CentOS下shadowsocks-libev一键安装脚本

本脚本适用环境:
系统支持:CentOS 32或64位
内存要求:≥128M
日期:2016 年 05 月 12 日

关于本脚本:
一键安装 libev 版的 shadowsocks 最新版本。该版本的特点是内存占用小(600k左右),低 CPU 消耗,甚至可以安装在基于 OpenWRT 的路由器上。
友情提示:如果你有问题,请先参考这篇《Shadowsocks Troubleshooting》后再问。

默认配置:
服务器端口:自己设定(如不设定,默认为 8989)
客户端端口:1080
密码:自己设定(如不设定,默认为teddysun.com)

客户端下载:
https://github.com/shadowsocks/shadowsocks-windows/releases

使用方法:
使用root用户登录,运行以下命令:

wget --no-check-certificate https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocks-libev.sh
chmod +x shadowsocks-libev.sh
./shadowsocks-libev.sh 2>&1 | tee shadowsocks-libev.log

安装完成后,脚本提示如下:

Congratulations, shadowsocks-libev install completed!
Your Server IP:your_server_ip
Your Server Port:your_server_port
Your Password:your_password
Your Local IP:127.0.0.1
Your Local Port:1080
Your Encryption Method:aes-256-cfb

Welcome to visit:https://teddysun.com/357.html
Enjoy it!

卸载方法:
使用 root 用户登录,运行以下命令:

./shadowsocks-libev.sh uninstall

其他事项:
客户端配置的参考链接:https://teddysun.com/339.html

安装完成后即已后台启动 shadowsocks ,运行:

ps -ef | grep ss-server | grep -v ps | grep -v grep

可以查看进程是否存在。
本脚本安装完成后,会将 shadowsocks-libev 加入开机自启动。

使用命令:
启动:/etc/init.d/shadowsocks start
停止:/etc/init.d/shadowsocks stop
重启:/etc/init.d/shadowsocks restart
查看状态:/etc/init.d/shadowsocks status

更多版本 shadowsocks 安装:
ShadowsocksR 版一键安装脚本(CentOS,Debian,Ubuntu)
Shadowsocks Python 版一键安装脚本(CentOS,Debian,Ubuntu)
Debian 下 Shadowsocks-libev 一键安装脚本
Shadowsocks-go 一键安装脚本(CentOS,Debian,Ubuntu)

更新说明(2016 年 05 月 12 日):
1、新增在 CentOS 7 下的防火墙规则设置。
更新说明(2015 年 08 月 01 日):
1、新增自定义服务器端口功能(如不设定,默认为 8989)。
更新说明(2015 年 04 月 30 日):
1、本脚本会始终安装最新版的 Shadowsocks;
2、修改配置文件 /etc/shadowsocks-libev/config.json 同时启用 IPv4 与 IPv6 支持:

{
    "server":["[::0]","0.0.0.0"],
    "server_port":your_server_port,
    "local_address":"127.0.0.1",
    "local_port":1080,
    "password":"your_password",
    "timeout":600,
    "method":"aes-256-cfb"
}

3、Shadowsocks libev 版不能通过修改配置文件来多端口(只能开启多进程),如果你需要多端口请安装 Python 或 Go 版;

特别说明:
1、已安装旧版本的 shadowsocks 需要升级的话,需下载本脚本的最新版,运行卸载命令

./shadowsocks-libev.sh uninstall 

然后,再次执行本脚本即可安装最新版。

参考链接:
https://github.com/madeye/shadowsocks-libev

原文:https://teddysun.com/357.html

翻墙问答:云输入是否有保安问题?

问:近年不少搜寻引擎,都推出所谓云输入,令汉字输入更快更容易。只不过,这类云输入,被不少保安专家质疑,有可能成为政府当局监控工具,甚至令你的私隐外泄。究竟云输入,对中国用户本身有什么实质威胁?

李建军:以往的汉字输入法,甚少涉及保安问题,因为作业系统的输入法部门,并不会与互联网相连,亦由于要节省电脑记忆空间,以及维持运作效能,亦不会对你所打的一字一句作出任何纪录。因此,作业系统内置的输入法被视为安全,而不会泄露用户的私隐。

但现有的所谓云输入法,声称以人工智能方式加强输入法联想功能,因此,不断将你打过的一字一句送到搜寻引擎的主机上分析和记录。若然搜寻引擎公司不与政府合作,这样的侵犯私隐技术都未必会成为当局监控民众的工具。但中国很多搜寻引擎公司,都与政府当局有密切关系,换言之,当局很容易透过汉字输入法,知道你平日如何与朋友通讯,甚至只要细心分析,可以知道你正预备什么文件,就算你所预备的文件,并没有传到互联网上。

因此,如果你重视私隐的话,应避免使用由搜寻引擎公司所开发的云输入法,在作业系统的内置输入法,至今仍然是最有效率,亦是最安全的输入法。如果你预备的文件内容,并不想被当局知道的话,应使用作业系统内置,与云端功能完全没有关系的输入法。虽然输入速度慢一点,但对用户私隐而言,这速度上的牺牲是值得的。

原文:http://www.rfa.org/cantonese/firewall_features/google2steps-a-06242016075740.html?encoding=simplified

翻墙问答:谷歌推出电话二步认证有何特别?(视频)

视频地址:http://www.rfa.org/cantonese/video?v=1_ski74o7u

问:谷歌一直以来都有二步认证功能,但用法上很多人都认为不大方便,而现在谷歌推出了一项新的电话二步认证功能,请问这功能有什么特别?

李建军:谷歌的新二步认证功能,是配合iPhone和Android手机的谷歌应用程式运作。只要你启动以电话二步认证,当有人意图登入你特定谷歌户口时,你的谷歌应用程式就会弹出视窗,提醒你有人意图登入。如果你打算不批准有关登入要求,只要在应用程式上按一下「否」,对方就会登入失败,既简便,又安全。

而新的二步认证功能,可以配合手机的指纹认证功能,这点相当重要。由于新的二步认证功能,容许用户在利用指纹登入手机后,才批准其他人的登入要求,变相为你的谷歌户口加入指纹二步认证功能,这对大大提升你的谷歌户口安全度好有帮助。因此,新的二步认证功能,最适合配合iPhone 5S或以上,内置指纹认证功能的手机。而你设定二步认证时,紧记启动指纹认证功能,就可以享受得到指纹认证的好处,那就算你手机不幸被偷都好,只要对方没有你的指纹或密码,都不可能透过你的手机,入侵你的谷歌户口。

现时使用付费Google Apps服务的用家要注意的是,现时新的二步认证功能,暂时只适用于Gmail,要稍后才会扩充到Google Apps服务之上。因此,如果你想启用新手机二步认证功能,要等谷歌陆续将新二步认证功能扩展到Google Apps服务之此。但相信谷歌在短期内,就会完成在Google Apps服务上加入手机二步认证功能。

而要设定谷歌的二步认证功能,配合你的手机运作,亦相对容易。这次翻墙问答,预备了视频,示范如何在谷歌户口设定中,加入新的手机二步认证功能,欢迎各位听众浏览本台的网站,收看相关视频示范。

原文:http://www.rfa.org/cantonese/firewall_features/google2steps-b-06242016075658.html?encoding=simplified

Tor Browser 6.0.2 is released

Tor Browser 6.0.2 is now available from the Tor Browser Project page and also from ourdistribution directory.

Tor Browser 6.0.2 is a fixup release to address the most pressing issues we found after switching to Firefox 45.2.0esr.

In particular, we resolved a possible crash bug visible e.g. on Faceboook or mega.nz and we fixed the broken PDF download button in the PDF reader.

Note: In version 6.0 we started code signing the OS X bundle for Gatekeeper support. A side effect of this signature is that it makes it harder to compare the bundles we ship with the bundles produced using reproducible builds, therefore we plan to post instructions for removing the OS X code signing parts on our website soon. An other effect is that the incremental update will not be working for users who installed the previous version using the .dmg file, due to bug 19410. The internal updater should still work, though, doing a complete update.

Update (June 23, 12:38 UTC): We have still some users that report crashes on Facebook and mega.nz. We suspect this happens because those users are not using Tor Browser in its default configuration but have left the Private Browsing Mode. There are at least two workarounds for this: 1) Using a clean new Tor Browser 6.0.2 (including a new profile) solves the problem. 2) As files cached by those websites in the Tor Browser profile are causing the crashes, deleting them helps as well. See bug 19400 for more details in this regard.

Here is the full changelog since 6.0.1:

  • All Platforms
    • Update Torbutton to 1.9.5.5
    • Bug 19401: Fix broken PDF download button
    • Bug 19411: Don’t show update icon if a partial update failed
    • Bug 19400: Back out GCC bug workaround to avoid asmjs crash
  • Windows
    • Bug 19348: Adapt to more than one build target on Windows (fixes updates)
  • Linux
    • Bug 19276: Disable Xrender due to possible performance regressions

原文:https://blog.torproject.org/blog/tor-browser-602-released

如何科学上网 搭建自己的Shadowsocks服务器

0x00 为什么要搭建自己的梯子

虽然目前有许多免费或者付费的科学上网服务,但是大多数都是不可靠的。免费的不稳定,速度又慢,还不安全,付费服务相比免费服务好一点,但是也不能保证安全,毕竟用的是对方的代理服务器。

所以如果有能力,花点小钱买个VPS搭一个自己的梯子是更好的选择。

0x01 需要准备些什么

本文提供的科学上网方案是VPS+Shadowsocks,VPS需要自己购买,大概10几美刀就能买到一个不错的VPS了。

什么是Shadowsocks

Shadowsocks是一个开源的sock代理项目,作者是@clowwindy(作者在去年,也就是2015年被请喝茶,其Github上的仓库被清空了,但是Shadowsocks目前仍然可用)。

Shadowsocks的原理如图:

当然你不用知道原理也可以继续往下看。

购买VPS

比较流行的VPS提供商有:搬瓦工(bandwagonhost),DigitalOcean和Linode。我选用的是搬瓦工,理由嘛,性价比高咯。我现在用的一年19美刀的VPS,1G的RAM,20G硬盘,每月2000G流量。

而且现在搬瓦工支持支付宝支付,这也降低了国内购买的门槛。

搬瓦工的VPS可以到Browse Products & Services里查看购买。注册购买付款就行了,没有什么难度。

顺便甩一个优惠码:IAMSMART5FQ956

0x02 管理你的VPS

你已经购买了搬瓦工,接下来你可以到Client Area –> Services –> My Services中查看自己的VPS。进入KiwiVM面板后,你可以看到VPS的所有信息。

在这里你可以看到IP地址,物理地址,SSH端口(不是默认的22端口),硬盘使用情况,RAM使用情况,流量等等。在面板里也可以直接用Shell直接操作VPS,但是不推荐,一般是使用SSH来操作VPS。

因为不同的操作系统下搭建SS服务器略有不同,本文是在Centos 7 x86_64 上搭建的,如果系统不同,你可以在控制面板上安装新系统(非常快,1分钟都不用就安装好了)。

另外在左侧菜单最底下有一个Shadowsocks Server的选项,应该是搬瓦工官方提供的一键Shadowsocks部署,没有试过。

这里我们只需要记住SSH端口和IP地址就行了。关于登陆密码,初始化密码我也不记得是什么了,你可以在控制面板中生成随机密码,登陆系统后再使用passwd命令修改密码。

回到本机,现在你可以使用SSH连接你的VPS了。在windows上使用putty连接,linux上直接用ssh-client连接。本文以Ubuntu为例。

ssh root@ip-address -p ssh-port

ip-addressssh-port换成自己的ip地址和ssh端口。

0x03 搭建Shadowsocks服务器

Shadowsocks服务端主流有:

  • shadowsocks-nodejs
  • shadowsocks-libev
  • shadowsocks-Python
  • shadowsocks-go

这里我们选用shadowsocks-python,在VPS上安装shadowsocks:

pip install shadowsocks

关于Shadowsocks的配置,有两种方式,一种是将配置写入配置文件中,一种是直接在命令行中配置。

  • 配置文件配置

前提是需要会使用Vi编辑配置文件,配置文件主要配置项为:

{
          "server":"vps的ip",
          "server_port":2333,   #服务器端口,与SSH端口不一样,最好大于1024
          "local_port":1080,
          "password":"barfoo!", #认证密码
          "timeout":60,
          "method":"aes-256-cfb" #加密方式,推荐使用aes-256-cfb
}

将配置文件保存为/etc/shadowsocks/config.json,然后按配置文件启动shadowsocks:

ssserver -c /etc/shadowsocks/config.json -d start

停止shadowsocks服务:

ssserver -d stop
  • 启动时配置

启动时如下:

ssserver -p 2333 -k barfoo -m aes-256-cfb --user nobody -d start
  • p:服务器端口
  • k:认证密码
  • m:加密方式

两种方式没有优劣之分,看你喜欢哪一种方式,如果你觉得第二种方式写得太长,你完全可以把命令写成一个启动脚本。

0x04 如何使用

windows平台

windows客户端下载百度云下载

按照服务器的配置填写服务器IP,服务器端口(不是ssh端口),加密方式。代理端口默认为1080即可。

由于windows本身的原因,在科学上网之前还需要给浏览器装一个代理插件,如switchysharp

新建一个情景模式,配置其sock代理ip为127.0.0.1,端口为1080,并选择SOCKS v5,保存配置。

现在打开客户端,连接Shadowsocks服务器,当你需要科学上网的时候,选择Shadowsocks模式,当你不需要时,可以选择直接直连(比如内网访问的时候)。

Linux平台

Linux平台下的客户端其实跟服务端是同一个,安装:

pip install shadowsocks

连接Shadowsocks服务器:

sslocal -s ip-address -p port -b 127.0.0.1 -l 1080 -k password -m aes-256-cfb

其中

  • s: 服务器地址
  • p: 服务器端口,不是SSH端口
  • l: 本地代理端口,注意不要跟服务器端口搞混了
  • k: 认证密码
  • m: 加密方式

在Ubuntu中,你可以在系统设置 –> 网络 –> 网络代理中设置全局代理。

如果你不想全局,也可以像windows平台一样在浏览器上装代理插件。

Android平台

下载影梭

同样只需要配置服务器IP,服务器端口,认证密码和加密方式就行了。Android上默认是全局代理。

至于Mac OS X和IOS系统,我没用过,自己Google吧。

现在已经可以科学上网了,打开Google试一下.

0x05 多人共享

独乐了不如众乐乐,一个月2000G的流量对一个人来说是有点多了。这时候,你可以分享给你的朋友。Shadowsocks支持多端口,只需要修改配置文件为:

{
        "server":"your-server-ip",
        "timeout":600,
        "method":"aes-256-cfb",
        "port_password":
        {
                "2333":"user1-password",
                "23333":"user2-password"
        },
        "_comment":
        {
                "2333":"myself",
                "23333":"guest"
        }
}

然后启动

ssserver -c /etc/Shadowsocks/config.json -d start


原文:http://itcoding.tk/2016/06/04/fuckGFW01/

出锅翻墙


出锅是一款类似于红杏、jayproxy、时空隧道等科学上网 Chrome 浏览器插件,注册即可使用,翻墙必备,轻松上google、gmail、facebook、youtube等网站,无需像 goAgent/ShadowSocks/VPN/ 等繁琐复杂配置。


谷歌网上商店:https://chrome.google.com/webstore/detail/%E5%87%BA%E9%94%85/ekmmcigapbkblfihobadbdnadfmekfdo?hl=zh-CN
作者推特:https://twitter.com/chuguo_io
来源:
https://www.gitbook.com/book/chuguofan/chuguo/details

(新增香港、日本、新加坡、美国等国内低延迟服务器线路自由切换功能)
单击进入官方网站 (如果官方不能打开,请加入上网加速列表即可)
下载出锅解决访问助手 (出锅插件不能登陆、注册、使用不稳定时请下载该程序在本地电脑执行一次,仅限Windows系统)

AnyConnect 客户端

全平台 AnyConnect 客户端下载 (包括Windows,Android,Mac OS X,Kindle,Android,Linux)

官方Chrome浏览器下载

下载最新官方Chrome 51版本浏览器 (Chrome 51以下版本使用HTTPS代理时只能使用2个连接,经常造成阻塞卡顿,Chrome 51以上版本现在可以使用32个连接,强烈建议大家升级到该版本)

简介

出锅是一款类似于红杏、jayproxy、时空隧道等科学上网Chrome浏览器插件,注册即可使用,翻墙必备,轻松上google、gmail、facebook、youtube等网站,无需像goAgent/ShadowSocks/VPN/等繁琐复杂配置.
全面支持UC、QQ、百度、猎豹、360极速等基于chrome内核浏览器,不止是解决访问,更是加速器,对于手机端的解决方案出锅选用AnyConnect, AnyConnect为思科推出的VPN客户端,目前已有Windows、Android、iOS、Mac OS X、Ubuntu、WebOS等全平台操作系统的客户端,搞干扰和隐蔽性都很强, 结合出锅成熟的代理集群和云端网络分流技术,根据国内外网站智能安排你的访问线路,确保你拥有最快最稳定的速度,客户端我们全部使用SHA 256位 工业级加密证书来保证大家的连接稳定和搞干扰到最低, 同时支持断线自动重连,来彻底解决VPN经常掉线或连接不上等问题.

