Internet科学上网

更新: 2025/2/24 字数: 0 字时长: 0 分钟

作为一名上网冲浪的技术爱好者，写本篇文章在于纯技术分析，无任何不良商业目的，旨在提高大家的网络安全意识，共同维护网络安全环境！请不要做任何有损国家或其他集体或个人的事情，否者后果自负！

必读事项

国家防火墙

全世界所有国家的网络都是基于同一套Internet框架建立的，任何国家的网络都是可以互联互通的，因此我们可以通过互联网访问到国外的网站。

在08年时基于一场政治事件，国家针对国内的互联网建立了一套”网络审查制度”，国内的所有网站都必须强制配合国家的直接干预，比如自我审查、自我监管甚至关闭。在这个制度下诞生了“中国国家防火墙”，也叫“长城防火墙“，英文名称为The Great Firewall of China（以下简称GFW），其主要作用在于监控、分析和过滤网络上的境外通讯访问，对不符合中国官方要求的传输内容进行干扰、阻断、屏蔽。

国家部署了GFW就禁止了不愿意配合的外国公司在中国开展业务，于是Meta（Facebook）、Google的Youtube、GMail等等一系列服务都被禁了，同期被陆陆续续封锁的还有Twitter等一些大型的服务提供商。随着网络审查制度的完善和GFW规范化，一些本不涉及到政治和国民安全的互联网服务，比如Pornhub成人网站等也都被封了，所以现在无法访问的外国网站和服务，其实在08年以前是可以正常使用的。需要注意的是，GFW并非封锁了所有的国际流量，那是因为超过99%的通信流量都是正常的需求，比如说做外贸的小微企业买不起专线，不能不让他们做海外生意了吧，又比如顶级的学术研究是一定要查看Google Scholar和各大国际一流期刊的，不能不让搞科研的人看国际最前沿的资讯来闭门造车吧。如果把所有的国际流量都封锁掉，那中国的网络就成了一座“网络孤岛”，也就是真正意义上的局域网了，也相当于将自己从互联网地图上抹掉了。

非法翻墙行为

**翻墙，又称“破网”，指的是通过突破IP封锁、内容过滤、域名劫持、流量限制等技术手段来规避GFW监管，非法访问被国家禁止的境外网站的行为。**好多人认为“只要我没有搭建翻墙服务，没有用来盈利就不违法，不去境外网站发表不当言论就不违法。”这个观念是完全错误的！如果是学习、工作原因，违规“翻墙”去查阅资料这个犯法吗？答案是肯定的！也就是说，只要你在国内使用翻墙软件，不管你的目的是什么，学英语也好、查资料也罢，绕开我国的法律管制浏览境外服务器相关网页内容的行为都属于违法行为！法律已经明文规定！！！

●《刑法》第二百八十五条规定：提供侵入、非法控制计算机信息系统程序、工具，情节严重的，会处以三年以下有期徒刑或者拘役，并处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

●《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条：计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。

●《中华人民共和国计算机信息网络国际联网管理暂行规定》第十四条：违反本规定第六条规定的，由公安机关责令停止联网，给予警告，可以并处15000元以下的罚款；有违法所得的，没收违法所得。

睁一眼闭一眼

GFW的主要目的依然是过滤国外反动信息、维护国家统一稳定，如果Meta（Facebook）和Google这样的国际互联网巨头依然不配合审查，那么国家在大方向上把翻墙归为违法，这个指导思想不太会有太多的变化。

从严格的法律角度上来说，翻墙访问被禁止的网页或者服务涉嫌违法，违法行为如何处罚要根据具体的情节和危害程度来定。一般而言对于绝大多数翻墙用户来说，如果只是浏览信息并没有散布行为，一般不予处罚。但如果你散布传播政治敏感信息、参与恐怖主义、贩卖教授翻墙工具、提供翻墙服务，那么你相当于扩大了翻墙的圈子，给更多你无法掌控行为的人通过翻墙触及法律的可能，这个潜在的危害是你无法想象的，这个就一定是犯罪并且一定会承担法律责任。再说明白点，你翻墙看看国外的信息，要懂得约束自己，行为低调点问题不大，但是请不要触碰危害到国家利益的底线，拒绝讨论和散布有关邪教和敏感的政治话题。

目前由于掌握翻墙并且行为完全无害的用户基数太过于庞大了，即便GFW完全有能力降低探测标准来更大面积的更有效率的封杀代理服务器，也没办法非黑即白的一棍子全部打死，因为往往会造成更大的社会问题，致使理论上的法律条文规定和具体司法实践中还是会有很大的差异，如果严格的执法，执法成本会高到现实无法承受。虽然国家对于翻墙的态度有了一些暖昧的转变，但还是在不断的加高和优化GFW的探测和封锁机制，就形成一种GFW和翻墙工具持续博弈的状态，双方都在对抗中不断的进化，这在某种程度上来讲是挺高明的一件事，虽然说你无害的翻墙我懒得管你，但是你还是要想办法突破我给你设的这么一道坎，给你设置一道坎的意义在于，筛选掉了很多从受教育程度和综合素质都比较底层的民众，这些人往往容易被反动势力带节奏和忽悠，所以干脆就别出门乱溜达添乱了，而老老实在家呆着吧，能翻墙出去的人往往相对素质较高，受教育程度也普遍高于平均水平，这些人放出去也不用太担心会被西方媒体带节奏或者是参与恐怖袭击。

转述一段网安部朋友给的一些建议：首先即便是在公安机关的网监部门，也不是随随便便就能拿到你详细的个人信息的，权限比较高的一些执法人员会有专业的工具获取到你的公共信息，个人隐私的敏感信息依然是看不到的，行为没有造成危害和严重后果的翻墙用户一般不会被立案侦查，即便是在某些极端情况下需要你配合调查，最开始也会通过电话的方式跟你取得沟通先，根据具体情况给予口头警告或者是批评教育或者让你删除言论或者是视频，在没有立案的情况下是没有权利上门搜查的，如果真的有公安人员上门，没有搜查令你是可以拒绝让他们进门的，一定要注意保护自己，他们拍照录像，你也可以拍照录像然后去监督机关那里举报，对于一般没有危害的翻墙民众来说，轻易不会上这个所谓的名单来重点监控，然而对造成危害和产生严重后果的，已经构成违法犯罪事实的翻墙行为，除了公安机关立案侦查，国家安全局的调查人员理论上是可以获取你一切的信息，并且这个时候往往你早就已经上了名单被重点监测了。

线路情况

运营商线路

中国互联网有四大运营商分别是中国电信、中国移动、中国联通、中国广电，它们分别都拥有自己的骨干网络。

**中国电信运营有两个主要的骨干网，分别为163骨干网（AS4134）和CN2精品网（AS4809）。**163骨干网是中国电信建设的最早的一个网络，它为超过1亿的中国电信用户提供互联网服务，在国内之间互相访问基本上不存在性能瓶颈，只有在国际出口才会发生拥堵。据统计，在中国电信的总网络连接中，163骨干网承担了85%的网络流量，其余的15%流量，由CN2网络承担；
**中国联通有两个具有国际出口的骨干网，分别是CHINA169民用网（AS4837）和政企工业网（俗称A网，AS9929）。**相比于电信来说，联通有着全国第二的总体出国流量，以及较少的用户量，所以联通的国际网络负载一直是比较轻的。
**中国移动运营有三张骨干网，面向大陆的CMNET，面向香港的CMHK和面向国际的CMI。**中国移动在国内经过的绝大部分流量均由AS9808网络承载，旧铁通的AS9314网络几乎已被放弃。
**中国广电在2018年的时候获批骨干网运营资质，启动全国骨干网建设，并将其命名为CBNNET。**2019年，广电骨干网已经与中国电信的骨干网进行了互联互通。

1676524243157802

出国线路

**CN1线路，ChinaNet Assess（AS4134），也就是上面讲的电信的163骨干网，是需要访问中国大陆互联网资源的全球客户最具成本效益的选择。它由于中国不同电信运营商的广泛互连提供支持。它拥有中国最大的带宽，最多的用户和最广泛的覆盖范围。**163网络骨干节点全部都以202.97开头，因为用的人多，并且优化程度低，因此在出国线路上比较拥堵，速度较慢，尤其是在晚上出口高峰期间，丢包率可能比较高。

CN2线路， Chinatelecom Next Carrier Network 的缩写（ICNCN），意思就是中国电信下一代承载网络，搭载了先进的QoS技术，相比我们现在用的163骨干网更加的通畅，由于价格高，个人用户很少，主要面向政企大客户，来保证高质量的国际访问。

