审查因特网?有百害而无一益。

(State Dept./Doug Thompson)

来源: https://share.america.gov/zh-hans/censor-internet-bad-idea/

表达自由是美国的建国原则之一。随着科学技术为人们提供了自我表达的新方式,保护这一自由意味着不仅要保护书籍、报刊以及广播、电视中的内容,而且还要保护因特网上的内容。

由于宪法第一修正案(First Amendment)规定不能通过任何立法来限制言论自由,联邦、州及地方政府被禁止审查因特网上的内容。

联邦通信委员会(Federal Communications Commission)管理各州及国际间的广播、电视、线路、卫星和线缆通信。尽管因特网不能被简单地归入上述任何一类,但联邦通信委员会过去曾通过鼓励在美国采用先进的电信能力来对因特网施加影响。

布伦丹·卡尔(Brendan Carr)是联邦通信委员会的五位委员之一。他表示:"我们的观点同第一修正案一致,认为提供更多的信息一直是最好的及更好的途径。"

"政府不应当采取行动审查、删除或禁止因特网上的合法言论。"

~ 联邦通信委员会委员布伦丹·卡尔

这种方式不同于其他一些由政府在某些情况下管理公民对内容的获取的国家。一些政府限制直白的内容,还有政府所认定的仇恨性言论以及其他被认定具有冒犯性的内容。在北韩,大多数人根本不能与全球因特网连通。

卡尔说:"对言论的内容做出主观判断非常困难。经常出现的情况是,追究所谓的仇恨言论或其他类别的言论的政府行为者对于何为该类言论的看法可能与该国公民或其他政府极为不同。"

在美国,第一修正案旨在保护政治异见。

联合国于2012年在阿拉伯联合酋长国的迪拜(Dubai)召集国际电信世界会议(World Conference of International Telecommunications),以便在因特网时代更新国际电信条约。由于在关系到因特网自由的问题上存在分歧,一个由美国主导的80个国家组成的联盟最终拒绝签署更新方案。

电信公司的高管及加利福尼亚大学洛杉矶分校(University of California, Los Angeles)的教授特里·克雷默(Terry Kramer)当时率领美国代表团出席了会议。他说,拟议的更新方案中有一项试图限制spam(垃圾邮件)。

克雷默指出,在美国及其他很多国家,spam指的是人们不希望收到的商业邮件。但他接着说:"而我们在审视其他国家所说的'spam'时却发现,在很多情况下它们实际上指的是对政府有看法的人士。你一下子就会看到审查制度才是目的所在。我记得那种心中一凉的感觉。"

卡尔认为在因特网上保护政治异见最终会使政府受益。

他说:"我们必须在因特网上为对立观点保留充足的空间。我们的政府——以及全世界的政府——如果能听取本国公民的看法就将能更多地给予回应。而且如果公民不满意政府的所作所为,他们完全有权利表明这一点。"


墙后的一代:中国互联网儿童的成年礼

墙后的一代不需要接受和适应这个被塑型和改造过的互联网时代,他们就是这个时代本身。

又到年底,但我们发现年度关键词已经没法盘点这个2017了,我们必须说点新话。

现象就是材料,观察就是宣言。新时代迫在眉睫,如何适应它 是一个困扰全人类的问题,我们来一起寻找办法,谁都别落下。



几年前,我们描述过 "翻墙朋克的崛起" 这一网络社会现象。那是奥运之后没过多久,高歌猛进的油门还没踩到底,人们刚刚开始习惯每天用智能手机拍摄雾霾,一切好像都还有展开谈谈的空间 —— 然后眨眼之间,我们来到了2018;在日历的数字上做一下减法,你能突然发现外部世界就这么悄无声息地完成了十年的闭合,周围却安静和熟悉得跟去年或者去年的前年没任何区别,好像什么都没发生一样。而就是在这种悄无声息中,翻墙朋克们已变得不再矫健,墙后的一代则走向了成年。 

社交网络上,他给自己起名字是 "1号复制人",多数时候简写为 KID A。他在2000年10月2日生于中国南方,8岁时随母亲改嫁并搬到北京。等明年祖国母亲过69大寿的第二天,他也就满18岁了。与此同时,他的肉身母亲已经进入更年期,每天晚上睡不着时,她会翻看以 #中年 妇女为目标读者的公众号,竭力控制着自己不对早已经开始 #油腻 的第二任丈夫以及刚上大学、明明拥有一切却每天不知道在 #丧 什么的儿子失去耐心。关于 #二胎,她的想法是:这辈子有 KID A 就够了,而且是 "真他妈够了"。 

