只有当他碰见了那样子的情形,他才会真正的明白

随笔 0 Comments

熟悉互联网的人都明白这次DNS故障的原因到底是什么, 但很奇怪的是除了铅球时报在那里胡说八道,几大互联网媒体几乎是万马齐喑的在搅混水,因为就算明白真相,他们也断然是不敢说的,我原本以为根本就不会有这样一篇新闻,话也不必多说,因为这次DNS故障,明白的人自然明白,不明白的人,也许你解释给他他就会明白,但既然他之前不明白,你解释给他明白他也未必真正的明白,因为只有当他碰见了那样子的情形,他才会真正的明白,在他没有碰到那种情形的时候,非要说他明白,那就是固执了。

首先衷心祝愿病魔早日战胜方校长,一定要战胜!前些时日说到,方校长的孽子孽孙升级了GFW,对openvpn的流量进行了特定封锁,主要是在TLS握手的时候,干扰握手过程,使得握手不成功,无法正常建立连接,解决方案是使用流量混淆补丁,在openvpn的每个数据包中插入随机数据,使得GFW无法识别出openvpn的流量。于是我又研究了一下流量混淆,因为有一个客户端的问题,上次并没有仔细的看,openvpn的流量混淆补丁的问题在于,必须从源代码进行编译,需要打patch,一般来说,服务端没有问题,windows和linux的客户端从源代码编译都是没有问题的,Mac和平板就非常麻烦了,Mac尚可使用下载xcode来编译的繁琐方式实现,ipad和安卓平板几乎是无法实现的,除非你去申请一个开发者帐号来从头编译openvpn的源代码,这是不现实的。

 

20140125001所以,我们需要换一个思路,我们需要一个跳板,理论上来说,GFW只对出国流量进行检测,并不对国内流量进行检测,我们需要两台服务器来实现,一台位于自由世界的服务器,例如香港的服务器,一台位于大陆的服务器,我们在大陆服务器和香港服务器之间建立无法被GFW干扰的vpn流量,也就是打了obfs patch的vpn流量,然后在大陆服务器上再启动一个vpn进程,用于大陆客户端的连接,由于之前编译的vpn程序已经打过patch,所以这个vpn执行文件必须重新正常编译,两个vpn进程不能使用同一个vpn程序。

换言之,大陆服务器负责转发从手机,平板客户端过来的加密未混淆流量,将加密未混淆的流量,进行混淆后发送给香港服务器,香港服务器再发送给目的地址,这样一来,GFW就看不到经过混淆后的流量,察察和警警就不知道我们什么时候访问过非死不可了。

这样做就可以避免修改各种客户端的配置,无论是平板,手机,还是普通电脑,直接使用原有的vpn配置连接到大陆服务器就可以了,至少目前GFW还没有对大陆局域网的流量进行针对性的检测和干扰,可以预见的是,随着计算能力的提高,局域网的检测和干扰并不是不可能的,我衷心期盼那一天的到来,因为,没有压迫,是不会有反抗的。