长微博： 中文互联网内容的枯萎有目共睹

https://weibo.com/5992829552/LaRumo8kz （如已经断链，请访问历史档案 ）

中文互联网内容的枯萎有目共睹，在这个过程中，我时常感到遗憾的一件事就是很多早期网络优秀内容的消逝。

今天不少年轻网民恐怕没有切身体会，中文互联网曾经在很多年前有过一段内容上的黄金时代，那时候，整个网络洋溢着一种朝气蓬勃的理想主义色彩，很多高水平作者在没有任何经济回报的情况下，创作出了一大批优秀内容，从翻译精良的冷门美剧到事无巨细的游戏攻略，从跌宕起伏的探险游记到深入浅出的影视解说，那些文章在读的时候，能强烈地感觉到作者是在巨大的热情推动下自发创作的，丝毫没有当下网络文章中那些对爆点的谄媚以及对网络暴力的顾虑，就是纯粹而澎湃的表达。

我曾经在一个格斗论坛上读过一篇帖子，是个拳击老手分享如何给训练伙伴拿靶的经验，文章里详细讲解了作为靶师要如何带动训练伙伴的节奏，如何磨练伙伴的协调性，如何让伙伴提升对距离的敏感，乃至如何细微修正伙伴拳头的落点以提升击倒的可能，那篇文章图文并茂，行文干脆，我一边看一边点头称是，照着模仿了几周后，我给人拿靶的水平大涨，尤其是双方配合渐入佳境后，那密集又节奏明快的清脆打击声犹如爵士鼓点，引得旁边训练的人都纷纷过来围观，今天要是录个短视频发网上，弄个几百万观看问题不大，而那个拳击老手要是把自己的经验做成收费课程，卖给健身房的Kevin们，发笔横财也不是问题，但今天，我已经找不到那篇免费文章了，因为它所在的格斗论坛早就关闭了。

事实上，每当一个沉淀多年的BBS关闭时，也就意味着一些曾经积累在其中的优质内容永远地消失，而创作那些优秀内容的高手们可能也就从此消失于人海，我们当初没有对那些珍贵内容有所整理和继承，我们满不在乎地放任了它们的消失，就好像在燃烧的图书馆前哼着曲儿围坐打牌一样。

我们当初之所以会那么淡然，是因为我们相信消失的东西将来还能找回来，然而，当我们走进青烟缕缕的废墟后才发现，大火带走了太多的孤本。

评估苹果的iCloud Private Relay的抗封锁能力

https://gfw.report/blog/private_relay_censorship/zh/

 

苹果公司于2021年9月20日，发布了一项名为iCloud Private Relay (archive)的新服务，包含在iOS 15， iPadOS 15和macOS Monterey中。

尽管苹果公司没有将它的翻墙功能作为卖点，在这篇报告中，我们试图理解iCloud Private Relay的翻墙价值。首先，基于我们的测量和对苹果文档的理解，我们介绍Private Relay的工作原理。接着我们通过在中国进行的测量实验实证性地评估Private Relay的抗封锁能力。截止2021年9月23日，我们尚未发现Private Relay被防火长城审查的迹象。我们还将讨论Private Relay面对常见的审查方式（如DNS劫持，SNI过滤，IP封锁，主动探测，和自我审查）时的抗封锁能力。最后，我们将提出一些关于Private Relay的重要但还未解决的问题。

我们无意将这篇报告作得面面俱到。而仅想抛砖引玉地介绍我们的测量方法、观察及想法。我们鼓励更多的互联网审查爱好者做更深入的研究。

主要发现

• 截止2021年9月23日，我们尚未发现Private Relay被防火长城审查的迹象
• Private Relay可以很容易地被常见的审查方式封锁，包括DNS劫持，SNI过滤，IP封锁，主动探测，和自我审查。主动探测Priavte Relay服务器也许也是可行的。
• Private Relay这项服务已被苹果在包括中国在内的许多国家和地区自我审查。但用户报告只需使用相应的国外iCloud账户即可绕过禁用。

介绍

以下介绍基于我们的测量和对苹果的文档的理解。简而言之，Private Relay采用两跳结构，由一个入口节点和一个出口节点组成：

  ------------
 | DNS 服务器  |
  ------------
       ^
       |
    A mask.icloud.com?
HTTPS mask.icloud.com?
       |
       0
       |
    ------           -------------           ------------           ------
   |客户端 | <==1==> |   入口节点   | <==2==> |   出口节点   | <==3==> |目标网站|
    ------           -------------           ------------           ------

