在本文中,我們討論繞過 VPN 封鎖的方法。使用 VPN 是繞過互聯網審查的好方法。在正常情況下,您所需要做的就是連接到位於不受審查的地方的 VPN 服務器,並且您可以不受審查地訪問互聯網。
當然,問題在於 VPN 的這一功能是眾所周知的。結果,那些審查你互聯網的人也會試圖阻止使用 VPN 來繞過他們的審查......
互聯網審查
互聯網審查有多種形式和規模。常見的例子包括:
出於政治和/或社會原因的政府審查
典型的例子包括中國的防火牆和伊朗的國家審查制度。阿聯酋最近還因將使用 VPN 等繞過其審查限制的行為定為犯罪而登上新聞頭條。有關使用 VPN 繞過這些國家/地區審查制度的更多信息,請參閱我們的阿聯酋 VPN和適用於中國的 VPN指南。
出於版權原因的政府審查
政府阻止訪問被認為宣揚或助長版權盜版的網站變得越來越普遍。這種形式的審查制度在歐洲國家尤其常見,其中英國處於領先地位。俄羅斯最近還加大了阻止盜版內容訪問的力度。
工作
許多工作場所試圖阻止員工訪問可能令其他同事不安或冒犯的內容(請參閱工作不安全)。或者這可能會分散他們的工作注意力(例如在社交媒體上聊天)。在工作環境中,此類限制通常是可以理解的。
學校和學院
教育機構阻止訪問網絡內容的情況很常見。當學生是未成年人時,這可以說是合理的。然而,在參加者是成年人的大學和高等教育機構中,情況就不那麼明顯了。事實上,高等教育機構的審查制度有點諷刺!
色情、社交媒體和與版權侵權相關的網站通常是主要目標。然而,政治內容受到審查的情況並不少見。
更令人擔憂的是,年輕人無法獲得與社會問題相關的重要信息,例如藥物建議、性健康、種族和/或性別歧視、欺凌等。
媒體流網站阻止使用 VPN 繞過對其服務設置的地理限制的觀看者的情況變得越來越普遍。典型的例子包括 Hulu、美國 Netflix 和 BBC iPlayer。
此類封鎖的原因幾乎總是因為版權所有者希望通過人為隔離世界市場來實現利潤最大化。
法律考慮
VPN 封鎖的實施是有原因的,而實施封鎖的人通常對規避封鎖的努力持悲觀態度。
也就是說,即使在 VPN 被封鎖的國家(例如中國和伊朗),它們的使用也幾乎從來都不是非法的。這意味著逃避 VPN 封鎖幾乎永遠不會讓您陷入法律困境。
這一一般規則的一個顯著例外是阿聯酋,該國最近宣布,任何使用 VPN 的人將面臨高達 200 萬阿聯酋迪拉姆(超過 50 萬美元)的罰款和/或監禁。這在實踐中執行得有多嚴格還有待觀察,但強烈建議在嘗試規避阿聯酋 VPN 封鎖時保持謹慎。
當然,儘管使用 VPN 和繞過 VPN 限制通常並不違法,但您在使用 VPN 時訪問的內容可能是非法的。
安全考慮
使用專用 WiFi 或 LAN 網絡時,該網絡的所有者擁有一切合法權利來限制您在連接到其網絡時可以執行的操作。這包括學校、大學、辦公室和家庭網絡等。
在此類網絡上逃避 VPN 限制的行為被抓的機率通常很小,但可能會導致停職、解僱和其他紀律處分。
因此,值得仔細考慮的是,如果您被抓住,逃避 VPN 封鎖的好處是否足以證明潛在問題的合理性。
VPN 阻止的工作原理
可以通過多種方式阻止 VPN 的使用,認真阻止 VPN 的組織通常會結合多種技術。
請注意,除了中國(所有進出中國的互聯網流量僅限於 3 個政府控制的接入點)之外,政府 VPN 封鎖(和審查)實際上幾乎總是由 ISP 根據政府的指示執行。
VPN 封鎖的常見策略包括:
阻止訪問 VPN 網站
如果您無法訪問 VPN 提供商的網站,則無法註冊其服務或下載其軟件。這種形式的審查通常會延伸到 VPN 評論網站(例如 eeshanaviation.com)和其他專門提供逃避審查方法的網站。
儘管阻止訪問 VPN 網站很少是唯一的策略,但它是對其他方法的一種非常常見的補充。
阻止已知 VPN 服務器的 IP
