破解中國 VPN 翻牆封鎖 新型翻牆工具 Shadowsocks 兩者之間的區別

內地最近加強封鎖網民使用 VPN 翻牆,更要求 Apple 下架 App Store 大部分 VPN 工具,而且更封鎖了內建 VPN 的 L2TP、PPTP 端口,導致不少國內網民無法使用 VPN 翻牆瀏覽 Facebook、YouTube 或者其他外國網站。

內地現時亦封鎖TCP端口80、端口8080和端口443,要向有關部門申請才可重新開放。(端口80,通常用於承載HTTP流量的TCP端口;端口8080和端口443則用於承載HTTPS流量。)

# 本網站在內地需用Shadowsocks代理或其他翻牆形式方可訪問

 

VPN,即虛擬私人網路絡

虛擬私人網路絡的功能是:在公用網絡上建立私人網路絡,進行加密通訊。在企業網路中有廣泛應用。VPN網關通過對資料包的加密和資料包目標位址的轉換實現遠端存取。VPN有多種分類方式,主要是按協定進行分類。VPN可通過伺服器、硬體、軟體等多種方式實現。

 

Shadowsocks,即Sock5代理

採用socks協定的代理伺服器就是SOCKS伺服器,是一種通用的代理伺服器。Socks是個電路級的底層網關,是DavidKoblas在1990年開發的,此後就一直作為Internet RFC標準的開放標準。Socks 不要求應用程式遵循特定的作業系統平臺,Socks 代理與應用層代理、 HTTP 層代理不同,Socks 代理只是簡單地傳遞資料包,而不必關心是何種應用協定(比如FTP、HTTP和NNTP請求)。所以,Socks代理比其他應用層代理要快得多。

VPN顧名思義,虛擬專網,你接入VPN就是接入了一個專有網路,那麼你訪問網路都是從這個專有網路的出口出去,好比你在家,你家路由器後面的網路設備是在同一個網路,而VPN則是讓你的設備進入了另一個網路。同時你的IP位址也變成了由VPN分配的一個IP位址。通常是一個私網地址。你和VPN伺服器之間的通信是否加密取決於連接VPN的具體方式/協定。

Sock5代理伺服器則是把你的網路資料請求通過一條連接你和代理伺服器之間的通道,由伺服器轉發到目的地。你沒有加入任何新的網路,只是http/socks資料經過代理伺服器的轉發送出,並從代理伺服器接收回應。你與代理伺服器通信過程不會被額外處理,如果你用https,那本身就是加密的。

 

Shadowsocks與VPN有何不同?

VPN和Shadowsocks之間有一個主要的相似之處 – 他們能夠將你連接至原本因政府審查、地理限制或其他障礙而無法近用的特定網站。

考量到其規避中國防火長城的原始目的,Shadowsocks專注於克服流量限制。其使用HTTPS來掩飾流量,從而幫助流量繞過審查測量的地方。

VPN不同的是,Shadowsocks不是為了隱私和匿名而設計的。相對於VPN只要在啟動狀態就會加密所有流量,Shadowsocks中的包裹是「空白」的 – 也就是說,它們沒有經過加密。其背後的主要理念是讓你的數據看起來更像HTTPS流量,以便其可以不受限制地移動。

由於其使用SOCKS5代理,Shadowsocks不會透過伺服器發送所有流量,而此正與VPN相反。與傳統的ssh SOCKS5代理相反,Shadowsocks可以使用多個TCP連線。而這使得其速度與其替代品相比要快上許多。

 

Shadowsocks的好處

Shadowsocks最大的優點是易於安裝。該技術是一個簡單且性能佳的代理,不僅不需要花很長時間才能進行安裝,也非常適合用來訪問受限制內容。

Shadowsocks的另一個好處就是可以選擇性地掩飾流量。你可以選擇哪一部分流量經由Shadowsocks處理 – 如此一來你便可以訪問你所在地區內外受限制的內容。

