一些网络安全方面的基础科普 - P1 识别恶意软件

来自： https://blog.binklac.com/d4ad30414b22/

 

这几天看到了一些比较肆虐而且比较常见的互联网病毒传播，所以专门写篇文章聊一聊这个问题

特别一提，由于本文的性质，本文章为公共领域文章，即在世界范围内放弃本文的所有权利，故任何人都可以以任何方式转载或重新发布

当然，如果你可以保留指向本文章的链接那就再好不过了，因为本文章可能会更新，保留链接可以使读者获得及时的更新

本文章虽然是面向Windows的，但是安卓或者其他平台举一反三也可以用，本文章的方案只是个人经验，常在河边走总会踩进去！

01 手把手的入门! 浅谈一下比较泛用的病毒(恶意软件)识别方式

01–1 万事开头难: 误报

对于对信息安全方面不太熟悉的朋友来说，有一个词很熟悉: 误报

误报这个问题具体来说就是因为某些软件(外挂, 破解器)的行为和病毒实在是太像了，导致杀毒软件不能准确的识别

于是有些病毒作者就把思路打开了: 如果杀毒软件会把病毒和破解工具搞混，那是不是可以把他们捆绑在一起让用户手动放行呢？

没错，是这样的，并且有很大一部分的病毒也正是这样传播的，所以，支持正版，不要开挂是预防病毒很好的手段

哎哎别关网页，肯定有人要说了: “你这说了个JB”，别慌，接下来是正题

看之前请记住，以下的分析并不能替代杀毒软件的动态监测

也请不要抱着: 我也没啥值钱的东西感染就感染了呗

现代的木马盗号已经是轻的了，冒充你的信息贷款，使用你的电脑攻击其他设备或者进行其他违法行为才是需要警惕的，毕竟警察看到的是从你的设备发出的攻击

01–2 Virus Total: 简单，高效的恶意文件分析识别网站

接下来，就是我们的正题: 如何将外挂等工具与木马病毒区分开来

当然，如果你是卡巴斯基用户…只需要右键一下…

咳咳，跑题了，先放链接: Virus Total

打开上面的链接，你会看到这样的页面

OK, 这就是我们的主角了，具体它是什么网站感兴趣的可以自行查询

主页很简单，点击 Choose file 按钮或者将文件拖拽到中间的图标上[参考下图]即可上传文件进行分析

拖拽上去之后，如果你的文件从来没有人上传过，会弹出一个窗口要求你确认上传[参考下图]，点击中间的 Confirm upload 按钮即可上传。 请注意，你所上传的文件，对于专业的安全研究人员来说，是可以下载的，请不要上传涉及机密以及个人隐私的文件

新的文件可能需要一些时间来扫描，等扫描结束之后，我们即可看到结果页面，大概长下面这样

首先，最主要的部分就是文件安全概览部分，也就是下图中的部分

左边的圆环 [图中标有 1 的方框] 代表着有多少杀毒软件认为这个文件是带有恶意的，在这张图中，总共有70个杀毒软件对文件进行了扫描，其中有0个杀毒软件将其汇报为恶意

圆环的下方 [图中标有 2 的方框] 代表有多少VT的用户认为这个文件是恶意或者善意的，图中只有我自己投了一票，所以上面的评分是问号。这个评分是个人就能投，目前对于恶意刷票是否有惩罚我没有了解，所以它并不能权威的表示这个文件具体的行为，但是具有一定的参考价值

在整体靠右的位置 [图中标有 3 的方框]，代表这个文件第一次上传是什么时候，可以看到我选择的文件在五天前第一次被上传，通常来说，较旧的文件(大于半年)的结果是比较准确的，因为不明确的文件大概率都被各大安全公司已经拖回去手动分析过了，而较新的文件可能存在漏检的问题，因为病毒也会尝试新的技术来躲避杀毒软件的追踪

