大家好，我是咸鱼，闲来无事，想跟你们谈点你们最关心的话题，看到标题了吗？

“上网冲浪”

懂意思吗？
咳咳，有些话就不要说的太直了，太直了就没意思了

1.GFW初识

首先，磨刀不误砍材工
在我们准备上手之前，不妨先了解下“GFW”是什么？
具维基资料和建立者的信息，GFW貌似最早起源于1998年，当时在这个时候，GFW就已经开始屏蔽境外新闻网站了，所以说虽然互联网发展的慢，但也足以证明GFW确实空白了一段时间

实际上自从GFW建立起初，它的发展是比较慢的

直到2002，GFW才开始对域名服务器缓存污染

到2005年才开始慢慢屏蔽境外网站

2012年GFW对对Google的泛域名*.google.com进行了大面积的污染，所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问，

2014年中国网站的.com、.net、.org域名解析不正常，网站被错误地解析至65.49.2.178，该IP位于美国北卡罗来纳州的Dynamic Internet Technology，即自由门的开发公司。据推测，可能是操作失误造成的事故

2015年1月2日起，污染方式升级，不再是解析到固定的无效IP，而是随机地指向境外的有效IP。刚开始只是对YouTube视频域名（*.googlevideo.com）进行处理，之后逐渐扩大到大多数被污染的域名。[28]这导致了境外服务器遭受来自中国的DDoS攻击，部分网站因此屏蔽中国IP

实际上GFW是在10年之后才开始发力的，goole首当奇冲的被墙了，其它的大型境外网站也是在goole之后被墙的，像youtube啊，推特啊，fackbook啊，等等。。。

2.封锁方式

关于封锁方式这一点，GFW可谓是无所不用
首先来说最简单粗暴的，也是被用的次数最多的

DNS污染

给运营商提供的DNS服务器进行DNS欺骗
(这里的运营商指的是中国电信，联通，移动...)
说的简单点吧，当你访问一个境外的域名，首先要做就是访问DNS服务器，让它进行域名解析
然而，在你访问网站的时候，你首先得依赖境内的lSP向DNS服务器发送域名解析请求
中国大陆的ISP接受通信管理局的屏蔽网站的指令后在DNS服务器里加入某些特定域名的虚假记录，当使用此DNS服务器的网络用户访问此特定网站时，DNS服务便给出虚假的IP地址，导致访问网站失败，甚至返回ISP运营商提供的出错页面和广告页面

IP地址封锁

IP地址封锁是GFW通过路由器来控制的，在通往国外的最后一个网关上加上一条伪造的路由规则，导致通往某些被屏蔽的网站的所有IP数据包无法到达。路由器的正常工作方式是学习别的路由器广播的路由规则，遇到符合已知的IP转发规则的数据包，则按已经规则发送，遇到未知规则IP的数据，则转发到上一级网关。

而GFW对于境外(中国大陆以外)的XX网站会采取独立IP封锁技术。然而部分XX网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务，这就会造成了封禁某个IP地址，就会造成所有使用该服务提供商服务的其它使用相同IP地址服务器的网站用户一同遭殃，就算是正常的网站，也不能幸免。其中的内容可能并无不当之处，但也不能在中国大陆正常访问。现在GFW通常会将包含XX信息的网站或网页的URL加入关键字过滤系统，并可以防止民众透过普通海外HTTP代理服务器进行访问。

TCP连接重置

TCP重置是TCP的一种消息，用于重置连接。一般来说，例如服务器端在没有客户端请求的端口或者其它连接信息不符时，系统的TCP协议栈就会给客户端回复一个RESET通知消息，可见RESET功能本来用于应对例如服务器意外重启等情况。防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息，使连接双方认为对方终止了连接而自行关闭连接

