如何安全翻墙发言
翻墙方法有不少,不过从GFW的原理出发大致可以分成这几种:
1,DNS污染是GFW的基石,那么避开GFWDNS污染的方法有这几种:修改hosts(使得访问特定网站无需通过DNS服务器解析IP地址,而是直接连接对应IP),使用国外DNS服务器(数据加密传输,代表有dnscrypt和dnsforwarder)
2,除了DNS污染,GFW还拥有IP屏蔽·HTTP屏蔽以及关键词过滤这三个大杀器,解决方法有:VPN(所有的数据流经过对应VPN协议强加密后传输到VPN中央服务器,再由中央服务器作为ISP进行后续处理,数据传回时也是强加密),自由门 无界 tor i2p shadowsocks 等原理相同但只能进行部分代理(通常是浏览器代理)的翻墙工具,GAE类翻墙软件和SSH 赛风 等对特定数据流先不加密或弱加密(相对于VPN或SSL)传递到对应的代理服务器上,再由对应代理服务器进行后续处理,传回数据与传出数据加密程度相同。还有就是web代理,原理类似。
那么我们可以看到,只解决DNS污染的局限性很大,不少网站还是不能访问,而且修改HOSTS这个方法存在一个最严重的问题:目标网站可以看到你的公网IP!即便是那些有操守的网站,也有可能因为被御用crackers攻击而将你的个人信息泄露出去;如果是访问HTTP网站,墙内ISP可以知道你的任何举动,查水表很方便。至于DNScrypt和dnsforwarder,加密程度并不强,在加上有着很大的局限性,只能与其他翻墙工具配合使用。
在此简单说明一下公网IP的重要性:假设你是一个愤青,经常在家里上网发帖。某天,你头脑一发热,在某些网站(尤其是党国控制的网站)发表了恶毒攻击党、毁谤国家的言论。
很多网站会记录用户的访问记录。虽然网站不知道你是谁,但是他们可能会保存如下的用户访问记录:某个公网IP、在某个时间点、发表了某个言论。因此,你的这个抨击党国的行为,就被记录在案了。
然后,如果你的言论引起了“有关部门”的注意,它们会要求该网站提供上述的“用户访问记录”。通过该记录可以知道你发表言论时,所使用的公网IP及具体的时间点。
再然后,有关部门根据这个公网IP,可以判断对应的是哪个ISP(电信、网通、广电、等)。然后它们会找到这个ISP,调阅那个时间段的上网记录。通过这个上网记录,可以知道在那个时间段,这个公网IP分配给了哪一个终端用户。
对ISP来说,一旦定位到了终端用户,基本上也就知道你的家庭住址了。然后,有关部门就会直接去敲你家的门。俺估计,当年不幸被跨省追捕的王帅同学,就是这么暴露滴 :(
刚才说了在家上网的情况,假如你在组织机构里上网,其实也差不多。有关部门照样能通过网站的访问记录,定位到你所在的组织机构的公网IP。然后就到你上班的地方排查。这时候,距离你的彻底暴露,估计也就是一步之遥了。
而当你使用代理上网时,网站记录下的是代理服务器的IP而不是你的公网IP,这样就起到了隐匿身份的作用。
但并不是说挂了个代理就万事大吉了。请记住(尤其是电脑小白),所有的国产软件都是间谍软件,都会想方设法偷走你的个人信息并将其交给盖世太保们,那么接下来要做的就很简单了:把所有国产软件踢出自己的PC,用国外软件代替(不要傻乎乎的选择国产软件的国际版,一样是引狼入室):软件选择原则:开源优于闭源,非官方组织产品优于商业公司产品,天朝软件看都不要看。有些软件(QQ,迅雷)难以替代,那就把它们扔进虚拟机里(推荐虚拟机软件VMware和VirtualBox,教程请google,翻墙的都不是懒人)。
然后就OK了?没有!虽然所有的代理服务器一定都在国外(要不然怎么翻墙),但墙内的VPN服务提供商还是有可能在盖世太保们的压力下交出你的个人数据(在单重代理的情况下VPN中心服务器知道你的公网IP及其他个人信息,包括发言(HTTP网站)),那么你还是会被查水表。包括有两个著名国外VPN(strongVPN和asrill)也很可疑,他们的官网并未被GFW屏蔽,很有可能与盖世太保们达成了某种协议。那么其他的翻墙工具就安全了?也不是,自由门和无界一直既不开源也不肯说出具体原理,虽说他们的开发者不可能与共匪合作,但有可能有着可以被共匪利用的程序漏洞,这一点对于其他翻墙软件也是成立的(开源软件的漏洞容易被发现,但并不能彻底排除),所以说不管是什么样的单重代理都有着一定的风险,而且过于依赖中心服务器,一旦中心服务器被御用crackers黑了,你就只能等着被查水表了。
