由于近年中国网路长城GFW已经不断的优化,导致传统一键翻墙的VPN效果大打折扣。许多技术论坛开始讨论自建梯子、SSR翻墙、V2ray协议是不是更靠谱等问题,本文将逐一说明,您将在本文中获得以下资讯:
- SSR节点与传统VPN比较
- 梯子翻墙与SSR节点推荐
- 什么是机场?
- SSR、V2ray、Trojan 技术讲解
自建梯子前言
自从去年(2020年)开始,由于防火长城GFW的更新。过去多数一键翻墙的VPN已经不能使用,有些朋友向我请教既然VPN不稳定,自建梯子的效果如何,是否有必要自建梯子?
几年前,大家还在玩PSP的年代里,PSP破解可以说是大家耳熟能详的字眼。城市间许多手机行甚至推出59人民币保证破解的宣传,然而还是许多没技术背景的坚持自己破解,搞得最后死机又因为破解没保固反而花上更多费用与时间来修复。如此一来不但浪费了自己宝贵的时间,在游戏体验上更是一个糟糕的经验。
目前来说,自建梯子通常采用SS或SSR协议,并且建议租令一台专属的Linux VPS来建置环境。由于过程相对复杂,如果您是程序小白、翻墙小白,本站建议直接选购某些已经产品化的以SSR节点做为基础的翻墙梯子软件。不但价格相较于自行购买VPS主机建置SSR通道更为便宜,通常也较自建的梯子具备更好的稳定性。毕竟某些厂商砸大钱购买高品质服务器(如AWS服务器每月开销上千美金),在稳定性上相对于自行购买便宜的主机更高(每月仅几十美金)。
我将在以下先介绍以SSR协议作为翻墙基准的软件,对于技术方面有兴趣的朋友,我也会在本文靠后依序介绍技术内容。
梯子与SSR节点推荐
首推梯子:光年VPN (LightYearVPN)
✅ 支付宝支援、✅ 免翻墙访问、✅ 百分百翻墙
光年VPN 使用了VPN, SSR, V2ray 协议,在翻墙稳表现上远远超过仅使用VPN协议的传统加密软件。由于其采用了亚马逊AWS服务器作为建置基础,如果一般用户想透过AWS自建梯子每月成本在300刀~上千刀(依流量而定),然而光年VPN仅需$2.86刀每月的价格。对于翻墙小白可以说是脱离传统VPN的首选。
以下我将简略描述光年VPN的优势与特色,关于光年VPN详细功能介绍与安装指南可以参考『光年VPN 使用指南』一文。
・高度隐私保障
自建SSR协议为基准的梯子,最大的问题在于隐蔽原始IP。由于SSR不像是VPS请求建立加密通道再进行讯息传输,泄露IP是用户势必会遇到的一个大问题,目前就连“蓝灯VPN、熊猫VPN”都无法避免这类问题。
光年VPN 则相对安全不少,经过专业IP检测工具的测试可以发现,光年VPN在连线后可以完全隐藏用户的IP讯息。网路警察仅能看到一个国外远端服务器的IP位置。
・速度最快的VPN
经过实际测速,光年VPN辗压了包含ExpressVPN在内的众多大厂,是目前我们所测试过上传下载速度最快的翻墙VPN软件。
梯子推荐(二):SurfShark
❌ 支付宝支援、✅ 免翻墙访问、✅ 百分百翻墙
SurfShark 是目前全球第三大的VPN厂商,去年(2020年) 开始重视中国市场的服务内容。有别于传统VPN软件,该软件在侦测到无法透过VPN翻墙时会自动切换到SS协议,可以说是一个完美实现百分百翻墙的高品质SS梯子软件。
以下我将简略描述 SurfShark 的优势与特色,关于 SurfShark 详细功能介绍与安装指南可以参考『SurfShark 使用指南』一文。
・全自动化节点与协议选择
SurfShark 针对高度网路审查地区(如中国),提供专属的翻墙节点。该软件不仅提供了VPN节点,更是提供了专门针对中国开发的SS节点,会在VPN服务无法使用时自动切换。
・速度表现优异
经过实测,SurfShark 在翻墙表现上仅落后光年VPN一些,速度相比ExpressVPN还是快了不少。达到83Mbps的下载与76Mbps的上传。
什么是机场?
