反向连接翻墙研究

我们知道现在GFW已经有能力通过DPI以及模拟客户端行为全自动检测出很多种翻墙协议了,不限于SSH隧道、OpenVPN(证书模式)、早期有缺陷的shadowsocks(AEAD除外)、早期V2Ray中有缺陷的KCP(新版V2fly已修复)等协议。

对此,我做了一些测试:
1、如果在墙外架设这些协议的服务,墙内使用客户端去连接,很快端口就会被封;如果换端口继续使用,那么整个IP很快就会被封。
2、如果在墙内架设这些协议的服务(测试过OpenVPN-UDP证书模式、shadowsocks的rc4-md5加密、早期V2Ray的KCP,特地挑了这些已经被GFW识别的协议),墙外使用客户端去连接,经过一个多星期的测试,墙内墙外的IP都还活得好好的。
3、不管墙内访问墙外服务,还是墙外访问墙内服务,HTTP、SNI等明文传输域名等信息的服务(不需要DPI就能看到明文内容),只要碰到了关键字马上会被TCP RESET。

所以,我猜测GFW的DPI和模拟客户端检测只针对墙内发起连接到墙外,而墙外发起连接到墙内则不会触发GFW的DPI和模拟客户端检测(但会触发明文域名关键字等检测)。

我觉得这些信息给自建翻墙服务的人提供了一些帮助。通常来说自建的翻墙服务的很多人总是担心哪一天突然被检测到而封了端口或IP,而如果我的测试结果准确的话,可以通过反向连接的方式避免被墙(OpenVPN连接成功后直接支持双向发起链接,ss、v2等可以结合frp等服务再次反向发起链接)。

不知大家有没有做过这方面的测试研究?一起来分享一下。

1 Like

假设墙是单向的,购买国内服务器要实名,购买国内支付方式也是一笔费用,万一被服务商检测出来反向翻墙支付方式就没用了。若用自己的身份实名则可能要写保证书。并严密监控。

假设用自己的大陆公网ip作为反向代理,若被查出可能会写保证书。并可能严密监控。

另外大陆的服务器费用非常贵,10M带宽的服务器价格 约可以在国外购买/24 也就是254个ip地址的服务器。

故我认为反向翻墙不能比购买境外购买足够多的ip的价格代价小。

不过你的理论和测试值得参考。

但是我觉得墙是单向的,我认为**

墙是双向监测,单向封锁,即监测国外到大陆,大陆到国外,但是封锁仅针对大陆到国外。

**假设你一直用国外到大陆的反向翻墙,虽然不封锁,但可能已经定位到你正在翻墙。

首先,墙在很多时候是双向封锁的,比如我提到的HTTP、SNI等明文传输域名等信息的服务。但需要DPI和模拟客户端行为的时候才表现出单向封锁的行为。

这点相信不同的人有不同的考虑。现在很多机场主为了速度,反而会主动购买国内的服务器,通过国内中转(包括阿里云内网服务、腾讯AIA、IPLC、IEPL等)的方式提供给购买服务的翻墙用户。

所以这类胆大的人,完全可以使用反向链接的方式提供翻墙服务。反正即使不用反向链接翻墙,他们也早就购买国内服务器进行翻墙了。而使用反向链接翻墙,还能省去一笔中转的高质宽带费用。

是否使用反向链接翻墙,和被查到后的罪名严重程度并无关系。也就是说,如果你说的这条成立,那么使用普通连接方式翻墙的用户也会受到相同的处罚。而使用普通连接方式的重度翻墙用户会因为有可能被查到而放弃翻墙吗?既然不会放弃翻墙,而反向链接并不会增加罪名严重程度,所以如果测试结果准确,那么反向链接翻墙只会有益于翻墙而不会额外增加代价。

那些大厂的带宽确实十分昂贵。不过现在国内已经有了一些NAT VPS(没有公网IP,只给你10到20个TCP/UDP端口进行映射),流量和带宽费用已经和国外基本持平了(稍微贵那么一点,但不是很夸张了)。而这些NAT VPS,通常会被机场主买来提供翻墙服务(卖给很多很多翻墙用户)。