GAE类翻墙工具还存在其他安全隐患:GAE不原生支持HTTPS,碰到SSL只能这么解决:一般来说,在任何时候,要求操作根证书都是一个必须十分注意的事情。这个请记住。
根证书是预先存在电脑里的一些数据,构成认证服务器的身份的最后一环。https的安全性是这样实现的:你在访问一个服务器时,服务器提供身份的证明,这个证明也是用来加密的。但是我们必须确信我们收到的证明是服务器发的,而不是比如GFW或者什么人伪造的。这样就需要认证这个证明。现在的方法是说,我之前知道一些可信的证书,然后现在这个服务器和我的连接被经过这些证书直接或者间接地签署(签署是一种数学算法,可以通过运算提供这样一种作证)过,那么如果我信任这些可信的证书,也就信任了服务器的身份(不是伪造的,假设我相信这些证书的持有者,在认证这些服务器时是严谨的)。
先说12306的网站。它是本身就决不应该要求我们导入根证书的。它的意思是,我无法出示一个由公认的某些提供商所签署的证书,所以我在提供加密时,这样就会被浏览器爆出安全警告(浏览器无法确定12306提供的身份证明经过了认证)。于是它要求,那就把我的身份证明直接加进浏览器。但是这样,本身就是危险的,因为通过不加密的渠道下载它的根证书,这途径本来就可以被任何人截获篡改。再者,我们无法信任它利用根证书签署什么其他的证书。
浏览器不报ssl错误的条件是,浏览器能将建立ssl连接时收到的服务器的身份证明和附加的证书验证,并且构成一条信任链(比如google提供它的证书,证书被A提供商认证,A提供商被B提供商认证……),最后一个签署者的签名可以从浏览器预存的证书得以验证。假如浏览器没有找到验证的证书,就报错。
我猜测(因为我没用过goagent),goagent解决报错问题的方法是基于这样一个机制。作为一个代理,它在你的计算机和google的服务器之间的通信是明文的(最近改进为RC4-MD5加密,但强度依旧不够)。但是google上的服务器出口和目标网站之间,是https的。google的服务器通过加密渠道获取了目标服务器的数据,然后解密后通过明文发给你。但是这样在你的计算机上就不会显示https连接,而且这样做也不能做到任何安全性。所以goagent的替代办法是,在它收到明文后,再次装作一个支持https的服务器,和你的浏览器连接。但是这里的https出示的证书不可能是服务器自己的(没拥有服务器的私钥),只能是一个其他的受到你浏览器信任的证书。这就是goagent自己的。为了让你的浏览器信任,你才要事先导入goagent的证书。
而且因为这样所有的https在你的浏览器上的证书都被goagent截获和替换了,你访问任何网站都不会显示证书错误。
顺便提下:goagent的做法,其实就是中间人攻击——使用假的证书欺骗你的浏览器,然后解密你发送和接收的数据,然后这数据作为假的客户送给服务器。
为了验证我猜测的解释,建议你查看下通过goagent建立的ssl连接之后,浏览器显示的证书的具体细节,比如被谁签署。
应该不会是被什么其他的提供商签署的,只是被你导入的那个证书签署的。
这导致使用GAE类翻墙工具(goagent,wallproxy以及其他基于Google App Engine开发的翻墙工具)的用户无法防备真正的中间人攻击,一旦遭遇到(前段时间就发生了针对google的国家级中间人攻击),那你又会被查水表。即便运气好没遇到,无加密或弱加密的数据依旧很可能被解密监听,那么你又要被查水表了。
把浏览器和操作系统内下列天朝流氓证书移除可有效防止中间人攻击:CNNIC ROOT China Internet Network Information Center EV Certificates Root ROOTCA CFCA GT CA CFCA EV ROOT UCA Global Root UCA Root UCA EV Root SRCA Certification Authority of WoSign CA 沃通根证书 Class 1 Primary CA/WoSign 1999 ,移除方法:◇清理Windows的证书(适用IE、Chrome、Safari)
对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:
1. 运行Windows的证书管理器(到命令行执行certmgr.msc)。
