的能力了。
【在 c****3 的大作中提到】
: 可以在两端用防火墙把gfw伪造的RST包丢弃了,不知道有人试过没有。
|
c****3
发帖数: 10787 | 139 GWF不是伪造RST包。如果用iptables把SSH Tunnel的TCP连接两段的RST包全过滤了,不
理RST包,它还有啥办法
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
c*******8
发帖数: 707 | 140 卫星上网土共的防火墙就分不了了吧
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
|
|
g*********e
发帖数: 14401 | 141 可以啊,你应该去应聘gfw的马公
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
a*****g
发帖数: 19398 | 142 放心吧
铲子为了延缓倒台,神马事情都做得出来的
可以干扰卫星信号,可以派城管去你家砸锅(卫星天线),可以鼓励其他P民监督举报你
不能
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
z****n
发帖数: 3189 | 143 知道bing百度不够用的,却还只会我上面说的那几种翻墙方法的,也活该被墙。
老夫我还有一种独门翻墙方法可以轻松跨过gfw,也都没觉得google不可替代,有时候
我都不知道你们是真无知还是假的无知。
股沟这些年搜索上都在吃老本,招一堆码农进去混吃等死养老的,被人追上只是迟早问
题,你们等着好了。
【在 m**********e 的大作中提到】
: 我肏,bing和百度就够用?
: 百度看毛片当然够用了,你给我百度给查个正经问题的科学解释:
: 自然数1,2,3,4.。。。。全集相加,结果等于 -1/12
: 你看看能在一秒钟内查到正确的解释吗?
|
z****n
发帖数: 3189 | 144 等我鳖上白名单后,你们怎么混淆都一回事。
【在 v*****w 的大作中提到】
: 去年底的ss最后一次还是两次更新也加混淆了,好像还抄了ssr的code。。。
: 反正现在ss和ssr都在更新,ssr也从一个人到一个团队了,建议两个都试试,各地运营
: 商封锁方法略有不同,哪个好用用哪个(^_^)
|
z****n
发帖数: 3189 | 145 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
不是啥坏事啊,怎么就变成延缓倒台了呢
报你
【在 a*****g 的大作中提到】
: 放心吧
: 铲子为了延缓倒台,神马事情都做得出来的
: 可以干扰卫星信号,可以派城管去你家砸锅(卫星天线),可以鼓励其他P民监督举报你
:
: 不能
|
f*******t
发帖数: 7549 | 146 很多外国友人研究GFW的,比如有哪些技术,过滤关键字是啥,封了哪些网站,设备放
在哪里。北邮CS好多人在做这类研究,绝对是人才济济。
【在 g*********e 的大作中提到】
: 可以啊,你应该去应聘gfw的马公
|
f*******t
发帖数: 7549 | 147 RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
【在 c****3 的大作中提到】
: GWF不是伪造RST包。如果用iptables把SSH Tunnel的TCP连接两段的RST包全过滤了,不
: 理RST包,它还有啥办法
|
T******g
发帖数: 21328 | 148 够黑,到处乱发reset
【在 f*******t 的大作中提到】
: RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
: 先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
: 则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
: VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
|
T******g
发帖数: 21328 | 149 ssh key是个好建议
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
f*******t
发帖数: 7549 | 150 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
位无线电的仪器,一抓一个准。
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
|
|
a*****g
发帖数: 19398 | 151 如果是单向接收,主要靠眼睛探测,看见了就砸锅
如果是双向上网,那就无线信号探测
【在 f*******t 的大作中提到】
