張正旭 許源

摘 ? 要：互聯(lián)網(wǎng)徹底改變了人們的傳統(tǒng)認(rèn)知和生活方式，這既是機遇又是挑戰(zhàn)。人們在享受互聯(lián)網(wǎng)帶來便利的同時，也因不規(guī)范使用網(wǎng)絡(luò)，而產(chǎn)生很多網(wǎng)絡(luò)安全問題和隱患。文章從網(wǎng)絡(luò)安全和網(wǎng)絡(luò)監(jiān)管的角度，對部分網(wǎng)民使用“翻墻”“上網(wǎng)代理”軟件，突破國內(nèi)安全防火墻，對境外網(wǎng)站進(jìn)行訪問而產(chǎn)生的網(wǎng)絡(luò)安全問題，從技術(shù)、法律、監(jiān)管角度進(jìn)行了分析和研究，并提供了有關(guān)問題的分析思路和檢驗方法。

關(guān)鍵詞：翻墻;上網(wǎng)代理;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)監(jiān)管

中圖分類號： TP393.4 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

1 引言

隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)信息安全已經(jīng)成為國家安全的重要組成部分。境外敵對勢力不斷從領(lǐng)土主權(quán)、侵犯人權(quán)、中國疫情威脅論等多層面、多維度抹黑打壓中國。很多外國網(wǎng)絡(luò)平臺上發(fā)布有大量反華視頻和言論，由于群眾接受信息的不對稱性，如果對此類信息不加以過濾和篩選的話，就會進(jìn)入我國民眾的視野，極易蒙蔽民眾的視聽、誤導(dǎo)網(wǎng)民判斷，造成大量的危害性網(wǎng)絡(luò)輿情事件，從而破壞我國網(wǎng)絡(luò)社會的穩(wěn)定，危害國家社會的安全。因此，境內(nèi)外網(wǎng)絡(luò)通道的監(jiān)督管理，對維護(hù)我國社會穩(wěn)定具有十分重要的意義。然而，國內(nèi)有不少網(wǎng)民出于獵奇，或從事灰黑產(chǎn)的各種需求，在不斷地嘗試翻越我國的防火長城，登錄瀏覽境外被禁平臺和網(wǎng)站，對我國的網(wǎng)絡(luò)信息安全造成了極大威脅，因此對上網(wǎng)代理類插件的分析，并提出相關(guān)監(jiān)管策略顯得尤為重要。

突破網(wǎng)絡(luò)審查或突破網(wǎng)絡(luò)封鎖，俗稱“翻墻”。因為“翻墻”一詞在國內(nèi)成為敏感詞匯，在許多搜索引擎、論壇中含有“翻墻”等詞匯的內(nèi)容都被屏蔽刪除，現(xiàn)在主要使用“科學(xué)上網(wǎng)”“番羽土嗇”等詞匯來代替。防火長城（Great Firewall，GFW）通過域名劫持、封鎖端口、封鎖IP、過濾關(guān)鍵字等封鎖技術(shù)防止進(jìn)入外網(wǎng)，而翻墻正是通過一定的技術(shù)手段，繞過防火長城，對國外網(wǎng)站進(jìn)行訪問。

翻墻所用到的軟件或者插件俗稱“梯子”。它主要通過加密、代理和偽裝等方法，實現(xiàn)對防火長城的突破：加密和偽裝都是通過對原始信息的修改和掩蓋，以達(dá)到翻墻的目的，代理技術(shù)是通過與第三方代理服務(wù)器建立連接，間接的訪問被封鎖的互聯(lián)網(wǎng)。

最早的翻墻軟件是采取VPN技術(shù)實現(xiàn)。幾年前，Shadowsocks技術(shù)的出現(xiàn)，改變了傳統(tǒng)的VPN翻墻方式，也使得Shadowsocks類翻墻軟件漸漸成為主流。一年前，一款名為V2Ray的網(wǎng)絡(luò)轉(zhuǎn)發(fā)程序被應(yīng)用于翻墻，并有漸漸取代Shadowsocks的趨勢。

2 翻墻原理及檢測方法

2.1經(jīng)典的VPN技術(shù)

虛擬私人網(wǎng)絡(luò)（Virtual Private Network，VPN）是指在公共網(wǎng)絡(luò)上利用隧道協(xié)議建立的一種臨時的、加密的、安全的專用網(wǎng)絡(luò)，根據(jù)VPN的實現(xiàn)技術(shù)和協(xié)議，可將VPN劃分為OSI不同層次的VPN。常見的VPN主要有SSL模式、IPSec模式[1]、PPTP模式和MPL模式，幾種模式的原理及特點對比如表1所示。