2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4. 先翻墙到https://code.google.com/p/program-think/downloads/detail?name=cnnic.7z下载现成的CNNIC证书(要解压缩出来)。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。
7. 选中证书,点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9. 最后,一定要导入到“不信任的证书”中。
注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。◇清理Firefox的证书
不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“选项” ,打开选项对话框
2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3. 在证书对话框中,切换到“证书机构”。
4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。
注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。
其他流氓证书可以相同步骤被赶出去,如果说没有,那么请先google一下找到使用这些流氓证书的网站,只要访问一次后流氓证书就会自动被操作系统添加并信任,再进行处理。
现在我们看到最安全的方法就是多重代理,而且不要使用GAE类翻墙工具,不要相信墙内VPN提供商(事实上只要涉及到支付这一环节,盖世太保都很容易追踪到你,付费VPN比免费VPN危险多了)。
但不是随便拿两个翻墙工具就能组成可靠的多重代理。比方说VPN+自由门,VPN+shadowsocks,自由门+shadowsocks,都不是能显著提升安全性的方案。最佳方案是tor+前置代理或i2p(i2p比tor更安全,跳跃的结点更多,但速度极慢,而且i2p依赖于java环境,而近几年java爆出了不少高危漏洞)。TOR的原理:https://www.torproject.org/about/overview.html.en 简单来说TOR本身就是一个三重代理:因为 TOR 在全球有很多节点,当你利用 TOR 上网的时候,从你的电脑到某个网站,需要经过3个 TOR 节点。而且 TOR 的节点之间都是加密传输(HTTPS强加密,节点本身是1024位强加密)。所以,被你访问的网站,无从知道你的真实IP地址;不仅如此,为了防止出口节点(非SSL连接下出口节点知道你干了什么,一旦是蜜罐或被黑你又要被查水表了,不过迄今为止只有NSA有这个实力)知道你的太多信息和流量分析,每隔10分钟左右TOR就会随机选取3个新节点重新进行连接,这样可以最大限度的防止出口节点的偷窥。
但TOR名气太大了,是GFW重点监控对象,导致墙内基本无法直接正常连接;GFW也会重点监控TOR流量,从而增大流量分析的风险:如果你仅仅使用 TOR(没用双重代理)联网,然后经常到 A网站 发敏感言论。
假设1:
如果 GFW 对所有的 TOR 流量都做了记录(这只是假设,到底有没有,俺不晓得)
假设2:
A网站 对所有的用户留言做了记录(很多的国内网站都会记录)
假设3:
朝廷可以获取 A网站 的用户访问记录(只要是国内网站,朝廷肯定能拿到;至于国外网站,要看情况)
假设4:
朝廷针对 TOR 部署了关联分析的系统(这只是假设,到底有没有,俺不晓得)
如果上述这 N 个假设同时成立,那么,经过足够长时间的积累(具体需要多长时间,取决于你发帖的频繁度),关联分析系统可以猜测出你是谁。
为了规避风险,我们需要使用前置代理(挑选标准见前文,注意GAE类翻墙工具因为不原生支持HTTPS而无法作为TOR的前置代理),这样TOR流量就会被掩盖掉,流量分析也无从谈起。
不过还有更安全的方案,就是用虚拟机隐匿公网IP,从而保证本机软件总是通过代理联网(只有需要利用国产软件干一些敏感的事时才需要这么做),具体如何做请google,我不想培养懒人。
这些都做到了,但浏览器那还有漏洞:首先是绝对不要使用国产浏览器,不然你的防线会全线崩溃,其他国产软件同理;然后就是插件问题:先来扫盲一下插件和扩展的区别(连很多 IT 技术人员都把这两者混为一谈)。所谓的插件,洋文叫"plugin";所谓的扩展,洋文叫"extension"。两者的区别如下:
插件
在功能上,插件通常是用来渲染页面里的
