公元2009年5月的某天,BlogSpot 又一次撞墙,被 GFW 封了。俺在 BlogSpot 上的博客(在“这里”)也遭受池鱼之殃,杯具啊杯具!还好当初留了一手,在 CSDN 建了个镜像 Blog 作备份。当时为了让俺博客的几千个读者能够继续访问,咱特地写了这个扫盲帖,全面普及一下翻墙的各种基本“姿势”。
由于翻墙技术日新月异,本文也会不断更新。会翻墙的同学,请通过“这里”看本文的最新版本。不会翻墙的同学,请发邮件给 [email protected] ,即可通过自动回信,获取本文最新的内容(发信最好用国外的邮箱,强烈推荐 Gmail)。
为啥我党宁可得罪广大网民(早已超三亿)也要搞 GFW 来进行网络封锁捏?简单地说,互联网上有很多信息,是党国不希望你看到的。通过GFW,党国可以控制你能看到啥,不能看到啥。控制了信息渠道之后,党国可以很容易地忽悠你,对你进行洗脑,让你变成脑残。
现在你明白了吧?只要你受制于 GFW,你就没有“访问互联网的自由”,因而也没有“获取信息的自由”。但是俺始终认为:“访问互联网的自由是网民的基本权利”。所以,俺这些年来,一直在想办法普及翻墙姿势。如果你也认同上述观点,请你帮助传播本教程给周围的人,与 GFW 斗争需要大伙儿的参与。
由于本文主要讲翻墙技术,这个话题就不深入展开了。有兴趣的同学可以看看俺之前的几个帖子(在墙外):
《党和互联网的较量》
《面对墙,我们所能做的就是——让 GFW 陷入到人民战争的汪洋大海之中》
考虑到某些网友从来不知“GFW”为何物,俺通俗地扫盲一下。
GFW 就是我党为了加强对互联网的控制和封锁,下大力气、花大价钱搞出来的一个东东。这个东东部署在天朝互联网的国际出口。既然是花大价钱搞出来的,自然是很牛很强大。这个玩意儿具有如下主要功能:
“DNS 欺骗”洋文叫“DNS Spoofing”;“DNS 污染”又称为“域名缓存投毒”,洋文叫“DNS Cache Poisoning”。这两者是一个意思,只是叫法不同。
如果你使用的是墙外的 DNS 服务器,那么,你每次进行 DNS 查询,都会要经过国际出口。这时候,GFW 会通过该技术手段伪造 DNS 的查询结果——使得你查询到的网站 IP 是错误的。如此一来,你自然就无法该网站。
顺便说一下,“DNS 欺骗”与“DNS 劫持”是两码事。“DNS 劫持”是指 DNS 服务器上的记录被人为修改成错误的。在天朝,很多国内的 ISP 会故意修改自己 DNS 服务器上的记录,把某些敏感网站的记录修改成错误的。
关于“DNS 污染”,俺后来还专门写过一篇《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》。
顾名思义,就是屏蔽某些 IP 地址。
如果你要访问的网站,其网站的 IP 被 GFW 列入 IP 黑名单中。那么该网站就无法正常访问。
GFW 会维护一个很长很长的敏感词列表,并且该列表是经常更新的。一些政治方面比较敏感的词汇,都位于该列表上。
如果你访问的网页中包含任何一个敏感词,那么 GFW 会通过技术手段屏蔽该页面,让你看不到。
通过以上几项功能,它可以有效阻止网民看到党不想让你看到的信息。如果你比较好奇,想了解更详细的关于 GFW 的介绍,请翻墙看“这里”。
前面说了很多屁话,现在开始切入正题。先从相当牛X的 Google 公司说起。
Google 提供了很多优秀的、基于 Web 的产品(比如 Gmail、Google Reader、Google Groups、Google Docs),这些产品基本上都支持 HTTPS 方式访问(也就是加密访问),因此能用作穿墙利器。俺拿其中的几个来聊一聊。
Google Reader 首先是一款“博客阅读器”,而且还是一款居家旅行、翻墙必备的好工具。可惜这个好工具在2013年7月1日被 Google 关闭了。
关于此事,俺专门写了2篇博文《Google Reader 之死——原因分析、应对措施、教训》《Google Reader 的替代品,哪个比较靠谱?》供大伙儿参考。
言归正传,“博客阅读器”的好处在于——可以用它来访问被墙的网站。但是有两个前提:
前提1——你用的“博客阅读器”本身没有被墙
前提2——你要访问的被墙网站,支持 RSS 输出(也叫“RSS 订阅”)。
Gmail 的 Web 操作界面,相当滴好用(从它这几年的市场占有率猛增就可以看出来)。由于 Gmail 本身支持 HTTPS 加密方式访问,因此也成了另一个翻墙的利器。使用 Gmail 之前,记得到 Gmail 的“设置”界面,找到“常规”标签页,把里面的“始终使用 https”勾上。
有些敏感的网站(比如“美國之音”),为了便于大伙儿访问,专门提供了邮件订阅功能:你可以通过邮件获取这些网站的每日更新。还有很多论坛(比如 Google Groups 上的论坛),也都提供邮件订阅功能。有了Gmail之后,你就可以用它来获取上述网站的内容更新。
插个广告:在2013年6月底(Google Reader 关闭前夕),俺博客也开通了邮件订阅功能。请看这篇《邮件订阅功能发布——免翻墙的“Google Reader 替代品”》。