• 第0步： 客户端发送两个明文的DNS请求到DNS服务器。请求的类型为A和HTTPS，请求的域名为mask.icloud.com或mask-api.icloud.com。目的是得到入口节点的IP地址。
• 第1步： 客户端选取其中一个DNS服务器返回的IP地址，并发送QUIC初始包到入口节点的443端口。
• 第2步： 根据文档，“出口节点由第三方运行，会生成一个临时IP地址，解密得到请求的目标网站地址，并与网站进行连接”。
• 第3步： 出口节点和目标网站间的流量与，不启用Piravte Relay时，客户端和目标网站间的流量完全相同。

捕获iPhone与入口节点间的流量

一种自然想到的捕获和分析移动设备流量的方式是，在手机上建立起工作在网络层的VPN，把所有传输层及更上层的流量都转发到一个（本地的）服务器上，再在服务器上运行tcpdump或者wireshark。然而我们发现在VPN打开的状态下，iCloud Private Relay是无法启用的。

作为替代方式，我们在电脑上建立起无线热点，并让iPhone连上去。我们这样就可以在电脑上捕获并分析流量了。我们用了以下脚本搭建无线热点，脚本借用了这个教程里的知识。

#!/bin/bash

set -x
set -e

## Source: https://computingforgeeks.com/create-wi-fi-hotspot-on-ubuntu-debian-fedora-centos-arch/

## 记得将IFNAME替换成你的Wi-Fi network interface的名字: `ip link show`
IFNAME="wlp4s0"
CON_NAME="MyHotSpot"
PASSWORD="77fdda98a6feaf6cc9"

nmcli con add type wifi ifname "$IFNAME" con-name "$CON_NAME" autoconnect yes ssid "$CON_NAME"

nmcli con modify "$CON_NAME" 802-11-wireless.mode ap 802-11-wireless.band bg ipv4.method shared

nmcli con modify "$CON_NAME" wifi-sec.key-mgmt wpa-psk
nmcli con modify myhotspot wifi-sec.psk "$PASSWORD"

nmcli connection show "$CON_NAME"

nmcli con up "$CON_NAME"

nmcli connection show "$CON_NAME"

在观察DNS和初始的QUIC流量时，我们发现以下过虑条件很好用：

quic.long.packet_type == 0 or udp.port == 53

测量当前的审查并评估潜在的审查成本

在这一节中，我们将测量中国当前对于Pirvate Relay的审查，并讨论审查者采用常用审查方法检测并封锁Private Relay的成本。

DNS劫持

前面提到客户端会通过DNS查询得到一个入口节点的IP地址，然后用QUIC协议与其建立连接。因为这些DNS请求（很有可能被故意设计成）是明文的，因此容易受到DNS劫持攻击。事实上，苹果公司自己就建议使用DNS劫持来“最快速和稳定”地封锁Private Relay：

The fastest and most reliable way to alert users is to return a negative answer from your network’s DNS resolver, preventing DNS resolution for the following hostnames used by Private Relay traffic. Avoid causing DNS resolution timeouts or silently dropping IP packets sent to the Private Relay server, as this can lead to delays on client devices.

mask.icloud.com

mask-h2.icloud.com

我们观察到客户端有两种获得入口节点地址的方式。第一种方式是：

1. 客户端首先发送两个DNS查询，查询类型为A和HTTPS，查询的域名为mask.icloud.com。DNS应答包含一个CNAME答案mask.apple-dns.net，以及多个A答案。
2. 客户端选择DNS应答包中的第一个答案，即那个CNAME答案。客户端因此需要再次发送两个DNS查询，查询类型还是A和HTTPS，查询的域名为mask.apple-dns.net。
3. 客户端接着还会选取DNS应答包中的第一个答案，这次是A答案。

第二种方式是：

1. 客户端首先发送两个DNS请求，查询类型为A和HTTPS，查询的域名为mask-api.icloud.com。DNS应答包含一个CNAME答案mask-api.fe.apple-dns.net，以及多个A答案。
2. 客户端选择DNS应答包中的第一个答案，即那个CNAME答案。客户端因此需要再次发送两个DNS查询，查询类型还是A和HTTPS，查询的域名为mask-api.fe.apple-dns.net。
3. 客户端接着还会选取DNS应答包中的第一个答案，这次是A答案。