中间人攻击

中间人攻击，相信这个大家并不陌生，不过其实上这并不算什么太带“正义”风格的事，不过还是被运用到GFW上了，典型的例子是2014年8月28日起，原先可以通过IPv6直连Google的中国教育网（CERNET）内试图通过https连接google.com等网页时，可能收到SSL证书错误的提示，其中以连接www.google.com.hk几乎是每次连接均收到攻击，而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告，但攻击发生的几率相对较低。伪造的SSL证书显示其为google.com，颁发机构即为其本身，与真正的证书不同，显示谷歌在中国教育网上受到中间人攻击（MITM attack）

端口封禁

这里说到重点了，也是各位网友经常碰到一个问题，
当然，曾经这个技术只是被用来对付谷歌，直接对80和443端口进行封禁，让谷歌变成了404网站
现在这个技术被用于到SS和SSR等加密传输工具上
最典型的例子，就是你正高兴的“上网冲浪”的时候，突然访问不了了，软件显示正反两向均为0KB，然后你重新换了一个端口，它就又好了...

深度包检测

这同时也是用来针对，你们这些不老实的“冲浪人”的
主要表现为流量分析和数据挖掘，通过这个技术，GFW可以精准的分析，在哪个国际的流量线路里存在异常流量，并对其目标IP进行“精准打击”

分布式拒绝服务（DDOS）

你也从来没想过GFW为了阻止你上外网，连DDOS都搬出来了吧，关于DDOS，我相信大家都明白它的性质有多恶劣，DDOS的形式，典型的为UDP洪水，简单来说就一台网络主机没有目标的向指定IP地址持续发送UDP包，这样的攻击叫做DOS，DDOS就是操作多台主机，这些主机也可以是“肉鸡”，向一个IP持续发送UDP包，从而导致目标服务器流量堵塞，宕机等，DDOS还有其他的表现形式，如HTTP耗尽，NTP放大攻击等，这里我就不细说了

**共和国从2015年3月开始，使用一种被称为“大炮”的网络攻击攻击方案，对可能涉及违反审查要求的特定网站，进行分布式拒绝服务攻击（DDoS）

其中2015年3月针对Github的攻击，通过包括劫持常见的网站工具脚本植入攻击代码、一些常见浏览器漏洞等方法，持续五天对Github网站进行攻击，导致网站全球访问速度缓慢

其中DNS欺骗也被用于DDOS攻击，通过欺骗DNS将你的访问解析到某个合法的境外网站，然后就以另一种形式变成了CC攻击...

这也是为什么大量境外网站除了被墙之外，还禁止中国IP访问它们站点的原因...

解决方案

当然，任何事物都有对立面，GFW也不例外，你以外中国网民就只会坐以待毙？
那你可就想的太简单了...

VPN

先说说从GFW发展到现在还存在的“古老”的解决方案
同时，它也是被广泛大众所认可的
它的名字叫做“VPN”
VPN同时也叫做“私人虚拟专用网”
VPN的原理简单来说，就是你会透过VPN伺服器去连上网路，而VPN服务器可以是任何地方“任何形式”，你时常会在某些广告下看见
**VPN，“高级线路，快速上网之类的”

但是你真的懂VPN吗？
VPN一般使用加密穿隧协议，常见的VPN协议有

• PPTP
• L2TP
• IPsec
• SSL VPN
• WireGuard
• OpenVPN
• IKEv2
  等等,其中PPTP是最常用一个协议，这个协议最早由微软等厂商主导开发，但事实证明此协议存在严重漏洞，并且是“不安全”的，不过虽然VPN的部分协议存在漏洞，但是依然有不少“机场老板”坚持使用VPN，你知道是为什么吗？

答案是因为，VPN本身更贴近底层代理，能够实现真正意义上的“硬件转发”，从而使你的网络“轻松”实现全局代理

shadowsocks

接下来要介绍的同样是大名鼎鼎的，贯穿整个“封锁时代”的工具，shadowsocks！

它的源作者是Clowwindy
（在这里感谢他本人以及他团队为“上网冲浪”做出的贡献）

它的简称叫做“SS”，原理也很简单
就是首先通过你的本地网络加密，然后发送出加密的索取包，GFW由于无法识别，只得将你的索取包发送给代理服务器，而代理服务器进行解密后后，算出你所需要的“真正内容”然后向目标地址发送索取包，回到代理服务器，进行二次加密后发送给你，过GFW时，由于无法识别，再次放行，你的本地网络收到数据包后经“SS”解密后算出明文，并将界面显示在你的浏览器上，至此“SS”帮你完成了一整套的代理上网需求