除了能用 Gmail 来订阅网站内容,还可以用 Gmail 来获取一些翻墙软件(后面会介绍)。
Google Docs(如今改名为“Google Drive / GDrive”) 是一个很方便进行文档分享的工具。由于它也支持 HTTPS 方式(请原谅俺的啰嗦),所以你可以用它来写各种政治敏感的文章,然后再分享到 Internet 上。比如,俺的这篇“如何翻墙”的帖子,也可以用http://docs.google.com/View?docid=0AbZnRSbuUv3sZGNwNXg4NDNfMTRjd25uZ2Zkcw&hl=en进行分享。用这种方式分享的好处在于:Google Docs 的 URL 路径是一串无规律的字符串,GFW不容易进行封杀。
可恨的是,党国60大寿之际,GFW 把 Google Docs 的443端口干掉了。由于443是 HTTPS 协议的默认端口,封锁 Google Docs 的443端口意味着你将无法用加密的 HTTPS 协议直接访问 Google Docs,而只能用明文的 HTTP 协议进行访问。不过大伙儿别着急,咱们还是有办法,请看后续的“修改 hosts 文件”。
大部分操作系统都支持 hosts 文件,它提供了 IP 的“别名机制”。这种基于 IP 的别名机制可以用来对抗 GFW 的域名封锁。考虑到篇幅有限,具体的技术细节暂且不提。
如果你使用 Windows 系统,可以使用如下命令打开 hosts 文件。
notepad %SystemRoot%\system32\drivers\etc\hosts
如果你使用 Linux 系统或苹果的 Mac 系统,可以用如下命令打开。
vi /etc/hosts
打开之后,把那些被封锁的网站的 IP 及域名加入 hosts 文件(每行一个)即可。比方说,上述提到的 Google Drive,它的 IP 是 74.125.227.198,那我们只要在 hosts 加入如下一行:
74.125.227.198 drive.google.com
然后就可以像往常一样使用基于 HTTPS 协议的 Google Drive 了。
使用此招数的好处在于:
(1) 非常傻瓜化——不需要安装软件;
(2) 性能很好——当中无需经过代理的中转。
但是有好必有坏,此招数的坏处也很明显:
(1) 如果你访问的是 HTTP 协议的网页,且内容包含敏感词,那么此招数照样没戏;
(2) 如果 GFW 不光封域名,还封 IP,那么此招数也还是没戏;
(3) 如果某个网站的 IP 已经变化了,那你就要与时俱进地修改你的 hosts 文件,煞是麻烦。
综上所述,修改hosts文件的法子,只能用于诸如 Google Drive 之类影响力巨大的网站。因为 Google Drive 用的人已经比较多,GFW 不好意思把整个域名及 IP 段都封杀。因此,只好选择性地封锁 HTTPS 协议,而对 HTTP 协议网开一面(HTTP 协议是明文的,便于 GFW 进行关键词过滤)。这种情况下,“修改 hosts 文件”的招数就可以派上用场了。
说完修改 hosts 文件,再来说说修改 DNS。这招是用来防止域名劫持滴(但是不能防止域名污染)。域名劫持的勾当,貌似国内很多运营商(比如上海电信)都干过。所以捏,尽量不要用你所在运营商提供的 DNS 服务器,不保险。毕竟国内的运营商都受到党国的控制,估计他们也身不由己。
俺推荐几个国外的、知名的、人品好的 DNS 给大伙儿参考。
Google 不愧是牛X的公司,而且很人性化。它提供了如下两个很好记的 DNS 服务器。
8.8.8.8
8.8.4.4
为了防止 GFW 把 Google 的 DNS 服务器封杀掉,大伙儿还得多再备份几个。下面这些 DNS 的 IP 可就没 Google 的 DNS 那么好记了。
OpenDNS:
208.67.222.222
208.67.220.220
台湾中华电讯的DNS:
168.95.192.1
168.95.192.2
香港宽频的DNS:
203.80.96.9
203.80.96.10
至于如何修改你电脑的 DNS 服务器,应该不用俺教了吧?不会的同学,自己上 Google 去查。
说完 Google 的系列工具之后,可能有同学会问了:既没有提供 RSS 订阅,又没有提供邮件列表的站点咋办捏?不要怕,还有另外一个东东可以穿墙,那就是加密 Web 代理。
基于 HTTPS 方式的加密 Web 代理,主要好处是:无需安装其它软件,光靠浏览器就可以搞定。不过捏,HTTPS 代理一旦用的人多了,容易引起 GFW 的注意,死期也就不远了(正所谓人怕出名猪怕壮)。如果你想用这招,就得经常去逛一些代理网站。
本来俺在这个翻墙教程中,会附带放几个 HTTPS 的 web 代理,便于大伙儿直接使用。可惜自从2010年3季度,GFW 开始盯上俺了(貌似 GFW 的走狗,也在看俺的博客)。所以捏,俺就不把具体的加密 Web 代理放出来了,以免便宜了那些走狗。想要的同学,自己去 Google 一下。
代理软件可是本教程的重点章节哦!
最近党国加大网络封锁,很多翻墙工具都失效了。大伙重点看“自.由.門”、“無.界”这几款的介绍!