我们没有观察到客户端会查询文档中记录的mask-h2.icloud.com。这篇报告也提到没有观察到包含mask-h2.icloud.com的DNS查询。

测量中国当下的DNS审查

虽然污染上述提到的域名对GFW来说小菜一碟，但是我们还并未观察到GFW真的采取审查。具体而言，我们从中国发送上述DNS请求到国外，也从国外发送请求回中国，来让GFW的设备看到我们的请求。你即使不在中国，也同样可以利用GFW不区分DNS来源于国内或国外的特性，来测量DNS污染。需要注意的是，dig命令尚不支持发送HTTPS类型的DNS请求。如果使用dig @1.1.1.1 mask.icloud.com -t HTTPS +timeout=2这样的请求，它会自动回落到发送A类型请求。因为回落警告不足够明显，大家要当心回落带来的测量失误。

我们因此在从国外发DNS请求往国内时，使用了以下脚本，调用Scapy发送DNS请求。这里我们用到的104.193.82.0是一个中国的IP地址，而且这个中国的IP地址没有运行DNS服务，这样如果我们收到了任何DNS答复，那么一定是GFW或其他中间人伪造的。我们因此也就可以判断GFW是否审查了相应的域名。

#!/usr/bin/env python3

# 这个脚本只负责发送DNS请求，不负责接收DNS应答。
# 如果想观察DNS应答，请使用tcpdump或者wireshark。比如：
# sudo tcpdump host 104.193.82.0

from scapy.all import *

# https://www.ietf.org/archive/id/draft-ietf-dnsop-svcb-https-07.html#name-the-svcb-record-type
TYPE_HTTPS=65

CHINESE_IP="104.193.82.0"

for qname in ["mask.icloud.com",
              "mask-api.icloud.com",
              "mask.apple-dns.net",
              "mask-api.fe.apple-dns.net",
              "mask-h2.icloud.com"]:
    for qtype in [TYPE_HTTPS, "A", "AAAA"]:
        send(IP(dst=CHINESE_IP)/UDP(dport=53)/DNS(rd=1, qd=DNSQR(qname=qname, qtype=qtype)))

SNI过滤

正如这个答案所介绍的，虽然QUIC中的Clienthello消息是加密的，但密钥是由固定的salt和明文的Destination Connection ID导出的。QUIC的初始包因此也就可以被很容易的解密。事实上，新版的Wireshark就可以自动地解密客户端发出的QUIC初始包。

审查者也因此可以加密QUIC初始包并检查其中的SNI值是否为mask.icloud.com。

测量当下中国的(QUIC-)SNI审查

我们测试的方法是抓取客户端发送的初始包，然后在中国的服务器上重放。我们观察到服务器会回以QUIC握手包。我们还没有观察到审查者阻断这一过程。

举例来讲我们首先将以下十六进制流存入名为quic.hex的文件:

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

我们再将其发送到入口节点，并得到了回应:

xxd -r -p quic.hex | nc -u mask.icloud.com 443 -v

注意从生成这个十六进制荷载的大约两天后，发送它已经不能再能得到入口节点的回应了。如果重放刚生成的初始包，应该还可以触发入口节点的回应。

(Quic-)TLS指纹过滤

如上所述，QUIC初始包可以被很容易的解密得到ClientHello。这就给了审查者采用基于TLS指纹的审查的可乘之机。

我们对Private Relay的TLS指纹的观察于这篇报告基本一致：

The connection to the relay uses QUIC to port 443/UDP and TLS 1.3. The clienthello includes the server name extension and the server name “mask.icloud.com.” Only 3 cipher suites are offered (TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256). The server ends up selecting the AES128 suite. Application Layer Protocol Negotiation (ALPN) is also used, with unsurprisingly HTTP/3 being the only option.

除了引文中提到的3种密码套件外，我们还观察到了第四种Grease ciphersuit (0x2a2a)。

作为旁注，我们还观察到了ClientHello中包含了两个GREASE extensions：0xAAAA和0X3A3A。他们不太可能是被用于验证相关的目的（如果真的是被用作验证目的，那就是很不服合标准的做法）。GREASE extensions其实并不罕见；浏览器也会发送它们。正如这篇文档所解释的，它们被用来“保证TLS实现可以正确的处理不认识的值”。换而言之，因为GREASE的存在，TLS实现就不能假设只会收到和处理某些特定的值了。

