安全翻墙与反监控(2012年1月更新版)

2012年4月25日 | 分类: 翻墙相关 | 标签: , , ,

“黑夜给了我一双黑色的眼睛,我却用它来寻找光明”。32年前顾城的这首诗,成了今天网友们追求自由和光明的真实写照。在网上柏林墙筑起的同时,翻墙术也应运而生。本文将为在黑夜中摸黑翻墙的网友们点亮一支蜡烛。

中 共目前对互联网监管方式是多头监管。工信部主管互联网行业、公安部网监局、国安部、广电部主管互联网信息的内容审查、宣传部主管网络文化。其监控架构以国 家公共网络监控系统,也就是俗称的中国国家防火墙(GFW)、金盾工程为骨干,以各地局域网(各大网站、企事业单位、各大软件制造商、网吧)的监控系统为 辅助的一整套互联网监控体系。

中共开发GFW的最初目的是为了应对轮子的真相传播。由方滨兴主持研发的GFW安装在南北两大互联网运营商(中国电信,中国联通)的国家级网关(北京、上海和广州)的国际接口和主干网络省级网关接口处。它的主体是入侵防御系统。具备检测、防堵、攻击等多种功能。

1.关键字过滤:

GFW的第一道门就是关键字检测。通过对用户的IP数据包内容进行检测过滤,当发现有被列入黑名单的关键字时就重置TCP连接,阻断访问。并且能对往来的邮件内容进行检测。

2. IP封锁:

封锁境外被禁网站的IP地址,用户点击网页后出现”该页无法显示”。估计现在被列入GFW黑名单的网站、团体、个人有几十万之多。随着”白名单”制度的实施,届时没有被列入白名单的国外网站国内用户都将无法访问。(有关白名单制度后面会详细说明。)

3.域名劫持:

指将某个域名指向错误的IP,故意解析错误。如我们搜索被禁国外网站会被劫持到百度、在墙内下载国际版的软件会被自动导向中国版。

4.过滤HTTPS加密传输:

对使用HTTPS加密传输,而没有中国互联网络信息中心颁发的CA证书的数据包,实施拦截。

所 谓金盾工程是蛤蟆的大儿子江绵恒为公安部搞出来的东东。其实就是GFW的扩展和增强版,一个对中国公民进行全方位监控的综合体系。它除具备GFW的主要功 能外,与监控有关的还有网络嗅探、电子取证、发送木马病毒、远程同步监控、远程身份扫描(无线射频识别)、自动面部识别、电话窃听等等功能。

各地局域网的监控系统由网络安全制造商提供,设备土洋杂处。其信息过滤监控系统通常安装在内部服务器上对局域网内(如公司内部等)的信息进行监控。功能有关键字检测、软件使用限制(如聊天、下载软件等)、流量控制、记录用户日志、定位网站和个人用户IP地址等功能。

软 件制造商对网民的监控往往不为人知。如拼音加加输入法就是金盾工程的一个子项目,由公安部拨给资金开发,用于侦查和监控异议人士和民运组织。它会在用户打 字的时候自动收集输出用户信息。如果你经常输入那些关键字,发表敏感图片、说不定哪天国保就会登门请你去品品功夫茶。国内大软件商和当局的关系相当密切, 如瑞星、360都直接参与了GFW和金盾项目的研发,QQ还被公安指定用来报案。鉴于它的巨量用户,QQ承担了相当的维稳职能。近年来发生的多起异议人士 被捕案件都与QQ的告密有关。QQ是个极特殊的木马间谍软件,对于其危害的严重性,许多网友还不甚了解:只要你用了QQ,你就没有任何隐私和安全可言。它 会:

1.截取、监视你的屏幕和浏览的网页。

2.远程操控(复制、删除、修改 、移动)你硬盘里的资料。

3.控制你的应用软件,如监控你聊天软件通话内容、关闭浏览器、盗取网银、股票账户、邮箱密码等。

4. 收集主机硬件底层特征信息并定位用户IP地址。

很恐怖是吧,当然这只是对于被重点监控的人士采用的手法,而对一般的用户,只是把你的聊天内容在它的服务器上存档,以备调查。然后再趁你不在家的时候翻翻你的抽屉,看看你的日记……

2011年8月1日,中国互联网协会发布了《互联网终端软件服务行业自律公约》,首批签约名单中就有这些奸商。(请参阅资料:http://comon.cn/qyxw/listinfo.php?id=329)

避免使用这些软件是保障上网安全的最好办法。受限账户由于不具备管理员权限,能避免许多后门程序和木马病毒的侵入,安全性比较高。建议用此帐户上网。

附:”自律”软件商名单和推荐软件(链接大都是官网,都有免费中文版。限于篇幅,这里仅列出最臭名昭著且用户量大的软件商,疏漏之处,欢迎网友们举报,添加进黑名单。)