代理工具的翻墙原理是这样滴:
假设你想通过翻墙代理访问某个被墙的网站(比如反动网站、黄色网站:),这时候会经历如下几个步骤:
(1) 你的上网软件(通常是浏览器)会把数据发送给你电脑中的代理工具;
(2) 该工具把数据进行加密,然后发送给国外的某个代理服务器;
(3) 该代理服务器把数据解密,然后发送给你要访问的网站。
(4) 从该网站回传的数据,也是经过上述途径,最终回到你的浏览器。
按照是否加密,代理软件可分为加密代理和不加密代理2种(这不是废话嘛:)。为了避开 GFW 敏感词过滤,咱必须得使用加密代理软件。
按照协议类型,常见的有 HTTP 代理和 SOCKS 代理。如果你纯粹用浏览器翻墙,HTTP 代理就够用了;如果你还需要让其它软件(比如MSN)翻墙,那就得用SOCKS代理。
俺下面提到的很多软件,官方站点都已经被墙。为了便于大伙儿下载,俺把几个常用的工具放到微软网盘上,然后在 Google Code 上整理了“汇总清单”(可惜该页面也被墙了)。
对于无法翻墙的网友,俺还准备了墙内的下载。为了骗过国内的网站管理员,放到墙内的翻墙工具,都嵌入到图片文件内。因此,你下载的是一个图片文件。下载后,你需要把该文件的扩展名改为“7z”,就可以用 7zip 或 WinRAR 打开,然后解压出代理工具。
由于使用加密的方式穿透 GFW,所以性能上肯定会打折扣滴。建议大伙儿同时用两个浏览器:一个浏览普通的网站,另一个配置好代理浏览被墙的网站。对于使用 Firefox 或 Chrome 的同学,也可以安装一些第三方的代理插件(比如:AutoProxy、FoxyProxy),用来自动切换代理模式和非代理模式。
另外,有些网站的名称很敏感,俺为了本文能够再转贴到其它地方(规避关键词过滤),对敏感名称做了适当的变换;还有一些网站,连域名都很敏感,俺用bit.ly作了跳转。(由于 bit.ly 的名气太大,也遭封杀,你需要翻墙才能打开这些 bit.ly 的跳转地址)
自.由.門(来自于 動.态.网),是一家具有政治背景的公司专门开发来突破 GFW 的。它的版本升级比较频繁,最好经常更新到最新版本,以获取最佳的破网效果。
自.由.門是绿色软件,不大(2兆左右),带有数字签名的。如果你不是从官方网站下载,最好查看一下数字签名,以确保该文件没有被篡改(比如感染病毒)。至于如何验证数字签名,请翻墙看“这里”。
自.由.門还分“专家版”和“专业版”两款。据说专家版适合技术老鸟用;专业版适合菜鸟用 :)。俺个人觉得这俩版本差别不大。
它使用 HTTP 代理的方式,端口是“8580”。
自.由.門的官方站点在“这里”(早就被墙,此处用bit.ly跳转)。不方便访问其官网的同学,可以通过发邮件给“ [email protected] ”来获取它;如果你连邮件都懒得发,可以到如下页面下载:
7.4.2 专业版(墙外下载)
7.4.2 专家版(墙外下载)
“無.界”的背景、使用方式都很类似于“自.由.門”。从2011年11月开始,無.界采用了新的翻墙机制,翻墙能力有显著提升。相关的详细介绍,请看俺专门写的帖子《新版本无.界——赛.风3失效后的另一选择》。
無.界使用 HTTP 代理的方式,端口号是“9666”。
官方站点在“这里”(早就被墙,此处用bit.ly跳转)。
上不了官网的同学,请到如下网址下载最新的14.03版本:墙外下载
TOR 也叫“洋葱网络”。网上常听人说的“带套(TOR 的谐音)穿墙”就是指它。这玩意儿是一个开源项目,用于保护个人上网的自由和隐私。它的工作原理可以参见“这里”。
TOR 的官方网站已经被墙,大伙儿可以通过邮件方式获取 TOR。具体如下:
先发送主题为“help”的纯文本邮件到 [email protected],收到回信后根据邮件的提示再回复一次,即可在你的邮箱中收取 TOR 的软件包。强烈推荐使用 Gmail,以确保最佳效果。尽量别使用国内的邮箱,切记!
由于 TOR 的名气太大,GFW 特别关照它。很多 TOR 的网桥中继都被 GFW 列入 IP 黑名单,导致 TOR 无法单独使用。不过没关系,咱们依然可以通过公共代理的方式,联上 TOR 在全球的节点网络。具体配置方法请看俺写的《戴“套”翻墻的方法》。
另外,TOR 虽然无法单独使用,但是可以用 TOR 跟其它翻墙工具搭配,构造双重代理。双重代理的隐匿性非常好,如果你经常在网上发表敏感言论,要记得使用双重代理。关于双重代理的扫盲教程,请看俺写的系列博文《如何隐藏你的踪迹,避免跨省追捕》。
I2P 是非常类似于 TOR 的翻墙工具(TOR 叫洋葱路由,而 I2P 是大蒜路由)。它俩的主要用途是“隐匿身份”,翻墙只是顺带的附加用途。
I2P 的安全性和坚挺程度比 TOR 更强,换来的代价是速度很慢。所以 I2P 主要是用来作为备用翻墙工具。当你常用的工具失效时,就可以拿它来救急。
I2P 提供的代理有两个端口,“4444”端口用来代理 HTTP 协议,“4445”端口用来代理 HTTPS 协议。在配置浏览器代理的时候要小心,别搞混了。具体配置方法请看俺写的《简单扫盲 I2P 的使用》。
官方站点在“这里”。上不了官网的同学,请到如下网址下载最新的0.9.12版本:墙外下载
(自从朝廷开18大,GFW 加强对赛.风封杀,最近一年多,赛.风很不稳定)
赛.风也是老牌的翻墙软件。早期的赛.风2仅提供网页代理。从赛.风3开始,推出了客户端软件。这个客户端很牛B,同时支持基于 SSH 的代理模式和VPN模式(关于VPN模式,本文后续会介绍)。而且,它也是单个绿色软件,比世.界.通还小巧(仅有300多KB),且带有数字签名。(如何验证数字签名,请翻墙看“这里”)
如果赛.风使用 VPN 模式翻墙,你所有的网络软件无需任何设置,就能跟着翻墙;如果赛.风使用代理模式翻墙,则开启两个端口:“8080”端口用于HTTP代理,“1080”端口用于 SOCKS 代理。
更多关于赛.风的详细介绍,请看俺博客的帖子《双管齐下的赛.风3》