翻墙方法有不少,不过从GFW的原理出发大致可以分成这几种:
1,DNS污染是GFW的基石,那么避开GFWDNS污染的方法有这几种:修改hosts(使得访问特定网站无需通过DNS服务器解析IP地址,而是直接连接对应IP),使用国外DNS服务器(数据加密传输,代表有dnscrypt和dnsforwarder)
2,除了DNS污染,GFW还拥有IP屏蔽·HTTP屏蔽以及关键词过滤这三个大杀器,解决方法有:VPN(所有的数据流经过对应VPN协议强加密后传输到VPN中央服务器,再由中央服务器作为ISP进行后续处理,数据传回时也是强加密),自由门 无界 tor i2p shadowsocks 等原理相同但只能进行部分代理(通常是浏览器代理)的翻墙工具,GAE类翻墙软件和SSH 赛风 等对特定数据流先不加密或弱加密(相对于VPN或SSL)传递到对应的代理服务器上,再由对应代理服务器进行后续处理,传回数据与传出数据加密程度相同。还有就是web代理,原理类似。
那么我们可以看到,只解决DNS污染的局限性很大,不少网站还是不能访问,而且修改HOSTS这个方法存在一个最严重的问题:目标网站可以看到你的公网IP!即便是那些有操守的网站,也有可能因为被御用crackers攻击而将你的个人信息泄露出去;如果是访问HTTP网站,墙内ISP可以知道你的任何举动,查水表很方便。至于DNScrypt和dnsforwarder,加密程度并不强,在加上有着很大的局限性,只能与其他翻墙工具配合使用。
在此简单说明一下公网IP的重要性:假设你是一个愤青,经常在家里上网发帖。某天,你头脑一发热,在某些网站(尤其是党国控制的网站)发表了恶毒攻击党、毁谤国家的言论。
很多网站会记录用户的访问记录。虽然网站不知道你是谁,但是他们可能会保存如下的用户访问记录:某个公网IP、在某个时间点、发表了某个言论。因此,你的这个抨击党国的行为,就被记录在案了。
然后,如果你的言论引起了“有关部门”的注意,它们会要求该网站提供上述的“用户访问记录”。通过该记录可以知道你发表言论时,所使用的公网IP及具体的时间点。
再然后,有关部门根据这个公网IP,可以判断对应的是哪个ISP(电信、网通、广电、等)。然后它们会找到这个ISP,调阅那个时间段的上网记录。通过这个上网记录,可以知道在那个时间段,这个公网IP分配给了哪一个终端用户。
对ISP来说,一旦定位到了终端用户,基本上也就知道你的家庭住址了。然后,有关部门就会直接去敲你家的门。俺估计,当年不幸被跨省追捕的王帅同学,就是这么暴露滴 :(
刚才说了在家上网的情况,假如你在组织机构里上网,其实也差不多。有关部门照样能通过网站的访问记录,定位到你所在的组织机构的公网IP。然后就到你上班的地方排查。这时候,距离你的彻底暴露,估计也就是一步之遥了。
而当你使用代理上网时,网站记录下的是代理服务器的IP而不是你的公网IP,这样就起到了隐匿身份的作用。
但并不是说挂了个代理就万事大吉了。请记住(尤其是电脑小白),所有的国产软件都是间谍软件,都会想方设法偷走你的个人信息并将其交给盖世太保们,那么接下来要做的就很简单了:把所有国产软件踢出自己的PC,用国外软件代替(不要傻乎乎的选择国产软件的国际版,一样是引狼入室):软件选择原则:开源优于闭源,非官方组织产品优于商业公司产品,天朝软件看都不要看。有些软件(QQ,迅雷)难以替代,那就把它们扔进虚拟机里(推荐虚拟机软件VMware和VirtualBox,教程请google,翻墙的都不是懒人)。
然后就OK了?没有!虽然所有的代理服务器一定都在国外(要不然怎么翻墙),但墙内的VPN服务提供商还是有可能在盖世太保们的压力下交出你的个人数据(在单重代理的情况下VPN中心服务器知道你的公网IP及其他个人信息,包括发言(HTTP网站)),那么你还是会被查水表。包括有两个著名国外VPN(strongVPN和asrill)也很可疑,他们的官网并未被GFW屏蔽,很有可能与盖世太保们达成了某种协议。那么其他的翻墙工具就安全了?也不是,自由门和无界一直既不开源也不肯说出具体原理,虽说他们的开发者不可能与共匪合作,但有可能有着可以被共匪利用的程序漏洞,这一点对于其他翻墙软件也是成立的(开源软件的漏洞容易被发现,但并不能彻底排除),所以说不管是什么样的单重代理都有着一定的风险,而且过于依赖中心服务器,一旦中心服务器被御用crackers黑了,你就只能等着被查水表了。