一.安全类:

黑名单:瑞星、360、金山、江民、QQ电脑管家、天网等杀毒软件、辅杀、防火墙系列。

推荐:
1. AVG

http://www.avgtaiwan.com/

2.ZA防火墙

http://www.zonealarm.com/

二.输入法类:

黑名单:QQ、拼音加加、搜狗、紫光、新华五笔、万能五笔等。

推荐:谷歌输入法

http://www.google.com/intl/zh-CN/ime/pinyin/

三.浏览器类:

黑名单:QQ、搜狗、瑞星、360、金山、闪游。

推荐:Opera国际版
注意官网是:http://www.opera.com/ ,而不是http://www.operachina.com/ ,最好翻墙下载,谨防被劫持到中国版。其他国际版软件以此类推。

四.聊天类:

黑名单:QQ、Skype、新浪UC、网易POPO、阿里旺旺、百度HI、飞信等。

* 提醒:欲继续使用QQ的用户,可下载QQ侦探来制止其扫描用户资料,窥探用户隐私的行为。但要说明的是:这个软件只能起到屏蔽QQ扫描,而对聊天内容却无 法加密,用QQ本身的加密功能没用,它根据需要随时可以解密你的聊天内容并提供给当局。QQ最好下载2010年前的版本,并关闭自动更新,以免QQ侦探被 破解。
QQ侦探官网:http://code.google.com/p/qqdetective/downloads/detail?name=QQDetective%201.0.3%20RC.7z&can=2&q=

推荐:Goole Talk

http://www.google.com/talk/intl/zh-CN/

*提醒:官网中文版本没有加密功能,英文版有。
以下是网友根据英文版制作的有加密功能的汉化版本,但未经安全测试,请自行分辨。http://blog.sina.com.cn/s/blog_6840d11e0100izor.html

五.搜索引擎类:

黑名单:百度、新浪、搜狐、网易、中搜、中国雅虎、奇虎、人民、盘古、腾讯搜搜、搜狗、有道。(参考资料:七家搜索服务商签署自律公约。http://baike.baidu.com/view/3068872.html?fromTaglist)

推荐:Google

六.播放器类:

黑名单:暴风影音

推荐:KMplayer

http://cn.kmplayer.com/

七.下载软件类:

黑名单:迅雷、网络传送带。

*提醒:欲继续使用迅雷的用户可下载以下版本屏蔽其扫描、上传用户隐私资料,注意关闭自动更新。
迅雷5.9.1.922去广告版全功能版:
http://down.qiannao.com/space/file/guke1991/share/2009/12/14/-8fc5-96f75.9.1.922-53bb-5e7f-544a-7248-5168-529f-80fd-7248.zip/.page

推荐:Orbit
http://www.orbitdownloader.com/

八.邮箱类:
黑名单:QQ邮箱、新浪邮箱、网易邮箱。

推荐:Gmail

针对的监控方式,我们反监控主要从隐藏自己的IP地址和加密上网、加密资料来入手。目前比较安全的翻墙方法是用VPN个人虚拟网络。VPN能隐藏IP地址和浏览内容,是比较安全的一种工具。这里给大家介绍几个免费VPN资源的网站:

http://allinfa.com/

如 果你只是浏览一些禁网,那用免费的翻墙软件已经足够了。每天国内那么多人翻墙,网警想管也管不过来。据说某地的公安还把免费的翻墙软件卖钱来捞外快。目前 应用最广的翻墙软件要属自由门、无界。自由门打开网站速度较快,无界超高加密,加密程度超过国际金融网络传输安全标准。但这两种软件都无法有效隐藏IP地 址,我们可以使用异次元代理+自由门的方式来隐藏IP。

下载链接(均需翻墙):

自由门:http://www.dongtaiwang.com/loc/phome.php?v=0

无界:
http://wujieliulan.com/

异次元代理:
http://tiandixing.org/viewtopic.php?f=15&t=35820&start=0

如果你不幸已经上了党的黑名单,那你得提防国保们的同步监控和电子取证技术。建议用虚拟系统和虚拟键盘操作上网,加密系统和重要资料(其实最安全的办法是不要把重要资料放在电脑硬盘里。),擦除使用痕迹及删除浏览器所有的历史记录等等。

下载链接:

VirtualBox虚拟机:
https://www.virtualbox.org/wiki/Downloads

安装教程:
http://news.myfiles.com.cn/3/172/172707.htm

虚拟键盘Keyboard:
http://www.comfort-software.com/buy-on-screen-keyboard.html

Security Task Manager
进程安全任务管理器:
http://www.neuber.com/taskmanager/chinese/index.html
*说明:这是一款相当好用的抓木马的软件,列出了系统所有的进程,并辅以安全评估。新手也可以很快上手。