继续向下看，就可以看到几个分页 [见下图]，点击任意标题即可跳转到对应的页，四个标签分别对应着 **杀毒软件检测结果 [图中标有1的方框]，文件详情 [图中标有2的方框]，该文件的行为(就是他执行之后干了啥) [图中标有3的方框]，社区评分的详情 [图中标有4的方框，对应上一张图的2号框]**，

其中，我们在 杀毒软件检测结果 页中，主要关注 如果杀毒软件报毒，那么杀毒软件认为他是个什么东西，即下图中红色字体的部分 (下图中，为了演示我换了一个报毒的样本)

而另外几个标签页，则会结合杀毒软件检测结果中的信息综合使用，详见下文

在接下来的文章中，我会选择四类文件进行分析，分别是 完全可信的文件, 大概率可信的文件, 有疑点但是也许可信的文件, 大概率不可信的文件，并向大家指出如何区分它们.

01–3 典型的完全可信文件

这一部分最为简单，一个典型的白名单文件应该做到什么呢？代码透明，没有恶意行为，有可信任的文件发布者，满足这点即可放心的使用

在这里，我使用了自己的 EV 证书签名了一个来自 Google Android Platform Tools 的文件，并将其上传至 Virus Total，可以点击这个链接 查看

对于这个文件，72个杀毒软件对其进行了测试，其中有0个杀毒软件将其标记为了病毒

同时我们点击文件详情(忘了在哪里？回去看看吧 XD)， 向下拖，可以看到有一个叫做签名信息的区域，其中有一行带有绿色对勾的 Signed file, valid signature , 表明该文件经过了数字签名(什么是数字签名? 点这里 或者 点这里 查看科普)，同时该文件的签名人持有的是EV证书(什么是EV证书? 点这里查看科普) 所以该文件大概率是可信的. [见下图]

01–4 大概率可信的文件

这里我们选择了一个来自 Github 的文件，其报告可以从 这里 查看，大部分情况下，我们使用的一些小工具并没有进行数字签名(贵啊!)，不过相对来说，还是比较好区分的

首先，没有任何杀毒软件对其报毒，这很好，其次，虽然它没有签名，但是他也没有任何的异常行为(见下图红框)，所以我们认为他是可信的

01–5 有疑点但是也许可信的文件

接下来，也就是本文的重点难点，怎么样区分误报和真正的恶意软件

在阅读以下文本之前，强烈建议你先看看 来自卡巴斯基的恶意软件科普及命名简介

首先，先回顾一个问题: 为什么会有误报发生? 是因为某些软件(外挂, 破解器)的行为和病毒实在是太像了，导致杀毒软件不能准确的识别

另一个方面，误报通常发生在用户使用量较小的杀毒软件上，这很好理解，因为用户量大的杀毒软件通常都针对误报做了足够好的优化，一般我认为在 ESET-​NOD32, Avast, Comodo, BitDefender, Kaspersky, Symantec，Microsoft, Rising, Tencent 算是大厂，因为他们的用户量比较大

最后，误报通常都 不 会显示出有意义的病毒种类信息，因为杀毒软件只是因为不认识或者怀疑而报毒，而并不是因为识别出了具体的行为

拿风灵月影 举个例子

虽然有22个杀毒软件认为他不是好东西，但是大家都基本可以认出来他是 GameHack, 3DMGAME Trainer, 而上面的大厂列表中，最严重的是 Comodo 的 ApplicUnwnt ， 也就是说本身不是恶意， 也许只是对你没有啥用的软件，所以虽然他看起来很多报毒，但是实际上并没有啥大问题

再换个例子，另外一款游戏修改器

只有四款杀毒软件认为其有恶意，其中 Symantec 的报毒原因是来源于机器学习 … 总之，IDS也没有啥严重的规则命中，我们也基本可以信任它。

接下来我们上点难度，用非外挂软件 举个例子 , 这个链接中的样本有 9 /​67 的杀毒软件认为他是病毒

我们先看，其中有三款杀毒软件将文件简单的将文件标为 Malicious（恶意），针对这个结果，我们等下看

有三款杀毒软件明确的告诉我们，他们只是怀疑这个程序，分别是 ESET-​NOD32 的 A Variant Of Win64/Packed.VMProtect.J Suspicious（使用了加壳工具VMProtect的可疑程序），SentinelOne (Static ML) 的 Static AI — Suspicious PE （可疑的PE文件），Sophos 的 Generic ML PUA (PUA) （PUA: 不需要的软件，也许是垃圾软件）