發現 VPN 提供商使用的 VPN 服務器的 IP 地址並不太困難。然後阻止對它們的訪問。
這是迄今為止阻止 VPN 使用的最常見方法,當與阻止訪問 VPN 網站一起使用時,通常是大多數 VPN 阻止的範圍。
鑑於 VPN 提供商數量眾多,並且跟踪不斷變化的服務器 IP 地址非常困難,大多數組織只能選擇禁止更流行的 VPN 服務。這意味著規模較小、知名度較低的 VPN 服務的用戶通常會“被忽視”。
端口阻塞
默認情況下,OpenVPN 使用港口1194(UDP,儘管這可以很容易地改為TCP)。其他 VPN 協議使用不同的端口。因此,阻止 VPN 的一種簡單而有效的方法是使用防火牆來阻止這些端口。
深度數據包檢測 (DPI)
深度包檢測是“計算機網絡數據包過濾的一種形式,它在數據包通過檢查點時檢查數據包的數據部分(也可能還有標頭)。” DPI 使用了多種技術,其有效性水平也各不相同。
然而,即使使用相當基本的 DPI 技術,也很容易發現 VPN 協議封裝的數據。數據包的內容保持安全加密,但 DPI 可以確定它已使用 VPN 協議加密。
對於執行 DPI 的組織來說,使用 DPI 檢測 VPN 流量無疑是嚴肅性的一個進步。
簡單的解決方案
使用移動連接
好吧,這對逃避政府封鎖不起作用,但它適用於學校、大學、工作場所等。而且它通常是迄今為止最簡單的解決方案。無需使用 VPN 來訪問本地網絡上阻止的內容,只需使用移動(蜂窩)連接在移動設備上訪問即可。
這確實意味著您必須支付通常的移動數據費用,但它允許您輕鬆檢查您的 Facebook 帳戶,而且幾乎不會因此而陷入麻煩。
嘗試不同的 VPN 提供商和/或服務器
如前所述,跟踪屬於所有 VPN 提供商的所有 IP 地址是一項艱鉅的任務。因此,切換到低調的 VPN 服務通常足以規避全面的 IP 封鎖。即使屬於特定 VPN 的某些 IP 被阻止,只需更改為同一提供商運行的不同 IP 也可能有效。
一些 VPN 提供商定期回收其 IP 地址。這使得跟踪更改和阻止新 IP 成為一件令人頭疼的事情。這種策略通常被稱為“打地鼠”遊戲。值得詢問您的提供商是否這樣做。
目前沒有多少 VPN 提供商完全支持IPv6(穆爾瓦德是我所知道的唯一一個)。然而,隨著新的 IPv4 地址變得不可用,這種情況幾乎肯定會發生變化。 IPv6 極大地擴展了可用 IP 地址的數量。這意味著隨著 IPv6 得到更廣泛的採用,簡單的 IP 塊將變得越來越無效。
推出您自己的 VPN
一個更極端但更有效的選擇是運行您自己的 VPN 服務器,然後從審查位置連接到它。
由於 VPN 服務器屬於您,因此這不提供使用商業 VPN 服務的通常隱私優勢。然而,它確實為您提供了您自己唯一的 VPN IP 地址,該地址不會被阻止。
你可以設置家用電腦充當您的個人 VPN 服務器,或租用和配置 VPS(這對於地理欺騙也很有用)。如果在 VPS 上運行自己的 VPN 看起來太困難,私人數據包.io可以為您完成繁重的工作。
專用IP地址
一些 VPN 提供專用 IP 地址。這意味著您不會與許多其他用戶共享 IP,而是會被分配一個唯一的 IP(就像您推出自己的 VPN 一樣)。由於該 IP 對您而言是獨一無二的,因此不太可能被 Netflix 和 BBC iPlayer 等網站屏蔽。不過,與推出您自己的 VPN 一樣,它不具備使用共享 IP 地址的隱私優勢。看看我們的適用於 iPlayer 的 VPN頁面了解有關解鎖英國內容的更多信息。
做好準備
當訪問中國等地時,最有效的策略之一就是做好準備!註冊 VPN 服務並下載其軟件前您的來訪。即使 VPN 提供商網站的訪問被阻止,VPN 連接本身通常也不會被阻止。
如果您沒有做好準備(或從未有機會),可以使用替代的審查制度技術來訪問 VPN 網站。然後您可以註冊並下載他們的軟件。