是的,在习惯性地盘点了太久的年度关键词之后,人们应该注意到 —— 从地基算起,墙已经建起来10年了,有些语境该打破了: 

不过 KID A 并不知道他母亲心里对他的评价,即使知道也不太关心。他关心或者也不那么关心的都是 —— 别的: 

首先是互联网。我们决定:从2018年开始,再也不把互联网当回事了。从今天起,它已经不再是一个唯一的、独立的、新鲜的、值得讨论的东西了,无论是这仨字后面跟着的是加减乘除。对于墙后的一代来说,Wi-Fi 信号就是空调吹出的风和饮水机里的水,是支付宝里就能随手买到的电和煤气,属于自然资源,是跟美国红脖子们的步枪一样的天赋人权。因此一切终极问题的解决办法都不再值得探索,世界本源就藏在 APP store 里:指纹验证+虹膜识别,确认、付款,end of story。在手机屏幕之外,值得关心的事情并不太多。 

比如大学。现在这个专业显然不是 KID A 想要的,但至于他究竟想要或者喜欢什么,好像也没有特别明确的答案。而且哥哥姐姐们的经验告诉他,四年后当他毕业时,学校外面的各行各业早就不知道又变成了什么样子,或许有些专业已经没有存在的必要了。即使他踏踏实实勤勤恳恳地学习考试实习答辩,也一定跑不过中国发展的疯狂高速。所以只好到时候再看吧,既然铁饭碗早就成了博物馆里展示的传说,那不如把关于未来的焦虑留给大四,反正这个迅速崛起的国家里最不缺的就是机会,以及一次次突如其来手足无措的变革。 

其次是墙本身。这听起来可能会让人想起村上春树在《世界尽头与冷酷仙境》里所描述过的那堵墙,以及独角兽与核冬天。不过那堵墙是有形的,作用是无形的(吸取记忆);而我们此刻谈论的这堵墙本身是无形的,作用却是有形的:墙塑造了墙后的一代的世界观,规范出了无界的边界。所以更准确的说法是:一切终极问题的解决办法确实在 APP store 里,而且是在那些被墙允许上架产品的使用说明之中。墙的好处之一在于,它为墙内的人们提供了原版付费之外更多的免费选择。对于墙后的一代来说,"移动支付" 基本就是微信支付和手机淘宝的代名词。 

但是他的淘宝购物车和亚马逊(中国)愿望单是等不了四年的。比起关于未来的焦虑,KID A 更关心这月的信用卡怎么还。父母给的生活费显然不够花,无论是想办法挣点小钱还是硬着头皮以 "陪女朋友过跨年夜" 为理由跟他妈再要3000,显然都无法补上京东刚刚送来的那台 iPhone X 所砸出的财务黑洞。于是在 KID A 眼中,价格数字才是衡量  "拥有人生" 和 "没有人生" 的唯一标准,他不想被贫穷限制了人生的想象力 —— 就像终于到了合法驾驶的年龄又怎样?跟上一代人刚上大学就急不可待地去考驾照不同,如今驾驶只是一项所有人都会的技能而已;因此能把彼此区分开的,只有宝马或者自达。 

从此翻墙不再是一种必须的生活方式,只是成为了佐证结论或者微调角度的可容忍变量。墙后的一代们不再需要为信息封闭而感到苦恼或愤怒,他们甚至不再会有这一层(毫无必要的)感受,因为他们的脑体已经进化出了更为高效的处理能力。渠道不再具有唯一性和方向性,于是自以为开放却实则垄断着的信源们,处境也开始变得越来越尴尬,换着花样试图重新回到话语权的争夺之中 —— 墙让墙后的一代,在短短十年里进化出了之前开放的二十年中的任何一代人所从未具备的 AI 式破壁能力。他们的意志可以自由而快捷地穿墙而过,获取所需后再回到墙内的大脑之中,整个过程不需要打开 VPN 的按钮即可实现。 

于是钱开始成为 KID A 真正关心的问题,而如何更加快速且愉悦地挣到钱,则是更值得考虑的事情。网贷当然不靠谱,打零工或者开网店来的小钱肯定也无法满足明年势必更为迫切的购物欲,那要不琢磨琢磨趁着拥有大学生这个身份赶紧创个业?共享这个那个已经开始过时了,是不是可以弄点更新鲜的花样?或者去看看外国人又搞出了什么最新的玩意,搬回来复制改良一番?KID A 吃着自选的外卖沙拉,在视频聊天时与父母随口谈起自己的这些想法后,正在忙着爬进公司最高管理层的继父和刚刚适应下地铁的最后一公里骑摩拜回家、让盒马来解决没机会逛菜市场问题的母亲,当天晚上都晚了半个多小时才顺利入眠。