: 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
: 高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
: 位无线电的仪器,一抓一个准。
|
l******t
发帖数: 55733 | 152
因为他就是个轮子啊
【在 z****n 的大作中提到】
: 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
: 不是啥坏事啊,怎么就变成延缓倒台了呢
:
: 报你
|
a*****g
发帖数: 19398 | 153 逆天道。
【在 z****n 的大作中提到】
: 我鳖的gfw,让低素质的屁民接触不了轮子,让自以为是的屁民接触不了股沟,我觉得
: 不是啥坏事啊,怎么就变成延缓倒台了呢
:
: 报你
|
t***s
发帖数: 4666 | 154 你如果已经连过那个server那host key 会存在known hosts file 里啊。换了的话会警
告。
【在 f*******t 的大作中提到】
: GFW封锁手段可不止这一种。RST一般在出现于浏览明文http网页时检测关键字的审查方
: 式。
: 更高级的手段是https证书过滤,比如用在wikipedia上,只开放http访问,这样知道屁
: 民在看什么页面,如果发现看的是64事件,直接RST。
: 还有人为制造连接不稳定,让用户主动放弃转而使用国内的服务。这招当年在google上
: 用过,就是15分钟能正常访问,15分钟连不上。我估计效果不好,现在应该不用了吧。
: 最高级的手段是深度包检测,连machine learning都用上了。已知VPN协议L2TP PPTP之
: 类的都逃不过,未知VPN协议认不出来也没关系,反正过段时间就把连接一掐。
: SSH使用难度比较大,所以很少有被封的情况,但使用密码登陆有被中间人攻击的可能
: 。比如你在美国的路由上架了sshd daemon,回国后直接SSH美国的IP,再输用户名密码
|
i****a
发帖数: 36252 | 155 那你说党妈为啥不让孩子们出去遛搭?
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
r***o
发帖数: 1526 | 156 OpenVPN over Stunnel, Stunnel设在443口上,标准的HTTPS协议,这个基本不会被墙 |
m*d
发帖数: 7658 | 157 那你用啥?
【在 a9 的大作中提到】
: 哦,我一直没太用ss,主要是它只支持socks,也就看看网页视频管用。
|
m*d
发帖数: 7658 | 158 卫星也好掐吧,好比当年的偷听敌台罪
【在 c*******8 的大作中提到】
: 卫星上网土共的防火墙就分不了了吧
:
: VPN
: 吧。
|
m*d
发帖数: 7658 | 159 被百度这种专卖假药的追上,还真是搞笑
【在 z****n 的大作中提到】
: 知道bing百度不够用的,却还只会我上面说的那几种翻墙方法的,也活该被墙。
: 老夫我还有一种独门翻墙方法可以轻松跨过gfw,也都没觉得google不可替代,有时候
: 我都不知道你们是真无知还是假的无知。
: 股沟这些年搜索上都在吃老本,招一堆码农进去混吃等死养老的,被人追上只是迟早问
: 题,你们等着好了。
|
x*****g
发帖数: 151 | 160 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
在不断的学习中(machine learning), 有漏洞有时会自动补上。
所以最终看是看谁的技术牛了。 |
|
|
g*****2
发帖数: 863 | 161 国内普通事情用百度也可以,你要把广告去掉,把百度自己的垃圾信息去掉,
最有价值的信息一般在个人blog,但Google,百度都对blog降权,排在后面,
如果是编程问题,肯定是用google,
如果是翻墙问题,百度也不错, 下载电影肯定是百度, |
y********i
发帖数: 51 | |
c****3
发帖数: 10787 | 163 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
难道它这种被动拦截,还要到路由器上封IP吗
【在 f*******t 的大作中提到】
: RST的工作原理是用某个设备伪造RST包发给TCP连接的两端,由于某种原因RST包一般会
: 先到。只要有一端没设防火墙,连接就自然断了。问题是你能在自己机器上设防火墙规
: 则,但控制不了网站服务器啊。再说了这只是早期简单粗暴的方法,还有很多其它不用
: VPN就难绕过的技术,所以单纯设个防火墙规则并不能翻墙。
|
f*******t
发帖数: 7549 | 164 GFW会动态封IP呀。有种说法是它检测到未知但类似于vpn的连接,过一会儿就封IP
tunnel。