托爾網絡
托爾提供匿名性比破壞審查制度更好。這是因為對 Tor 節點的訪問很容易被阻止。Tor 橋可用於繞過 Tor 節點上的 IP 封鎖,以及obs代理(見下文)可用於隱藏 Tor 流量以防止深度數據包檢查。
Shadowsocks(影梭)
這是“一個開源代理應用程序,在中國大陸廣泛用於規避互聯網審查。”它是一個由中國開發者創建的開源反GFW工具/協議/服務器。基本上它是一個可用於大多數主要平台的 SOCKS5 代理。
湧
這與 Shadowsocks 類似,但僅適用於 iOS。
高麗菜
Lahana 源自 Tor,旨在通過使設置新節點變得“非常容易”來解決 Tor 出口節點容易被阻塞的問題。 Lahana 旨在擊敗土耳其的審查制度,但也應該在許多其他審查情況下發揮良好作用。
賽風
它結合使用 VPN、SSH 和混淆技術來繞過審查。例如,如果您在使用 VPN 時遇到阻塞,您可以切換到 SSH 或混淆的 SSH (SSH+)。 Psiphon 最好的事情之一是,如果您發現 Psiphon 網站被阻止,您可以請求通過電子郵件將軟件發送給您。
事實上,大多數 VPN 提供商也會很樂意讓您通過電子郵件註冊並下載他們的軟件。就問吧。
更改端口號
許多自定義 VPN 客戶端允許您更改它們使用的端口。這是克服端口阻塞的好方法。兩種最流行的端口選擇是:
TCP端口80- 這是所有“正常”未加密互聯網流量使用的端口。換句話說,它是HTTP使用的端口。阻止此端口實際上會阻止互聯網,因此幾乎從未完成。缺點是,即使是最原始的 DPI 技術也會發現使用此端口的 VPN 流量。
TCP端口443– 這是使用的端口HTTPS,保護所有安全網站的加密協議。如果沒有 HTTPS,任何形式的在線商務(例如購物或銀行業務)都是不可能的。因此,該端口被封鎖的情況非常罕見。
作為額外的好處,TCP 端口 443 上的 VPN 流量在內部路由TLS 加密由 HTTPS 使用。這使得很多使用 DPI 更難發現。因此,TCP 端口 443 是逃避 VPN 封鎖的首選端口。
許多 VPN 提供商提供使用其定制軟件更改端口號的功能(尤其是在使用 OpenVPN 協議時)。
即使您的不支持,許多 VPN 提供商實際上也支持在服務器級別使用 TCP 端口 443 的 OpenVPN。您可以通過對 OpenVPN 配置 (.ovpn) 文件進行簡單編輯來切換到它。因此,值得向您的 VPN 提供商詢問此事。
另一種選擇是使用SSTP協議(如果可用),默認使用 TCP 端口 443。
先進的解決方案
一些 VPN 提供商提供更先進的 VPN 阻止解決方案,旨在擊敗更敏感的 DPI 技術。此類技術分析數據包大小和/或時間來檢測 OpenVPN 相當獨特的握手,即使隱藏在 HTTPS 後面也是如此。
非常敏感(因此也非常昂貴,並且很少使用)DPI可能甚至在使用下面概述的策略時檢測 VPN 使用情況。高級 VPN 隱藏有 2 種基本方法:
隧道/SSL 隧道
stunnel 是一個開源多平台程序,用於創建 TLS/SSL 隧道。 TLS/SSL 是使用的加密HTTPS,因此通過這些 TLS/SSL 隧道路由的 VPN 連接(通常是 OpenVPN)很難與常規 HTTPS 流量區分開來。
這是因為 OpenVPN 數據被封裝在額外的 TLS/SSL 加密層中。由於 DPI 技術無法穿透這個“外”加密層,因此無法檢測“內部”的 OpenVPN 加密。
SSL 隧道通常使用隧道軟體.必須在 VPN 服務器和您的計算機上進行配置。因此,如果您想使用 SSL 隧道,則有必要與您的 VPN 提供商討論具體情況(可以使用設置指南)這裡供參考)。