当然了，有的朋友肯定要说了，你知道他们代表的是啥，我又不知道啊！首先，我们可以尝试搜索 报毒的杀毒软件名 <空格> 汇报的病毒名称，例如我们搜索 Sophos Generic ML PUA (PUA) 搜索引擎会给我们以下的结果

这次很幸运，头两个结果将会把我们带到杀毒软件的官方文档，点击进去 会看到杀毒软件将其描述为 潜在有害应用程序 （PUA） 是一个术语，用于描述虽然不是恶意的，但通常被认为不适合业务网络的应用程序，也就是说通常不包含恶意

而 SentinelOne 的汇报则简单明了，直接说明了是可疑的文件，我们先跳过不管

ESET-​NOD32 的情况则稍微有一些复杂，我们的搜索结果大概长这样

我们通过阅读开始的几篇文章 不是卖软件 的文章即可了解并推断，这种误报是相当常见的

接下来，我们继续查看最后的几款杀毒软件，在互联网上搜索，发现针对 Trojan.Malware.300983.susgen 的反馈大多是误报，Trojan.Heur!.02292022 几乎没有有用的信息，Generic.mg.6a3cf94332d7fa61 更是几乎没有关联的网页

最后我们看看大厂，在 ESET-​NOD32, Avast, Comodo, BitDefender, Kaspersky, Microsoft, Rising, Tencent 中，只有一家汇报了风险，而且是怀疑，所以这个文件大概率没有问题

总结一下，如果大家都认为一个样本属于 GameHack, PUA, HACKTOOL 之类的标签，那么他大概率是没啥问题的，如果一些软件为了防止破解加了很重的保护，那么大概率也是误报，最终可以依据 ESET-​NOD32, Avast, Comodo, BitDefender, Kaspersky, Symantec，Microsoft, Rising, Tencent 的报告做出决定，如果他们都觉得没啥事，那大概率是误报，但是如果他们中有 两个及以上 认为这个程序有害，那大概率就是真的有问题

01–6 正儿八经的恶意程序

接下来我给大家看看正经的恶意程序长啥样

安卓偷照片的勒索病毒

Kaspersky, ESET-​NOD32, Avast，BitDefender 均准确的识别出这是 Spy Trojan（窃取信息的木马）

Windows下面的远程控制木马

这还用说？满脸都是”我是木马”

总之，基本卡巴斯基（Kaspersky）报毒，他就真的是毒，所以卡巴红了就…别用了

本篇到这里就写完了，下一篇教大家，如果真的很想用，那么应该怎么搭建一个安全的环境

我很少写这样基础向的文章，如果有什么问题可以联系我，例如推特 @VeroFess

下次见！

---

用 Wireshark 分析 TCP 吞吐瓶颈

来自： https://www.kawabangga.com/posts/4794 

Debug 网络质量的时候，我们一般会关注两个因素：延迟和吞吐量（带宽）。延迟比较好验证，Ping 一下或者 mtr 一下就能看出来。这篇文章分享一个 debug 吞吐量的办法。

看重吞吐量的场景一般是所谓的长肥管道(Long Fat Networks, LFN, rfc7323). 比如下载大文件。吞吐量没有达到网络的上限，主要可能受 3 个方面的影响：

1. 发送端出现了瓶颈
2. 接收端出现了瓶颈
3. 中间的网络层出现了瓶颈

发送端出现瓶颈一般的情况是 buffer 不够大，因为发送的过程是，应用调用 syscall，将要发送的数据放到 buffer 里面，然后由系统负责发送出去。如果 buffer 满了，那么应用会阻塞住（如果使用 block 的 API 的话），直到 buffer 可用了再继续 write，生产者和消费者模式。