CN2的线路包括两种类型，分别是CN2GT【Global Transit】和CN2GIA【Global Internet Access】。其中CN2GT属于CN2线路中的等级比较低，因此价格也相对便宜，它没有专门的独立线路，也就是你的流量出国之前一般还是走202.97节点(163骨干网)，出国之后才会走59.43节点(CN2线路)，回国后的流量走的还是202.97节点(163骨干网)，因此出国线路的拥堵程度比较一般，但是相比于传统163骨干网依然有不少的提升。CN2GIA是目前CN2中最昂贵最高端的产品，在CN2中的等级最高，它有专门的独立线路，出国和回国路线中全部走59.43节点(CN2线路)，全程没有202.97节点(163骨干网)，因此线路表现最好、最稳定、最通畅，很少出现拥堵的情况，即使是晚高峰表现也很好。
**“QoS技术”全称是 Quality of Service 的缩写，意思就是服务质量，它能够识别网络中的流量的需求，能够动态地根据服务内容来调节网络带宽的通畅性，需要延迟低的服务优先通行，比如说对带宽没有特别大需求，但是需要低延时的游戏通讯数据，以及需要大带宽但是延迟没有特别需求的流媒体数据，都可以同时得到满足，这一点在163骨千网是做不到的。**如果各种服务和流量跑在没有QoS的网络里面，不分优先级，再加上用的人多，那么网络拥堵就会很严重，这也就是为什么你直连外服打游戏会很卡掉包的这个原因，就是因为我们普通民用的带宽走的都是163的老骨干网线路。这里又会衍生出一个“被QoS”概念，经常用于描述自己翻墙之后，网络出现卡慢断线的这种情况，原理上讲其实就是被QoS服务针对流量优先级而限了速。
有些小伙伴用了CN2线路之后，发现速度很慢，原因除了刚才讲的可能是“被QoS”之外，还有一种可能情况是单向CN2线路，也就是去程走 CN2线路，回程还是走163骨干网，所以在供应商那买CN2线路的时候，一定要搞清楚你买的线路到底是单向CN2还是双向CN2。还有一个就是很多游戏加速器的原理就是使用了有QoS的CN2线路，但是具体走的是CN2GT还是CN2GIA，这个一般加速器厂商都不会直接告诉你，但使用体验最好价格最贵的游戏加速器，用的一般都是优先级更高的CN2线路。

**PCCW线路，香港电讯盈科提供的线路，到大陆的线路走的是PCCW自己接的直连，香港这个位置很好，网络也很发达，很多供应商都在香港这个位置租售主机，其中线路还有HKT、HKBN这些等等。**目前看来PCCW是最好的，尽可能的选择PCCW就不太会出错，但也不是绝对的，还是要看你自己的网络环境、地理位置、是否拥有BGP之类的这些因素，最好实测一下，还有很多什么其他线路就不一介绍了，尽量优选PCCW，然后尽可能实测。

**IPLC线路，全称是 International Private Leased Circuit 国际私有租用线路，就是传说中的专线。**它有几个牛逼的特点：

第一个牛逼的特点就是IPLC不过GFW审查，就是IPLC不过墙，没有墙你就不用翻，所以贵。另外就是IPLC线路的游戏加速器效果是最好的，但也是最贵的，有需求的朋友记得挑选加速器的时候，尽可能的用IPLC的线路的加速器。
第二个牛逼的特点，价格奇贵，一个月动辄几千上万的租金，即使是从供应商那买来跟别人合用，价格也比其他线路贵几倍以上，而且往往带宽小流量低，这一点一定要注意，很多标榜自己IPLC的线路的这些人，把很多东西做了隐性处理，他不跟你明说，比如说带宽低流量小或者是流量倍率高，比如说你用了100兆流量，实际上它按照300兆的计费来扣费，所以大家在看到IPLC的时候，一定要稳住里面，水很深，一定要多一个心眼，具体价格如下图：

QQ截图20230716222614

QQ截图20230719222814

最后做一个总结，线路是个很复杂的概念，并不是说某个线路就一定没问题特别好，或者说某个线路就是不好一定不能选，就算IPLC线路用的人多了一样给你限速。最好的方式就是你自己通过学习相关的知识，你搞明白线路的概念之后，自己做实验，挑选出适合自己的主机和线路。如果你不是特别专业和资深，还是买个加速器吧， 让专业的人做专业的事往往更有效率。

矛与盾

防火墙阻断

在没有GFW的情况下，本地计算机发出一个网络通讯的数据包请求，经过你的本地局域网，进入163骨干网，再到域名解析服务器(DNS)将网址解析为一串IP地址，最终确定要连接的服务器，服务器会对数据包进行处理，然后返回一个数据包，再发送回本地计算机。

QQ截图20230122144104

在有GFW的情况下，首先本地计算机发出一个数据包请求，经过你的本地局域网，进入163骨干网，再到域名解析服务器(DNS)，这时由于你的数据包发送的方式是http明文流量，GFW一看到你访问的是Google，于是给你解析出一个错误的服务器地址或者不解析，所以你就访问不了Google了。这种阻挡访问的方式也被称之为”DNS污染“。

QQ截图20230122144529

GFW还可以探测到流量的部分内容，发现流量中含有一些敏感词的时候也会中断连接。这种阻挡访问的方式也被称之为”关键字阻断“。

GFW还会在某些特定的IP服务器的主机的特定端口进行阻断，来切断VPN或者是SSL的链接，比如22、443这些端口。这种阻挡访问的方式也被称之为”端口阻断“。

GFW还会把记录到的大量IP地址进行屏蔽，导致很多国外网站被封锁。这种阻挡访问的方式也被称之为”IP黑名单“。

以上就是GFW的工作原理与阻断访问的方式，但不限于这些，随着时间的推移，还会有很多新的方式来阻断链接，同时也会有人也会采用新的方式来突破这个封锁，这种和GFW博弈就是目前的现状。

网络翻墙

为了实现“翻墙”这一行为，需要借助一些工具，而这些工具就被形象地称之为”梯子“，好比生活中需要翻越一堵围墙需要借助梯子一样。

VPN通道

**VPN（Virtual Private Network）虚拟私有网络，是一种端对端加密沟通方式，避免了通讯流量被中间劫持之后泄密，比如防止商业机密被泄露，最早应用在一些大公司里面，根据私密通讯的这个需求产生的。**比如说，你和你的客户想通过安全、私密的网络进行沟通，但是又不想去租用或是购买一条跨国网络专线，因为性价比太低，因此就诞生了这种端对端加密的虚拟专线。后来普及以后，有不少需要私密、安全通讯的个人，也慢慢用使用起了VPN。可以看到，VPN可以加密流量，而GFW无法探测加密流量，因此早些年用VPN突破GFW封锁的这种方式非常流行，即使到现在也是一种知名度很高的一种翻墙方式。但需要注意，VPN本身不是根据翻墙的这个需求被开发出来的，只是这种方式恰好可以进行流量加密。

我们以流程示意图举例：**把一台符合GFW要求的境外服务器作为数据包的中转站，本地计算机向中转站发送一个请求建立加密通道的数据包，接入163骨干网，域名解析，GFW发现访问的并非Google或Facebook，而是一台允许访问的国外的服务器，就对其放行，加密通道建立好后，开始发送加密数据包到中转站，数据包经中转站解密，其真实想要访问的服务器地址是Google，于是转到Google服务器进行处理，Google服务器处理后，将返回的数据包返回给中转站，然后再把数据包通过加密通道返回回来。**整个过程全程加密，GFW探明不了数据包的真实意图，这样就规避掉了GFW探测，首先数据流量走的是加密通道，GFW看不到关键字；其次DNS解析的时候，发现访问的对象是GFW允许的服务器，那么DNS也正常解析。

QQ截图20230122152937

**虽然上面的过程很完美，但过墙的数据都遵循一个固定的套路，都是先发送一个建立加密通道的数据包和一个境外服务器建立加密连接，后面紧跟着代理请求，这个就是“特征”。**由于太多用户使用这种方式翻墙，GFW逐渐发现，越来越多的流量都是这特征，于是GFW对这些特征明显的流量做了图中两件事：

QQ截图20230122160620

经过以上两种处理的打压，VPN这种代理翻墙的方式就慢慢死掉了，但现在有很多公司还在销售VPN，因为有不少机构还是需要VPN来进行正常的工作生产，而且我国的监管部门是也可以授权私人使用VPN的，前提是你要申请、报备并且通过，这就导致很多私人用户只能去购买这种不可靠的VPN服务，而且一些无良的小厂架设完VPN服务，会采用一种至少半年甚至更久的这种套餐形式卖给你，你可能正常使用几天，运气好的话，几周或几个月，说不定什么时候就不能用了，然后这个VPN服务器的IP会被记录，被封锁，你的钱就打水漂了，然后这些VPN供应商就跑路了，很多都会改一个名字回来再圈一波钱，因此现在你用VPN已经非常不安全了，不要再使用随时可能被封。

自建VPS

VPS（Virtual Private Server）虚拟私有服务器，是一种通过软件将一台物理服务器分割成多个虚拟服务器的虚拟化技术，每个虚拟服务器都有独立的操作系统，独立的硬件资源，独立的IP地址，独立的网络环境，实现虚拟服务器之间的隔离，每个虚拟服务器都可以独立运行，实现虚拟服务器的自动化管理。

自建VPS翻墙就是将一台海外的、可访问的VPS主机作为数据包中转站，通过v2ray、torjan、NaiveProxy等协议，将加密后的数据包发送至海外的VPS主机进行解密，再进行转发，最后再通过加密将响应数据返回回来。

