本帖最後由 kingwilliam 於 2019-9-23 17:00 編輯
每天同墙对奕 要安全潜行不被发现 相信每个人都有自己的一套哲学。因每个人身在地方不同 用isp 也不同 vps 供应商,服务器位置,线路走法也不同 所以每个人翻墙方法和理谂都会不同,所以没有全能方法 可用的就是好方法 所谓 八仙过海 各显神通。以下是我个人的潜行理谂 可同大家分享一下。
古语有云 大隐於市 小隐於野(正解不多说 上百度找吧)
大隐 - 有本事 就不用tls 只用伪装翻墙(小弟自问功力不够 还未有这等本事)
小隐 - 没本事赤裸就要穿件tls外衣。
穿衣都要有点要求 就算有vps有真ip,都不要直用ip翻墙 申请个domain name 如chinanet38.site都只需第一年hk7.78 即第一年us1。 当买个保险都不为过。有了domain 就可加tls作外衣 安全潜行。
至於用 tcp / udp 个人会选 tcp, 无可否认 quic在速度上和反应上真的比 h2 好很多 真的非常吸引。 但如比对大数据(如本人是一个网管 掌管一间企业的防火墙 如我每天出一份报告 统计每天甚至每小时tcp和udp上网比率 再比对每个用户。。。。。你已现身了) tcp比率 真的比udp高很多。就算爱奇艺也都是http tcp 80. 所以用tcp翻墙会比udp更能隐身于大数据中。
补充:为何伪装翻墙会被发现 简单讲就是http内有甚麽可能全都是加密或不能被识别的数据 墙不是儍的。如其不能在没加密内容的方法翻墙 不如退回用https。
还有 不要长期连线 vpn 或反向代理 偶然连接当然没问题 但长期连接 必被发现 我就曾经范过这样的错 给连续封了2个ip。放弃长期vpn/reverse proxy後, 已安全渡过数月,在撰文时只离70国庆不足十天,暂还可正常翻墙出外。
所以 墙 要封一个ip或port, 只需一份report 不用知你在看甚麽 用那个工具 甚至Deep packet inspection (DPI) 全用不到。
上面只说用最简单的方法处理一些最容易问题
隐藏于大数据中的就不处理吗?当然要处理 这时DPI就要出场,但DPI那麽强 为甚麽不经常用? 原因非常简单 吃电, DPI 非常吃 cpu 绝对称得上吃电老虎,所以平日只会抽样调查 特别日子才会提高抽样比率。
同时要好好保护vps, 如有看vps firewall log 会发现很多不明地区会访问你vps, 需不知是善意还是恶意 最好还是封锁为上策。 因可能 墙 发现一些不明的出国活动 会暗地通知墙外的合作伙伴尝试访问这个 vps/ip/fqdn/ 看看是否有可疑
如你的翻墙工具可设在网站後就更好 可用网站保护翻翻工具
总结
1。不建议用ip翻墙,最好用FQDN
2。如功力不够 不建议用伪装翻墙,用tls吧
3。尽量被免用长期连线工具 如vpn/反向代理
4。在你的vps最前端建立防火墙 排除不必要的访问
5。如你的翻墙工具可设於网站後,就可用网站保护。
题外话:
大家一定知 天河2号 是甚麽吧,有没有想过 为何不用 天河2号做 GFW DPI ? 如真的这样 我想今天谁也翻不了墙。 但好明显还没,何解? 大家知否一套天河2号在全速运作时 是需要一整坐大亚湾核电站才能应付。 |