图片来自 cisco

发送端出现瓶颈一般都比较好排查，甚至通过应用的日志看何时阻塞住了即可。大部分情况都是第 2，3 种情况，比较难以排查。这种情况发生在，发送端的应用已经将内容写入到了系统的 buffer 中，但是系统并没有很快的发送出去。

TCP 为了优化传输效率（注意这里的传输效率，并不是单纯某一个 TCP 连接的传输效率，而是整体网络的效率），会:

1. 保护接收端，发送的数据不会超过接收端的 buffer 大小 (Flow control)。数据发送到接受端，也是和上面介绍的过程类似，kernel 先负责收好包放到 buffer 中，然后上层应用程序处理这个 buffer 中的内容，如果接收端的 buffer 过小，那么很容易出现瓶颈，即应用程序还没来得及处理就被填满了。那么如果数据继续发过来，buffer 存不下，接收端只能丢弃。
2. 保护网络，发送的数据不会 overwhelming 网络 (Congestion Control, 拥塞控制), 如果中间的网络出现瓶颈，会导致长肥管道的吞吐不理想；

对于接收端的保护，在两边连接建立的时候，会协商好接收端的 buffer 大小 (receiver window size, rwnd), 并且在后续的发送中，接收端也会在每一个 ack 回包中报告自己剩余和接受的 window 大小。这样，发送端在发送的时候会保证不会发送超过接收端 buffer 大小的数据。（意思是，发送端需要负责，receiver 没有 ack 的总数，不会超过 receiver 的 buffer.）

图片来自 cisco

对于网络的保护，原理也是维护一个 Window，叫做 Congestion window，拥塞窗口，cwnd, 这个窗口就是当前网络的限制，发送端不会发送超过这个窗口的容量（没有 ack 的总数不会超过 cwnd）。

怎么找到这个 cwnd 的值呢？

这个就是关键了，默认的算法是 cubic, 也有其他算法可以使用，比如 Google 的 BBR.

主要的逻辑是，慢启动(Slow start), 发送数据来测试，如果能正确收到 receiver 那边的 ack，说明当前网络能容纳这个吞吐，将 cwnd x 2，然后继续测试。直到下面一种情况发生：

1. 发送的包没有收到 ACK
2. cwnd 已经等于 rwnd 了

第 2 点很好理解，说明网络吞吐并不是一个瓶颈，瓶颈是在接收端的 buffer 不够大。cwnd 不能超过 rwnd，不然会 overload 接收端。

对于第 1 点，本质上，发送端是用丢包来检测网络状况的，如果没有发生丢包，表示一切正常，如果发生丢包，说明网络处理不了这个发送速度，这时候发送端会直接将 cwnd 减半。

但实际造成第 1 点的情况并不一定是网络吞吐瓶颈，而可能是以下几种情况：

1. 网络达到了瓶颈
2. 网络质量问题丢包
3. 中间网络设备延迟了包的送达，导致发送端没有在预期时间内收到 ACK

2 和 3 原因都会造成 cwnd 下降，无法充分利用网络吞吐。

以上就是基本的原理，下面介绍如何定位这种问题。

rwnd 查看方式

这个 window size 直接就在 TCP header 里面，抓下来就能看这个字段。

但是真正的 window size 需要乘以 factor, factor 是在 TCP 握手节点通过 TCP Options 协商的。所以如果分析一条 TCP 连接的 window size，必须抓到握手阶段的包，不然就不可以知道协商的 factor 是多少。

cwnd 查看方式

Congestion control 是发送端通过算法得到的一个动态变量，会实时调整，并不会体现在协议的传输数据中。所以要看这个，必须在发送端的机器上看。

在 Linux 中可以使用 ss -i 选项将 TCP 连接的参数都打印出来。

这里展示的单位是 TCP MSS. 即实际大小是 1460bytes * 10.