shadowsocks的目的，简单粗暴，它仿佛从一开始就是为了“解决问题”而存在的

然而坏消息是...
2017年9月21日，一篇名为《The Random Forest based Detection of Shadowsock's Traffic》的论文在IEEE发表，该论文介绍了通过随机森林算法检测Shadowsocks流量的方法，并自称可达到85％的检测精度，虽然该论文的有效性遭到网友质疑。使用机器学习来识别网络流量特征的做法被认为是可行的，而且还适用于任何网络代理协议而不仅仅局限Shadowsocks。

接着...
它在18年6月份被申请了专利....

貌似最近的5月份，又爆出某大学两教授彻底破解了
“Shadowsocks”

你说，这该是有多无聊啊.... -_-||
咳咳，总之目前不再推荐使用“SS”
虽然至今21年，距离发布时间以有9年时间，“SS”依然在更新，就是不清楚是否还是原作者在更新
（寿命是真的长）

ShadowsocksR

ShadowsocksR（简称SSR）是网名为breakwa11的用户发起的Shadowsocks分支，在Shadowsocks的基础上增加了一些资料混淆方式，称修复了部分安全问题并可以提高QoS优先级

不过可惜的是SSR的作者就没那么“幸运”了...

2017年7月19日，ShadowsocksR作者breakwa11在Telegram频道ShadowsocksR news里转发了深圳市启用SS协议检测的消息并被大量用户转发，引发恐慌。7月24日，breakwa11发布了闭源的SS被动检测程序，引发争议。7月27日，breakwa11遭到自称“ESU.TV”（恶俗TV）的不明身份人士人身攻击，对方宣称如果不停止开发并阻止用户讨论此事件将发布更多包含个人隐私的资料，随后breakwa11表示遭到对方人肉搜索并公开个人资料的是无关人士，为了防止对方继续伤害无关人士，breakwa11将删除GitHub上的所有代码、解散相关交流群组，停止ShadowsocksR项目。但项目已被多人fork，并有人在其基础上继续发布新的版本，例如较为知名的SSRR

SSR的存在，总得来说就是为了补足“SS”的不足而存在的，并且正是因为它的存在，另类化的推动了，我国的
“上网冲浪”行为

相比“SS”，“SSR”拥有更好的安全性，和更好的性能，
时至如今，它的安全性依然还是“可以的”，并且有不少机场依然在使用它，例如某boom...

当然由于“SS”被检测
“SSR”自然也是免不了受到一些牵连
所以，还是建议想清楚再动手...

V2ray

回到现在，目前最热门的当属“V2ray”

V2Ray（也简称V2），是Victoria Raymond以及其社群团队开发的Project V下的一个工具。Project V是一个工具集合，号称可以帮助其使用者打造专属的基础通信网络。Project V的核心工具称为V2Ray，其主要负责网络协议和功能的实现，与其它Project V通信。V2Ray可以单独运行，也可以和其它工具配合，以提供简便的操作流程

V2ray的运行原理与其它大多的代理工具是差不多的，不过“V2ray”拥有极强的扩展性，且支持多种代理模式

• TCP
• UDP
• KCP
• WS+TLS

等等，还有太多了，并且V2ray还支持动态端口，也就是随机的变换端口来防止GFW的检测，并且V2ray本身也是个载体，它支持在有V2ray的基础上，再直接安装“SSR”，并且互不干扰qwq

之就很有趣了...
更加有趣的是，V2ray居然也被申请了专利？
当然，是识别专利...

2019年3月25日北京大学某教授两学生申请名为“基于长短期记忆网络的V2ray流量识别方法”的专利

V2Ray项目组表示，专利并不会保证方法的有效性，专利仅仅是保护方法本身。其次，该专利的描述存在一些问题...