让美国联邦调查局都头痛的加密软件:
T r u e C r y p t
http://www.truecrypt.org/

电子取证的克星——无影无踪5.0
http://www.xdowns.com/soft/6/12/2008/Soft_42006.html

突破关键字过滤的反和谐软件
http://fanghexie.tk/
*说明:此软件可能只对百度贴吧有效。

最 后别忘了删除CNNIC证书(也叫CA证书),以免功亏一篑。2011年7月19日,SSL证书颁发机构曾宣布其系统遭到入侵,导致许多网站的安全证书被 调换,其中包括谷歌。国际普遍认为是中国互联网络信息中心(CNNIC)有作案嫌疑。我们可以想象以下的场景:当你用Https加密访问某个敏感网站时, 由于这家网站真的安全证书已经被CNNIC调包,GFW再利用域名劫持把你引到虚假网站,就能轻而易举地破解你的加密内容。

最完整的删除CNNIC根证书安全上网的教程:
http://allinfa.com/delete-cnnic-root.html

来源http://morningbzy.wordpress.com/

  1. yang
    2012年5月25日21:40

    我翻墙就是玩玩,不要紧吧

  2. 路人甲
    2012年4月26日22:34

    国内的银行大都是国有的,他要没收你财产还用得着密码吗?当年土改没收富农财产要过同意书吗?
    国内的没有自发证书又要求https加密登入的网站,没了CNNIC就会出现错误。
    自己搜索一下,这类帖子刚开始流传就有人照做了,结果就是像下面的:

    《全球使命》 进入游戏遇到“CNNIC证书尚未安装,这会导致游戏登陆失败。

    这事就像上次有人提议把身份证的IC蕊片折坏,得到的唯一结果就是花了几个月去重刅证

  3. 路人乙
    2012年4月26日11:04

    删除了CNNIC证书 也不影响使用网银 根本是两回事
    网银一般有自己的证书, 用户可以自定义, 跟CNNIC有什么关系? 还一辈子离不了了…

    另外 删了CNNIC , 也有办法让它无法重新自动安装 ; 对于预防SSL中间人攻击, 防止被劫持到钓鱼站点,还是很有意义的。

    • 看笑话的
      2012年4月26日13:13

      是的 网银的数字证书,一般需要自己去下载 然后安装, 还可以导出、设置密码等等。 这样,完全不需要CNNIC证书也可以正常使用网银

  4. 路人甲
    2012年4月26日04:06

    CNNIC证书删了也会自动装上的,而且要真没了,支付宝,网银就不安全了。
    除了发反政府言论的人会想删了它,正常一辈子在国内生活的人离不了它。
    要发反政府言论的人也根本不用删它,因为他们都用 牢房门,有界,世界塞 之类翻墙工具。
    那密代理在https外加多了一层加密,无论里面的是https还是没加密http都能逃过GFW。

    • 路人乙
      2012年4月26日11:10

      阴阳怪气的 不懂装懂
      看这口气 想必是体制内的 ;一口一个反政府, 先搞清楚政党和政府的区别再来

    • 看笑话的
      2012年4月26日13:04

      没了CNNIC证书, 网银就不安全了? 谁告诉你的?
      CNNIC本身就是最不安全的因素
      网银有数字证书可以用 也可以自己设定为信任证书 还有客户端 不需要什么CNNIC来掺和
      没有CNNIC 网银会更安全 至少不用担心被CNNIC授权的某些人用伪造的证书来钓鱼获取你的网银帐号和密码…
      在目前普遍腐败的情况下 谁也不能保证CNNIC不会这么做 。

  5. 2012年4月25日23:25

    一直都只会用火狐~~现在安装了一个opera 想问一下opera最好的翻墙插件是?

    • iGFW
      2012年4月26日10:12

      我基本上没用过opera,你去扩展中心找找吗。(貌似没有,呵呵)

    • 看笑话的
      2012年4月26日13:09

      我用opera主要是浏览墙内网站的, 关闭java脚本,禁用插件功能,严格限制cookie … 在沙盘里运行
      opera的安全性是比较好的, 既然用来上墙内网站, 什么插件都不需要,也尽量不要安装插件(插件的安全性有待考察)

      翻墙,用google浏览器吧, 插件丰富,便于设置,安全性也不错

    • tiezh
      2012年4月26日21:14

      Opera 自动代理解决方案和代理菜单

      http://www.a-shun.com/archives/21451.html

      Opera里加个按钮,基本可以满足自动代理的要求。

  6. 福音乐章
    2012年4月25日18:01

    看到楼主分享了这篇文章,我真的好激动啊。