Wireshark 分析

Wireshark 提供了非常实用的统计功能，可以让你一眼就能看出当前的瓶颈是发生在了哪里。但是第一次打开这个图我不会看，一脸懵逼，也没查到资料要怎么看。好在我同事会，他把我教会了，我在这里记录一下，把你也教会。

首先，打开的方式如下：

然后你会看到如下的图。

首先需要明确，tcptrace 的图表示的是单方向的数据发送，因为 tcp 是双工协议，两边都能发送数据。其中最上面写了你当前在看的图数据是从 10.0.0.1 发送到 192.168.0.1 的，然后按右下角的按钮可以切换看的方向。

X轴表示的是时间，很好理解。

然后理解一下 Y 轴表示的 Sequence Number, 就是 TCP 包中的 Sequence Number，这个很关键。图中所有的数据，都是以 Sequence Number 为准的。

所以，你如果看到如上图所示，那么说明你看反了，因为数据的 Sequence Number 并没有增加过，说明几乎没有发送过数据，需要点击 Switch Direction。

这就对了，可以看到我们传输的 Sequence Number 在随着时间增加而增加。

这里面有 3 条线，含义如下：

除此之外，另外还有两种线：

需要始终记住的是 Y 轴是 Sequence Number，红色的线表示 SACK 的线表示这一段 Sequence Number 我已经收到了，然后配合黄色线表示 ACK 过的 Sequence Number，那么发送端就会知道，在中间这段空挡，包丢了，红色线和黄色线纵向的空白，是没有被 ACK 的包。所以，需要重新传输。而蓝色的线就是表示又重新传输了一遍。

学会了看这些图，我们可以认识几种常见的 pattern：

丢包

很多红色 SACK，说明接收端那边重复在说：中间有一个包我没有收到，中间有一个包我没有收到。

吞吐受到接收 window size 限制

从这个图可以看出，黄色的线（接收端一 ACK）一上升，蓝色就跟着上升（发送端就开始发），直到填满绿色的线（window size）。说明网络并不是瓶颈，可以调大接收端的 buffer size.

吞吐受到网络质量限制

从这张图中可以看出，接收端的 window size 远远不是瓶颈，还有很多空闲。

放大可以看出，中间有很多丢包和重传，并且每次只发送一点点数据，这说明很有可能是 cwnd 太小了，受到了拥塞控制算法的限制。

 

本文中用到的抓包文件可以从这里下载(credit: https://www.youtube.com/watch?v=yUmACeSmT7o):

1. https://www.cloudshark.org/captures/f5eb7c033728
2. https://www.cloudshark.org/captures/c967765aef38

其他的一些参考资料：

1. https://www.stackpath.com/edge-academy/what-is-cwnd-and-rwnd/
2. https://www.baeldung.com/cs/tcp-flow-control-vs-congestion-control
3. https://www.cs.cornell.edu/courses/cs4450/2020sp/lecture21-congestion-control.pdf
4. https://www.mi.fu-berlin.de/inf/groups/ag-tech/teaching/2011-12_WS/L_19531_Telematics/08_Transport_Layer.pdf
5. https://wiki.aalto.fi/download/attachments/69901948/TCP-CongestionControlFinal.pdf
6. https://paulgrevink.wordpress.com/2017/09/08/about-long-fat-networks-and-tcp-tuning/

什么是CN2 IPLC BGP线路？

来自：
https://www.triadprogram.com/what-is-cn2-iplc-bgp

在选择翻墙服务器的时候，相信很多人都看到过CN2 IPLC BGP线路，这些都是专线的称呼，跨国公司、银行、数据中心使用的就是这类专线。但是，这些名字对于新手来说根本不理解是什么意思，怎么来做选择呢？本文来对CN2 GIA线路、IPLC线路和BGP线路做一些介绍，让您大概知道选择那种线路更适合你。
中国三大网络运营商的线路中国电信的宽带线路是最贵的、也是最好的。中国电信有两条线路，拥有2张全国骨干网：中国公用计算机互联网（CHINANET /​CHINA163）和中国电信下一代承载网（ChinaNet Next Carrying Network，简称CN2）。
中国联通，拥有2张全国骨干网：中国网通互联网（CHINA169）和旧中国网通互联网（CNCNET）。
中国移动，拥有1张全国骨干网：中国移动互联网（CMNET），于2000年1月组建。