他们才是这里的主角 —— 上面已经出现了两百遍的客体统称:墙后的一代。他们的童年开始于2008年前,那时中国还没有建成高速列车网络,人们大多生活在两级的有限选择中,互联网还是一个可以讨论问题或者寻找答案的地方。几乎以此为界,在他们真正有能力认识世界之前,墙突然在一夜之间平地而起。与翻墙朋克们面壁的姿势不同,墙后的一代是背靠着墙长起个头的,因此在体位上有着天然的肌肤之亲。而随着他们纷纷进入青春期,模糊且并不重要的记忆使他们已经可以坚信:墙是在我们出生时就已经存在的,这一点毋庸置疑,也并不值得在意。与上一代人相比,墙后的一代不需要接受和适应这个被塑型和改造过的互联网时代,他们就是这个时代本身;而在翻墙朋克们眼中,墙后的一代是缺席的幸存者:他们确实拥有物质极大化的选择空间,只不过 "空间" 这个词就意味着界限。 

他们不知道 KID A 这一代人究竟是怎么了,就像十几年前他们的父母也不明白他们那代人怎么了一样 。在他们看来,KID A 这代人似乎从7、8岁便开始了 在彩虹中 一般的人生,不仅毫无定性而且说变就变,动辄就敢推翻业已存在了几十上百年的既有概念。之前二元论的世界观在之后的这十年里突然衍生出多种选项,即使他们不停补课,恐怕也永远赶不上新词诞生的速度: 比如当他们刚刚明白 KID A 口中 "性别是流动的" 这句话是什么意思的时候,"LGBTQQIAAPPK " 都已经远远不够用来描述下一代们对于个体差异的精确定义需求。只不过在中国这样一个将奇幻与超速身体力行成为时代精神的国家,妄图数清楚这一年里的新生事物已经几乎是一件不可能的事儿,更别说清算两代人的童年世界之间到底有多大区别了,因此代际之间的差异最终也只会沦落为下一个不再有人关心的微博冷门话题。 

或许用英语来解释起来更清楚一点:墙后的一代不是 generation behind-wall,也不是 post-wall generation,他们与墙之间并不是时间或空间维度里的位置关系:他们就是墙 本身,generation wall。就像对于墙后的一代而言,墙的存在,也绝非仅仅是为了区分开 "墙外" 与 "墙内" 的定义性功能:从2008年开始,到十年后的今天为止,墙是这个业已构成了的世界的一部分,甚至是2018年之后的世界本源 —— 神的灵运行在墙面上。 

在社交媒体上,KID A 们的差异世界观表现得更为清晰:不管是性取向、宗教、种族还是意识形态,以前水火不相容的一切矛盾在他们看来都没有争论的必要,更没有兴趣去了解这些矛盾从何而来,也就不会从围观争论中感到任何愤怒或满足。这跟政治是不是正确没有一分钱关系,因为他们既不是在表态也不是在表达,而是真真切切这样长大的。我是我你是你,所谓 "尊重差异" 都是多此一举的动作要求 —— 难道不是本来就应该各玩各的吗? 

与翻墙朋克们相比,墙外的世界对于墙后的一代来说只不过是唾手可得的一本护照,代表着被地理边境隔开的另一个国家。他们没法体会墙被迅速盖起来的过程中,翻墙朋克们所认定的本应属于自己的东西被夺走了的感受;对于他们来说,代购和打折机票可以很简单地补充任何一种用钱可以买到的、也就再也不值钱的感受。墙后物质极大的财富世界是由可消费的数字组成的,同时数字的多少也是衡量墙体厚度的尺子。 

同样,KID A 也并不对出国这件事报有上一代人那样的热情。国外对于他来说无非是买东西更方便点儿而已,除此之外便似乎没有什么值得留恋的地方。不管是就业机会、社会治安还是生活成本,显然中国更能让 KID A 们尽快实现 "拥有人生" 的短长期目标。至于空气质量和意志自由 —— 他从生下就这样活过来了,似乎也没什么不对的。何况并不是所有事都只有一个标准和定论:北京今年冬天的天空不就挺蓝的吗? 