我们很好奇tlsfingerprint.io是否能告诉我们这些（或者任何）(QUIC) ClientHello的指纹有多特殊？(@sergeyfrolov, @ewust)

主动探测入口节点

我们发现在大约两天之内重放QUIC初始包到入口节点，入口节点都会回以发送握手包。我们还尝试使用quic-go和curl --http3对入口节点进行典型的Quic握手，SNI为mask.apple.com。但入口节点并不回应。我们怀疑这与合法客户端发送的ClientHello的ALPN extension有关。但入口节点是否回应也可能还与其他的验证信息有关。

封锁入口节点的IP地址

如前所述，从中国发送的QUIC握手包可以得到入口节点的回应。这说明，至少我们测量的IP地址还没有被封锁。

但是仍有很多方法封锁入口节点的IP地址，比如审查者可以：

1. 封锁所有解析mask.icloud.com，mask-api.icloud.com或 mask-h2.icloud.com时返回的IP地址。
2. 观察QUIC链接中SNI为mask.apple.com的服务器IP地址，然后用主动探测确认入口节点。确认后封锁相应IP地址。

基于出口节点的IP地址歧视用户

如Tor出口节点一样，苹果也有一个实时更新的出口节点IP段列表 (存档)。这个列表可以方便网站基于出口节点的IP地址来歧视Private Relay用户，正如Tor用户所遭受的歧视一样。

还未解决的问题

苹果是如何实现自我审查的

除了上述的种种审查方式外，苹果公司还通过自我审查的方式阻止在本就身处受到严格审查地区的用户使用Private Relay。因此了解并绕过苹果公司的自我审查尤为重要。

具体来讲，苹果公司承认：

Private Relay isn’t available in all countries and regions. If you travel somewhere Private Relay isn’t available, it will automatically turn off and will turn on again when you re-enter a country or region that supports it. Private Relay will notify you when it’s unavailable and when it’s active again.

根据相关的新闻报道， 苹果在以下地区禁用了Private Relay：中国、白俄罗斯、哥伦比亚、埃及、哈萨克斯坦、沙特阿拉伯、南非、土库曼斯坦、乌干达、菲律宾和俄罗斯。

苹果自我审查的实现机制还有待研究。我们的测试显示，入口节点似乎并不基于用户IP地址来拒绝服务。但是我们仍不清楚苹果公司是如何判断用户是否身处被禁止使用Private Relay的国家。

一项报告(存档)声称苹果公司是根据用户访问特定的一组苹果服务器时的IP地址，来判断用户位置的；使用境外代理访问这组苹果服务器即可激活Private Relay功能。

而另一个用户报告(存档)只需将iCloud的地区设置为非禁用地区，就可以启用Private Relay了。但同一个帖子中的另一用户声称使用了非禁用地区iCloud但仍然无法开启Private Relay。我们欢迎中国的用户分享你的经验。

另外作为一点背景介绍，对于中国的iOS翻墙用户，拥有一个非中国iCloud账户并不罕见。这是由中国的App Store对翻墙软件的严格审查导致的。

苹果是如何验证Private Relay用户的？

苹果公司声称：

Private Relay validates that the client connecting is an iPhone, iPad, or Mac, so you can be assured that connections are coming from an Apple device.

All connections that use Private Relay validate that the client is an iPhone, iPad, or Mac and that the customer has a valid iCloud+ subscription. Private Relay enforces several anti-abuse and anti-fraud techniques, such as single-use authentication tokens and rate-limiting.

我们好奇苹果是如何验证Private Relay用户的。

苹果的Private Relay是如何加密解密的？

前面我们介绍Private Relay采用两跳结构。除此之外我们并不了解更多的技术细节。比如说，这两跳是否采用了如onion-routing的结构？Amir Houmansadr表达了对Private Relay协议不透明的关切。Private Relay的协议和工作原理因此有待更多的调查。

致谢

我们感谢一位把iPhone手机借我们测试的人。

联系我们

这篇报告首发于Net4People。我们还在GFW Report和ntc.party同步更新了这篇报告。

我们鼓励您公开地或私下地分享与报告中的发现和假设相关的问题、评论或证据。我们私下的联系方式可见GFW Report的页脚。

Tor Browser_10.5.2 中文使用教程（20210713）

 https://allinfa.com/tor-browser-10502.html

官方更新tor Browser v10.5.2。Tor Browser是tor官方发布的翻墙工具，是美博（allinfa.com）一直推荐使用的，并及时发布最新的中文版使用教程。Tor Browser集成最新版tor的Firefox浏览器，默认配置通过 Tor 和 Vidalia 实现了个人隐私保护和匿名；其中整合有最新版的 meek、obfsproxy、scramblesuit等最新加密技术；该版本主要扩展包括：Torbutton, NoScript and HTTPS-Everywhere等。Tor Browser除及时发布稳定版外，开发版也随即更新。