获取赛.风很简单。你只需往赛.风官网提供的邮箱 [email protected] 发送任意邮件,立马就能收到自动回复。在回信中,直接就附上了赛.风的可执行程序(如果邮件里的附件名叫“psiphon3.asc”,改为“psiphon3.exe”即可直接运行)。
说完了代理工具,再来介绍一下 VPN 客户端软件。
VPN 其实也是在本地与远程的 VPN 服务器之间建立一个加密通道,所有数据都经由国外的 VPN 服务器到达目的网站。但是,与代理软件不同,VPN 软件会在你的系统中虚拟出一个网卡来。然后,你上网的应用程序(不管是何种类型),都可以通过这个虚拟网卡和 VPN 服务端进行数据传输。
有些提供 VPN 服务的公司,直接使用开源的、大名鼎鼎的 OpenVPN 作为客户端——你可以到“这里”下载;还有一些则使用自己公司开发的客户端——因此你需要到它的官方站点下载。下面,俺列举一些可以免费使用的VPN。
这是2013年3月发布的新型翻墙工具,由日本的筑波大学开发。这款 VPN 的亮点在于:它的服务器由世界各地的志愿者提供,是分布式的。这样一来,GFW 就难以彻底封杀。使用它翻墙,速度快而且稳定。这是目前最理想的免费 VPN 翻墙工具。
它的中文版官网在“这里”(需要翻墙才能访问)。由于 VPN Gate 的安装包比较大(有三十多兆),而且更新非常频繁,所以俺没有提供墙内下载。要下载的同学,可以先用 Web 代理(前面介绍过)上它的官网,它的官网上有镜像站点的列表。这些镜像站点每个小时都会变化,以规避 GFW 的封杀。从镜像站点下载安装包,无需翻墙。
关于 VPN Gate 的更多介绍,请看俺写的教程《扫盲 VPN Gate——分布式的 VPN 服务器》
由于代理工具和 VPN 软件比较类似,俺稍微对比总结一下。
大部分代理工具都是免费的,而 VPN 软件很多是商用软件,要花钞票滴。少数不花钱的VPN,也有使用期限或者流量限制。
另外,由于 VPN 需要在你的系统中安装虚拟网卡,因此VPN软件都不是绿色软件,且多半需要管理员权限才能安装。这对于俺这种偏好绿色软件的用户来说,也是一个明显的缺点。
由于 VPN 虚拟出一个网卡,你使用的各种软件(浏览器/聊天工具/邮件客户端)无需任何设置,就可以直接通过这个虚拟网卡传输数据。这是VPN的一大优点。
2010年之前,俺一直以为 TOR 是很坚挺滴。然而,残酷的事实让俺认识到——TOR 也有疲软的时候(从2010年3月初开始,TOR 就开始不稳定,几乎没法用了)。纵观这几年,几乎每一款翻墙工具都有过被封杀的纪录。因此,为了能够长期翻墙,大伙平时一定要多备几种不同的代理或 VPN 工具,千万别在一棵树上吊死。
为了让大伙儿看得更直观,俺整理了如下表格:
眼下智能手机大为普及,因此手机翻墙也就提上议事日程。下面介绍几种常见的手机翻墙方法
手机系统也可以运行翻墙代理。比如無.界、赛.风、TOR 都有提供了手机版。
智能手机上,也可以跑 VPN 客户端。这样,就可以让手机通过 VPN 翻墙。以广受欢迎的 Android 为例,它支持 OpenVPN、PPTP、L2TP 等多种类型的 VPN。由于 VPN 前面刚介绍过,此处不再啰嗦。
说到手机上的 VPN 翻墙,建议大伙儿尝试一下 fqrouter。关于这款工具在天朝之内已经广为使用,很傻瓜而且稳定性也不错。它的扫盲教程请看《fqrouter——安卓系统翻墙利器(免 ROOT)》。
手机浏览器为啥能穿墙捏?大致原理是这样滴:由于手机对于网络流量比较敏感,为了尽量压缩网络流量,某些手机浏览器采用代理服务器的方式运作。比如当你企图访问某个网页时,浏览器并不是直接向该网站请求数据,而是通过手机浏览器对应的一个代理服务器去请求,然后由代理服务器拿到的数据进行压缩和优化,然后再回传给手机浏览器。
采用上述方式的手机浏览器,如果代理服务器设置在国外,是有希望突破 GFW 滴。由于党国的封锁越发严厉,很多手机浏览器默认的代理服务器都被屏蔽了。因此,要通过手机浏览器翻墙,需要通过修改浏览器软件,让它不使用默认的代理服务器,改用你指定的服务器。
不同的手机浏览器,改服的办法也不尽相同。限于篇幅,俺不再作详细介绍,仅给出几款手机浏览器改服的文章。
常用手机浏览器(Opera Mini、UCWeb)改服方法
手机翻墙方法——Java版Opera Mini和UCWeb改国外服务器
由于翻墙破网的技术层出不穷,为了与时俱进,咱还得不断学习。下面介绍几个相关的博客。
首先,厚着脸皮给俺自个儿作个广告 :-)
俺如果发现什么新的翻墙技巧,会在第一时间发到俺的 Blog 或 Twitter 上。欢迎大伙儿订阅俺的博客(订阅地址:http://feeds2.feedburner.com/programthink),也可以在推特上 Follow 俺(@ProgramThink)。
如果你看完本帖后,对翻墙还是有疑问、或者对本教程有什么补充和建议,可以到俺博客站点留言,也可以给俺 Email([email protected])。俺会尽可能帮你搞定翻墙难关。如果你发现本文有哪个下载链接打不开,也请通知俺。俺会及时更换,让 GFW 防不胜防 :)
接着,隆重推荐 GFW 的专题 blog,它的订阅地址比较敏感,俺不便直接写,基于 bit.ly 的跳转地址是:“http://bit.ly/nDMBl”。
另外,还可以访问它的 Google Group,地址是:“https://groups.google.com/group/gfw-blog”。这个Group已经被封,推荐请用靠谱的“博客阅读器”订阅。
维基百科上的好东东,那是相当滴多啊!推荐几篇相关的文章给大伙儿瞅瞅:“中.国.网.络.審.查”、“突.破.网.络.審.查”。
啰嗦了这么长的篇幅,基本上把常用的招数都介绍过了。最后,借用一下狄更斯写于《双城记》的名言:
祝愿墙内的网友们都能顺利掌握翻墙姿势,早日呼吸到互联网上自由的空气!
