中國工作現況與心得 - 工程師

※ 引述《shotholisi (七月份好戲上場！！崩崩)》之銘言：
: → spirit119: 至於翻牆中共應當是有能力完全封鎖，只是目前沒這樣做 03/09 11:34
: 只講對一半！！不要把中共講的很佛心來的！
: 最近中共兩會期間，Express VPN 都連不上了！！
: 只剩NORD VPN 能連上！.
: ......他們中共確實想要全部封，只是目前封鎖技術沒到位！！哈哈哈！！
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^


年輕人還是Too Young Too Simple

你竟然說GFW 封鎖技術沒到位

VPN ?? 這個破玩意早在2014年年底，那次被共產黨 "火力展示"

在神祕的一天 GFW 按下神盾局的按鈕之後，全中國對外VPN全部失效

是，你沒看錯，全部失效，無一倖免

為什麼我叫他 "火力展示" ，因為大約一個月左右，之後慢慢有些VPN恢復...

是因為錢給夠了 (你發現VPN也漲價了)

還是一個月後發現GFW 那幾百台的 "曙光4000L" 這些超級電腦有點發燙

所以讓它們不要開全速，開70%跑 (我亂猜的)

當然現在的GFW在骨幹上，使用大"華為"設備就已經可以簡單的深度封包檢測

Deep packet inspection,DPI

為什麼有的VPN可以使用，真實理由並不清楚

但絕對不是你說的技術不到位

我只是想要表達 但是共產黨要擋VPN，簡直就是 一塊蛋糕

因為從2015年開始 SS，SSR，V2RAY這些翻牆方式 還沒開始流行

2015年的整個三月(兩會期間)。 五月到六四。10月1日共產黨國慶

三次又施行了火力展示，那三個月，所有VPN又是完全失效

後面又慢慢放開....




從技術面來講

因為所有的VPN都有缺點，所以被GFW抓到特徵點可以輕鬆辨識


1. Port 是固定的

PPTP的運作需要使用 TCP Port 1723 及 IP Protocol GRE(47)

L2TP的運作需要使用 TCP Port 1701 UDP Port 500、UDP Port 4500
及IP Protocol ESP(50)

Cisco VPN Client的運作需要使用 UDP Port 5000、
UDP Port 10000及IP Protocol ESP(50)

OpenVPN 原始不改使用的TCP協議和UDP協議的 Port 1194

唯一例外的是 OPENVPN 可以隨意改 Port 但是他一樣在那天被完美封鎖

從2014年底開始，可以精準的打擊OPENVPN，你送出的TCP握手封包

發出去後，就像分手的女朋友一樣，不會回來

你就算轉用UDP，含有伺服器認證證書的數據包，會被GFW故意丟棄


2. 明碼送出

你自己用一些 SNIFFER WireShark 抓封包就會看到

PPP Header 是明碼的




現在GFW的升級，從最早的阻擋IP，到後面的DNS汙染，關鍵字檢索

然後DPI深度封包檢查，到最新的TCP阻擋

竟然還有人在討論甚麼某某美國的 VPN 能不能用??

我也只能呵呵了，嚴格說起來VPN都是不能用的

不要講VPN 2019年了，現在SSR作者被請去喝茶之後

SS SSR 也幾乎是被幾乎精準的識別與打擊了

最後，GFW只要看到那一個IP海外流量過大，根本不用知道你是甚麼玩意再跑

她也不管，就直接先斷你幾分鐘再說，大陸網民用語叫抽風

這種抽風還是抽筋，很正常的

GFW的邏輯很簡單，反正你只要流出我大中國的流量都是不正常的

你就乖乖在超大型區域網內，給我看看甚麼愛奇異啊，看看中國有嘻哈

唱唱社會主義好這類的紅歌就對了








--