其优缺点如下：

隐私性好：没有第三方代理服务提供商，避免数据被泄露或监视的风险。
自由度高：灵活使用不同代理协议对网络和软件进行更多的个性化配置和调整，获取更好的性能表现。
个人要求：自建VPS翻墙需要个人具有一定的技术水平，对翻墙协议有一定的学习和了解。
成本较高：自建服务器建立梯子需要购买vps、域名、带宽等，成本相对较高。。
易被封锁：VPS主机一旦被GFW封锁IP或端口，梯子就无法使用，并且有些服务厂商不支持VPS主机更换IP，或者VPS主机更换IP需要一笔额外的费用。
不一定能解锁特殊服务：由于Netflix、ChatGPT等服务有地区及ip限制，vps服务商提供的ip可能打不开这些网站及应用。

第三类人，他们自建VPS是为了搭机场，开始的时候一台主机一个线路卖给几个人，然后多台VPS卖给多个人卖给更多的人人，然后多台VPS卖给多个人卖给更多的人，慢慢滚雪球接下来就看能力了，有技术的做的好的慢慢扩大生意，没技术的做的不好的慢慢就死了，收的钱肯定是不会退的，这里面有能力的人简直是极少，而且他们的目的就是为了赚你钱，所以什么阿猫阿狗都有，甚至还有不少现学现卖的；
第四类人，这类人不太懂技术也不太懂网络，就觉得跟着网上的教程做好了，然后每个月只需要几美金就能稳定可靠的翻墙了，完全不知道接下来可能会遇到什么问题的，其实这一部分人才是绝大多数人，这部分人上网搜索翻墙，搜索到的基本上都是之前那几类人分享的技术博客或者是视频。

BGP机房

**BGP机房一般也叫多线机房，你在采购VPS或者机场服务器的时候，应该都看到过这个BGP机房，它可以自动识别你的线路是电信还是移动还是联通，并且自动使用最适合你连接服务器的线路，而且在你当前网络不通的时候，还会自动切换到其他的线路来连接服务器，如果你买了一台VPS或者是自己在机场上买了一个BGP机房的服务器，那么理论上无论你在哪里，南方还是北方，用的电信还是联通还是移动，都能保证最通畅的连接。**这里要注意，部分无良供应商卖给你的BGP线路，为了节省成本，有一些冒牌的BGP机房，虽然也是多线路接入，但是在线路故障的时候不会自动切换线路，需要人工介入，所以有条件的话你最好实测一下，或者是买的时候先买一个月的试用一下。

机场服务

这里的“机场”并不是我们日常搭乘飞机航班出行的机场，而是指提供私密代理方式上网的服务商（或平台），这些服务商多采用ss或ssr协议提供服务，用户可以通过该平台购买代理服务并使用代理服务器来访问互联网，由于这种服务的客户端都有一个小飞机图标，因此也被称作“机场”。通常代理机场会提供多个IP地址和端口作为代理服务器，这些代理服务器通常位于全球各地，提供不同的协议、加密方式和带宽速度等选项，用户可以根据自己的需要进行选择和切换。代理机场通常收取一定的费用，用户可以按照流量或时间付费方式选择适合自己的套餐，从而实现网络访问的自由和安全。机场的特点如下：

使用方便：机场通常提供易于操作的客户端，用户只需在客户端中选择相应的节点即可使用，无需担心服务器配置等问题。
价格相对较低：机场的价格相对于自建服务器来说便宜，用户可以根据自己的需求和预算选择不同的套餐。
风险较小：机场通常有专业团队进行维护和升级，安全性更高，用户不必太过担心出现较大的风险。
IP归属地多：机场往往有不同国家和地区的IP地址和端口作为代理服务器，能访问有地区限制的网页，且机场一般都提供Netflix、Disney、ChatGPT等解锁。
速度受限：由于机场是共享服务器，因此速度可能会受到其他用户同时连接的影响，从而无法享受全速。
隐私保护不易得到保障：由于机场需要获取用户的流量数据才能实现代理，因此一些机场在隐私保护方面并不能保证完全安全。
不可控制：用户无法控制机场提供商的服务器，如果机场被封禁或者机场主跑路，则无法使用或损失金钱。
使用受限：部分机场还会封闭22ssh、25邮箱等端口；还会封闭bt下载、部分网站等。个人自建vps服务器翻墙则没这个限制。

相比个人自建的VPS，机场的情况就会好很多，因为他们有正确的应对方式，IP用的也都不是重点被监控的，所以目前对绝大多数人来说，主流的翻墙方式依然是原版的SS，机场的用户大多数都是直接上网搜或者是靠身边朋友推荐，大概率会被一些免费便宜的噱头机场吸引，然而他们不知道多数情况下，这些机场就是刚才我说的那些阿猫阿狗的小机场完全没保障，挑选套餐的时候发现免费和便宜的月付的套餐全没了，心想可能太火爆了于是赶紧付费，花好几百买那种半年一年的服务，用了几天之后发现不是很稳定，凑合用了，没过多久发现所有的节点都不能用了，网站也打不开了，我靠阿猫阿狗跑路了，然后就换了一家机场，大概率也是个没啥积累的小机场，没过几天同样的情况也发生了，于是就得出一个结论，妈的机场都不靠谱，而且因为不太懂，某天听别人说机场不安全，人家窃取你的流量信息，能透过技术手段搞到你的账户密码，甚至银行账户信息，或者是听新闻说什么机场主被一窝端，所有用户信息都泄露了，警察抓了好几千人，所有用户信息都泄露了警察抓了好几千人，你就更不敢用机场了。那么如何正确的选择机场，在购买机场之前遵循几个原则：

**首先第一，一定要从大机场开始选，**小机场面临随时可能跑路的风险，或者是技术水平不够，出了问题解决不了，强烈不推荐，不管他们提供了什么良心的服务，这些都是吸引客户的手段，如果收了钱就跑路，你拿他一点办法都没有，选择小机场就像赌博一样，大机场尤其是运营了好几年的那种，他们的客户成千上万，最重要的就是口碑服务不好或者是产品质量有问题一定做不大；
**第二个原则，从大机场里面选择免费试用的先体验，**如果没有免费的就买一个月的试用，一定要先试用，这一点非常重要，即便是大机场因为针对的是全国的用户，网络环境很复杂，绝大多数人都觉得不错的线路，你用就是不行，这种可能性是存在的，然后测试的时间一定要选择高峰期比如说周末的晚上，这种时间段最具代表性也是大小机场承载能力差别的最直接的体现，非高峰期的时候大小机场都能跑满带宽，所以没有参考价值；
**第三个原则，测试的方法一定要合理，**比如说香港有十几个节点，你试出两三个快的就行了，这两三个快的你当做主力来用，同时再测另一个地区的几个节点，也试出一些节点留作备用，当主力节点甚至整个地区都挂了的时候，你就可以换用备用的，这里要注意你看到的多少毫秒的延迟，千万别拿这个当做主要的参考的对比的数据，因为这个指的是数据包通讯的一个周期，也就是RTT（Round Trip Time），并不能代表实际使用中你能跑出的速度和带宽，有些节点可能丁非常低只有几十毫秒，但是实际使用你发现只能跑出几兆的带宽。

机场和vps都有各自的优缺点，需要根据实际需求和条件来选择合适的方法。如果你具备相关技术和资源，想要可玩性高、定制性，并且对隐私安全要求较高，那么自建VPS服务器翻墙可能更适合；如果预算有限，只是想稳定、简单、快捷地访问特定网站或内容，那么大机场则是一个不错的选择。总的来说，VPS和机场最主要的区别就是，VPS的线路一旦出现问题，所有的环节全部需要你一个人搞定，机场你可以理解为他有几十甚至上百个公用VPS同时授权你用，其中一个出现问题你可以选用其他的，而且出现问题的线路也会有专人来解决，也有很多应急的备用预案，这些都是你自己搭建VPS不具备的，而且机场线路多，你VPS能买几条线对吧，相比之下机场的价格确实是要比自己搭VPS划算。

!> 注意：VPS也没你想得那么安全，想要绝对的安全就别上网了，就算用VPS也有很多方法能够拿到加密密钥，然后解密你的流量，还有什么中间人攻击这些，请别高估了自己。

软件翻墙

软件翻墙指通过一些特定软件来实现翻墙，主要是Shadowsocks以及一众衍生品（ShadowsocksR、V2Ray、Trojan）等软件。这些软件都采用本地服务器加密流量，发送至远程服务器再进行转发的这种方式，来突破GFW的封锁。

加密协议

不同的软件有不同的特点，有些软件支持的协议多，有些软件支持的协议比较新，有些软件的执行效率高等等。你需要使用某些软件来应用这些协议和加密算法，知名度比较高的有Shadowsocks、ShadowsocksR、Shadowsocket、V2Ray、Clash、Surge等等，其中Shadowsocks（SS）、ShadowsocksR（SSR）又是协议，也有同名的软件。

