为什么翻墙软件和GFW的较量中,会出现“攻强守弱”的现象?
6人赞同 20人关注

shadowsocks于2010年出现,2012年被免费公开,2015年停止开发;shadowsocksR于2015年出现,2017年停止开发。据推测,直到2017年GFW才拥有识别并干扰shadowsocks和shadowsocksR的能力。

为什么GFW的反应会如此迟缓呢?shadowsocks和shadowsocksR都是个人开发的,而且,据称shadowsocksR的作者是自学编程,水平不高。GFW能调动的人力物力比单个程序员至少高几千倍,为什么GFW对这两个翻墙软件一度束手无策?

阅读更多
收起
3月前
6 16 条评论 操作
9个回答
Clover | 主攻技术类问题。
74人赞同

这个我倒觉得没这么多额外的政治因素 而是单纯因为 技术上识别shadowsocks流量真的很难。

在互联网上想要定点屏蔽某种东西 如果是某个明确的网站/服务之类还是比较容易的 因为域名、服务器IP地址、HTTPS证书这些都可以作为“特征”。作为可以审查所有出入境流量的GFW,随便检测这些特征里的一个或者几个就可以非常精准的识别出是否是要屏蔽的网站,零难度。

但对于shadowsocks,由于其不是一个商业服务而是一个开源软件,大家都可以自己随便租一家服务器架设 (某种意义上的去中心化)所以是不可能人工写规则屏蔽几个IP搞定的。只能从协议特征上下手 开发算法自动识别出其协议 进行屏蔽。

对于根本没有考虑隐藏特征 或者考虑不周的协议 比如原版Tor/没开TLS-Auth或TLS-Crypt的OpenVPN等 想要精准识别出来还是比较容易的。

这个特征具体指的是什么呢,举个最简单的例子,假设我开发了一个聊天工具,使用自己设计的一个协议,每个数据包格式都如下:

前4个字节永远为CHAT,用于服务器判断此数据包是否属于我这个聊天工具的协议。

其次1个字节表示用户名长度,随后是这么长的用户名字符串。

再1个字节表示聊天内容长度,随后是这么长的聊天内容字符串。

那我这个协议的特征可以说是非常明显的。通过前4个字节永远是CHAT,再配合后面那个长度+内容+长度+内容的匹配,完全可以精准识别。

实际情况中 各种网络软件的协议都是很复杂的,但对于那些没有考虑过要隐藏特征的 识别都不会太难,而且有时越复杂的协议能用来检测的特点越多。更何况很多协议用的端口号都是固定不能改的。

而shadowsocks的优点 恰恰是它太简陋了。它的协议既没有握手协商的过程(GFW对OpenVPN的识别就是依赖于一开始的握手包)又没有"magic number"/"magic string"(比如我那个聊天协议的"CHAT")

它就是单纯的把整个流量 按一个用户预设的密码加密起来了,简单粗暴。因此不知道密码的情况下,看到的只有纯粹的高熵无意义密文。这个就很难办,毕竟GFW不可能把所有不认识的协议都屏蔽。互联网上有太多奇奇怪怪的程序,GFW不可能把所有程序的特征都录入 然后建一个“白名单”。对于不认识的只能放行。

从协议内容上识别行不通,其实还有一招流量特征。

还是拿我刚刚那个聊天协议举例。假如我现在把流量都加密起来了,已经没办法从内容上判断了。但后端需要判断用户是否仍在线,方法是每5秒钟发送一个心跳包,客户端回复了才确定是继续在线。看出问题了吗?

