墙与翻墙原理

墙原理

GFW(great fire wall),封锁机制非常复杂,涉及到流量头、特征、IP、端口、数据量大小和长短、TCP 长连接的时长、被动监听、主动嗅探、人工干预

常见封锁方式

  • DNS 污染,解析错误地址或者不解析
  • 过滤关键字
  • 端口阻断
  • IP 地址批量封锁

翻墙原理

VPN

  • 本地计算机发出一个数据包,该数据包作用是请求建立加密通道
  • GFW 发现该目标是允许访问的地址,所以放行,允许建立加密通道
  • 本地计算机再发出一个代理请求,到达远程服务器
  • 远程服务器解密数据,发送到目标地址
  • 目标地址把响应数据,发给远程服务器,再经过 GFW,再发给本地计算机

特征

  • 先发送一个请求建立加密链接的数据包
  • 紧跟着发送一个代理请求

屏蔽

  • 屏蔽 VPN 通讯端口,政企用户需要申报审核,个人用户无法使用
  • 提供 VPN 服务的服务器 IP 地址批量被封

shadowsocks

  • 本地计算机发出一个数据包,给本地 ss 服务器(ss 客户端、路由器等)发送一个加密请求
  • 发送加密数据,到达 GFW,经过 DNS 解析,因为 GFW 探测不到具有明显特征的流量,所以放行,到达远程 ss 服务器
  • 远程 ss 服务器解密请求数据,发送到目标地址,得到目标响应
  • 远程 ss 服务器加密响应数据,发送到 GFW,同样因为探测不到明显特征的流量,也不是明文数据,所以放行
  • 到达本地 ss 服务器,然后解密,再发送到本地计算机

全局模式

指的是代表作为翻墙软件本身所接管道的流量,如果翻墙软件的权限不够,或者某些应用不遵守系统代理规则,就算打开了全局模式也没用

协议优缺点

纠结协议安全不如纠结特征,纠结特征不如纠结使用方法和服务器供应商

ss

因为机制问题,目前还是体验最好、最简单粗暴、最快速、拥有最快的 RTT(通讯延迟)的方式

ssr

ss 优化版,并非同一个作者开发

v2ray

是个极具弹性的平台,支持的协议和算法多,机制和花样多,vmess+websocket+tls 是目前最稳定的方式之一

trojan

不支持代理,与 v2ray 区别不大,解决了 v2ray 的缺点

  • 解决了部署难度大,定死了协议只有一种 websocket+tls
  • 剥离了 vmess
Last Updated:
Contributors: zhangfei