【在 c****3 的大作中提到】
: 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
: tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
: 难道它这种被动拦截,还要到路由器上封IP吗
|
c****3
发帖数: 10787 | 165 有吗? 动态封IP比较影响流量速度,因为骨干网路由器一堆,到那里去封IP,除非都
是从一个网关走,在那个网关上封。这样网关变成瓶颈,实时检测IP,肯定影响整个网
络的速度。
现在是把traffic从骨干路由器镜像一份,在背后检测,不需要实时,发RST包,对性能
影响不大。
【在 f*******t 的大作中提到】
: GFW会动态封IP呀。有种说法是它检测到未知但类似于vpn的连接,过一会儿就封IP
:
: tunnel。
|
g*****2
发帖数: 863 | 166 SSH tunnel,openvpn这种公开协议早不行了, 长时间无法识别包的传输,都会被临时
中断,
tunnel。
【在 c****3 的大作中提到】
: 我如果用SSH tunnel,一端在国外VPS上,另一端在国内。所有traffic都是通过SSH
: tunnel,我把给SSH tunnel的RST包用防火墙过滤了,GWF还能有啥办法断掉我的tunnel。
: 难道它这种被动拦截,还要到路由器上封IP吗
|
c****3
发帖数: 10787 | 167 中断又不是在路由器封IP。是GFW给TCP连接两端发伪造的RST包,如果两端都不理伪造
的TCP RST包(可以通过防火墙过滤RST包),不按照TCP协议中断连接,TCP连接还是能
继续存在。如果这个连接是SSH tunnel,tunnel就没有被断掉。
【在 g*****2 的大作中提到】
: SSH tunnel,openvpn这种公开协议早不行了, 长时间无法识别包的传输,都会被临时
: 中断,
:
: tunnel。
|
T******g
发帖数: 21328 | 168 赞分析,实在不行拿个国际漫游的手机做备份吧
【在 x*****g 的大作中提到】
: 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
: 1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
: 2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
: 3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
: 个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
: GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
: ,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
: 通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
: 在不断的学习中(machine learning), 有漏洞有时会自动补上。
: 所以最终看是看谁的技术牛了。
|
v*****w
发帖数: 1317 | 169 我去年底回国就是这样。。。project FI很好用
【在 T******g 的大作中提到】
: 赞分析,实在不行拿个国际漫游的手机做备份吧
|
x*****g
发帖数: 151 | 170 请问哪个搬瓦工呢?
【在 g*****2 的大作中提到】
: 不要买大牌子的vps, 这些ip都被重点关注,
: 我买的搬瓦工的vps,表现还不错,一年才10刀,
: 另外一个linode的vps,1个月10刀, ip上了黑名单, 除了80口,其他端口都被gfw屏
: 蔽,估计被人玩坏了ip
|
|
|
v*****w
发帖数: 1317 | 171 bandwagonhost把
【在 x*****g 的大作中提到】
: 请问哪个搬瓦工呢?
|
T******g
发帖数: 21328 | 172 这个性价比高,以前还有跨境王
【在 v*****w 的大作中提到】
: 我去年底回国就是这样。。。project FI很好用
|
s*******t
发帖数: 1743 | 173 这逼装的,真他妈的欠揍
神玩意儿啊,操
VPN
吧。
【在 z****n 的大作中提到】
: vpn的数据包特征很明显,现在我鳖的防火墙可以逮到这种数据包就直接干扰,让你VPN
: 连接没断,但是愣是上不了网,也不是啥新闻了。
: 最近国内比较火热的是走ss。
: 不过ss本质上都是socks协议,我觉得要归纳下数据包的特征应该还是很容易抓到的吧。
: 不过有人说SS没法逮我就不知道他们是什么论据了。
: 我老人家觉得鸡国以后应该是走这么两步:
