GFW防火墙屏蔽了国外的大部分网站IP地址,但是vps的ip是没有封禁的,所以用户访问被封禁的IP之前,要先访问vps,然后vps再访问被封的ip,vps起到一个代理中转站的作用,直到这个vps的IP也被gfw封禁。gfw防火墙和翻墙协议之间就是进行这个vps的IP是否被封禁做文章。
1.正常访问google失败过程(这里还有dns的内容,不展开说了)
访问google,客户端与google服务器建立tcp的三次握手连接
第四个包是https的明文握手包,里面包含了google.com这个域名,gfw只需要知道你访问的是google,就阻断这个连接,这就是墙。
2.最初的翻墙方式是通过vpn协议把https的明文给加密,让墙不知道用户在访问google
还是访问google,客户端先与位于美国的vps服务器建立tcp的三次握手连接,然后第四个包是vpn的加密数据包,里面的内容是不可见的,但是这种连接特征明显,gfw会精准识别出来你是vpn协议,直接封锁这个vps的ip。
3.这时候就有了shadowsocks翻墙协议简称ss,
还是访问google.com,客户端与美国vps建立tcp三次握手连接,第四个包是经过ss算法随机的加密的数据,没有任何特征,但是没有特征就是最大的特征,由于互联网流量要么是http的明文数据,要么是https的tls加密握手包,这种直接传输随机加密的数据不正常,gfw的深度包检测dpi技术,会识别到这种异常数据包,标记可疑,然后通过探测服务器,模拟ss客户端向vps发送请求,如果ss按照协议恢复就算是乱码,也能确定这就是ss协议服务器,所以此vps服务器ip。
4.这时候vmess就出现了,解决了ss客户端和服务器建立完tcp三次握手后,数据直接随机加密被识别的问题。vmess在第四个包正常建立tls握手
4.
用户电脑—-运营商网络—国内国际出口路由器—海底光缆—美国国际入口路由器—运营商网络—某个机房的vps虚拟服务器—目标网站google的服务器机房
这里vps虚拟服务器运行vpn协议和用户电脑建立vpn加密隧道,vps再和目标服务器google进行直连,流量再原路返回。
这种vpn是加密包,协议特征非常明显,gfw会检测到并且直接禁止你与vps的ip进行通信,也就是vps也被墙了。
2.
vpn翻墙被淘汰后,下一代翻墙协议诞生Shadowsocks
ss协议是,用户和vps之间的通信不再建立vpn隧道,而是建立应用层
方案原理简述
一台位于美国洛杉矶的支持KVM虚拟化的vps,运行ubuntu24版本,
一键安装代理内核sing-box
一键图形化面板s-ui
在图形化面板s-ui配置代理协议NaiveProxy
最终在手机上通过这个naiveproxy协议进行翻墙
一共分为4个模块
第一个:购买vps和配置vps,最终效果是可以使用ssh连接到服务器
第二个:购买域名,配置域名,最终效果是navie.youdomain.com指向你的vps的ipv4地址
第三个:给vps安装singbox内核和s-ui面板(用于web图形界面操作),最终效果可以在浏览器输入url访问这个s-ui图形界面
第四个:在s-ui面板里进行naive的配置(入站规则+tls模版+用户管理),最终效果是得到一个链接
第五个:在电脑&手机下载客户端并且粘贴链接,点击链接,完成。
直接ssh进入服务器
粘贴一键安装命令
bash <(curl -Ls https://raw.githubusercontent.com/alireza0/s-ui/master/install.sh)按照提示设置端口和url访问路径
浏览器输入url进入s-ui的web界面
发表回复