由于翻墙技术日新月异,本文也会不断更新。会翻墙的同学,请通过“这里”看本文的最新版本。不会翻墙的同学,请发邮件给 [email protected] ,即可通过自动回信,获取本文最新的内容(发信最好用国外的邮箱,强烈推荐 Gmail)。
为啥我党宁可得罪广大网民(早已超三亿)也要搞 GFW 来进行网络封锁捏?简单地说,互联网上有很多信息,是党国不希望你看到的。通过GFW,党国可以控制你能看到啥,不能看到啥。控制了信息渠道之后,党国可以很容易地忽悠你,对你进行洗脑,让你变成脑残。
现在你明白了吧?只要你受制于 GFW,你就没有“访问互联网的自由”,因而也没有“获取信息的自由”。但是俺始终认为:“访问互联网的自由是网民的基本权利”。所以,俺这些年来,一直在想办法普及翻墙姿势。如果你也认同上述观点,请你帮助传播本教程给周围的人,与 GFW 斗争需要大伙儿的参与。
由于本文主要讲翻墙技术,这个话题就不深入展开了。有兴趣的同学可以看看俺之前的几个帖子(在墙外):
《党和互联网的较量》
《面对墙,我们所能做的就是——让 GFW 陷入到人民战争的汪洋大海之中》
考虑到某些网友从来不知“GFW”为何物,俺通俗地扫盲一下。
GFW 就是我党为了加强对互联网的控制和封锁,下大力气、花大价钱搞出来的一个东东。这个东东部署在天朝互联网的国际出口。既然是花大价钱搞出来的,自然是很牛很强大。这个玩意儿具有如下主要功能:
“DNS 欺骗”洋文叫“DNS Spoofing”;“DNS 污染”又称为“域名缓存投毒”,洋文叫“DNS Cache Poisoning”。这两者是一个意思,只是叫法不同。
如果你使用的是墙外的 DNS 服务器,那么,你每次进行 DNS 查询,都会要经过国际出口。这时候,GFW 会通过该技术手段伪造 DNS 的查询结果——使得你查询到的网站 IP 是错误的。如此一来,你自然就无法该网站。
顺便说一下,“DNS 欺骗”与“DNS 劫持”是两码事。“DNS 劫持”是指 DNS 服务器上的记录被人为修改成错误的。在天朝,很多国内的 ISP 会故意修改自己 DNS 服务器上的记录,把某些敏感网站的记录修改成错误的。
关于“DNS 污染”,俺后来还专门写过一篇《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》。
顾名思义,就是屏蔽某些 IP 地址。
如果你要访问的网站,其网站的 IP 被 GFW 列入 IP 黑名单中。那么该网站就无法正常访问。
GFW 会维护一个很长很长的敏感词列表,并且该列表是经常更新的。一些政治方面比较敏感的词汇,都位于该列表上。
如果你访问的网页中包含任何一个敏感词,那么 GFW 会通过技术手段屏蔽该页面,让你看不到。
通过以上几项功能,它可以有效阻止网民看到党不想让你看到的信息。如果你比较好奇,想了解更详细的关于 GFW 的介绍,请翻墙看“这里”。
前面说了很多屁话,现在开始切入正题。先从相当牛X的 Google 公司说起。
Google 提供了很多优秀的、基于 Web 的产品(比如 Gmail、Google Reader、Google Groups、Google Docs),这些产品基本上都支持 HTTPS 方式访问(也就是加密访问),因此能用作穿墙利器。俺拿其中的几个来聊一聊。
Google Reader 首先是一款“博客阅读器”,而且还是一款居家旅行、翻墙必备的好工具。可惜这个好工具在2013年7月1日被 Google 关闭了。
关于此事,俺专门写了2篇博文《Google Reader 之死——原因分析、应对措施、教训》《Google Reader 的替代品,哪个比较靠谱?》供大伙儿参考。
言归正传,“博客阅读器”的好处在于——可以用它来访问被墙的网站。但是有两个前提:
前提1——你用的“博客阅读器”本身没有被墙
前提2——你要访问的被墙网站,支持 RSS 输出(也叫“RSS 订阅”)。
Gmail 的 Web 操作界面,相当滴好用(从它这几年的市场占有率猛增就可以看出来)。由于 Gmail 本身支持 HTTPS 加密方式访问,因此也成了另一个翻墙的利器。使用 Gmail 之前,记得到 Gmail 的“设置”界面,找到“常规”标签页,把里面的“始终使用 https”勾上。
有些敏感的网站(比如“美國之音”),为了便于大伙儿访问,专门提供了邮件订阅功能:你可以通过邮件获取这些网站的每日更新。还有很多论坛(比如 Google Groups 上的论坛),也都提供邮件订阅功能。有了Gmail之后,你就可以用它来获取上述网站的内容更新。
插个广告:在2013年6月底(Google Reader 关闭前夕),俺博客也开通了邮件订阅功能。请看这篇《邮件订阅功能发布——免翻墙的“Google Reader 替代品”》。
除了能用 Gmail 来订阅网站内容,还可以用 Gmail 来获取一些翻墙软件(后面会介绍)。
Google Docs(如今改名为“Google Drive / GDrive”) 是一个很方便进行文档分享的工具。由于它也支持 HTTPS 方式(请原谅俺的啰嗦),所以你可以用它来写各种政治敏感的文章,然后再分享到 Internet 上。比如,俺的这篇“如何翻墙”的帖子,也可以用http://docs.google.com/View?docid=0AbZnRSbuUv3sZGNwNXg4NDNfMTRjd25uZ2Zkcw&hl=en进行分享。用这种方式分享的好处在于:Google Docs 的 URL 路径是一串无规律的字符串,GFW不容易进行封杀。