这篇文章，主要是以中国电信为例，介绍网络线路。
中国公用计算机互联网（163 骨干网）

相对 CN2 而言，有的人又习惯称 163 骨干网为 CN1，163 网是中国电信建设的最早的一个网络，它为超过 1 亿的中国电信用户承载包括连往境外的、普通质量的互联网业务，也就是我们通常安装的电信宽带。作为电信用户，如果在晚上连接境外网络总是感觉卡顿，丢包高，99.99%的原因都是因为走的是这条线路。大家一起挤，线路就堵塞了。

其实，不但是电信宽带，包括：移动的宽带、联通的、有线网络的，到了晚上6、7点钟，都会变慢，而且比电信宽带更慢。
CN2

CN2，即“ChinaNet Next Carrying Network（ChinaNet 的下一代承载网络）”，在 2005 年投入使用，最初架设的目标，是提供一个拓扑合理，架构先进，建设科学，用于满足未来 10–20 年替代 163 网成为未来新骨干网的网络（这个 flag 还未实现），CN2 网络能够同时承载语音、数据、视频、全球互联等业务，尤其是全球互联方面，相对于 163 网而言，CN2 网络的低丢包、低延时、轻负载，让众多用户趋之若鹜。

据统计，在中国电信的总网络连接中，163 网络承担了 85% 的网络流量，其余的 15% 流量，由 CN2 网络承担。

外网走专线的中国电信政企网，中国电信还针对普通宽带用户，推出过氮气瓶，或称为“电信精品网”的服务，但不知道何种原因（疑似超售），这种服务现在不提供了。简单来讲，就是不管境外网络节点是普通线路，还是专门推出的CN2 网络优化版（仅针对中国大陆的通信），让在境内用户访问境外网络时，统一直接并入到 CN2 网络。回国或出国，必定经过北京/上海/广州。

进出口路由路径，分为三个品级：163 网（CN1）；
CN2 GT（Global Transfer 又称半程 CN2 ）；
CN2 GIA（Global Internet Access 又称纯 CN2/​全程 CN2）；

网络路由路径遵守固定路径/边界网关协议（BGP）。在高峰期会有策略性丢包减少对骨干网的负载。虽然出口宽带总量最大，且人均出口带宽排行第二，但电信 163 网连接国际网络，会在高峰时段，在路由出海前的最后一跳，根据优先级，策略性地人为丢包，以减轻对主网的负担(QOS)。这让普通电信用户糟糕的外网访问质量雪上加霜。

中国电信的 163 网络，一般会经过市级 → 省级 → 国际出口 → 境外接入点 AS（自治路由协议） 号为 4134 的路由节点，这些路由节点的 IP 地址开头一律是 “202.97..”，全程不会经过 CN2 网络节点。

163 网络国内之间互相访问基本上不存在性能瓶颈，只有在国际出口才会发生拥堵。仅统计国际网络的访问质量，163 网络全天的丢包率在 5% ~ 10%左右，如果在夜晚间高峰期（UTC+8 18:00 至 23:00 时），丢包率可达到 15% 以上。会经过更多的路由数量。

163 网(民用电信宽带都属于这种)，是全中国用户数量最大，访问国际网络体验最差的线路，国外网站用浏览器打开需要转圈等上个十来分钟，PC、PS、Xbox 连接外服下载极慢(十几 kb /​秒)，玩游戏卡顿(丢包)等现象屡见不鲜。

除了例如自“云上贵州”落地中国后，iOS /​Mac 用户连接 app store、iCloud 速度迟缓的情况大有改观这样的案例，所有 163 网用户在访问没有在中国大陆境内(不包含港澳台)布设本地服务器或 CDN 加速服务的境外网站或网络服务，被迫忍受极其缓慢的速度等现象，在未来 10 – 20 年之内无法缓解。

