网络监管下的上网代理类插件分析与研究
2020-07-24张正旭许源
张正旭 许源
摘 要:互联网彻底改变了人们的传统认知和生活方式,这既是机遇又是挑战。人们在享受互联网带来便利的同时,也因不规范使用网络,而产生很多网络安全问题和隐患。文章从网络安全和网络监管的角度,对部分网民使用“翻墙”“上网代理”软件,突破国内安全防火墙,对境外网站进行访问而产生的网络安全问题,从技术、法律、监管角度进行了分析和研究,并提供了有关问题的分析思路和检验方法。
关键词:翻墙;上网代理;网络安全;网络监管
中图分类号: TP393.4 文献标识码:A
1 引言
随着信息技术的高速发展,网络信息安全已经成为国家安全的重要组成部分。境外敌对势力不断从领土主权、侵犯人权、中国疫情威胁论等多层面、多维度抹黑打压中国。很多外国网络平台上发布有大量反华视频和言论,由于群众接受信息的不对称性,如果对此类信息不加以过滤和筛选的话,就会进入我国民众的视野,极易蒙蔽民众的视听、误导网民判断,造成大量的危害性网络舆情事件,从而破坏我国网络社会的稳定,危害国家社会的安全。因此,境内外网络通道的监督管理,对维护我国社会稳定具有十分重要的意义。然而,国内有不少网民出于猎奇,或从事灰黑产的各种需求,在不断地尝试翻越我国的防火长城,登录浏览境外被禁平台和网站,对我国的网络信息安全造成了极大威胁,因此对上网代理类插件的分析,并提出相关监管策略显得尤为重要。
突破网络审查或突破网络封锁,俗称“翻墙”。因为“翻墙”一词在国内成为敏感词汇,在许多搜索引擎、论坛中含有“翻墙”等词汇的内容都被屏蔽删除,现在主要使用“科学上网”“番羽土啬”等词汇来代替。防火长城(Great Firewall,GFW)通过域名劫持、封锁端口、封锁IP、过滤关键字等封锁技术防止进入外网,而翻墙正是通过一定的技术手段,绕过防火长城,对国外网站进行访问。
翻墻所用到的软件或者插件俗称“梯子”。它主要通过加密、代理和伪装等方法,实现对防火长城的突破:加密和伪装都是通过对原始信息的修改和掩盖,以达到翻墙的目的,代理技术是通过与第三方代理服务器建立连接,间接的访问被封锁的互联网。
最早的翻墙软件是采取VPN技术实现。几年前,Shadowsocks技术的出现,改变了传统的VPN翻墙方式,也使得Shadowsocks类翻墙软件渐渐成为主流。一年前,一款名为V2Ray的网络转发程序被应用于翻墙,并有渐渐取代Shadowsocks的趋势。
2 翻墙原理及检测方法
2.1经典的VPN技术
虚拟私人网络(Virtual Private Network,VPN)是指在公共网络上利用隧道协议建立的一种临时的、加密的、安全的专用网络,根据VPN的实现技术和协议,可将VPN划分为OSI不同层次的VPN。常见的VPN主要有SSL模式、IPSec模式[1]、PPTP模式和MPL模式,几种模式的原理及特点对比如表1所示。
在一般情况下,VPN类翻墙软件更容易被检测和阻止。
第一,VPN直接传输加密数据。在具有很高的安全性的同时,使VPN的流量特征变得很明显,即使在网络浏览时,也可以检测到长会话。
第二,VPN控制的是电脑的整个网络。连接到互联网的流量都会经过VPN,但大多数在国内使用VPN的人使用的都是少数几个VPS供应商提供的服务。
第三,VPN通常依赖于一些常见的互联网协议。如表1所示,这些协议的特征,现在已经能够被很好地被检测和识别。
基于以上三点,可以很容易地识别VPS供应商,然后阻止他们的流量;也可以使用机器学习,识别来自VPN的流量的特征;还可以在国内网络与国外网络相连的几个关键节点上,根据VPN传输的信息流来识别IP地址,通过这些方式检测和“封杀”VPN翻墙软件。
2.2 主流的Shadowsocks
近几年,一种基于Socks5代理方式的名为Shadowsocks[3](简称SS)加密传输协议开始应用于翻墙。Shadowsocks穿透防火长城时抗干扰性强,且对流量进行混淆加密。在使用Shadowsocks时,所有的流量在通过防火墙的同时,基本上都被识别为普通流量,比VPN更稳定,且价格更低。为此,Shadowsocks技术已经取代VPN技术成为翻墙工具主流。
相比之下,被动监测的方式并不能对Shadowsocks翻墙软件进行很好的识别。从2019年5月起,防火长城已经启用主动嗅探与被动监测相结合的手段来识别Shadowsocks服务器[4]。
首先监测网络连接找出疑似Shadowsocks的连接,然后把自己伪装成一个客户端,模拟一个Shadowsocks请求发往疑似服务器的Shadowsocks端口。由于密码是错的,如果疑似服务器确为Shadowsocks服务器,会返回一个密码错误的回包,这样GFW虽然没有直接连接疑似服务器,但是可以据此判断疑似服务器是否是Shadowsocks翻墙服务器。很少量的合法连接便足以触发对于Shadowsocks服务器的主动嗅探。只要Shadowsocks客户端还在使用服务器,主动嗅探就会持续下去。GFW通常在合法连接到达服务器后的数秒内发送第一个主动探测。
2.3 新兴的V2Ray
V2Ray是一个网络转发程序,支持TCP、WebSocket、mKCP三种底层传输协议。它除了支持HTTP、Shadowsocks、Socks三种已有的内容传输协议外,还支持V2Ray原创的加密传输协议VMess,并且有一个完整的TLS实现,是一个功能强大的平台。
同Shadowsocks相比,V2Ray具有更完善的协议、更强大的性能和更丰富的功能:V2Ray自研的VMess协议,完善了Shadowsocks的一些不足,更难被GFW检测到。通过内置的路由功能,V2Ray可以灵活的实现转发、直连或者是阻止部分连接,通过不同的传入和传出协议组合,灵活转换通讯格式。采取多路复用技术,进一步提高上网的并发性能;还可以动态改变通信的端口,以此躲避大流量端口的限速封锁。