**一般来说，越新的协议和加密算法往往就意味着相对的安全，越难以被GFW探测到，但也不是说越新的协议和复杂的加密算法就越好，例如原版的Shadowsocks协议依然有很多人还在正常使用，这个要跟自身的状况而定。**如果你的设备比较老旧、性能比较差，部署这种WebSocket+TLS、VMess这些比较新型、比较复杂的这种加密方式，对设备的功耗还有算力都是一种挑战，因为了跑一个需要占用很大算力的加密协议，很可能带宽都跑不满，视频可能都不能流畅的看，或者手机的电量下降很快，或者打游戏时有很高延迟，那么就说明这种方式不一定能满足你的需求，所以你要根据自己的需求去选择。

最后提醒一点，于其纠结协议安全的不如去纠结你的使用方法和服务器供应商，因为GFW不会去解密你的加密流量，而是通过流量头、特征、IP、端口、数据量大小和长短、TCP长连接的时长等多个因素去判断你流量的特征、意图，所以不管是AES、RC4以及后面的VMess、WebSocket+TLS等几十种加密算法，都不能保证绝对的安全，都只是阶段性的。不管用什么协议，shadowsocks、v2ray还是trojan，都一样不安全，所有的协议都不绝对安全只有相对安全。

流量加密

**Shadowsocks出现可以说是一个拐点，它引出了一个把代理服务器拆分成”本地“和”远程“的这种概念，实现经过GFW的流量全部加密，从而消除流量明显的特征，包括后来衍生出来的ShadowsocksR、V2ray这些都是基于类似的原理。**这里我么以流程示意图举例：本地计算机发出一个数据包给本地的SSL服务器（指电脑或手机安装的翻墙软件，也可以是翻墙路由器或软路由），SSL服务器对数据包进行加密然后进行发送（由于是在本地局域网，数据瞬间就能完成加密），通过163骨干网到达国际出口，GFW因为探测不到流量的明显特征，所以也放行，到达远程的中转服务器（指远程的Shadowsocks服务器，也可以是自己的VPS，也可以是机场的服务器）解密你的数据，然后转发到Google得到回应，数据发送回来，经过远程中转服务器的加密，发送加密数据到达GFW，还是探测不到流量的明显特征，而且也不是http明文数据，所以GFW无法嗅探到敏感词，只好放行，到达你本地的SSL服务器，经过解密数据包发回本地计算机。

QQ截图20230122161518

?> 提示：目前各种各样的这种加密方式和算法，基本都是在GFW这个位置进行伪装和消除特征。

使用局限

**软件方式的翻墙手段有一个比较明显的局限，就是绝大多数的软件没有那么高的底层权限，只能代理应用层的网络流量，就算你打开了这个所谓的”全局代理模式“。“全局”的意思指的是代表作为翻墙软件本身所接管到的所有的流量，全部转发到代理服务器，但是有些软件跑在系统层，权限更高，甚至不遵循操作系统的代理原规则，根本就不把通讯流量交给翻墙软件接管，那这种情况下就没有办法实现翻墙了。**比较有代表性的应用有一系列的UWP应用，就是Windows应用程序商店下载的这些软件，还有应用程序商店本身，都不遵循系统代理的设置，流量就不从翻墙软件走，所以你打开了全局也没有用，还有很多的游戏的通讯协议是TCP、UDP，很多翻墙软件也不接管这些流量，自然就无法加速，这里提到的是绝大多数翻墙软件的特点。不过有的翻墙软件功能比较全面，有虚拟网卡功能，能够在硬件层模拟出一个虚拟网卡，强制接管所有的出口流量，实现真正意义上的“全局代理”。

硬件翻墙

硬件翻墙也就是”路由器翻墙“，路由器是你本地网络接入互联网的最后一个环节，并且独立于你的电脑，所以可以无视你的计算机操作系统的代理规则，无视各种应用层、网络层、硬件层的通讯协议，强制接管所有的网络流量，来实现“真全局代理”。

底层原理

**”路由器翻墙“可以理解为将翻墙软件部署在了路由器上，那么连接路由器的这些网络设备，都可以通过路由器翻墙。路由器翻墙相比软件翻墙的一个优点在于，对无法安装翻墙软件的网络设备实现透明代理，因此理论上所有能连接到路由器的设备都可以翻墙。然而路由器翻墙的缺点也很明显，就是路由器CPU算力基本上只能满足最基础的路由功能，如果让它进行大量的加解密运算，可能会导致网络通讯卡顿，带宽跑不满、宕机这种情况。**例如当你家多个设备翻墙观看流媒体的时候，路由器的CPU占用情况，往往可能你的中转服务器带宽有100兆上下行，但是由于加密解密的这个运算，你的路由器只能跑出几兆几十兆的这种情况，这点要视情况而定，因为有些高端型号的路由器，确实算力还可以，但是作为路由器生产和研发的厂商，他们本身在设计这个产品的时候，就没有预设到路由器会执行非本职工作以外的这种情况，所以大体上来说，路由器翻墙确实存在性能的瓶颈问题。

软路由

**软路由，简单来说就是改造过的高性能路由器，跟你在市面上买到的这种民用级、商用级路由器不一样，你可以理解为一台小型的计算机，甚至可以在上面装操作系统，不过你也将自己的一台计算机作为软路由来实现这个网关模式，这类软路由的性能往往足够强大，也具备上面说的这些优点，就是可以拖家带口的把所有网络设备一起翻墙，通讯流量也不再限于只能代理Web流量或者是应用层流量，性能方面也基本不再是短板，也不用担心可能会带来网络问题。**但是软路由也有缺点，第一软路由相对比较贵，入门级性能的软路由动辄几百上千；第二配置起来相对繁琐，对很多新手技术门槛确实要求比较高，涉及到虚拟机、Linux这些相关知识；第三稳定性，在复杂的网络环境中，多一个硬件设备，就多一道出现问题的可能，如果出现问题，你就需要花很多的时间来判断，你就会明白你的网络架构越简单越好；第四日常维护相对繁琐，比如固件更新、更换节点，你都需要进后台调试。所以我的建议是根据自身需求同时部署软路由和梯子软件翻墙，不冲突。你有了自己的翻墙中转服务器，你就可以灵活的部署在任何你需要的硬件和平台上。

网关翻墙

网关翻墙，是我个人最推荐的一种上网方式，可以理解为通过一台在局域网里面的计算机上跑的软件来实现路由器的功能，有点像更软的软路由，比较有代表性的有Windows的Clash、Mac的Surge。当本地局域网里面部署了一台运行了Clash或Surge的电脑当作网关，就可以接管局域网里面其他所有网络设备的所有流量同时翻墙，这种翻墙的方式继承前面所有的特点和优点，包括刚才提到的一些流量不走翻墙软件，不遵循系统代理规则，都能完美的解决这类问题，这种方式的优点如下：

第一异常的方便，无论是切换节点还是调试都比路由器、软路由效率要更高，因为你直接再电脑上跑的软件里面进行操作，不用登录路由器后台之类的，如果是出现问题或者更换节点操作，点几下鼠标就完成了，刚才提到的简化网络架构就是这个意思；
第二这种方式的翻墙，性能要碾压路由器甚至软路由，因为你是靠着你的电脑的CPU来进行加密解密运算，而电脑的CPU对比路由器或者是软路由的CPU可能性能是几十上百倍；
第三便于集中管理，你家里的所有的网络设备，比如说电视盒子、Apple TV等，只需要在网络设置里面填好路由和DNS，就能够实现全部设备透明代理，不需要逐一安装翻墙软件，而且有些设备你也装不了。

从实用和便捷的角度说，我个人觉得网关模式翻墙要大幅优于软路由，也大幅优于刷了第三方固件的路由器。有不少翻墙软件都是有这个网关模式的，可能叫法不太一样，在Clash里面【允许局域网连接】就是网关模式，一定要利用好这个功能，别花冤枉钱、精力来折腾你可能完全用不着的软路由和翻墙路由器；缺点就是你需要一台长期开机的电脑来保证网关模式的运行，就像一台路由器一样，我自己应用场景，就是利用一台Mac mini跑Surge，这样只要在家里，无论什么设备，随时都是翻墙的状态，这种才是真正意义上的透明代理，而一台Mac mini几十瓦的功耗，比路由器搞不了太多，一天电费也就几毛钱。