某国家级别大型网关，利用机器学习和人工干预等手段，会实时对境内和境外通信的互联网流量，做深度包检测、数据请求头分析、带高危协议特征流量的干扰和阻断等工作，从而保障中华人民共和国互联网通信的安全，代价是损耗一部分外网通信的性能(存疑)。

不要想当然地以为，某 VPS 距离接入网络的地域蛮近的（上海 → 日本 /​广州 → 新加坡等），延迟和掉包情况一定不大，在该 VPS 商家有大量用户访问和绕路以及晚高峰情况下，163 网络的劣化程度比你想象的要严重得多：如从中国 → 新加坡（godaddy 新加坡虚拟主机），实际上是从中国 → 美国 → 新加坡），单程环两次北太平洋，看你怕不怕。
网络的线路的选择–CN2 IPLC BGP线路


访问国际互联网的网络线路，分为公网和内网（独享线路），99%的网络线路使用的是公网线路。而且是采用合租的方式，一般都是hkt（香港电讯），这样合租会有堵车的情况，肯定不如独享线路。

而我们通常购买的机场订阅—节点多的一般都是合租线路，节点少的一般都是独享，因为独享成本高。合租线路一般是不限流量或者流量很多而且不限带宽，所以在高峰期会堵车，且不稳定。这就是为什么有些机场貌似便宜，而且节点多、流量多的原因。
什么是IPLC/IEPL？–如何判断是不是走内网的线路？

IPLC（点对点的内网专线），就是内网线路（独享线路）了。其原理就是一台服务器在国外，一台服务器在国内，所有的数据都是通过这两台服务器内网传输的。IEPL和IPLC差不多，对于我们普通用户知道它们是差不多的技术就好！

IPLC的优势就是不过GFW（所以不会存在被封的情况），因为是内网，防火墙检测不到，所以我们在国内访问的就是国内的服务器，然后国内的服务器走内网传输到国外的服务器，通过代理帮我们上网。所以，IPLC速度快且稳定，不会受高峰期、敏感期影响。但是就是成本高，基本上是按照流量去卖的，所以IPLC限制用户流量，并且收费较贵。

还有一些高端机场，增加的BGP（就是中转或者叫中继，大陆全网优化），其原理也是国内一台服务器，国外一台服务器，但是与IPLC不同的是—走的是公网。但是使用了BGP，对线路的优化是特别明显，但是增加BGP服务器是花钱的，这也就增加了成本。所以一般不会给香港这么近的节点增加BGP服务器。一般有BGP的都会标识出来，因为这也是一个卖点，购买机场订阅的时候要看清楚。

总结下来，最好的选择排名是： 使用IPLC内网专线 > 公网+BGP中转（中继）> 公网线路独享 > 公网线路合租。其实，IPLC/IEPL内网专线并没那么重要，重要的是良好的使用体验，普通的BGP隧道中转也很好用。另外，专线的国内入口也需要使用BGP/CN2机房中转，否则在国内用户体验肯定大打折扣。
v2ray机场–BGP专线推荐

希望以上内容可以“缓解”各位小伙伴对于使用V2Ray 的疑虑，这里我推荐两个非常不错且稳定的V2Ray 机场–极客云、速云梯（他们属于同一个商家），价格都不贵。可以试用，不好用退款就是了，可以按月购买，不怕机场跑路。

极客云机场架设了很多年，就算最紧张的时刻，他们的网站也都可以登陆。而反观其他机场，很多都要经常更换地址。其实这也可以看出机场的实力。另外，就是看他们的用户群的大小。注册后加入他们的电报群Telegram，就可以看到他们的用户数量了。


我加入的这个电报群，是极客云的其中一个群，人不少。为什么要混进去？其实就是看看人气怎么样。机场的服务器都是租用的，他们都是按年付费，这是他们的交易成本。机场✈️手头的客户越多，他们就可以租借更多的服务器，提供更好的服务，“跑路”的概率也就越低。