于是真正值得注意的,然而被我们完全忽视了的转折点就发生在这十年里,这是不亚于又一次文化革命的青年运动,却发生得悄无声息:对于墙后的一代来说,翻墙不再是一个值得描述的动作,他们显然有更为关心在乎的事情:在任何一种商品、服务、生活方式或者意识形态都可以明码标价的2018年,他们不需移动即可支付一切所需。从此不再有"应得" 和 "剥夺",不再有百度和谷歌,他们与世界之间不再有内外之分,甚至世界也不再有2008年之前的历史。 

可以想见的是,大学毕业后的 KID A 一定会比之前处在同样年龄的任何一代人都拥有更多的人生,无论到时候中国和世界又会分别变成什么样。他将继续呼吸着高速和频繁变革的空气、视变化为唯一的不变,他会在27岁之前离婚或者变性,每两年换一个工作,或者搬去另一个地方生活。他暂时无法变现的资产会越来越多,像父母一样难以入睡的情况则越来越少;每年最后一天的晚上,他会看着无所谓是哪里的窗外,觉得无论这样那样,都没什么大不了。 

信息和数据的时代已经结束,新的时代主题还在变化不定。因此从人类历史进程的角度说,墙后一代的崛起是一种突破壁垒的进步,break on through to the other side。 

在新年的第一天,KID A 会像平常的任何一个早晨一样醒来,他不会注意到手机锁屏界面上年份的数字变化,更并不在乎未来正用哪种姿势向他徐徐展开。

每周转载:EFF 创始人约翰·佩里·巴洛和他的《赛博空间独立宣言》


文章目录
★引子
★他创办了 EFF(电子前线基金会)
★他还创办了 FPF(新闻自由基金会)
★他发表了《赛博空间独立宣言》
★俺的点评:【不受政府监管】的网络空间,技术上完全可行
★附录:《赛博空间独立宣言》中文版

  很抱歉有20多天没有发新博文了。不过期间俺有上博客回复过评论,说明俺本人平安无事,大伙儿不必担心。

  最近一个多月,热点事件非常多。经济方面,有全球股灾和比特币暴跌;科技方面,有 SpaceX 的火箭;体育方面,有冬奥会......
  不过捏,上述这些话题,在墙内都已经有足够多的讨论。而俺的风格是:尽量写一些别人不敢写的或不愿意写的东西(比如政治敏感内容之类的)。
  所以,今天挑选了一个不那么热门的新闻,来作为"每周转载"。俺也借此机会再次强调一下:捍卫互联网自由的重要性


★引子

  前几天(2月7日),一个70岁的老头在睡梦中去世。他就是约翰·佩里·巴洛(John Perry Barlow)——捍卫互联网自由的先驱。今天,俺以这篇博文向他致敬。





  1990年,巴洛与 Mitch Kapor 和 John Gilmore 创立了"电子前线基金会"(Electronic Frontier Foundation)。
  这个基金会的影响力还是挺大滴,俺在博客上也提到过它。在成立至今的27年里,基金会致力于如下:
参与和支持那些旨在促使公众了解更多有关计算机和通信领域发展带来的机遇与挑战的教育活动。
促使政策制定者对那些构成通信的自由和开放的基本问题有更好的了解,支持那些可改善社会接受这些新技术的法律和结构变革方式。
提高公众对随新计算机通信媒介迅速发展而产生的公民自由问题的认识。
支持公益诉讼,在计算机和通信技术领域内,维护、保护和扩展宪法第一修正案。
鼓励和支持新技术的开发,以使非技术用户可不受任何影响且方便地接触到新通信技术。
  维基百科上有一个清单(链接在"这里"),列出了 EFF 成立至今所参与的各种诉讼,涵盖范围非常广,涉及了【互联网自由】的方方面面。
  另外,该基金会还开发了一些知名的隐私保护工具,比如:HTTPS Everywhere、Privacy Badger、Switzerland


★他还创办了 FPF(新闻自由基金会)

  2012年,巴洛与另外几人(Daniel Ellsberg, Trevor Timm, and Rainey Reitman)创立了"新闻自由基金会"(Freedom of the Press Foundation)。
  这个基金会主要致力于保护新闻机构的言论自由。因为成立的时间比较晚,其知名度不如 EFF。不过基金会的董事中有好几个是世界级名人,比如斯诺登格伦·格林沃尔德