不过如果一个协议已经只能从流量特征判断识别,已经很成功了。因为用这种方法已经不太可能做到100%定点精确识别了。通过流量特征按统计学去匹配,最终只能得出一个可能接近某种流量的概率。而如果你这个协议流量特征也比较少,那么匹配出来的结果有效性就会很差。对于GFW这种项目,如果算法误判的可能性太高是肯定不会上线的,因此只能把阈值调的比较高,匹配的成功率也就很低。

这种方法套到shadowsocks流量上就更困难了。首先shadowsocks没有心跳包这种东西,而且其作为一个代理程序,其实没什么自己的流量特征一说。其流量特征约等于用户访问网站(或其他用途)本身的流量特征,这个范围就太大了。如果我是GFW开发人员,我能想到的唯一方法就是去匹配符合正常网页流量的流量,然后筛选出其中信息熵明显高的(加密后的数据 信息熵会变高)。但这种识别精度...我认为是很难用在生产环境的。

另外有人可能会提到机器学习,认为机器学习能帮助GFW识别这些流量中隐藏的特征。这样也许可行,但效果不太可能高到哪去。主要原因还是shadowsocks没有自己的流量特征,它只是个代理,它只帮你加密转发你要发送和接收的数据。因此你用它浏览网页,那它的流量特征就是浏览网页的特征;你用它玩游戏,它就是游戏流量特征;你用它下BT,它就是BT流量特征...

原创 手机码字不易 欢迎各位点赞关注支持 也希望积极讨论指出我的问题

阅读更多
收起
3月前 ▫ 4周前修改过
74 14 条评论 操作
Zachary.Zhao | 过往答案随机删除。
43人赞同

我并不这么认为,GFW可以说是相当成功的。


虽然早已经肉身翻墙,不过依然关注翻墙技术的进展,回国期间也经常需要翻墙。在我的印象中,翻墙技术更新换代已经好几次了,最早的是使用代理服务器翻墙,非常简单,几乎无需付费,成功率很高。然后是网页代理翻墙,2010年前后,有各种facebook, twitter和google的中文网页代理网站,可以直接稳定登陆被封锁的网站,类似的有各种浏览器插件。


然后是VPN,然而如果我没记错,VPN的可靠性其实并不佳,我在国内的时候会使用很多VPN服务,大部分的速度很慢,网络链接状况也不稳定,如果自己配置VPN也略显得繁琐。但由于2012年以后智能手机的兴起,手机上网成为主流,各种VPN客户端出现,使得配置简化。


去年VPN也渐渐不灵了,主要变成了自己搭梯子,通过shadowsocks等类似技术翻墙,这对于熟悉技术的年轻人而言,并不困难。但对于绝大多数并不熟悉技术的网民来说则是难于上青天,并且一般需要支付一定的费用,虽然没有具体的统计数据,但可以明显感觉到翻墙的网民数量在下降,有效的翻墙时间在减少。


从成功阻断网民上外网来看,GFW是非常成功的,之前有过一个问题,估算大约有多少网民翻墙,各个回答给出的估计数据是500-1000万,占全国网民总数的1%左右。而翻墙的网民中,相当一部分是在外企、外贸、科研单位、驻华机构中走的专线翻墙(据说已经开始备案了),而在去年针对VPN的严厉封锁以后,翻墙网民的数量可能会继续下降。


互联网的前身是军用网络,目的是在战争期间部分网络节点被摧毁下依然能够进行有效通信。理论上来说,只要保持联网,就能有翻墙的技术。目前看来,中国依然存在大量与国际互联网通信的需求,通信、金融、外企、科研技术单位的信息同步与交流,甚至墙外访问墙内网站几乎是畅通无阻的(墙主要是单向的墙,当然影视音乐版权不算)。从这点看,彻底封禁翻墙几乎是不可能的,每天依然有天量的数据通过海底光缆。


但在这种情况下,GFW阻拦了99%的网民访问境外网站,不得不说是非常成功的。


此外,个人觉得最有效的墙并不是GFW,而是查水表。很多人翻墙并非无人所知,就像天网系统密布,小偷窃贼依然无法禁绝。因为翻墙被查水表的人这些年并不在少数,很多时候没查,只是因为成本问题。而一旦想动某个人,翻墙等行为届时都会成为罪证。

