- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】国内的墙越筑越高 -- kk
家园 【原创】国内的墙越筑越高 我的付费ss也被约喝茶删源码了,现在找了个手端的vpn,不知道哪天也挂了。看来翻墙越来越是ge技术活儿了。我那个党也越来越脆弱了。
家园 我做了strongswan和shadowsocks服务器 上面趴着我爸妈和要好同学,用了一年多了没问题。
你选择不太著名的vps服务商,一般不会被封掉。
不过现在有个苗头是墙正在从黑名单技术变成白名单策略,从域名管理办法就能看出来有人正打这个主意,这个要是实施了,天网就算是成了。
家园 阿狸狸!您好! 能联系西河最近链接困难这件事,展望一下:
白名单策略实施与天网建成之后,会出现什么局面,国内河友如何自处?谢谢!
- 复 阿狸狸!您好!
家园 说下个人看法 首先“白名单”这个消息传了不是一时半会了,至少五六年以上了。我估摸着再过个五六年也不会实施,而且指不定那时候早就东风胜西方了,您说还需要这么严防死守的么
白名单的意思是将许可的域名放行,非名单内的卡擦。说实话,这超级没技术含量的说。只需在关口局的路由那边弄个规则就行了,如果觉得效率低了些还可以在国内八大数据交换中心主干网络路由上实施。
但是这么干那不是太瞧不起GFW实力了么。GFW的手段可是多管齐下,即拦截检测报文(发现资产专政信息马上丢包,造成握手信息失效。对高危域名除开检测80端口外还检测443端口,这样SSL也访问不了)又对某特定DNS服务器UDP数据包干扰(造成无法解析域名)同时还针对特定域名或IP的签名证书发起中间人攻击。
在我看来如果不讨论那些很敏感的话题(比方说大妓院这样纯瞎扯的)河里不需要太多的反应。因为西西河一直以来各方面给出的信息还是正能量的。所以 不要太悲观来着。毕竟有关部门真要封办法很多的,不会还留个443端口给你用SSL访问。当然要真那啥了,自备S5也是必然了~~
因此综合来看访问西西河很慢或者登录不了,主因还是网络抽风引发的(也包含一小部分GFW检测时间)。网络延迟突然增高甚至于堵塞,除开线路和交换设备故障以外主要是流量的激增,而流量的激增90%以上是因为网络攻击(DDoS)引发的。而解决这个问题只能是提高海底光缆的容量才行,不过貌似难度很高的说。
还有一个小问题也会引发访问西西河不够顺畅,那就是现在西西河用了CloudFlare的CDN加速服务(不知道使用的那个服务套餐,这家有免费的套餐~)电信用户走的是加州圣何塞节点,这个地点恰好是传统意义上多条太平洋海底光缆登录地,所以访问体验比较友好。不过国内其他ISP所走的路线可能存在转发节点过多,造成延迟增高,体验不好,所以这也是个小问题。
PS;河里面有在通管局工作的童鞋没?小日本多年前由NEC铺设的Faster和SJC洲海底光缆于2013年左右就建成了,但是始终没有商用,这是什么情况,有知道内情的说说吧。
通宝推:秦波仁者,桥上,脊梁硬,- 复 说下个人看法
家园 这得问三大出口关局的人。推测是有安全因素在内。 - 复 说下个人看法
家园 Gfw在不断完善,慢刀子割肉 墙有点像人阿发狗,在不断完善学习,这个东西拦截openvpn和屏蔽l2tp,pptp的过程就像一个会协议分析不知疲倦的网络工程师,还在不断进步。
家园 打个比方才生动啊 流量不加密就被干扰的,s5单纯代理肯定不行呀。
墙抓openvpn握手特征那个自动化和精准,令人配糊,听人说起过这是分布式处理,各地机房都有探针设备。我上一台机器用的好好的手欠开了openvpn,一个礼拜就被抓了。现在azure国内搞清查,ss和ipsec服务的服务器都在往外清。大家还是用个国外不知名的小服务商最好,大vps很多已经不好用或者被盯着了
家园 妹纸你看小说有点多 其实GFW对某些tunnel软件进行特征检测是有迹可循的。
三年前方校长作为第三或者第四作者发表的论文在网上可以查到,里面提到的针对某些软件在建立链接时握手信息与其他软件有所不同(会调用特别端口和特定的步骤)以及数据包会存在特定表象(用tunnel封装且散列加密的数据包与其他网间数据包有明显特征值)可以在线抓取(用时毫秒来计算)