是我所知道的唯一 VPN 提供商提供使用其定制的開源軟件實現“開箱即用”的 stunnel 功能。我對 Anonyproz 不太熟悉,但它可以配置為 stunnel,其他提供商也可能提供此功能。
SSH 隧道
這與 SSL 隧道類似,不同之處在於 VPN 數據被封裝在一層安全外殼(SSH) 加密代替。 SSH 主要用於訪問 UNIX 系統上的 shell 帳戶。它的使用主要限於商業領域,遠不如 SSL 流行。
與 SSL 隧道一樣,您需要與您的 VPN 提供商聯繫才能使其正常工作。
Obfsproxy(和類似技術)
Obfsproxy 是一個旨在將數據包裝到混淆層中的工具。這使得檢測 OpenVPN(或任何其他 VPN 協議)正在使用變得困難。
它一直被 Tor 網絡採用,主要是為了回應中國封鎖公共 Tor 節點的訪問。然而,它獨立於 Tor,並且可以針對 OpenVPN 進行配置。
要工作,obfsproxy 需要安裝在客戶端計算機(例如使用端口 1194)和 VPN 服務器上。但是,所需要做的就是在服務器上輸入以下命令行:
obfsproxy obfs2 –dest=127.0.0.1:1194 服務器 xxxx:5573
這告訴 obfsproxy 偵聽端口 1194(例如),本地連接到端口 1194 並將解封裝的數據轉發給它(xxxx 應替換為您的 IP 地址或 0.0.0.0 以偵聽所有網絡接口)。最好與 VPN 提供商一起設置靜態 IP,以便服務器知道要偵聽哪個端口。
與 stunnel 和 SSH 隧道相比,obfsproxy 不太安全。這是因為它沒有對流量進行加密。然而,它的設置和配置稍微容易一些,並且帶寬開銷要低得多,因為它不帶有額外的加密層。這對於敘利亞或埃塞俄比亞等地的用戶尤其重要,因為帶寬通常是關鍵資源。
一些提供商可能會使用類似於 obsfproxy 的替代技術。,例如,使用異或對其“xCloak”服務器進行混淆。
附錄
關於阿聯酋的說明
上述VPN封鎖的先進解決方案將大概防止 DPI 技術檢測到 VPN 使用(儘管阿拉伯聯合酋長國已大量投資在先進的互聯網監控系統中)。
然而,據信阿聯酋 ISP 還可能維護一個龐大的 VPN 服務器 IP 數據庫。他們可能只需通過您連接的 IP 即可輕鬆確定您正在使用 VPN(就像 Netflix 等網站所做的那樣)。
事實上,您似乎不太可能僅僅因為在阿聯酋使用 VPN 觀看 Netflix 而被起訴。然而,如果您以某種方式激怒了當局,那麼您使用 VPN 的事實可能會給他們提供針對您的危險武器。
我們始終建議在考慮時要格外小心在阿聯酋使用 VPN。
關於阻止 VPN 用戶的網站的說明
這種形式的阻塞可能很難克服。選擇一家低調的 VPN 提供商或定期回收其 IP 的 VPN 提供商可能會很有效。反複試驗是這裡的關鍵。
我們強烈建議您充分利用所提供的任何免費試用和退款保證。這將使您能夠親自了解哪些 VPN 服務適用於您想要流式傳輸的內容。
請記住,今天有效的服務明天可能會被阻止。因此,最好一次支付一個月的訂閱費用。這幾乎總是比每年支付更昂貴。但是,如果服務被阻止(並非其本身的過錯),您將不會留下對您毫無用處的一年訂閱!
也許也值得一看智能域名解析解決方案,而不是使用 VPN。智能 DNS 服務也可以被阻止,但這比較困難,而且不太可能發生。被禁止的智能 DNS 服務比 VPN 服務少。
某些 VPN 服務(例如 AirVPN)使用奇特的 DNS 路由。這允許您連接到美國 Netflix 和 iPlayer 等服務,即使您沒有連接到美國或英國(分別)的服務器!這並不總是 100% 有效,但仍然令人印象深刻。
結論
只要稍加橫向思考,絕大多數 VPN 障礙就相當容易克服。即使採用複雜且高度敏感的深度數據包檢測技術,stunnel 和 obfsproxy 等技術也非常有效。