移动端 | 加入收藏 | 设为首页 | 最新ss | 赞助本站 | RSS
 

freefq.comfree——免费、自由fq——翻墙

困在墙内,请发邮件到freefqcom#gmail.com获得最新免费翻墙方法!
您当前的位置:首页 > 网络安全

VPN翻墙:不安全的加密,不要相信墙内公司

时间:2015-02-08  来源:  作者: 条评论
翻墙手段中很重要的一种就是利用VPN翻墙,这种方法可以说技术门槛相当低,就是多数时候花钱才能享受到高质量的服务。

先 介绍一下VPN:VPN是Virtual Private Network(虚拟专用网)的缩写,本来是用于企业的一种网络服务,原理是客户端使用相应的VPN协议先与VPN服务器进行通信,成功连接后就在操作系 统内建立一个虚拟网卡,一般来说默认PC上所有网络通信都从这虚拟网卡上进出,经过VPN服务器中转之后再到达目的地。通常VPN协议都会对数据流进行强 加密处理,从而使得第三方(例如GFW)无法知道数据内容,这样就实现了翻墙。翻墙时VPN服务器知道你干的所有事情(HTTP,对于HTTPS,它知道 你去了哪)。YCo免费翻墙网
VPN工作流程图YCo免费翻墙网
YCo免费翻墙网
VPN协议主要有这几种:PPTP,L2TP,IPSEC,OPENVPN,SSL VPN,Ikev2 VPN,Cisco VPN,其中的PPTP和L2TP是明文传输协议。对,他们是明文传输协议,但为什么还是有不少人能用这两种方式翻墙呢?

当 一名用户在使用PPTPVPN翻墙时,实际上他同时启用了128位的MPPE(微软点对点加密)算法来为数据进行加密[1],”那么GFW就不知道数据传 输内容了,所以就实现了翻墙“大家都会得出这样的结论吧?真的很不幸,GFW其实并不仅仅是封锁,它还有着监控的作用,而且现在GFW已经具备了暴力破解 MPPE加密的能力了(暴力破解的意思就是用枚举法直接枚举得到密钥从而解密):PPTP协议的加密实现-MPPE是基于RC4(可以在几分钟内被破 解),MS-CHAP2的实现是用用户密码的MD4作为密钥加密,这在十年前是安全的,在今天一个莱特币矿机分分钟搞定了。我说难怪有人说他用VPN上推 特会在联通查到记录呢[2],人家曙光几秒钟就穷举了那点MD4(有消息说GFW使用的是曙光超级计算机集群)

还 有”MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp vpn抓包了的话,可以推出后续的session key从而解密整个pptp vpn流量。所以说PPTP vpn缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量“[3],简单来说就是MPPE所采用的算法是很落后的,很容易被破解,而且MPPE算法诞生 于十几年前,现在GFW再差劲也拥有破解这一算法的能力了。

这 里提一下:我看到有人反馈说当shadowsocks的加密连接算法设置为默认的RC4或略有改进的RC4-MD5时,用上一段时间就会被GFW封锁,需 要改密码或IP才能继续使用,一开始我推测是特征检测,但理论上来说特征检测是不受加密方式影响的,换句话说如果GFW成功识别了shadowsocks 与远程服务器建立连接时的特征,那么不管使用什么加密方式都会很快被GFW干扰,而不会只有RC4-MD5和RC4连接被干扰,那么最大的可能就是GFW 可以破解RC4-MD5,而这同时也是MPPE使用的加密算法,那么PPTPVPN就不再安全了

L2TP 则不含任何认证和加密功能,都是由 IPSec 负责的,IKE是 IPSec 的一部分;L2TP 本身只完成数据传输之类的工作,不负责认证和加密,需要配合其它安全协议使用,例如 L2TP/IPSec 这样的,当然这是可选的可以不用,不用的话就没有安全性可言了。(有人发现GFW经常性把L2TP/IPSec干扰为明文的L2TP[4])

用 了也不能保证安全,L2TP/IPSec并未被GFW严重封锁,搞不好就是故意的,为了更好的欺骗我们翻墙党同时进行监控。(主要是前面提到的容易被 GFW干扰成明文,至于加密是否牢固,要看VPN公司选择的加密算法,不过那些付费VPN公司没几个会介绍所使用的加密算法的。)

OPENVPN在12年18大之后就被特征检测搞得半残了,不过现在有些地方效果还不错。OPENVPN的身份验证机制很完善,隧道加密程度也非常强(OPENSSL加密算法)所以也被封锁的很严重[5]

很多人(包括以前的我)都认为GFW的唯一目的就是封锁。封锁一定是主要目的,原因我们翻墙党都很清楚,但请大家想一下为什么墙内还有那么多VPN服务提供商存在呢?和天朝相似的伊朗直接在法律中写上了使用VPN违法,但为什么到现在共匪都没有这么做呢?


共 匪要用经济发展换取统治合法性,就不可能像朝鲜那样建立天朝局域网,否则人家外资怎么进得来呢?墙内还有一大堆企业依靠墙外的互联网服务呢(例如云计算平 台)。GFW越来越高的误伤率已经引起了不少人的不满,共匪又从来不肯公开承认GFW的存在,害怕翻墙者增多以及自己制造的”墙内互联网是自由的“的谎言 破灭。要说把翻墙的人都抓起来,也不现实:

一是翻墙的人太多(至少千万),而且不少人都不关心政治,抓了反倒起反效果,让更多人知道GFW的存在外加更关心政治;

二是GFW本身就没有任何法律依据,就算抓了,怎么判决呢?共匪官方说辞里面GFW是不存在的,要是因为翻墙抓人,不是直接自打脸了吗?