安装说明

一. 下载Chrome浏览器并安装好,再下载『出锅』 Chrome插件,下载完成以后,打开浏览器的『扩展程序』页, 如果浏览器顶部出现“无法添加……”的黄色警告提示,忽略它并继续操作
二. 将下载好的 chuguo.crx 扩展安装程序拖放到『扩展程序』页(其他页面无效)
三. 安装完成! 出锅Chrome插件会随新版本的发布而自动更新.

原文:http://www.chinagfw.org/2016/06/blog-post_20.html

翻墙问答:苹果iOS和Mac OS X快速支援加密?(视频)

0617-firewall.jpg

翻墙问答:苹果iOS和Mac OS X快速支援加密?(粤语部制图)

视频地址:http://www.rfa.org/cantonese/video?v=1_e5echk10

问:苹果最近公布了下一代iOS和Mac OS X作业系统的技术更新,当中不少涉及保安技术上的改善,请问能否介绍一下?

李建军:苹果最近公布了下一代iOS和Mac OS X核心技术更新一些细节,当中不少涉及保安上重大改革。

首先,苹果会推出新的档案系统,取代已经有二十多年历史的HFS档案系统,新档案系统,将会为iOS器材和Mac提供快速得多的加密支援,以及档案系统的资料格式上支援加密。但由于新档案系统仍然在早期发展阶段,有可能在下两代的iOS和Mac OS X作业系统上,才会强迫所有装置必须使用。

此外,现时苹果iOS应用程式与主机之间的通讯,并非强制要使用HTTPS的加密通讯,除了即时通讯软件和银行理财软件外,其馀软件都可以自愿选择是否使用加密通讯。但由2017年元旦开始,苹果为了贯彻在私隐和保安上的安全政策,所有苹果iOS的软件与主机连接都必须使用加密通讯,不能够透过应用软件传送未经加密信息。这个有助提高iOS用家的保安水平,但以中国当局对使用全加密通讯软件和作业系统的敌视态度,若然中国当局干扰所以使用相关加密技术的通讯,就有可能对苹果用户造成困扰,后果比中国法院以侵权为理由,禁止iPhone 6在中国销售的困扰大得多。

而有一项消息,可能与Android用户有关,苹果将会在Android上推出iMessage,并具备与原有苹果iOS装置和Mac电脑iMessage通讯的能力。换言之,除了Whatsapp、Telegram,Android将会有多一个点对点实时通讯软件可以使用。但苹果未公布确实推出日期,以及将会有那一些Android手机可以使用iMessage。

问:那其实现时苹果Mac OS X用户,是否像iOS用户一样,可以替全机档案即时加密?

李建军:那是可以的,虽然现时苹果使用相对落后的档案系统,但作业系统仍然有功能实现自动加密,如果你电脑被偷,对方没有用户密码和相关加密金匙,仍然无法得悉档案资料,而iOS和OS X用的技术都是一样。这次翻墙问答,会有视频示范在最新苹果作业系统下,如何启动全机硬碟档案实现加密功能,欢迎各位听众浏览本台网站,观看视频操作示范。

问:在Windows世界,绑架软件已经造成相当大的困扰。只不过,绑架软件问题,似乎已经蔓延到Android手机以及电视机顶盒,能否介绍一下?

李建军:由去年四月开始,已经有一只叫FLocker的绑架软件,四处侵袭Android平台的手机和电视机顶盒。而最近,就出现FLocker的变种。FLocker的变种,会首先检查手机是否位于俄国、哈萨克等东欧国家和前苏联加盟共和国。如果你处于这些国家,你的手机和电视机顶盒要输入相等于两百美元的苹果iTunes储值卡增值,否则将无法使用。而如果你处于其他国家,例如中国,就会暗中尝试入侵你的系统,将你的手机或电视机顶盒变成僵尸电脑,以便向其他手机或电脑进行袭击。

虽然现时未出现中国手机遇袭的报告,但东欧国家出现的绑架软件技术,往往很快就移植到中国。因此,不能随便打开由电邮或短信传来的一些奇怪网站,因为现时这类钓鱼电邮,已经不满足于偷你手机的资料,而是乾脆打劫绑架你的手机或电视机顶盒,搞网上打劫。而如果你手机或电视机顶盒遇劫,你应该向制造商查询,制造商一般有能力移除绑架软件,并令你的手机回复正常。

原文:http://www.rfa.org/cantonese/firewall_features/wwdc-06172016095315.html?encoding=simplified

墙内 播放/下载 Youtube 视频

可以在墙内播放与下载  Youtube 视频,支持 Google 搜索,有广告。
来源:http://www.qiangwaiba.net/
安全性未知,请谨慎使用。

墙外吧 ( www.qiangwaiba.net ) 成立于2016年1月,为广大网友提供各大知名网站的视频搜索、观看和下载,以及网页搜索服务。

更新历史

2016年4月24:增加字幕下载选项。
2016年4月10:视频搜索增加过滤选项。
2016年3月22:优化线路,新增香港线路。
2016年3月01:支持Youtube播放字幕,包含YouTube自动生成和翻译的字幕。
2016年2月23:支持Youtube下载。
2016年2月18:支持视频观看时多线路选择(目前支持:日本/美国/香港)。
2016年2月15:支持视频评论。
2016年2月08:支持Google搜索。
2016年1月16:网站正式上线,支持YouTube视频的搜索和观看。

原文:http://www.chinagfw.org/2016/06/youtube.html

Vpn Gate 可能是唯一不带有目的的免费VPN

为什么推荐VPN Gate?

第一次知道是在13年12月的时候。那时候在google上面检索free vpn 第一次知道了VPN Gate一个友日本国立筑波大学发起的非营利性科学项目。当时使用效果还不错,服务器实在太多了,可以手每分每秒都有新的服务器在加入。充分的证明了互联网的包容性以及分享精神。

有太多人没有任何目的性的去分享,后来因为自己买了VPS就没有使用了。而今天2016年5月27日,3年后的今天我无意中打开了这个网站,下载使用发现仍然可以使用。真的十分的感动,我又开始相信一些事物了!

VPN Gate 学术实验的优点

正如你可以看到VPN Gate 公共 VPN 中继服务器的列表,有很多运行在 VPN Gate 公共 VPN 中继服务器。这些 VPN 服务器没有物理地放置在一个特定的数据中心,也没有一个特定的 IP 地址分配块,他们都是由不同 ISP、在物理地点托管的。

每个 VPN Gate 公共 VPN 中继服务器是分布式的,并由许多志愿者托管。一名志愿者是拥有一台计算机、保持带宽连接到互联网的人。他是一个同意提供 CPU 时间和带宽、支持 VPN Gate 学术实验的人。你可以成为一名志愿者。

志愿者在地理上是分布式的。志愿者的 ISP 也是分布式的。所以每一个 VPN 服务器的 IP 地址是分布式的。分配的 IP 地址没有特点。每天志愿者的数量增加或减少,每个 IP 地址每次都改变。如果政府的防火墙出现 “故障” ,整个 VPN Gate 中继服务器不受影响。如果一些 VPN 服务器无法从你的国家访问,你仍然可以访问其他 VPN 服务器。

因为 VPN Gate 服务器由志愿者托管,每个志愿者花费极少量的带宽成本和 CPU 时间在他的 VPN 服务器上, VPN Gate 服务可以被大家免费使用。免费的意思为任何想要使用 VPN Gate 服务的用户无需注册。

因此,不同于现有的共享 VPN 服务, VPN Gate 学术实验服务可以无需付费地使用。

获取VPN Gate镜像网站

这个网页是无法访问的,想要获取最新的客户端必须先翻墙访问这个网站。网站本身每天提供了很多镜像网站不用翻墙也能访问的。

先使用在线代理来访问获取镜像网站把:点这里获取镜像网站

 

文/我毕竟不是神(简书作者)
原文链接:http://www.jianshu.com/p/cf32702ad54d

 

原文:https://vpnxx.net/?p=198

品牌VPN服务商ExpressVPN深度评测,安全快速稳定性好

  • 网      络:200 +服务器在78个国家
  • 软      件:Windows,Mac,iOS,Android
  • 协      议:OpenVPN ,L2TP/IPSec,SSTP,PPTP
  • 退款政策:30天退款保证
  • 独 特 性:支持路由器,游戏设备上设置使用
  • 价    格:1年:$8.32/月;6个月:$9.99/月;1个月:$12.95/月
  • 折扣价格:优惠35%(8.32美元/ 月。)

 

相信使用VPN的用户必定有不少知道ExpressVPN,自2009年运行以来一直广受好评,并成为了世界上最大的VPN提供商之一。通过以下的综合全面对ExpressVPN的全面评测,相信你会了解更多。比如ExpressVPN无日志记录政策,无第三方DNS提供等等。如果你对安全性很看重,ExpressVPN无疑是值得你尝试的。

 

价格

选择VPN价格肯定是参考因素,但不是唯一考虑因素,ExpressVPN的定价在国外优秀VPN厂商价格居中。无论购买1个月或者是1年的的ExpressVPN,都是一个账号可以访问所有的服务器。目前购买1个月的ExpressVPN价格为12.95美元,购买6个月的则会优惠到平均9.99美元一个月。而如果购买一年的服务,则是优惠力度最大的,下降35%,平均每个月8.32美元,购买1年的总价格是99.95美元。

expressvpn-pricing

访问ExpressVPN官网

付款方式

ExpressVPN的付款方式很多,对于中国用户甚为方便的是支持支付宝和银联卡,也支持国外主流付费方式如paypal,VISA等。同时也支持虚拟货币比特币,比特币是最利于匿名交易的,尤其是2014年在我国是真心火了一把。最为让人放心的是,ExpressVPN提供30天的退款保证。

服务器

ExpressVPN的服务器有200多个,遍布78个国家,右侧图的服务器列表只是ExpressVPN的一部分,ExpressVPN在中东和非洲也有服务器。ExpressVPN的另一个优点是使用速度快,稳定性高,且简单易用。使用VPN的不乏一些小白用户,希望登陆软件后就可以直接使用,而ExpressVPN可以满足这一点。 对于VPN供应商来说,服务器数量,IP数量,遍布的国家是实力的一个很有效的展现方式。     服务器的位置↓

expressvpn-servers

ExpressVPN众多的服务器不仅可以让你有更多的选择,也可以让你有更多的地理位置的选择。拥有美国 、加拿大、新西兰、澳大利亚、香港、日本、越南、英国、法国、俄国等国家的服务器,基本上你想要寻找的某国的服务器,ExpressVPN也是包含的。

你也可以根据自己想要用的某国的网址,而选择该国的服务器,一般来说速度不会差。像我自己是习惯用美国的服务器,但是最近常用香港服务器也觉得挺好的。有这么多的选择,你可以按照自己的网络进行尝试。

性能

使用加密连接对网速的影响其实并不会太大,之前在其他文章说过会有一点点影响,但是极小,毕竟这个通过不同协议增强了自己的安全性嘛。这会选择了香港的服务器试了下,本人这里是10M的铁通,铁通到期后会再换个强些的带宽试试,测试结果还是可以的,下载速度达到了7.28M,基本没什么网速损失。

访问ExpressVPN官网

express-test

安全性和隐私

VPN的工作方式是通过通过使用协议加密你的流量。ExpressVPN提供协议选项已经基本包含主流协议,尤其是OpenVPN(TCP和UDP),L2TP,PPTP,和 SSTP。你也可以让软件自动选择协议。尽管他们使用256位加密的连接,我们建议你尽量使用OpenVPN。这是最安全的协议。当然,如果自己选择OpenVPN模式,需要先点击“…”即三个横点→然后选择UDP或者是TCP的OpenVPN协议,相对而言UDP模式更安全,但也许不适用所有设备。而TCP模式则是安全性挺好,适用更多设备但速度上可能不及UDP模式,可以根据个人需要进行选。expressvpn-protocols

ExpressVPN官方承诺无日志登记政策(logless政策)。两种日志即活动日志与会话数据。活动日志是指用于浏览和搜索历史,和访问网站的数据。而会话数据包括源位置、用法和时间戳。根据ExpressVPN的网站公开保证,他们不记录活动日志与会话数据。如果你担心你的隐私,这对于用户来说是极好的体验。

客服支持

ExpressVPN的客服支持有多种方式。包括官网的设置教程,7天及时现场聊天(Live chat),邮件联系,最快的自然是网站直接咨询,客服的回复很及时现场聊天。24/7/365的在线支持与邮件联系。对于用户来说,好的客服支持是肯定很必要的,有任何疑问可以随时进行咨询。expressvpn-support

支持设备

并且提供以下系统的应用程序,可以直接在客户端上使用ExpressVPN提供了手动添加vpn安装指南、XBOX,Linux,Chromebook,ebook readers等等。也支持在路由器上设置使用。ExpressVPN 程序更新,更享网络自由与安全

    电脑系统:

  • Windows XP/7/8/10
  • Mac OS X

移动设备:

  • iOS
  • 安卓

获取35%折扣

购买一款VPN肯定是要考虑到不同的设备使用情况,ExpressVPN支持了所有的主流设备,并且从截图可以看出,不仅客户端简单易用,网站上还有全面的设置教程:多设备设置教程每一个系统的设置协议都支持很多种,单是windows的设置教程协议就有7种,涵盖了windows linux,WindowsVista/7/8
以及新版的windows10系统设置。再比如IOS的设置也有5种,相当的全面与详尽。 下面的截图不全,还有widnows phone,路由器,apple TV,xbox的设置,有兴趣的朋友可以进官网根据需要看下对应的设置。
部分设置教程截图↓    

 

expressvpn-setting1

Android版本的客户端可以在谷歌商店下载。通过iTunes下载 iOS版本。ExpressVPN支持1台电脑设备+1台手机设备同时使用。

购买注册步骤

  • STEP1.选择需要购买的Plan,含1个月;6个月;12个月三种方式:
  • STEP2.输入自己的邮箱
  • STEP3.选择付费方式(VISA,支付宝,银联,paypal,万事达卡……)

付费完成后,ExpressVPN将通过电子邮件发送下载软件的链接给你,并且提供登录密码。下载安装好后便可以使用。怎么通过支付宝付款方式购买ExpressVPN

expressvpn-extended-payment

访问ExpressVPN官网

桌面如何使用ExpressVPN

  • expressvpn-connecting1.  下载软件和启动应用程序后,您将看到这个右边客户端一样的图片。
  • 2.  接下来,你可以选择系统直接连接,也可以自主选择协议 方式,点击蓝色箭头所示的吧。如果你想选择自己的协议,点击蓝色箭头所示的三个点“…”。有OpenVPN,IPSec,PPTP,SSTP几种选项。
  • 3.  在绿色箭头所示处可以更换服务器,有200多个服务器可以自由选择,然后再点击绿色框内的“connect”进行连接。
  • 4.  连接好后将会出现图2,如果自己想断开,点击 disconnect即开,非常的简单易用。

 

这个软件可以直接客户端上进行更新到最新版本,点击upgrade即可。

 

OS X版本与电脑桌面版与基本相似,在此不再做详述。ExpressVPN最新版本5.0面世,杀死开关与速度测试功能兼具

手机上使用ExpressVPN步骤

这里主要介绍下Android操作系统的使用。首先,进谷歌商店储搜索“ExpressVPN”应用进行下载安装。登录时输入账号的,接下来页面将显示为此设备的expressvpn已经激活,点击next按钮,选择一个服务器,并选择你信任连接即可。可以选择系统协议也可以自主选择协议,这里和电脑版本不同的是是三个竖点,电脑的是3个横点,其他一致。ExpressVPN有iPhone和iPad的应用程序,进itunes下载安装即可,方法基本一致,不再做详述。

ExpressVPN IOS 系统最新更新为4.8版,可进App Store下载

expressvpn-mobile-install

优点:

  • 详尽的设置教程
  • 24小时支持通过邮件和即时聊天
  • 提供OpenVPN,PPTP, L2TP/IPSec和SSTP协议
  • 30天退款保证
  • 独立的Windows、Mac、iOS和Android应用程序,支持所有主流设备
  • 两个并发连接(支持1台电脑+1部手机同时使用)
  • 服务器遍布全球78个国家
  • 支持在游戏系统和路由器,Apple TV上设置使用
  • 速度快,稳定性好

ExpressVPN在VPN供应商中口碑很好,定价不算低但是提供一个月的退款保障,并且如果购买1年的服务将优惠35%,值得你进行尝试。

购买ExpressVPN

 

 

REVIEW OVERVIEW
综合评测
92 %


原文:http://www.dokoin.com/expressvpn-review.html

翻墙?隐私?今天聊聊VPN的那些事儿

1.jpg

三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。

传统VPN简介

VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。

然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。

去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。

几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。

VPN不是用来匿名的

关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:

“如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。”

事实上,VPN声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:

“为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。”

White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:

“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”

Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。

Johns Hopkins大学的密码学教授Matthew Green表示:

“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”

尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。

22.png

用VPN来BT下载安全吗?

某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:

“然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”

看来,必须时刻保持警惕才行。

VPN可以“防御”广告追踪?

尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。

Campbell表示:

“VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。”

为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。

VPN让你更危险?

用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。

因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。

“如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。”

预共享密钥

White提供了一个VPN的列表,在网上已有共享密钥发布:

GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN、EarthVPN。

“如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”

PPTP的代替品

一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。

在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。

根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。

数据保留和日志记录

一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。

甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。

仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。

33.jpg

泄露用户隐私

即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。

Campbell表示:

“从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”

一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。

2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。

伦敦玛丽女王大学的研究员GarethTyson博士表示:

“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”

同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。

营销宣传

许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。

而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。

阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。

如何寻找可信的VPN

看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。

某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?

抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。

Campbell警告道:

“在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”

作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:

“任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。”

自己动手,丰衣足食

根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。

Streisand的Github页面称:

“Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。”

其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”,成为一个自动化升级最佳实践的社区。

Lund 在邮件中告诉记者:

“Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)”,生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。

Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。

像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。

原文:http://www.freebuf.com/articles/network/106346.html

Tor Browser 6.5a1-hardened is released

A new hardened Tor Browser release is available. It can be found in the 6.5a1-hardened distribution directory and on the download page for hardened builds.

This release features important security updates to Firefox.

Tor Browser 6.5a1-hardened is the first hardened release in our 6.5 series. It updates Firefox to 45.2.0esr and contains all the improvements that went into Tor Browser 6.0. Compared to that there are additional noteworthy things that went into this alpha release: we bumped the Tor version to 0.2.8.3-alpha and backported additional security features: exploiting the JIT compiler got made harder and support for SHA1 HPKP pins got removed.

On the infrastructure side, we are now using fastly to deliver the update files. We thank them for their support.

Note: There is no incremental update from 6.0a5-hardened available due to bug 17858. The internal updater should work, though, doing a complete update.

Here is the complete changelog since 6.0a5-hardened:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Update Tor to 0.2.8.3-alpha
    • Update Torbutton to 1.9.6
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Bug 18980: Remove obsolete toolbar button code
      • Bug 18238: Remove unused Torbutton code and strings
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.8.5
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 12523: Mark JIT pages as non-writable
    • Bug 19193: Reduce timing precision for AudioContext, HTMLMediaElement, and MediaStream
    • Bug 19164: Remove support for SHA-1 HPKP pins
    • Bug 19186: KeyboardEvents are only rounding to 100ms
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug
  • Build System
    • All PLatforms
      • Bug 18333: Upgrade Go to 1.6.2
      • Bug 18919: Remove unused keys and unused dependencies
      • Bug 18291: Remove some uses of libfaketime
      • Bug 18845: Make zip and tar helpers generate reproducible archives

原文:https://blog.torproject.org/blog/

Tor Browser 6.5a1 is released

A new alpha Tor Browser release is available for download in the 6.5a1 distribution directory and on the alpha download page.

This release features important security updates to Firefox.

Tor Browser 6.5a1 is the first release in our 6.5 series. It updates Firefox to 45.2.0esr and contains all the improvements that went into Tor Browser 6.0. Compared to that there are additional noteworthy things that went into this alpha release: we bumped the Tor version to 0.2.8.3-alpha and backported additional security features: exploiting the JIT compiler got made harder and support for SHA1 HPKP pins got removed.

On the infrastructure side, we are now using fastly to deliver the update files. We thank them for their support.

Here is the complete changelog since 6.0a5:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Update Tor to 0.2.8.3-alpha
    • Update Torbutton to 1.9.6
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Bug 18980: Remove obsolete toolbar button code
      • Bug 18238: Remove unused Torbutton code and strings
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.9.3
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
      • Bug 18904: Mac OS: meek-http-helper profile not updated
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 12523: Mark JIT pages as non-writable
    • Bug 19193: Reduce timing precision for AudioContext, HTMLMediaElement, and MediaStream
    • Bug 19164: Remove support for SHA-1 HPKP pins
    • Bug 19186: KeyboardEvents are only rounding to 100ms
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • OS X
    • Bug 18951: HTTPS-E is missing after update
    • Bug 18904: meek-http-helper profile not updated
    • Bug 18928: Upgrade is not smooth (requires another restart)
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug
  • Build System
    • All PLatforms
      • Bug 18333: Upgrade Go to 1.6.2
      • Bug 18919: Remove unused keys and unused dependencies
      • Bug 18291: Remove some uses of libfaketime
      • Bug 18845: Make zip and tar helpers generate reproducible archives

原文:https://blog.torproject.org/blog/tor-browser-65a1-released

Tor Browser 6.0.1 is released

Tor Browser 6.0.1 is now available from the Tor Browser Project page and also from ourdistribution directory.

This release features important security updates to Firefox.

Tor Browser 6.0.1 is the first point release in our 6.0 series. It updates Firefox to 45.2.0esr, contains fixes for two crash bugs and does not ship the loop extension anymore.

Update (June, 8, 12:28 UTC): We just found out that our incremental updates for Windows users were not working. After a short investigation this issue could get resolved and incremental updates are working again. One of the unfortunate side effects of this bug was that all users upgrading from 6.0 got the English 6.0.1 version. The safest way to get a properly localized Tor Browser again is to download it from our homepage. We are sorry for any inconvenience due to this.

Update 2 (June, 10, 9:17 UTC): Linux users that hit serious performance regressions with Tor Browser 6.x might want to try setting gfx.xrender.enabled to false. For a detailed discussion of this problem see bug 19267.

Update 3 (June, 10, 9:22 UTC): We plan to post instructions for removing the OS X code signing parts on our website soon. This should make it easier to compare the OS X bundles we build with the actual bundles we ship.

Here is the full changelog since 6.0:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug

原文:https://blog.torproject.org/blog/tor-browser-601-released

【翻墙问答】Whatsapp黄金版乃黑客陷阱切勿下载(视频)

620

3月31日起,Whatsapp所有通讯会开始采用AES 256位元加密匙。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密。Whatsapp将是世界其中一个最保密即时通讯软件。(维基百科图片)

【翻墙问答】如何设定Shadowsocks翻墙 视频地址:http://www.rfa.org/cantonese/video?v=1_ccf0jk7p

问:最近有些人收到电邮,指Whatsapp推出了终极黄金版,又指很多名人都用这版本。到底这终极黄金版是真的给名人用,还是只是黑客用来偷窃资料用的木马?

李建军:一直以来,Whatsapp都是黑客们偷窃资料的目标,由于在Whatsapp全面改用点对点加密通讯后,黑客再难透过中间人攻击来偷取Whatsapp用户资料,因此,就以Whatsapp现时功能上的一些弱点下手,以电邮四处宣传所谓黄金版,主要目的就是在你Whatsapp应用程式上加设木马,藉此截取你和朋友之间的通讯。

因此,所谓终极黄金版并非由Whatsapp公司所推出,而是黑客的木马,如果你不幸安装了所谓终极黄金版,请立即删除,并且重新下载官方原装的Whatsapp软件。

由于所谓终极黄金版,并不能够通过苹果App Store的审查机制,因此,现时受终极黄金版木马困扰的人,都是使用Android平台的用户。如果你想用安全的Whatsapp版本,暂时只有Google Play或Whatsapp公司官方网页提供的版本称得上安全,由其他途径提供的版本,不论是终极黄金版,还是中国手机制造商提供的山寨应用程式商店,都是不安全的版本,切勿使用。

问:Tor协定已经用了一段时间,现时Tor的开发社群,正研究下一代Tor网络技术,提升翻墙能力,其中Tor地址的格式会有所改变,到底下一代Tor网络的地址的格式会有什么改变?这与翻墙又有什么关系?

李建军:应对中国当局越来越强的封锁,Tor开发社群根据去年的协定,全力开发下一代的Tor网络,其实为了实现全面随机化的分散数据传送要求,令当局难以阻止Tor协定的通讯,网址的长度由现时十六个英文字母或数字,加长到五十五个英文字母或数字,因此,在未来的Tor路由器软件,将需要处理相当长的一串网址。由于新一代Tor网络仍然在实验阶段,因此,现今一代Tor网址以及相关软件仍然会继续使用,而未来的Tor软件,亦会同时能处理新旧技术的通讯,直至第一代Tor技术完全被淘汰为止,相信完全淘汰现今一代的Tor通讯,并不会是这一两年会发生的事。

问:除了VPN和翻墙软件,越来越多人用Shadowsocks来翻墙,到底Shadowsocks是什么来的?而现时Shadowsocks用户端难不难用?

李建军:Shadowsocks的概念与VPN有点类似,也是一种用加密机制去掩盖实际通讯内容的方式,只不过Shadowsocks由于可以用很多不同的非标准协定,实际上像代理软件,多于VPN,但Shadowsocks支援的加密程度和机制,远比传统的代理软件来得多。

在Shadowsocks普及初期,需要用家自行兴建主机,因此,一般只是一些技术能力比较高的用户才用得起Shadowsocks,但今天已经有商家像卖VPN一样卖Shadowsocks主机户口,不少提供虚拟主机服务公司,亦有提供搭建Shadowsocks主机的服务,搭建Shadowsocks主机比以往容易得多,几个朋友要共享一个主机的流量都简单得多。而近来,亦有使用图像介面的Shadowsocks客户端软件出现,令设定Shadowsocks变成一个人人都负担得起的活动。现时在淘宝网等地方买Shadowsocks户口,唯一要担心控制主机那些人的背景是否可靠,会否有一些与中国公安机关合作的人营运这些网站。但海外亦有人卖Shadowsocks户口,可以考虑向海外背景清楚的人购买户口。

这次翻墙问答,会有视频示范如何自行设定Shadowsocks的客户端软件,成功翻墙上网,欢迎各位听众浏览本台的网站收看。虽然片段示范用Mac,但在Windows上使用方式都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/shadowsocks-05272016074611.html?encoding=simplified

翻墙问答:如何查核真假网站?(视频)

0603-fireall620.jpg

李建军教大家如何用WHOIS识别假网址

视频地址:http://www.rfa.org/cantonese/video?v=1_3f1m3z40

问:蔡英文近日宣誓就职成为中华民国总统,不少中国网民都可能有兴趣浏览民进党网站。但近日有保安公司发现,怀疑由中国派来的黑客,竟然引导网民去假网站来意图骗取资料,到底是怎样的一回事?

李建军:根据保安公司Fireeye的资料,中国有关的黑客集团APT16,在4月7日攻击民进党网站,当网民访问被攻击的民进党网站时,会被引导到表面内容一样的假网站,乘机植入木马资料,意图令中国政府掌握民进党支持者,或有兴趣研究民进党的人的网络信息。

由于中国当局经常都想用旁门左道的地方,取得异见人士和支持者的资料,因此,浏览网站时务必小心,特别要留意浏览器上网址部分,有没有显示一些不寻常的网址。例如这次黑客会引导网民到wxw.dpp-org.com,而并非正常的www.dpp.org.tw。而我翻查过WHOIS纪录,dpp-org.com的拥有人,是一间广州的公司。

问:其实怎样查阅一些奇怪的网域名的拥有人?

李建军:其实网域名拥有人的登记机制是相当透明,透过部分像Godaddy等公司提供的WHOIS服务,或作业系统应用程式提供的WHOIS查询服务,打入网域名称,就可以知道这些网域在ICANN的登记纪录,伪冒网站的登记资料通常很古怪,例如民进党网站网域不可能由中国人和公司所拥有,但如果你查到的资料显示,相关域名由中国人所拥有,那就肯定涉及伪冒网站。懂得查网站是否伪冒,对防止自己招惹钓鱼电邮,或浏览假网站有相当大的帮助。

有部分知名企业的网域,拥有人登记资料正常而言,都是相关的企业,以及代表人,如果你发现知名企业网域的拥有人,出现刻意隐藏拥有人资料的奇怪情况,你都可以很容易断定,有关网域是有心人登记用作混淆视听之用,浏览这类网站时,必须提高警觉,以免有任何资料上的损失。这些网站刻意隐藏拥有人身份的真正目的,就是防范执法机关的追查。

这集翻墙问答,会有片段示范以Godaddy的主机,翻查个别奇怪网址的登记资料,欢迎各位浏览本台网站收看。

问:除了翻查WHOIS登记资料,还有什么方法,来判断是假网站?

李建军:利用翻查网域相连IP地址的lookup服务,知道相关主机的IP地址,再查IP的WHOIS资料,都可以很容易查出假网站。例如民进党的假网址,主机设在香港公司的VPS内,而民进党作为台湾政党,主机一般放在台湾公司的主机,甚至自设主机,这对判断假网站与否十分有帮助。用户防范于未然,这是最重要。

问:联想所出产的电脑,不论在中国还是在海外销售的型号,都被发现内藏木马。而最近联想出产的电脑,又被发现有问题,联想要求客户解除随机附送部分应用程式的安装,请问详情如何?

李建军:这次联想发生保安问题的程式,安装在绝大部分使用Windows 10作业系统的电脑,只有Think系列的电脑因未有安装相关程式而不受影响。这次联想要求客户解除安装的程式,主要用作加速联想的应用程式之用,但由于这个加速程式会在未加密的情况下,连接不知名的主机,有可能造成资料外泄的问题。

由于联想随机附送的程式,经常被发现有保安问题,因此,不论你的联想电脑在那一个国家买,其实如无必要,都应考虑解除安装联想公司附送的各类应用程式,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/fakedpp-06032016082156.html?encoding=simplified

翻墙问答:Facebook的Messenger加密问题

问:Facebook属下的Whatsapp,较早前已经全面升级到点对点加密,而Facebook本身的Messenger都可能提供点对点加密。但Facebook提供点对点加密的做法,与Whatsapp有何不同?

李建军:Whatsapp在推出点对点加密时,是强制所有Whatsapp用户都要选择点对点加密。如果你的Whatsapp软件太旧,支援不了点对点加密,最终有可能无法登入Whatsapp。

但Facebook由于Messenger的功能并非像Whatsapp如此单纯,有不少用户会选择在Messenger中使用一些人工智能功能,需要第三方主机介入。因此,用户可以选择是否采用点对点加密。采用点对点加密,可能牺牲了部分便利功能,只不过,通讯将会更安全。对于需要翻墙上网的听众,有可能需要牺牲一些便利功能,选择点对点加密。而点对点加密,对于实时信息软件而言,将是技术上大势所趋,做不到点对点加密的信息软件,都会因为私隐保障不足,而渐渐被淘汰。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-1-06102016074029.html?encoding=simplified

翻墙问答:如何翻查域名IP资料?(视频)

c0610-firewall.jpg

翻墙问答:如何翻查域名IP资料?(粤语部制图)

 

问:在上集翻墙问答,示范如何用Whois来翻查域名拥有人资料。但如果想知道个别域名的对照IP,又有什么方法?

李建军:这次翻墙问答,我们预备了视频,示范如何利用Mac作业系统内置网路工具程式,去翻查个人域名的IP资料,以及翻查相关IP主机营运者的资料,方便判断相关网站是否一直有问题的山寨网站,欢迎听众浏览本台的网站收看。虽然这次在Mac之上作出示范,但在Windows以至Linux作业系统,都有相类似的工具可供使用,而使用方法亦都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-3-06102016073851.html?encoding=simplified

翻墙问答:Gmail用户保安的新发展

问:谷歌刚宣布,透过IMAP来查阅Gmail的用户,由6月16日开始,不可以再以SSL v.3或RC4加密形式连接。对Gmail用户有什么影响?而SSL v.3和RC4为何不可以再用?

李建军:谷歌这次在IMAP主机上停用SSL v.3和RC4技术,其实都是针对SSL v.3和RC4技术存在的保安问题。SSL v.3已经用了差不多十六年,技术已经过时而且漏洞百出,根本谈不上是安全技术。而RC4就由去年开始陆续发出保安漏洞,因此微软和Mozilla在去年都已经停止了RC4的支援。而使用这些漏洞百出,只会令你的电邮资料甚至密码很容易被黑客拦截。较早前,谷歌为防黑客滥用谷歌的邮箱服务发出垃圾电邮,已经不再容许SMTP主机以SSL v.3或RC4技术连接。

由6月16日开始,谷歌Gmail的IMAP主机会拒绝所有SSL v.3和RC4的技术的连接,并显示错误信息。如果你用Android或iOS 7或以上的手机,一般都不会有大问题。但如果你的电脑所用的电邮程式是2009年之前的电邮程式,你应该尽早更新到现代支援TLS 1.2版本的电邮程式。而未来的TLS 1.3,都会以保安理由,不再对SSL v.3和RC4技术作出支援。

问:有传谷歌有可能改变Android作业系统的源码政策,由原本的开放源码改变为与苹果相类似的非开放源码政策。这对用户而言,有没有好处?

李建军:虽然开放源码对大部分用户是好,但手机作业系统可能是例外。Android开放源码并无令Android更安全,反而令中国在山寨手机上加入大量僭建功能,例如非标准的App Store,甚至在作业系统加上一些有问题软件,令用户对Android的安全程度更缺乏信心。谷歌以非开放源码发放Android作业系统,至少将Android作业系统主导权重新掌握在谷歌手上,减少山寨手机对用户造成的困扰。虽然未来可以少了便宜手机,但至少不用再怕用上有问题版本的Whatsapp或其他软件,而导致手机个人资料外泄的问题。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-2-06102016073930.html?encoding=simplified

安卓版:无界一点通3.7正式版(2016年6月8日)

无界一点通3.7正式版:

1. 修复VPN模式自动断线的问题(3.6的疏忽);
2. 修复低版本的安卓上下载文件会终止应用的问题。

http://wujieliulan.com/download/um3.7.apk

sha1:9a3c4ee8e23232506a6a7fdc5f9e4b6bf2a84569
md5:6e388a747781b98264fb02e05a85e69c

谢谢!
—————–
无界一点通3.6做了以下改进:

1. 解决了一些手机上不能正常浏览一些网页的问题, 如:脸书(facebook)/youmaker/谷歌应用商店/谷歌搜索;
2. 解决了一些手机上不能正常看youtube的问题;
3. 允许用户选择下载文件夹;
4. 增加下载程度及通知;
5. 支持多标签浏览;
6. 增加“清除历史记录”选项;
7. 增加“禁止cookie”选项;
8. 增加浏览界面顶部的功能键, 方便浏览;
9. 看电视机听广播时不自动锁屏, 除非用户自己关掉屏幕;
10. 解决某些设备上看新唐人不能看全屏的问题, 以及新唐人节目单在机顶盒上不能全屏显示的问题;
11. 增强安全及联通能力。

—————–
“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”,如果能访问谷歌应用商店, 可以直接从那里下载安装: 搜索”ydt.wujie”应用。如果不能访问谷歌应用商店, 可采用以下办法:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21502.0

一键翻墙免配置插件 Speedplus VPN 更新至V1.0.7


Members
支持国内Chrome/360/QQ/猎豹/UC等主流浏览器,一键翻墙免配置插件,免费使用。
来源:http://speedplus.org/

插件下载地址:http://speedplus.org/ext/speedplus_1.0.7.crx

谷歌应用店地址:https://chrome.google.com/webstore/detail/speedplus-vpn-%E9%AB%98%E5%93%81%E8%B4%A8vpn%E6%9C%8D%E5%8A%A1/fiddahcmipladlobggbjojeimokalcnj

Speedplus VPN,稳定和便捷的VPN服务.多国线路,百兆带宽,不限流量速度,可单独安装使用。免费使用!安装后默认开启无需要任何操作。
目前支持国内众多主流浏览器,体验最佳推荐使用Chrome浏览器!

版本:1.0.7
大小:569Kb
更新:2016-06-10
支持:Chrome/360/QQ/猎豹/UC等浏览器

安装图示

1、以Chrome浏览器为例,按照下图所示步骤,进入浏览器的扩展程序(chrome://extensions/)界面;

Email

2、将下载的插件文件拖到Chrome浏览器 插件管理界面中去,进行安装;

Email

3、浏览器会弹出安装插件的提示,点击”添加扩展程序”;

Email

4、安装完成后,扩展管理中就可以看到插件了。右上角闪电图标可以快捷打开插件。

Email

原文:http://www.chinagfw.org/2016/06/speedplus-vpn-v107.html

翻译ZPN一枚,所有内容来自官网,是否好用请自行尝试


最近跟一个叫做ONE的朋友聊天,他推荐有个叫做ZPN的东西,老实说我除了VPN,还真没听过ZPN,他说在百度第一条,于是今天我就把我这里百度第一条的ZPN分享给各位。基本上以翻译为主,有兴趣的朋友可以自行尝试一下。

分享一个据说还很好用的VPN,它的名字叫做ZPN
分享一个据说还很好用的VPN,它的名字叫做ZPN

什么是ZPN

ZPN是一个可靠、快速、免费的VPN客户端,每月免费10G流量。

ZPN都有哪些特点

  • 加密你的链接。ZPN免费VPN保护你的在线信息,如信用卡、在线帐户的详细资料、网银的详细信息和其他敏感信息都会用AES-256加密。
  • 随心链接。ZPN可以保证你的公共WIFI链接是安全和加密的。
  • 虚拟防火墙。针对私人电脑的攻击一般是直指IP的,ZPN可以帮你隐藏自己的IP,获得比代理服务器更安全私密的浏览体验。
  • 保护隐私。通过隐藏你的IP确保你的操作不会被监听和截获。
  • Bypass Internet Censorship。Access to Facebook, Twitter, Hulu, Netflix, Youtube, ITV Player, BBC, Skype, Pandora and more filtered sites in your school, work or country. ZPN uses gigabit dedicated server with load balancing feature to ensure the speed with high quality video browsing.这段我就不翻了。
  • 支持多种协议。有 L2TP, OpenVPN等。

ZPN的服务器

服务器方面,ZPN官网表示他们在全球有250个服务器,我试着注册了一下,还可以切换你的服务器。另外就是免费账户每个月送10G流量,但是只能一个人使用,而且禁止P2P,限制带宽(没尝试,不知道怎么个限制法)。

ZPN服务器
ZPN服务器

安装使用ZPN

ZPN官网提供了Windows、iPhone/iPad、Android客户端,当然还有Mac OS和Linux系统的版本,每个系统基本都有L2TP和OpenVPN两个版本可供下载,大家比较关注的Windows方面,从Windows XP到Windows 8都是支持的,有单独的客户端可以下载。请大家选择适合自己的版本到ZPN官网下载专区下载。

ZPN的使用方法请参照之前分享的VPN搭建方法。应该是大同小异的。

影响你的ZPN速度的两个因素

  • 你的默认带宽。
  • 你的所在位置和你选择的连接服务器的距离(So,大家还是选择离自己最近的服务器,而不是距目的网站最近的服务器)。

最后,我还是推荐使用轻量级科学上网神器shadowsocks,另外还需要再说明一次,这个号称只需要45秒就能注册成功的ZPN我没有进行尝试,有兴趣的朋友可以自行尝试一下。

原文:http://www.jubushoushen.com/1790.html

去大陸必裝!VPN Master Free App一鍵就讓你輕鬆完成VPN翻牆 網路速度也非常快


曾去大陸旅遊過的人都知道,如果沒有 VPN 翻牆的話,就沒辦法使用 Faebook、Line 以及 Google 等等。即使是台灣,現在也有不少人因為想要到其他國家下載限定 LINE 貼圖、收看 Netflix 影片,也都會使用到 VPN 翻牆功能,所以說這漸漸成為每個人手機中必裝的工具之一。

而 App 商城中雖然有不少 VPN 翻牆工具,但大多數不是操作太複雜,就是介面不親近。不過這套 VPN Master Free 很不一樣,它不僅介面採用圖示化設計,就連 VPN 翻牆功能也只需按一個鍵,無形中完成了!即便是手機白痴的朋友也能輕鬆完成 VPN 翻牆。

VPN Master Free 支援中文語系,但筆者是覺得這沒什麼差,因為介面就這麼簡單!中間紅色按鈕就是啟動 VPN 翻牆,不過在這之前,你必須選擇想要 VPN 的國家。
IMG 0677

點選上張圖 United States 美國字樣後,就會跳出一整排的列表,大多以美國、英國、新加坡為主,每個選項的連線速度都很不錯,比較可惜的是沒有日本跟韓國。
IMG 0674

因為是免費版,所以按下 VPN 翻牆功能鍵後會跳出廣告,但這不會花太長的時間,五秒之後就可以略過。
IMG 0672

接著就完成啦!也會發現螢幕上面出現 VPN 這三個英文字。而筆者也實際測試,既然是 VPN 到美國,那在 NetFlix 一定可以找到紙牌屋這部影集,果然沒錯!整個網路速度很不錯,幾乎就跟沒 VPN 一樣。
IMG 0673

中途如果回到 VPN Master Free 中,也會跳出廣告,想關閉 VPN 的話同樣是按一下啟動功能鍵。
IMG 0676

是不是非常簡單?!這套 App 雖然也有專業版(VPN Master Pro),但筆者使用免費版一陣子後,感覺應該只差在是不是無廣告版本,時間、速度跟列表好像都一模一樣,所以說基本上免費版就夠了!除非你真的很常用到 VPN 翻牆,那專業版就會是不錯的選擇。

Android 也有這套,不過如果要變成專業版的話,須透過內購的 VIP 功能。

VPN Master Free 下載連結

iOS 下載連結(請點我)

VPN Master Pro 專業版 iOS 下載連結(請點我)

VPN Master Android版(請點我)

原文:https://www.kocpc.com.tw/archives/64888

设置路由VPN穿透 解决WIFI环境下无法VPN问题


解决:不能在WIFI环境下登陆VPN,但是关闭WIFI用GPRS网络则可以登录。

来源:http://www.atgfw.org/2016/03/vpn-wifivpn.html

实验环境:iphone 3G港版 固件3.13 未越狱未破解   路由器是D-LINK DI-624+A.。
解决办法:
1.用手机连接电脑猎豹免费wifi或者是360免费wifi之类的软件,然后手机再登陆VPN是不行的。
必须手机直接用4G或者是直接连接无线路由器才可以!
如果上面的办法不行,可以用下面的解决办法二
第一步:在IE浏览器地址栏登陆http://192.168.0.1/,输入用户名和密码,默认是用户是admin  密码可能是admin,也可能没有密码;
第二步:在路由器设置页面的 工具-》其它项目里面 激活路由器端的VPN穿透端口:如下
VPN Pass-Through
允许 VPN 通过 DI-624+A。
PPTP   –激活
IPSec    –激活
更改后点执行;
第三步:在路由器设置页面的进阶设定-》DMZ 里面 把IP地址改为你的iphone的IP地址(在IPHONE的设置/Wi-Fi/选取网络 下面的你的WIFI网名称项的右边有个小箭头号,点开即可看到你的IPHONE地址)只需填写最后3位即可,更改后点执行。
设置结束后,就可以用iphone在wifi环境下连接VPN了
另外如你的路由是TP-LINK 的,可以尝试按以下办法设置(一下内容来源于 liuyuevvv发的帖子,再次感谢他):
进入路由器设置页面
1: 安全功能—-安全设置—-将虚拟专用网络 VPN 下的PPTP穿透,选择开启
2:转发规则—-特殊应用程序—-添加1701和1723端口
3:转发规则—-DMZ主机—-选择开启,并添加iphone目前分配到的IP地址(如果路由选择DHCP的话,很有可能这个IP地址会变化)
设置结束后,应该就可以用iphone在wifi环境下连接VPN了
如果笔记本wifi也无法VPN的话, 也可以这样设置

原文:http://www.chinagfw.org/2016/06/vpn-wifivpn.html

OpenConnect server(ocserv) 一键脚本 (AnyConnect)

最近想玩google远程桌面了,然后发现ShadowsocksR用不了=-=。然后发现这个教程,一键安装的,已经成功了。系统:ubuntu 15.04

一,安装步骤:
1,安装与调试
如果这是纯净新系统的话,请先更新一下系统。
1
apt-get update && apt-get upgrade -y
首次安装,终端输入以下命令
1
wget git.io/p9r8 --no-check-certificate -O ocservauto.sh&&bash ocservauto.sh

默认直接一路回车就好了,账号和密码登陆

注:同时开启证书登录和用户名密码登录
请务必首先选择任意一种登录方式来完成安装,接着再使用下面命令
1
bash ocservauto.sh pc

对了win10用证书是导入个人里面,另外链接过程失败重启电脑就好了。另外注意思科的网卡有没有开启。

剩下的了,具体可以参考google搜索内容

原文:http://www.atgfw.org/2016/05/openconnect-serverocserv-anyconnect.html

Chrome一键翻墙免配置插件 Speedplus VPN 更新至V1.0.5

支持国内Chrome/360/QQ/猎豹/UC等主流浏览器,体验最佳推荐使用Chrome浏览器。一键翻墙免配置插件,免费使用。
版本:1.0.5
大小:550Kb
更新:2016-05-22
下载链接:
http://speedplus.org/ext/speedplus_1.0.5.crx
chrome web store 下载地址:
https://chrome.google.com/webstore/detail/speedplus-vpn-%E9%AB%98%E5%93%81%E8%B4%A8vpn%E6%9C%8D%E5%8A%A1/fiddahcmipladlobggbjojeimokalcnj
官网:http://speedplus.org

1、以Chrome浏览器为例,按照下图所示步骤,进入浏览器的扩展程序(chrome://extensions/)界面;

2、将下载的插件文件拖到Chrome浏览器 插件管理界面中去,进行安装;

3、浏览器会弹出安装插件的提示,点击”添加扩展程序”;

4、安装完成后,扩展管理中就可以看到插件了。右上角闪电图标可以快捷打开插件。

原文:http://www.atgfw.org/2016/05/chrome-speedplus-vpn-v105.html

Streisand,寻找完美的 VPN


开源项目Streisand支持多种VPN协议,为了防止流量识别它还提供了多种方法,可以将VPN流量伪装成标准的HTTPS流量

来源:http://www.solidot.org/story?sid=48450

项目官网:https://github.com/jlund/streisand

绕过互联网限制和保护通信安全以及个人隐私的最常用工具是VPN。但不是所有的VPN都是相同的,配置不当的VPN可能会使得用户更容易受到攻击。一些VPN服务禁止BT下载,还有一些记录日志,这么做或者是为了维护,或者是防止滥用,或者是遵守当地的数据保留法律。一些VPN服务被发现使用预共享的密钥,也就是说如果用户在攻击者控制的网络中使用VPN,那么攻击者可以利用预共享密钥发动中间人攻击,解密加密的流量。这些VPN服务包括:GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN和EarthVPN。使用VPN意味着你需要信任服务商,如果你无法信任他们,那么如果你有能力的话可以自己搭建VPN服务,开源项目Streisand支持多种VPN协议,为了防止流量识别它还提供了多种方法,可以将VPN流量伪装成标准的HTTPS流量。开发者 Joshua Lund说,Streisand一个目标是简化设置流程

原文:http://www.chinagfw.org/2016/06/streisand-vpn.html

Windows 10 设置VPN方法(PPTP/L2TP)

前言:如果您是使用客户端连接的,就不用设置本文步骤了,直接使用客户端连接就可以。如果因为某些原因不能使用客户端,则可以按照下面方法手动设置连接使用。

1、右键点击任务栏下的“网络”图标,点击“打开网络和共享中心”,如下图:

网络图标

2、点击“设置新的连接或网络

网络和共享中心

3、选择“连接到工作区”,点击“下一步

连接到工作区

4、点击选择“使用我的 Internet 连接

使用我的 Internet 连接

5、“Internet 地址”填写线路服务器地址(IP地址或域名地址,点击这里查看),输入后点击“下一步”。

Internet 地址

6、创建完成后,需要设置连接协议,选择PPTP或L2TP(如果其中一种连接遇到问题,请尝试更换另一种)。

设置步骤如下:打开“网络和共享中心”—点击“更改适配器设置”,鼠标右键点击创建的网络连接属性

更改适配器设置

网络连接属性

PPTP设置图解,请按照下面设置(PPTP或L2TP设置其中一种即可)。

PPTP设置

L2TP设置图解,请按照下面设置(PPTP或L2TP设置其中一种即可)。

L2TP设置

7、设置线路协议后,点击任务栏下面的“网络”图标,单击创建的网络连接,输入帐号点击连接(网站或软件上注册的帐号),连接上即可使用。

网络连接

输入帐号

连接成功

原文:http://www.heizivpn.com/windows-10-%E8%AE%BE%E7%BD%AEvpn%E6%96%B9%E6%B3%95%EF%BC%88pptpl2tp%EF%BC%89/

最简单SHADOWSOCKS服务器搭建教程

如题,手上没有闲置的VPS,所以在虚拟机里全新安装了一个CentOS x64来模拟安装了Cent OS系统的VPS,实际操作VPS应该与此无异,此教程面向常年使用Windows系统没怎么接触过Linux的朋友,本人水平有限,若有朋友发现有错误的地方还请在评论中指正,谢谢。

下面开始,开始之前请确保你的电脑上已安装putty和WinSCP这两款软件。

http://www.putty.org/ putty官网,如果不习惯英文可以找下汉化版,但可能有一定的风险。

https://winscp.net/eng/docs/lang:chs WinSCP官网

 

第一步、使用putty登录VPS,图中上面左边红框里输入VPS的IP地址,我安装在虚拟机里的Cent OS的IP是192.168.1.5所以我输入的就是192.168.1.5,实际VPS的IP应该是一个公网的IP地址而非内网的,IP右侧是端口号,默认22,不需要修改,另外可以在左下红框位置填入你对这个VPS的说明,然后点击“Save”保存,下次就不需要再输入IP,在下方选择你保存好的项再点击“Load”载入就可以了,若不需要了可以选择后点击“Delete”删除;输入完IP后点击“Open”登录VPS,若弹出提示框选择“是”就行了。

2016052901

若出现“login as:”则说明连接成功,然后输入用户名“root”回车,再输入root密码,注意此处不像windows,你输入密码时并不会出现星号“*”之类的,输入密码时不会有任何反应,你按次序输入自己的root密码就可以了,输完后回车,若出现“[root@localhost ~]#”这种字则说明登录成功。(说句题外话,下午装完虚拟机系统后小憩了一会儿,醒来后就死活想不起来root密码了,只好重装了一个……

2016052902

下面开始安装:

以下命令复制粘贴到putty里并回车执行,注意putty里右击一下就可以把命令粘贴进去了,若未报错则说明执行成功,出现确认提示时输入“y”后回车就行了。

 

yum install epel-release

2016052903

 

yum update

这一步需要很长时间,请耐心等待,你可以去看看视频什么的…

2016052904

 

yum install python-setuptools m2crypto supervisor

2016052905

 

yum install python-pip

2016052906

 

pip install shadowsocks

下图中黄色部分的意思是要更新pip,我这可能是墙的原因出现了,shadowsocks已经安装好了,如果你也出现这个提示可以不用鸟他。。也可以执行

pip install –upgrade pip

安装一下

2016052907

到这里已经完成安装了,接下来就是配置了,网上很多教程都是在putty里用vi编辑器进行修改,但我觉得这对像我这样的用惯了windows没怎么用过linux的人来说很麻烦,所以,这里我不用那种方法,而是借助WinSCP进行编辑,注意putty先不要关掉,后面重启要用到,如果你手快已经关了也没事,待会儿再像最上面说的那样再进去就行了。

接下来开始配置shadowsocks:

打开WinSCP,填入VPS相关信息登录,后面出现提示点确定就行了。

2016052908

登录成功后进入 /etc目录,点击“文件”-“新建”创建一个名为“shadowsocks.json”的文件,然后编辑它,复制粘贴以下内容:

{

    “server”:”0.0.0.0″,

    “server_port”:8388,

    “local_port”:1080,

    “password”:”yourpassword”,

    “timeout”:600,

    “method”:”aes-256-cfb”

}

然后再根据自己的需要修改这几项,server_port是服务器端口号,范围1-65535,注意不要和现有端口号冲突;password是密码;method是加密方式,建议就使用aes-256-cfb不要修改。修改完成后保存。

2016052909

打开/etc/supervisord.conf文件,在末尾空行处复制粘贴以下内容:

[program:shadowsocks]

command=ssserver -c /etc/shadowsocks.json

autostart=true

autorestart=true

user=root

log_stderr=true

logfile=/var/log/shadowsocks.log

粘贴完成后注意要回车一下空出一行,然后保存。

2016052910

打开/etc/rc.local 将以下内容复制到中间空行处

service supervisord start

然后保存。

2016052911

到这里就可以关掉WinSCP了,然后转到putty,如果你刚才关了putty则需要再按照最上面的方法重新登录。

在putty里输入并回车执行

reboot

此命令是重启VPS,putty会弹出一个提示框,意思是连接断开了,关掉putty就行了。

到此shadowsocks服务器搭建教程就结束了。

最后是在另一台虚拟机中以刚才搭建的局域网shadowsocks服务器作为全局代理,然后ping通114DNS的图,就是不知道为什么访问网站会报502错误。

2016052912

原文:http://www.mlnews.me/2016/0529197

安卓版:无界一点通3.6正式版(2016年5月30日)

无界一点通3.6b升级为正式版:

http://wujieliulan.com/download/um3.6.apk
sha1:86c203222887fdbb99b13853e1efe2f772cbb54c
md5:e32ef55baff5ec307a91ff7b04c86b13

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”,如果能访问谷歌应用商店, 可以直接从那里下载安装: 搜索”ydt.wujie”应用。如果不能访问谷歌应用商店, 可采用以下办法:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21493.0

Tor Browser 6.0 is released

The Tor Browser Team is proud to announce the first stable release in the 6.0 series. This release is available from the Tor Browser Project page and also from our distribution directory.

This release brings us up to date with Firefox 45-ESR, which should mean a better support for HTML5 video on Youtube, as well as a host of other improvements.

Beginning with the 6.0 series code-signing for OS X systems is introduced. This should help our users who had trouble with getting Tor Browser to work on their Mac due to Gatekeeper interference. There were bundle layout changes necessary to adhere to code signing requirements but the transition to the new Tor Browser layout on disk should go smoothly.

The release also features new privacy enhancements and disables features where we either did not have the time to write a proper fix or where we decided they are rather potentially harmful in a Tor Browser context.

On the security side this release makes sure that SHA1 certificate support is disabledand our updater is not only relying on the signature alone but is checking the hash of the downloaded update file as well before applying it. Moreover, we provide a fix for a Windows installer related DLL hijacking vulnerability.

A note on our search engine situation: Lately, we got a couple of comments on our blog and via email wondering why we are now using DuckDuckGo as the default search engine and not Disconnect anymore. Well, we still use Disconnect. But for a while now Disconnect has no access to Google search results anymore which we used in Tor Browser. Disconnect being more a meta search engine which allows users to choose between different search providers fell back to delivering Bing search results which were basically unacceptable quality-wise. While Disconnect is still trying to fix the situation we asked them to change the fallback to DuckDuckGo as their search results are strictly better than the ones Bing delivers.

The full changelog since Tor Browser 5.5.5 is:
Tor Browser 6.0 — May 30

  • All Platforms
    • Update Firefox to 45.1.1esr
    • Update OpenSSL to 1.0.1t
    • Update Torbutton to 1.9.5.4
      • Bug 18466: Make Torbutton compatible with Firefox ESR 45
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 16017: Allow users to more easily set a non-tor SSH proxy
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.9.3
      • Bug 13252: Do not store data in the application bundle
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
      • Bug 11773: Setup wizard UI flow improvements
      • Translation updates
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
      • Bug 18371: Symlinks are incompatible with Gatekeeper signing
      • Bug 18904: Mac OS: meek-http-helper profile not updated
    • Bug 15197 and child tickets: Rebase Tor Browser patches to ESR 45
    • Bug 18900: Fix broken updater on Linux
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 18042: Disable SHA1 certificate support
    • Bug 18821: Disable libmdns support for desktop and mobile
    • Bug 18848: Disable additional welcome URL shown on first start
    • Bug 14970: Exempt our extensions from signing requirement
    • Bug 16328: Disable MediaDevices.enumerateDevices
    • Bug 16673: Disable HTTP Alternative-Services
    • Bug 17167: Disable Mozilla’s tracking protection
    • Bug 18603: Disable performance-based WebGL fingerprinting option
    • Bug 18738: Disable Selfsupport and Unified Telemetry
    • Bug 18799: Disable Network Tickler
    • Bug 18800: Remove DNS lookup in lockfile code
    • Bug 18801: Disable dom.push preferences
    • Bug 18802: Remove the JS-based Flash VM (Shumway)
    • Bug 18863: Disable MozTCPSocket explicitly
    • Bug 15640: Place Canvas MediaStream behind site permission
    • Bug 16326: Verify cache isolation for Request and Fetch APIs
    • Bug 18741: Fix OCSP and favicon isolation for ESR 45
    • Bug 16998: Disable <link rel=”preconnect”> for now
    • Bug 18898: Exempt the meek extension from the signing requirement as well
    • Bug 18899: Don’t copy Torbutton, TorLauncher, etc. into meek profile
    • Bug 18890: Test importScripts() for cache and network isolation
    • Bug 18886: Hide pocket menu items when Pocket is disabled
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • Windows
  • OS X
    • Bug 6540: Support OS X Gatekeeper
    • Bug 13252: Tor Browser should not store data in the application bundle
    • Bug 18951: HTTPS-E is missing after update
    • Bug 18904: meek-http-helper profile not updated
    • Bug 18928: Upgrade is not smooth (requires another restart)
  • Build System
    • All Platforms
      • Bug 18127: Add LXC support for building with Debian guest VMs
      • Bug 16224: Don’t use BUILD_HOSTNAME anymore in Firefox builds
      • Bug 18919: Remove unused keys and unused dependencies
    • Windows
      • Bug 17895: Use NSIS 2.51 for installer to avoid DLL hijacking
      • Bug 18290: Bump mingw-w64 commit we use
    • OS X
      • Bug 18331: Update toolchain for Firefox 45 ESR
      • Bug 18690: Switch to Debian Wheezy guest VMs
    • Linux
      • Bug 18699: Stripping fails due to obsolete Browser/components directory
      • Bug 18698: Include libgconf2-dev for our Linux builds
      • Bug 15578: Switch to Debian Wheezy guest VMs (10.04 LTS is EOL)

原文:https://blog.torproject.org/blog/tor-browser-60-released

Tor 0.2.8.3-alpha is released

Tor 0.2.8.3-alpha has been released! You can download the source from the Tor website. Packages should be available over the next week or so.

Tor 0.2.8.3-alpha resolves several bugs, most of them introduced over the course of the 0.2.8 development cycle. It improves the behavior of directory clients, fixes several crash bugs, fixes a gap in compiler hardening, and allows the full integration test suite to run on more platforms.

REMEMBER: This is an alpha release. Expect a lot of bugs. You should only run this release if you’re willing to find bugs and report them.

Changes in version 0.2.8.3-alpha – 2016-05-26

  • Major bugfixes (security, client, DNS proxy):
    • Stop a crash that could occur when a client running with DNSPort received a query with multiple address types, and the first address type was not supported. Found and fixed by Scott Dial. Fixes bug 18710; bugfix on 0.2.5.4-alpha.
  • Major bugfixes (security, compilation):
    • Correctly detect compiler flags on systems where _FORTIFY_SOURCE is predefined. Previously, our use of -D_FORTIFY_SOURCE would cause a compiler warning, thereby making other checks fail, and needlessly disabling compiler-hardening support. Fixes one case of bug 18841; bugfix on 0.2.3.17-beta. Patch from “trudokal”.
  • Major bugfixes (security, directory authorities):
    • Fix a crash and out-of-bounds write during authority voting, when the list of relays includes duplicate ed25519 identity keys. Fixes bug 19032; bugfix on 0.2.8.2-alpha.
  • Major bugfixes (client, bootstrapping):
    • Check if bootstrap consensus downloads are still needed when the linked connection attaches. This prevents tor making unnecessary begindir-style connections, which are the only directory connections tor clients make since the fix for 18483 was merged.
    • Fix some edge cases where consensus download connections may not have been closed, even though they were not needed. Related to fix for 18809.
    • Make relays retry consensus downloads the correct number of times, rather than the more aggressive client retry count. Fixes part of ticket 18809.
    • Stop downloading consensuses when we have a consensus, even if we don’t have all the certificates for it yet. Fixes bug 18809; bugfix on 0.2.8.1-alpha. Patches by arma and teor.
  • Major bugfixes (directory mirrors):
    • Decide whether to advertise begindir support in the the same way we decide whether to advertise our DirPort. Allowing these decisions to become out-of-sync led to surprising behavior like advertising begindir support when hibernation made us not advertise a DirPort. Resolves bug 18616; bugfix on 0.2.8.1-alpha. Patch by teor.
  • Major bugfixes (IPv6 bridges, client):
    • Actually use IPv6 addresses when selecting directory addresses for IPv6 bridges. Fixes bug 18921; bugfix on 0.2.8.1-alpha. Patch by “teor”.
  • Major bugfixes (key management):
    • If OpenSSL fails to generate an RSA key, do not retain a dangling pointer to the previous (uninitialized) key value. The impact here should be limited to a difficult-to-trigger crash, if OpenSSL is running an engine that makes key generation failures possible, or if OpenSSL runs out of memory. Fixes bug 19152; bugfix on 0.2.1.10-alpha. Found by Yuan Jochen Kang, Suman Jana, and Baishakhi Ray.
  • Major bugfixes (testing):
    • Fix a bug that would block ‘make test-network-all’ on systems where IPv6 packets were lost. Fixes bug 19008; bugfix on tor-0.2.7.3-rc.
    • Avoid “WSANOTINITIALISED” warnings in the unit tests. Fixes bug 18668; bugfix on 0.2.8.1-alpha.
  • Minor features (clients):
    • Make clients, onion services, and bridge relays always use an encrypted begindir connection for directory requests. Resolves ticket 18483. Patch by “teor”.
  • Minor features (fallback directory mirrors):
    • Give each fallback the same weight for client selection; restrict fallbacks to one per operator; report fallback directory detail changes when rebuilding list; add new fallback directory mirrors to the whitelist; update fallback directories based on the latest OnionOO data; and any other minor simplifications and fixes. Closes tasks 17158, 17905, 18749, bug 18689, and fixes part of bug 18812 on 0.2.8.1-alpha; patch by “teor”.
  • Minor features (geoip):
    • Update geoip and geoip6 to the May 4 2016 Maxmind GeoLite2 Country database.
  • Minor bugfixes (assert, portability):
    • Fix an assertion failure in memarea.c on systems where “long” is shorter than the size of a pointer. Fixes bug 18716; bugfix on 0.2.1.1-alpha.
  • Minor bugfixes (bootstrap):
    • Consistently use the consensus download schedule for authority certificates. Fixes bug 18816; bugfix on 0.2.4.13-alpha.
  • Minor bugfixes (build):
    • Remove a pair of redundant AM_CONDITIONAL declarations from configure.ac. Fixes one final case of bug 17744; bugfix on 0.2.8.2-alpha.
    • Resolve warnings when building on systems that are concerned with signed char. Fixes bug 18728; bugfix on 0.2.7.2-alpha and 0.2.6.1-alpha.
    • When libscrypt.h is found, but no libscrypt library can be linked, treat libscrypt as absent. Fixes bug 19161; bugfix on 0.2.6.1-alpha.
  • Minor bugfixes (client):
    • Turn all TestingClientBootstrap* into non-testing torrc options. This changes simply renames them by removing “Testing” in front of them and they do not require TestingTorNetwork to be enabled anymore. Fixes bug 18481; bugfix on 0.2.8.1-alpha.
    • Make directory node selection more reliable, mainly for IPv6-only clients and clients with few reachable addresses. Fixes bug 18929; bugfix on 0.2.8.1-alpha. Patch by “teor”.
  • Minor bugfixes (controller, microdescriptors):
    • Make GETINFO dir/status-vote/current/consensus conform to the control specification by returning “551 Could not open cached consensus…” when not caching consensuses. Fixes bug 18920; bugfix on 0.2.2.6-alpha.
  • Minor bugfixes (crypto, portability):
    • The SHA3 and SHAKE routines now produce the correct output on Big Endian systems. No code calls either algorithm yet, so this is primarily a build fix. Fixes bug18943; bugfix on 0.2.8.1-alpha.
    • Tor now builds again with the recent OpenSSL 1.1 development branch (tested against 1.1.0-pre4 and 1.1.0-pre5-dev). Closes ticket 18286.
  • Minor bugfixes (directories):
    • When fetching extrainfo documents, compare their SHA256 digests and Ed25519 signing key certificates with the routerinfo that led us to fetch them, rather than with the most recent routerinfo. Otherwise we generate many spurious warnings about mismatches. Fixes bug 17150; bugfix on 0.2.7.2-alpha.
  • Minor bugfixes (logging):
    • When we can’t generate a signing key because OfflineMasterKey is set, do not imply that we should have been able to load it. Fixes bug 18133; bugfix on 0.2.7.2-alpha.
    • Stop periodic_event_dispatch() from blasting twelve lines per second at loglevel debug. Fixes bug 18729; fix on 0.2.8.1-alpha.
    • When rejecting a misformed INTRODUCE2 cell, only log at PROTOCOL_WARN severity. Fixes bug 18761; bugfix on 0.2.8.2-alpha.
  • Minor bugfixes (pluggable transports):
    • Avoid reporting a spurious error when we decide that we don’t need to terminate a pluggable transport because it has already exited. Fixes bug 18686; bugfix on 0.2.5.5-alpha.
  • Minor bugfixes (pointer arithmetic):
    • Fix a bug in memarea_alloc() that could have resulted in remote heap write access, if Tor had ever passed an unchecked size to memarea_alloc(). Fortunately, all the sizes we pass to memarea_alloc() are pre-checked to be less than 128 kilobytes. Fixes bug19150; bugfix on 0.2.1.1-alpha. Bug found by Guido Vranken.
  • Minor bugfixes (relays):
    • Consider more config options when relays decide whether to regenerate their descriptor. Fixes more of bug 12538; bugfix on 0.2.8.1-alpha.
    • Resolve some edge cases where we might launch an ORPort reachability check even when DisableNetwork is set. Noticed while fixing bug 18616; bugfix on 0.2.3.9-alpha.
  • Minor bugfixes (statistics):
    • We now include consensus downloads via IPv6 in our directory- request statistics. Fixes bug 18460; bugfix on 0.2.3.14-alpha.
  • Minor bugfixes (testing):
    • Allow directories in small networks to bootstrap by skipping DirPort checks when the consensus has no exits. Fixes bug 19003; bugfix on 0.2.8.1-alpha. Patch by teor.
    • Fix a small memory leak that would occur when the TestingEnableCellStatsEvent option was turned on. Fixes bug 18673; bugfix on 0.2.5.2-alpha.
  • Minor bugfixes (time handling):
    • When correcting a corrupt ‘struct tm’ value, fill in the tm_wday field. Otherwise, our unit tests crash on Windows. Fixes bug 18977; bugfix on 0.2.2.25-alpha.
  • Documentation:
    • Document the contents of the ‘datadir/keys’ subdirectory in the manual page. Closes ticket 17621.
    • Stop recommending use of nicknames to identify relays in our MapAddress documentation. Closes ticket 18312.

edited to add links to tickets. Please met me know if my script broke anything.

原文:https://blog.torproject.org/blog/tor-0283-alpha-released

Android 安裝 squid proxy 的步驟

squidproxy
项目: https://github.com/squidproxy/
推特: https://twitter.com/squidgfw
G+社区: https://plus.google.com/communities/101513261063592651175
squidproxy 提供了squid技术的应用、部署、教育、培训等内容!
https://telegram.me/squidproxy

Android使用squid proxy教程
(感謝開發員abbot最全面的技術支持,萬分感謝abbot的無私奉獻!)
步驟如下:
(本文連接如下:https://www.evernote.com/shard/s560/sh/21e075eb-ca36-43cf-ac0b-b867cb72ad02/113072c56839fba63e7d5c46e53748e1)

1).安裝any connect。
方法:
a.建議Google play安裝anyconect of Cisco
b.從telegram安裝!下載後文件路徑如下:

2)下載證書文件:
3).添加vpn加載賬號及安裝證書:
3.1添加VPN連接。

   3.1.2>.配置VPN

3.1.3).由軟件~anyconnect 導入證書!

 

3.1.4.確認密碼與證書關聯!

3.2由系統證書管理導入!
設定->(系統)->安全->從設備存儲空間安裝->查找證書(文件名.p12)
->輸入證書密碼,捆綁證書!

4.連接vpn網路

****************************************

****************************************
@@@附加部分:
明天加入連接Tor部分,可以做到,直連,obfs4網橋,雲橋的順利連接和盡可能防範信息洩漏,解決替換證書的疑惑!

1.).強制系統使用Tor8118代理端口出站,防止數據按非代理路徑流出,達到防止洩漏的目的。(部分VPN使用該模式,會出現無法連接)

2.).firefox,Facebook,Twitter等均可強制使用Tor通道傳輸數據!

3.).各種tor模式(直連,雲橋,obfs4)運行傳輸完全沒任何異常!

原文: https://www.evernote.com/shard/s560/sh/21e075eb-ca36-43cf-ac0b-b867cb72ad02/113072c56839fba63e7d5c46e53748e1

安卓版: 无界一点通3.6b测试版(2016年5月28日)

无界一点通3.6b测试版,在3.6a的基础上,做了以下改进,请帮忙测试并反馈:

1. 修复电视模式下,勾选退出时清除历史记录会非正常退出的问题;
2. 新增标签页是空白标签页,而不是无界主页;
3. 增加‘停止键(X)’, 可以停止网页下载;
4. 取消左右滑动可翻页的功能;
5. 解决某些设备上看新唐人不能看全屏的问题;
6. 可能解决新唐人节目单在机顶盒上不能全屏显示, 需要移动光标才能看全的问题。(我们的测试设备没有此问题, 请原有此问题的用户帮忙测试)。

http://wujieliulan.com/download/um3.6b.apk

sha1:86c203222887fdbb99b13853e1efe2f772cbb54c
md5:e32ef55baff5ec307a91ff7b04c86b13

谢谢 !

**********************************************************************

无界一点通3.6a测试版做了以下改进:

1. 解决了一些手机上不能正常浏览一些网页的问题, 如:脸书(facebook)/youmaker/谷歌应用商店/谷歌搜索;
2. 解决了一些手机上不能正常看youtube的问题;
3. 允许用户选择下载文件夹;
4. 增加下载程度及通知;
5. 支持多标签浏览;
6. 增加“清除历史记录”选项;
7. 增加“禁止cookie”选项;
8. 增加浏览界面顶部的功能键, 方便浏览;
9. 看电视机听广播时不自动锁屏, 除非用户自己关掉屏幕;
10. 增强安全及联通能力。

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1. 需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。
2. 将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。
3. 详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21487.0

EasytimeTV.轻松玩Mac.科学上网的常识(6 – 8)预览


iOS 科学上网教程(6 – 8),介绍 Surge 的使用技巧;升级到 1.2 版之后的新功能;升级到 1.3 版之后代理服务器自动测速功能;还有 Lantern 、Shadowrocket、Proxifier 的介绍。
来源:https://www.youtube.com/user/EasytimeTV/videos

科学上网的常识(6):Surge [预览]

 

 

 

科学上网的常识(7):Surge的新功能 [预览]

 

 

科学上网的常识(8):备用方案 [预览]

 

原文:http://www.chinagfw.org/2016/05/easytimetvmac6-8.html

【翻墙问答】Whatsapp黄金版乃黑客陷阱切勿下载(视频)

 620

3月31日起,Whatsapp所有通讯会开始采用AES 256位元加密匙。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密。Whatsapp将是世界其中一个最保密即时通讯软件。(维基百科图片)

【翻墙问答】如何设定Shadowsocks翻墙视频地址:http://www.rfa.org/cantonese/video?v=1_ccf0jk7p

问:最近有些人收到电邮,指Whatsapp推出了终极黄金版,又指很多名人都用这版本。到底这终极黄金版是真的给名人用,还是只是黑客用来偷窃资料用的木马?

李建军:一直以来,Whatsapp都是黑客们偷窃资料的目标,由于在Whatsapp全面改用点对点加密通讯后,黑客再难透过中间人攻击来偷取Whatsapp用户资料,因此,就以Whatsapp现时功能上的一些弱点下手,以电邮四处宣传所谓黄金版,主要目的就是在你Whatsapp应用程式上加设木马,藉此截取你和朋友之间的通讯。

因此,所谓终极黄金版并非由Whatsapp公司所推出,而是黑客的木马,如果你不幸安装了所谓终极黄金版,请立即删除,并且重新下载官方原装的Whatsapp软件。

由于所谓终极黄金版,并不能够通过苹果App Store的审查机制,因此,现时受终极黄金版木马困扰的人,都是使用Android平台的用户。如果你想用安全的Whatsapp版本,暂时只有Google Play或Whatsapp公司官方网页提供的版本称得上安全,由其他途径提供的版本,不论是终极黄金版,还是中国手机制造商提供的山寨应用程式商店,都是不安全的版本,切勿使用。

问:Tor协定已经用了一段时间,现时Tor的开发社群,正研究下一代Tor网络技术,提升翻墙能力,其中Tor地址的格式会有所改变,到底下一代Tor网络的地址的格式会有什么改变?这与翻墙又有什么关系?

李建军:应对中国当局越来越强的封锁,Tor开发社群根据去年的协定,全力开发下一代的Tor网络,其实为了实现全面随机化的分散数据传送要求,令当局难以阻止Tor协定的通讯,网址的长度由现时十六个英文字母或数字,加长到五十五个英文字母或数字,因此,在未来的Tor路由器软件,将需要处理相当长的一串网址。由于新一代Tor网络仍然在实验阶段,因此,现今一代Tor网址以及相关软件仍然会继续使用,而未来的Tor软件,亦会同时能处理新旧技术的通讯,直至第一代Tor技术完全被淘汰为止,相信完全淘汰现今一代的Tor通讯,并不会是这一两年会发生的事。

问:除了VPN和翻墙软件,越来越多人用Shadowsocks来翻墙,到底Shadowsocks是什么来的?而现时Shadowsocks用户端难不难用?

李建军:Shadowsocks的概念与VPN有点类似,也是一种用加密机制去掩盖实际通讯内容的方式,只不过Shadowsocks由于可以用很多不同的非标准协定,实际上像代理软件,多于VPN,但Shadowsocks支援的加密程度和机制,远比传统的代理软件来得多。

在Shadowsocks普及初期,需要用家自行兴建主机,因此,一般只是一些技术能力比较高的用户才用得起Shadowsocks,但今天已经有商家像卖VPN一样卖Shadowsocks主机户口,不少提供虚拟主机服务公司,亦有提供搭建Shadowsocks主机的服务,搭建Shadowsocks主机比以往容易得多,几个朋友要共享一个主机的流量都简单得多。而近来,亦有使用图像介面的Shadowsocks客户端软件出现,令设定Shadowsocks变成一个人人都负担得起的活动。现时在淘宝网等地方买Shadowsocks户口,唯一要担心控制主机那些人的背景是否可靠,会否有一些与中国公安机关合作的人营运这些网站。但海外亦有人卖Shadowsocks户口,可以考虑向海外背景清楚的人购买户口。

这次翻墙问答,会有视频示范如何自行设定Shadowsocks的客户端软件,成功翻墙上网,欢迎各位听众浏览本台的网站收看。虽然片段示范用Mac,但在Windows上使用方式都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/shadowsocks-05272016074611.html?encoding=simplified

“翻墙”可能是一种手艺,如何传承,任重道远

新时代的防火墙像手术刀,精准迅速,直击命门。而“翻墙”未来可能变成一门手艺,如何传承,任重道远。


1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

国家公共网络监控系统

国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。

2008年校园网:“连坐”惩罚


2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。

那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。

那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。

###墙如何运作? 一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。

墙早期对用户的“连坐”惩罚策略。制图:金秋枫


说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。

2010年北京:合租服务器翻墙

3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。

“墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。

“咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。

墙外丰富多彩的世界吸引着年轻人。制图:金秋枫


对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。

VPS如何帮你翻墙?

当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。

“跳板”是所有“翻墙”技术的共通原理。制图:金秋枫


利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。

这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。

SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫


2011-14年香港:“墙”成为一门显学

在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。

搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。

因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。

解析邮件

2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。

“墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫


敏感词触发RST,偶尔需要“向内翻墙”

这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。

通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫


走出国门的DNS污染

DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。

DNS污染。制图:金秋枫


近500个实体“哨所”

2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

小插曲是,研究者把探测“哨所”的工具在GitHub(世界最大的开源代码托管服务)上开源发布后,引起了激烈的争论。一些人认为,此举会激怒“墙”的管理者,导致GitHub被封锁,影响墙内程序员学习交流,所以应该删除这样的代码仓库,“保持技术社区的纯粹”。另一些人,则认为翻墙是程序员的基本技能,表示不受影响,所以力挺该项目,并极力反对技术社区加入“自我审查”的行列。

深度数据包检测

2012年底,“墙”的总设计师、北京邮电大学时任校长方滨兴的研究团队曾发表论文“网络流量分类,研究进展与展望”,文章提到了多种使用机器学习进行“深度数据包检测”(Deep Packet Inspection,DPI)的技术。随后几年,这些先进的技术逐渐在“墙”上部署开来。

要理解“深度数据包检测”的威力,我们可以把数据包想像成一封信。“浅度”的数据包检测,就好像是看看信封上的发件人和收件人,即决定是否放行。这给“跳板法”留下可乘之机:我们先将信送到中间站(如虚拟主机VPS),再转发到目的地,就绕过检查了。“深度”的数据包检测,可以理解成对信件内容的探查──相比起暴力打开信封,这种基于机器学习的技术更具有艺术性。它并不实际解读数据包的内容,而是搜集周边信息,对数据流进行“肖像刻划”(Profiling)。举个例子,你用Google搜索时,网络上只会有文本和少量图片经过,数据量很小,并且是突发的;但用YouTube看视频时,就会有持续一段时间的大量数据流过。“墙”的监控也是基于这样的抽象指标,比如它监控到到间歇而细小的流量,便推断你不太可能是在用YouTube。将诸如此类的可参考指标放在一起,就组成当前数据流的一副“肖像”。把这个“肖像”与数据库里面已经存放的巨量“翻墙流量肖像”和“非翻墙流量肖像”做个比对,就可以相应归类了。如所有的机器学习算法一样,这种归类会误杀一些非翻墙流量,也会错放一些翻墙流量。但日积月累,“墙”观察的样本越多,准确率也就越高。

浅度与深度数据包检测。制图:金秋枫


2015年深圳:“墙”的疯狂进化

新时代的墙,像是手术刀,精准迅速,直击命门。

在深圳小住半年,我深刻感受到“数字围剿”的压力。随着2014年底,Gmail全面被封禁,墙进化迅速、部署增强,还配合行政措施打击翻墙势力。深度包检测的大规模部署、DNS污染的扩大、转守为攻的国家防火墙策略、ISP的深度合作——“墙”俨然是正规军,而翻墙的社区只能打一场场的游击战,越打越疲惫。

首先,是香港的学校专用VPN开始不好使了。据传,几种主流的VPN协议已经被“墙”破解,手段十分细腻:有时候连上VPN,可以使用Google搜索和Google Drive办公,但一旦链接YouTube或者Facebook,网络链接就立马被掐掉了。

紧接着,一系列政策出台:境外VPN需要备案。像Astrill等常用的商业VPN服务,迅速被封。

同时,“DNS污染”的范围与频度都扩大了。为了抵御“DNS污染”,我曾一度使用“DNSCrypt”——这个开源项目会加密客户端和服务器之间的通信内容,不被墙查探到。然而好景不常在,很快,“墙”将已知的DNSCrypt的服务器IP计入黑名单,这样连访问DNSCrypt的服务器也是需要“翻墙”了……有段时间,我依赖SSH+DNSCrypt翻墙。但这套组合拳,最终打在墙上只是手疼,而墙还是泰然自若。

更有甚者,一些二级ISP(不自建主干网,但提供社区宽带接入到主干网服务的ISP)参与了合作,封禁“非常用”的DNS地址。家庭宽带用户,只能选择ISP默认分配的DNS,或者一些“广为人知”的DNS服务器,如Google多年前提供的8.8.8.8(该服务器的IP地址)就是其中之一。“4个8”曾经是大陆网民用来抵御“DNS污染”的缓冲剂,但它使用普通DNS协议,很容易被攻击。社区很快发现,“墙”会选择性地污染8.8.8.8返回的结果。

“DNS污染”、“RST攻击”、“深度数据包检测”——“防火长城”的一套立体防御体系已经建成。从左到右,精准度逐渐加大,防御成本也逐渐加大。这个时候,不管使用什么VPN,最常见的现象是,翻墙几分钟后,网络延迟加大,进而链接被阻断,导致日常工作都不能正常进行。

“进攻是最好的防守”——2015年3月,国家防火墙突然转守为攻。这是一种与“防火长城”(Great Fire Wall,GFW)部署在一起的设备,网友戏称其为“大加农炮”(Great Cannon,GC)。经过3月初的一系列测试,“大炮”从3月中旬开始发动疯狂攻击,其首轮攻击的重点目标之一是GitHub上“greatfire”这个代码仓库。“greatfire”上集结了大量的翻墙工具与资讯,俨然一个巨大的“翻墙军火库”。“大炮”攻击目标的原理简单而有效:它会劫持跨越中国边境的流量,注入恶意脚本,向指定目标发动“DDoS攻击”。

DDoS

DDoS(Distributed Denial of Service,分布式拒绝服务),是一种通过巨大流量导致目标服务器不堪重负而下线的攻击手法。DDoS是一系列方法的统称,他们使用不同的技术,“大炮”所使用的流量劫持并注入恶意脚本的技术是一种比较新的形式。衡量一场DDoS攻击的能量,可以使用“峰值速率”。如2014年6月,香港的公民投票网站“PopVote”受到超过“300Gbps”的攻击,连提供网络支持服务的Google和Amazon都抵挡不住,宣布退出,最终服务商靠着全球网络服务业者联手,才维持“占中”公民投票持续进行。2015年7月,支持加密功能的即时通信软件Telegram受到超过“200Gbps”的攻击,受影响区域很快从东南亚蔓延到全球,导致大量用户无法通信。要知道100Gbps的流量有多大,可以想像同时在线点播两万部高清(720p)视频。也可以参考的一个数据,据CNNIC报告显示,截至2014年底,中国大陆的所有国际出口带宽总和为4100Gbps。

“墙”转守为攻的这一异常举动,是一个明显的信号,希望GitHub删除“有威胁”的代码仓库。最终,在巨大的舆论压力下,“大炮”停止了攻击。在墙的攻防体系中,“大炮”虽然不直接设防,但它对墙外的“反动势力”是一种威慑的的存在——必要的时候,随时可以出击。

墙的招式列表。大炮作为一种威慑的存在,以攻为守。制图:金秋枫


在“墙”的拼命围剿之下,传统翻墙手段逐一失效。原因很简单:主流方法都有特定的模式,逃不过基于机器学习的“深度包检测”技术。机器学习的准确性是随着样本增加而提升的,所以要逃离“墙”的围剿,就得把自己的流量伪装得不一样。海外专业VPN服务Astrill,以及国内的“曲径”、“红杏”等后起之秀,都是通过打造私有协议,来绕过检测。

在这种形势下,开源翻墙利器ShadowSocks被更多的人注意到,基于SS搭建的翻墙服务如雨后春笋一样出现。它的中文名为“影梭”,社区昵称为“SS”——这是一个由中国程序员发起的开源项目,主要开发者在墙内。

2012年4月,SS第一份代码提交;

2013年,SS完成主要开发;

2014年夏开始,由于墙的升级,SS受到社区更多的关注,进入高频升级的阶段;

……

ShadowSocks开发记录。


ShadowSocks提供的其实是一套框架,支持多种加密方式,可以监听不同的端口,只需要很简单的配置,就可以在客户端和跳板机之间建立一条隧道。这些特点,让SS成为“游击队员”们最喜爱的工具。作为一款“非主流”的工具,SS曾经是非常有效的翻墙手段。但从15年初开始,深圳的部分ISP已经部署针对SS的阻断系统——推测是基于同一套“深度包检测”技术。好在SS的参数衆多,随便调整一下,即可生成不同的“肖像”,令“墙”在观测不足的情况下,无法迅速动手。但随着时间推移,“墙”总会搜集到足够的样本。刚开始的时候,选一套SS的参数可以坚持几个星期,到后来,就只有几个小时了。但墙一天不倒,游击战就一天不停。换密码、换加密协议、换端口,如每天吃饭一样,逐渐变得规律。实在不行,就只有换IP了,即再买一个VPS。SS的高级玩家,会加入自己定制的加密模块,使得流量更隐蔽。总之,SS是一个开源项目,玩法多种多样,打游击的优势巨大。

2015年香港:遥看墙内围剿“造梯人”

还有太多重要的事情要做,不能将时间浪费在与“墙”无休止的游击战中——我决定搬回香港。

而墙内,一场密谋已久的围剿,终于显露。

2015年2月24日,24时。著名kindle电子书分享及讨论论坛“kindle人”在创建者被请“喝茶”后停站

8月20日,ShadowSocks作者在GitHub上关闭了相关项目的Issue面板并清空所有帮助信息,同时GitHub上“shadowsocks”组织的成员信息被隐藏。

8月21日,GoAgent(一款曾经主流的翻墙软件,托管在Google Code)的论坛上传出SS作者“被喝茶”的消息。

8月22日,ShadowSocks作者现身GitHub,证实“喝茶”,并删除了代码库。

8月25日,Google Code转为只读状态,GoAgent论坛散落。

8月25日,GoAgent托管在GitHub上的仓库被删。

8月25日,GitHub受到超过两个小时的DDoS攻击,攻击源目前不明。

8月26日,多处消息源显示,曲径、红杏等大陆多家VPN服务商受到直接或间接的压力,停止服务。

 

……

有哪些知名网站被屏蔽? 查看:维基百科

以前干掉的是制造和售卖梯子的人,现在连设计梯子的人也要干掉。

未来会如何呢?可以想像,大规模的VPN服务会消失;一些小规模的地下服务,继续运行。另一方面,翻墙工具链,势必会持续升级。

公开的成熟项目被封后,社区会衍生出不同变种,以适应“墙”的改变。特别是像SS这样的开放框架,稍作修改,又是一种玩法,无穷无尽。

但没了牵头的人,没了集中的论坛,知识传递的形式将会反古。

原本,互联网让知识可以扁平传递,现在“屠梯”行动恐将人们逼回“口耳相传”的模式。未来,“翻墙”可能是一种手艺,如何传承,任重道远。

(以上文章中的“我”并非本人,摘自互联网:X先生的亲身经历。)

GFW仍然不断的提升,我们能做到的是为言论自由,为畅游互联网而努力。截止2016年可使用的科学上网方式:

SS  VPN  HTTP/HTTPS/SOCKS5   TOR 

文/我毕竟不是神(简书作者)
原文:http://www.jianshu.com/p/199fde0b2bdd

金盾防火墙概述

对于在中国地区的人们来说,要能够自由的上网是非常麻烦的事情。许多人在连到国外网站时,常常会看到连线已重设或是作业逾时的错误讯息(图1、图2)。本文以中国金盾工程(注1)中的的防火墙(注2)为例,说明中国地区的翻墙(或称科学上网)方式,以及防火墙存在的意义。


图1、作业逾时错误讯息


图2、连线已重设错误讯息


原理


要了解翻墙,先要了解网路运作的方式,以及封锁的原理。网路运作是这样的。事实上,当你在浏览器中输入一个网址以后,浏览器就会先拿这个网址去DNS伺服器查询,找出IP。之后在连往IP,取得网页内容。而传输的过程,就是以封包的方式传递资料。如果容量大,就会切割成很多封包来传递。


我知道很多人对这边的描述不太有概念,所以在这边解释一下。浏览器浏览网站,其实就像去一个朋友家里搬东西回来放到面前给你看一样。要去朋友家,那么就要先知道朋友家的地址。通常我们很难记住那么长一串地址,怎么办呢?DNS就像问路的人一样。如果你不知道地址,那么就问DNS,他会告诉你正确的地址在哪里。如果DNS也不知道,他就会去找他的长官一层一层的问,直到问到位址为止。


根据上面的连线原理,金盾防火墙使用了三种不同的封锁方式。金盾防火墙就像警察一样,站在国内、国外网路的交接口。如果这个警察发现你要前往被封锁的地址,他会把你拦下来不给你过。或者是当你在问路的时候,故意报给你一个错误的网址。就算你好不容易找到资料搬回来,警察也会打开每个货物检查。如果在检查货物的时候发现是违禁品,就会没收货物。


这就是三种封锁方式。第一种就是封锁特定IP,第二种是DNS污染,第三种是封包窜改或丢弃(又称为丢包)。在错误讯息上,前两者浏览器会回应作业逾时(图1),第三种会回应连线被重设(图2)。


不过除了技术上的这三种,还有第四种:备案。在中国,每个网站在成立的时候都要向公安备案,负责人要拍照存证,而且内容也会随时被审核。如果网站出了问题,放上了不该出现的内容,公安会联络网站把东西撤下来。如果情节严重,还会直接逮捕网站负责人。在中国,政府也能管DNS的查询内容,因此如果浏览器问中国国内的DNS怎么找到Facebook,他会故意给你错误的IP地址让你连不到(第二种)。


中国政府在每个国外和国内的网路交界处都设立了检查站,国内的网路里也有随机抽查的检查站。这些检查站会检查每一个通过的封包。如果发现IP地址已经列入禁止访问的名单,这些检查站会直接丢弃封包,让你看不到网站(第一种)。如果你连上的网站有敏感词(回应的封包里有敏感词),那么检查站也会把这个回传的封包丢掉,并且阻止你前往那个网站三分钟(第三种)。三分钟之后,又可以正常连线了。


刚刚不是提到问路吗?有的人会说,既然国内的DNS不能问,那我去问国外的好了。但中国的检查站一旦发现了你问的网址是不允许问的,会故意把你问路的封包拦下来,换另外一个伪装的封包来给你错误答案。这个被称作DNS污染(图3)。


结果就是在中国,许多网站都难以访问。就算国外网站可以连,也会因为这些层层检查而连线缓慢。


 

图3:金盾防火墙的封锁方式



突破方式


突破方式其实不难。前面不是有个检查站吗?只要外头有个朋友可以帮你,其实很多东西就方便许多。首先,检查站只防止前往特定网站,你可以先连去别的网站,再从那个网站转往原本要去的网站。再来,为了避免检查站发现你的内容不合法,因此要先把这些内容伪装起来,让检查员不知道那到底是什么。这就是加密。这条路只要建立起来,就可以透过这条路直接询问国外的DNS,也能透过这条路去访问国外的网站了。别人也可以透过先连到你的电脑来突破封锁了(图4)。


从原理来看,我们就能了解目前的翻墙方式了。首先,你需要建立一条加密的连线,连到外面可以访问的一个中继站,再来从中继站前往其他的网站。这些连线方式很多,基本的是VPN,还有ssh加密、goagent等几乎也都是这种方式。


不过,有些加密连线的方式已经被中国政府破解了。像是L2TP、openVPN都已经不能用了。目前为止VPN的通讯协议里只有PPTP使用正常。其他还算正常的有ssh连线的方式。不过这些连线和协议的使用状况依据不同的运营商、不同的连线方式还是有不一样的限制。比如说,虽然ssh协议的连线还算正常,但如果发现传输速度过快,还是可能会把封包丢弃,或是强制降低连线速度。而防火墙也会对部份网站进行间歇性封锁,或是在特殊时期封锁特定网站。这些无法预测、烦不胜烦的阻扰方式才是防火墙令人讨厌的原因。


这边所提到的翻墙方式目前是可以运作的。中国现在的防火墙是只让你不能去访问有问题的网站,其他网站预设都是可以访问的。这被称做黑名单模式。如果变成只能访问没有问题的网站,也就是白名单模式,这条路就没有办法运作了。因为那些网站肯定是不会帮助你浏览其他网站的。这就是北韩所做的网路封锁。


关于更详细的原理,请参考后面所附上的《翻墙路由器的原理与实现》(注3)一文。


图4、翻墙破解方式



为什么要进行网路封锁?