Tor Browser可以帮助网友翻墙，tor-browser有简体中文版等多国语言版本，下载后安装，稍加配置（如添加前置代理、添加网桥等）即可使用。

Tor Browser 有各种系统的版本，包括windows、mac、linux、手机，其中window系统版适用于：Windows 10, 8, 7, Vista, and XP

官方项目页面：


https://www.torproject.org/
https://www.torproject.org/dist/torbrowser/
https://blog.torproject.org/blog/
https://www.torproject.org/zh-CN/download/ （简体中文、各种系统的最新正式版下载）
https://www.torproject.org/zh-CN/download/alpha/ （各种语言、各种系统的Alpha 测试版 下载）
https://www.torproject.org/zh-CN/download/languages/ （各种语言、各种系统的最新正式版下载）


本版更新：


所有系统，其中组件更新为：
Firefox 更新为 78.12.0esr
一些重要的安全更新
修复若干bug


各系统Tor Browser下载（请根据自己的系统对号下载）

（一）Linux、 macOS、 Windows 系统的 Tor Browser 稳定版 下载

1、Windows系统-简体中文稳定版：

windows-简体中文版-64位系统适用
windows-简体中文版-32位系统适用

2、Mac苹果系统-简体中文稳定版：

Mac苹果系统-简体中文版64-bit版

3、GNU/Linux系统-简体中文稳定版：

GNU/Linux系统-简体中文版-32-bit版
GNU/Linux系统-简体中文版-64-bit版

（二）手机 的 Tor Browser 下载

1、Android安卓手机

Google Play：
https://play.google.com/store/apps/details?id=org.torproject.torbrowser
aarch64：
https://dist.torproject.org/torbrowser/10.5.2/tor-browser-10.5.2-android-aarch64-multi.apk
arm：
https://dist.torproject.org/torbrowser/10.5.2/tor-browser-10.5.2-android-armv7-multi.apk
x86_64：
https://dist.torproject.org/torbrowser/10.5.2/tor-browser-10.5.2-android-x86_64-multi.apk
x86：
https://dist.torproject.org/torbrowser/10.5.2/tor-browser-10.5.2-android-x86-multi.apk

2、IOS 手机 试用版

https://itunes.apple.com/us/app/onion-browser/id519296448
https://apps.apple.com/us/app/onion-browser/id519296448

Tor Browser 中文版 Windows系统 的使用教程（2021-01-11 更新）

一、安装

下载后，得到安裝文件： torbrowser-install-版本号_zh-CN.exe，双击即可启动安装。

1）安装第一步会选择语言，会根据系统语言自动识别，选择简体中文，如下图：

2）如果你不选择安装路径，可以一路默认安装，不需要做任何选择直至安装完成。

請注意：torbrowser与众不同的安装路径，其默认安装位置在：

（win10）C:\Users\自己电脑的用户名\Desktop\Tor Browser，即桌面上的Tor Browser文件夹；

3）安装完成图示

默认勾选上 添加快捷到桌面和开始菜单，这样桌面就有快捷启动图示，如下图：

该软件自带 firefox浏览器，安装完成后，也自动安装好了其自带的浏览器。你可以直接使用这个自带的浏览器，也可以使用其它浏览器，详见下面说明。

二、使用方法

Tor Browser的使用方法有多种选择，概括来讲，分为二种使用方法：
一是：不需要翻墙的直接连接方法，适用于墙外网友
二是：需要翻墙的使用方法，适用于墙内网友

（一）不需翻墙：直连tor网络，墙内无效，适合墙外网友

1、启动软件

双击桌面上的快捷启动图标：Start Tor Browser.lnk（注：.lnk这个扩展名也许没有显示出来），如上图的地球图标
或者
打开桌面上的 Tor Browser 文件夹，双击其中的 Start Tor Browser.exe ，就会自动启动一切相关组件；