协议之战

从shadowsocks到v2ray到最新出来的trojan，协议有那么多，有人说用shadowsocks会立刻被封，有人说v2ray的vmess最安全，后来又说websocke+ts更安全，再后来又有人说trojan大法好速度最快，如此大的信息量我们怎么取舍？这一期我会简述有关协议的特点分析以及选择，目的在于分析各种协议和算法的特点，至于怎么选择，我希望你能够客观的了解到各种协议的优缺点，然后再理性的选择，避免掉不必要的坑。

shadowsocks协议

下面开始正式说协议的话题，先说shadowsocks协议，shadowsocks是继VPN这种曾经的主流的翻墙的手段被确认能够被GFW精确识别和封锁之后，后面的一切代理服务器中转的这种翻墙方式，包括shadowsocksR、v2ray和trojan这些的始祖，作为开发者的角度来看，shadowsocks简单粗暴直捣黄龙，从写程序的角度来看就是直接奔着解决问题去的，这是优点同时也是缺点，因为太过简单粗暴很多人说shadowsocks的协议的流量已经可以被GFW精确识别，因为作者已经被请去喝茶了如何如何，所以建议你用shadowsocksR或者是v2ray，这个情况我的理解并不完全是这样，首先没有人能够明确的告诉你某个协议是不是已经被精确探测并封锁了，其次流量的探测和封锁涉及到多个维度的可能性，比如说某些IP段重点被探测和监控的情况下，可能某个协议流量暴露出特征，GFW会立刻采取封锁，对那些没有被重点关注的IP地址来说，即使暴露出了一定的特征，出于防止误杀和误判的这种可能性，可能也不会采取措施，刚才提到的某些IP段指的是一些大型的VPS供应商，他们的IP都是批量的，面对GFW的时候很无力，重点被关注不说，一封就是一批，这也造成了很多人VPS被封之后，都会责怪到shadowsocks协议的头上的原因，又或者说即使理论上一切的shadowsocks流量，GFW的确可以精确探测，但是可能并不会封锁，因为你翻墙只是看看不涉及到政治的网站或新闻，GFW知道你的行为可能也不会管你，这种情况可能也是有存在的可能性的，又或者你的流量特征到底达到一个什么样的水准才会被GFW封锁，到现在也没有一个人能够权威的告诉你一个准确的定论，总而言之探测判断和封锁流量的话题，是非常的复杂的一个话题，并非很多人理解的，GFW只要看到可疑就立刻就会封锁这么绝对。另外shadowsocks协议目前拥有着最快的RTT，也就是通讯延迟，因为数据包在握手的时候用时最短，后面会讲到的v2ray和trojan，在机制的限制下，RTT次数是一定比shadowsocks要多的，这一点是无解的。

总结一下shadowsocks协议的部分，我认为 shadowsocks协议因为机制问题，目前还是体验最好、最简单、最快速、极度体现暴力美学的中转代理方式，同时没有任何人能够准确的告诉你shadowsocks已经被精确识别判断并且封锁了，这种风险存在但是原因是多维度的，请你们理性的辩证的看待，shadowsocks的安全性存在定风险，但是目前依然是翻墙的主流方式。

shadowsocksR协议

shadowsocksR这个协议是shadowsocks的优化版，但是并非是同一个作者开发的，但是我个人的建议，如果同时有shadowsocks和shadowsocksR，我选择shadowsocks配合安全的加密方式和混淆，足够安全了主流的需求绝对够用了，尤其是机场用户，毕竟就算真出问题对吧，也不用你换IP他们分分钟就搞定了。

v2ray

下面说到v2ray，从开发者的角度看，v2ray是个极具弹性的平台，支持的协议和算法多、机制和花样也多，从写代码的角度看，相比shadowsocks的简单粗暴，v2ray是通过一种不断的在这里加一笔在那里添一划的这种方式，来解决各种各样的潜在的可能出现的安全性的问题，这个特点同样也是优点也是缺点，v2ray的安全性综合来看的确更高，但是从部署和推广的角度来说因为更加复杂，也的确劝退了很多自建VPS的用户，从通讯延迟的角度来说，因为机制的问题导致握手次数相比shadowsocks更多，加解密的性能方面由于v2ray原创的vmess协议加TLS两次加密，CPU占用对比shadowsocks也的确更高，CPU占用对比shadowsocks也的确更高，不太适合部署在路由器和一些老旧的CPU型号的手机上，我说的不是软路由，就因为v2ray的花样比较多，我这里着重的说的是vmess+websocket+tls的这种情况，目前来说确实是最稳定的方式之一，即便是在一年一度的六月大扫除，其他协议陆陆续续出现问题的时候，也是屹立不倒，由于机制问题websocket+tls的HTTPS流量，在GFW看来和不计其数的其他的正常的HTTPS流量，基本上没有任何区别，尽管流量没有明显的特征，但是如果GFW主动探测就会发现，流量的目的是没有任何一个网站的，这不就是个明显的特征吗，不过这里就是体现v2ry平台弹性的地方了，很多人在v2ry服务外面加一层真的网站作为掩护，伪装流量这就是v2rayt+websocket+tls+web的原理，在配置了真实网站之后，只有你知道自己是个代理，对GFW来说你就是在浏览网站对吧。借由v2ry这个话题，我从宏观的角度上给你们讲一下，现在的翻墙手段和GFW探测的这个博弈状态，GFW的封锁和突破GFW的封锁，就像破解和反破解一样，双方都在不断的进化和进步，这个博弈过程不是一成不变的，就好比苹果手机系统越狱和固件更新然后封堵漏洞一样，永远没有完美的协议，就比如我刚才说到的websocket+tls配合访问网页这种方式，你从你这一端看，滴水不漏，我的流量多正常啊该加密的加密，该混淆的混淆，该明文的明文，而且流量是正常访问网站的流量对吧，但是从GFW的角度来看，可能前几天他觉得你的行为没有特征，但是再过一段时间GFW发现看到的是你天天无时不刻的访问同一个网站，你说他会不会觉得可疑然后它来主动探测发现确实是个正常网站，好吧那我继续让你访问，但是我重点盯着你了再过一两个月我靠你当我傻啊谁上网天天照着一个网站看，这种特征还不算特征，我不知道什么是特征了，所以你看技术角度的完美和现实角度的完美完全不是一个概念，GFW理论上已经具备了探测这种特征的能力，当然没有人能去准确的分析出G下W的算法和探测行为具体是什么样的，但是我们心里要有个底，人工的方式优化GFW已经不是主流了，你要知道现在的AI技术和大数据分析，很多都已经不是人工在搞了，人工面对大数据是很无力的，一旦有了成熟的利用AI和大数据分析特征的方式，一切所谓的协议和加密都只是暂时的，所以从事技术方面的人大概会有两种思路，一种是陷在技术的角度的陷阱里出不来，他只会从技术的角度来判断怎么做到完美怎么做到安全，但是你跳出来宏观的看特征是一定有的，只是时间样本够不够的问题，这就是另一种能够从更高的宏观的角度来看待封锁和反封锁的人，就比如我我们能够明白这个博弈过程一定是永恒的，除非GFW不存在。

总结一下v2ray的协议和加密算法，相比shadowsocks，v2ray的确在安全性和潜在的对抗GFW的封锁的能力上要强一些，但是依然不是绝对的安全，v2ray的优点在于弹性大功能多支持的协议和算法多，缺点在于部署起来难度比较大，多次加密解密延迟相对比较高，对设备的算力要求也更高一些，至于你是否要选择用v2ray完全取决于你自己，用软路由的用大厂的VPS的选择v2ray更安全一些，同样不是绝对的。

trojan

下面说到trojan了，trojan的出现挺有意思的我从开发者的角度来看，trojan解决的是v2ray的一些缺点，但是翻墙的核心原理还是借鉴的websocket+tls，两者并不完全等同，但是从第三方比如说GFW的角度来看，trojan的流量和v2ray的websocket+tls的流量基本没有太大区别，至于trojan解决了v2ray什么缺点，简单来说有两点，第一解决了复杂部署难度大的这个问题，trojan走的是轻量化的解决方案，定死了通信协议只有一种就是websocket+tls，不像v2ray支持和兼容那么多协议，第二trojan在v2ray的vmess和tls的两层加密的结构里面，剥离了一层vmess的加密协议只用到了tls，tls的加密方式是非常成熟的，哪怕政府和银行用的都是tls，随着tls的1.3版本的出现，加密的角度来看安全性几乎是不会被强行解密的，由于trojan只用了高效率的tls加密，所以对比v2ray执行效率还有加解密的这个耗时耗力的问题看起来也有了进步。看似trojan有了这两个比较明显的进步，实则也带来了缺点，首先你定死了唯一的通讯协议就意味着对其他协议就不支持了，弹性比较差。HTTPS就是tls加密的，tls不算强加密这个世界就乱套了，政府和银行最先崩溃。

总结一下trojan其实跟vray也差不太多（另一个缺点不支持反代理忘记说了），速度快一点但是安全性其实是一样的，速度快一点但是安全性其实是一样的，另外因为比较新多平台的支持和兼容性要差一点，这个是只能通过时间慢慢解决没有任何别的办法，很期待这个新型的翻墙工具希望它越变越好。

总结

这一期内容呢我讲了目前几种主流的协议的优缺点，总结一下shadowsocks协议依然适合绝大多数机场用户使用，但是VPS用户建议优先选择相对比较安全的v2ray，对速度有严格要求的你就去选trojan就好了，机场用户放心选择shadowsocks机场的配置是没有问题的，shadowsocKs协议也是没有问题的除非机场故意要赔钱，协议的选择是根据你的需求、部署环境使用习惯等等因素挂钩的，因此没有最好的协议。学习网络知识的基础掌握了相关技能之后，动态的取舍才是最佳的科学上网方式对吧，你天天说科学上网科学上网，你都不学习这门科学，你怎么科学上网。