★他发表了《赛博空间独立宣言》

  1996年,为了回应美国政府通过的电讯法案,巴洛发表了赫赫有名的《赛博空间独立宣言》,洋文叫做《A Declaration of the Independence of Cyberspace》。
  (考虑到某些同学不太熟悉"赛博空间"一词,俺稍微说明一下:这个词可以通俗地理解为"互联网")
  巴洛在这个宣言中勾画了一幅关于互联网的蓝图,以下是宣言中的几个要点:(想看中文全文的同学,请跳到本文末尾的"附录")
赛博空间是【虚拟】社会,不同于传统的【现实】社会
赛博空间本身具有【自治性】
赛博空间相对于政府的【独立性】
政府【没有】任何道德权利来统治赛博空间

  这份宣言让巴洛名声大噪,他甚至被媒体称为"互联网时代的托马斯·杰斐逊"。


★俺的点评:【不受政府监管】的网络空间,技术上完全可行

  宣言勾画了一幅蓝图——【不受政府监管】的网络空间。
  对此,存在两极化的看法——有些人觉得巴洛太过于理想主义,根本不可能实现;还有一些人深受这个宣言的鼓舞,并为之奋斗。
  俺个人觉得这个蓝图是可以实现的,而且能够通过【纯技术】的方式来实现。关于"技术细节"的讨论,就不再这里展开了——感兴趣的同学可以去看俺的另一篇博文《"对抗专制、捍卫自由"的 N 种技术力量》。

  可能某些读者会觉得俺太过于乐观,所以顺便再聊一下俺最近几年的一个尝试——利用【分布式网盘】对抗政府监管(如果你是老读者,对俺那个网盘应该很熟悉了)
  所谓的【分布式网盘】,是俺利用 BTsync 搭建的一些同步目录。这些目录中放置了大量的电子书(每个目录对应一个学科)。想要获取电子书的同学,只需要添加某个目录的同步密钥,就可以把该目录所有的电子书【自动同步】到自己的电脑。(没听说过 BTsync 的同学,请参见《扫盲 BTSync(Resilio Sync)——不仅是同步利器,而且是【分布式】网盘》)
  和传统的网盘相比,这种模式【不对应】某个实体的服务器,也【不对应】某个实体的网站。因此具有很多显著的优点:
1. 任何政府(包括美国政府)都【无法关闭】这个网盘——(注:网盘的 P2P 网络有成千上万的节点,分散在许多国家)
2. 在这个网盘上分享的电子书,不受任何国家的版权法的制约——(注:如果连政府都无法关闭它,版权法又能奈我何?)
3. 没有存储空间的限制——(注:只要俺本机的硬盘足够大,就可以分享足够多的书)
4. 可以连续多年不间断运作——(注:网盘的 P2P 网络有成千上万的节点,天然的"高可用性")
5. 性能非常好——(注:网盘的 P2P 网络有成千上万的节点,天然的"负载均衡")
6. 有上述这么多优点,还不用花钱 :)

  俺举这个例子是想说明——至少在【网盘】这个领域,咱们已经可以【彻底打败】政府的监管了。
  随着技术的进步,咱们可以在越来越多的领域击败政府的监管!对此,俺非常有信心!!!


★附录:《赛博空间独立宣言》中文版

  这份宣言的英文原文位于 EFF 官网(在"这里"),俺找了一个中译本(出处在"这里"),并把中文内容贴在下面。

赛博空间独立宣言
  工业世界的政府,你们这些肉体和钢铁的巨人,令人厌倦,我来自赛博空间,思维的新家园。以未来的名义,我要求属于过去的你们,不要干涉我们的自由。我们不欢迎你们,我们聚集的地方,你们不享有主权。
  我们没有民选政府,将来也不会有,所以我现在跟你们讲话,运用的不过是自由言说的权威。我宣布,我们建立的全球社会空间,自然地不受你们强加给我们的专制的约束。你们没有任何道德权利统治我们,你们也没有任何强制方法,让我们真的有理由恐惧。
  政府的正当权利来自被统治者的同意。你们从来没有要求过我们的同意,你们也没有得到我们的同意。我们没有邀请你来,你们不了解我们,不了解我们的世界。赛博空间不在你们的疆界之内。不要认为你们可以建造这样一个疆界,好像建造一座公共建筑。你们没有这个能力。这个疆界是一件自然行为,它将从我们的集体行动中生发出来。
  你们从来没有参加过我们的大会,你们也没有创造我们的市场财富。对我们的文化,我们的道德,我们的不成文法典,你们一无所知,这些法典已经在维护我们社会的秩序,比你们的任何强制所能达到的要好得多。
  你们说我们有问题,你们要解决这些问题。你们用这个借口侵犯我们的领地。你们所宣称的这些问题,许多都不存在。真正冲突出现的时候,不公正出现的时候,我们自己会鉴定它,用自己的方式解决它。我们正在形成我们自己的社会契约。治理将出现,但根据的是我们世界的情况,不是你们的。我们的世界,是不同的。
  赛博空间由交易、关系和思想本身构成,它们像一道永恒的波浪,在我们的交流之网上部署着。我们的世界无处不在,又无处可寻,我们的世界不是肉体存在的世界。
  我们正在创造一个新世界,人人都可以进入这个世界,而不必考虑由种族、经济力、武力、出生地而来的特权或偏见。
  我们正在创造一个新世界,人人、处处可以表达他或她的信仰,无论这种信仰是多么古怪,而不再害怕被强制沉默或强制一律。
  你们关于财产、表达、身份、迁徙的法律概念及其关联对我们不适用。这些概念建立在物质的基础上,我们这里没有物质。
  我们的身份不涉及肉体,所以和你们不一样,我们不能通过肉体的强制来获得秩序。我们相信,我们的治道将从伦理、明智的自我利益和公益中产生出来。我们的身份可能分布在你们许许多多的法律管辖中。我们全部的立宪文化能够普遍认可的唯一法律就是这样一个法则:己所不欲,勿施予人。我们希望能在这个基础上确立我们特殊的解决方案。但是我们不能接受你们企图强加给我们的解决方案。