・前情提要:VPS主机
在讨论自建梯子时,我们经常使用VPS主机来建置环境,所以要说机场我们得从VPS主机说起。VPS的全名为“虚拟网路服务器(Virtual Private Server)“,是把一台性能较高的服务器切割成数个可以独立作业的环境分租出去,用户可以想成把一间1000平米的大房子改建成十间100平米的独立套房,每间套房都有独立的卫浴设备。
・机场
通常我们们会向服务器供应商租令了VPS主机,并在上面搭建SS或SSR的传输协议进行翻墙。由于SS/SSR 最一开始以纸飞机做为Logo,因此俗称这些服务器节点为机场。
SSR、V2ray、Trojan 技术讲解
SSR(ShadowsocksR)
首先我们说一说SSR(ShadowsocksR),SSR(ShadowsocksR,為了閱讀方便以下統一簡稱SSR)其实就是一种加密软件,它把我们上网产生的一些数据包加密成了防火墙不认识的一些未知数据,防火墙他不知道我们的包里面是什么内容。那么这样的话,你的未知数据包多了以后,或者墙在某段时间内未知数据包的流量大了以后,防火墙他就会采取自己的一个行动,或是阻断你或是墙掉你。
那么具体是阻断还是墙掉,对于墙来说肯定是有那么一种风险机制在里面的。肯定是触发了某种层次的一个机制,它就会相应的对你采取什么样的一种行动。其中就在于你做了什么,时间点、流量大小等等都是判断依据。
我看到网上很多伙伴在心理上就是不喜欢 SSR 的,他们总认为SSR不安全,其实并不是这样的,就我的对目前资讯产业的了解,其实 SSR 比 V2ray 的能效要高。这就是为什么很多机场只有 SSR 服务,而没有 V2ray 服务的一些原因。
SSR 搭建也是有方法的,你若是按照什么网上千遍一律的那些教程来,那么大家配置的 SSR 就是千遍一律的,所以这样的数据包对于墙来说,就是最有特征的数据包了。
根据以上,如果想要自行搭建SSR 网路,也千万不要按照网路上大部分的人使用相同的教学(所以我有提到,这边是给热爱挑战的朋友)。我这边也不做特别教学,墙博士本身不是一个盈利网站,仅是提供我自身的翻墙经验给真正需要的朋友。教学不但会造成我自身的法律问题,一旦许多朋友看了我的教学去建立了SSR 这也将变成防火长城追踪的特征之一,过没多久也就失效了。
V2ray
V2ray 也是一种加密软件,它有着自己的一个 Vemess 加密协议。现在最流行的 V2ray 的配置方式,是 V2ray+ws+tls,还有一种方式就是 V2ray+ws+tls+Nginx。
在这里,大家首先需要知道TIS是什么,其实TIS翻译成中文就是传输层安全。大家需要知道 V2ray 的 TLS,并不是伪装,也不是混淆,他这是完整的真正的TIS。包括后面我们要说的WebSocket 也不是伪装,TLS 他是证书认证的机制,所以我们若是需要 TLS 就需要申请,证书需要申请域名 等等的一些。
证书当然是有免费的也有收费的,我们经常使用的就是免费的,我们经常使用的一件脚本里面的,自动申请证书都是免费的证书申请,基本上我们的证书都是来自 Let’s encrypt。这么一个证书签发机构,那么对于证书申请的办法,目前就我所知道使用的最多的也就是acme 的一个一键脚本,由于Let’s encrypt 的证书有效期只有三个月,那么也就是意味着我们每九十天就必须更新一次证书。而 acme 脚本它是每 60天 会帮我们自动更新一次证书,当然你也可以选择手动的去更新你的SSL证书。
