Total Pageviews

Sunday, 6 August 2017

“翻墙”攻防战:举国围剿下,VPN 真的可以被干掉吗?


围绕防火长城展开的“砌墙”、“拆墙”技术多年来一直不断博弈,但当技术解决不了燃眉之急时,简单粗暴的行政手段才是最终的“大杀器”。

“墙”可以随时屏蔽特定的域名和服务器 IP 地址,封锁住所有被当局认为“不友好”的内容,透过这堵墙,当局完全可以控制绝大多数大陆网民所能获取的信息。 摄:Cancan Chu/Getty Images
“墙”可以随时屏蔽特定的域名和服务器 IP 地址,封锁住所有被当局认为“不友好”的内容,透过这堵墙,当局完全可以控制绝大多数大陆网民所能获取的信息。

“不如我们先暂停新用户注册吧?最近风声太紧了,各种人心惶惶。”老 A 在群里说道。
老 A 是一家“翻墙”服务提供商的老板,团队一共四个人,提供自己开发的“翻墙”应用,“翻墙”服务器遍布香港、美国、日本、新加坡等地。
他们的翻墙业务已经低调运营了三年,目前还没有成立公司,也没有做任何宣传,只用 QQ 做客户服务,拓展用户就靠口耳相传。团队收款使用的是支付宝和微信,收款人就是老 A 的个人账户。
最近,他们感到三年来从未有的压力。
6月22日,拥有大量用户的 GreenVPN 在网站发出公告,称接到上级主管部门通知,将从7月1日起停止服务。7月之后,则传出了更多 VPN 服务商停止运营的消息,与此同时,“翻墙”软件开发者遭遇警察上门执法,“翻墙”用户被强制断网的消息也不断传来。
2017年7月29日,苹果公司通知各VPN app开发者,因涉及本地法律法规,即日起所有VPN app将从苹果的中国区App Store下架。
7月29日,在监管部门的要求下,苹果公司在中国区 App Store 下架了多款 VPN 应用。摄:Laurent Fievet/AFP/Getty Images
7月29日,在监管部门的要求下,苹果公司在中国区 App Store 下架了包括 Express VPN、Shadowrocket 等在内的多款 VPN 应用,理由是这些应用违法了中国的法律法规;而由光环新网运营的中国区亚马逊云计算业务 AWS,也在上周末发邮件给客户,称根据电信法律法规、工业和信息化部、公安部等网监部门的指令,要求客户自查、清理各类翻墙工具和推介翻墙工具的广告内容。
虽面对监管部门的围剿,团队成员小王却舍不得在这时候放弃,他在群里回应老 A:“GreenVPN 已经挂了,好多 VPN 都不能用,最近正是我们用户增长的好时机呢……”
“真有点怕了,现在是敏感时期,他们想要找到我太容易了。”老 A 回应道。他最终还是暂停了新用户注册通道。忧心忡忡的他,只是众多想把“翻墙”——这个中国大陆网民“刚需”做成商业产品的技术人的缩影。

翻墙术的演进:从代理服务器到 Shadowsocks


“墙”可以随时屏蔽特定的域名和服务器 IP 地址,封锁住所有被当局认为“不友好”的内容,透过这堵“墙”,中国当局完全可以控制绝大多数网民所能获取的信息。
从工作原理上说,“墙”就像一个邪恶的邮差,只要看到你的信封上写上 Google 或 Facebook 等网站的地址,就会直接将信件丢弃。
但借助一台位于境外的代理服务器作为跳板,人们仍然可以绕过“墙”,去访问到想去的地方。就好像你将一封希望寄给 Google 的信,先寄给一位认识好邮差的朋友,再由他帮你转寄给 Google。