在一般情況下，VPN類翻墻軟件更容易被檢測和阻止。

第一，VPN直接傳輸加密數(shù)據(jù)。在具有很高的安全性的同時，使VPN的流量特征變得很明顯，即使在網(wǎng)絡(luò)瀏覽時，也可以檢測到長會話。

第二，VPN控制的是電腦的整個網(wǎng)絡(luò)。連接到互聯(lián)網(wǎng)的流量都會經(jīng)過VPN，但大多數(shù)在國內(nèi)使用VPN的人使用的都是少數(shù)幾個VPS供應(yīng)商提供的服務(wù)。

第三，VPN通常依賴于一些常見的互聯(lián)網(wǎng)協(xié)議。如表1所示，這些協(xié)議的特征，現(xiàn)在已經(jīng)能夠被很好地被檢測和識別。

基于以上三點，可以很容易地識別VPS供應(yīng)商，然后阻止他們的流量;也可以使用機器學(xué)習(xí)，識別來自VPN的流量的特征;還可以在國內(nèi)網(wǎng)絡(luò)與國外網(wǎng)絡(luò)相連的幾個關(guān)鍵節(jié)點上，根據(jù)VPN傳輸?shù)男畔⒘鱽碜R別IP地址，通過這些方式檢測和“封殺”VPN翻墻軟件。

2.2 主流的Shadowsocks

近幾年，一種基于Socks5代理方式的名為Shadowsocks[3]（簡稱SS）加密傳輸協(xié)議開始應(yīng)用于翻墻。Shadowsocks穿透防火長城時抗干擾性強，且對流量進(jìn)行混淆加密。在使用Shadowsocks時，所有的流量在通過防火墻的同時，基本上都被識別為普通流量，比VPN更穩(wěn)定，且價格更低。為此，Shadowsocks技術(shù)已經(jīng)取代VPN技術(shù)成為翻墻工具主流。

相比之下，被動監(jiān)測的方式并不能對Shadowsocks翻墻軟件進(jìn)行很好的識別。從2019年5月起，防火長城已經(jīng)啟用主動嗅探與被動監(jiān)測相結(jié)合的手段來識別Shadowsocks服務(wù)器[4]。

首先監(jiān)測網(wǎng)絡(luò)連接找出疑似Shadowsocks的連接，然后把自己偽裝成一個客戶端，模擬一個Shadowsocks請求發(fā)往疑似服務(wù)器的Shadowsocks端口。由于密碼是錯的，如果疑似服務(wù)器確為Shadowsocks服務(wù)器，會返回一個密碼錯誤的回包，這樣GFW雖然沒有直接連接疑似服務(wù)器，但是可以據(jù)此判斷疑似服務(wù)器是否是Shadowsocks翻墻服務(wù)器。很少量的合法連接便足以觸發(fā)對于Shadowsocks服務(wù)器的主動嗅探。只要Shadowsocks客戶端還在使用服務(wù)器，主動嗅探就會持續(xù)下去。GFW通常在合法連接到達(dá)服務(wù)器后的數(shù)秒內(nèi)發(fā)送第一個主動探測。

2.3 新興的V2Ray

V2Ray是一個網(wǎng)絡(luò)轉(zhuǎn)發(fā)程序，支持TCP、WebSocket、mKCP三種底層傳輸協(xié)議。它除了支持HTTP、Shadowsocks、Socks三種已有的內(nèi)容傳輸協(xié)議外，還支持V2Ray原創(chuàng)的加密傳輸協(xié)議VMess，并且有一個完整的TLS實現(xiàn)，是一個功能強大的平臺。

同Shadowsocks相比，V2Ray具有更完善的協(xié)議、更強大的性能和更豐富的功能：V2Ray自研的VMess協(xié)議，完善了Shadowsocks的一些不足，更難被GFW檢測到。通過內(nèi)置的路由功能，V2Ray可以靈活的實現(xiàn)轉(zhuǎn)發(fā)、直連或者是阻止部分連接，通過不同的傳入和傳出協(xié)議組合，靈活轉(zhuǎn)換通訊格式。采取多路復(fù)用技術(shù)，進(jìn)一步提高上網(wǎng)的并發(fā)性能;還可以動態(tài)改變通信的端口，以此躲避大流量端口的限速封鎖。