: 1、白名单。只有白名单上的IP/网站才能访问。呵呵,这个最简单最有效。
: 2、要求所有境外网站/服务器必须和国安局共享SSL证书的私钥。防火墙一旦截获不能
: 识别内容的数据包一律丢弃。也很简单有效。
: 说真的,翻墙没啥意思。
|
a*****g
发帖数: 19398 | 174 你是用正常人的眼睛看,还关心影响不影响网络的速度
铲子根本不关心这些,给P民带上信息枷锁,死死的,其他的根本不管的。
【在 c****3 的大作中提到】
: 有吗? 动态封IP比较影响流量速度,因为骨干网路由器一堆,到那里去封IP,除非都
: 是从一个网关走,在那个网关上封。这样网关变成瓶颈,实时检测IP,肯定影响整个网
: 络的速度。
: 现在是把traffic从骨干路由器镜像一份,在背后检测,不需要实时,发RST包,对性能
: 影响不大。
|
g*****2
发帖数: 863 | 175 是这个, 打折时10刀一年
【在 v*****w 的大作中提到】
: bandwagonhost把
|
a9
发帖数: 21638 | 176 没用,卫星上网上行也得走拨号
【在 f*******t 的大作中提到】
: 连私装能看境外卫星电视的锅都是不允许的,查得很严。卫星上网因为费用和延迟都很
: 高,暂时还不普及。万一用的人多了,我兔肯定上门查水表啊,现在各地警察都配有定
: 位无线电的仪器,一抓一个准。
|
a9
发帖数: 21638 | 177 我的static key还活着
我正在写一个走http tunnel的混淆器。
【在 m*d 的大作中提到】
: 那你用啥?
|
a9
发帖数: 21638 | 178 这几个里面前两个是一样的,都是走tunnel,时间一长就给你断开了。
ss目前看还是比较理想的。多连接,tcp,udp可选。
【在 x*****g 的大作中提到】
: 这个就像猫捉老鼠的游戏,看谁的手段高。目前来说,这几种不被发现的可能性较大:
: 1. openvpn + stunnel. DPI 看不出是openvpn协议, 在tcp上就是加密的bytes
: 2. openvpn + Obfuscation. 让openVPN加马赛克,服务器和终端都要改。
: 3. ss(shadowsocks). 就是sock5 + AES encryption for payload, 这个目前不错。这
: 个不是vpn协议,而是proxy协议,所以系统的全局proxy设置要改。
: GFW除了DPI以外,还有模式识别, 比如openvpn+stunnel完成一次TLS handshake以后
: ,到真正destination, 比如https://www.facebook.com, 还有一次TLS handshake,
: 通过看TCP包的大小和次序,一般可以估计的到是vpn的traffic. GFW和alphaGo一样,
: 在不断的学习中(machine learning), 有漏洞有时会自动补上。
: 所以最终看是看谁的技术牛了。
|
a9
发帖数: 21638 | 179 你试试就好了。你这些招儿前人都总结过了不要抱着stunnel不放了
临时
【在 c****3 的大作中提到】
: 中断又不是在路由器封IP。是GFW给TCP连接两端发伪造的RST包,如果两端都不理伪造
: 的TCP RST包(可以通过防火墙过滤RST包),不按照TCP协议中断连接,TCP连接还是能
: 继续存在。如果这个连接是SSH tunnel,tunnel就没有被断掉。
|
k**********s
发帖数: 6409 | 180
混淆器可以先放放,http应该就够了,目前不光是gfw,一些公司里非常严的fw都没问
题,只要是容许http,就没有翻不过去的。网管看起来都是普通的http请求和答复。和
opnvpn搭配,推送和SIP都没问题(socks和proxy就不行),也没有耗电的问题。做好
了,对速度的影响和延迟都没有什么影响,看油管和打VoIP都畅通。
【在 a9 的大作中提到】
: 我的static key还活着
: 我正在写一个走http tunnel的混淆器。
|
|
|
a9
发帖数: 21638 | 181 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
但也有很多说ss都封了的。
我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
https一般都不会保持超长时间连接。
【在 k**********s 的大作中提到】
:
: 混淆器可以先放放,http应该就够了,目前不光是gfw,一些公司里非常严的fw都没问
: 题,只要是容许http,就没有翻不过去的。网管看起来都是普通的http请求和答复。和
: opnvpn搭配,推送和SIP都没问题(socks和proxy就不行),也没有耗电的问题。做好
: 了,对速度的影响和延迟都没有什么影响,看油管和打VoIP都畅通。
|
x*z