可恨的是,党国60大寿之际,GFW 把 Google Docs 的443端口干掉了。由于443是 HTTPS 协议的默认端口,封锁 Google Docs 的443端口意味着你将无法用加密的 HTTPS 协议直接访问 Google Docs,而只能用明文的 HTTP 协议进行访问。不过大伙儿别着急,咱们还是有办法,请看后续的“修改 hosts 文件”。
大部分操作系统都支持 hosts 文件,它提供了 IP 的“别名机制”。这种基于 IP 的别名机制可以用来对抗 GFW 的域名封锁。考虑到篇幅有限,具体的技术细节暂且不提。
如果你使用 Windows 系统,可以使用如下命令打开 hosts 文件。
notepad %SystemRoot%\system32\drivers\etc\hosts
如果你使用 Linux 系统或苹果的 Mac 系统,可以用如下命令打开。
vi /etc/hosts
打开之后,把那些被封锁的网站的 IP 及域名加入 hosts 文件(每行一个)即可。比方说,上述提到的 Google Drive,它的 IP 是 74.125.227.198,那我们只要在 hosts 加入如下一行:
74.125.227.198 drive.google.com
然后就可以像往常一样使用基于 HTTPS 协议的 Google Drive 了。
使用此招数的好处在于:
(1) 非常傻瓜化——不需要安装软件;
(2) 性能很好——当中无需经过代理的中转。
但是有好必有坏,此招数的坏处也很明显:
(1) 如果你访问的是 HTTP 协议的网页,且内容包含敏感词,那么此招数照样没戏;
(2) 如果 GFW 不光封域名,还封 IP,那么此招数也还是没戏;
(3) 如果某个网站的 IP 已经变化了,那你就要与时俱进地修改你的 hosts 文件,煞是麻烦。
综上所述,修改hosts文件的法子,只能用于诸如 Google Drive 之类影响力巨大的网站。因为 Google Drive 用的人已经比较多,GFW 不好意思把整个域名及 IP 段都封杀。因此,只好选择性地封锁 HTTPS 协议,而对 HTTP 协议网开一面(HTTP 协议是明文的,便于 GFW 进行关键词过滤)。这种情况下,“修改 hosts 文件”的招数就可以派上用场了。
说完修改 hosts 文件,再来说说修改 DNS。这招是用来防止域名劫持滴(但是不能防止域名污染)。域名劫持的勾当,貌似国内很多运营商(比如上海电信)都干过。所以捏,尽量不要用你所在运营商提供的 DNS 服务器,不保险。毕竟国内的运营商都受到党国的控制,估计他们也身不由己。
俺推荐几个国外的、知名的、人品好的 DNS 给大伙儿参考。
Google 不愧是牛X的公司,而且很人性化。它提供了如下两个很好记的 DNS 服务器。
8.8.8.8
8.8.4.4
为了防止 GFW 把 Google 的 DNS 服务器封杀掉,大伙儿还得多再备份几个。下面这些 DNS 的 IP 可就没 Google 的 DNS 那么好记了。
OpenDNS:
208.67.222.222
208.67.220.220
台湾中华电讯的DNS:
168.95.192.1
168.95.192.2
香港宽频的DNS:
203.80.96.9
203.80.96.10
至于如何修改你电脑的 DNS 服务器,应该不用俺教了吧?不会的同学,自己上 Google 去查。
说完 Google 的系列工具之后,可能有同学会问了:既没有提供 RSS 订阅,又没有提供邮件列表的站点咋办捏?不要怕,还有另外一个东东可以穿墙,那就是加密 Web 代理。
基于 HTTPS 方式的加密 Web 代理,主要好处是:无需安装其它软件,光靠浏览器就可以搞定。不过捏,HTTPS 代理一旦用的人多了,容易引起 GFW 的注意,死期也就不远了(正所谓人怕出名猪怕壮)。如果你想用这招,就得经常去逛一些代理网站。
本来俺在这个翻墙教程中,会附带放几个 HTTPS 的 web 代理,便于大伙儿直接使用。可惜自从2010年3季度,GFW 开始盯上俺了(貌似 GFW 的走狗,也在看俺的博客)。所以捏,俺就不把具体的加密 Web 代理放出来了,以免便宜了那些走狗。想要的同学,自己去 Google 一下。
代理软件可是本教程的重点章节哦!
最近党国加大网络封锁,很多翻墙工具都失效了。大伙重点看“自.由.門”、“無.界”这几款的介绍!
代理工具的翻墙原理是这样滴:
假设你想通过翻墙代理访问某个被墙的网站(比如反动网站、黄色网站:),这时候会经历如下几个步骤:
(1) 你的上网软件(通常是浏览器)会把数据发送给你电脑中的代理工具;
(2) 该工具把数据进行加密,然后发送给国外的某个代理服务器;
(3) 该代理服务器把数据解密,然后发送给你要访问的网站。
(4) 从该网站回传的数据,也是经过上述途径,最终回到你的浏览器。
按照是否加密,代理软件可分为加密代理和不加密代理2种(这不是废话嘛:)。为了避开 GFW 敏感词过滤,咱必须得使用加密代理软件。
按照协议类型,常见的有 HTTP 代理和 SOCKS 代理。如果你纯粹用浏览器翻墙,HTTP 代理就够用了;如果你还需要让其它软件(比如MSN)翻墙,那就得用SOCKS代理。
俺下面提到的很多软件,官方站点都已经被墙。为了便于大伙儿下载,俺把几个常用的工具放到微软网盘上,然后在 Google Code 上整理了“汇总清单”(可惜该页面也被墙了)。
对于无法翻墙的网友,俺还准备了墙内的下载。为了骗过国内的网站管理员,放到墙内的翻墙工具,都嵌入到图片文件内。因此,你下载的是一个图片文件。下载后,你需要把该文件的扩展名改为“7z”,就可以用 7zip 或 WinRAR 打开,然后解压出代理工具。
由于使用加密的方式穿透 GFW,所以性能上肯定会打折扣滴。建议大伙儿同时用两个浏览器:一个浏览普通的网站,另一个配置好代理浏览被墙的网站。对于使用 Firefox 或 Chrome 的同学,也可以安装一些第三方的代理插件(比如:AutoProxy、FoxyProxy),用来自动切换代理模式和非代理模式。