然而道高一尺、“墙”高一丈,关键字阻断技术,让“墙”可以阅读到你所访问的网站内容,即使你的网络连接是经过了第三者的中转,但只要你的去信或对 方的回信里有敏感内容,就会遭到 TCP 连接重置。这时候,“墙”就如一名信息审查员,拆开你的信件,只要发现你提到敏感信息,便将你的信丢弃。
这时候,VPN(虚拟专用网络)作为一种绕开审查员的解决方案流行起来。VPN原本是为了解决企业内网和外网通信的问题,让在外出差的雇员也可以安 全访问到公司办公室的电脑。但 VPN 却意外地解决了翻“墙”的难题:它可以加密你的连接,让“墙”读不懂你的信件,无法分析出你正在访问的内容。这时候,一台位于境外的 VPN 服务器,就可以安全地为你中转网络访问的请求。
在政府资金的支持下,“砌墙”者们不断研究 VPN 的弱点。他们发现企业常用的几种 VPN 协议,如 IPSec、L2TP/IPSec 和 PPTP 都有一些显著的特征,例如经常使用某些特定的端口,或是特定的加密连接建立过程,进而能识别出你是在进行 VPN 连接。这就好比“墙”虽然看不懂你的信件,但能从你信件内容中经常使用的笔迹和标点符号出现频率,分析出你的真实意图。随着“墙”迭代升级,愈来愈多的 VPN 特性被识别出,很多 VPN 也就无法连接或异常缓慢了。
人们对于网络信息自由有着无限的渴求,即使没有任何资金的赞助,开发者们总想与“墙”斗智斗勇,就当大家为 VPN 被“降伏”而沮丧时,Shadowsocks 横空出世了。
Shadowsocks 是一种为翻墙而生的技术。和 VPN 一样,它也会对用户的网络访问流量进行加密。但不同的是,VPN 作为一种被广泛采用的技术,已经内置在各种操作系统中,企业用户通过一系列配置即可将外部设备接入内网,这种配置有章可循,防火长城识别起来较为容易。而 Shadowsocks 用户可以选择不同的加密算法,服务端和客户端可以约定任何一个随机端口,每一个使用 Shadowsocks 的人,流量特征都不同,这使得“墙”对于它的识别探测和封锁,都变得更加困难。
Shadowsocks 的最大特点就是没有特征,服务端和客户端可以约定任何一个随机端口,任何一种加密方式,这使得对于它的识别探测和封锁都变得更加困难。
Shadowsocks 的最大特点就是没有特征,服务端和客户端可以约定任何一个随机端口,任何一种加密方式,这使得对于它的识别探测和封锁都变得更加困难。摄:Stanley Leung/端传媒
Shadowsocks 是一个开源项目,即使在原作者迫于当局压力删除了 GitHub 上公开代码的情况下,ShadowsocksR、 V2Ray 等众多分支也在其他开发者的维护下持续发展和演进。
授人以鱼不如授人以渔。随著使用者的普及,Shadowsocks 服务的搭建变得愈来愈简单,网络上的教程可以让一个普通互联网用户快速设立起属于自己的翻墙服务,而不必担心第三方的服务突然失效。
基于 Shadowsocks 的翻墙服务商开始不断涌现,由个人运营的翻墙服务也迅猛发展起来,不少企业也都开始使用这一技术进行翻墙。
而这一切,当局也都在密切地关注着。
技术解决不了,就解决“麻烦制造者”

从iOS 8 系统开始,苹果就开放了 VPN 相关的 API 编程接口,使得第三方开发者也可以实现私有专属加密协议的 VPN 应用开发。此后支持 Shadowsocks 等协议的翻墙应用如雨后春笋般出现。用户仅需安装和打开应用,就可以连接“翻墙”,如此简单的操作大大降低了普通用户翻墙的难度,老 A 的应用也是在那个时候上线的。
然而在今年1月22日,中国工信部公布了《关于清理规范互联网网络接入服务市场的通知》, 规定“未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建 立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。”并决定当日起至明年3月31日,在 全国范围内对互联网网络接入服务市场开展清理工作。
6月1日,备受争议的《网络安全法》正式实施,它赋予了监管部门极大的职权、强化了网络运营商的责任和义务,又要求对个人用户实行严格的实名制,从三方面入手,建构了一个无所逃遁的天罗地网。
7月开始,翻墙软件开发者和使用者被警方骚扰的消息不断传出。“网际飞梭”作者在 Twitter 上分享了自己被抓原因及过程,称警方通过他在应用页面留下的客服QQ查到自己IP进行定位,之后上门执法,强硬要求他将软件下架,最终他不得不同意。他其后也发文表示,以后也不会再上架“网际飞梭”,“相逢有时,后会无期。”
而在深圳,有用户因经常翻墙被警方定位,随后被断网,而恢复网络服务的条件,则是要求他写下保证书,保证自己再不翻墙……
防火长城仍在不断迭代升级,运用大数据、人工智能等新技术对翻墙软件进行封杀;与此同时,它又借助强大的国家机器,从源头上消灭翻墙业者,制造恐怖,最终令渴望翻墙的用户没有工具可用。
技术难以解决的问题,就用专政的手段去解决。授人以鱼的翻墙服务商被抓,授人以渔的开发者也被消失了。
当技术解决不了燃眉之急时,简单粗暴的行政手段才是最终的“大杀器”。摄:Michael Robinson Chavez/The Washington Post via Getty Images
“要绝对安全,只有两条路:一个是不做中文版,包装成类似 ExpressVPN 这样的海外公司;另一个……”老 A 在群里提出了自己的应对办法,“我前天见了一个朋友,他说他认识工信部的人,可以帮我申请 VPN 销售许可证。这样就可以彻底洗白了。”
“申请这个资质是有要求的吧?”小王问道。
“肯定要按官方要求,记录用户身份,保留用户日志,到时候上面如果查下来,要什么数据就给他们。”老 A 说道:“其实没几个用户在意隐私的,他们只要能翻墙就行了。而只要有人用,我们就有钱赚……”
在炎夏的酷暑中,让人不禁感受到了阵阵寒意。

来自https://theinitium.com/article/20170803-mainland-vpn/

No comments:

Post a Comment

Note: only a member of this blog may post a comment.