为什么翻墙越来越难了?

对于生活在中国大陆的网民来说,“翻墙”这个词是既令人激动又让人痛苦。之所以让人激动,是因为翻墙后,你的网络将打开一个新的世界,你可以看到、听到新的声音和图景;之所以让人痛苦,那是因为近年来翻墙变得越来越难了。
很多年以前,你可以通过一些翻墙软件,比如VPN、Proxy等,轻松地翻到墙外。而如今,翻墙越来越困难,翻墙的人甚至可能因为违法而被抓。而大量的翻墙软件纷纷阵亡,剩下来好用的翻墙软件已经越来越少了。

为什么翻墙在今天越来越难了呢?

这当然有政策上的原因。显而易见,”有关部门“对于翻墙这件事打压得越来越严了,甚至相关的法律、法规纷纷出台,先是禁止无照出售VPN,而到最近几年,因为翻墙被抓的事也开始出现了。
那么,从技术层面上分析,是什么让GFW防火墙越来越难以逾越了呢?
今天我们来介绍一种GFW常用的反翻墙技术——DPI (Deep Packet Inspection,深度数据包检测)。

什么是深度数据包检测(DPI)?

数据包是指通过互联网从用户的电脑发送到网站服务器的数据块。当你上网时,你的网络服务商(ISP,如中国电信、联通等)可以轻松地读取这些数据包,也就是说你通过网络传什么数据他们都知道。
当你使用VPN时,VPN在我们的电脑和VPN服务器之间建立了一个安全的加密隧道,使我们的互联网流量很难被抓取。然而,使用VPN并不总是能保证隐私安全。DPI(深度数据包检测)技术可以击败VPN加密技术,可以从VPN数据包中嗅出并识别出很多信息。

DPI技术的工作原理

DPI的工作原理分为两部分。
  • 通过读取互联网数据包元数据(数据包头),这种技术可以识别到你现在在连接使用什么样的数据,如播放视频、连接VPN等。
  • 此外,通过读取互联网数据包内容(数据包主体),DPI可以确定实际传输的数据。
DPI能够深入到网络数据包中去寻找数据和可识别的模式。这是通过在ISP防火墙上对传入和传出的流量进行大量检查来完成的。
中国的GFW防火墙今天已经训练有素,可以检测到流经网络服务器的TLS握手,一旦这些服务器被识别为VPN服务器,GFW会通过阻止与这些VPN服务器的TLS握手来阻止VPN连接。没有这种握手,你就不能使用VPN服务。GFW也使用同样的技术来阻止HTTPS流量到某些网站。

如何对抗深度数据包检测(DPI)?

为了对付DPI,一些针对中国大陆用户的VPN服务商开对原有的VPN协议进行了改造,开发出可以躲避DPI的特殊版VPN协议,比如StealthVPN等。在中国大陆使用VPN软件时,如果你的VPN软件提供这种模式,那么你一定要勾选这种模式!
然而GFW也是在一天一天地进化的,如今它的检测识别能力也在不断增强,所以有时候即使是StealthVPN也难以逃过它的魔掌。
不过,我们周围还有一批懂技术的网络开发者,他们在不断地开发新的翻墙技术,来和GFW斗争。让我们希望,新的翻墙技术不断涌现,让我们翻墙越来越容易!

没有评论: