墙内 播放/下载 Youtube 视频

可以在墙内播放与下载  Youtube 视频,支持 Google 搜索,有广告。
来源:http://www.qiangwaiba.net/
安全性未知,请谨慎使用。

墙外吧 ( www.qiangwaiba.net ) 成立于2016年1月,为广大网友提供各大知名网站的视频搜索、观看和下载,以及网页搜索服务。

更新历史

2016年4月24:增加字幕下载选项。
2016年4月10:视频搜索增加过滤选项。
2016年3月22:优化线路,新增香港线路。
2016年3月01:支持Youtube播放字幕,包含YouTube自动生成和翻译的字幕。
2016年2月23:支持Youtube下载。
2016年2月18:支持视频观看时多线路选择(目前支持:日本/美国/香港)。
2016年2月15:支持视频评论。
2016年2月08:支持Google搜索。
2016年1月16:网站正式上线,支持YouTube视频的搜索和观看。

原文:http://www.chinagfw.org/2016/06/youtube.html

Vpn Gate 可能是唯一不带有目的的免费VPN

为什么推荐VPN Gate?

第一次知道是在13年12月的时候。那时候在google上面检索free vpn 第一次知道了VPN Gate一个友日本国立筑波大学发起的非营利性科学项目。当时使用效果还不错,服务器实在太多了,可以手每分每秒都有新的服务器在加入。充分的证明了互联网的包容性以及分享精神。

有太多人没有任何目的性的去分享,后来因为自己买了VPS就没有使用了。而今天2016年5月27日,3年后的今天我无意中打开了这个网站,下载使用发现仍然可以使用。真的十分的感动,我又开始相信一些事物了!

VPN Gate 学术实验的优点

正如你可以看到VPN Gate 公共 VPN 中继服务器的列表,有很多运行在 VPN Gate 公共 VPN 中继服务器。这些 VPN 服务器没有物理地放置在一个特定的数据中心,也没有一个特定的 IP 地址分配块,他们都是由不同 ISP、在物理地点托管的。

每个 VPN Gate 公共 VPN 中继服务器是分布式的,并由许多志愿者托管。一名志愿者是拥有一台计算机、保持带宽连接到互联网的人。他是一个同意提供 CPU 时间和带宽、支持 VPN Gate 学术实验的人。你可以成为一名志愿者。

志愿者在地理上是分布式的。志愿者的 ISP 也是分布式的。所以每一个 VPN 服务器的 IP 地址是分布式的。分配的 IP 地址没有特点。每天志愿者的数量增加或减少,每个 IP 地址每次都改变。如果政府的防火墙出现 “故障” ,整个 VPN Gate 中继服务器不受影响。如果一些 VPN 服务器无法从你的国家访问,你仍然可以访问其他 VPN 服务器。

因为 VPN Gate 服务器由志愿者托管,每个志愿者花费极少量的带宽成本和 CPU 时间在他的 VPN 服务器上, VPN Gate 服务可以被大家免费使用。免费的意思为任何想要使用 VPN Gate 服务的用户无需注册。

因此,不同于现有的共享 VPN 服务, VPN Gate 学术实验服务可以无需付费地使用。

获取VPN Gate镜像网站

这个网页是无法访问的,想要获取最新的客户端必须先翻墙访问这个网站。网站本身每天提供了很多镜像网站不用翻墙也能访问的。

先使用在线代理来访问获取镜像网站把:点这里获取镜像网站

 

文/我毕竟不是神(简书作者)
原文链接:http://www.jianshu.com/p/cf32702ad54d

 

原文:https://vpnxx.net/?p=198

品牌VPN服务商ExpressVPN深度评测,安全快速稳定性好

  • 网      络:200 +服务器在78个国家
  • 软      件:Windows,Mac,iOS,Android
  • 协      议:OpenVPN ,L2TP/IPSec,SSTP,PPTP
  • 退款政策:30天退款保证
  • 独 特 性:支持路由器,游戏设备上设置使用
  • 价    格:1年:$8.32/月;6个月:$9.99/月;1个月:$12.95/月
  • 折扣价格:优惠35%(8.32美元/ 月。)

 

相信使用VPN的用户必定有不少知道ExpressVPN,自2009年运行以来一直广受好评,并成为了世界上最大的VPN提供商之一。通过以下的综合全面对ExpressVPN的全面评测,相信你会了解更多。比如ExpressVPN无日志记录政策,无第三方DNS提供等等。如果你对安全性很看重,ExpressVPN无疑是值得你尝试的。

 

价格

选择VPN价格肯定是参考因素,但不是唯一考虑因素,ExpressVPN的定价在国外优秀VPN厂商价格居中。无论购买1个月或者是1年的的ExpressVPN,都是一个账号可以访问所有的服务器。目前购买1个月的ExpressVPN价格为12.95美元,购买6个月的则会优惠到平均9.99美元一个月。而如果购买一年的服务,则是优惠力度最大的,下降35%,平均每个月8.32美元,购买1年的总价格是99.95美元。

expressvpn-pricing

访问ExpressVPN官网

付款方式

ExpressVPN的付款方式很多,对于中国用户甚为方便的是支持支付宝和银联卡,也支持国外主流付费方式如paypal,VISA等。同时也支持虚拟货币比特币,比特币是最利于匿名交易的,尤其是2014年在我国是真心火了一把。最为让人放心的是,ExpressVPN提供30天的退款保证。

服务器

ExpressVPN的服务器有200多个,遍布78个国家,右侧图的服务器列表只是ExpressVPN的一部分,ExpressVPN在中东和非洲也有服务器。ExpressVPN的另一个优点是使用速度快,稳定性高,且简单易用。使用VPN的不乏一些小白用户,希望登陆软件后就可以直接使用,而ExpressVPN可以满足这一点。 对于VPN供应商来说,服务器数量,IP数量,遍布的国家是实力的一个很有效的展现方式。     服务器的位置↓

expressvpn-servers

ExpressVPN众多的服务器不仅可以让你有更多的选择,也可以让你有更多的地理位置的选择。拥有美国 、加拿大、新西兰、澳大利亚、香港、日本、越南、英国、法国、俄国等国家的服务器,基本上你想要寻找的某国的服务器,ExpressVPN也是包含的。

你也可以根据自己想要用的某国的网址,而选择该国的服务器,一般来说速度不会差。像我自己是习惯用美国的服务器,但是最近常用香港服务器也觉得挺好的。有这么多的选择,你可以按照自己的网络进行尝试。

性能

使用加密连接对网速的影响其实并不会太大,之前在其他文章说过会有一点点影响,但是极小,毕竟这个通过不同协议增强了自己的安全性嘛。这会选择了香港的服务器试了下,本人这里是10M的铁通,铁通到期后会再换个强些的带宽试试,测试结果还是可以的,下载速度达到了7.28M,基本没什么网速损失。

访问ExpressVPN官网

express-test

安全性和隐私

VPN的工作方式是通过通过使用协议加密你的流量。ExpressVPN提供协议选项已经基本包含主流协议,尤其是OpenVPN(TCP和UDP),L2TP,PPTP,和 SSTP。你也可以让软件自动选择协议。尽管他们使用256位加密的连接,我们建议你尽量使用OpenVPN。这是最安全的协议。当然,如果自己选择OpenVPN模式,需要先点击“…”即三个横点→然后选择UDP或者是TCP的OpenVPN协议,相对而言UDP模式更安全,但也许不适用所有设备。而TCP模式则是安全性挺好,适用更多设备但速度上可能不及UDP模式,可以根据个人需要进行选。expressvpn-protocols

ExpressVPN官方承诺无日志登记政策(logless政策)。两种日志即活动日志与会话数据。活动日志是指用于浏览和搜索历史,和访问网站的数据。而会话数据包括源位置、用法和时间戳。根据ExpressVPN的网站公开保证,他们不记录活动日志与会话数据。如果你担心你的隐私,这对于用户来说是极好的体验。

客服支持

ExpressVPN的客服支持有多种方式。包括官网的设置教程,7天及时现场聊天(Live chat),邮件联系,最快的自然是网站直接咨询,客服的回复很及时现场聊天。24/7/365的在线支持与邮件联系。对于用户来说,好的客服支持是肯定很必要的,有任何疑问可以随时进行咨询。expressvpn-support

支持设备

并且提供以下系统的应用程序,可以直接在客户端上使用ExpressVPN提供了手动添加vpn安装指南、XBOX,Linux,Chromebook,ebook readers等等。也支持在路由器上设置使用。ExpressVPN 程序更新,更享网络自由与安全

    电脑系统:

  • Windows XP/7/8/10
  • Mac OS X

移动设备:

  • iOS
  • 安卓

获取35%折扣

购买一款VPN肯定是要考虑到不同的设备使用情况,ExpressVPN支持了所有的主流设备,并且从截图可以看出,不仅客户端简单易用,网站上还有全面的设置教程:多设备设置教程每一个系统的设置协议都支持很多种,单是windows的设置教程协议就有7种,涵盖了windows linux,WindowsVista/7/8
以及新版的windows10系统设置。再比如IOS的设置也有5种,相当的全面与详尽。 下面的截图不全,还有widnows phone,路由器,apple TV,xbox的设置,有兴趣的朋友可以进官网根据需要看下对应的设置。
部分设置教程截图↓    

 

expressvpn-setting1

Android版本的客户端可以在谷歌商店下载。通过iTunes下载 iOS版本。ExpressVPN支持1台电脑设备+1台手机设备同时使用。

购买注册步骤

  • STEP1.选择需要购买的Plan,含1个月;6个月;12个月三种方式:
  • STEP2.输入自己的邮箱
  • STEP3.选择付费方式(VISA,支付宝,银联,paypal,万事达卡……)

付费完成后,ExpressVPN将通过电子邮件发送下载软件的链接给你,并且提供登录密码。下载安装好后便可以使用。怎么通过支付宝付款方式购买ExpressVPN

expressvpn-extended-payment

访问ExpressVPN官网

桌面如何使用ExpressVPN

  • expressvpn-connecting1.  下载软件和启动应用程序后,您将看到这个右边客户端一样的图片。
  • 2.  接下来,你可以选择系统直接连接,也可以自主选择协议 方式,点击蓝色箭头所示的吧。如果你想选择自己的协议,点击蓝色箭头所示的三个点“…”。有OpenVPN,IPSec,PPTP,SSTP几种选项。
  • 3.  在绿色箭头所示处可以更换服务器,有200多个服务器可以自由选择,然后再点击绿色框内的“connect”进行连接。
  • 4.  连接好后将会出现图2,如果自己想断开,点击 disconnect即开,非常的简单易用。

 

这个软件可以直接客户端上进行更新到最新版本,点击upgrade即可。

 

OS X版本与电脑桌面版与基本相似,在此不再做详述。ExpressVPN最新版本5.0面世,杀死开关与速度测试功能兼具

手机上使用ExpressVPN步骤

这里主要介绍下Android操作系统的使用。首先,进谷歌商店储搜索“ExpressVPN”应用进行下载安装。登录时输入账号的,接下来页面将显示为此设备的expressvpn已经激活,点击next按钮,选择一个服务器,并选择你信任连接即可。可以选择系统协议也可以自主选择协议,这里和电脑版本不同的是是三个竖点,电脑的是3个横点,其他一致。ExpressVPN有iPhone和iPad的应用程序,进itunes下载安装即可,方法基本一致,不再做详述。

ExpressVPN IOS 系统最新更新为4.8版,可进App Store下载

expressvpn-mobile-install

优点:

  • 详尽的设置教程
  • 24小时支持通过邮件和即时聊天
  • 提供OpenVPN,PPTP, L2TP/IPSec和SSTP协议
  • 30天退款保证
  • 独立的Windows、Mac、iOS和Android应用程序,支持所有主流设备
  • 两个并发连接(支持1台电脑+1部手机同时使用)
  • 服务器遍布全球78个国家
  • 支持在游戏系统和路由器,Apple TV上设置使用
  • 速度快,稳定性好

ExpressVPN在VPN供应商中口碑很好,定价不算低但是提供一个月的退款保障,并且如果购买1年的服务将优惠35%,值得你进行尝试。

购买ExpressVPN

 

 

REVIEW OVERVIEW
综合评测
92 %


原文:http://www.dokoin.com/expressvpn-review.html

翻墙?隐私?今天聊聊VPN的那些事儿

1.jpg

三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。

传统VPN简介

VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。

然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。

去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。

几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。

VPN不是用来匿名的

关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:

“如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。”

事实上,VPN声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:

“为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。”

White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:

“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”

Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。

Johns Hopkins大学的密码学教授Matthew Green表示:

“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”

尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。

22.png

用VPN来BT下载安全吗?

某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:

“然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”

看来,必须时刻保持警惕才行。

VPN可以“防御”广告追踪?

尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。

Campbell表示:

“VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。”

为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。

VPN让你更危险?

用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。

因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。

“如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。”

预共享密钥

White提供了一个VPN的列表,在网上已有共享密钥发布:

GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN、EarthVPN。

“如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”

PPTP的代替品

一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。

在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。

根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。

数据保留和日志记录

一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。

甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。

仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。

33.jpg

泄露用户隐私

即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。

Campbell表示:

“从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”

一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。

2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。

伦敦玛丽女王大学的研究员GarethTyson博士表示:

“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”

同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。

营销宣传

许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。

而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。

阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。

如何寻找可信的VPN

看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。

某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?

抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。

Campbell警告道:

“在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”

作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:

“任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。”

自己动手,丰衣足食

根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。

Streisand的Github页面称:

“Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。”

其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”,成为一个自动化升级最佳实践的社区。

Lund 在邮件中告诉记者:

“Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)”,生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。

Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。

像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。

原文:http://www.freebuf.com/articles/network/106346.html

Tor Browser 6.5a1-hardened is released

A new hardened Tor Browser release is available. It can be found in the 6.5a1-hardened distribution directory and on the download page for hardened builds.

This release features important security updates to Firefox.

Tor Browser 6.5a1-hardened is the first hardened release in our 6.5 series. It updates Firefox to 45.2.0esr and contains all the improvements that went into Tor Browser 6.0. Compared to that there are additional noteworthy things that went into this alpha release: we bumped the Tor version to 0.2.8.3-alpha and backported additional security features: exploiting the JIT compiler got made harder and support for SHA1 HPKP pins got removed.

On the infrastructure side, we are now using fastly to deliver the update files. We thank them for their support.

Note: There is no incremental update from 6.0a5-hardened available due to bug 17858. The internal updater should work, though, doing a complete update.

Here is the complete changelog since 6.0a5-hardened:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Update Tor to 0.2.8.3-alpha
    • Update Torbutton to 1.9.6
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Bug 18980: Remove obsolete toolbar button code
      • Bug 18238: Remove unused Torbutton code and strings
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.8.5
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 12523: Mark JIT pages as non-writable
    • Bug 19193: Reduce timing precision for AudioContext, HTMLMediaElement, and MediaStream
    • Bug 19164: Remove support for SHA-1 HPKP pins
    • Bug 19186: KeyboardEvents are only rounding to 100ms
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug
  • Build System
    • All PLatforms
      • Bug 18333: Upgrade Go to 1.6.2
      • Bug 18919: Remove unused keys and unused dependencies
      • Bug 18291: Remove some uses of libfaketime
      • Bug 18845: Make zip and tar helpers generate reproducible archives

原文:https://blog.torproject.org/blog/

Tor Browser 6.5a1 is released

A new alpha Tor Browser release is available for download in the 6.5a1 distribution directory and on the alpha download page.

This release features important security updates to Firefox.

Tor Browser 6.5a1 is the first release in our 6.5 series. It updates Firefox to 45.2.0esr and contains all the improvements that went into Tor Browser 6.0. Compared to that there are additional noteworthy things that went into this alpha release: we bumped the Tor version to 0.2.8.3-alpha and backported additional security features: exploiting the JIT compiler got made harder and support for SHA1 HPKP pins got removed.

On the infrastructure side, we are now using fastly to deliver the update files. We thank them for their support.

Here is the complete changelog since 6.0a5:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Update Tor to 0.2.8.3-alpha
    • Update Torbutton to 1.9.6
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Bug 18980: Remove obsolete toolbar button code
      • Bug 18238: Remove unused Torbutton code and strings
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.9.3
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
      • Bug 18904: Mac OS: meek-http-helper profile not updated
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 12523: Mark JIT pages as non-writable
    • Bug 19193: Reduce timing precision for AudioContext, HTMLMediaElement, and MediaStream
    • Bug 19164: Remove support for SHA-1 HPKP pins
    • Bug 19186: KeyboardEvents are only rounding to 100ms
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • OS X
    • Bug 18951: HTTPS-E is missing after update
    • Bug 18904: meek-http-helper profile not updated
    • Bug 18928: Upgrade is not smooth (requires another restart)
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug
  • Build System
    • All PLatforms
      • Bug 18333: Upgrade Go to 1.6.2
      • Bug 18919: Remove unused keys and unused dependencies
      • Bug 18291: Remove some uses of libfaketime
      • Bug 18845: Make zip and tar helpers generate reproducible archives

原文:https://blog.torproject.org/blog/tor-browser-65a1-released

Tor Browser 6.0.1 is released

Tor Browser 6.0.1 is now available from the Tor Browser Project page and also from ourdistribution directory.

This release features important security updates to Firefox.

Tor Browser 6.0.1 is the first point release in our 6.0 series. It updates Firefox to 45.2.0esr, contains fixes for two crash bugs and does not ship the loop extension anymore.

Update (June, 8, 12:28 UTC): We just found out that our incremental updates for Windows users were not working. After a short investigation this issue could get resolved and incremental updates are working again. One of the unfortunate side effects of this bug was that all users upgrading from 6.0 got the English 6.0.1 version. The safest way to get a properly localized Tor Browser again is to download it from our homepage. We are sorry for any inconvenience due to this.

Update 2 (June, 10, 9:17 UTC): Linux users that hit serious performance regressions with Tor Browser 6.x might want to try setting gfx.xrender.enabled to false. For a detailed discussion of this problem see bug 19267.

Update 3 (June, 10, 9:22 UTC): We plan to post instructions for removing the OS X code signing parts on our website soon. This should make it easier to compare the OS X bundles we build with the actual bundles we ship.

Here is the full changelog since 6.0:

  • All Platforms
    • Update Firefox to 45.2.0esr
    • Bug 18884: Don’t build the loop extension
    • Bug 19187: Backport fix for crash related to popup menus
    • Bug 19212: Fix crash related to network panel in developer tools
  • Linux
    • Bug 19189: Backport for working around a linker (gold) bug

原文:https://blog.torproject.org/blog/tor-browser-601-released

【翻墙问答】Whatsapp黄金版乃黑客陷阱切勿下载(视频)

620

3月31日起,Whatsapp所有通讯会开始采用AES 256位元加密匙。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密。Whatsapp将是世界其中一个最保密即时通讯软件。(维基百科图片)

【翻墙问答】如何设定Shadowsocks翻墙 视频地址:http://www.rfa.org/cantonese/video?v=1_ccf0jk7p

问:最近有些人收到电邮,指Whatsapp推出了终极黄金版,又指很多名人都用这版本。到底这终极黄金版是真的给名人用,还是只是黑客用来偷窃资料用的木马?

李建军:一直以来,Whatsapp都是黑客们偷窃资料的目标,由于在Whatsapp全面改用点对点加密通讯后,黑客再难透过中间人攻击来偷取Whatsapp用户资料,因此,就以Whatsapp现时功能上的一些弱点下手,以电邮四处宣传所谓黄金版,主要目的就是在你Whatsapp应用程式上加设木马,藉此截取你和朋友之间的通讯。

因此,所谓终极黄金版并非由Whatsapp公司所推出,而是黑客的木马,如果你不幸安装了所谓终极黄金版,请立即删除,并且重新下载官方原装的Whatsapp软件。

由于所谓终极黄金版,并不能够通过苹果App Store的审查机制,因此,现时受终极黄金版木马困扰的人,都是使用Android平台的用户。如果你想用安全的Whatsapp版本,暂时只有Google Play或Whatsapp公司官方网页提供的版本称得上安全,由其他途径提供的版本,不论是终极黄金版,还是中国手机制造商提供的山寨应用程式商店,都是不安全的版本,切勿使用。

问:Tor协定已经用了一段时间,现时Tor的开发社群,正研究下一代Tor网络技术,提升翻墙能力,其中Tor地址的格式会有所改变,到底下一代Tor网络的地址的格式会有什么改变?这与翻墙又有什么关系?

李建军:应对中国当局越来越强的封锁,Tor开发社群根据去年的协定,全力开发下一代的Tor网络,其实为了实现全面随机化的分散数据传送要求,令当局难以阻止Tor协定的通讯,网址的长度由现时十六个英文字母或数字,加长到五十五个英文字母或数字,因此,在未来的Tor路由器软件,将需要处理相当长的一串网址。由于新一代Tor网络仍然在实验阶段,因此,现今一代Tor网址以及相关软件仍然会继续使用,而未来的Tor软件,亦会同时能处理新旧技术的通讯,直至第一代Tor技术完全被淘汰为止,相信完全淘汰现今一代的Tor通讯,并不会是这一两年会发生的事。

问:除了VPN和翻墙软件,越来越多人用Shadowsocks来翻墙,到底Shadowsocks是什么来的?而现时Shadowsocks用户端难不难用?

李建军:Shadowsocks的概念与VPN有点类似,也是一种用加密机制去掩盖实际通讯内容的方式,只不过Shadowsocks由于可以用很多不同的非标准协定,实际上像代理软件,多于VPN,但Shadowsocks支援的加密程度和机制,远比传统的代理软件来得多。

在Shadowsocks普及初期,需要用家自行兴建主机,因此,一般只是一些技术能力比较高的用户才用得起Shadowsocks,但今天已经有商家像卖VPN一样卖Shadowsocks主机户口,不少提供虚拟主机服务公司,亦有提供搭建Shadowsocks主机的服务,搭建Shadowsocks主机比以往容易得多,几个朋友要共享一个主机的流量都简单得多。而近来,亦有使用图像介面的Shadowsocks客户端软件出现,令设定Shadowsocks变成一个人人都负担得起的活动。现时在淘宝网等地方买Shadowsocks户口,唯一要担心控制主机那些人的背景是否可靠,会否有一些与中国公安机关合作的人营运这些网站。但海外亦有人卖Shadowsocks户口,可以考虑向海外背景清楚的人购买户口。

这次翻墙问答,会有视频示范如何自行设定Shadowsocks的客户端软件,成功翻墙上网,欢迎各位听众浏览本台的网站收看。虽然片段示范用Mac,但在Windows上使用方式都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/shadowsocks-05272016074611.html?encoding=simplified

翻墙问答:如何查核真假网站?(视频)

0603-fireall620.jpg

李建军教大家如何用WHOIS识别假网址

视频地址:http://www.rfa.org/cantonese/video?v=1_3f1m3z40

问:蔡英文近日宣誓就职成为中华民国总统,不少中国网民都可能有兴趣浏览民进党网站。但近日有保安公司发现,怀疑由中国派来的黑客,竟然引导网民去假网站来意图骗取资料,到底是怎样的一回事?

李建军:根据保安公司Fireeye的资料,中国有关的黑客集团APT16,在4月7日攻击民进党网站,当网民访问被攻击的民进党网站时,会被引导到表面内容一样的假网站,乘机植入木马资料,意图令中国政府掌握民进党支持者,或有兴趣研究民进党的人的网络信息。

由于中国当局经常都想用旁门左道的地方,取得异见人士和支持者的资料,因此,浏览网站时务必小心,特别要留意浏览器上网址部分,有没有显示一些不寻常的网址。例如这次黑客会引导网民到wxw.dpp-org.com,而并非正常的www.dpp.org.tw。而我翻查过WHOIS纪录,dpp-org.com的拥有人,是一间广州的公司。

问:其实怎样查阅一些奇怪的网域名的拥有人?

李建军:其实网域名拥有人的登记机制是相当透明,透过部分像Godaddy等公司提供的WHOIS服务,或作业系统应用程式提供的WHOIS查询服务,打入网域名称,就可以知道这些网域在ICANN的登记纪录,伪冒网站的登记资料通常很古怪,例如民进党网站网域不可能由中国人和公司所拥有,但如果你查到的资料显示,相关域名由中国人所拥有,那就肯定涉及伪冒网站。懂得查网站是否伪冒,对防止自己招惹钓鱼电邮,或浏览假网站有相当大的帮助。

有部分知名企业的网域,拥有人登记资料正常而言,都是相关的企业,以及代表人,如果你发现知名企业网域的拥有人,出现刻意隐藏拥有人资料的奇怪情况,你都可以很容易断定,有关网域是有心人登记用作混淆视听之用,浏览这类网站时,必须提高警觉,以免有任何资料上的损失。这些网站刻意隐藏拥有人身份的真正目的,就是防范执法机关的追查。

这集翻墙问答,会有片段示范以Godaddy的主机,翻查个别奇怪网址的登记资料,欢迎各位浏览本台网站收看。

问:除了翻查WHOIS登记资料,还有什么方法,来判断是假网站?

李建军:利用翻查网域相连IP地址的lookup服务,知道相关主机的IP地址,再查IP的WHOIS资料,都可以很容易查出假网站。例如民进党的假网址,主机设在香港公司的VPS内,而民进党作为台湾政党,主机一般放在台湾公司的主机,甚至自设主机,这对判断假网站与否十分有帮助。用户防范于未然,这是最重要。

问:联想所出产的电脑,不论在中国还是在海外销售的型号,都被发现内藏木马。而最近联想出产的电脑,又被发现有问题,联想要求客户解除随机附送部分应用程式的安装,请问详情如何?

李建军:这次联想发生保安问题的程式,安装在绝大部分使用Windows 10作业系统的电脑,只有Think系列的电脑因未有安装相关程式而不受影响。这次联想要求客户解除安装的程式,主要用作加速联想的应用程式之用,但由于这个加速程式会在未加密的情况下,连接不知名的主机,有可能造成资料外泄的问题。

由于联想随机附送的程式,经常被发现有保安问题,因此,不论你的联想电脑在那一个国家买,其实如无必要,都应考虑解除安装联想公司附送的各类应用程式,以策安全。

原文:http://www.rfa.org/cantonese/firewall_features/fakedpp-06032016082156.html?encoding=simplified

翻墙问答:Facebook的Messenger加密问题

问:Facebook属下的Whatsapp,较早前已经全面升级到点对点加密,而Facebook本身的Messenger都可能提供点对点加密。但Facebook提供点对点加密的做法,与Whatsapp有何不同?

李建军:Whatsapp在推出点对点加密时,是强制所有Whatsapp用户都要选择点对点加密。如果你的Whatsapp软件太旧,支援不了点对点加密,最终有可能无法登入Whatsapp。

但Facebook由于Messenger的功能并非像Whatsapp如此单纯,有不少用户会选择在Messenger中使用一些人工智能功能,需要第三方主机介入。因此,用户可以选择是否采用点对点加密。采用点对点加密,可能牺牲了部分便利功能,只不过,通讯将会更安全。对于需要翻墙上网的听众,有可能需要牺牲一些便利功能,选择点对点加密。而点对点加密,对于实时信息软件而言,将是技术上大势所趋,做不到点对点加密的信息软件,都会因为私隐保障不足,而渐渐被淘汰。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-1-06102016074029.html?encoding=simplified

翻墙问答:如何翻查域名IP资料?(视频)

c0610-firewall.jpg

翻墙问答:如何翻查域名IP资料?(粤语部制图)

 

问:在上集翻墙问答,示范如何用Whois来翻查域名拥有人资料。但如果想知道个别域名的对照IP,又有什么方法?

李建军:这次翻墙问答,我们预备了视频,示范如何利用Mac作业系统内置网路工具程式,去翻查个人域名的IP资料,以及翻查相关IP主机营运者的资料,方便判断相关网站是否一直有问题的山寨网站,欢迎听众浏览本台的网站收看。虽然这次在Mac之上作出示范,但在Windows以至Linux作业系统,都有相类似的工具可供使用,而使用方法亦都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-3-06102016073851.html?encoding=simplified

翻墙问答:Gmail用户保安的新发展

问:谷歌刚宣布,透过IMAP来查阅Gmail的用户,由6月16日开始,不可以再以SSL v.3或RC4加密形式连接。对Gmail用户有什么影响?而SSL v.3和RC4为何不可以再用?

李建军:谷歌这次在IMAP主机上停用SSL v.3和RC4技术,其实都是针对SSL v.3和RC4技术存在的保安问题。SSL v.3已经用了差不多十六年,技术已经过时而且漏洞百出,根本谈不上是安全技术。而RC4就由去年开始陆续发出保安漏洞,因此微软和Mozilla在去年都已经停止了RC4的支援。而使用这些漏洞百出,只会令你的电邮资料甚至密码很容易被黑客拦截。较早前,谷歌为防黑客滥用谷歌的邮箱服务发出垃圾电邮,已经不再容许SMTP主机以SSL v.3或RC4技术连接。

由6月16日开始,谷歌Gmail的IMAP主机会拒绝所有SSL v.3和RC4的技术的连接,并显示错误信息。如果你用Android或iOS 7或以上的手机,一般都不会有大问题。但如果你的电脑所用的电邮程式是2009年之前的电邮程式,你应该尽早更新到现代支援TLS 1.2版本的电邮程式。而未来的TLS 1.3,都会以保安理由,不再对SSL v.3和RC4技术作出支援。

问:有传谷歌有可能改变Android作业系统的源码政策,由原本的开放源码改变为与苹果相类似的非开放源码政策。这对用户而言,有没有好处?

李建军:虽然开放源码对大部分用户是好,但手机作业系统可能是例外。Android开放源码并无令Android更安全,反而令中国在山寨手机上加入大量僭建功能,例如非标准的App Store,甚至在作业系统加上一些有问题软件,令用户对Android的安全程度更缺乏信心。谷歌以非开放源码发放Android作业系统,至少将Android作业系统主导权重新掌握在谷歌手上,减少山寨手机对用户造成的困扰。虽然未来可以少了便宜手机,但至少不用再怕用上有问题版本的Whatsapp或其他软件,而导致手机个人资料外泄的问题。

原文:http://www.rfa.org/cantonese/firewall_features/google-fb-2-06102016073930.html?encoding=simplified

安卓版:无界一点通3.7正式版(2016年6月8日)

无界一点通3.7正式版:

1. 修复VPN模式自动断线的问题(3.6的疏忽);
2. 修复低版本的安卓上下载文件会终止应用的问题。

http://wujieliulan.com/download/um3.7.apk

sha1:9a3c4ee8e23232506a6a7fdc5f9e4b6bf2a84569
md5:6e388a747781b98264fb02e05a85e69c

谢谢!
—————–
无界一点通3.6做了以下改进:

1. 解决了一些手机上不能正常浏览一些网页的问题, 如:脸书(facebook)/youmaker/谷歌应用商店/谷歌搜索;
2. 解决了一些手机上不能正常看youtube的问题;
3. 允许用户选择下载文件夹;
4. 增加下载程度及通知;
5. 支持多标签浏览;
6. 增加“清除历史记录”选项;
7. 增加“禁止cookie”选项;
8. 增加浏览界面顶部的功能键, 方便浏览;
9. 看电视机听广播时不自动锁屏, 除非用户自己关掉屏幕;
10. 解决某些设备上看新唐人不能看全屏的问题, 以及新唐人节目单在机顶盒上不能全屏显示的问题;
11. 增强安全及联通能力。

—————–
“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”,如果能访问谷歌应用商店, 可以直接从那里下载安装: 搜索”ydt.wujie”应用。如果不能访问谷歌应用商店, 可采用以下办法:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21502.0

一键翻墙免配置插件 Speedplus VPN 更新至V1.0.7

Members
支持国内Chrome/360/QQ/猎豹/UC等主流浏览器,一键翻墙免配置插件,免费使用。
来源:http://speedplus.org/

插件下载地址:http://speedplus.org/ext/speedplus_1.0.7.crx

谷歌应用店地址:https://chrome.google.com/webstore/detail/speedplus-vpn-%E9%AB%98%E5%93%81%E8%B4%A8vpn%E6%9C%8D%E5%8A%A1/fiddahcmipladlobggbjojeimokalcnj

Speedplus VPN,稳定和便捷的VPN服务.多国线路,百兆带宽,不限流量速度,可单独安装使用。免费使用!安装后默认开启无需要任何操作。
目前支持国内众多主流浏览器,体验最佳推荐使用Chrome浏览器!

版本:1.0.7
大小:569Kb
更新:2016-06-10
支持:Chrome/360/QQ/猎豹/UC等浏览器

安装图示

1、以Chrome浏览器为例,按照下图所示步骤,进入浏览器的扩展程序(chrome://extensions/)界面;

Email

2、将下载的插件文件拖到Chrome浏览器 插件管理界面中去,进行安装;

Email

3、浏览器会弹出安装插件的提示,点击”添加扩展程序”;

Email

4、安装完成后,扩展管理中就可以看到插件了。右上角闪电图标可以快捷打开插件。

Email

原文:http://www.chinagfw.org/2016/06/speedplus-vpn-v107.html

翻译ZPN一枚,所有内容来自官网,是否好用请自行尝试


最近跟一个叫做ONE的朋友聊天,他推荐有个叫做ZPN的东西,老实说我除了VPN,还真没听过ZPN,他说在百度第一条,于是今天我就把我这里百度第一条的ZPN分享给各位。基本上以翻译为主,有兴趣的朋友可以自行尝试一下。

分享一个据说还很好用的VPN,它的名字叫做ZPN
分享一个据说还很好用的VPN,它的名字叫做ZPN

什么是ZPN

ZPN是一个可靠、快速、免费的VPN客户端,每月免费10G流量。

ZPN都有哪些特点

  • 加密你的链接。ZPN免费VPN保护你的在线信息,如信用卡、在线帐户的详细资料、网银的详细信息和其他敏感信息都会用AES-256加密。
  • 随心链接。ZPN可以保证你的公共WIFI链接是安全和加密的。
  • 虚拟防火墙。针对私人电脑的攻击一般是直指IP的,ZPN可以帮你隐藏自己的IP,获得比代理服务器更安全私密的浏览体验。
  • 保护隐私。通过隐藏你的IP确保你的操作不会被监听和截获。
  • Bypass Internet Censorship。Access to Facebook, Twitter, Hulu, Netflix, Youtube, ITV Player, BBC, Skype, Pandora and more filtered sites in your school, work or country. ZPN uses gigabit dedicated server with load balancing feature to ensure the speed with high quality video browsing.这段我就不翻了。
  • 支持多种协议。有 L2TP, OpenVPN等。

ZPN的服务器

服务器方面,ZPN官网表示他们在全球有250个服务器,我试着注册了一下,还可以切换你的服务器。另外就是免费账户每个月送10G流量,但是只能一个人使用,而且禁止P2P,限制带宽(没尝试,不知道怎么个限制法)。

ZPN服务器
ZPN服务器

安装使用ZPN

ZPN官网提供了Windows、iPhone/iPad、Android客户端,当然还有Mac OS和Linux系统的版本,每个系统基本都有L2TP和OpenVPN两个版本可供下载,大家比较关注的Windows方面,从Windows XP到Windows 8都是支持的,有单独的客户端可以下载。请大家选择适合自己的版本到ZPN官网下载专区下载。

ZPN的使用方法请参照之前分享的VPN搭建方法。应该是大同小异的。

影响你的ZPN速度的两个因素

  • 你的默认带宽。
  • 你的所在位置和你选择的连接服务器的距离(So,大家还是选择离自己最近的服务器,而不是距目的网站最近的服务器)。

最后,我还是推荐使用轻量级科学上网神器shadowsocks,另外还需要再说明一次,这个号称只需要45秒就能注册成功的ZPN我没有进行尝试,有兴趣的朋友可以自行尝试一下。

原文:http://www.jubushoushen.com/1790.html

去大陸必裝!VPN Master Free App一鍵就讓你輕鬆完成VPN翻牆 網路速度也非常快

曾去大陸旅遊過的人都知道,如果沒有 VPN 翻牆的話,就沒辦法使用 Faebook、Line 以及 Google 等等。即使是台灣,現在也有不少人因為想要到其他國家下載限定 LINE 貼圖、收看 Netflix 影片,也都會使用到 VPN 翻牆功能,所以說這漸漸成為每個人手機中必裝的工具之一。

而 App 商城中雖然有不少 VPN 翻牆工具,但大多數不是操作太複雜,就是介面不親近。不過這套 VPN Master Free 很不一樣,它不僅介面採用圖示化設計,就連 VPN 翻牆功能也只需按一個鍵,無形中完成了!即便是手機白痴的朋友也能輕鬆完成 VPN 翻牆。

VPN Master Free 支援中文語系,但筆者是覺得這沒什麼差,因為介面就這麼簡單!中間紅色按鈕就是啟動 VPN 翻牆,不過在這之前,你必須選擇想要 VPN 的國家。
IMG 0677

點選上張圖 United States 美國字樣後,就會跳出一整排的列表,大多以美國、英國、新加坡為主,每個選項的連線速度都很不錯,比較可惜的是沒有日本跟韓國。
IMG 0674

因為是免費版,所以按下 VPN 翻牆功能鍵後會跳出廣告,但這不會花太長的時間,五秒之後就可以略過。
IMG 0672

接著就完成啦!也會發現螢幕上面出現 VPN 這三個英文字。而筆者也實際測試,既然是 VPN 到美國,那在 NetFlix 一定可以找到紙牌屋這部影集,果然沒錯!整個網路速度很不錯,幾乎就跟沒 VPN 一樣。
IMG 0673

中途如果回到 VPN Master Free 中,也會跳出廣告,想關閉 VPN 的話同樣是按一下啟動功能鍵。
IMG 0676

是不是非常簡單?!這套 App 雖然也有專業版(VPN Master Pro),但筆者使用免費版一陣子後,感覺應該只差在是不是無廣告版本,時間、速度跟列表好像都一模一樣,所以說基本上免費版就夠了!除非你真的很常用到 VPN 翻牆,那專業版就會是不錯的選擇。

Android 也有這套,不過如果要變成專業版的話,須透過內購的 VIP 功能。

VPN Master Free 下載連結

iOS 下載連結(請點我)

VPN Master Pro 專業版 iOS 下載連結(請點我)

VPN Master Android版(請點我)

原文:https://www.kocpc.com.tw/archives/64888

设置路由VPN穿透 解决WIFI环境下无法VPN问题


解决:不能在WIFI环境下登陆VPN,但是关闭WIFI用GPRS网络则可以登录。

来源:http://www.atgfw.org/2016/03/vpn-wifivpn.html

实验环境:iphone 3G港版 固件3.13 未越狱未破解   路由器是D-LINK DI-624+A.。
解决办法:
1.用手机连接电脑猎豹免费wifi或者是360免费wifi之类的软件,然后手机再登陆VPN是不行的。
必须手机直接用4G或者是直接连接无线路由器才可以!
如果上面的办法不行,可以用下面的解决办法二
第一步:在IE浏览器地址栏登陆http://192.168.0.1/,输入用户名和密码,默认是用户是admin  密码可能是admin,也可能没有密码;
第二步:在路由器设置页面的 工具-》其它项目里面 激活路由器端的VPN穿透端口:如下
VPN Pass-Through
允许 VPN 通过 DI-624+A。
PPTP   –激活
IPSec    –激活
更改后点执行;
第三步:在路由器设置页面的进阶设定-》DMZ 里面 把IP地址改为你的iphone的IP地址(在IPHONE的设置/Wi-Fi/选取网络 下面的你的WIFI网名称项的右边有个小箭头号,点开即可看到你的IPHONE地址)只需填写最后3位即可,更改后点执行。
设置结束后,就可以用iphone在wifi环境下连接VPN了
另外如你的路由是TP-LINK 的,可以尝试按以下办法设置(一下内容来源于 liuyuevvv发的帖子,再次感谢他):
进入路由器设置页面
1: 安全功能—-安全设置—-将虚拟专用网络 VPN 下的PPTP穿透,选择开启
2:转发规则—-特殊应用程序—-添加1701和1723端口
3:转发规则—-DMZ主机—-选择开启,并添加iphone目前分配到的IP地址(如果路由选择DHCP的话,很有可能这个IP地址会变化)
设置结束后,应该就可以用iphone在wifi环境下连接VPN了
如果笔记本wifi也无法VPN的话, 也可以这样设置

原文:http://www.chinagfw.org/2016/06/vpn-wifivpn.html

OpenConnect server(ocserv) 一键脚本 (AnyConnect)

最近想玩google远程桌面了,然后发现ShadowsocksR用不了=-=。然后发现这个教程,一键安装的,已经成功了。系统:ubuntu 15.04

一,安装步骤:
1,安装与调试
如果这是纯净新系统的话,请先更新一下系统。
1
apt-get update && apt-get upgrade -y
首次安装,终端输入以下命令
1
wget git.io/p9r8 --no-check-certificate -O ocservauto.sh&&bash ocservauto.sh

默认直接一路回车就好了,账号和密码登陆

注:同时开启证书登录和用户名密码登录
请务必首先选择任意一种登录方式来完成安装,接着再使用下面命令
1
bash ocservauto.sh pc

对了win10用证书是导入个人里面,另外链接过程失败重启电脑就好了。另外注意思科的网卡有没有开启。

剩下的了,具体可以参考google搜索内容

原文:http://www.atgfw.org/2016/05/openconnect-serverocserv-anyconnect.html

Chrome一键翻墙免配置插件 Speedplus VPN 更新至V1.0.5

支持国内Chrome/360/QQ/猎豹/UC等主流浏览器,体验最佳推荐使用Chrome浏览器。一键翻墙免配置插件,免费使用。
版本:1.0.5
大小:550Kb
更新:2016-05-22
下载链接:
http://speedplus.org/ext/speedplus_1.0.5.crx
chrome web store 下载地址:
https://chrome.google.com/webstore/detail/speedplus-vpn-%E9%AB%98%E5%93%81%E8%B4%A8vpn%E6%9C%8D%E5%8A%A1/fiddahcmipladlobggbjojeimokalcnj
官网:http://speedplus.org

1、以Chrome浏览器为例,按照下图所示步骤,进入浏览器的扩展程序(chrome://extensions/)界面;

2、将下载的插件文件拖到Chrome浏览器 插件管理界面中去,进行安装;

3、浏览器会弹出安装插件的提示,点击”添加扩展程序”;

4、安装完成后,扩展管理中就可以看到插件了。右上角闪电图标可以快捷打开插件。

原文:http://www.atgfw.org/2016/05/chrome-speedplus-vpn-v105.html

Streisand,寻找完美的 VPN

开源项目Streisand支持多种VPN协议,为了防止流量识别它还提供了多种方法,可以将VPN流量伪装成标准的HTTPS流量

来源:http://www.solidot.org/story?sid=48450

项目官网:https://github.com/jlund/streisand

绕过互联网限制和保护通信安全以及个人隐私的最常用工具是VPN。但不是所有的VPN都是相同的,配置不当的VPN可能会使得用户更容易受到攻击。一些VPN服务禁止BT下载,还有一些记录日志,这么做或者是为了维护,或者是防止滥用,或者是遵守当地的数据保留法律。一些VPN服务被发现使用预共享的密钥,也就是说如果用户在攻击者控制的网络中使用VPN,那么攻击者可以利用预共享密钥发动中间人攻击,解密加密的流量。这些VPN服务包括:GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN和EarthVPN。使用VPN意味着你需要信任服务商,如果你无法信任他们,那么如果你有能力的话可以自己搭建VPN服务,开源项目Streisand支持多种VPN协议,为了防止流量识别它还提供了多种方法,可以将VPN流量伪装成标准的HTTPS流量。开发者 Joshua Lund说,Streisand一个目标是简化设置流程

原文:http://www.chinagfw.org/2016/06/streisand-vpn.html

Windows 10 设置VPN方法(PPTP/L2TP)

前言:如果您是使用客户端连接的,就不用设置本文步骤了,直接使用客户端连接就可以。如果因为某些原因不能使用客户端,则可以按照下面方法手动设置连接使用。

1、右键点击任务栏下的“网络”图标,点击“打开网络和共享中心”,如下图:

网络图标

2、点击“设置新的连接或网络

网络和共享中心

3、选择“连接到工作区”,点击“下一步

连接到工作区

4、点击选择“使用我的 Internet 连接

使用我的 Internet 连接

5、“Internet 地址”填写线路服务器地址(IP地址或域名地址,点击这里查看),输入后点击“下一步”。

Internet 地址

6、创建完成后,需要设置连接协议,选择PPTP或L2TP(如果其中一种连接遇到问题,请尝试更换另一种)。

设置步骤如下:打开“网络和共享中心”—点击“更改适配器设置”,鼠标右键点击创建的网络连接属性

更改适配器设置

网络连接属性

PPTP设置图解,请按照下面设置(PPTP或L2TP设置其中一种即可)。

PPTP设置

L2TP设置图解,请按照下面设置(PPTP或L2TP设置其中一种即可)。

L2TP设置

7、设置线路协议后,点击任务栏下面的“网络”图标,单击创建的网络连接,输入帐号点击连接(网站或软件上注册的帐号),连接上即可使用。

网络连接

输入帐号

连接成功

原文:http://www.heizivpn.com/windows-10-%E8%AE%BE%E7%BD%AEvpn%E6%96%B9%E6%B3%95%EF%BC%88pptpl2tp%EF%BC%89/

最简单SHADOWSOCKS服务器搭建教程

如题,手上没有闲置的VPS,所以在虚拟机里全新安装了一个CentOS x64来模拟安装了Cent OS系统的VPS,实际操作VPS应该与此无异,此教程面向常年使用Windows系统没怎么接触过Linux的朋友,本人水平有限,若有朋友发现有错误的地方还请在评论中指正,谢谢。

下面开始,开始之前请确保你的电脑上已安装putty和WinSCP这两款软件。

http://www.putty.org/ putty官网,如果不习惯英文可以找下汉化版,但可能有一定的风险。

https://winscp.net/eng/docs/lang:chs WinSCP官网

 

第一步、使用putty登录VPS,图中上面左边红框里输入VPS的IP地址,我安装在虚拟机里的Cent OS的IP是192.168.1.5所以我输入的就是192.168.1.5,实际VPS的IP应该是一个公网的IP地址而非内网的,IP右侧是端口号,默认22,不需要修改,另外可以在左下红框位置填入你对这个VPS的说明,然后点击“Save”保存,下次就不需要再输入IP,在下方选择你保存好的项再点击“Load”载入就可以了,若不需要了可以选择后点击“Delete”删除;输入完IP后点击“Open”登录VPS,若弹出提示框选择“是”就行了。

2016052901

若出现“login as:”则说明连接成功,然后输入用户名“root”回车,再输入root密码,注意此处不像windows,你输入密码时并不会出现星号“*”之类的,输入密码时不会有任何反应,你按次序输入自己的root密码就可以了,输完后回车,若出现“[root@localhost ~]#”这种字则说明登录成功。(说句题外话,下午装完虚拟机系统后小憩了一会儿,醒来后就死活想不起来root密码了,只好重装了一个……

2016052902

下面开始安装:

以下命令复制粘贴到putty里并回车执行,注意putty里右击一下就可以把命令粘贴进去了,若未报错则说明执行成功,出现确认提示时输入“y”后回车就行了。

 

yum install epel-release

2016052903

 

yum update

这一步需要很长时间,请耐心等待,你可以去看看视频什么的…

2016052904

 

yum install python-setuptools m2crypto supervisor

2016052905

 

yum install python-pip

2016052906

 

pip install shadowsocks

下图中黄色部分的意思是要更新pip,我这可能是墙的原因出现了,shadowsocks已经安装好了,如果你也出现这个提示可以不用鸟他。。也可以执行

pip install –upgrade pip

安装一下

2016052907

到这里已经完成安装了,接下来就是配置了,网上很多教程都是在putty里用vi编辑器进行修改,但我觉得这对像我这样的用惯了windows没怎么用过linux的人来说很麻烦,所以,这里我不用那种方法,而是借助WinSCP进行编辑,注意putty先不要关掉,后面重启要用到,如果你手快已经关了也没事,待会儿再像最上面说的那样再进去就行了。

接下来开始配置shadowsocks:

打开WinSCP,填入VPS相关信息登录,后面出现提示点确定就行了。

2016052908

登录成功后进入 /etc目录,点击“文件”-“新建”创建一个名为“shadowsocks.json”的文件,然后编辑它,复制粘贴以下内容:

{

    “server”:”0.0.0.0″,

    “server_port”:8388,

    “local_port”:1080,

    “password”:”yourpassword”,

    “timeout”:600,

    “method”:”aes-256-cfb”

}

然后再根据自己的需要修改这几项,server_port是服务器端口号,范围1-65535,注意不要和现有端口号冲突;password是密码;method是加密方式,建议就使用aes-256-cfb不要修改。修改完成后保存。

2016052909

打开/etc/supervisord.conf文件,在末尾空行处复制粘贴以下内容:

[program:shadowsocks]

command=ssserver -c /etc/shadowsocks.json

autostart=true

autorestart=true

user=root

log_stderr=true

logfile=/var/log/shadowsocks.log

粘贴完成后注意要回车一下空出一行,然后保存。

2016052910

打开/etc/rc.local 将以下内容复制到中间空行处

service supervisord start

然后保存。

2016052911

到这里就可以关掉WinSCP了,然后转到putty,如果你刚才关了putty则需要再按照最上面的方法重新登录。

在putty里输入并回车执行

reboot

此命令是重启VPS,putty会弹出一个提示框,意思是连接断开了,关掉putty就行了。

到此shadowsocks服务器搭建教程就结束了。

最后是在另一台虚拟机中以刚才搭建的局域网shadowsocks服务器作为全局代理,然后ping通114DNS的图,就是不知道为什么访问网站会报502错误。

2016052912

原文:http://www.mlnews.me/2016/0529197

安卓版:无界一点通3.6正式版(2016年5月30日)

无界一点通3.6b升级为正式版:

http://wujieliulan.com/download/um3.6.apk
sha1:86c203222887fdbb99b13853e1efe2f772cbb54c
md5:e32ef55baff5ec307a91ff7b04c86b13

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”,如果能访问谷歌应用商店, 可以直接从那里下载安装: 搜索”ydt.wujie”应用。如果不能访问谷歌应用商店, 可采用以下办法:

1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。

2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。

3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21493.0

Tor Browser 6.0 is released

The Tor Browser Team is proud to announce the first stable release in the 6.0 series. This release is available from the Tor Browser Project page and also from our distribution directory.

This release brings us up to date with Firefox 45-ESR, which should mean a better support for HTML5 video on Youtube, as well as a host of other improvements.

Beginning with the 6.0 series code-signing for OS X systems is introduced. This should help our users who had trouble with getting Tor Browser to work on their Mac due to Gatekeeper interference. There were bundle layout changes necessary to adhere to code signing requirements but the transition to the new Tor Browser layout on disk should go smoothly.

The release also features new privacy enhancements and disables features where we either did not have the time to write a proper fix or where we decided they are rather potentially harmful in a Tor Browser context.

On the security side this release makes sure that SHA1 certificate support is disabledand our updater is not only relying on the signature alone but is checking the hash of the downloaded update file as well before applying it. Moreover, we provide a fix for a Windows installer related DLL hijacking vulnerability.

A note on our search engine situation: Lately, we got a couple of comments on our blog and via email wondering why we are now using DuckDuckGo as the default search engine and not Disconnect anymore. Well, we still use Disconnect. But for a while now Disconnect has no access to Google search results anymore which we used in Tor Browser. Disconnect being more a meta search engine which allows users to choose between different search providers fell back to delivering Bing search results which were basically unacceptable quality-wise. While Disconnect is still trying to fix the situation we asked them to change the fallback to DuckDuckGo as their search results are strictly better than the ones Bing delivers.

The full changelog since Tor Browser 5.5.5 is:
Tor Browser 6.0 — May 30

  • All Platforms
    • Update Firefox to 45.1.1esr
    • Update OpenSSL to 1.0.1t
    • Update Torbutton to 1.9.5.4
      • Bug 18466: Make Torbutton compatible with Firefox ESR 45
      • Bug 18743: Pref to hide ‘Sign in to Sync’ button in hamburger menu
      • Bug 18905: Hide unusable items from help menu
      • Bug 16017: Allow users to more easily set a non-tor SSH proxy
      • Bug 17599: Provide shortcuts for New Identity and New Circuit
      • Translation updates
      • Code clean-up
    • Update Tor Launcher to 0.2.9.3
      • Bug 13252: Do not store data in the application bundle
      • Bug 18947: Tor Browser is not starting on OS X if put into /Applications
      • Bug 11773: Setup wizard UI flow improvements
      • Translation updates
    • Update HTTPS-Everywhere to 5.1.9
    • Update meek to 0.22 (tag 0.22-18371-3)
      • Bug 18371: Symlinks are incompatible with Gatekeeper signing
      • Bug 18904: Mac OS: meek-http-helper profile not updated
    • Bug 15197 and child tickets: Rebase Tor Browser patches to ESR 45
    • Bug 18900: Fix broken updater on Linux
    • Bug 19121: The update.xml hash should get checked during update
    • Bug 18042: Disable SHA1 certificate support
    • Bug 18821: Disable libmdns support for desktop and mobile
    • Bug 18848: Disable additional welcome URL shown on first start
    • Bug 14970: Exempt our extensions from signing requirement
    • Bug 16328: Disable MediaDevices.enumerateDevices
    • Bug 16673: Disable HTTP Alternative-Services
    • Bug 17167: Disable Mozilla’s tracking protection
    • Bug 18603: Disable performance-based WebGL fingerprinting option
    • Bug 18738: Disable Selfsupport and Unified Telemetry
    • Bug 18799: Disable Network Tickler
    • Bug 18800: Remove DNS lookup in lockfile code
    • Bug 18801: Disable dom.push preferences
    • Bug 18802: Remove the JS-based Flash VM (Shumway)
    • Bug 18863: Disable MozTCPSocket explicitly
    • Bug 15640: Place Canvas MediaStream behind site permission
    • Bug 16326: Verify cache isolation for Request and Fetch APIs
    • Bug 18741: Fix OCSP and favicon isolation for ESR 45
    • Bug 16998: Disable <link rel=”preconnect”> for now
    • Bug 18898: Exempt the meek extension from the signing requirement as well
    • Bug 18899: Don’t copy Torbutton, TorLauncher, etc. into meek profile
    • Bug 18890: Test importScripts() for cache and network isolation
    • Bug 18886: Hide pocket menu items when Pocket is disabled
    • Bug 18703: Fix circuit isolation issues on Page Info dialog
    • Bug 19115: Tor Browser should not fall back to Bing as its search engine
    • Bug 18915+19065: Use our search plugins in localized builds
    • Bug 19176: Zip our language packs deterministically
    • Bug 18811: Fix first-party isolation for blobs URLs in Workers
    • Bug 18950: Disable or audit Reader View
    • Bug 18886: Remove Pocket
    • Bug 18619: Tor Browser reports “InvalidStateError” in browser console
    • Bug 18945: Disable monitoring the connected state of Tor Browser users
    • Bug 18855: Don’t show error after add-on directory clean-up
    • Bug 18885: Disable the option of logging TLS/SSL key material
    • Bug 18770: SVGs should not show up on Page Info dialog when disabled
    • Bug 18958: Spoof screen.orientation values
    • Bug 19047: Disable Heartbeat prompts
    • Bug 18914: Use English-only label in <isindex/> tags
    • Bug 18996: Investigate server logging in esr45-based Tor Browser
    • Bug 17790: Add unit tests for keyboard fingerprinting defenses
    • Bug 18995: Regression test to ensure CacheStorage is disabled
    • Bug 18912: Add automated tests for updater cert pinning
    • Bug 16728: Add test cases for favicon isolation
    • Bug 18976: Remove some FTE bridges
  • Windows
  • OS X
    • Bug 6540: Support OS X Gatekeeper
    • Bug 13252: Tor Browser should not store data in the application bundle
    • Bug 18951: HTTPS-E is missing after update
    • Bug 18904: meek-http-helper profile not updated
    • Bug 18928: Upgrade is not smooth (requires another restart)
  • Build System
    • All Platforms
      • Bug 18127: Add LXC support for building with Debian guest VMs
      • Bug 16224: Don’t use BUILD_HOSTNAME anymore in Firefox builds
      • Bug 18919: Remove unused keys and unused dependencies
    • Windows
      • Bug 17895: Use NSIS 2.51 for installer to avoid DLL hijacking
      • Bug 18290: Bump mingw-w64 commit we use
    • OS X
      • Bug 18331: Update toolchain for Firefox 45 ESR
      • Bug 18690: Switch to Debian Wheezy guest VMs
    • Linux
      • Bug 18699: Stripping fails due to obsolete Browser/components directory
      • Bug 18698: Include libgconf2-dev for our Linux builds
      • Bug 15578: Switch to Debian Wheezy guest VMs (10.04 LTS is EOL)

原文:https://blog.torproject.org/blog/tor-browser-60-released

Tor 0.2.8.3-alpha is released

Tor 0.2.8.3-alpha has been released! You can download the source from the Tor website. Packages should be available over the next week or so.

Tor 0.2.8.3-alpha resolves several bugs, most of them introduced over the course of the 0.2.8 development cycle. It improves the behavior of directory clients, fixes several crash bugs, fixes a gap in compiler hardening, and allows the full integration test suite to run on more platforms.

REMEMBER: This is an alpha release. Expect a lot of bugs. You should only run this release if you’re willing to find bugs and report them.

Changes in version 0.2.8.3-alpha – 2016-05-26

  • Major bugfixes (security, client, DNS proxy):
    • Stop a crash that could occur when a client running with DNSPort received a query with multiple address types, and the first address type was not supported. Found and fixed by Scott Dial. Fixes bug 18710; bugfix on 0.2.5.4-alpha.
  • Major bugfixes (security, compilation):
    • Correctly detect compiler flags on systems where _FORTIFY_SOURCE is predefined. Previously, our use of -D_FORTIFY_SOURCE would cause a compiler warning, thereby making other checks fail, and needlessly disabling compiler-hardening support. Fixes one case of bug 18841; bugfix on 0.2.3.17-beta. Patch from “trudokal”.
  • Major bugfixes (security, directory authorities):
    • Fix a crash and out-of-bounds write during authority voting, when the list of relays includes duplicate ed25519 identity keys. Fixes bug 19032; bugfix on 0.2.8.2-alpha.
  • Major bugfixes (client, bootstrapping):
    • Check if bootstrap consensus downloads are still needed when the linked connection attaches. This prevents tor making unnecessary begindir-style connections, which are the only directory connections tor clients make since the fix for 18483 was merged.
    • Fix some edge cases where consensus download connections may not have been closed, even though they were not needed. Related to fix for 18809.
    • Make relays retry consensus downloads the correct number of times, rather than the more aggressive client retry count. Fixes part of ticket 18809.
    • Stop downloading consensuses when we have a consensus, even if we don’t have all the certificates for it yet. Fixes bug 18809; bugfix on 0.2.8.1-alpha. Patches by arma and teor.
  • Major bugfixes (directory mirrors):
    • Decide whether to advertise begindir support in the the same way we decide whether to advertise our DirPort. Allowing these decisions to become out-of-sync led to surprising behavior like advertising begindir support when hibernation made us not advertise a DirPort. Resolves bug 18616; bugfix on 0.2.8.1-alpha. Patch by teor.
  • Major bugfixes (IPv6 bridges, client):
    • Actually use IPv6 addresses when selecting directory addresses for IPv6 bridges. Fixes bug 18921; bugfix on 0.2.8.1-alpha. Patch by “teor”.
  • Major bugfixes (key management):
    • If OpenSSL fails to generate an RSA key, do not retain a dangling pointer to the previous (uninitialized) key value. The impact here should be limited to a difficult-to-trigger crash, if OpenSSL is running an engine that makes key generation failures possible, or if OpenSSL runs out of memory. Fixes bug 19152; bugfix on 0.2.1.10-alpha. Found by Yuan Jochen Kang, Suman Jana, and Baishakhi Ray.
  • Major bugfixes (testing):
    • Fix a bug that would block ‘make test-network-all’ on systems where IPv6 packets were lost. Fixes bug 19008; bugfix on tor-0.2.7.3-rc.
    • Avoid “WSANOTINITIALISED” warnings in the unit tests. Fixes bug 18668; bugfix on 0.2.8.1-alpha.
  • Minor features (clients):
    • Make clients, onion services, and bridge relays always use an encrypted begindir connection for directory requests. Resolves ticket 18483. Patch by “teor”.
  • Minor features (fallback directory mirrors):
    • Give each fallback the same weight for client selection; restrict fallbacks to one per operator; report fallback directory detail changes when rebuilding list; add new fallback directory mirrors to the whitelist; update fallback directories based on the latest OnionOO data; and any other minor simplifications and fixes. Closes tasks 17158, 17905, 18749, bug 18689, and fixes part of bug 18812 on 0.2.8.1-alpha; patch by “teor”.
  • Minor features (geoip):
    • Update geoip and geoip6 to the May 4 2016 Maxmind GeoLite2 Country database.
  • Minor bugfixes (assert, portability):
    • Fix an assertion failure in memarea.c on systems where “long” is shorter than the size of a pointer. Fixes bug 18716; bugfix on 0.2.1.1-alpha.
  • Minor bugfixes (bootstrap):
    • Consistently use the consensus download schedule for authority certificates. Fixes bug 18816; bugfix on 0.2.4.13-alpha.
  • Minor bugfixes (build):
    • Remove a pair of redundant AM_CONDITIONAL declarations from configure.ac. Fixes one final case of bug 17744; bugfix on 0.2.8.2-alpha.
    • Resolve warnings when building on systems that are concerned with signed char. Fixes bug 18728; bugfix on 0.2.7.2-alpha and 0.2.6.1-alpha.
    • When libscrypt.h is found, but no libscrypt library can be linked, treat libscrypt as absent. Fixes bug 19161; bugfix on 0.2.6.1-alpha.
  • Minor bugfixes (client):
    • Turn all TestingClientBootstrap* into non-testing torrc options. This changes simply renames them by removing “Testing” in front of them and they do not require TestingTorNetwork to be enabled anymore. Fixes bug 18481; bugfix on 0.2.8.1-alpha.
    • Make directory node selection more reliable, mainly for IPv6-only clients and clients with few reachable addresses. Fixes bug 18929; bugfix on 0.2.8.1-alpha. Patch by “teor”.
  • Minor bugfixes (controller, microdescriptors):
    • Make GETINFO dir/status-vote/current/consensus conform to the control specification by returning “551 Could not open cached consensus…” when not caching consensuses. Fixes bug 18920; bugfix on 0.2.2.6-alpha.
  • Minor bugfixes (crypto, portability):
    • The SHA3 and SHAKE routines now produce the correct output on Big Endian systems. No code calls either algorithm yet, so this is primarily a build fix. Fixes bug18943; bugfix on 0.2.8.1-alpha.
    • Tor now builds again with the recent OpenSSL 1.1 development branch (tested against 1.1.0-pre4 and 1.1.0-pre5-dev). Closes ticket 18286.
  • Minor bugfixes (directories):
    • When fetching extrainfo documents, compare their SHA256 digests and Ed25519 signing key certificates with the routerinfo that led us to fetch them, rather than with the most recent routerinfo. Otherwise we generate many spurious warnings about mismatches. Fixes bug 17150; bugfix on 0.2.7.2-alpha.
  • Minor bugfixes (logging):
    • When we can’t generate a signing key because OfflineMasterKey is set, do not imply that we should have been able to load it. Fixes bug 18133; bugfix on 0.2.7.2-alpha.
    • Stop periodic_event_dispatch() from blasting twelve lines per second at loglevel debug. Fixes bug 18729; fix on 0.2.8.1-alpha.
    • When rejecting a misformed INTRODUCE2 cell, only log at PROTOCOL_WARN severity. Fixes bug 18761; bugfix on 0.2.8.2-alpha.
  • Minor bugfixes (pluggable transports):
    • Avoid reporting a spurious error when we decide that we don’t need to terminate a pluggable transport because it has already exited. Fixes bug 18686; bugfix on 0.2.5.5-alpha.
  • Minor bugfixes (pointer arithmetic):
    • Fix a bug in memarea_alloc() that could have resulted in remote heap write access, if Tor had ever passed an unchecked size to memarea_alloc(). Fortunately, all the sizes we pass to memarea_alloc() are pre-checked to be less than 128 kilobytes. Fixes bug19150; bugfix on 0.2.1.1-alpha. Bug found by Guido Vranken.
  • Minor bugfixes (relays):
    • Consider more config options when relays decide whether to regenerate their descriptor. Fixes more of bug 12538; bugfix on 0.2.8.1-alpha.
    • Resolve some edge cases where we might launch an ORPort reachability check even when DisableNetwork is set. Noticed while fixing bug 18616; bugfix on 0.2.3.9-alpha.
  • Minor bugfixes (statistics):
    • We now include consensus downloads via IPv6 in our directory- request statistics. Fixes bug 18460; bugfix on 0.2.3.14-alpha.
  • Minor bugfixes (testing):
    • Allow directories in small networks to bootstrap by skipping DirPort checks when the consensus has no exits. Fixes bug 19003; bugfix on 0.2.8.1-alpha. Patch by teor.
    • Fix a small memory leak that would occur when the TestingEnableCellStatsEvent option was turned on. Fixes bug 18673; bugfix on 0.2.5.2-alpha.
  • Minor bugfixes (time handling):
    • When correcting a corrupt ‘struct tm’ value, fill in the tm_wday field. Otherwise, our unit tests crash on Windows. Fixes bug 18977; bugfix on 0.2.2.25-alpha.
  • Documentation:
    • Document the contents of the ‘datadir/keys’ subdirectory in the manual page. Closes ticket 17621.
    • Stop recommending use of nicknames to identify relays in our MapAddress documentation. Closes ticket 18312.

edited to add links to tickets. Please met me know if my script broke anything.

原文:https://blog.torproject.org/blog/tor-0283-alpha-released

Android 安裝 squid proxy 的步驟

squidproxy
项目: https://github.com/squidproxy/
推特: https://twitter.com/squidgfw
G+社区: https://plus.google.com/communities/101513261063592651175
squidproxy 提供了squid技术的应用、部署、教育、培训等内容!
https://telegram.me/squidproxy

Android使用squid proxy教程
(感謝開發員abbot最全面的技術支持,萬分感謝abbot的無私奉獻!)
步驟如下:
(本文連接如下:https://www.evernote.com/shard/s560/sh/21e075eb-ca36-43cf-ac0b-b867cb72ad02/113072c56839fba63e7d5c46e53748e1)

1).安裝any connect。
方法:
a.建議Google play安裝anyconect of Cisco
b.從telegram安裝!下載後文件路徑如下:

2)下載證書文件:
3).添加vpn加載賬號及安裝證書:
3.1添加VPN連接。

   3.1.2>.配置VPN

3.1.3).由軟件~anyconnect 導入證書!

 

3.1.4.確認密碼與證書關聯!

3.2由系統證書管理導入!
設定->(系統)->安全->從設備存儲空間安裝->查找證書(文件名.p12)
->輸入證書密碼,捆綁證書!

4.連接vpn網路

****************************************

****************************************
@@@附加部分:
明天加入連接Tor部分,可以做到,直連,obfs4網橋,雲橋的順利連接和盡可能防範信息洩漏,解決替換證書的疑惑!

1.).強制系統使用Tor8118代理端口出站,防止數據按非代理路徑流出,達到防止洩漏的目的。(部分VPN使用該模式,會出現無法連接)

2.).firefox,Facebook,Twitter等均可強制使用Tor通道傳輸數據!

3.).各種tor模式(直連,雲橋,obfs4)運行傳輸完全沒任何異常!

原文: https://www.evernote.com/shard/s560/sh/21e075eb-ca36-43cf-ac0b-b867cb72ad02/113072c56839fba63e7d5c46e53748e1

安卓版: 无界一点通3.6b测试版(2016年5月28日)

无界一点通3.6b测试版,在3.6a的基础上,做了以下改进,请帮忙测试并反馈:

1. 修复电视模式下,勾选退出时清除历史记录会非正常退出的问题;
2. 新增标签页是空白标签页,而不是无界主页;
3. 增加‘停止键(X)’, 可以停止网页下载;
4. 取消左右滑动可翻页的功能;
5. 解决某些设备上看新唐人不能看全屏的问题;
6. 可能解决新唐人节目单在机顶盒上不能全屏显示, 需要移动光标才能看全的问题。(我们的测试设备没有此问题, 请原有此问题的用户帮忙测试)。

http://wujieliulan.com/download/um3.6b.apk

sha1:86c203222887fdbb99b13853e1efe2f772cbb54c
md5:e32ef55baff5ec307a91ff7b04c86b13

谢谢 !

**********************************************************************

无界一点通3.6a测试版做了以下改进:

1. 解决了一些手机上不能正常浏览一些网页的问题, 如:脸书(facebook)/youmaker/谷歌应用商店/谷歌搜索;
2. 解决了一些手机上不能正常看youtube的问题;
3. 允许用户选择下载文件夹;
4. 增加下载程度及通知;
5. 支持多标签浏览;
6. 增加“清除历史记录”选项;
7. 增加“禁止cookie”选项;
8. 增加浏览界面顶部的功能键, 方便浏览;
9. 看电视机听广播时不自动锁屏, 除非用户自己关掉屏幕;
10. 增强安全及联通能力。

谢谢!

—————–

“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。

安装”无界一点通”测试版:

1. 需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。
2. 将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。
3. 详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》

原文:http://forums.internetfreedom.org/index.php?topic=21487.0

EasytimeTV.轻松玩Mac.科学上网的常识(6 – 8)预览

iOS 科学上网教程(6 – 8),介绍 Surge 的使用技巧;升级到 1.2 版之后的新功能;升级到 1.3 版之后代理服务器自动测速功能;还有 Lantern 、Shadowrocket、Proxifier 的介绍。
来源:https://www.youtube.com/user/EasytimeTV/videos

科学上网的常识(6):Surge [预览]

 

 

 

科学上网的常识(7):Surge的新功能 [预览]

 

 

科学上网的常识(8):备用方案 [预览]

 

原文:http://www.chinagfw.org/2016/05/easytimetvmac6-8.html

【翻墙问答】Whatsapp黄金版乃黑客陷阱切勿下载(视频)

 620

3月31日起,Whatsapp所有通讯会开始采用AES 256位元加密匙。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密。Whatsapp将是世界其中一个最保密即时通讯软件。(维基百科图片)

【翻墙问答】如何设定Shadowsocks翻墙视频地址:http://www.rfa.org/cantonese/video?v=1_ccf0jk7p

问:最近有些人收到电邮,指Whatsapp推出了终极黄金版,又指很多名人都用这版本。到底这终极黄金版是真的给名人用,还是只是黑客用来偷窃资料用的木马?

李建军:一直以来,Whatsapp都是黑客们偷窃资料的目标,由于在Whatsapp全面改用点对点加密通讯后,黑客再难透过中间人攻击来偷取Whatsapp用户资料,因此,就以Whatsapp现时功能上的一些弱点下手,以电邮四处宣传所谓黄金版,主要目的就是在你Whatsapp应用程式上加设木马,藉此截取你和朋友之间的通讯。

因此,所谓终极黄金版并非由Whatsapp公司所推出,而是黑客的木马,如果你不幸安装了所谓终极黄金版,请立即删除,并且重新下载官方原装的Whatsapp软件。

由于所谓终极黄金版,并不能够通过苹果App Store的审查机制,因此,现时受终极黄金版木马困扰的人,都是使用Android平台的用户。如果你想用安全的Whatsapp版本,暂时只有Google Play或Whatsapp公司官方网页提供的版本称得上安全,由其他途径提供的版本,不论是终极黄金版,还是中国手机制造商提供的山寨应用程式商店,都是不安全的版本,切勿使用。

问:Tor协定已经用了一段时间,现时Tor的开发社群,正研究下一代Tor网络技术,提升翻墙能力,其中Tor地址的格式会有所改变,到底下一代Tor网络的地址的格式会有什么改变?这与翻墙又有什么关系?

李建军:应对中国当局越来越强的封锁,Tor开发社群根据去年的协定,全力开发下一代的Tor网络,其实为了实现全面随机化的分散数据传送要求,令当局难以阻止Tor协定的通讯,网址的长度由现时十六个英文字母或数字,加长到五十五个英文字母或数字,因此,在未来的Tor路由器软件,将需要处理相当长的一串网址。由于新一代Tor网络仍然在实验阶段,因此,现今一代Tor网址以及相关软件仍然会继续使用,而未来的Tor软件,亦会同时能处理新旧技术的通讯,直至第一代Tor技术完全被淘汰为止,相信完全淘汰现今一代的Tor通讯,并不会是这一两年会发生的事。

问:除了VPN和翻墙软件,越来越多人用Shadowsocks来翻墙,到底Shadowsocks是什么来的?而现时Shadowsocks用户端难不难用?

李建军:Shadowsocks的概念与VPN有点类似,也是一种用加密机制去掩盖实际通讯内容的方式,只不过Shadowsocks由于可以用很多不同的非标准协定,实际上像代理软件,多于VPN,但Shadowsocks支援的加密程度和机制,远比传统的代理软件来得多。

在Shadowsocks普及初期,需要用家自行兴建主机,因此,一般只是一些技术能力比较高的用户才用得起Shadowsocks,但今天已经有商家像卖VPN一样卖Shadowsocks主机户口,不少提供虚拟主机服务公司,亦有提供搭建Shadowsocks主机的服务,搭建Shadowsocks主机比以往容易得多,几个朋友要共享一个主机的流量都简单得多。而近来,亦有使用图像介面的Shadowsocks客户端软件出现,令设定Shadowsocks变成一个人人都负担得起的活动。现时在淘宝网等地方买Shadowsocks户口,唯一要担心控制主机那些人的背景是否可靠,会否有一些与中国公安机关合作的人营运这些网站。但海外亦有人卖Shadowsocks户口,可以考虑向海外背景清楚的人购买户口。

这次翻墙问答,会有视频示范如何自行设定Shadowsocks的客户端软件,成功翻墙上网,欢迎各位听众浏览本台的网站收看。虽然片段示范用Mac,但在Windows上使用方式都大同小异。

原文:http://www.rfa.org/cantonese/firewall_features/shadowsocks-05272016074611.html?encoding=simplified

“翻墙”可能是一种手艺,如何传承,任重道远

新时代的防火墙像手术刀,精准迅速,直击命门。而“翻墙”未来可能变成一门手艺,如何传承,任重道远。

1987年,中国第一封电子邮件由中国兵器工业计算机应用研究所发往德国,标志中国成功接入互联网。邮件内容是:“Across the Great Wall we can reach every corner in the world”——穿越“巨墙”(长城),我们无处不及。与这封邮件几乎同龄的我,没想到生活中竟总离不开“墙”。在物理世界和虚拟世界中多次穿墙,也去过世界各处,看“墙”越筑越高,有时义愤填膺,有时啼笑皆非。仅以此文,记录“墙”边的一些见闻。

国家公共网络监控系统

国家公共网络监控系统,俗称中国网络防火墙(The Great Fire Wall of China,常用简称“GFW”或“墙”)。一般意义所説的GFW,主要指中国官方对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随着使用的拓广,中文“墙”和英文“GFW”有时也被用作动词,网友所説的“被墙”即指被防火长城所屏蔽。

2008年校园网:“连坐”惩罚

2007年,我进入这所XX理工大学。它特别吊诡的设定是,大一不能带电脑,大二考过国家英语四级的人才可以带电脑。就这样,2008年秋天,我终于正大光明地连上校园网。千兆比特级别以太网直入国家主干网,中国电信、中国教育网双通道。这个规格,算是极高的。网速之快,前所未见;可是,总有一些网站访问不了。但这些小细节,终究不影响同学们DotA(一款基于Warcraft的对战地图)的热情。

那个时候,我们愉快地上Google,查Wikipedia,学习西方先进科技。不时有好事者,会键入诸如“六四”、“胡萝卜”、“温度计”(网民用来形容胡锦涛与温家宝的指代用词)这样的神奇词汇,于是全校与Google失联十数分钟。每当到这个时候,室友们相视一笑,“哦,谁又撞墙了!”但打壶开水,泡一杯面,还不等吃完,就又可以Google了。

那个时候的“墙”就好像霰弹枪,火力充足,但瞄不太准。一枪下去,打一大片,总是搞得“城门失火,殃及池鱼”。

###墙如何运作? 一台机器要与互联网上的其他机器对话,需要一个IP地址,好比一个人需要身份证(ID),才能唯一标识一样。否则,你喊一句话,对方不知应该回话给谁。而IP地址的总量是有限的,就好比一个大小固定的蛋糕。美国入场早,切走一大块。接着列强瓜分。等到中国的时候,还剩下点面皮。而该理工大学在这轮“圈地运动”中,只得到2个IP地址,给全校数万师生共用。这下好了,一个IP后面几万人,究竟谁在干什么,从校外是看不清的了。早期的防火墙,只能粗糙地在IP级别上执行封锁,要管束,只能全盘封了整个学校的网络。但毕竟一所国家重点高校,不可能用这种方式来管理,但不封锁,又无法向监管部门交代。

墙早期对用户的“连坐”惩罚策略。制图:金秋枫

说到底,监管当局不乏能工巧匠,他们很快想出一个办法:封杀大约4千个连续的端口(Port)。如果我们把IP地址比作一栋房子 ,那么端口就是出入这间房子的门。不同于真正的房子只有几个门,一个IP地址的端口可以有65536(即2的16次方)个之多。端口在一定时期内是被内网的一个用户独占,于是数据包可以准确地回到始发地。不过,封一个端口不过瘾,只是撞墙者自己倒霉而已。试想,你好不容易把野马制服了,又会有一些原本安顺的良马变野,效果不佳。最好的办法就是让它成为害群之马,以做警示。所以,一旦内网某个用户登陆Google检索“敏感信息”,这意味着一个端口“撞墙”,“墙”就把接连着的约四千多个端口都封掉,令无辜群众也无法上网。这种断网的“连坐惩罚”短则几分钟,长则十几分钟,才能恢复服务。

2010年北京:合租服务器翻墙

3月,Google位于北京中关村的办公室楼下堆满了鲜花,网友以这种方式纪念因“遭受中国骇客攻击”和“网络审查”而决定退出中国市场的Google。

“墙”这个概念越来越清晰,也进入了更多人的视野。2009年,Facebook和Twitter相继被封,昭示着中国政府通过防火墙阻隔国际互联网,建立“局域网”的决心——“局域网”是中国网民对墙内状况的戏称。

“咱们合租一个VPS(Virtual Private Server)吧”,这是技术青年们见面经常谈到的话题,仅次于买房和买车。VPS即虚拟主机,向服务商租取一段时间使用权即可。以前,大家合租VPS,多是为了搭个博客,赶赶时髦。而现在,合租VPS,多是为了翻墙。

墙外丰富多彩的世界吸引着年轻人。制图:金秋枫

对这些年轻人来说,“翻墙”用Google检索最新资讯,使用垃圾邮件最少的Gmail,随时查询在线百科全书Wikipedia,通过Facebook、Twitter与同行保持密切的技术资讯沟通,就像呼吸一样自然。也有更多人翻墙是要选择不同服务器进行联网游戏,或下载最新的影视内容,“翻墙”就像玩猫和老鼠的游戏。

VPS如何帮你翻墙?

当你发一个数据包到Google或者Facebook时,防火墙可以直接识别目的IP地址而自动拦截。而前面提到的VPS,是虚拟主机,自己也有IP地址,但无公开记录其归属,难以确认是否是敌军。既然如此,我们把数据包先发到VPS,再由它中转到目的地,就成功绕开“墙”了。由于VPS的这种特性,它也被称作“跳板”。

“跳板”是所有“翻墙”技术的共通原理。制图:金秋枫

利用一个“跳板”绕过“墙”,正是许多翻墙软件的基本原理。曾经繁荣的翻墙软件“无界”、“自由门”,还有众多的“代理服务器”,包括后来更广泛应用的VPN(Virtual Private Network),都是借用跳板原理。VPN最早是用来帮助一个企业多地的办公室间互联,也可以让员工在异地进入公司内网,方便执行一些高权限的作业。这样一来,跨国公司天然就拥有了穿墙的隧道:数据包先发到海外办公室,再去向世界各地。所以,VPN也成了跨国公司员工翻墙的主流手段。

这年,我第一次用“ssh -D”(一行命令)翻墙。SSH可以让系统管理员连接上主机,进行远程操作。同时它相当于在客户端与服务器之间建立了一个隧道,所以也能传输其他的数据,包括“翻墙”流量。只要这台机器的IP不在墙的“黑名单”中,也就可以成功绕过墙的封锁了。对技术人员来说,买VPS是最简单且低成本的翻墙方法。即便一台VPS被墙,再买一台即可。一年几十美元的价格,合租下来非常便宜。

SSH协议可以建立“隧道”,成为技术人员“翻墙”的最爱。制图:金秋枫

2011-14年香港:“墙”成为一门显学

在Google、Wikipedia中文、Facebook、Twitter等全球流行网络应用被阻隔在防火墙之外后,中国大兴土木建设的“局域网”,这几年也初现雏形。

搜索用百度,邮箱有163/QQ,社交有微博/人人,购物用淘宝/京东,即时聊天用微信——各种互联网服务,墙内应有尽有。对大部分网民来说,翻墙成了越来越不必要的需求。而剩下的一小拨执着于翻墙的用户,以及全世界致力于研究“墙”的学者,他们见证了“墙”的升级,与之斗智斗勇,也从一些滑稽的表象,捕捉到“墙”发展的各种蛛丝马迹。

因“墙”不同的工作原理,越来越多的翻墙工具被开发出来。对“翻墙”这个行当来说,这是个百花齐放的时代。

解析邮件

2011年初,Gmail大规模延迟,这可能是生活在中国的很多“良民”第一次看到墙的影子。他们并不是Twitter、Facebook的忠实用户,对自由世界的“危险信息”也并不感兴趣,只是日常收发邮件,竟也撞墙。实测显示,Gmail与大陆服务商之间的邮件有不同程度的延迟,少则几个小时,多则几个星期。人们纷纷猜测,“墙”已经进化到开始解析邮件。

“墙”开始尝试解析墙内外邮件,终因负载太高,造成大规模延迟。制图:金秋枫

敏感词触发RST,偶尔需要“向内翻墙”

这几年,我在香港求学,当时因为研究需要,我要下载大陆某公司的中文词库,奇怪的是,无论使用何种工具,进度条总是停在70%的地方。后来分析发现,每次下载到这个位置的时候,系统就会收到一个“RST”包──“RST”是“Reset”(重置)的意思。这是一种特殊的数据包,当计算机收到这种包的时候,会重置一条网络链接。这个特点被“墙”广泛用来掐掉“不和谐”的网络链接。好比A和B正在打电话,“墙”想要掐断电话,和以前粗暴地摔电话机不同,“墙”对A说:“B挂你电话了”,同时又对B说,“A挂你电话了”,不明真相的两人就真的自己把电话挂掉了。敏感词触发RST,这种“墙”的工作机制,如今已是衆所周知。而这种监控与阻断是双向的,出入都可能撞墙。有时候在墙内需要翻出来,有时候在墙外需要翻进去。

通过“RST”欺骗通信双方,以阻断链接。制图:金秋枫

走出国门的DNS污染

DNS(Domain Name Service)即“域名解析服务”,功能好比是互联网上的电话簿。早期,仅通过IP来封锁服务的话,“墙”需要查看每个数据包,判断是否放行。但使用“DNS污染”技术,相当于直接给用户一个错误的“电话号码”,从源头就遏制了“不良通信”。值得注意的是,“DNS污染”这种强力武器,不仅能有效封锁国内网民对敏感内容的访问,还会连带影响其他国家。2012年,世界顶级网络通讯会议SigComm上,出现一篇匿名论文。论文发现,中国发动的“DNS污染”已经超越了国界。在测试了全球4万多个域名解析服务器后,他们发现其中26.41%的服务器受到了这种污染的影响,覆盖109个国家。

DNS污染。制图:金秋枫

近500个实体“哨所”

2012年,一组来自Michigan大学的研究者,对“墙”的位置进行了探测。他们发现,就像真实的长城并非连绵不断的,防火墙也并不是密不透风地“堵”在我们的“网络”上,而是一组散落各处的“哨所”,只有当发现威胁的时候,它们才用“RST”或“DNS污染”这样的方式进行干扰。截止2012年底,研究者总共探测到了近500个这样的“哨所”,在中国南方,部署数量头三位的省份为:广东(84个)、福建(29个)、湖南(28个)。

小插曲是,研究者把探测“哨所”的工具在GitHub(世界最大的开源代码托管服务)上开源发布后,引起了激烈的争论。一些人认为,此举会激怒“墙”的管理者,导致GitHub被封锁,影响墙内程序员学习交流,所以应该删除这样的代码仓库,“保持技术社区的纯粹”。另一些人,则认为翻墙是程序员的基本技能,表示不受影响,所以力挺该项目,并极力反对技术社区加入“自我审查”的行列。

深度数据包检测

2012年底,“墙”的总设计师、北京邮电大学时任校长方滨兴的研究团队曾发表论文“网络流量分类,研究进展与展望”,文章提到了多种使用机器学习进行“深度数据包检测”(Deep Packet Inspection,DPI)的技术。随后几年,这些先进的技术逐渐在“墙”上部署开来。

要理解“深度数据包检测”的威力,我们可以把数据包想像成一封信。“浅度”的数据包检测,就好像是看看信封上的发件人和收件人,即决定是否放行。这给“跳板法”留下可乘之机:我们先将信送到中间站(如虚拟主机VPS),再转发到目的地,就绕过检查了。“深度”的数据包检测,可以理解成对信件内容的探查──相比起暴力打开信封,这种基于机器学习的技术更具有艺术性。它并不实际解读数据包的内容,而是搜集周边信息,对数据流进行“肖像刻划”(Profiling)。举个例子,你用Google搜索时,网络上只会有文本和少量图片经过,数据量很小,并且是突发的;但用YouTube看视频时,就会有持续一段时间的大量数据流过。“墙”的监控也是基于这样的抽象指标,比如它监控到到间歇而细小的流量,便推断你不太可能是在用YouTube。将诸如此类的可参考指标放在一起,就组成当前数据流的一副“肖像”。把这个“肖像”与数据库里面已经存放的巨量“翻墙流量肖像”和“非翻墙流量肖像”做个比对,就可以相应归类了。如所有的机器学习算法一样,这种归类会误杀一些非翻墙流量,也会错放一些翻墙流量。但日积月累,“墙”观察的样本越多,准确率也就越高。

浅度与深度数据包检测。制图:金秋枫

2015年深圳:“墙”的疯狂进化

新时代的墙,像是手术刀,精准迅速,直击命门。

在深圳小住半年,我深刻感受到“数字围剿”的压力。随着2014年底,Gmail全面被封禁,墙进化迅速、部署增强,还配合行政措施打击翻墙势力。深度包检测的大规模部署、DNS污染的扩大、转守为攻的国家防火墙策略、ISP的深度合作——“墙”俨然是正规军,而翻墙的社区只能打一场场的游击战,越打越疲惫。

首先,是香港的学校专用VPN开始不好使了。据传,几种主流的VPN协议已经被“墙”破解,手段十分细腻:有时候连上VPN,可以使用Google搜索和Google Drive办公,但一旦链接YouTube或者Facebook,网络链接就立马被掐掉了。

紧接着,一系列政策出台:境外VPN需要备案。像Astrill等常用的商业VPN服务,迅速被封。

同时,“DNS污染”的范围与频度都扩大了。为了抵御“DNS污染”,我曾一度使用“DNSCrypt”——这个开源项目会加密客户端和服务器之间的通信内容,不被墙查探到。然而好景不常在,很快,“墙”将已知的DNSCrypt的服务器IP计入黑名单,这样连访问DNSCrypt的服务器也是需要“翻墙”了……有段时间,我依赖SSH+DNSCrypt翻墙。但这套组合拳,最终打在墙上只是手疼,而墙还是泰然自若。

更有甚者,一些二级ISP(不自建主干网,但提供社区宽带接入到主干网服务的ISP)参与了合作,封禁“非常用”的DNS地址。家庭宽带用户,只能选择ISP默认分配的DNS,或者一些“广为人知”的DNS服务器,如Google多年前提供的8.8.8.8(该服务器的IP地址)就是其中之一。“4个8”曾经是大陆网民用来抵御“DNS污染”的缓冲剂,但它使用普通DNS协议,很容易被攻击。社区很快发现,“墙”会选择性地污染8.8.8.8返回的结果。

“DNS污染”、“RST攻击”、“深度数据包检测”——“防火长城”的一套立体防御体系已经建成。从左到右,精准度逐渐加大,防御成本也逐渐加大。这个时候,不管使用什么VPN,最常见的现象是,翻墙几分钟后,网络延迟加大,进而链接被阻断,导致日常工作都不能正常进行。

“进攻是最好的防守”——2015年3月,国家防火墙突然转守为攻。这是一种与“防火长城”(Great Fire Wall,GFW)部署在一起的设备,网友戏称其为“大加农炮”(Great Cannon,GC)。经过3月初的一系列测试,“大炮”从3月中旬开始发动疯狂攻击,其首轮攻击的重点目标之一是GitHub上“greatfire”这个代码仓库。“greatfire”上集结了大量的翻墙工具与资讯,俨然一个巨大的“翻墙军火库”。“大炮”攻击目标的原理简单而有效:它会劫持跨越中国边境的流量,注入恶意脚本,向指定目标发动“DDoS攻击”。

DDoS

DDoS(Distributed Denial of Service,分布式拒绝服务),是一种通过巨大流量导致目标服务器不堪重负而下线的攻击手法。DDoS是一系列方法的统称,他们使用不同的技术,“大炮”所使用的流量劫持并注入恶意脚本的技术是一种比较新的形式。衡量一场DDoS攻击的能量,可以使用“峰值速率”。如2014年6月,香港的公民投票网站“PopVote”受到超过“300Gbps”的攻击,连提供网络支持服务的Google和Amazon都抵挡不住,宣布退出,最终服务商靠着全球网络服务业者联手,才维持“占中”公民投票持续进行。2015年7月,支持加密功能的即时通信软件Telegram受到超过“200Gbps”的攻击,受影响区域很快从东南亚蔓延到全球,导致大量用户无法通信。要知道100Gbps的流量有多大,可以想像同时在线点播两万部高清(720p)视频。也可以参考的一个数据,据CNNIC报告显示,截至2014年底,中国大陆的所有国际出口带宽总和为4100Gbps。

“墙”转守为攻的这一异常举动,是一个明显的信号,希望GitHub删除“有威胁”的代码仓库。最终,在巨大的舆论压力下,“大炮”停止了攻击。在墙的攻防体系中,“大炮”虽然不直接设防,但它对墙外的“反动势力”是一种威慑的的存在——必要的时候,随时可以出击。

墙的招式列表。大炮作为一种威慑的存在,以攻为守。制图:金秋枫

在“墙”的拼命围剿之下,传统翻墙手段逐一失效。原因很简单:主流方法都有特定的模式,逃不过基于机器学习的“深度包检测”技术。机器学习的准确性是随着样本增加而提升的,所以要逃离“墙”的围剿,就得把自己的流量伪装得不一样。海外专业VPN服务Astrill,以及国内的“曲径”、“红杏”等后起之秀,都是通过打造私有协议,来绕过检测。

在这种形势下,开源翻墙利器ShadowSocks被更多的人注意到,基于SS搭建的翻墙服务如雨后春笋一样出现。它的中文名为“影梭”,社区昵称为“SS”——这是一个由中国程序员发起的开源项目,主要开发者在墙内。

2012年4月,SS第一份代码提交;

2013年,SS完成主要开发;

2014年夏开始,由于墙的升级,SS受到社区更多的关注,进入高频升级的阶段;

……

ShadowSocks开发记录。

ShadowSocks提供的其实是一套框架,支持多种加密方式,可以监听不同的端口,只需要很简单的配置,就可以在客户端和跳板机之间建立一条隧道。这些特点,让SS成为“游击队员”们最喜爱的工具。作为一款“非主流”的工具,SS曾经是非常有效的翻墙手段。但从15年初开始,深圳的部分ISP已经部署针对SS的阻断系统——推测是基于同一套“深度包检测”技术。好在SS的参数衆多,随便调整一下,即可生成不同的“肖像”,令“墙”在观测不足的情况下,无法迅速动手。但随着时间推移,“墙”总会搜集到足够的样本。刚开始的时候,选一套SS的参数可以坚持几个星期,到后来,就只有几个小时了。但墙一天不倒,游击战就一天不停。换密码、换加密协议、换端口,如每天吃饭一样,逐渐变得规律。实在不行,就只有换IP了,即再买一个VPS。SS的高级玩家,会加入自己定制的加密模块,使得流量更隐蔽。总之,SS是一个开源项目,玩法多种多样,打游击的优势巨大。

2015年香港:遥看墙内围剿“造梯人”

还有太多重要的事情要做,不能将时间浪费在与“墙”无休止的游击战中——我决定搬回香港。

而墙内,一场密谋已久的围剿,终于显露。

2015年2月24日,24时。著名kindle电子书分享及讨论论坛“kindle人”在创建者被请“喝茶”后停站

8月20日,ShadowSocks作者在GitHub上关闭了相关项目的Issue面板并清空所有帮助信息,同时GitHub上“shadowsocks”组织的成员信息被隐藏。

8月21日,GoAgent(一款曾经主流的翻墙软件,托管在Google Code)的论坛上传出SS作者“被喝茶”的消息。

8月22日,ShadowSocks作者现身GitHub,证实“喝茶”,并删除了代码库。

8月25日,Google Code转为只读状态,GoAgent论坛散落。

8月25日,GoAgent托管在GitHub上的仓库被删。

8月25日,GitHub受到超过两个小时的DDoS攻击,攻击源目前不明。

8月26日,多处消息源显示,曲径、红杏等大陆多家VPN服务商受到直接或间接的压力,停止服务。

 

……

有哪些知名网站被屏蔽? 查看:维基百科

以前干掉的是制造和售卖梯子的人,现在连设计梯子的人也要干掉。

未来会如何呢?可以想像,大规模的VPN服务会消失;一些小规模的地下服务,继续运行。另一方面,翻墙工具链,势必会持续升级。

公开的成熟项目被封后,社区会衍生出不同变种,以适应“墙”的改变。特别是像SS这样的开放框架,稍作修改,又是一种玩法,无穷无尽。

但没了牵头的人,没了集中的论坛,知识传递的形式将会反古。

原本,互联网让知识可以扁平传递,现在“屠梯”行动恐将人们逼回“口耳相传”的模式。未来,“翻墙”可能是一种手艺,如何传承,任重道远。

(以上文章中的“我”并非本人,摘自互联网:X先生的亲身经历。)

GFW仍然不断的提升,我们能做到的是为言论自由,为畅游互联网而努力。截止2016年可使用的科学上网方式:

SS  VPN  HTTP/HTTPS/SOCKS5   TOR 

文/我毕竟不是神(简书作者)
原文:http://www.jianshu.com/p/199fde0b2bdd

金盾防火墙概述

对于在中国地区的人们来说,要能够自由的上网是非常麻烦的事情。许多人在连到国外网站时,常常会看到连线已重设或是作业逾时的错误讯息(图1、图2)。本文以中国金盾工程(注1)中的的防火墙(注2)为例,说明中国地区的翻墙(或称科学上网)方式,以及防火墙存在的意义。


图1、作业逾时错误讯息


图2、连线已重设错误讯息


原理


要了解翻墙,先要了解网路运作的方式,以及封锁的原理。网路运作是这样的。事实上,当你在浏览器中输入一个网址以后,浏览器就会先拿这个网址去DNS伺服器查询,找出IP。之后在连往IP,取得网页内容。而传输的过程,就是以封包的方式传递资料。如果容量大,就会切割成很多封包来传递。


我知道很多人对这边的描述不太有概念,所以在这边解释一下。浏览器浏览网站,其实就像去一个朋友家里搬东西回来放到面前给你看一样。要去朋友家,那么就要先知道朋友家的地址。通常我们很难记住那么长一串地址,怎么办呢?DNS就像问路的人一样。如果你不知道地址,那么就问DNS,他会告诉你正确的地址在哪里。如果DNS也不知道,他就会去找他的长官一层一层的问,直到问到位址为止。


根据上面的连线原理,金盾防火墙使用了三种不同的封锁方式。金盾防火墙就像警察一样,站在国内、国外网路的交接口。如果这个警察发现你要前往被封锁的地址,他会把你拦下来不给你过。或者是当你在问路的时候,故意报给你一个错误的网址。就算你好不容易找到资料搬回来,警察也会打开每个货物检查。如果在检查货物的时候发现是违禁品,就会没收货物。


这就是三种封锁方式。第一种就是封锁特定IP,第二种是DNS污染,第三种是封包窜改或丢弃(又称为丢包)。在错误讯息上,前两者浏览器会回应作业逾时(图1),第三种会回应连线被重设(图2)。


不过除了技术上的这三种,还有第四种:备案。在中国,每个网站在成立的时候都要向公安备案,负责人要拍照存证,而且内容也会随时被审核。如果网站出了问题,放上了不该出现的内容,公安会联络网站把东西撤下来。如果情节严重,还会直接逮捕网站负责人。在中国,政府也能管DNS的查询内容,因此如果浏览器问中国国内的DNS怎么找到Facebook,他会故意给你错误的IP地址让你连不到(第二种)。


中国政府在每个国外和国内的网路交界处都设立了检查站,国内的网路里也有随机抽查的检查站。这些检查站会检查每一个通过的封包。如果发现IP地址已经列入禁止访问的名单,这些检查站会直接丢弃封包,让你看不到网站(第一种)。如果你连上的网站有敏感词(回应的封包里有敏感词),那么检查站也会把这个回传的封包丢掉,并且阻止你前往那个网站三分钟(第三种)。三分钟之后,又可以正常连线了。


刚刚不是提到问路吗?有的人会说,既然国内的DNS不能问,那我去问国外的好了。但中国的检查站一旦发现了你问的网址是不允许问的,会故意把你问路的封包拦下来,换另外一个伪装的封包来给你错误答案。这个被称作DNS污染(图3)。


结果就是在中国,许多网站都难以访问。就算国外网站可以连,也会因为这些层层检查而连线缓慢。


 

图3:金盾防火墙的封锁方式


突破方式


突破方式其实不难。前面不是有个检查站吗?只要外头有个朋友可以帮你,其实很多东西就方便许多。首先,检查站只防止前往特定网站,你可以先连去别的网站,再从那个网站转往原本要去的网站。再来,为了避免检查站发现你的内容不合法,因此要先把这些内容伪装起来,让检查员不知道那到底是什么。这就是加密。这条路只要建立起来,就可以透过这条路直接询问国外的DNS,也能透过这条路去访问国外的网站了。别人也可以透过先连到你的电脑来突破封锁了(图4)。


从原理来看,我们就能了解目前的翻墙方式了。首先,你需要建立一条加密的连线,连到外面可以访问的一个中继站,再来从中继站前往其他的网站。这些连线方式很多,基本的是VPN,还有ssh加密、goagent等几乎也都是这种方式。


不过,有些加密连线的方式已经被中国政府破解了。像是L2TP、openVPN都已经不能用了。目前为止VPN的通讯协议里只有PPTP使用正常。其他还算正常的有ssh连线的方式。不过这些连线和协议的使用状况依据不同的运营商、不同的连线方式还是有不一样的限制。比如说,虽然ssh协议的连线还算正常,但如果发现传输速度过快,还是可能会把封包丢弃,或是强制降低连线速度。而防火墙也会对部份网站进行间歇性封锁,或是在特殊时期封锁特定网站。这些无法预测、烦不胜烦的阻扰方式才是防火墙令人讨厌的原因。


这边所提到的翻墙方式目前是可以运作的。中国现在的防火墙是只让你不能去访问有问题的网站,其他网站预设都是可以访问的。这被称做黑名单模式。如果变成只能访问没有问题的网站,也就是白名单模式,这条路就没有办法运作了。因为那些网站肯定是不会帮助你浏览其他网站的。这就是北韩所做的网路封锁。


关于更详细的原理,请参考后面所附上的《翻墙路由器的原理与实现》(注3)一文。


图4、翻墙破解方式


为什么要进行网路封锁?


大体而言,中国的网路封锁并不是真正让你没有办法看到外面的网站,而是提高获得外部讯息的成本。在这个网路时代,取得讯息是快速、方便又低成本的事情。一旦取得资讯需要花上大量的精力,就会降低许多人想要获得这些资讯的欲望。


而中国的金盾防火墙就是针对这一点。防火墙的存在不是为了“阻断所有资讯”,而是为了“提高资讯取得的成本”。只要提高成本,减少愿意取得“有害资讯”者的数量,他就已经成功了。金盾防火墙可以有效的阻止那些没有好奇心的人知道不该知道的东西,这些人才是防火墙真正的标的。人们会花时间去寻找游戏和影片,却很少有人愿意花心思、功夫去看一篇可能会改变自己想法的文章。因此虽然突破的方法只要有心就找的到,但对于没有好奇心的人来说,金盾就足以阻止他们的行动了。


防火墙分割了中国和外国的网路,也导致中国的网路文化和世界上其他国家的网路文化格格不入。许多有行动能力进行翻墙的人在第一次接触到外来的网路文化时,常常会因为文化冲突的缘故而不喜欢、甚至对外来思想产生反感。网路论坛上常见的中国愤青就是由此而来。能够放下身段、包容不同文化甚至接受不一样思想的人又更少了。


举个例子来说,中国的魔兽世界由于迟迟无法更新,因此大批中国玩家蜂拥至台湾的魔兽世界伺服器游玩。但他们来到台湾伺服器以后,往往就直接带来当地的游戏文化,甚至用语、说法完全不改,不懂的入境随俗,造成许多台湾玩家的不满。有的台湾玩家和中国玩家甚至在游戏的公共频道上互骂。在这种对中国玩家不友善的环境中,能够包容、接受不一样文化的中国玩家就更少了(注4)。


在行动力、技术能力、文化冲突的多重过滤下,导致能取得“有害资讯”的人数成等比级数的降低。再加上国内网站的关键字屏蔽、过滤,中国政府就能有效的控制那些异议者的数量。剩下来的异议者,只要单纯打为“反革命份子”、“异类”、“精神病”,就能控制他们思想的传递。金盾就像资讯的海关,可以用来保护“政府希望人民所相信的思想”。


中国的网路上又时常出现审查、删帖的讯息(图5)。这些网路警察的行为会先在人们心理中塑造出恐惧。你根本不知道自己的言论何时会受到审查,因此大多数人就会假定“自己的言论会被审查”。这会导致所谓的“自我审查”。自我审查的效果,比起网路审查的效果还来的巨大。有些台湾的新闻网站为了避免被防火墙给封锁,损失来自中国的流量,因此自我审查,过滤对中国不利的新闻,就是最好的例子。


图5、新浪微博的审查讯息(图片来源:微博 @平湖春晓)


恐惧把审查这件事情放大了许多倍。只要大家认为审查是存在的,审查的效果就出现了。这,也就是金盾防火墙的存在意义。(注5)


原文:http://billy3321.blogspot.jp/2013/06/blog-post.html

各种翻墙工具的个人浅见

前言

以前曾有一段日子旅居深圳,对GFW的理解和使用各种工具翻墙算是有点经验,
虽然多年前已回到墙外,但偶尔也须要进入匪区,故此还是保持了解各种工具,
就曾经搭建过或使用过的说说


目前还有效的工具

1) shadowsocks

   这个还是现在最热门的工具,暂时来说没听到大面积阵亡

   优点


   多平台,服务器可部署到由路由器到任何系统,版本众多,轻盈的
shadowsocks-libev
   可在64M/0 vswapLinux VPS运行,而不会跑不动。客户端也是多平台,路由器,

   计算机到移动装置,几乎涵盖所有系统,可以说是
install once, Fuck GFW everywhere
  
    缺点


    因为只使用预定密钥作为客户端和服务器的唯一辨别身份方式,有可能会遇上中间人

    攻击,客户端连上是伪造的目标服务器,在服务器方面的缺点更明显,因为只用预定

    密钥,于是错误的密码或加密方式服务器照样响应客户端的请求,只是不连接到目标

    网站,有无聊者用字典穷举密码,而不是拒绝联机,日志上就出现很多ERROR,我的最

    高万多个错误,共二百多个来自CNIP试着联机,shadowsocks-libev可以开启一次性

    认证,但很多客户端不支持,例如iOSSurge,A.Big.T都没有,变成无法使用这一方式

    ,如果写个脚本纪录日志的错误次数,达到某一数目调动iptables封锁,又会误伤填错

   密码的用户,或者是分配到被封的IP而连不上服务器。


    多用户无法简易控制用户访问的端口,一个人或三数好友使用时问题不大,但用户有

    一定数目时,如果有不良用户通过代理hack其他服务器的sshd,或者滥发邮件,端口扫

   描等等行为,有可能是收到VPS供货商投诉或封权才知道,要防止可能要设置复杂的

   iptables规则作限制,另外限制连接数也要用上iptables,例如要限制14701端口的连

   接数,你得输入,例如32

  
   iptables -A INPUT -p tcp –syn –dport 14701  \
   -m connlimit –connlimit-above 32 -j REJECT –reject-with tcp-reset

   这是shadowsocks-libev官网的举例,由于shadowsocks一端口一用户方式,

   如果有20个端口要输入20次或写脚本自动化,相当麻烦,也不是一般用

   户处理得了。


   结论


   还是推荐为首选搭建的工具,原因还是那个,轻盈,有效,多平台,不论低端VPS

   高端VPS都可部署,应对无聊人士穷举密码方式是设置16位以上字符长度的密码,不

   要理会就成,用命令随机产生比较难以破解的密码,例如
:

    head -c 512 /dev/urandom | md5sum | base64 | cut -c3-18

   每一端口配上不同密码


2) HTTPS/SSL 代理


   这个方式存在很久,暂时仍然有效


   优点


   通常以stunnel作为加密隧道,后端可自由配搭不同的代理,只要支持CONNECT方式

   的都行,我就搭建过配合squid3,3proxytinyproxy,这些后端已很成熟,能控制用户访

   问的端口,或是服务器接受的连接数,也可设置用户认证方式,计算机上无须使用客户

   端,现在大多数browser支持HTTPS代理,在一些限制严格的公司内,如不能下载安装

   软件,控制用户访问的网站,端口,可以购买商业用的SSL证书,设置用户认证,把

   代理设置在443端口,公司不能封这端口,只须在browser设置代理就能突破公司封锁,

   而且网管不知你去了那里。


   这个方式也是多平台,路由器刷了第三方韧体,例如Asuswrt-Merlin,又能扩展
entware
   环境,就可搭建服务器在路由器,使用的资源也不多,也可以设置stunnel为客户端连

   接服务器。移动设备也有支持,iosSurgeA.Big.T都有支援http with tls ,安卓也有

   tls-tunnelapp,只是不太好用。


  缺点


  部署麻烦,如果使用IP + 自签名证书,须要自己gen,同时要把证书导入browser或系统

  ,非常麻烦,而且据说GFW能分辨证书,会按照类型封杀服务器,据说现在还包括免费

   的有效证书,例如Letsencrypt ,通常商业不会用这些,不能混迹其中,危险性便

   增加了。

   另外有说SSL握手特征明显,GFW容易察觉,shadowsocks的作者
clowwindy
   就不建议使用SSL翻墙,
按我看原文
 
   个人浅见以数据安全和防止中间人攻击就高于shadowsocks,对于穷举密码的无聊人仕

   直接拒绝连接,有效得多,而且有网友使用还没见到大量被封。


   搭建成本高昂,为了比较难被封锁,除了VPS的费用,还要购买域名和证书,这无疑比

   较其他方式使费较多,使用域名连接一旦遇到DNS污染,还得修改hosts文件把域名指向

   IP抵御,如果封的是服务器IP,全部投资报销。


  结论


  我还是推荐搭建作为辅助工具,原因是少数用户使用我搭建的SSL代理至今还没有连接

  不上的报告,这些有用Letsencrypt证书或自签名证书,如果条件许可,请购买商业用的

  SSL证书配合域名搭建,可以混迹其中使GFW不会乱封,openvpn之所以失效就是特征

  明显,公司不会以这个协议的VPN作为数据安全信道,于是便大面积失效。使用这类

  SSL代理最好是三两好友算了,我经常怀疑GFW会根据加密连接数目主动检测是否翻墙

 ,为了长久翻墙,不要超过三个用户,最好自己私用。


  另外前端可改为较新的nghttp2 点我
 点我 据说速度惊人,但我未搭建过。

3) Cisco IPSec VPN

    目前算是很流行的VPN,暂时有效


    优点


    StrongSwan搭建服务器,多平台,由路由器到各种*nix系统都可搭建,客户端也是

    涵括各种系统,移动系统2大主流还原生支持,使用共享密钥配合用户认证,连客户

    端都不用安装,而且稳定性高,兼容性好,使用方便加设置容易,数据安全性高。这

    VPN协议为商业公司使用的方案之一,混迹其中可使GFW不敢乱封,当然在共匪开

    大会时会有严重干扰。


    缺点


    全局代理,不能分流,访问匪区网站时等如绕了地球一圈,多用户的时候难以防范不

    良用户,例如作为BT代理,hack其他服务器等等,如要限制有可能要设置复杂的规则

    ,限制用户访问的端口和下载的文件。


   搭建麻烦,单是那一堆iptables规则足够麻烦,使用固定端口,点我看官方论坛讨论

   这被封锁机会大增,现在是GFW无法检测关键词,而且是商业上公司常用VPN,才

   得以不死,据说GFWIT狗已着手研究检测IPSec VPN协议,以求检测到流量特征和

   关键词。


   小弟第一次搭建时看了多篇中英文教学,搞了两天才搭好,后来发现有人写了一键

   安装脚本,第二个服务器干脆用人家的脚本好了,免头痛 点我取得脚本


   结论


   一般我会在服务器搭建2种工具,shadowsocks-libev是主力,如果是用穷鬼级
NAT VPS
   ,就配上自签名证书+IPSSL代理,因为搭建不了IPSec,端口不能改,独立IP的正常

   VPS,则选择IPSec VPN 作为第二工具,以ss-libevIPSec配搭,使用资源不多,一枚

   openvz 128M/128 vswap vps已经足够有余,在iOS下会随时遇到奇怪的
shadowsocks
   客户端问题,这时较稳定的IPSec便会派上用场,对于使用iPhone的朋友,分享给他们

   使用,客户端不须要付款,不必下载,对于女性朋友,0技术更是恩物,只要截一张

   设置的图,她们就会使用。故此我是推荐搭建的选择方案之一。


4) Cisco AnyConnect VPN

    iOS装置上,未有shadowsocks客户端出现前,几乎是ifans的标配工具,目前还是有

    效,未闻有大面积阵亡案例。


    优点


    ocserv搭建,非常稳定,无论客户端还是服务器,可以分流,在iDevice下载了
Cisco
    Anyconnect 客户端,可以使用证书连接,也可以用户认证连接,或是两者相加,不同

    IPSec,端口可以自定,可用域名+有效SSL证书搭建,商业上公司常用VPN协议,据

    说是Cisco力推的VPN协议,混迹其中,GFW不敢乱封,我自己搭建了一枚,用域名加

    Letsencrypt证书,以用户认证登录连接,端口设在443,客户端也是多平台,由路由器

    vpnc客户端到任何主流系统都能使用


    缺点


    搭建困难,须有一定技术,这也是花了我不少时间搭建的货色(技术不好的原因),幸

    好有好人写好了一键安装脚本,如果不想头痛 点我免头痛
 ,第一次搭建时我自己手动
    搭建,重灌系统后使用上面脚本搭建,并自行配上letsencrypt免费证书取代自签名

    证书。速度不是特别出众,感觉上部署在同一服务器上的shadowsocks比它还快速。


    结论


    这也是推荐的辅助工具,在一个服务器上除shadowsocks外可考虑部署,可因应不同情

    况使用,在一枚openvz vps 128M/128M vswap 运行它与shadowsocks

    debian 7 x86下绰绰有余,耗用资源不多


5) gfw.press大杀器


    最新出品的工具,号称除白名单外,再也不能破解的协议,开发者是推特赵国劣绅石

    斑鱼大爷 @chinashiyu
 ,其官网是http://gfw.press ,这是他的github代码仓库

    优点


    确实非常稳定,我搭建了一枚在cloudatcost,顺便测试自己的脚本,有5位推友帮忙

    测试,多天正常使用,直到服务器挂了前都没有受到任何干扰,有测试用户连续

    使用10小时没有断线一次。

    附上推友@FWT_T_O_O
源码分析,后端自由配搭,相当灵活。

    缺点


    Java编写的程序,对VPS有一定要求,少于512M/512M vswapopenvz vps最好

    不要尝试,跑不动的机会极高。文档不足不利第三方开发和搭建,

    计算机系统客户端
外,移动系统只有安卓客户端iOS用户暂时无缘。
    部署并不十分困难,由于它只是一条类似stunnel的加密隧道,搭建的麻烦在于

    后端代理,如果是debian base 用户,或者可以试试小弟编写的简陋脚本
安装

    结论


    如果shadowsocks失效的话,小弟首选转战这个,再配搭HTTPS/SSL代理或

    IPSec VPN在计算机上和iDevice使用,有较强劲VPS的朋友,

    甚么虚拟方式的VPS也可以试试搭建,如果有高手志愿者以Python/C/C++等等

    较少资源改写,相信会火起来。


6) V2Ray

    这也是较新的工具,也是新一代配上混淆流量,躲避GFW流量特征检测,并且兼容

    shadowsocks协议的工具,部署它可除可使用V2Ray外,也可使用shadowsocks而无须

    另外安装 手册在这里
 v2ray project官方github代码仓库

    优点


    这个我部署了一个在低阶VPS上,后来因使用不常使用,且低阶VPS跑起来吃力,就

    把它删除了,搭建非常简单,在Linux VPS上以root执行以下命令就完事了


    bash <(curl -L -s https://raw.githubusercontent.com/v2ray/v2ray-core/master/release/install-release.sh)

    配置文件类似shadowsocks,如果有搭建ss服务器的朋友,很容易就会配置服务器文件,

    算是无痛转移,这个在搭建后测试期间相当稳定,也没有受到任何干扰或失灵。


    缺点


    gfw.press一样,对于VPS要求较高,由于以golang编写,官方建议一人使用VPS最少

    128M RAM,更多用户如此类推,2 vcoreVPS较能发挥速度优势,客户端暂时只有电

    脑系统,在移动装置只能使用兼容的
shadowsocks

    结论


    同样,如果shadowsocks失效,这也是我会转战的目标,配搭其他的工具,在计算机和移

    动装置使用,计算机上主力使用,移动装置使用IPSec,AnyConnectHTTPS/SSL代理,

    果网友的VPS够强劲,建议搭建一枚,即可使用v2rayshadowsocks两件工具,

    计算机和移动装置都可使用


7) lightsword

    nodejs编写的代理,客户端支持计算机和iOSiOS客户端售8元港币,

    官方github代码仓库


    优点

  
    小弟在一枚256/512 vswap openvz vps搭建过,并购买了iOS客户端测试,抱歉,完全

    没有发现有任何优势,大概是shadowsocknodejs改写版本,客户端并不兼容
SS

    缺点


    nodejs编写的程序,和Java一样,RAM Eater ,低阶VPS相当不利,功能上没有

    出彩的特点,用于混淆流量的加密只支持aes-128/192/256-cfb , 而没有较轻量的

    chacha20rc4-md5, 安卓没有客户端,iOS客户端售价便宜,

    本来是针对当时iosss客户端Surge,后者达到天价的$99美元,但随着

    shadowrocket,A.Big.T只售8元港币,这个优势也没有了,ios客户端到我删除之前,

    就只支持全局代理。

    服务器方面,以python shadowsock连系统70个连接只用3X RAM左右,但lightsword

    同一VPS相同条件下,已经使用80M以上内存,而且还不断增加,其实以前也是有

    shadowsocks nodejs版本,后来clowwindy停止开发,原因
 nodejs官方解释
    服务器没有UDP转发,没有一次性认证,没有轻巧的加密方式,官方文文件不全,配置

    描述文件在我删除服务器前没看见,我是把命令行参数写到脚本使用,唯一是搭建不

    难,官方有一键安装脚本,自行搭建只要安装了nodejs,以npm即可安装。

  
    结论


    在没有大改变之前,不建议搭建或使用。


8) shadowsocks-R

    号称根据shadowsocks弱点加以「改良」的版本,支持计算机客户端和部份移动装置,

    这是官方github代码仓库


    优点


    没有使用或搭建,说不出来


    缺点


    移动装置客户端支持不多,其他同上


    结论


    本人不会作出推荐或者不推荐的个人建议,作为用家未来也不会部署服务器或使用,

    如果网友有兴趣,自行往官网看手册文档,这里给出shadowsocksshadowsocks-R

    网络事件和安装脚本

    关于ShadowsocksRShadowsocks的安全性

    ShadowSocks协议的弱点分析和改进 #38

    GPL协议的违反 #28

    ShadowsocksR一键安装脚本

最后,这里并没涵盖所有工具,这些意见非常主观,而小弟也非IT人,只是普通用家
的个人体会,错误和偏见是绝对的,不须要用来参考,当作是笑话阅读最好,然后给
出「哦」一个字就可以了。

🙂

原文:https://victor-notes.blogspot.jp/2016/05/blog-post.html

翻墙问答:谷歌Chromebook如何翻墙+用Mac Linux Loader制作MacBook Air的Tails USB手指(视频)

用Mac Linux Loader制作MacBook Air的Tails USB手指视频地址:http://www.rfa.org/cantonese/video?v=0_mefm2wnf

问:有听众最近买了谷歌的Chromebook,但Chromebook好像没有翻墙软件可以用,到底有哪些翻墙软件,可以在Chromebook上运作?

李建军:其实ChromeBook并不适合翻墙,因为谷歌设计Chromebook的理念,就是电脑只会储存最基本的Linux作业系统,其馀软件都会在云端上运作。换言之,如果你的Chromebook并未连上互联网的话,根本什么软件都执行不了。而以中国当局对谷歌的敌视态度,Chromebook在中国接近得物无所用,机内安装的软件,大部分都因为中国当局封锁谷歌而无法运作。

现时在Chromebook实现翻墙有两个方法,第一个方法是使用Chromebook内置的VPN功能,现时Chromebook内置支援L2TP和OpenVPN技术的VPN,而设定Chromebook VPN的方法,与Linux作业系统上设定VPN的方法大同小异。这不论Chromebook用ARM晶片还是英特尔晶片都可以不用另行安装软件,只不过,中国当局现时封锁VPN都封得相当严,一旦VPN未能成功翻墙,你的Chromebook亦会翻不了墙。

另一个方法,那就是制作Tails的手指,在USB手指上启动Chromebook并在Tails上执行各类软件。由于Tails是一个专用来翻墙的Linux作业系统,那就解决了Chromebook不能翻墙的问题。只不过,并非所有Chromebook都可以用Tails作业系统,因为有部分Chromebook使用并非英特尔的处理器,而是ARM处理器。针对使用ARM处理器的Chromebook,有可能要寻求其他方法翻墙,但如果你的Chromebook是用英特尔处理器型号,那就大致上都可以用Tails来启动系统。

问:那我怎知道我的Chromebook是使用英特尔的处理器晶片?

李建军:一般而言,你的电脑标明用Celeron或Atom晶片,或电脑机身上贴有英特尔公司商标的型号,都是使用英特尔处理器晶片的型号,可以用Tails的启动手指利用Tails来翻墙。如果你的电脑标明使用其他牌子的晶片,又没有英特尔公司商标的话,就很大机会使用ARM晶片。如果你对你的电脑使用的晶片牌子有疑问,可以翻阅使用说明书,或原来的包装盒。

问:在之前都介绍过适合MacBook Air以外电脑的Tails安装手指制作方法,那如果MacBook Air又可以用什么软件来制作安装手指?

李建军:在MacBook Air上,并不可以用一般用来制作Linux启动手指的软件来制作Tails启动手指,这因为MacBook Air的EFI设计上作出一些改动,令大部分Tails启动手指或光碟都无法启动。
现时有一只免费软件,叫做Mac Linux Loader,可以很容易制作MacBook Air等可以启动的Tails或其他Linux作业系统的USB手指,包括不用对启动手指作为DOS兼容的格式化,就算用Mac的HFS+格式都能够成功启动,这集翻墙问答我们有视频示范如何制作手指,欢迎各位听众浏览本台网站收看。

问:除了Tails,还有什么翻墙专用的作业系统?

李建军:除了Tails,还有一个叫Whonix的作业系统,同样以大幅修改的Linux作业系统搭配Tor来翻墙。但Whonix与Tails不同在于,Tails是一个独立运作的作业系统,但Whonix是专为虚拟机而设计,安装在Mac、Windows或Linux下的虚拟机器,藉此达致保障私隐和翻墙的要求,亦由于在虚拟机器下运作,因此这个作业系统的硬件系统要求比较高,在安装程序上亦相对比Tails来得麻烦,因为这是作业系统中的作业系统。但对于部分人而言,这也是安全的作业系统,除了可以翻墙外,只要删除了整个作业系统影像档,一切就灰飞烟灭。而且,这亦避免了部分中国公司推出的防毒软件蓄意将翻墙软件,甚至Tor软件当成病毒,不断暗地删除甚至阻止安装翻墙软件的问题。

原文:http://www.rfa.org/cantonese/firewall_features/chromebook-05202016073941.html?encoding=simplified

Docker + DigitalOcean + Shadowsocks 5分钟科学上网

春色满园关不住,一枝红杏出墙来。
– 科学上网办

5分钟?就能科学上网?!!!!
有人肯定要说我标题党了,
如果你已经有一个 DigitalOcean(以下简称 DO) 账号或者 一个 VPS,
5 分钟已经算多了。
不信你自己掐表算,不废话,上教程。

PS:

  • 因为这是给对服务器不熟悉的新手写的教程,像应该创建独立用户而不是使用 root 操作等涉及服务器安全的问题不在讨论范围内。有兴趣的可以自行Google, 因为看完此文你已经能科学上网了。^^
  • Q: Shadowsocks 的安装已经足够简单了,为什么要用 Docker?
    A: 再强调一次,写这个教程的时候,我的假想读者是对 OPS 所知甚少、对科学上网有强烈需求、又想自己折腾一番的初级电脑使用者。在一台全新的主机安装 SS?谁能保证安装过程不会出错?而 Docker 开箱即用,出错率更低。当然还有一个原因,我是强迫症,喜欢 Docker 没道理,也想让更多人认识 Docker.

你需要准备

  1. DO 账号
    利益相关:DO 有一个 Referral Program,
    用我的小尾巴注册 DO 会马上送你 10 刀,
    > 我的小尾巴,
    10 刀相当于可以免费使用 2 个月,当然你可以无视我。

  2. Shadowsocks for OSX 客户端
    本文以 Mac 平台客户端为例,SS 有各个平台的客户端 (传送门)
    ,具体使用不再赘述,请自行搜索。

更新:有朋友反映 Shadowsocks for OSX 给的下载链接不能访问,看来 Sourceforge 也被认证了,提供一个网盘链接给大家:ShadowsocksX-2.6.3.dmg 百度网盘

服务端配置

创建一个 Droplet

  1. 填上 Droplet 名字
  2. 选择一个 Size

  3. 选择 Region

    本人亲测,电信用户选择旧金山速度最快最稳定。

    Ref: 
    知乎:DigitalOcean 选择 Region 的问题?

  4. 选择 Image

    这里选择 Docker

  5. 添加 SSH keys (可选)

    不想每次连 SSH 都输密码的建议还是添加,我这里已经添加过就不再详细说明了。

  6. 点击创建,等待一分钟左右,一台已经装有 Docker 的服务器就已经创建成功,顺便记下 ip 地址。

安装 Shadowsocks

  1. 首先先连上刚刚创建好的主机

    打开『终端』,输入:

    1
    ssh root@ip地址 #没记下 ip 地址的可以去 DO Droplets 页面找到

    如果你添加了 SSH keys 的话,直接就可以连上不需要输密码,
    如果你没有添加的话,DO 会通过邮件把密码发送给你,你只需要输入密码就可以连接上主机。

    看到这个界面的证明你已经连上主机。

  2. 接下来安装 Shadowsocks (以下简称 SS)

    现在就是见证 docker 的强大之处的时候了,安装 SS 你只需要:

    1
    docker pull oddrationale/docker-shadowsocks

    完成后再输入:

    1
    docker run -d -p 1984:1984 oddrationale/docker-shadowsocks -s 0.0.0.0 -p 1984 -k paaassswwword -m aes-256-cfb

    上述命令中得 paaassswwword 就是等下配置客户端需要的密码,你可以换成你自己的密码。

    现在来检查一下 SS 有没有安装成功了:

    1
    docker ps

    如果你看到 STATUS 是 up 的话,服务器端已经配置成功,你可以断开 SSH 回到你的本机。

    1
    exit

    至此服务端就已经配置好了。

客户端配置

以 Shadowsocks for MAC 客户端 为例,安装好后添加服务器配置:

填上 ip 地址,端口,密码,密码就是刚刚的 paaassswwword,保存后现在回到浏览器,打开Youtube, 你已经在科学上网了。

Ref: Shadowsocks for Mac 帮助

大功告成。是不是 5 分钟都多余了?有任何疑问请留言。

原文:http://liujin.me/blog/2015/05/27/Docker-DigitalOcean-Shadowsocks-5-%E5%88%86%E9%92%9F%E7%A7%91%E5%AD%A6%E4%B8%8A%E7%BD%91/

DigitalOcean搭建Shadowsocks服务

自己搭建服务器进行科学上网的最佳操作指南。

作者:生命壹号

原文链接:http://smyhvae.com/20160516/

博客园链接:http://www.cnblogs.com/smyhvae/p/5501734.html

前言

这两年的主流梯子基本围绕着 Shadowsocks 做文章,目前来看相对稳定。

要使用 Shadowsocks 一般有两个办法,各有利弊:

  • 购买商家搭建好的完整服务。优点是相对便宜,不用自己折腾,随买随用。缺点是无法个性化配置,网络稳定性受服务商影响时好时坏,没准哪天还跑路了。

  • 自己租用海外云主机搭建。优点是独享带宽,可配置性强。缺点是相对较贵,且需要自行挑选适合自己网络情况的云主机,自行搭建。

第二种方式除了上面所说的优点之外,还能结合微林的服务实现国内跳板,大幅提升访问速度并减少丢包率,所以这是我现在所采用的方法。

VPS推荐:DigitalOcean

Shadowsocks的正常使用需要服务端,其实所有的翻墙方式都需要服务端,搭建服务端需要你拥有一个属于自己的VPS。个人推荐DigitalOcean。

DigitalOcean 注册地址(使用本链接注册的账户,你我都会到账 10 美元,可使用两个月)。使用前请记得使用 PayPal 充值($5)以激活账户。

DigitalOcean各节点测试域名:

San Francisco: speedtest-sfo1.digitalocean.com

新加坡: speedtest-sgp1.digitalocean.com

New York: speedtest-ny1.digitalocean.com

Amsterdam: speedtest-ams1.digitalocean.com

英国伦敦: speedtest-lon1.digitalocean.com

备注:

可能有些人会选择购买阿里云服务器(香港或美国地区)作为vps。这种方法也可以实现翻墙,但并不推荐。原因:所谓术业有专攻,阿里云主机适合纯粹用来托管博客或作为门户网站,以及平时自己折腾的一些小应用。要翻墙的话,阿里云的网络还是不如国外这些专业优化的。

创建一个 VPS

  1. 进入 DigitalOcean 控制面板,点击右上脚的Create Droplet

  2. 选择系统(CentOS 7.0 x64)、套餐(选最便宜的 $5/mo)、节点选美国的San Francisco或新加坡Singapore(貌似Singapore的丢包率更少)

  3. “Select additional optins” 保持默认;

  4. “Add your SSH keys” 根据自己需要,这里不添加的话可以在创建完之后自己手动添加,暂时可以不用管;

  5. 根据自己的需要修改 hostname;

  6. 点击 “Create” ,VPS 就创建成功了。你的注册 Email 会收到 VPS 的 IP 和 ROOT 密码。

注册完毕后,你的注册邮箱里会收到VPS的IP地址和root密码。DigitalOcean在首次登陆VPS的时候系统会提示你修改密码,输入一次原密码后,连续输入两次新密码就OK了,DigitalOcean默认SSH端口为22,用户名是root。使用Xshell或者putty进行远程登陆即可。

配置 Shadowsocks 服务

安装Shadowsocks 和 Supervisor

输入如下命令:(出现确认提示的时候,输入 y 后,回车即可)

1
2
3
4
5

# yum -y install epel-release
# yum update
# yum -y install python-setuptools supervisor
# easy_install pip
# pip install shadowsocks

这样 Shadowsocks 和 Supervisor 就已经安装好了。(Supervisor 是一个进程管理工具,详情见Supervisor基础

配置 Shadowsocks

执行如下命令:

1
# vi /etc/shadowsocks.json

复制以下内容到文件 /etc/shadowsocks.json 中(请自行修改 server_port 和 password,其他参数不用改):

1
2
3
4
5
6
7
8
9
10

{
"server": "0.0.0.0",
"server_port": 5080,
"local_address": "127.0.0.1",
"local_port": 1080,
"password": "123456",
"timeout": 500,
"method": "aes-256-cfb",
"fast_open": true
}

配置文件说明:

server 服务端监听的地址,服务端可填写 0.0.0.0

server_port 服务端的端口

local_address 本地端监听的地址

local_port 本地端的端口

password 用于加密的密码

timeout 超时时间,单位秒

method 默认 “aes-256-cfb”,建议chacha20或者rc4-md5,因为这两个速度快

fast_open 是否使用 TCP_FASTOPEN, true / false(后面优化部分会打开系统的 TCP_FASTOPEN,所以这里填 true,否则填 false)

配置 Supervisor

配置 Supervisor 是为了方便管理 Shadowsocks 进程。

执行如下命令:

1
# vi /etc/supervisord.conf

用方向键将光标调整至文件尾部的空行处,然后一次性复制下面的内容:

1
2
3
4
5

[program:shadowsocks]
command=ssserver -c /etc/shadowsocks.json
autostart=true
autorestart=true
user=root

添加服务并启动 supervisord:

1
2
3

# systemctl enable supervisord
# systemctl start supervisord
# supervisorctl reload

到此 Shadowsocks 已经在 CentOS 7 x64 下安装配置成功,重启服务器使服务生效:

1
# reboot

此时,你的VPS重新启动,服务端已经完全配置完毕,此时远程连接已断开,关闭即可(不是报错)。

结束以上部分,登陆ShadowSocks客户端,就可以正常使用 Shadowsocks 服务了。

微林 VnetLink(SS 跳板服务)

如果走移动的网,出国带宽比较给力(8M左右),但是网不稳定,因此大部分时间还是得走电信的网。

但是因为我的Shdowsocks部署在DigitalOcean 的SGP机房,电信的网虽然稳定,但是直连DigitalOcean SGP跑到1M都有压力,虽然说基本的搜索服务还是可以满足,但是如果要看Youtube的720p、1080p等,还得找方法优化一下网速的想法。

为了解决观看高清视频卡顿的问题,我购买了微林的 vxTrans 服务,从这个邀请链接注册,咱们每人新增 5GB 流量

vxTrans就是网络优化服务,其实就是一个转发流量的服务,总共可以走七条线路。

注册完成之后,操作如下:

(1)在设置选项里勾上 vxTrans,其他可以不勾。

(2)目前微林创建连接点时需要先验证目标主机,详见https://vnet.link/service/vxtrans/index授权列表的提示,按照提示进行授权操作。授权成功后,授权列表中会出现服务器的ip地址。

(3)在这里新建一个连接,目的地址填你的 SS 服务器地址,目的端口填你的 SS 服务端口,我用的是中国电信的网,所以入口地址选 China Telecom (即CN2),名称随便起。

(4)连接建立成功后,会生成一个新的入口地址和新的入口端口。打开你平时连接 Shadowsocks 的客户端,把 服务器地址 改成新的入口地址 ,把服务器端口改成 新的入口端口,密码不用变。然后连接就好啦!

测试一下,恩~ 果然速度飞起,可以直接连电信国际精品网,访问国外的没有被墙的网站也很快(已经被墙了的还是要走Shadowsocks),看youtube的1080p更是毫无压力。

如果速度不理想,可以在第三步可以尝试选择不同的入口地址试试。

进阶答疑

(1)我搭建过程中不小心出错,想重新来过,如何重装VPS的系统?

DigitalOcean:VPS控制面板里,Destroy,Rebuild。

(2)我开始选择的节点线路不理想,如何切换机房?

DigitalOcean:删除原来的,新建一台你想要机房的VPS,需要重新搭建Shadowsocks服务端。

参考链接

我的「云」账单

史上最详尽Shadowsocks从零开始一站式翻墙教程

DigitalOcean 搭建 Shadowsocks 服务和优化方案

新公司入职我折腾「科学上网」的那些事



原文:http://smyhvae.com/20160516/

翻墙问答:如何启动“手指” 安装Tails?(视频)

视频地址:http://www.rfa.org/cantonese/video?v=1_1a96ttcf

问:在介绍Tails作业系统时,有提及用Windows或Mac程式就可以制作安装手指,究竟是怎做?

李建军:其实Tails作为可以提供USB启动功能的Linux作业系统,可以用市面用以制作USB Linux启动手指的程式,利用Tails的ISO影像档去制作启动手指。

这次翻墙问答,我们会有视频示范如何制作USB启动手指,用作进行Tails的安装程序,欢迎各位浏览本台网站收看。

问:Tails作业系统的安装手指,在绝大部分PC机上启动都没问题,但在苹果MacBook Air以及MacBook就特别麻烦,原因何在?

李建军:虽然苹果电脑都是用EFI去管理启动功能,亦是用英特尔处理器,但由于苹果公司在MacBook Air和MacBook的EFI设计上作出了改动,因此,Tails的标准ISO档所制作的USB手指,有可能无法成功启动系统。在这个情况下,就要Mac Linux Loader去制作相关手指。我们会在下一集,教导如何使用Mac Linux Loader,去制作在部分Mac机上的USB启动手指。

至于MacBook Pro、iMac以及Mac Pro,由于他们的EFI并无太大改动,因此,未见有Tails安装手指出现启动失败的问题。

问:其实Tails作为Linux的一种,有没有可能利用Tails去建立主机?

李建军:Tails作为Linux的一种,加上适当的程序,其实是可以作为主机使用,包括用以作在USB手指上运行的网页主机,甚至向其他人提供翻墙上协助的主机等等。但由于Tails上建立主机的技术尚待研究,仍然未非常稳定,而且涉及相关多的技术细节,在翻墙问答上就不方便多加介绍,但有兴趣的听众可以翻墙到Tails计划的网站,研究Tails网站上提供的英文文件。

问:最近有外国黑客发现,中国有公司出产的ARM处理器有后门,黑客很容易就能取得系统的控制权。到底这次是哪一间公司的处理器出问题,而有关问题容易堵塞的吗?

李建军:这次是全志公司的H3、H8和A83T系列晶片出问题,这系列晶片主要用于电视机顶盒、入门级手机以及平板电脑之上,部分廉价自行组装小电脑,亦因使用全志公司晶片而受到影响。这次系统出现漏洞,因为晶片生产商出厂前并无关闭除错功能,令黑客只要向晶片上存留的除错程序发出指令,就能控制整个系统。由于这是处理器出现问题,暂时除了使用H3晶片的FriendlyARM公司向客户提供代码,试图以软件方式堵塞漏洞外,暂时未有其他使用全志公司晶片的公司,有向客户提供任何软件去堵塞漏洞。

如果你发现你的手机或机顶盒使用受影响的处理器,你唯一选择是换机,因为相关的黑客代码已经在世界各地广为传播,黑客要写恶意代码入侵你的手机或机顶盒易如反掌。而平板电脑,亦尽量避免接上互联网,只能局限在离线使用,才能确保安全。

问:现时越来越多手机生产商用中国公司生产的廉价处理器,这个会对听众带来怎样的威胁?

李建军:虽然这次全志公司的漏洞是意外,但亦不排除中国当局要求处理器生产商留有后门,方便公安部门遥控目标人物的手机,甚至利用后门关闭手机的翻墙功能。因此,如果你用廉价的Android手机,或使用ARM处理器的器材的话,就要有心理准备面对来自中国制处理器晶片带来的保安问题。如果要确保自己能够翻墙成功的话,就有可能要避免使用廉价的Android手机或平板电脑,因为无人知道廉价的手机和平板电脑所使用的处理器是否安全可靠,不会有后门。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-tails3-05132016075748.html?encoding=simplified