阅读更多
收起
3月前 ▫ 3月前修改过
43 11 条评论 操作
咕噜咕噜 |
34人赞同

因为墙的目的不是让人完全无法翻越,而是让你们翻越了也不成气候。

别看品葱这里这么多人讨厌共产党和习近平,但是中国国内喜欢共产党和习近平的完全不在少数。他们不会觉得房价、人口问题是共产党的锅,甚至还自发地认同中国人不能太自由,共产党不能倒。

翻墙的人几千万,看政治的 10% 也才几百万,看政治又真的知道中国是不正常的人 10% 才几十万。共产党怕吗?完全不怕。

阅读更多
收起
3月前 ▫ 3月前修改过
34 9 条评论 操作
已放弃治疗 | 清除红色基因,净化世界环境!
26人赞同

这就是玩着玩着把自己给玩进去了。

当年腊肉用马列邪教给全国人民洗脑,其中就包括了红色家族的后代。因为当时那些红色家族在腊肉眼里跟屁民是一个等级的。却不想时过境迁,当时被洗脑的维尼熊就上台了,然后这个被洗过脑的维尼熊开始霍霍中国百姓了。顺便说一下,腊肉的儿子新宇少将军(一说为孙子)连个十九大代表都没给,将来会不会被维尼做成熏肉未可知也。

类似的还有儒家邪教,本身也是为了控制屁民的,想不到那些皇帝的后人也被忽悠,也学着满嘴圣贤言论,把自己也弄得跟傻子一样。弄得中国长时间毫无长进,一次次被灭国。

用GFW封锁人们信息获取,本来也是要为了统治,然而同时也造成了高校内大批脑残。GFW的核心部位外包给外人又不放心,只能从高校招那些个忠君爱党的走狗程序员。那些人本身也是受了屏蔽信息的害处,并且满脑子升官发财巴结领导,花大量时间考公务员入党,进了GFW后自我感觉非常好,忙着靠这头衔到处装逼把妹骗炮,时间精力全在歪门邪道上,技术方面自然跟混社会的不能相提并论。这些招进来搞GFW的人也就在他们那些甘愿做党的走狗的低端程序猴圈里能称大王,跟社会上真正搞程序的相比,简直就是小绵羊遇到大灰狼,如果没有党的行政力量干预,立马被吃的骨头都不剩。所以说来说去,原因还是伟光正本来想洗别人,最后却把自己人给洗了。

GFW在技术上基本是被单方面吊打,连法轮功的自由门都在GFW中自由穿梭,如入无人之境。很多翻墙软件都能把GFW虐的大小便失禁,在“国之重器”的名号上一点面子都没给,非常伤感情。所以只能靠行政力量把所有的境内VPN商给物理消灭,境外的用蓝金黄收买,求着他们不要帮中国百姓。

shadowsocks 可能就是看不起蓝金黄,所以还是一如既往,把伟光正的脸扇的piapia响。在此感谢世界上所有最求正义自由的人!

同时也奉劝所有行恶的政权,你们所做的恶,一定会被清算,法轮功其他的不评论,但是宣扬的  退党保平安  可是真的在做慈善。潜伏在这网站的走狗们,现在退党还来得及,勿谓言之不预也!

阅读更多
收起
3月前 ▫ 3月前修改过
26 10 条评论 操作
黄前 久美子 | 私、ユーフォが好き!
22人赞同

shadowsocks和shadowsocksR都是个人开发的,而且,据称shadowsocksR的作者是自学编程,水平不高。

Shadowsocks 的作者是很优秀的开发者,协议本身也很好地隐藏了特征,原因已经有答案分析过了。ShadowsocksR 是破娃建立的 Shadowsocks 分支,自然能继承这些特征。至于 SSR 添加的特性能否达到目的则众说纷纭。

