網絡監管下的上網代理類插件分析與研究

張正旭 許源

摘 ? 要：互聯網徹底改變了人們的傳統認知和生活方式，這既是機遇又是挑戰。人們在享受互聯網帶來便利的同時，也因不規范使用網絡，而產生很多網絡安全問題和隱患。文章從網絡安全和網絡監管的角度，對部分網民使用“翻墻”“上網代理”軟件，突破國內安全防火墻，對境外網站進行訪問而產生的網絡安全問題，從技術、法律、監管角度進行了分析和研究，并提供了有關問題的分析思路和檢驗方法。

關鍵詞：翻墻;上網代理;網絡安全;網絡監管

中圖分類號： TP393.4 ? ? ? ? ?文獻標識碼：A

1 引言

隨著信息技術的高速發展，網絡信息安全已經成為國家安全的重要組成部分。境外敵對勢力不斷從領土主權、侵犯人權、中國疫情威脅論等多層面、多維度抹黑打壓中國。很多外國網絡平臺上發布有大量反華視頻和言論，由于群眾接受信息的不對稱性，如果對此類信息不加以過濾和篩選的話，就會進入我國民眾的視野，極易蒙蔽民眾的視聽、誤導網民判斷，造成大量的危害性網絡輿情事件，從而破壞我國網絡社會的穩定，危害國家社會的安全。因此，境內外網絡通道的監督管理，對維護我國社會穩定具有十分重要的意義。然而，國內有不少網民出于獵奇，或從事灰黑產的各種需求，在不斷地嘗試翻越我國的防火長城，登錄瀏覽境外被禁平臺和網站，對我國的網絡信息安全造成了極大威脅，因此對上網代理類插件的分析，并提出相關監管策略顯得尤為重要。

突破網絡審查或突破網絡封鎖，俗稱“翻墻”。因為“翻墻”一詞在國內成為敏感詞匯，在許多搜索引擎、論壇中含有“翻墻”等詞匯的內容都被屏蔽刪除，現在主要使用“科學上網”“番羽土嗇”等詞匯來代替。防火長城（Great Firewall，GFW）通過域名劫持、封鎖端口、封鎖IP、過濾關鍵字等封鎖技術防止進入外網，而翻墻正是通過一定的技術手段，繞過防火長城，對國外網站進行訪問。

翻墻所用到的軟件或者插件俗稱“梯子”。它主要通過加密、代理和偽裝等方法，實現對防火長城的突破：加密和偽裝都是通過對原始信息的修改和掩蓋，以達到翻墻的目的，代理技術是通過與第三方代理服務器建立連接，間接的訪問被封鎖的互聯網。

最早的翻墻軟件是采取VPN技術實現。幾年前，Shadowsocks技術的出現，改變了傳統的VPN翻墻方式，也使得Shadowsocks類翻墻軟件漸漸成為主流。一年前，一款名為V2Ray的網絡轉發程序被應用于翻墻，并有漸漸取代Shadowsocks的趨勢。

2 翻墻原理及檢測方法

2.1經典的VPN技術

虛擬私人網絡（Virtual Private Network，VPN）是指在公共網絡上利用隧道協議建立的一種臨時的、加密的、安全的專用網絡，根據VPN的實現技術和協議，可將VPN劃分為OSI不同層次的VPN。常見的VPN主要有SSL模式、IPSec模式[1]、PPTP模式和MPL模式，幾種模式的原理及特點對比如表1所示。

在一般情況下，VPN類翻墻軟件更容易被檢測和阻止。

第一，VPN直接傳輸加密數據。在具有很高的安全性的同時，使VPN的流量特征變得很明顯，即使在網絡瀏覽時，也可以檢測到長會話。

第二，VPN控制的是電腦的整個網絡。連接到互聯網的流量都會經過VPN，但大多數在國內使用VPN的人使用的都是少數幾個VPS供應商提供的服務。

第三，VPN通常依賴于一些常見的互聯網協議。如表1所示，這些協議的特征，現在已經能夠被很好地被檢測和識別。

基于以上三點，可以很容易地識別VPS供應商，然后阻止他們的流量;也可以使用機器學習，識別來自VPN的流量的特征;還可以在國內網絡與國外網絡相連的幾個關鍵節點上，根據VPN傳輸的信息流來識別IP地址，通過這些方式檢測和“封殺”VPN翻墻軟件。

2.2 主流的Shadowsocks

近幾年，一種基于Socks5代理方式的名為Shadowsocks[3]（簡稱SS）加密傳輸協議開始應用于翻墻。Shadowsocks穿透防火長城時抗干擾性強，且對流量進行混淆加密。在使用Shadowsocks時，所有的流量在通過防火墻的同時，基本上都被識別為普通流量，比VPN更穩定，且價格更低。為此，Shadowsocks技術已經取代VPN技術成為翻墻工具主流。

相比之下，被動監測的方式并不能對Shadowsocks翻墻軟件進行很好的識別。從2019年5月起，防火長城已經啟用主動嗅探與被動監測相結合的手段來識別Shadowsocks服務器[4]。

首先監測網絡連接找出疑似Shadowsocks的連接，然后把自己偽裝成一個客戶端，模擬一個Shadowsocks請求發往疑似服務器的Shadowsocks端口。由于密碼是錯的，如果疑似服務器確為Shadowsocks服務器，會返回一個密碼錯誤的回包，這樣GFW雖然沒有直接連接疑似服務器，但是可以據此判斷疑似服務器是否是Shadowsocks翻墻服務器。很少量的合法連接便足以觸發對于Shadowsocks服務器的主動嗅探。只要Shadowsocks客戶端還在使用服務器，主動嗅探就會持續下去。GFW通常在合法連接到達服務器后的數秒內發送第一個主動探測。

2.3 新興的V2Ray

V2Ray是一個網絡轉發程序，支持TCP、WebSocket、mKCP三種底層傳輸協議。它除了支持HTTP、Shadowsocks、Socks三種已有的內容傳輸協議外，還支持V2Ray原創的加密傳輸協議VMess，并且有一個完整的TLS實現，是一個功能強大的平臺。

同Shadowsocks相比，V2Ray具有更完善的協議、更強大的性能和更豐富的功能：V2Ray自研的VMess協議，完善了Shadowsocks的一些不足，更難被GFW檢測到。通過內置的路由功能，V2Ray可以靈活的實現轉發、直連或者是阻止部分連接，通過不同的傳入和傳出協議組合，靈活轉換通訊格式。采取多路復用技術，進一步提高上網的并發性能;還可以動態改變通信的端口，以此躲避大流量端口的限速封鎖。