三是GFW误伤了太多科技类网站,搞得科研人员已经把翻墙作为必修技能之一了,要是谁翻墙就抓谁,科研人员怎么办?

四是不少翻墙软件都引入了流量混淆技术(例如TOR和赛风三),很多时候GFW都判断不出用户是不是在翻墙,怎么抓啊?

五是如果共匪真的什么都不顾,谁连接外网就抓谁,那么必然会激起众怒(去年封锁了github就引起不少程序员的抗议,最后GFW被迫解封),只会让自己快速倒台。

所 以GFW采取了一个办法:故意让墙内活动着一批VPN服务提供商(这些公司都是随时会把用户流量日志送给共匪的),同时不断封锁那些无法控制的翻墙软件和 付费VPN,对于可以轻易破解的PPTP和易被干扰的L2TP则故意放开一码,不惹怒太多人的同时又进行欺骗,让一些人以为自己安全,其实自己的一举一动 都已经在共匪的监视当中了,如果进行了什么”煽动颠覆国家政权“的行动就会被查水表。YCo免费翻墙网
我用流程图表示出这一过程


还有一个证据:有人反映不少墙内VPN都没办法作为TOR的前置代理:”國內vpn貌似都是有問題的呀(都不支持Tor)
打開Tor瀏覽器顯示洋蔥頭是打x的,沒有變成綠色的洋蔥頭。
只有連接國外vpn,Tor的洋蔥頭才是綠色的“
”国内VPN不仅过滤域名,IP,甚至过滤协议,审查浏览记录,各种无节操“
”有可能如你所说——国内 VPN 对 IP 或域名进行了过滤,导致 TOR 无法用【国内】VPN 做前置代理。
另外,国内 VPN 的提供者,很容易受到朝廷的胁迫。
因此,朝廷很容易拿到这些 VPN 服务器上的访问日志。
所以,俺自己从来不用这类 VPN,也建议“高危人群”不要用“[6]
墙内VPN的客户端很可能就有后门,那么你的防线就会全面崩溃,所以不要使用墙内的VPN服务(除非你只打算浏览网页)

我在这[7]提了一下PPTP和L2TPVPN都不安全了,现在写出这篇科普具体说明一下。建议用VPN+TOR,共匪无法破解TOR流量,只能干瞪眼。

最后照例附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about

参考资料:
1,PPTP中文维基https://zh.wikipedia.org/wiki/%E9%BB%9E%E5%B0%8D%E9%BB%9E%E9%9A%A7%E9%81%93%E5%8D%94%E8%AD%B0
2,https://twitter.com/Vela1680/status/532068496788574208
3,http://www.v2ex.com/t/116609
4,http://www.v2ex.com/t/79364
5,https://www.x-berry.com/vpn-tunneling-protocol/
6,http://program-think.blogspot.com/2014/11/https-ssl-tls-1.html?comment=1416217711675&q=tor&scope=comment-content#1416217711675
7,TOR网桥,主动探测攻击和烧钱的GFW
https://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP

 YCo免费翻墙网

来顶一下
返回首页
返回首页
欢迎评论:免登录,输入验证码即可匿名评论 共有条评论
用户名: 密码:
验证码: 匿名发表

推荐资讯

Octohide VPN:快如闪电的免费VPN
Octohide VPN:快如闪
原子网络加速器 - 免费高速VPN 一键链接 方便快捷
原子网络加速器 - 免费
foxovpn绿狐VPN——即连即用、快速、安全
foxovpn绿狐VPN——即
Dubai VPN - Free, Fast & Secure VPN下载
Dubai VPN - Free, Fa
相关文章
栏目更新
栏目热门
墙外新闻
读者文摘

你可以访问真正的互联网了。You can access the real Internet.

管理员精中特别提醒:本网站域名、主机和管理员都在美国,且本站内容仅为非中国大陆网友服务。禁止中国大陆网友浏览本站!若中国大陆网友因错误操作打开本站网页,请立即关闭!中国大陆网友浏览本站存在法律风险,恳请立即关闭本站所有页面!对于您因浏览本站所遭遇的法律问题、安全问题和其他所有问题,本站均无法负责也概不负责。

特别警告:本站推荐各种免费科学上网软件、app和方法,不建议各位网友购买收费账号或服务。若您因付费购买而遭遇骗局,没有得到想要的服务,请把苦水往自己肚子里咽,本站无法承担也概不承担任何责任!

本站严正声明:各位翻墙的网友切勿将本站介绍的翻墙方法运用于违反当地法律法规的活动,本站对网友的遵纪守法行为表示支持,对网友的违法犯罪行为表示反对!

网站管理员定居美国,因此本站所推荐的翻墙软件及翻墙方法都未经测试,发布仅供网友测试和参考,但你懂的——翻墙软件或方法随时有可能失效,因此本站信息具有极强时效性,想要更多有效免费翻墙方法敬请阅读本站最新信息,建议收藏本站!本站为纯粹技术网站,支持科学与民主,支持宗教信仰自由,反对恐怖主义、邪教、伪科学与专制,不支持或反对任何极端主义的政治观点或宗教信仰。有注明出处的信息均为转载文章,转载信息仅供参考,并不表明本站支持其观点或行为。未注明出处的信息为本站原创,转载时也请注明来自本站。

鉴于各种免费翻墙软件甚至是收费翻墙软件可能存在的安全风险及个人隐私泄漏可能,本站提醒各位网友做好各方面的安全防护措施!本站无法对推荐的翻墙软件、应用或服务等进行全面而严格的安全测试,因此无法对其安全性做保证,无法对您因为安全问题或隐私泄漏等问题造成的任何损失承担任何责任!

S. Grand Ave.,Suite 3910,Los Angeles,CA 90071

知识共享许可协议
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。