科学上网:ubuntu 16.04 服务器上搭建Shadowsocks服务


来源:https://linghucong.js.org/2016/04/20/setup-Shadowsocks-on-ubuntu-1604/

前言

科学上网应该是必备技能了,但是一些免费的方案如goagent等实在是太不稳定。购买自己的服务器,然后自己搭建梯子不失为一种较好的解决方案。本文就来在ubuntu 16.04服务器上使用Shadowsocks搭建自己的科学上网工具。

Shadowsocks由于政策原因,在百度里是搜不到的,因此本文也随时可能被河蟹,关注公众号(linghucong_wx)以防万一吧!

shadowsocks 服务器安装

更新软件源

1
sudo apt-get update

然后安装 PIP 环境

1
sudo apt-get install python-pip

直接安装 shadowsocks

1
sudo pip install shadowsocks

运行 shadowsocks 服务器

启动命令如下:如果要停止运行,将命令中的start改成stop。

1
sudo ssserver -p 8388 -k password -m rc4-md5 -d start

也可以使用配置文件进行配置,方法创建/etc/shadowsocks.json文件,填入如下内容:

1
2
3
4
5
6
7
8
9
{
"server":"my_server_ip",
"server_port":8388,
"local_address": "127.0.0.1",
"local_port":1080,
"password":"mypassword",
"timeout":300,
"method":"rc4-md5"
}

各字段的含义:

字段含义
server服务器 IP (IPv4/IPv6),注意这也将是服务端监听的 IP 地址
server_port服务器端口
local_port本地端端口
password用来加密的密码
timeout超时时间(秒)
method加密方法,可选择 "bf-cfb", "aes-256-cfb", "des-cfb", "rc4″, 等等。

Tips: 加密方式推荐使用rc4-md5,因为 RC4 比 AES 速度快好几倍,如果用在路由器上会带来显著性能提升。旧的 RC4 加密之所以不安全是因为 Shadowsocks 在每个连接上重复使用 key,没有使用 IV。现在已经重新正确实现,可以放心使用。更多可以看 issue。

Tips: 如果需要配置多个用户,可以这样来设置:

1
2
3
4
5
6
7
8
9
10
{
"server":"my_server_ip",
"port_password": {
"端口1": "密码1",
"端口2": "密码2"
},
"timeout":300,
"method":"rc4-md5",
"fast_open": false
}

创建完毕后,赋予文件权限:

1
sudo chmod 755 /etc/shadowsocks.json

为了支持这些加密方式,你要需要安装

1
sudo apt–get install python–m2crypto

然后使用配置文件在后台运行:

1
sudo ssserver -c /etc/shadowsocks.json -d start

配置开机自启动

编辑 /etc/rc.local 文件

1
sudo vi /etc/rc.local

在 exit 0 这一行的上边加入如下

1
/usr/local/bin/ssserver –c /etc/shadowsocks.json

或者 不用配置文件 直接加入命令启动如下:

