本文仅对「翻墙」行业的常见概念及使用作为科普,不做推荐和引导目的,请勿对号入座!仅推荐使用漫游等「合法信道」访问境外互联网。
何为“翻墙”
翻墙,又被叫做「科学上网」,较为正式的说法应该是「突破网络审查」。像中国境内互联网打不开 Google、Twitter,韩国境内互联网打不开 PornHub 那样阻隔外来不良内容的手段叫做「网络审查」。
要想在国内使用谷歌搜索,由于国家防火墙(GFW)阻断了 Google 服务器的 IP 地址,因此必须借助“梯子”(翻墙软件的俗称)连接到能连接 Google 的代理服务器(Proxy)并通过其网络访问外网。利用 VPN 技术建立与代理服务器(一般在海外)的连接,在运营商(ISP)和国家防火墙的角度看来实质是你与代理服务器进行加密连接,他们并不知道你看了什么内容,也不会触碰国家防火墙的规则,出海的流量自然就不会被拦截。但传统 VPN 协议 (PPTP/L2TP/IP Sec/OpenVPN) 数据包的特征非常明显,那肯定会被国家防火墙拦截。
怎么避开拦截
如果你接触过「翻墙」,那不难会发现大多梯子都是「小飞机」图标的工具。传统的 VPN 协议会暴露特征,此时就要介绍这个到目前为止还在活跃的「Shadowsocks」(简称 SS)。这是一个加密 SOCKS5 代理,主推的就是兼容性广泛(甚至可以在软路由上跑)。
包括它衍生出的 SSR (酸酸乳)中的 http obfs 混淆还被用于免流(伪装定向流量的请求,以做到免费上网)等违法用途。若不考虑兼容性,还有更好的v2Ray 协议(通常以 vmess:// 链接体现),通过 WebSocket 传输配合 Cloudflare 自选 IP 可以做到让 IP 已经被阻断的代理服务器变得有用。当然这俩混淆也可以通过给 Shadowsocks 附加 v2ray-plugin、simple-obfs 插件来实现,但还是原生来的好。
当然除了以上的民间方法,还有像「AnyConnect」(思科的 SSL VPN 方案,有开源版本 ocserv 兼容 AC 客户端)、WireGuard(最著名的就是 Cloudflare Warp),这两个协议能被 GFW 完全识别,只限速但不阻断。AnyConnect 为代表的 SSL VPN 利用 X.509 证书(HTTPS 网站用的 SSL 证书)进行 TLS 加密,效率倒不如 SS 协议的响应速度来得快。
好处在于它能直接通过国区 App Store 直接获取。以及部署时可以搭配 AnyLink 项目更好的管理你的 SSL VPN,尤其是对于企业内网来说,省去了购买思科 VPN 路由器的钱,降本增效。
哪种方案靠谱
作为用户,一般只有「自建」和「机场」两种方案。上文我们提到了「小飞机」,那提供特殊协议的 VPN 服务平台俗称「机场」。机场提供的是代理服务器,以及确保用户可用的协议及连接方式。
服务器怎么来
自建或找别人合租服务器(虚拟机/独立服务器)也许是个不错的选择,但成本太高且节点单一。就比如你从 Azure 购买了东亚(香港)虚拟机,但有一天你需要美国的 IP 地址观看「抖音国际版」,这时候你又得去找一台美国服务器来部署代理服务器。此时,有更为稳定且少折腾的解决方案:机场。
| 成本 | 技术要求及维护 | 质量 | 流量 | 缺点 | |
|---|---|---|---|---|---|
| 自建梯子 | 20元起/节点 | 高,频繁 | 取决于是否包含中国优化(CN2、CMI、9929) | 按 IDC 实际情况而定 | 地区不广泛,维护精力高 |
| 机场 | 由商家定价 | 低,更新订阅 | 与购买价格(成本)成正比 | 按机场套餐而定 | 节点万人骑,IP 风险高,跑路问题 |
由于相关法律法规,在此不介绍任何机场。再次强调,本文仅作为科普用途,没有引导任何人违法从事「翻墙」行为!