相对来说SSH虽然也用散列加密,但是数据包封装不同,给机器的感觉像是普通的数据包里有加密数据,但是无法区分这是普通网间数据包还是tunnel数据包。也就是说,机器对此的判断准确率不高来着。
SS代理其实就是S5只不过把加密这块用了AES-256 貌似我不太理解这种思路。你就是用来翻墙对吧,对保密并不在意的,那么用加密那就是此地无银三百两了。真要追求极致的安全与保密,还不如用洋葱头或者基于P2P加密的Skype
P2P加密目前还没有那种有效破解的方法(也许有黑科技)反正最后想出的解决方案是直接在Skype数据库留有特别权限,恩 恭喜 微软又做了有关部门的特勤部门(反正微软也不差这一次)
另外 针对网络做数据监测,老共跟美帝还是有差距的,比方说上面提到的这些方法人家早就实现了有木有。而方校长也不过是“紧追国际潮流和学术动态”(山寨)而已
而早三年前就爆出NSA曾经向各大签名证书机构“强力”(其实是强迫)推销某个椭圆曲线算签名法,最后被发现这个算法竟然被留有后门。
这个算法有个结构性的错误,用特定的模型计算可以将难度下降几何级。也就是说,正常的破解需要2的70次方,而掌握了这个漏洞的话可以将破解的次数降到2的20~30次方以内。什么叫猴赛雷,这就是。
米帝所有大的IT都在有关部门备底,网络和通讯行业留特别权限,随时查数据库。搞加密的把源码和核心算法留档备底。啥 商业机密?你到了我那可以选择的就两个:茶还是咖啡
通宝推:秦波仁者,桥上,pattern,乔治·奥威尔,脊梁硬,家园 兄台似乎不是 家园 兄弟对加密有点误解,解答一下 rsa算法是业界公认可靠的,留后门的是密钥随机生成算法,那个是被nsa精心策划的。
ssh的cipher也是对称的,md5只用于密钥
家园 深入的磨叽下 首先墙这玩意真没你想的这么聪明,至少你要知道某些运作方式后,会觉得挺傻的,这点待会说。
SOCKS5用的是BASE64加解密(其实应该叫BASE64编码解码才对,这玩意加密性能只能用挖鼻孔来形容)
但是就是这个加密性能堪称挖鼻孔的东西,墙就是抓不住哦。
加密算法按照类型划分为两种,对称加密和非对称加密。对称加密也叫私钥加密,它使用一个密钥和一个初始化向量 (IV) 对数据执行加密转换。对于给定的私钥k,一个不使用初始化向量的简单块密码将把相同的明文输入块加密为同样的密文输出块。
私钥加密的缺点是它假定双方已就密钥和 IV 达成协议,并且互相传达了密钥和 IV 的值。并且,密钥必须对未经授权的用户保密。
从上面来看可以得出私钥管理存在很大的不便且潜在危险,因为一旦有人掌握了密码所有内容将毫无保留地被人掌握。
那么 非对称加密即公钥加密就诞生了。公钥加密的好处在于使用一个必须对未经授权的用户保密的私钥和一个可以对任何人公开的公钥。公钥和私钥都在数学上相关联;用公钥加密的数据只能用私钥解密,而用私钥签名的数据只能用公钥验证。公钥可以提供给任何人;公钥用于对要发送到私钥持有者的数据进行加密。两个密钥对于通信会话都是唯一的。公钥加密算法也称为不对称算法,原因是需要用一个密钥加密数据而需要用另一个密钥来解密数据。对称算法的根本原理就是单向函数,f(a)=b,但是用b很难得到a。
但是公钥加密也有个很大的弊端,那就是它采用固定的缓冲区,无法像私钥算法那样将数据链接起来成为流,因此 公约加密只用来加密私钥密码。
以上仅仅是泛泛而谈,涉及到对称加密和非对称加密在加密通信里各自的分工,具体的工作机制不展开说了。
但是网络是公开的,如何确定你手上的这个加密数据不是伪造的?而且有可能的话,密码最好是不断改变的。那么 让数据包加上一个单向且不可逆的标签,就可以解决这个问题了。
现在该HMAC(Hash Message Authentication Code) 散列消息鉴别码,上场了。
消息鉴别码实现鉴别的原理是,用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。使用一个密钥生成一个固定大小的小数据块,即MAC,并将其加入到消息中,然后传输。接收方利用与发送方共享的密钥进行鉴别认证。