发帖数: 1010 | 182 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
1. 国内铁通,美国Comcast
2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
解析域名)
3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
用端口无法链接,如21,22,25之流,最后发现只有443开放
最后SS只能架在IP直连+443上了
【在 a9 的大作中提到】
: 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
: 但也有很多说ss都封了的。
: 我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
: https一般都不会保持超长时间连接。
|
g*****2
发帖数: 863 | 183 这种情况是ip被玩坏了, 大公司的ip就这样,
【在 x*z 的大作中提到】
: 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
: 1. 国内铁通,美国Comcast
: 2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
: 的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
: 解析域名)
: 3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
: 用端口无法链接,如21,22,25之流,最后发现只有443开放
: 最后SS只能架在IP直连+443上了
|
k**********s
发帖数: 6409 | 184
所以我说先不要去加混淆。我理解的“混淆”是在建好http tunnel前和后还要不时加
一些完全普通的跟你的真实目的无关的http访问。
【在 a9 的大作中提到】
: 这个可能各地都不一样。我在阿里云弄了个vps,走static key就行
: 但也有很多说ss都封了的。
: 我做tunnel就是提前准备。用http的问题是gfw检测到长连接会断开,因为像http,
: https一般都不会保持超长时间连接。
|
v*****w
发帖数: 1317 | 185 哈哈哈铁通,长宽,移动,三大中老年内网哇
这三家都是二级宽带,租电信或者联通的端口,自己拿cisco的设备再组的内网。。。
基本除了443之外其他都封(看地方)。努力投诉可能给你个公网IP
【在 x*z 的大作中提到】
: 看来我老也得开始整http tunnel了,顺便说说前一阵给国内架SS的经历
: 1. 国内铁通,美国Comcast
: 2. 国内DNS hijack + white list (用国内DNS server的话,这边注册
: 的正式域名会被重定向到某不知名IP,改通用DNS,如8.8.8.8之流无法
: 解析域名)
: 3. 好吧,用IP直连,端口封禁,所有的非通用端口无法链接,大部分通
: 用端口无法链接,如21,22,25之流,最后发现只有443开放
: 最后SS只能架在IP直连+443上了
|
a9
发帖数: 21638 | 186 不是,我是说通道还是http协议,但内容实际内容加密后模拟的一个mpegts流。
【在 k**********s 的大作中提到】
:
: 所以我说先不要去加混淆。我理解的“混淆”是在建好http tunnel前和后还要不时加
: 一些完全普通的跟你的真实目的无关的http访问。
|
g********0
发帖数: 8 | |
s*********y
发帖数: 615 | 188 有啊,,很多时候看不了国内版权的东西,,不是都需要翻回去嘛?
【在 g********0 的大作中提到】
: 调查一下,大家有没有从海外翻回去的需求?
|
v*****w
发帖数: 1317 | 189 有,正在找类似的付费ss翻回国的。。。
【在 g********0 的大作中提到】
: 调查一下,大家有没有从海外翻回去的需求?
|
b***n
发帖数: 48 | 190 国内稍微可用的服务器价格惊人啊,小水管都不菲。
【在 v*****w 的大作中提到】
: 有,正在找类似的付费ss翻回国的。。。
|
|
|
v*****w
发帖数: 1317 | 191 租服务器太贵了,找私人的
【在 b***n 的大作中提到】
: 国内稍微可用的服务器价格惊人啊,小水管都不菲。
|
g********0
发帖数: 8 | 192 最近我用穿梭App,能够解决大部分的需求,安利一把。。
【在 v*****w 的大作中提到】
: 有,正在找类似的付费ss翻回国的。。。
|
g********0
发帖数: 8 | 193 试试穿梭App。。
最近用得还行。今晚支持国足。哈哈。
【在 s*********y 的大作中提到】
: 有啊,,很多时候看不了国内版权的东西,,不是都需要翻回去嘛?
|