GFW能调动的人力物力比单个程序员至少高几千倍

根据一些网友的分析,GFW 主要是方滨兴牵头,由哈工大、科学院计算所和北邮研制的,也就是说实际上主要的工作都是这些院所的一些研究生做的——相信看到这儿对国内理工科院校有点儿了解的人立刻就清楚了。

另外,虽然我觉得「GFW能调动的人力物力比单个程序员至少高几千倍」是夸大,但国内的研究生做项目就是再水,哈工大、计算所和北邮也都算是国内相关领域第一梯队的院所了,我认为说 GFW 项目的参与者也就是相关院所的研究生属于「低端程序猴圈」是不符合事实的。我能理解很多网友对筑墙者的痛恨,但还请看清现实。

阅读更多
收起
3月前 ▫ 3月前修改过
22 10 条评论 操作
有坂 真白 | みさき先輩超尊敬してます!
18人赞同

因为GFW本质上是自上而下驱动的,它没有自己的原动力,活跃程度只跟当前政治形势直接相关。

就这样每一件事都等待上级指示(而且身为上级的中老年人们了解新生事物的速度又比年轻人慢太多),抽一鞭子才动一下,不低效才怪。

这也可以解释为什么GFW总是隔一段时间才大规模封禁一次可疑IP,而不是持续不停地封禁。

顺便一提,马上三月份两会要开了,这次两会涉及修宪,当局一定会动用一切能动用的力量进行维稳,所以届时还会有一波大规模的IP封禁,请做好准备。

阅读更多
收起
3月前 ▫ 3月前修改过
18 9 条评论 操作
sam金 |
11人赞同

老道理:矛好造,盾难打。

比如要攻破GFW的一个防御点或者利用其一个漏洞,那只要对付那个点就行了,而防火墙需要先是知道有这个矛存在了,然后再全方位的审查自己的漏洞。

另外防火墙还要防止误杀被允许的流量,这就对防火墙带来了很大的挑战,如果全部过滤掉,像朝鲜光明网那样,那就容易多了

阅读更多
收起
3月前 ▫ 3月前修改过
11 2 条评论 操作
小擦 |
6人赞同

其实相关技术早就有了,只不过一直没用。最近shit dark dark的19 dark之后才开始使用,因为健身哥健身动作频繁,而中共内部又政治敏感。

使用deep leaening来判断流量特征的paper在15年就有了四五篇,识别代理成功率90%以上,更别提shadowsocks这类一看就知道是一件什么样的事情的流量。再者,通过加密协议的信息熵一类的feature结合机器学习也可以作为shadowsocks的特征,因为shadowsocks主流的加密算法就那么几个。个人认为这套识别方案在clowwindy被喝茶的时候就已经出现,只不过当时连VPN都能用,犯不着拿出来用罢了。这套识别系统可以做到完全精准打击,因为每当中共大会(十九大、人大等)或健身哥健身的时候,所有拿来共享使用的翻墙IP无一例外的都会死,只有私人使用的翻墙IP还能继续使用。可以肯定这是全自动的精准识别,因为春节期间健身哥的media准备开春晚的时候翻墙IP就遭一瞬禁封,而春节期间是不会有人值班人工查封的,而且新IP在几天后也被快速屏蔽,可以说现在AI算法对付翻墙已经得心应手。

阅读更多
收起
8周前 ▫ 8周前修改过
6 9 条评论 操作
123456 |
5人赞同

这个说法不对,不见十九大和两会的时候全国断网吗?

不是中共断不了,而是现在还没有断。具体为什么还没断,可能是经济需要,可能是有良心。良心的可能性比较小。

说真的gfw还是很成功的,我一个搞技术的刚开始买翻墙软件都觉得挺麻烦的,真正有兴趣翻墙,并且能翻墙的人很少很少。而且翻墙也不一定就反共了,留学生这些肉身翻墙的人里面自干五一点也不少。中共暂时还不怕。但是随着局势发展就不好说了。

阅读更多
收起
18天前 ▫ 18天前修改过
5 0 条评论 操作