另外,有些网站的名称很敏感,俺为了本文能够再转贴到其它地方(规避关键词过滤),对敏感名称做了适当的变换;还有一些网站,连域名都很敏感,俺用bit.ly作了跳转。(由于 bit.ly 的名气太大,也遭封杀,你需要翻墙才能打开这些 bit.ly 的跳转地址)
自.由.門(来自于 動.态.网),是一家具有政治背景的公司专门开发来突破 GFW 的。它的版本升级比较频繁,最好经常更新到最新版本,以获取最佳的破网效果。
自.由.門是绿色软件,不大(2兆左右),带有数字签名的。如果你不是从官方网站下载,最好查看一下数字签名,以确保该文件没有被篡改(比如感染病毒)。至于如何验证数字签名,请翻墙看“这里”。
自.由.門还分“专家版”和“专业版”两款。据说专家版适合技术老鸟用;专业版适合菜鸟用 :)。俺个人觉得这俩版本差别不大。
它使用 HTTP 代理的方式,端口是“8580”。
自.由.門的官方站点在“这里”(早就被墙,此处用bit.ly跳转)。不方便访问其官网的同学,可以通过发邮件给“ [email protected] ”来获取它;如果你连邮件都懒得发,可以到如下页面下载:
7.4.2 专业版(墙外下载)
7.4.2 专家版(墙外下载)
“無.界”的背景、使用方式都很类似于“自.由.門”。从2011年11月开始,無.界采用了新的翻墙机制,翻墙能力有显著提升。相关的详细介绍,请看俺专门写的帖子《新版本无.界——赛.风3失效后的另一选择》。
無.界使用 HTTP 代理的方式,端口号是“9666”。
官方站点在“这里”(早就被墙,此处用bit.ly跳转)。
上不了官网的同学,请到如下网址下载最新的14.03版本:墙外下载
TOR 也叫“洋葱网络”。网上常听人说的“带套(TOR 的谐音)穿墙”就是指它。这玩意儿是一个开源项目,用于保护个人上网的自由和隐私。它的工作原理可以参见“这里”。
TOR 的官方网站已经被墙,大伙儿可以通过邮件方式获取 TOR。具体如下:
先发送主题为“help”的纯文本邮件到 [email protected],收到回信后根据邮件的提示再回复一次,即可在你的邮箱中收取 TOR 的软件包。强烈推荐使用 Gmail,以确保最佳效果。尽量别使用国内的邮箱,切记!
由于 TOR 的名气太大,GFW 特别关照它。很多 TOR 的网桥中继都被 GFW 列入 IP 黑名单,导致 TOR 无法单独使用。不过没关系,咱们依然可以通过公共代理的方式,联上 TOR 在全球的节点网络。具体配置方法请看俺写的《戴“套”翻墻的方法》。
另外,TOR 虽然无法单独使用,但是可以用 TOR 跟其它翻墙工具搭配,构造双重代理。双重代理的隐匿性非常好,如果你经常在网上发表敏感言论,要记得使用双重代理。关于双重代理的扫盲教程,请看俺写的系列博文《如何隐藏你的踪迹,避免跨省追捕》。
I2P 是非常类似于 TOR 的翻墙工具(TOR 叫洋葱路由,而 I2P 是大蒜路由)。它俩的主要用途是“隐匿身份”,翻墙只是顺带的附加用途。
I2P 的安全性和坚挺程度比 TOR 更强,换来的代价是速度很慢。所以 I2P 主要是用来作为备用翻墙工具。当你常用的工具失效时,就可以拿它来救急。
I2P 提供的代理有两个端口,“4444”端口用来代理 HTTP 协议,“4445”端口用来代理 HTTPS 协议。在配置浏览器代理的时候要小心,别搞混了。具体配置方法请看俺写的《简单扫盲 I2P 的使用》。
官方站点在“这里”。上不了官网的同学,请到如下网址下载最新的0.9.12版本:墙外下载
(自从朝廷开18大,GFW 加强对赛.风封杀,最近一年多,赛.风很不稳定)
赛.风也是老牌的翻墙软件。早期的赛.风2仅提供网页代理。从赛.风3开始,推出了客户端软件。这个客户端很牛B,同时支持基于 SSH 的代理模式和VPN模式(关于VPN模式,本文后续会介绍)。而且,它也是单个绿色软件,比世.界.通还小巧(仅有300多KB),且带有数字签名。(如何验证数字签名,请翻墙看“这里”)
如果赛.风使用 VPN 模式翻墙,你所有的网络软件无需任何设置,就能跟着翻墙;如果赛.风使用代理模式翻墙,则开启两个端口:“8080”端口用于HTTP代理,“1080”端口用于 SOCKS 代理。
更多关于赛.风的详细介绍,请看俺博客的帖子《双管齐下的赛.风3》
获取赛.风很简单。你只需往赛.风官网提供的邮箱 [email protected] 发送任意邮件,立马就能收到自动回复。在回信中,直接就附上了赛.风的可执行程序(如果邮件里的附件名叫“psiphon3.asc”,改为“psiphon3.exe”即可直接运行)。
说完了代理工具,再来介绍一下 VPN 客户端软件。
VPN 其实也是在本地与远程的 VPN 服务器之间建立一个加密通道,所有数据都经由国外的 VPN 服务器到达目的网站。但是,与代理软件不同,VPN 软件会在你的系统中虚拟出一个网卡来。然后,你上网的应用程序(不管是何种类型),都可以通过这个虚拟网卡和 VPN 服务端进行数据传输。
有些提供 VPN 服务的公司,直接使用开源的、大名鼎鼎的 OpenVPN 作为客户端——你可以到“这里”下载;还有一些则使用自己公司开发的客户端——因此你需要到它的官方站点下载。下面,俺列举一些可以免费使用的VPN。
这是2013年3月发布的新型翻墙工具,由日本的筑波大学开发。这款 VPN 的亮点在于:它的服务器由世界各地的志愿者提供,是分布式的。这样一来,GFW 就难以彻底封杀。使用它翻墙,速度快而且稳定。这是目前最理想的免费 VPN 翻墙工具。