好吧看看如何购买、以及注册的步骤。很简单，具体如下：

注册账号

点击极客云网站，看到的就是注册的页面，用你的邮箱注册个号，就可以登陆进去：


进去后第一时间就看到商家的产品，这里就看你具体需要了。如果是试用，就选最便宜的。速度满意了，再考虑别的增值服务。支付宝、微信都可以付款。


极客云也不断调整了价格，涨点价不要紧，如果能保证服务，也许是好事。

v2ray配置

软件下载和设置，商家主页都有说明，下载了软件，添加订阅，更新就可以用了。


订阅在网页的左边“个人中心”，进去就有链接了。订阅，其实就是一组代理服务器的地址，讲这些地址copy到V2Ray 客户端然后“更新“，就可以获取最新的服务器地址。如果第一次试用，可以参考下面👇的详细设置说明：
v2ray软件内核

v2ray包括：内核和图形客户端。内核就是翻墙的核心，图形客户端是为了我们用户方便使用。

v2ray内核是一个开源软件，安全性是非常有保证的，因为它公开源码，大神们都是火眼金睛，有什么后门一早就被发现了。v2ray的内核大小一般20–40M。下面是内核的截图。内核是使用go语言编写的，加上用户界面，总容量不会超过100M。超过100M的，里面一定加料。


下载v2ray的内核一定要去官网，第一次去GitHub的朋友可以觉得“找不到北”，其实这地方不是程序员专属，里面什么都有。GitHub 最适合多人全球合作，内容详尽，“图文并茂”！所以，没啥，工具就是用的，而且一定不难用。

废话一轮，进入正题：进去官网看到的是v2ray内核的“首页”，V4.31.0的链接是最新版本号，按下去就进入下一个环节：


进入下一个页面，还没完，它要讲一轮废话，说明这个内核的功能、注意事项等。程序员都这样，看最后就行，按下那个链接就可以进入下载页面。


下载页面的最下面才是，各种系统的对应版本，根据自己的系统下载吧。吐槽一下，为什么不把下载链接放在最上面呢，一轮找，这提醒一下：GitHub 下载文件链接多数都在最下面！

v2ray客户端


v2ray有很多自定义的地方，如果不是老手，设置起来很烦。所以就出现了很多V2Ray 图形客户端。这里推荐一个v2ray的客户端–Qv2ray，里面包含了内核，如果哪天这个客户端也不包括内核，就按照后面的说明去配置，过程也很简单的。

Qv2ray是用c++语言编写的，不懂编程不要紧，知道用C语言编写的程序都是好东西就行。Qv2ray速度很快，我再macOS、windows都是安装这个客户端，然后贴上v2ray机场拷贝的订阅，就能愉快翻墙了。


进去后就可以看到不同操作系统的Qv2ray客户端了，我用windows版的来说说明一下主要安装过程。

v2ray windows客户端

下载好Qv2ray的windows版，双击就一路默认下去就安装好了：


安装完成，我们来到Qv2ray的设置首页，添加你购买的机场订阅和添加最新的v2ray内核都在这里：


我们先来添加机场订阅，订阅其实就是一组服务器的地址，通过客户端加密转换成IP地址。按照下图，最后按更新订阅，服务器地址就不出现再“组列表”中了。我们接着往下看。。。


更新订阅后，我们就可以测试这组服务器，主要是选个最快的，一般离我们物理距离最近的也就是最快的。对着某个服务器鼠标右键，就可以弹出选单：

V2Ray 内核设置

连接如果不成功，那就是内核没有设置好。Qv2ray是自带内核的，所以下面部分只是以防万一，另外，也给各位有个印象：如果用其他不带v2ray内核的客户端，可以参考如下设置：

首先，把上面👆下载的v2ray内核文件，解压到目录：注意⚠️其中v2ray.exe就是核心：


然后，进入Qv2ray“首选项”，注意⚠️选择你的安装目录：


注意⚠️第一“选择”是选“v2ray.exe”文件，第二个“选择“是v2ray目录，最后“检查v2ray核心设置“。Qv2ray成功后会弹出“成功“窗口：


到此，Qv2ray内核的设置就基本成功，“首选项”中还有很多高级功能，一律可以先不管。以上设置，基本可以满足大部分的翻墙需求。