1
/usr/local/bin/ssserver -p 8388 -k password -m aes-256-cfb -d start

到此重启服务器后,会自动启动。

安装和配置shadowsocks客户端

最新版本的shadowsocks客户端可以从其Github上下载.
客户端配置及使用方法可以参考这里的教程
iPhone及安卓手机上的配置,可以参考这个教程

需要特别注意的是,在Chrome上需要设置代理为SOCKS v5模式,127.0.0.1:1080,建议安装SwitchySharp扩展. 具体示例可以参考这里

Reference

shadowsocks
shadowsocks.org
教你一步一步自己搭梯子
shadowsocks-install-and-optimize



微信 = GFW





更多关于微信审查的报道:

在近两年前的「微信并不是在『管理』外部链接,因为微信公众号在事实上(de facto)不允许任何外部链接」一文中,我说:

微信是商业逻辑下的 GFW。GFW 是行政逻辑下的微信。

今时不同往日。今天我们可以把前半句改为「微信是 GFW」。

Telegra.ph  Telegram 推出的文章发布系统。吾友 lepture 首先发现了 Telegra.ph 链接在微信里不仅无法直接打开,连「用 Safari 打开」按钮都神秘消失。如果妳在微信里发一条 Telegra.ph 链接给我,我只能手打链接用浏览器访问。

多年前,谷歌旗下的博客服务 Blogger(域名以 .blogspot.com 结尾)在中国被封锁。在今天微信已经成为很多中国人事实上的浏览器的情况下,它对域名的封锁在实际效果上已经接近 GFW 的封锁:微信无法打开的链接,对大部分人而言就是打不开的链接。单单这一点,就足以成为不用微信的理由。

如果妳打算逐步放弃微信,可以根据我做的《一天世界》聊天软件安全图例选择聊天软件。


简单介绍一下网络连接的封锁与反封锁

来源:https://cnsteem.com/cn/@v2ray/6knmmb

最近一段时间,针对网络连接的战争愈演愈烈,双方都在尝试不同的策略。以至于对于新人来说,很难理解哪些已经发生过,哪些还在尝试中。于是我打算写篇文章来简单介绍一下整个故事的来龙去脉。

史前时代

最早的封锁大约是 DNS 投毒和 IP 黑名单。具体细节这里不表,简单来说就是 1) 对于特定域名比如 google.com,你的浏览器解析不到正确的 IP 地址; 2) 即使碰巧解析到了正确的 IP 地址,由于 Google 在亚洲地区的 IP 地址就那么几个,发往这几个 IP 地址的数据包被全部丢弃(或 TCP Reset),也就导致了用户死活访问不到 google.com

攻防战 1.0

由于被封的 IP 依然是少数,而 Google 在全球的 IP 数量庞大,于是网友们很快想到了解决方案,就是使用 hosts 文件指定 IP 地址。虽然亚洲地区的 IP 被封了,但美国、欧洲甚至是南美洲依然有可以访问的地址,速度慢是慢了点,但总比上不去的好。于是 hosts 文件这个方案流行了那么一段时间。

后来封锁升级了,不是针对 IP 地址的了,而是针对每一个网络连接。受限于为数不多的几个出入境节点,网民的每一个出境网络连接实际上都被扫描过一遍。于是网络协议最初设计时,并未考虑封锁这回事,无论是 HTTP 还是 HTTPS,只需要扫描每个连接的前几十个字节,就可以得到其目标地址(域名)。HTTP 是通过其 Host 头,而 HTTPS 是通过 SNI

至此,针对域名,没有封不掉的,只有不想封的。

在直线连接几乎不可能的之后,那就只能绕路了,也就是代理。代理的主要三种模式是 Socks、HTTP 和 VPN。三种模式各有利弊:

  • Socks 可以代理 TCP 和 UDP 连接,但其数据包是明文的,依然逃不过上述检测;
  • HTTP 可以有 TLS 加持,但只能代理 TCP 连接,对 UDP 无效;
  • VPN 可以代理包含 TCP / UDP 在内的各种连接,但 VPN 会转发几乎所有的数据,在可以访问 Google 的同时,可能就不能访问优酷了(地区限制)。

然后 Shadowsocks 横空出世。

Shadowsocks 本质上是 Socks 的加密版本,可选择多种加密方式。一旦加了密,其传输的数据就无法被第三方检测了。并且 Shadowsocks 在转发数据之前,可以对其目的地进行判断,比如可以只转发去往 Google 的流量,而优酷的流量依然直连。在经常一段时间的优化之后,Shadowsocks 可以达到一个全局较快的连接速度,比上述的几个代理方式都要好。