GAE类翻墙工具还存在其他安全隐患:GAE不原生支持HTTPS,碰到SSL只能这么解决:一般来说,在任何时候,要求操作根证书都是一个必须十分注意的事情。这个请记住。
根证书是预先存在电脑里的一些数据,构成认证服务器的身份的最后一环。https的安全性是这样实现的:你在访问一个服务器时,服务器提供身份的证明,这个证明也是用来加密的。但是我们必须确信我们收到的证明是服务器发的,而不是比如GFW或者什么人伪造的。这样就需要认证这个证明。现在的方法是说,我之前知道一些可信的证书,然后现在这个服务器和我的连接被经过这些证书直接或者间接地签署(签署是一种数学算法,可以通过运算提供这样一种作证)过,那么如果我信任这些可信的证书,也就信任了服务器的身份(不是伪造的,假设我相信这些证书的持有者,在认证这些服务器时是严谨的)。
先说12306的网站。它是本身就决不应该要求我们导入根证书的。它的意思是,我无法出示一个由公认的某些提供商所签署的证书,所以我在提供加密时,这样就会被浏览器爆出安全警告(浏览器无法确定12306提供的身份证明经过了认证)。于是它要求,那就把我的身份证明直接加进浏览器。但是这样,本身就是危险的,因为通过不加密的渠道下载它的根证书,这途径本来就可以被任何人截获篡改。再者,我们无法信任它利用根证书签署什么其他的证书。
浏览器不报ssl错误的条件是,浏览器能将建立ssl连接时收到的服务器的身份证明和附加的证书验证,并且构成一条信任链(比如google提供它的证书,证书被A提供商认证,A提供商被B提供商认证……),最后一个签署者的签名可以从浏览器预存的证书得以验证。假如浏览器没有找到验证的证书,就报错。
我猜测(因为我没用过goagent),goagent解决报错问题的方法是基于这样一个机制。作为一个代理,它在你的计算机和google的服务器之间的通信是明文的(最近改进为RC4-MD5加密,但强度依旧不够)。但是google上的服务器出口和目标网站之间,是https的。google的服务器通过加密渠道获取了目标服务器的数据,然后解密后通过明文发给你。但是这样在你的计算机上就不会显示https连接,而且这样做也不能做到任何安全性。所以goagent的替代办法是,在它收到明文后,再次装作一个支持https的服务器,和你的浏览器连接。但是这里的https出示的证书不可能是服务器自己的(没拥有服务器的私钥),只能是一个其他的受到你浏览器信任的证书。这就是goagent自己的。为了让你的浏览器信任,你才要事先导入goagent的证书。
而且因为这样所有的https在你的浏览器上的证书都被goagent截获和替换了,你访问任何网站都不会显示证书错误。
顺便提下:goagent的做法,其实就是中间人攻击——使用假的证书欺骗你的浏览器,然后解密你发送和接收的数据,然后这数据作为假的客户送给服务器。
为了验证我猜测的解释,建议你查看下通过goagent建立的ssl连接之后,浏览器显示的证书的具体细节,比如被谁签署。
应该不会是被什么其他的提供商签署的,只是被你导入的那个证书签署的。
这导致使用GAE类翻墙工具(goagent,wallproxy以及其他基于Google App Engine开发的翻墙工具)的用户无法防备真正的中间人攻击,一旦遭遇到(前段时间就发生了针对google的国家级中间人攻击),那你又会被查水表。即便运气好没遇到,无加密或弱加密的数据依旧很可能被解密监听,那么你又要被查水表了。
把浏览器和操作系统内下列天朝流氓证书移除可有效防止中间人攻击:CNNIC ROOT China Internet Network Information Center EV Certificates Root ROOTCA CFCA GT CA CFCA EV ROOT UCA Global Root UCA Root UCA EV Root SRCA Certification Authority of WoSign CA 沃通根证书 Class 1 Primary CA/WoSign 1999 ,移除方法:◇清理Windows的证书(适用IE、Chrome、Safari)
对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:
1. 运行Windows的证书管理器(到命令行执行certmgr.msc)。