总而言之,如果对自身安全有很大顾虑的,仍旧可以考虑使用自己国内的公网IP地址反向链接翻墙(没有增加罪名——被抓到不管是普通连接还是反向链接罪名没区别,但能避免被墙)。而机场主本来就已经实名提供翻墙服务了,如果能减少费用而且还能避免被墙,那理论上同样会选择反向链接翻墙(没有增加风险,因为他早就已经实名了)。

反向翻墙有个先决条件,需要公网ip,大陆不一定提供公网ip,使用nat方向上网。在无法获取公网ip的情况下,反向翻墙则不可行。

并不一定需要公网IP——NAT穿透即可(类似frp的P2P模式,数据不经过frps服务器,两个frpc客户端之间直连,frps服务器只起牵线搭桥的作用。比如现在网上有很多免费提供frp服务的可以加以利用,或者使用其他NAT穿透方式也行),而且一方有公网IP(比如墙外VPS有公网IP)的话穿透成功率是100%

而且,我现在只是刚开始研究反向链接翻墙,并非要让所有人现在就要全都用上反向链接翻墙,普通用户里那些有公网IP的(没有公网IP的可以NAT穿透)又具有动手能力的可以先进行尝试。那些没有动手能力的,只能依赖于之后有没有人在现有的翻墙工具中加入反向链接模式了。而那些又没有公网IP的,也不想NAT穿透的,仍旧可以继续使用原有的翻墙模式,并不是说有了反向链接翻墙就要把普通连接翻墙全部取缔掉。而那些机场主购买的NAT VPS有映射端口,也等于是有了公网IP。

而现在要担心的并非是这些确定的因素,而是将来不确定的因素。比如:
1、有多少人会去尝试反向连接翻墙?
2、之后会有多少翻墙软件会加入反向连接模式?
3、GFW会不会因为反向连接翻墙使用的人增多而改变策略,将来DPI和模拟客户端行为同样会应用于国外往国内的连接?

我觉得这几点才是将来需要考虑的内容。

当然,我们也不能因噎废食——不能因为将来GFW可能改变策略而不去尝试新方法。其实很多翻墙软件都是在和GFW的斗争中一步一步升级过来的,GFW改变策略,那么翻墙软件就跟着改变策略进行反制。

反向翻墙,如果下载大文件,例如10GB/100GB的测试文件,测试过吗。

没有测试过一次性下载这么大的文件,你是担心大流量会被探测并封锁吗?

我的测试方法是通过反向连接翻墙后浏览网页,看会视频,然后再用一些自动化脚本不断跑流量,测试了一个多星期,暂时没发现被封IP的情况。

当然,如果有人一起参与测试,并分享各种各样自己的测试结果(比如大流量,又比如上传比下载多,或者其他测试),那是最好的。

BTW,我了解到有很多回国线路(海外人士翻墙回国,看一些Youku、爱奇艺的版权视频用的)用的就是这些已经被GFW识别的协议,但一直用的好好的。

另外需要指出的是,反向连接和反向代理是两回事。反向连接指的是连接由国外发起,连到国内。而反向代理依旧是国内连到国外(依旧是正向的普通的连接),只不过客户端不需要告诉反向代理服务器需要访问的目标网站,反向代理服务器自动通过预配置文件获取相关网站的内容返回给客户端。

1 Like

我想插一句,不管正向反向,连接建立之后都一样,所以“高质量带宽”的问题依然存在,不买CN2GIA的话下行(国外往国内传输数据)都慢,具体体现在用这个连接人在国内翻墙很慢,回墙浏览国内网站时从国外上传文件也很慢。如果只是在国外看国内综艺视频之类的无妨。

现在反向建立连接的人少,所以各种DPI检测只看一个方向,如果反向建立连接的人多了,应该很快会跟进。用一个GFW有能力很快检测(只是疏于检测)的手段参与“用的人多就要努力封锁”的猫鼠游戏不是很赚。

1 Like