这一期要讲的话题是从技术原理上来详细剖析一下VPN，和目前包括shadowsocks、shadowsocks、Rv2ray和trojan的socks5类型的代理的优缺点，虽然VPN不推荐，但中国翻墙用户绝大多数使用的工具还是VPN，VPN的技术原理和面临的问题是已经被探测并且封锁了，所以目前从稳定性和安全性上来说，比较主流的翻墙方式依然是采用了socks5代理的shadowsocks、shadowsocksR，v2ray和trojan，虽然从绝对用户基数上来说，还是VPN占据主流，但是对于有长期和稳定翻墙需求的用户来说，socKs5代理的方式才是目前最好的选择，但是这里不得不提一下VPN对于socks5代理的方式从原理上来讲有一定的优势，那就是能实现真正意义上的全局代理，甚至一些socks5不转发的流量全部通通走代理，包括ICMP流量，VPN在网络层级中无限接近最底层，你可以简单理解为VPN建立了一个相当于虚拟网卡，你网络设备上几乎所有的流量都会被强制接管，甚至在第三方眼中，你的IP都会变成VPN服务器的IP，从shadowsocks、v2ray、trojan，则都是socks5代理，在网络层级中是在应用层的会话层，所以很多流量都无法代理，这就是为什么你开了shadowsocks全局，也不能通过代理打游戏，以及ping和trace，这些CMP指令无法通过代理的原因。

为了浅显的讲清楚这个概念，我简单的介绍一下网络层级，这张图是OSI模型，解释了数据在各层级中的流动，一个数据从最上方的第七层应用层产生，到最后最底层物理网络接口发到互联网的这个流程，大概就是这样子的，这里我拿你在Google上搜索一个关键字，这个实际的应用来举例子：

首先你打开网络浏览器输入关键字，在最上面的第七层应用层，通过http协议发送到第六层表示层；
表示层把收到的数据翻译成机器语言，发送到第五层会话层；
会话层的作用是建立维护当前会话，接下来到了第四层传输层；
传输层的作用在于确定要使用的传输协议，并且添加对应的GoogIe服务器的通讯端口；
然后到了第三层网络层数据到这里是为了添加GoogIe的IP地址；
继续往下到了第二层数据链路层，在这里添加路由MAC地址通讯对象的MAC地址等；
最底层的就是物理层，数据以比特流的这个形式最终通过你的网络硬件传输给GoogIe；
GoogIe返回查询结果之后发回数据，数据被接收之后是相反的方向流动。

QQ截图20230723205436

下面我要讲的东西你就一目了然了，网页浏览器，邮件服务器，文件传输这些跑在应用层，也就是最上层，包括了shadowsocks、v2ray和trojan的这种SocKS5类型的代理跑在第五层会话层，所以可以代理上面的应用层数据，游戏数据是直接通过传输层的，协议TCP和UDP进行通讯的的，所以不经过会话层也不需要表示层来解释，所以socks5代理正常情况下是不能加速游戏的，你打开了翻墙软件就算开了全局也代理不了跑在传输层的游戏通讯数据。包括ping和trace等这些ICMP指令，都跑在第三层网络层，这就是为什么你开了socks5代理之后，依然可以用ping来确定你本地计算机到代理服务器的通讯延迟RTT，而不是代理服务器到自己的RTT，因为层级更低，流量不通过socks5代理转发。目前几种主流的VPN协议，PPTP、L2TP、OpenVPN和SSTP都跑在第二和第三层网络层和数据链路层，所以VPN的一大优点就在于，近乎所有的流量都能被代理，所以VPN具备这种真全局方式的代理的这个特点。

QQ截图20230723210949

VPN的流量特征已经被GFW完美探测并且封锁了，现在依然能用的VPN主要都是海外的供应商，他们采取不断的更换IP的方式来对抗GFW，这样的结果就造成稳定性极差并且相对比较贵，目前主流的各大海外的VPN供应商，包括蓝灯、AstriIl、NordVPN、ExpressVPN等等，这些这些工具的工作原理都是一样的，采用的协议也都是主流的PPTP、L2TP、openVPN和SSTP这些，但是这里一定要明确一个概念，VPN的功能是加密通讯保证数据安全和用户隐匿性，设计原理就不是用来翻墙的，虽然可以用来翻墙，但是对于消除流量特征没有任何应对性可言，对GFW而言现在的VPN相当于光着屁股在墙的脸上摩擦，你能用是因为还没封或者是刚刚换了IP，不代表你应该用下去，强烈推荐学习使用socks5代理的方式，目前没有任何明确的证据表明socks5类型的代理已经不再安全了，想要长期稳定安全的科学上网，你是一定要学习shadowsocks和v2ray这些的，你是绕不开的。

WireGuard

接下来我要提到一个比较新出来的个VPN，叫做WireGuard，就是一个网络信息安全的专家搞出来的，设计原理其实就是为了进一步加强安全性，来对抗美国的这个棱镜计划，WireGuard相比主流VPN有点特殊，VPN工具主要是采用TCP通讯协议，WireGuard用的是UDP，TCP和UDP简单解释一下，TCP协议需要本地和远程多次握手，并且建立长连接，并且验证每一次的通信，确保数据按照顺序到达并且处理，但是TCP容易被GFW通过发送reset包来阻断，UDP工作方式是不管你对面有没有在听，我就发数据包，而且也不建立长连接，也没有通过时间戳来验证数据包完整性和顺序性的机制，你可以理解为TCP是两个人正常的之间在对话，UDP是一个瞎子对着另外一个人乱喊乱叫，数据包也经常会搞丢，不搞丢的也有很多在整个地球绕来绕去最后乱序到达，而且WireGuard因为采用的是UDP通信协议，GFW用来封锁IP的发送reset包这样的手段，也不会对UDP产生影响，反而导致GFW无法通过有效手段来封锁WireGuard，但是UDP流量被QoS限速是个极为普遍的情况，简单来说就是WireGuar的感觉像是采用了一种小众的方式，看似巧妙的实现了翻墙但是跟其他的VPN一样，特征非常明显，今天可能还能挺快的，明天可能开个网页都困难，所以我的结论是WireGuard不适合翻墙。

GFW本着防止误判误杀的原则，放过了很多利用技术漏洞翻墙的这个网络请求，就比如说V2Ray的websocket+tls+web的这种方式，利用访问一个自建的国外网站伪装流量的方式来翻墙就很难被GFW有效的拦截，GFW更是无从判断你的需求是否应该被监管。

大多数的翻墙用户不管你用什么协议和工具，你翻墙的事实监管部门大概率是清楚的，技术上用来消除特征跟实际情况是两回事，技术上的手段规避的是GFW大规模的自动化的封锁，但是如果你的行为本身就很敏感，还有其他的机制来监测你的行为，并且这种监测手段结合GFW和人工介入两种，独立于大范围的自动化的探测和封锁单独运作，这个监测的机制比较隐性，没有人知道具体的情况，但是我这里可以提供一个思路，比如说你架了梯子看了有些敏感的争议性的话题，虽然GFW知道你可能是在翻墙，但是由于无法解密流量无法探测到明文内容，但是你突然想知道这个人的资料随手打开百度，顺便进入到各种贴吧各种论坛各种群大谈特谈某人某事，你说不请你喝茶请谁喝茶呢。

GFW的探测原理简单来说可以分成两种被动式和主动式，被动式指的是GFW观察连接中传输的内容是不是符合某种特征，如果是的话就把连接中断或者是把你的P和服务器列入黑名单，于是你就被墙了，然后你就上网搜索应对的方法，发现新出来一种加密方式或者是一种新的手段，于是你就很开心觉得你又安全了又可以愉快的翻墙了，可是GFW的应对机制也不傻，跟你一样也在不断的优化和升级频繁的更换更有效的探测和封锁方式，跟你一样也在不断的优化和升级频繁的更换更有效的探测和封锁方式，最早刚有shadowsocks的时候，很多人认为shadowsocks的协议近乎完美，因为伪装成了正常的加密流量无法探测，后来也能被探测到了，当GFW观察到你这个不可识别的连接的时候，采用了主动式的探测手段主动的发起一个去往你的服务器的连接，然后通过一些编造出来的数据来判断返回的信息，就知道你的这个服务器是不是在跑shadowsocks服务，后来shadowsocks采用了一些方法，规避掉了这种服务器返回特征数据的漏洞，又出现了新的AEAD的这种加密协议，然后GFW就又无法探测了，还有刚才提到的这个V2Ray的web模式，配置一个英文模板的网站这个网站是你自己搭建的，访问的同时顺便跑翻墙服务，流量伪装，这个只能说是自欺欺人，你天天访问那一两个网站流量还特别大，说句难听的你的老鼠尾巴都伸到墙的脸上了你还伪装个啥，所以V2Ray的web模式到底还能坚挺多久，没有人说得清楚。今后一定还会有更符合现实需要的翻墙手段出现，千万别觉得某个翻墙方式能够让你一劳永逸，其实总有手段能够知道你是不是在翻墙，正常的网络流量有百分之七八十都是HTTP、HTTPS这样的流量，但是因为你跑了shadowsockS或者是类似这样的服务，你的主机近乎百分之百都是这种不可分析不可识别的加密流量，你说这算不算特征，就算GFW证明不了你用了翻墙服务，但是就是觉得你太可疑，恰好你知名度又比较高，你说后面会发生什么事，所以大体上的原则就像我刚才说的这些，你平时看看YouTube下个小电影查查Google，监管部门是没有多大兴趣管你的，但是不代表他们不知道你翻墙，但是如果你销售教授他人使用翻墙工具和服务，让太多没有自我判断能力的人去翻墙造成潜在的危害，那么就是在实施犯罪了。