大体而言,中国的网路封锁并不是真正让你没有办法看到外面的网站,而是提高获得外部讯息的成本。在这个网路时代,取得讯息是快速、方便又低成本的事情。一旦取得资讯需要花上大量的精力,就会降低许多人想要获得这些资讯的欲望。


而中国的金盾防火墙就是针对这一点。防火墙的存在不是为了“阻断所有资讯”,而是为了“提高资讯取得的成本”。只要提高成本,减少愿意取得“有害资讯”者的数量,他就已经成功了。金盾防火墙可以有效的阻止那些没有好奇心的人知道不该知道的东西,这些人才是防火墙真正的标的。人们会花时间去寻找游戏和影片,却很少有人愿意花心思、功夫去看一篇可能会改变自己想法的文章。因此虽然突破的方法只要有心就找的到,但对于没有好奇心的人来说,金盾就足以阻止他们的行动了。


防火墙分割了中国和外国的网路,也导致中国的网路文化和世界上其他国家的网路文化格格不入。许多有行动能力进行翻墙的人在第一次接触到外来的网路文化时,常常会因为文化冲突的缘故而不喜欢、甚至对外来思想产生反感。网路论坛上常见的中国愤青就是由此而来。能够放下身段、包容不同文化甚至接受不一样思想的人又更少了。


举个例子来说,中国的魔兽世界由于迟迟无法更新,因此大批中国玩家蜂拥至台湾的魔兽世界伺服器游玩。但他们来到台湾伺服器以后,往往就直接带来当地的游戏文化,甚至用语、说法完全不改,不懂的入境随俗,造成许多台湾玩家的不满。有的台湾玩家和中国玩家甚至在游戏的公共频道上互骂。在这种对中国玩家不友善的环境中,能够包容、接受不一样文化的中国玩家就更少了(注4)。


在行动力、技术能力、文化冲突的多重过滤下,导致能取得“有害资讯”的人数成等比级数的降低。再加上国内网站的关键字屏蔽、过滤,中国政府就能有效的控制那些异议者的数量。剩下来的异议者,只要单纯打为“反革命份子”、“异类”、“精神病”,就能控制他们思想的传递。金盾就像资讯的海关,可以用来保护“政府希望人民所相信的思想”。


中国的网路上又时常出现审查、删帖的讯息(图5)。这些网路警察的行为会先在人们心理中塑造出恐惧。你根本不知道自己的言论何时会受到审查,因此大多数人就会假定“自己的言论会被审查”。这会导致所谓的“自我审查”。自我审查的效果,比起网路审查的效果还来的巨大。有些台湾的新闻网站为了避免被防火墙给封锁,损失来自中国的流量,因此自我审查,过滤对中国不利的新闻,就是最好的例子。


图5、新浪微博的审查讯息(图片来源:微博 @平湖春晓)


恐惧把审查这件事情放大了许多倍。只要大家认为审查是存在的,审查的效果就出现了。这,也就是金盾防火墙的存在意义。(注5)


原文:http://billy3321.blogspot.jp/2013/06/blog-post.html

各种翻墙工具的个人浅见

前言

以前曾有一段日子旅居深圳,对GFW的理解和使用各种工具翻墙算是有点经验,
虽然多年前已回到墙外,但偶尔也须要进入匪区,故此还是保持了解各种工具,
就曾经搭建过或使用过的说说


目前还有效的工具

1) shadowsocks

   这个还是现在最热门的工具,暂时来说没听到大面积阵亡

   优点


   多平台,服务器可部署到由路由器到任何系统,版本众多,轻盈的
shadowsocks-libev
   可在64M/0 vswapLinux VPS运行,而不会跑不动。客户端也是多平台,路由器,

   计算机到移动装置,几乎涵盖所有系统,可以说是
install once, Fuck GFW everywhere
  
    缺点


    因为只使用预定密钥作为客户端和服务器的唯一辨别身份方式,有可能会遇上中间人

    攻击,客户端连上是伪造的目标服务器,在服务器方面的缺点更明显,因为只用预定

    密钥,于是错误的密码或加密方式服务器照样响应客户端的请求,只是不连接到目标

    网站,有无聊者用字典穷举密码,而不是拒绝联机,日志上就出现很多ERROR,我的最

    高万多个错误,共二百多个来自CNIP试着联机,shadowsocks-libev可以开启一次性

    认证,但很多客户端不支持,例如iOSSurge,A.Big.T都没有,变成无法使用这一方式

    ,如果写个脚本纪录日志的错误次数,达到某一数目调动iptables封锁,又会误伤填错

   密码的用户,或者是分配到被封的IP而连不上服务器。


    多用户无法简易控制用户访问的端口,一个人或三数好友使用时问题不大,但用户有

    一定数目时,如果有不良用户通过代理hack其他服务器的sshd,或者滥发邮件,端口扫

   描等等行为,有可能是收到VPS供货商投诉或封权才知道,要防止可能要设置复杂的

   iptables规则作限制,另外限制连接数也要用上iptables,例如要限制14701端口的连

   接数,你得输入,例如32

  
   iptables -A INPUT -p tcp –syn –dport 14701  \
   -m connlimit –connlimit-above 32 -j REJECT –reject-with tcp-reset

   这是shadowsocks-libev官网的举例,由于shadowsocks一端口一用户方式,

   如果有20个端口要输入20次或写脚本自动化,相当麻烦,也不是一般用

   户处理得了。


   结论


   还是推荐为首选搭建的工具,原因还是那个,轻盈,有效,多平台,不论低端VPS

   高端VPS都可部署,应对无聊人士穷举密码方式是设置16位以上字符长度的密码,不

   要理会就成,用命令随机产生比较难以破解的密码,例如
:

    head -c 512 /dev/urandom | md5sum | base64 | cut -c3-18

   每一端口配上不同密码


2) HTTPS/SSL 代理


   这个方式存在很久,暂时仍然有效


   优点


   通常以stunnel作为加密隧道,后端可自由配搭不同的代理,只要支持CONNECT方式

   的都行,我就搭建过配合squid3,3proxytinyproxy,这些后端已很成熟,能控制用户访

   问的端口,或是服务器接受的连接数,也可设置用户认证方式,计算机上无须使用客户

   端,现在大多数browser支持HTTPS代理,在一些限制严格的公司内,如不能下载安装

   软件,控制用户访问的网站,端口,可以购买商业用的SSL证书,设置用户认证,把

   代理设置在443端口,公司不能封这端口,只须在browser设置代理就能突破公司封锁,

   而且网管不知你去了那里。


   这个方式也是多平台,路由器刷了第三方韧体,例如Asuswrt-Merlin,又能扩展
entware
   环境,就可搭建服务器在路由器,使用的资源也不多,也可以设置stunnel为客户端连

   接服务器。移动设备也有支持,iosSurgeA.Big.T都有支援http with tls ,安卓也有

   tls-tunnelapp,只是不太好用。


  缺点


  部署麻烦,如果使用IP + 自签名证书,须要自己gen,同时要把证书导入browser或系统

  ,非常麻烦,而且据说GFW能分辨证书,会按照类型封杀服务器,据说现在还包括免费

   的有效证书,例如Letsencrypt ,通常商业不会用这些,不能混迹其中,危险性便

   增加了。

   另外有说SSL握手特征明显,GFW容易察觉,shadowsocks的作者
clowwindy
   就不建议使用SSL翻墙,
按我看原文
 
   个人浅见以数据安全和防止中间人攻击就高于shadowsocks,对于穷举密码的无聊人仕

   直接拒绝连接,有效得多,而且有网友使用还没见到大量被封。


   搭建成本高昂,为了比较难被封锁,除了VPS的费用,还要购买域名和证书,这无疑比

   较其他方式使费较多,使用域名连接一旦遇到DNS污染,还得修改hosts文件把域名指向

   IP抵御,如果封的是服务器IP,全部投资报销。


  结论


  我还是推荐搭建作为辅助工具,原因是少数用户使用我搭建的SSL代理至今还没有连接

  不上的报告,这些有用Letsencrypt证书或自签名证书,如果条件许可,请购买商业用的

  SSL证书配合域名搭建,可以混迹其中使GFW不会乱封,openvpn之所以失效就是特征

  明显,公司不会以这个协议的VPN作为数据安全信道,于是便大面积失效。使用这类

  SSL代理最好是三两好友算了,我经常怀疑GFW会根据加密连接数目主动检测是否翻墙

 ,为了长久翻墙,不要超过三个用户,最好自己私用。


  另外前端可改为较新的nghttp2 点我
 点我 据说速度惊人,但我未搭建过。

3) Cisco IPSec VPN

    目前算是很流行的VPN,暂时有效


    优点


    StrongSwan搭建服务器,多平台,由路由器到各种*nix系统都可搭建,客户端也是

    涵括各种系统,移动系统2大主流还原生支持,使用共享密钥配合用户认证,连客户

    端都不用安装,而且稳定性高,兼容性好,使用方便加设置容易,数据安全性高。这

    VPN协议为商业公司使用的方案之一,混迹其中可使GFW不敢乱封,当然在共匪开

    大会时会有严重干扰。


    缺点


    全局代理,不能分流,访问匪区网站时等如绕了地球一圈,多用户的时候难以防范不

    良用户,例如作为BT代理,hack其他服务器等等,如要限制有可能要设置复杂的规则

    ,限制用户访问的端口和下载的文件。


   搭建麻烦,单是那一堆iptables规则足够麻烦,使用固定端口,点我看官方论坛讨论

   这被封锁机会大增,现在是GFW无法检测关键词,而且是商业上公司常用VPN,才

   得以不死,据说GFWIT狗已着手研究检测IPSec VPN协议,以求检测到流量特征和

   关键词。


   小弟第一次搭建时看了多篇中英文教学,搞了两天才搭好,后来发现有人写了一键

   安装脚本,第二个服务器干脆用人家的脚本好了,免头痛 点我取得脚本


   结论


   一般我会在服务器搭建2种工具,shadowsocks-libev是主力,如果是用穷鬼级
NAT VPS
   ,就配上自签名证书+IPSSL代理,因为搭建不了IPSec,端口不能改,独立IP的正常

   VPS,则选择IPSec VPN 作为第二工具,以ss-libevIPSec配搭,使用资源不多,一枚

   openvz 128M/128 vswap vps已经足够有余,在iOS下会随时遇到奇怪的
shadowsocks
   客户端问题,这时较稳定的IPSec便会派上用场,对于使用iPhone的朋友,分享给他们

   使用,客户端不须要付款,不必下载,对于女性朋友,0技术更是恩物,只要截一张

   设置的图,她们就会使用。故此我是推荐搭建的选择方案之一。


4) Cisco AnyConnect VPN

    iOS装置上,未有shadowsocks客户端出现前,几乎是ifans的标配工具,目前还是有

    效,未闻有大面积阵亡案例。


    优点


    ocserv搭建,非常稳定,无论客户端还是服务器,可以分流,在iDevice下载了
Cisco
    Anyconnect 客户端,可以使用证书连接,也可以用户认证连接,或是两者相加,不同

    IPSec,端口可以自定,可用域名+有效SSL证书搭建,商业上公司常用VPN协议,据

    说是Cisco力推的VPN协议,混迹其中,GFW不敢乱封,我自己搭建了一枚,用域名加

    Letsencrypt证书,以用户认证登录连接,端口设在443,客户端也是多平台,由路由器

    vpnc客户端到任何主流系统都能使用


    缺点


    搭建困难,须有一定技术,这也是花了我不少时间搭建的货色(技术不好的原因),幸

    好有好人写好了一键安装脚本,如果不想头痛 点我免头痛
 ,第一次搭建时我自己手动
    搭建,重灌系统后使用上面脚本搭建,并自行配上letsencrypt免费证书取代自签名

    证书。速度不是特别出众,感觉上部署在同一服务器上的shadowsocks比它还快速。


    结论


    这也是推荐的辅助工具,在一个服务器上除shadowsocks外可考虑部署,可因应不同情

    况使用,在一枚openvz vps 128M/128M vswap 运行它与shadowsocks

    debian 7 x86下绰绰有余,耗用资源不多


5) gfw.press大杀器


    最新出品的工具,号称除白名单外,再也不能破解的协议,开发者是推特赵国劣绅石

    斑鱼大爷 @chinashiyu
 ,其官网是http://gfw.press ,这是他的github代码仓库

    优点


    确实非常稳定,我搭建了一枚在cloudatcost,顺便测试自己的脚本,有5位推友帮忙

    测试,多天正常使用,直到服务器挂了前都没有受到任何干扰,有测试用户连续

    使用10小时没有断线一次。

    附上推友@FWT_T_O_O
源码分析,后端自由配搭,相当灵活。

    缺点


    Java编写的程序,对VPS有一定要求,少于512M/512M vswapopenvz vps最好

    不要尝试,跑不动的机会极高。文档不足不利第三方开发和搭建,

    计算机系统客户端
外,移动系统只有安卓客户端iOS用户暂时无缘。
    部署并不十分困难,由于它只是一条类似stunnel的加密隧道,搭建的麻烦在于

    后端代理,如果是debian base 用户,或者可以试试小弟编写的简陋脚本
安装

    结论


    如果shadowsocks失效的话,小弟首选转战这个,再配搭HTTPS/SSL代理或

    IPSec VPN在计算机上和iDevice使用,有较强劲VPS的朋友,

    甚么虚拟方式的VPS也可以试试搭建,如果有高手志愿者以Python/C/C++等等

    较少资源改写,相信会火起来。


6) V2Ray

    这也是较新的工具,也是新一代配上混淆流量,躲避GFW流量特征检测,并且兼容

    shadowsocks协议的工具,部署它可除可使用V2Ray外,也可使用shadowsocks而无须

    另外安装 手册在这里
 v2ray project官方github代码仓库

    优点


    这个我部署了一个在低阶VPS上,后来因使用不常使用,且低阶VPS跑起来吃力,就

    把它删除了,搭建非常简单,在Linux VPS上以root执行以下命令就完事了


    bash <(curl -L -s https://raw.githubusercontent.com/v2ray/v2ray-core/master/release/install-release.sh)

    配置文件类似shadowsocks,如果有搭建ss服务器的朋友,很容易就会配置服务器文件,

    算是无痛转移,这个在搭建后测试期间相当稳定,也没有受到任何干扰或失灵。


    缺点


    gfw.press一样,对于VPS要求较高,由于以golang编写,官方建议一人使用VPS最少

    128M RAM,更多用户如此类推,2 vcoreVPS较能发挥速度优势,客户端暂时只有电

    脑系统,在移动装置只能使用兼容的
shadowsocks

    结论


    同样,如果shadowsocks失效,这也是我会转战的目标,配搭其他的工具,在计算机和移

    动装置使用,计算机上主力使用,移动装置使用IPSec,AnyConnectHTTPS/SSL代理,

    果网友的VPS够强劲,建议搭建一枚,即可使用v2rayshadowsocks两件工具,

    计算机和移动装置都可使用


7) lightsword

    nodejs编写的代理,客户端支持计算机和iOSiOS客户端售8元港币,

    官方github代码仓库


    优点

  
    小弟在一枚256/512 vswap openvz vps搭建过,并购买了iOS客户端测试,抱歉,完全

    没有发现有任何优势,大概是shadowsocknodejs改写版本,客户端并不兼容
SS

    缺点


    nodejs编写的程序,和Java一样,RAM Eater ,低阶VPS相当不利,功能上没有

    出彩的特点,用于混淆流量的加密只支持aes-128/192/256-cfb , 而没有较轻量的

    chacha20rc4-md5, 安卓没有客户端,iOS客户端售价便宜,

    本来是针对当时iosss客户端Surge,后者达到天价的$99美元,但随着

    shadowrocket,A.Big.T只售8元港币,这个优势也没有了,ios客户端到我删除之前,

    就只支持全局代理。

    服务器方面,以python shadowsock连系统70个连接只用3X RAM左右,但lightsword

    同一VPS相同条件下,已经使用80M以上内存,而且还不断增加,其实以前也是有

    shadowsocks nodejs版本,后来clowwindy停止开发,原因
 nodejs官方解释
    服务器没有UDP转发,没有一次性认证,没有轻巧的加密方式,官方文文件不全,配置

    描述文件在我删除服务器前没看见,我是把命令行参数写到脚本使用,唯一是搭建不

    难,官方有一键安装脚本,自行搭建只要安装了nodejs,以npm即可安装。

  
    结论


    在没有大改变之前,不建议搭建或使用。


8) shadowsocks-R

    号称根据shadowsocks弱点加以「改良」的版本,支持计算机客户端和部份移动装置,

    这是官方github代码仓库


    优点


    没有使用或搭建,说不出来


    缺点


    移动装置客户端支持不多,其他同上


    结论


    本人不会作出推荐或者不推荐的个人建议,作为用家未来也不会部署服务器或使用,

    如果网友有兴趣,自行往官网看手册文档,这里给出shadowsocksshadowsocks-R

    网络事件和安装脚本

    关于ShadowsocksRShadowsocks的安全性

    ShadowSocks协议的弱点分析和改进 #38

    GPL协议的违反 #28

    ShadowsocksR一键安装脚本

最后,这里并没涵盖所有工具,这些意见非常主观,而小弟也非IT人,只是普通用家
的个人体会,错误和偏见是绝对的,不须要用来参考,当作是笑话阅读最好,然后给
出「哦」一个字就可以了。

:)

原文:https://victor-notes.blogspot.jp/2016/05/blog-post.html