以下列情境為例:假設你想要在中國境內使用Gmail藉由使用Shadowsocks,你可以選擇「偽裝」Gmail流量,從而規避中國政府的封鎖。

儘管如此,你仍然可以訪問只在中國境內開放的網站。反之,VPN可以加密你所選伺服器的所有流量,從而使你無法在同一裝置上使用中國獨有的特定網站。

最後但也相當重要的一點是,Shadowsocks非常難以被偵測和封鎖。其中主要原因是掩飾流量使其看起來與HTTPS無異。

另一方面,VPN的運作方式及其廣泛的普及性使政府和平臺更容易阻止技術或迫使大公司從其商店中移除VPN產品(如蘋果便從其中國應用程式商店中移除VPN應用程式)。

 

瞭解Shadowsocks的缺點

雖然Shadowsocks是用以克服內容限制的絕佳技術,但其功能遠超出受限制內容的層級。因此,這項超級代理僅適用於某種特定類型的威脅模式 – 你的網路服務供應商。

什麼是威脅模式?簡單來說,這就是你一開始想訴諸VPNVPSDNS代理的原因。網路許多面向的使用可能需要有更強的安全保護 – 威脅模式的幾個例子像是公共Wi-Fi熱點,或是與網路服務供應商相關的議題,如數據監控和記錄,以及保持你的線上身份不被曝光等。

由於Shadowsocks不能幫助你提升線上隱私和安全性,所以你最好是在需要規避審查制度時才使用它。

其他涉及必須妥善隱藏你在網路上的身份的威脅模式,則是Shadowsocks力猶未逮的之處。有人可能會反駁說這不是其原初設計的目的,這我們同意。而這正是VPN勝過Shadowsocks的地方。

 

何時應該選擇VPN?

與Shadowsocks相比,VPN是「主流」技術。其應用廣泛,而且在效率方面紀錄良好、表現無可厚非。

如果你正在尋找能夠完全清除你的數據紀錄,同時保護你在線身份的工具,那麼VPN就是你的最佳選擇。可想而知,不是每個VPN都是完美的 – 單從供應商的數量就可以想像市面上VPN服務品質參差不齊的情況。

然而,藉由一些事前研究,你仍然可以明確做出正確的選擇。我們審查了目前市面上某些最優質的VPN,並列出了一份可確保你的隱私、安全和使用權限的可靠供應商名單。

 

總結

VPN的開發目的是給企業內網直接傳輸加密資料,最重要的就是安全性,相反VPN的流量特徵變得很明顯,特別是SSL VPN類型,比如Openvpn有SSL證書的加密,安全性不必多說,但是握手依然是明文,流量更加明顯,導致匹配流量特徵很容易,在我這裡一旦連結Openvpn那就是秒封。

VPN目前就科學上網方面來講,PPTP大部分地區已死,L2TP大部分地區已經出現干擾和斷開連接情況,Openvpn一封一個准。而anyconnect大多數都是企業用的,所以牆不敢亂封,IKEv1/IKEv2需要注意證書中間人攻擊問題。

所以,在VPN科學上網這方面,一些地區已經根據VPN的流量特徵做出了相應的匹配策略,可以有效封殺VPN了。

 

Shadowsocks的開發目的就是穿透防火牆,最重要的是增加牆的匹配流量效率封殺成本和難度,也就是混淆隱秘性。

Shadowsocks是更注重流量混淆隱秘,VPN則是更注重加密安全性。如果你需要安全你可能需要 VPN 或者 Shadowsocks+TOR匿名 ,否則就抗干擾能力來說Shadowsocks更適合拿來科學上網,VPN中的Opnevpn是最安全的VPN協議之一,然而第一個被牆宣佈效率檢測、封殺!

沒有完美的工具,VPN和Shadowsocks在某種程度上可以說是兩種相反的技術,開發目的不一樣,注重點也不一樣,缺點相應的也不一樣,所以根據當地運營商的封殺策略選擇最適合自己的方式。