敏感时期

这一节不讲技术，而是讲一个更重要的事情，那就是敏感时期的话题，有兴趣的你可以自行搜索，再说一遍很重要，不要发有关敏感话题的讨论，我是电丸科技的AK，这一期继续讲翻墙，这次的话题时效性很强，时间大概是从我发布这个视频的时候一直到六月中，话题非常非常重要听好，就是你的机场和VPS还有VPN，在接下来的一个月的时间，如何正常使用，以及如何最大程度的避免被封锁，我先介绍一下背景，我不是百分之百确定，大概是从七八年前开始，每年这个时候，国家利益和稳定会受到来自外部包括很多西方国家，和内部国内的一些别有用心的组织内外夹击，有舆论上的，也有行动上的，这个是客观存在的，GFW的审查，因此也会加大力度，而且也有人工干预的这种情况出现，很多正常访问的网站和服务的国际流量，都会在这段时间临时性的封闭，或者是受到限制，除此之外，这段时间大批量的机场的P段，VPS供应商的P段，还有VPN的服务器P，也会遭到非常大力度的封锁，这段时间会造成一个很特别的现象，那就是大量的小机场会跑路，分两种情况，—种是很多机场确实是因为被封锁了P，一种是很多机场确实是因为被封锁了P，他们更换P需要的资源和手段往往也被限制了，这种情况下，一些良心的小机场，会想办法通知到你，部分节点会受到影响，他们会尽快解决，你可能需要给够他们足够的时间来解决，另一种情况就是，很多小机场，干脆就直接拿着之前收到的年费直接跑路，所以每年这段时间，有些小机场都会提高价格或者是降价促销，然后大卖一波直接跑路，所以看到价格明显不对的，千万别贪小便宜，最好不要尝试，风头过了之后，比如说七月份，这些跑路的小机场，很多都会重新换个名字再开一家机场，通用的网站模板和后台，再加上多年跑路重建的经验，人家建个机场的手速，可能比你自己搭VPS还快，可能比你自己搭PS还快，这两种情况，每年都是同样的事情再重演，我现在是当作笑话看，每次风波过去之后，我就会去V2EX还有机场群，我就会去V2E还有机场群，这种地方去看热闹去，你也别怪我幸灾乐祸，台风天过去，你也会跳着脚拍着手跟一地狼藉合影，也是一个道理，大机场也会受到特殊时期的影响，但是情况会比小机场好很多，解决问题和应对方式也更加全面，我之前建议过很多次的，选择大机场就是这个原因，大机场跑路的几率要小很多，我这里再次强调一遍，不要问我推荐，尤其是进了群就开始问，你用什么大机场，我从来不回应，因为我该说的在视频里已经说得非常清楚了，因为我该说的在视频里已经说得非常清楚了，你看我之前所有的翻墙视频，也就是一个多小时的事情，但是你看完之后，所有的环节，所有的坑，你就都清楚了，所以我不推荐，真不是我装清高或怎么样，网络环境和线路很复杂，适合我的不一定适合你，我推荐了好用也就算了，你会想你推荐的好用很正常，你不会感激我，但是一旦因为一些原因，你觉得不好用，你会怀疑我恰饭对吧，而且就算真的挺好用的，一旦推荐传播开了瞬间用户激增，机场又来不及扩容，你和其他人的体验还是会变差，然后现有的机场用户也会来怪我，所以你看不管怎么样都不讨好，这个时候很多YouTuber就会想，反正怎么样都不讨好，那就选择为了吃饭，哪怕是知道后果的情况下，也会做这种推荐，接这种生意，为了赚点广告费，这就是为什么YouTube上，现在这么多推荐各种机场的人，我不干这样的事情，我认为我提供给你的东西更加有价值，然后我还欢迎你看我的视频白媒学知识，敏感期的大概的背景就是这样子，接下来我来具体给出几点实操建议，尽我最大的努力，在不被坑钱的前提下帮你省钱，第一个实操建议，如果你现在有机场的年付服务，还没到期的，千万不要急着续费，过了七月再说，最好从今天2020年5月15号，你去挑两三家支持月付的机场，只买一个月的，然后接下来的一个月，你就看这情况换着用，如果一家遇到问题就换另一家，互相做冗余，这是第一点，第二个实操建议，如果你现在是月付机场，同样也最好再挑一两家别的月付机场，买着留着备用，来保证你接下来的一个月不会断网，第三个实操建议，如果你考虑买年付的大机场，一定要等到七月再开始买，我就是这样千的，我手里本来有三家大机场，都是七月到期付费，现在有四家了，因为前几天有一个大机场找到我，让我测他们的线路，我准备在敏感期的时候测一下，所以现在我手里有四个大机场，顺便回答一个问题，老有人问我什么是大机场，什么是小机场，比如说有一家机场有五万用户，你问我算不算大机场，我觉得肯定算，但是如果有一家机场有五千用户，你觉得算不算大机场，这个问题我也没办法回答，看跟谁比也看知名度跟服务质量，所以你只能是自己搜索信息试用判断，所以你只能是自己搜索信息试用判断，不要问我这种问题，我真的很为难，但是几百人这种体量的机场，在我这里看应该不算大机场，跑题了刚才说到为什么如果你考虑买大机场的服务，要等到七月两个原因听好，第一敏感期过了之后，你才开始年付，那么明年也是七月到期，五六月份的时候大扫除期间，就算这家机场跑路了，你损失也不多对吧，不是说大机场就不跑路，几率比较低而已，记住利益面前没有良心，随着用户基数知名度还有口碑这些，越出众跑路几率越小，越出众跑路几率越小小，就算真的跑路，你也就损失一两个月的服务时间而已对吧，最小化你的损失，第二个原因在于，每年的封锁力度都不太一样，经过五月和六月你七月份的时候，买机场的时候，正好可以看一看，你要买的这家机场，在今年的大扫除期间，表现怎么样，是不是优秀的值日生，你可以进各种群，进我的群也可以一个多月的时间已经现在有1600多个人了，你可以咨询群友，你想买的这家机场，是不是稳定平均节点死了多少，解决问题的速度快不快，你就可以判断这家机场的质量怎么样，还可以打听今年大扫除期间，应对最好的机场是哪家对吧，所以基于这两个原因，我强烈推荐你，六月中到七月这段时间再付费，六月中到七月这段时间再付费，一举两得是不是很鸡贼，—举两得是不是很鸡贼，记住你从A这学到的，记住你从AK这学到的，第四个实操建议，尽量还是选择月付的大机场，现在支持月付的大机场虽然少，但不是没有，而且月付虽然说相对贵一点，但是还是我最推荐的方式，因为真的是切身经验，因为你买了年付总是要提心吊胆的会不会跑路，更担心跑路了你就上不了外网了，就算不跑路，也有些机场仗着ToS，可以因为一些原因，直接取消掉你的服务，所以我有好几家机场，就是买个安心，另外我现在的工作内容离不开外网，所以也没有办法，你们自己判断自己的情况，自己有多依赖外网，来确定具体要怎么办，省钱买年付还是安心的买月付，最后一点那就是定要注意，最后一点那就是一定要注意，有些机场敏感时期，解决问题会比较麻烦，但是不代表跑路，有些机场操作贼骚，还是大机场，每次大扫除期间，人家就把群给解散了，可能确实是为了保证安全，但是也有跑路的这种可能性，你根本判断不了，而且机场即使遇到一些问题，比如说有0个节点，比如说有20个节点，有一多半可能都断线了，也不代表他们跑路了，可能是正在解决问题，还是需要通过你自己去判断，即使是大机场，特殊时期也会遇到一些异常，因为受到了特殊时期的影响，很多P被封，也确实需要花时间来解决，还有一个原因，绝大多数人都不知道，那就是每年这个时候，因为很多小机场，或者是VPN跑路，或者面临这种临时性的封锁，大量的用户绝望的就涌入到大机场了，造成临时性的大机场的节点拥堵，总结一下，刚才说到的几点建议，就是尽量选择月付的大机场，其次选择年付的机场，一定要从七月份开始付费，这样子最保险，然后根据你自己的依赖程度，选择要不要买两家月付的机场，度过敏感期，保证自己不能断线，这几点实操建议是针对机场用户的，VPN用户跟机场用户同理，你们自己消化理解，下面我讲一讲VPS用户，VPS才是风险最高的，原因我之前第五期已经讲过了，你可以看这里有兴趣的话，点到这里的小卡片去看那一期视频，一个VPS主机相当于一个节点，—个VPS主机相当于一个节点，封了P就没了，你要换你要买新的，不要抬杠说什么WireGuard无法封IP，不要抬杠说什么wireGuard无法封P，不要抬杠说什么WireGuard无法封P，或者说什么CDN更安全，P不会被封之类的，我之前第八期讲过了，技术是进步的没有人知道，今年会是个什么情况，