请注意：如果安装有防火墙，這時要允許 tor.exe、firefox.exe 相关数个组件的联网請求。

开始启动tor及其相关组件，出现启动联网窗口，等待tor启动完成

2、有二种选择：连接或配置

出现下面窗口时，有二种选项：

若选“连接”：就是指海外直连，不翻墙适用，因为国内网络被墙，不能直接连接到tor网络，海外没有被封锁的网络可以使用这个；
若选“配置”：则是翻墙适用，意思是要配置后再连接tor服务器，下面将重点详述，如添加前置代理等等，这个是国内等有网络审查及被墙国家的网友要选择的。

3、点“连接”直接使用，即“直接连接”tor网络

这个很简单，只要是没有被封锁的网络，点“连接”后，就会自动寻找并连接tor服务器，如图：

如果连接不成功，会显示：

4、上网

连接成功后会自动打开自带的firefox浏览器，并显示出成功连接的欢迎画面，如图：

然后，在这个浏览器中输入要访问的被墙网址就可以上网了。直连就这么简单。几乎是不需要任何设置，简单快速。

但是，墙内网友要学会的是下面的翻墙方法。

（二）翻墙方法：通过“配置”连接tor的翻墙方法，墙内网友适用

如上面介绍，双击 Start Tor Browser.exe ，启动 TorBrowser 后，会先进入上图“连接”和“配置”选择画面；
现在美博介绍翻墙的方法，这里要点选“配置”，开始進行下面的步骤；

下面我们详细介绍墙内网友如何使用这个“配置”来翻墙

使用Tor Browser这个软件有二种翻墙方法，

一是：通过tor的网桥代理来帮助连接tor服务器，实现翻墙；
二是：通过自己设定外来的代理---前置代理，即在tor前外加一个代理，如自由门、无界等等，来帮助连接tor服务器，实现翻墙，这同时加强了匿名上网，增强安全性，特别适用于安全要求高的网友。

1、翻墙方法一：通过tor网桥代理来连接tor服务器，实现翻墙

这种翻墙方法简单一点，但是前提是tor网桥要有效，中共常常封锁网桥ip，但tor也在不断的更新网桥ip。

1）点选“配置”

墙内的网友，如上图，不点选“连接”，要点选“配置”选项，然后点“下一步”

这里有二个选项，即二种翻墙方式：

1）我所在国家对tor進行了审查（美博注：这个是设置tor网桥来联网的方式）
2）使用代理访问互联网（美博注：这个是通过前置代理的方式来联网）

先介绍选择方式 1）我所在国家对tor進行了审查， 这个是设置tor网桥来联网的方式

2）勾选“我所在国家对tor進行了审查”

这里有三个选项，即三种方式设置网桥ip ：

# 选择内置网桥
# 从torproject.org获取一个网桥
# 输入获取到网桥

A）选择方式1：勾选“选择内置网桥”

这是使用 torproject.org 自带的网桥，往往tor官方开发的突破网络封锁的新技术都会在该软件中使用，如图所示：

方式1的联网：“选择内置网桥” 使用方法

这个软件是 tor自家开发的，其最新版往往也自带有一些没有被封锁的网桥，当然很快会被封锁，动作要快。

从上图界面可见，有多种网桥选择方式，这些模式究竟哪种适合网友的翻墙环境？美博园建议网友在初期使用时，最好都進行测试看看自己的网络采用哪一种模式翻墙最有效。

点选“选择内置网桥” ，不需要做任何其他设置，只要在这里选择其中的任何一项，有 obfs4 和 meek-azure（中国可用）的选项，当然首选 meek-azure（中国可用）。

然后，直接点“连接”，看看是否能够连接tor网络成功；如果连接成功会自动打开自带的浏览器，如上面直接连接的图示。

美博建议：这里的几个选项，网友可以一个一个的来测试哪个有效，也许只要测试一遍之后，以后就知道自己可以点选哪些或哪种方式更好用，就是要自己来测试哪种适合自己的网络来翻墙。

B）选择方式2：勾选“从torproject.org获取一个网桥”

勾选这个方式时，TorBrowser会自动联网官方torproject.org获取一个网桥

C）选择方式3：勾选“输入获取的网桥”

“输入获取的网桥”选项的意思是：如果点选上述 A）“选择内置网桥” 和B）“从torproject.org获取一个网桥” 的各种方式都不能联网成功，说明其自带的那些网桥代理ip都已经被封锁，不能使用了，这时就需要手动自己添加网桥代理来帮助联网到tor代理网络。