2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4. 先翻墙到https://code.google.com/p/program-think/downloads/detail?name=cnnic.7z下载现成的CNNIC证书(要解压缩出来)。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。
7. 选中证书,点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9. 最后,一定要导入到“不信任的证书”中。
注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。◇清理Firefox的证书
不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“选项” ,打开选项对话框
2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3. 在证书对话框中,切换到“证书机构”。
4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。
注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。
其他流氓证书可以相同步骤被赶出去,如果说没有,那么请先google一下找到使用这些流氓证书的网站,只要访问一次后流氓证书就会自动被操作系统添加并信任,再进行处理。
现在我们看到最安全的方法就是多重代理,而且不要使用GAE类翻墙工具,不要相信墙内VPN提供商(事实上只要涉及到支付这一环节,盖世太保都很容易追踪到你,付费VPN比免费VPN危险多了)。
但不是随便拿两个翻墙工具就能组成可靠的多重代理。比方说VPN+自由门,VPN+shadowsocks,自由门+shadowsocks,都不是能显著提升安全性的方案。最佳方案是tor+前置代理或i2p(i2p比tor更安全,跳跃的结点更多,但速度极慢,而且i2p依赖于java环境,而近几年java爆出了不少高危漏洞)。TOR的原理:https://www.torproject.org/about/overview.html.en 简单来说TOR本身就是一个三重代理:因为 TOR 在全球有很多节点,当你利用 TOR 上网的时候,从你的电脑到某个网站,需要经过3个 TOR 节点。而且 TOR 的节点之间都是加密传输(HTTPS强加密,节点本身是1024位强加密)。所以,被你访问的网站,无从知道你的真实IP地址;不仅如此,为了防止出口节点(非SSL连接下出口节点知道你干了什么,一旦是蜜罐或被黑你又要被查水表了,不过迄今为止只有NSA有这个实力)知道你的太多信息和流量分析,每隔10分钟左右TOR就会随机选取3个新节点重新进行连接,这样可以最大限度的防止出口节点的偷窥。
但TOR名气太大了,是GFW重点监控对象,导致墙内基本无法直接正常连接;GFW也会重点监控TOR流量,从而增大流量分析的风险:如果你仅仅使用 TOR(没用双重代理)联网,然后经常到 A网站 发敏感言论。
假设1:
如果 GFW 对所有的 TOR 流量都做了记录(这只是假设,到底有没有,俺不晓得)
假设2:
A网站 对所有的用户留言做了记录(很多的国内网站都会记录)
假设3:
朝廷可以获取 A网站 的用户访问记录(只要是国内网站,朝廷肯定能拿到;至于国外网站,要看情况)
假设4:
朝廷针对 TOR 部署了关联分析的系统(这只是假设,到底有没有,俺不晓得)
如果上述这 N 个假设同时成立,那么,经过足够长时间的积累(具体需要多长时间,取决于你发帖的频繁度),关联分析系统可以猜测出你是谁。
为了规避风险,我们需要使用前置代理(挑选标准见前文,注意GAE类翻墙工具因为不原生支持HTTPS而无法作为TOR的前置代理),这样TOR流量就会被掩盖掉,流量分析也无从谈起。
不过还有更安全的方案,就是用虚拟机隐匿公网IP,从而保证本机软件总是通过代理联网(只有需要利用国产软件干一些敏感的事时才需要这么做),具体如何做请google,我不想培养懒人。
这些都做到了,但浏览器那还有漏洞:首先是绝对不要使用国产浏览器,不然你的防线会全线崩溃,其他国产软件同理;然后就是插件问题:先来扫盲一下插件和扩展的区别(连很多 IT 技术人员都把这两者混为一谈)。所谓的插件,洋文叫"plugin";所谓的扩展,洋文叫"extension"。两者的区别如下:
插件
在功能上,插件通常是用来渲染页面里的