你花几十块钱买个备用的观望，这个才是最保险的做法，V2Ray和Trojan，你就可以通过今年的敏感期看一下，大家都是怎么反馈的，通过今年来对比下，Shadowsocks和V2Ray还有Trojan的实际表现，做好心理准备，不要盲目的过于乐观，下面关于VPS用户，给出一些实操建议，第一个实操建议就是你先充分的了解，VPS被封锁的各种各样的原因，GFW的封锁并非都是实时性的，什么叫做实时性，就是探测到你之后，立刻采取封锁，可能几分钟可能几个小时这种，更多的情况在于，阶段性的探测和封锁，第一个阶段先采取探测，然后分析判断，第二个阶段可能根据具体的情况，确定是否要封锁，探测到但是不封锁的情况也是有的并且很多，所以有的时候不代表没有封锁，你的加密方式和你的使用方法，就是没有问题的，这一点一定要清晰的意识到，而且因为有的时候，先封的是端口，P只是上名单而已，第三个阶段就是根据探测名单，批量的大范围封锁IP，批量的大范围封锁P，往年每到这个时间节点，各大技术论坛和各种群组里面，真的是哭爹喊娘，场面非常惨烈，有的人三四台VPS都挂了，有的人运气好，可能有冗余可以用，有的人确实是多台VPS但是一个都没死，有的人确实是多台VS但是一个都没死，造成这个情况的原因非常复杂，我在第六期开头讲的已经非常明白了，有疑问的你可以点这里进去看一下，有疑问的你可以点这里进去看下，强烈建议搞清楚原因，否则你后面不管是不是换了P，甚至换了VPs，同样的悲剧可能再次发生，从今天开始，VPS远程关机，暂时不要再用了一个月后见，你可以先买个机场备用一个月，特殊时期过后，你再开机试一试能不能连上，如果能就说明大概率又可以安安心心的用一段时间了，能用多久不好说，但是至少你躲过了今年大扫除的封锁，如果不能过一阵子再试，P被封锁有两种情况，一个是永久封了，还有一种是仅仅针对敏感时期，很多P会被临时的封锁，后面有可能能解开，一般都是六月七八号到月中，这段时间陆陆续续的解封，我也见过七月份才解封的，如果不能用耐心的等到七月份，如果还没解封那就恭喜你中招了，如果还没解封那就恭喜你中招了，说明在过去一整年的时间的某个时刻，有可能是上个月，有可能是十个月前，可以是任何时候，当时你的VPS的流量特征就已经被探测到了，并且达到了封锁的闽值，只是暂时不处理你，我在前几期视频里面，反复提到的，封锁的时间的维度就是这个意思，你根本就不知道是在什么时刻，你的流量被探测并且特征被识别的，每个人的情况都不一样，你完全是没有办法分析的，这里有人可能会说，反正我也不知道什么时候上探测名单，我为什么还要关机一个月，这个问题很简单，敏感时期的审查，和探测力度是会增强的，很多人被封，是因为六月以前就被探测到了，P一直在名单里候着，也有很多人是本来没事儿，但是属于那种爱拼才会赢对吧，赌一赌单车变摩托的那种类型，非要在五月底到六月的时间，审查非常严格的期间硬钢GFW，我教你让你关机半个月到一个月的时间，用意就在于最大程度的挽救你的VPS，避免在这个时期被探测封锁，因为你自己是不可能知道有没有上名单的，几十块钱买个机场，就当买个保险临时用用不好吗对吧，如果被封了你不想折腾了，就按照我刚才说的，机场的那套优先级来做，七月开始买机场，然后首选月付的大机场，然后是七月开始年付的年付机场，来年就算机场跑路，也不亏多少，尝试一下，尝试下，现在机场的选择那么多，省去你搭建测试对比，这些的时间成本，只是我的建议你自己看着办，就是不要试图硬钢GFW，你技术好你网络知识厉害，以为自己可以通过技术手段来规避，你要知道蚊子再大，非洲的蚊子也大不过苍蝇拍，一拍子下去，不是说你一定会死，但你要知道如果你能活下来，但你要知道如果你能活下来，是因为你从洞里漏过去了明白吗，不要谈技术，这个就不是技术问题，你技术上做得再滴水不漏防主动探测也好，防暴露特征也好，或者你做个那种静态网页那种，我请求你跳出来看这个问题，假如你的VPS的P或者是端口，在你买之前就已经在名单了其他人用的，但是这个P没有达到封锁的闽值，你买了这个P你不就喜当爹了吗，然后假如今年的敏感期政策有变化，无差别的封锁，你一通华丽的操作各种未雨绸缪，各种方式都用上了，什么vmesstswebsocket这些，结果还是给你封了，你会困惑到怀疑人生的，你分析到死你也分析不出来，最后可能跑到网上绝望的发个帖子说，大家看我用最新的技术，什么买各种肉装堆护甲，最后还是被秒了，然后说什么GFW的封锁技术，已经可以封锁了ShadowsocksV2Ray和Trojan了，已经可以封锁了shadowsocksV2Ray和Trojan了，然后网上就会被各种带节奏，某某协议某某工具不安全了被探测了，这还只是一种情况，还有种情况，还有一种情况，就是今年的GFW的大数据分析和深度学习，可能有一个质的提升，不依靠技术手段分析特征，别的不看就看你的海外流量大不大，别的不看就看你的海外流量大不大，再加上各种拟人的这种分析方式，比如说你过去一年，天天访问一个静态网页，一看就是好几个小时，别说P站正常人看P站半小时一个小时绝对够了，累死你，你说这种情况给你封了你怎么办，当然是否依然自信开机要看你自己，我不是说你开机一定会被封，关机就一定没事，这是个概率问题自己判断，我只是给你一个思路，就算被封也不要盲目的认定，某某协议不安全，就像我刚才说的，可能你只是喜当爹了对吧，还有别的各种原因各种可能，总之硬钢GFW是没有意义的，最后总结一下VPS用户的实操建议，系统的学习VPS被封锁的各种原因，结合原因来优化你的VPS的安全性，结合原因来优化你的PS的安全性，然后从今天开始尽量关机，度过接下来一个月，不要去赌也不要去硬刚，然后买机场备用一个月，再然后如果你想继续用VPS，也尽量选择七月开始付费，最后如果不是特别有明确的需求，一定要使用VP的，一定要使用VPS的，我在第五期内容讲过了，大机场可能是个更好的选择，我觉得今年的情况，虽然表面上看起来，比往年更严峻，但是近年来不断的放出的信号，也在表明GFW的拆除也不是毫无可能，很多发声机构和个人，都在表达这种观点，其实拆除GFW的话题，出现在公众视野和舆论中，本身就是一种网络审查，趋于开放的一个信号，当然盲目的乐观，也不是一个正确的态度，我们作为一个国家的公民，还是需要理性的，站在国家的高度上，考虑互联网封锁和反封锁的问题，令年除了疫情的影响，今年除了疫情的影响，还有两件政治事件，都发生在这个时间点，我们要做好应对外部因素，和舆论压力的准备，所以今年的特殊时期的审查和封锁力度，你是预料不到的，极端时刻完全有可能，根据具体的情况，做出相应的举措，尤其是钻研技术的朋友，不管是什么线路什么节点什么加密，IPLCIEPL机场VPS之类的，PLCEPL机场VPS之类的，PLCIEPL机场VPS之类的，IPLCEPL机场VPS之类的，请你跳出来看这个问题，如果一个国家进入到紧急状态，我们民用的翻墙技术又能算什么呢，翻墙的这一期番外篇，就到这里结束了，以后翻墙的内容，我还会继续不定时的，根据具体情况我看着做，比如说这一期一样，有兴趣系统的了解这个话题的，可以看下，我之前做的完整的八期的内容，你可以点击结尾的播放列表看一下，预祝各位的VPS能够屹立不倒，预祝各位的PS能够屹立不倒，各位大机场小机场主生意红火，

?> 提示：从每年的两会和多次的敏感期大规模的封锁IP和服务器的这件事，事后又不定时的解封就能看得出来，GFW实际上是可以做到张弛有度收放自如的。

Internet科学上网 ​

必读事项 ​

国家防火墙 ​

非法翻墙行为 ​

睁一眼闭一眼 ​

线路情况 ​

运营商线路 ​

出国线路 ​

矛与盾 ​

防火墙阻断 ​

网络翻墙 ​

VPN通道 ​

自建VPS ​

BGP机房 ​

机场服务 ​

软件翻墙 ​

加密协议 ​

流量加密 ​

使用局限 ​

硬件翻墙 ​

底层原理 ​

软路由 ​

网关翻墙 ​

协议之战 ​

shadowsocks协议 ​

shadowsocksR协议 ​

v2ray ​

trojan ​

总结 ​

WireGuard ​

敏感时期 ​