当然：这里是使用重点，因为已经集成的网桥ip很快被封锁，往往需要网友自己手动输入找到的网桥。

接上图，如果不是点选“选择内置网桥”和“从torproject.org获取一个网桥”，而是点选“输入获取到网桥”，如下图所示你可以自己输入自己得到的网桥ip。

网桥ip的获取办法，请参考：Tor获得网桥ip及设置方法 - 美博园

请注意输入网桥的格式，格式是：网桥类型 代理：端口 一行一个

举例：如果得到的是 obfs3网桥地址，那么输入如图所示：

其余的网桥格式类似，简单来说：你从官方得到的几个网桥，只要原封不动的复制网桥部份到上图输入网桥的框中就可以了，并不需要再做格式上的处理；

方式3的联网

设置好后，点“连接”即可启动连接tor网络，如下图：

3）联网成功

上述三种网桥联网方式，如果连接tor代理成功，就会显示：

2、翻墙方法二：通过自己设置前置代理来连接tor服务器，实现翻墙和加强匿名

这种方法，先说明二点：

一是：可以自己随意找到网上一些代理来做前置代理，这类代理很多，几乎不受限制，当然最好是可靠的代理，若是一般网上找到的代理，因为是前置帮助连接tor服务器，最后真正的上网翻墙还是通过tor的出口ip连接终端目的地，所以这样作为一般翻墙是没有问题的；

二是：用自由门、无界、v2ray、trojan、NaiveProxy等本来就强加密的代理来做前置代理，通过这些代理在连接tor代理，这显然更加安全。有些网友需要做一些敏感的事情、更加保密的事情，是需要高强度匿名来隐匿自己的身份，那么用一个强有力的前置代理，再通过tor网路，再通过对tor链路和出口ip的设置，几乎是可以做万无一失的高匿名工作，这对一部份敏感人士是特别需要的，当然自己的电脑等上网工具首先要做到安全可靠。

再说明：

一般情况下，可以 “先” 选择不使用前置代理，即先使用上面的方法1通过网桥方式来连接tor；
如果几种网桥方式都无法连接到tor服务器，可以考虑添加前置代理；
如果前面添加了前置代理，这里添加网桥，多层代理可能会影响连接和上网速度，以及代理之间的互补性；

具体步骤：

1）选择“使用代理访问互联网”

这个意思是要使用一个代理来连接tor服务器，即添加前置代理（即先通过一个代理来连接tor服务器），如果有可用的前置代理，一是可以帮助有效的连接tor服务器，二是可以增强安全性；

点选后，会弹出输入代理的选框

2）添加前置代理的方法：

得自己事先准备好一个可用的前置代理， 一定要可用的，如果前置代理不可用，当然是无法连接到tor服务器；如下图设置代理：

如果是安全性要求高的网友，美博（allinfa.com）建议点选“是”来设置前置代理，帮助其连接tor服务器并增强安全性；

美博（allinfa.com）提示：从上图可以看出来，添加前置代理，必须点选和填写其代理设置参数，这里一定要“正确”且“可用”；其中有代理类型，地址，端口等，如：

# 要使用“v2ray、trojan、NaiveProxy”作为前置代理，根据美博的教程设置的代理是：代理类型点选SOCKS 5，地址：127.0.0.1，端口：8567
# 要使用“自由门”作为前置代理，那么：代理类型点选HTTP/HTTPS，地址：127.0.0.1，端口：8567
# 要使用“无界”作为前置代理，那么：代理类型点选HTTP/HTTPS，地址：127.0.0.1，端口：9666
# 要使用“异次元代理”作为前置代理，那么在异次元代理筛选出可用代理之后，代理类型点选HTTP/HTTPS，地址：127.0.0.1，端口：808，注：“异次元代理”很久没有更新了，只能使用在winxp系统；
# 要使用自己找到的Socks5代理“123.123.123.123：3128”作为前置代理，那么代理类型点选Socks5，地址：123.123.123.123，端口：3128
# 余类推

设置好后点“下一步”

3）连接tor服务器：

上述设置完成后，如上图点“连接”，即可开始连接tor服务器

找到服务器后，就会自动打开浏览器，并打开tor主页，如图：

4）翻墙上网

Tor Browser自带Firefox浏览器，tor成功连接服务器后，会自动打开自带的firefox浏览器，只要在该自带的浏览器地址栏输入被禁止的网址，就可以浏览被封锁的网页了，不需要额外设置浏览器代理。