好的我们清楚了TLS是什么,我们现在就来讲一讲WS,我们经常说的WS其实也就是 WebSocket,但是 WebSocket 和我们常见的 Socket 是完全两个不同的东西。WebSocket 他是使用80 端口作为一般的请求,使用443 端口作为传输加密层的一个端口,WebSocket 它的一个数据格式是比较轻量的,它的性能开销都很小,但是他的通讯效率特别的高。大家只要弄清楚WebSocket 和 Socket 是完全不同的两个东西就行了。
再来我们介绍Nginx,其实 Nginx 是俄国人编写的,一个十分轻量级的 http 服务器,那么我们目前国内有挺多网站,都是用 Nginx 作为 WEB 服务器,比如 新浪、163、腾讯呀等等。
其实大家只需要知道,Nginx 和我们搭建网站有挺大的关系也就好了。
V2ray+ws+tls
他其实就是把 V2ray 的 Vmess 协议途经 WebSocket 和 TLS 转化为 HTTPS 的数据包。那么其实对于墙来说,这个数据包它就是一个标准的网页访问的一个数据包,虽然防火墙不知道也不可能知道,这一个包里面具体的数据或者内容是什么,但是防火墙起码知道,这是一个标准的 HTTPS 访问的一种数据包,而不是什么未知的数据包。
因为墙他认识这种数据包,所以对于那种单纯只使用SSR 或者是 V2ray 原版服务产生的数据包来说V2ray+ws+tls 产生的 HTTPS 数据包,无疑是欺骗墙最好的办法。因为防火墙不可能从海量的 HTTPS 数据包中挑选出来哪种 HTTPS 是可疑的,哪种是不可疑的。
V2ray+ws+tls+Nginx
现在要说的就是 V2ray+ws+tls+Nginx,那么为什么要加上 Nginx,因为加上了 Nginx ,可以很好的隐蔽我们 VPS 上面,有 V2ray 这个软件简单的原理就是Nginx 监听本机的 V2ray 服务端口,然后把监听得到的数据转发给你。所以对于防火墙来说全程都是 Nginx 在暴露,V2ray 和墙那是一点联系都没有,所以说这种方式是最隐蔽的一种方式,但是这种方式的能效并不算是太高的,因为这种方式里面包含了 Vmess 的协议,还要经过TLS,还要经过 Nginx 来转发。所以说这种方式,大家还是自己选择或是不选择。
Trojan
最后我们就来说一说我们的 Trojan
其实 Trojan 的话,他翻译成中文就是木马病毒的一个意思,所以说我们把 Trojan 也成为木马。由于 Trojan 他是一个比较新型的翻墙软件,他这个开发者设计的时候估计是想到了更适合我们国情的一种思路。
在穿越防火墙的时候,我们总是想强加密或者是随机混淆的一些办法可能欺骗防火墙,但是Trojan 实现了这个思路的一个反面,他模仿了互联网上最常见的,就是我们刚才所说的HTTPS 的一个协议。他欺骗防火墙说我这个东西就是一个 HTTPS,从而不会被防火墙识别。
Trojan 它的工作端口是在443,如果是合法的Trojan 请求的话那么他就会为这种请求提供服务,如果你的Trojan 请求不合法的话,他就会将不合法的这种请求转交给你WEB服务器上面的Nginx,由Nginx 为那种流量服务那么基于这种工作原理。我们就可以知道Trojan 的一切表现和 Nginx 是一模一样,不会引入或产生额外的一些特征包,从而达到无法识别的一些效果。
大家也就应该知道了Trojan 其实也就是V2ray+ws+tls 的一个精简版。既然是精简版,那么 Trojan 在能效方面就会有更好的一个表现,其实在实际的测试过程中 Trojan 的速度也的确是比V2ray+ws+tls 快那么一点点
虽说 Trojan 是挺不错的啊,但是因为他这个软件还是比较新,所以说一些客户端的适配和软件的一个生态链就是一个问题。
具体的你要选择 SSR、V2ray还是 Trojan,那么还是要看大家自己的一个需求。其实这三种方式,我们最终实现的目的都是一样。