由于 Shadowsocks 太过火爆,其作者被公安机关约谈,勒令不得继续参于相关项目的开发。

攻防战 2.0

中国那么多人,要把相关人员一一找出来喝茶,也不是一件容易的事。封锁这事,还得从网络连接着手。

对于一台国内的机器往一个国外的服务器发送数据的网络连接,有两种检测方式,被动式和主动式。

被动式是指检测方只观察连接中传输的内容,当内容符合某种模式(比如关键字)的时候,就把连接中断,或者服务器 IP 列入黑名单。上述的所有封锁方式均为被动式。

而主动式指的是,当观察到一个不可识别的连接时,检测方主动发起一个去往服务器的连接,通过一些编造的数据,探测出服务器是不是一台代理服务器。

Shadowsocks 协议曾被指出一个严重的安全性问题。只需要不到 16 次主动探测,就可以 100% 断定服务器是否在运行 Shadowsocks。具体来说,初版 Shadowsocks 协议依赖于连接头部的某一个字节来读取目标地址,这个字节的取值只有三种。当这个字节的取值不合法时,Shadowsocks 会快速中断连接,否则继续读取剩下的内容。于是这一特征可被用于探测一个服务器是否为 Shadowsocks 代理。

为了应对这一探测方式,Shadowsocks 对其加密方式升级了两次(OTA 和 AEAD)。目前看来这一漏洞,以及其它可能的主动探测方式,都被避免了。

同时期还有多个流行的翻墙工具,其原理和 Shadowsocks 大同小异,这里略过。

番外篇 1.0

既然代理工具有漏洞,那么检测工具也一会有漏洞。只要发现并利用这些漏洞,一样可以突破封锁。

曾经有一个项目"西厢计划",就是利用了检测工具的漏洞,伪造了一些数据包,使它在检测方看上去上一个网络连接,但在目的服务器看来又是另一回事。检测方以为自己已经封锁了该连接,但实际上并没有。

和 Shadowsocks 的升级一样,检测方的算法也一样可以升级。升级之后,西厢计划便失效了。

攻防战 3.0

从信息学的角度来说,Shadowsocks 协议是一个近乎完美的协议。它的数据完全随机,无法 100% 确定这个网络连接是否为 Shadowsocks。但从另一方面来说,网络数据并不是均匀分布的,保守来说,HTTP 和 HTTPS 流量占据了 70% 以上。而如果一个服务器接收的流量 90% 是杂乱无章的,那么它就很可疑了。虽然检测方不能严格证明那就是 Shadowsocks,但秀才遇到兵啊……

既然随机数据可疑,那我们就把数据伪装成 HTTP 或者 HTTPS 好了。由于 HTTPS 是大势所趋,并且 HTTPS 传输的内容天生不可能被破解,把代理数据伪装成 HTTPS 也是一个比较合理的选择。

由于检测方无法判断一个 HTTPS 连接是正常的网站流量,还是代理。如果封锁所有的 HTTPS 流量,那无疑是一个杀敌五百,自损一千的昏招。当然急病乱投医也是有可能的……

第二战场 1.0

所有的代理工具都不是系统自带的,用户使用代理工具之前,需要先下载和安装。于是封锁下载途径也是一种封锁。Apple 就按要求移除了所有 VPN 应用。此战场防御方完败 😂

目前明面上的攻防到此为止,接下来说说一些想法和揣测

攻防战 4.0

虽然流量经过了加密,但加密的只是内容,不能排除还有其它的特征。比如 TLS (HTTPS 所用的加密协议)的握手环节,客户端和服务器互相发送的数据是有规律的。比如握手三次,每一次的数据量大致是固定的。如果有一个连接,也有三次握手,每一次的数据量和 TLS 相当,但是内容是混乱的,那么这个连接是不是 Shadowsocks 连接呢?当然 Shadowsocks 有一些额外的数据,这个另说。

目前翻墙圈在这一问题上有很大的争论。对于检测方是否足够强的技术做类似的检测,以及是否有足够的把握只封代理都存在疑惑。但毫无疑问,这将是下一个值得研究的领域。

另一个热点是分布式或者P2P。

这一领域已经被 Tor 证明为成功或者失败了(取决于你怎么看待 Tor)。我个人不喜欢 Tor 因为它速度太慢。虽然 P2P 这一术语最近很热,听上去也很有希望,但实际上它并不适用于翻墙。翻墙的过程需要【墙内的P】2【墙外的P】,并不是任意两个 P 都可以自由组合的。

目前对翻墙 P2P 的研究和应用都比较少,前景不明朗,观望中。

以上是对翻墙历史的简单总结,希望对新人有帮助。