它的中文版官网在“这里”(需要翻墙才能访问)。由于 VPN Gate 的安装包比较大(有三十多兆),而且更新非常频繁,所以俺没有提供墙内下载。要下载的同学,可以先用 Web 代理(前面介绍过)上它的官网,它的官网上有镜像站点的列表。这些镜像站点每个小时都会变化,以规避 GFW 的封杀。从镜像站点下载安装包,无需翻墙。
关于 VPN Gate 的更多介绍,请看俺写的教程《扫盲 VPN Gate——分布式的 VPN 服务器》
由于代理工具和 VPN 软件比较类似,俺稍微对比总结一下。
大部分代理工具都是免费的,而 VPN 软件很多是商用软件,要花钞票滴。少数不花钱的VPN,也有使用期限或者流量限制。
另外,由于 VPN 需要在你的系统中安装虚拟网卡,因此VPN软件都不是绿色软件,且多半需要管理员权限才能安装。这对于俺这种偏好绿色软件的用户来说,也是一个明显的缺点。
由于 VPN 虚拟出一个网卡,你使用的各种软件(浏览器/聊天工具/邮件客户端)无需任何设置,就可以直接通过这个虚拟网卡传输数据。这是VPN的一大优点。
2010年之前,俺一直以为 TOR 是很坚挺滴。然而,残酷的事实让俺认识到——TOR 也有疲软的时候(从2010年3月初开始,TOR 就开始不稳定,几乎没法用了)。纵观这几年,几乎每一款翻墙工具都有过被封杀的纪录。因此,为了能够长期翻墙,大伙平时一定要多备几种不同的代理或 VPN 工具,千万别在一棵树上吊死。
为了让大伙儿看得更直观,俺整理了如下表格:
| 名称 | 版本 | 官方网站 | 下载页面 | 翻墙方式 | 类型 | 是否绿色 |
|---|---|---|---|---|---|---|
| 自.由.門 | 7.4.2 7.4.2 | 这里 | 专业版 专家版 | HTTP代理,端口8580 | 免费软件 | 是 |
| 無.界 | 14.03 | 这里 | 这里 | HTTP代理,端口9666 | 免费软件 | 是 |
| I2P | 0.9.12 | 这里 | 这里 | HTTP代理,端口4444 HTTPS代理,端口4445 | 开源软件 免费软件 | 是 |
| 赛.风 | 3.45 | 这里 | 这里 | HTTP代理,端口8080 SOCKS代理,端口1080 VPN | 开源软件 免费软件 | 是 |
眼下智能手机大为普及,因此手机翻墙也就提上议事日程。下面介绍几种常见的手机翻墙方法
手机系统也可以运行翻墙代理。比如無.界、赛.风、TOR 都有提供了手机版。
智能手机上,也可以跑 VPN 客户端。这样,就可以让手机通过 VPN 翻墙。以广受欢迎的 Android 为例,它支持 OpenVPN、PPTP、L2TP 等多种类型的 VPN。由于 VPN 前面刚介绍过,此处不再啰嗦。
说到手机上的 VPN 翻墙,建议大伙儿尝试一下 fqrouter。关于这款工具在天朝之内已经广为使用,很傻瓜而且稳定性也不错。它的扫盲教程请看《fqrouter——安卓系统翻墙利器(免 ROOT)》。
手机浏览器为啥能穿墙捏?大致原理是这样滴:由于手机对于网络流量比较敏感,为了尽量压缩网络流量,某些手机浏览器采用代理服务器的方式运作。比如当你企图访问某个网页时,浏览器并不是直接向该网站请求数据,而是通过手机浏览器对应的一个代理服务器去请求,然后由代理服务器拿到的数据进行压缩和优化,然后再回传给手机浏览器。
采用上述方式的手机浏览器,如果代理服务器设置在国外,是有希望突破 GFW 滴。由于党国的封锁越发严厉,很多手机浏览器默认的代理服务器都被屏蔽了。因此,要通过手机浏览器翻墙,需要通过修改浏览器软件,让它不使用默认的代理服务器,改用你指定的服务器。
不同的手机浏览器,改服的办法也不尽相同。限于篇幅,俺不再作详细介绍,仅给出几款手机浏览器改服的文章。
常用手机浏览器(Opera Mini、UCWeb)改服方法
手机翻墙方法——Java版Opera Mini和UCWeb改国外服务器
由于翻墙破网的技术层出不穷,为了与时俱进,咱还得不断学习。下面介绍几个相关的博客。
首先,厚着脸皮给俺自个儿作个广告 :-)
俺如果发现什么新的翻墙技巧,会在第一时间发到俺的 Blog 或 Twitter 上。欢迎大伙儿订阅俺的博客(订阅地址:http://feeds2.feedburner.com/programthink),也可以在推特上 Follow 俺(@ProgramThink)。
如果你看完本帖后,对翻墙还是有疑问、或者对本教程有什么补充和建议,可以到俺博客站点留言,也可以给俺 Email([email protected])。俺会尽可能帮你搞定翻墙难关。如果你发现本文有哪个下载链接打不开,也请通知俺。俺会及时更换,让 GFW 防不胜防 :)
接着,隆重推荐 GFW 的专题 blog,它的订阅地址比较敏感,俺不便直接写,基于 bit.ly 的跳转地址是:“http://bit.ly/nDMBl”。
另外,还可以访问它的 Google Group,地址是:“https://groups.google.com/group/gfw-blog”。这个Group已经被封,推荐请用靠谱的“博客阅读器”订阅。
维基百科上的好东东,那是相当滴多啊!推荐几篇相关的文章给大伙儿瞅瞅:“中.国.网.络.審.查”、“突.破.网.络.審.查”。
啰嗦了这么长的篇幅,基本上把常用的招数都介绍过了。最后,借用一下狄更斯写于《双城记》的名言:
这是最好的时代,也是最坏的时代;
这是智慧的年代,也是愚蠢的年代;
这是信仰的时期,也是怀疑的时期;
这是光明的季节,也是黑暗的季节;
这是希望的春天,也是失望的冬天;
大伙儿面前应有尽有,大伙儿面前一无所有;
大伙儿正在直登天堂;大伙儿正在直落地狱。
祝愿墙内的网友们都能顺利掌握翻墙姿势,早日呼吸到互联网上自由的空气!