也就是说,一个完整的加密通信链接里的数据包里必须包含一条HMAC值,以此作为验证消息的凭证。
就你上面提到的SSH里使用MD5产生的hash值而言,通信双方必须各自执行函数计算来验证消息。举例来说,发送方首先使用HMAC算法和共享私钥对消息检查,然后将计算结果A封装进数据包中一起发送;接收方再对所接收的消息执行HMAC计算得出结果B,并将B与A进行比较。如果消息在传输中遭篡改致使B与A不一致,接收方丢弃该数据包。
一旦私钥改变HMAC值也发生改变,对称加密算法(DES)保护数据安全传输,而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。
下面说下SSH建立通信的过程;
Client端向Server端发起SSH连接请求。
* Server端向Client端发起版本协商。
* 协商结束后Server端发送Host Key公钥 Server Key公钥,随机数等信息。到这里所有通信是不加密的。
* Client端返回确认信息,同时附带用公钥加密过的一个随机数,用于双方计算Session Key。
* 进入认证阶段。从此以后所有通信均加密。
* 认证成功后,进入交互阶段。
仔细看上面会发现一个很明显的漏洞,那就是在握手过程中是明文。事实上这是N多tunnel软件包括SSL通信时一个极大的问题,因为你在明确告诉墙你在干什么,你说墙不墙你墙谁呢
某些声称能绕过墙的的SSH最核心的商业机密就是将报文里的软件版本号更改为浏览器版本号,然后将连接端口改为443 然后齐活。
那啥 文采不咋地,学的也不好,写的错漏,词不达意之处还望各位看官海涵。
PS;我说的是DSA被NSA遛钩子了不是RSA。当年是被登哥给出爆出来的,那时我还在某bitcoin论坛混,所以印象特别深。
通宝推:佛之战国,舞动人生,陈王奋起,- 复 深入的磨叽下
家园 ps我是男狸,不是女狸:) - 复 深入的磨叽下
家园 我的观点与你相反,墙的协议分析能力我觉得很智能 墙的智能我觉得体现在海量数据的分析处理,和迅速的响应。
http代理和socket明文代理一有违禁关键字很快被杀,协议解码对墙很容易。
openvpn,ssh都存在握手协议特征明显的问题,墙连内容都不看了,抓到特征就杀,我在digital ocean的openvpn机器就是两天,阵亡。
tor也是定向封杀,不过我不是很了解现在的使用情况了。
墙对海量数据进行快速高效的分析封杀,现在大家都没人知道具体架构和部署,都是靠猜测。我内心骂了方老师祖宗十八代以后,对他还是挺佩服的:)
家园 么么哒 尽管知道你是男狸
墙对非明文的数据包是没有很好的手段,哪怕这个数据包仅仅是BASE64编码的。所以大妓院的马仔网站(就是那些八位数以上域名的网站)利用这点一直暗中较劲。
Tor是被墙把网关(中继服务器)的IP给屏蔽掉了,但是这对Tor来说不算个事,在别的通讯工具里让别人把其他IP给你,自己填就OK了。貌似最新版本的具有自动更新可用中继IP的功能。我本人没用过Tor 了解不多,不过对于P2P软件而言其在网络中的状态可以用百足虫来形容,断掉99条腿,剩下一条还是可以满血复活。
你把墙理解成交换机就行了,最多功能上偏防火墙而已。 因为响应和处理数据的时间是任何服务器都无法胜任这个工作环境的。
老方其实很不容易,任何屎盆子都往自个脑上扣。如果对墙的诞生有一定的了解就知道方滨兴在这个项目组里最多也就是个协调人,工作性质也就是项目主管?
设备设计应用的通信理论,硬件设计能力,相关工程经验他都不具备的,而墙作为某种舆论工具的定位仅仅是防御而已。
因为我们没有话语权,短期内只能靠墙来做被动防御。所以老方这个骂名只能继续背下去。
老方将来要是不在了,八宝山可以为他留个位置。
家园 有些商榷地方 ssh中散列算法用于客户端认证,不是用于数据通信加密的,通讯过程中还是对称加密。
ss本质上就是个s5代理,但是加密是必须的,否则墙会嗅探干扰,这是个很小巧好用的设计。
rsa算法没问题,出事的是另一种随机密钥生成算法,这个其实一直被大家怀疑了很多年,具体可以查历史文档。