以后每次启动只要双击 Start Tor Browser.exe 就行，会自动链接tor，并为自带的浏览器设置tor代理，tor连通服务器后会自动打开浏览器，一切都是自动的。

三、一些使用技巧

1、“修改设置”怎么做

上述各种设置步骤，一般只是在第一次启动时要求一步一步设置，以后启动tor-brower，如果不需要改变设置，沿用上次的，不会再提示设置。

如果下次要修改设置，可以如下图所示位置进行修改：

一是：联网不成功，点“重新设置”

二是，在内置的浏览器中点选“Tor网络设置”

2、自带浏览器几个扩展说明：

Tor Browser自带Firefox浏览器预装了几款扩展，如图所示：

torbutton和 NoScript

Https Everywhere扩展的说明，请参考：HTTPS Everywhere扩展强制Firefox加密浏览v2.0.1 - 美博园

3、如何使用外部浏览器：

Tor Browser是自带firefox浏览器的，如果你觉得自带的浏览器不好用，也可以使用外部自己习惯的的浏览器，如美博园的绿色浏览器：

火狐浏览器_Firefox_78.4.1esr_美博纯净中文绿色版（20201113） - 美博园

Tor Browser的代理为：127.0.0.1：9150

美博园翻墙安全纯净绿色版Firefox因为其中带有代理设置扩展，在其中点选Tor Browser代理即可。

请注意：使用外部浏览器时，不可关闭原自带的浏览器，如果关闭原自带的浏览器，其tor也会关闭。

4、检查是否使用了代理

可以打开美博园主页，主页右侧栏有专栏显示当前的ip地址，这个代理ip一定是与你原来的ip不同。美博园ip检测网址：

美博园 - 翻墙找真相
美博园ip检测ipcheck
美博园IP地理信息查询

如图所示：

如何知道浏览器是否经过Tor代理

Tor 官网提供了一个检测网址：
https://check.torproject.org/

在已经连接tor后，点此网址，会打开检测结果界面：

若你的浏览器已经在使用 Tor 代理，会出现一个“绿色”tor洋葱头图示，并且有绿色的英文说明:

Congratulations. This browser is configured to use Tor.
Your IP address appears to be: xxx.xxx.xxx.xxx (此处显示的是tor代理的ip)

若你的浏览器没有走 Tor代理，会出现一个“带红色打叉”tor洋葱头图示，同时还有一行红色英文字警告，即

Sorry. You are not using Tor.
Your IP address appears to be: xxx.xxx.xxx.xxx (此时显示为你自己的ip)

5、修改torrc的一些高级用法：

1、在这里找到torrc文件，在 Tor Browser\Data\Tor目录中
2、用记事本等文本编辑器打开这个文件
3、打开后可以看到里面有一些参数，这个文件是tor的核心设置文件，

谢谢网友hongwang777提供如下的方法：
用记事本打开torrc文件。在最后添加下面的配置语句：

##以下的所有部分，为添加的配置语句。##后为说明
##减少对硬盘的读写
AvoidDiskWrites 1
## 端口可以配套选择(添加#为无效。去除#为生效)
SocksListenAddress 127.0.0.1
ControlPort 9151
SocksPort 9150
#ControlPort 9051
#SocksPort 9050
## 下面是控制端口密码验证(推荐)
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
## 使用网桥时,去除下列3项的#。1为有效，0为无效
#Bridge [填入最新v6网桥]:XXX
#UseBridges 1
#UpdateBridgesFromAuthority 1
## 使用HTTPSProxy时，去除下句的#。9666为无界端口，其他端口可对应修改。
#HTTPSProxy 127.0.0.1:9666
##防止默认写入相关信息（默认1）
DirReqStatistics 0
## 以下为排除的节点(StrictNodes 1为坚决执行)
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
StrictNodes 1
注：
ExcludeNodes 是指排除节点，即把括号中的国家的节点从tor链路上除去；
ExcludeExitNodes 是指“排除“出口”节点”，，即tor的出口节点要排除括号中的国家的节点。
## 指定出口节点：
StrictExitNodes 1
ExitNodes {us}
这里us是指限定美国的ip为出口ip，你可以改为任何国家，国家代码请参考：https://zh.wikipedia.org/zh-cn/ISO_3166-1

--------------------------
运行后，看到100% Done —— 表示tor连接成功，即可使用。如果使用了IPv6网桥，看到DOS窗口提示找不到geoip6文件，如果你并非完全的ipv6环境，可以忽略这个提示。