《TO》導讀:之前我們分享過〈又封殺!中國網路封鎖的萬里長城再添一磚:Gmail〉,裡面談到當時中國政府突如其來的封網措施;儘管之後又開放了,但這一系列的舉動被分析為「中國政府欲顯示他們更加強大的科技能力」,也就是他們封鎖、網管的能力又升級了。
這次《環球時報》報導:中國又開始升級他們的網路封鎖長城了,而這次他們的升級將遮蔽中國網友常使用的國外 VPN 服務。也因此,近來有十分多中國網友發現他們「翻不了牆了」。
話是這樣說,但道高一尺、魔高一丈,但身邊不少中國好友們牆還是照樣翻、國外網站照樣刷;中國政府搞這麼多「花招」,似乎沒有什麼成效,只是更加彰顯「不管道路再難」中國網民們追求外面世界的決心。
不過今天,我們先來看看在中國 VPN 服務連不上的可能原因。
《環球時報》英文版在近日發文稱,多家國外 VPN 服務商向用戶發出通知,由於 IP 地址屏蔽等原因,在中國將無法使用其提供的 VPN 服務。文中還稱,中國工信部此前曾有規定,在國內提供 VPN 服務的公司必須註冊登記,未登記的公司將不受國內法律保護。
作為一項互聯網基礎協議,VPN 在公用網絡中承擔著「虛擬專用線路」的作用,是世界上大多數跨地區的商業公司、學術機構、政府單位內部相互連接的不二之選。這項服務如果失效,造成的經濟、政治損失將無以估量。
不過,由於協議開放性和互聯網基礎設施的不牢靠性,總有許多方法可以短暫或長期的阻礙它。比如最近那幾家發通知的服務商 Astrill、Tech Runo 等,不就是因為 IP 遭屏幕嘛。網上有不少相關分析,《雷鋒網》將在這篇文章中匯總,告訴大家 「一 個 VPN 服務是如何失效的」。
- 原因一:DNS 污染
DNS 污染(域名伺服器快取;又稱域名伺服器投毒)是針對那些低水平或經過異化的 VPN 服務。通常來說,一個正常的 VPN 服務應該都會集成 DNS 服務的,這樣所有上網的請求都是在服務器上進行。不過一些低質的 VPN 沒有集成,那麼 DNS 解析就需要在本機上進行。這時,如果本機的運營商網絡中,DNS 服務被污染,你的 VPN 自然形同於無。
而在中國還有一種中轉形式的 VPN 服務非常常見,它們的上網流程是這樣「本機——國內服務器——海外服務器——網站」。這個過程中,第一步、第二步都很容易受 DSN 污染影響,原理和前邊的低質 VPN 一致。
- 原因二:流量特徵分析
可能大家經常會發現,使用 VPN 服務時,並不是那麼穩定,有時能連、有時不能連;或者需要用非常奇怪的端口;或者還需要安裝客戶端等等。這可能是因為你的 VPN 服務被一種名為「流量特徵分析」的技術發現(專業的使法,叫做深度數據包檢測)。
在比特空間裡,所有的流量都帶有特徵,比如用什麼協議傳輸、用什麼協議加密,都會加上一定的識別比特。VPN 也不例外,無論是明文的 PPTP 還是密文的 L2TP、SSL VPN,其識別特徵總是一定的。
很容易可以總結出一些規律,80 端口是明文或證書的,433 端口是 SSL 的,隨機端口可能是軟件,小流量是私人用,大流量就是公司或團隊服務。通過這些規律,可以很容易發現那些「不正規」的 VPN 服務,然後直接屏蔽 IP 和 DNS 解析,沒法用了。
- 原因三:內容分析
有時你可能還會發現,即使一個小流量、非標準端口的 VPN 服務也並不穩定。如果這個 VPN 是 PPTP 形式的,那麼很可能是在前邊的特徵分析後,對數據包進行了拆包,將裡邊傳輸的內容拎出來單獨分析。
SSL VPN 也未必可靠,在 NSA 的棱鏡計劃就已經曝光,SSL 加密被破解,相關傳輸內容也可單獨拎出來做分析。
再往高了走,那些技術都不是用來大規模利用的,所以對於小型或個人 VPN 服務來說不太需要去在意。
這篇介紹並不全面,因為很多都是不太好寫的。當然,大家有興趣,可以在評論中交流。
(本文轉載自合作夥伴《雷鋒網》;圖片來源:ellispotter,CC Licensed;未經授權,不得轉載)
今日平仓大减价: www.freepromotoday.com