意思也就是说，你申请这个专利只是占着茅坑不拉*罢了，并不会对V2ray本身的使用造成多大影响

V2最重要的一点是支持了TLS加密，也就是走443端口的流量加密，通过这种形式，你能直接把“非法流量”伪造成合法的TLS流量，并通过443端口发出
不过值得一说的是，V2ray本身自带流量加密，所有流量会被VMess再加密一遍，也就相当于被加密了两遍...

WS+TLS+VMess 曾被誉为是最安全的“科学上网”办法，事实证明，它真的很有效，只是加解密之间，导致了较为严重的性能浪费...

所以...

TroJan

V2ray的接班人来了
它的名字叫“Trojan”,翻译:特洛伊木马
也不能说是接班人吧，不过他的性能确实比V2ray要更好

Trojan在github上的完整名字是Trojan-GFW
说白了，就是为了针对GFW而来，那Trojan究竟有怎样的实力呢？

首先，它走了与其它所有“科学上网”的工具截然不同的路，其它的工具都是不断的加密和混淆流量，让GFW无法识别，从而绕过GFW，而Trojan走的路却是恰恰相反的，它伪造成最常见的HTTPS流量，让GFW认为它就是HTTPS流量

？？？
V2ray不是也可以伪造HTTPS吗？

确实，V2ray也能伪造HTTPS，只不过V2ray使用自带的VMess再加密了一遍，导致性能并不是很理想

而Trojan只走TLS加密一遍，并且走443端口模拟最常见的HTTPS流量，相比V2ray最大的不同，Trojan支持反检测GFW的嗅探，如果目标走443端口并且与Trojan握手成功，那么它接下所有的流量都会被加密，否则就断开连接

Trojan最大限度的模拟了一个正常网站所有的特点，并且拥有了Nginx的部分特性，就算你真的去访问这个域名，你也会被跳转到一个正常的网页

并且由于是TLS流量，Trojan可以利用上HTTP2和一些针对HTTPS流量的优化，来最大幅度的强化性能

废话说太多也没用，好不好用，用过才知道，目前经过我的测试情况来看，Trojan确实足够安全，并且拥有非常优秀的网页和数据包转发性能qwq

如何看待GFW?

GFW从很早以前就开始存在了，它起步于中国互联网刚开始发展的时候，只能说生在00后的年轻人，可能因为GFW的存在，连外网长什么样都不知道,但...

这些“不存在的网站”它们的确存在，并且宣传着它们的价值观，相比**的有意引导，外网更像是一扇通往真实世界的大门，外面的人们可以“自由发言”，不会受到任何拘束,所以你在百度上找不到的“答案”...

可能并不是因为它不存在，而是因为你还没有拨开迷雾，去寻找“真实世界”的大门

当然GFW的存在也是有一定的好处的，它防止了一些性格单纯，头脑简单的人，因为不小心点入某个网页而“误入歧途”，同时它也隐藏一些本不该存在的“客观事实”

只能说GFW是一把双刃剑，有利有弊，它更像是一扇横在你与事实和虚拟之间的大门，你虽总想知道门外的世界是什么样的，却也同时害怕过大的信息量会把你淹没....

最后

非常感谢你能看到这里qwq
本篇文章码字时间多达3个多小时
部分文献参考维基，图片来自Google等
这次是真纯干货加上个人见解，最大限度的为你诠释了“GFW”这个看不见的墙，它真实的作用和它的发展史等

并且介绍了目前主流的“上网冲浪”的工具,希望你看到最后能对你有所帮助(๑•̀ㅂ•́)و✧

之后会补齐这些工具的客户端，但...

因为一些原因，我可能不会光明正大的在这里讲它们的“具体用法”，总而言之，有头脑的人才适合去看清“真实世界”，不然就算给了你一把通往门外的梯子，你也还是可能会“迷失方向”...

有些时候，做一个永远也做不完的梦不是挺好吗？
为什么要醒来呢？...

我是咸鱼，我们下期再见qwq