为什么大厂的 VPN 行不通
但 Uncle Roger 推荐的 ExpressVPN、常刷到的 SurfShark,以及朋友在海外定居时 Google TV 上的「NordVPN」,这类并不算因为它没法在中国正常使用(或连接性差,如图所示通过阿里云香港转发的 ExpressVPN 速度对比便知)。
常说我国的特色和国情特殊,那就需要用特殊方法来解决。因此「机场」们提供的协议大多离不开 Shadowsocks、v2Ray 和 Trojan。当然如果你想用 Trojan 倒不如去用 SSL VPN,在国内用 HTTP3(QUIC)就跟打脸充胖子一样。
机场节点大不同
由于奶昔以前从事过「机场主」(开设翻墙业务的人),后来走正道做起了 IDC。对于这部分的理论知识,我想通过以下两节来让你读懂:
服务器的分工
有三种类型的服务器在机场中起作用「前置」、「入口」、「落地」
前置:具备高防(DDoS 攻击)或“抗通报”的国内大宽带服务器。一般面向用户。用于隐藏转发目标的服务器 IP ;
入口:具有对落地服务器有优化的服务器,或是在专线中的一侧服务器(例如深港专线的深圳移动)。很多机场都购买低价的香港 CMI 作为落地,然后购买国内移动大宽带服务器作为转发以减少用户连接落地服务器的延迟;
落地:即代理服务器,用户的翻墙流量最后会通过此服务器转向外网。例如深港专线中,香港端就是落地服务器。
节点的类型
直连节点
指直接让用户连接代理服务器,一般来说此类节点所用的服务商都有做中国优化(即三大运营商延迟不绕路,线路直连),对用户的网络环境影响较大;
中转节点
指让用户连接入口服务器,再通过入口服务器与落地服务器之间建立的传输(转发/隧道/专线)转发将流量传输至落地服务器。大部分机场亦是使用此方案;
专线节点
指让用户连接一侧入口,再通过物理专线(IPLC/IEPL)内网转发至另一侧落地。提供专线的机场在价格上较贵,而专线的延迟抖动稳定,还可以使用 SSTAP、Netch 等代理软件实现游戏加速。
自建成本与月抛
作为一个刚起步的机场,一味的购入一堆服务器我想是不理智的。当然你如果不在乎钱,倒是可以一开始干完然后看着利用率慢慢提高。(但速度比乌龟爬山还慢)至于管理面板可以用 SSPanel-UIM 或 v2Board,后端选择免费的 XrayR 就好了,软件成本压根不要钱。
当时奶昔做的是低端机场并没有那些高级线路,当时还没有现在的机场圈那么内卷,因此连个直连的节点都能月入上千。不过现在这个方法只适合自建。首当其冲的就是落地服务器,像 Vultr 、GCP、Azure 等云服务商的线路具有中国优化,作为直连或中转的效果都很不错。
举个例子 Vultr 充 5 USD 赠 1 个月 50 USD 的活动,月抛是个不错的选择。但缺点就是得去刷 IP,然后配置完第一台服务器后部署完后端并创建快照,最后再批量部署完成任务。不过据说倒不如甲骨文(Oracle)的免费主机好玩。
当然你现在这样做,以 Vultr 10 个配额来算。只需要每个月 5 美元,你就可以自建 10 个节点。不过如前面「直连节点」所述,晚高峰遇上 QoS 也只能是能用的水平。
因此纯直连节点每个月最低成本在 5 USD 左右。
机场主头疼的那些事
首先就是冲向高端的成本增加,以圈内 6 块钱/Mbps 的国内移动大宽带机器来算。1Gbps 就要 6000 元/月,对于用户不多的机场来说是头疼的问题。不知何时圈内兴起一股「端口转发」的热潮,按流量计费的国内转发狠狠的重击了做国内 IDC 的我。
像 nnr (NekoNekoRelay)、主机维基(idc.wiki)都在搞。尤其是屌鸡(原 50kvm)搞的专线转发,算了下 100GB 深港的成本,只需要往 idc.wiki 拿买个 SCP 再买台便宜的香港vps,一个月下来差不多是 140 块钱左右。现在圈里的大部分小机场我看都是用这套方案,毕竟量少又不像 prprCloud 直接跑满端口。
哎... 写到这里还是不由得感叹!为了合规我放弃搞这些歪心思,投入到政企业务到现在也只能维持公司的运转,要不我还是有空出去送送外卖?只能说我佩服这种走在违法边缘灰色地带的人,还能不翻车的牛逼。
国内 IDC 也头疼
最近在 Telegram 出现了一堆国内资源,还带着「抗通报」字样。我不由得感叹现在卖国内服务器,一不要求实名,二能抗管局通报,都这么厉害了吗?像 Spacexidc 、YouthIDC 等商家都声称自己可以抗通报。
他们的抗通报是什么
一般来说,翻墙这种事并不算严重的通报。尤其是跨境专线及其敏感的入口,都需要这类「抗通报」的服务器当前置。但我觉得这与我对「抗通报」概念的认识有些出入,于是我收集了下 Telegram 上的这帮商家整了这些花活:
换 IP 抗通报
这种情况一般是被针对,例如黑鹰去举报工信部,工信部再下发通报到管局。
说人话就是管局喊 IDC 查违规,然后 IDC 不处理就是「抗通报」了。但一直不处理,管局会要求机房对 IP 进行封网,这就出现换 IP 抗通报的情况。
下架抗通报
由于管局的人时不时下来视察,说人话就是避避风头。毕竟 IDC 也知道你跑的是 VPN,只是大家都不知道笑笑就过了。当然作为开机场的老板肯定不敢去报警说 xxx 家 idc 下架服务器给我 xx 带来经济损失。
跑路
这个因素有很多,一般是老板进去了。就像艾云的 py 娘被宁波公安局喝茶后跑路,现在虽然取得了资质但不敢再卖国内业务,尤其是近期 iaclouds.com 备案被注销了。
资质合规啥都能卖
至于 YouthIDC,让我认识到只要有资质怎么卖问题都不会出现在自己头上。换句话说,只要有 B1B2(第一类、第二类增值电信经营许可)的前提下卖国内服务器是没有任何问题的。也许被通报了也能说句「监管不力」进行所谓的自查。
于是乎,我看了下 YouthIDC 的官网,底部的鲁ICP备2020048168号以及「《中华人民共和国增值电信业务经营许可证》 云牌照/IDC/ISP/CDN/EDI」没具体标明编号。于是在工信部官网查备案后,得到的公司是青岛青毅文化传播有限公司。我就纳闷了,做 idc 的不应该是「 xxx 信息技术有限公司」吗?
于是带着青岛青毅文化传播有限公司再向电信业务市场综合管理信息系统查询,得到其公司的经营范围为全国。
只能说 Telegram 这帮卖国内服务器的,个个都是人才说话又好听。一家文化传播公司竟然可以做 IDC,那也只能说我佩服但不敢效仿,本就是违规还正大光明的卖,这可压力山大。
