Dalam artikel ini, kami membincangkan cara-cara untuk memintas blok VPN. Menggunakan VPN adalah cara terbaik untuk mengalahkan penapisan internet. Di bawah keadaan biasa, semua yang anda perlu lakukan ialah menyambung ke pelayan VPN yang terletak di suatu tempat yang tidak ditapis, dan anda mempunyai akses yang tidak disensor ke internet.


Masalahnya, sudah tentu, adalah ciri VPN ini. Dan sebagai hasilnya, mereka yang akan menapis internet anda juga cuba menghalang penggunaan VPN untuk memintas penapisan mereka...

Penapisan internet

Penapisan internet datang dalam banyak bentuk dan saiz. Contoh-contoh umum termasuk:

Penapisan kerajaan atas sebab-sebab politik dan / atau sosial

Contoh klasik termasuk Firewall Besar China dan penapisan negeri di Iran. UAE juga baru-baru ini menyentuh tajuk utama untuk mengkriminalkan penggunaan VPN dan sebagainya untuk memintas sekatan penapisannya. Untuk mendapatkan maklumat lanjut mengenai penggunaan VPN untuk memintas penapisan di negara-negara ini, lihat VPN kami untuk UAE dan VPN untuk panduan China.

Penapisan kerajaan atas sebab hak cipta

Hal ini menjadi semakin umum bagi pemerintah untuk menghalang akses ke laman web yang dianggap mempromosikan atau memudahkan pembajakan hak cipta. Bentuk penapisan ini amat biasa di daerah-daerah Eropah, dengan UK mengetuai pertuduhan. Rusia juga baru-baru ini meningkatkan usaha untuk menyekat akses kepada kandungan cetak rompak.

Kerja

Banyak tempat kerja yang cuba menghalang pekerja daripada mengakses kandungan yang mungkin menggangu atau menyinggung perasaan rakan-rakan lain (lihat Tidak selamat untuk bekerja). Atau yang mungkin mengalihkan perhatian mereka dari kerja (seperti berbual di media sosial). Sekatan tersebut biasanya difahami dalam konteks persekitaran kerja.

Sekolah dan kolej

Adalah perkara biasa bagi institusi pendidikan untuk menyekat akses kepada kandungan web. Apabila murid-murid di bawah umur, ini boleh dikatakan wajar. Namun begitu, di universiti dan institusi pendidikan tinggi di mana peserta adalah orang dewasa. Sesungguhnya tanggapan penapisan di institusi pengajian tinggi lebih daripada sekadar ironis!

Porno, media sosial, dan laman web yang dikaitkan dengan pelanggaran hak cipta biasanya merupakan sasaran utama. Walau bagaimanapun, tidak biasa, untuk kandungan politik untuk ditapis.

Internet ditapis

Malah lebih membimbangkan adalah menafikan akses kepada maklumat penting berkaitan isu sosial seperti nasihat dadah, kesihatan seksual, diskriminasi kaum dan / atau seksual, buli, dan banyak lagi.

Tapak web yang menyekat VPN

Ia menjadi semakin umum bagi laman web streaming media untuk menyekat penonton yang menggunakan VPN melangkau geo-larangan yang diletakkan pada perkhidmatan mereka. Contoh utama termasuk Hulu, US Netflix, dan BBC iPlayer.

Netflix cuba menyekat pengguna VPN

Alasan untuk blok tersebut hampir selalu kerana pemegang hak cipta ingin memaksimumkan keuntungan mereka dengan mengasingkan pasaran dunia secara buatan.

Pertimbangan undang-undang

Blok VPN diletakkan untuk alasan, dan orang yang meletakkannya biasanya mengambil pandangan yang kurang upaya untuk mengelakkan blok mereka.

Yang berkata, walaupun di negara-negara di mana VPN disekat (seperti China dan Iran), penggunaannya hampir tidak semestinya menyalahi undang-undang. Ini bermakna bahawa menghalang blok VPN akan hampir tidak akan membawa anda ke masalah dengan undang-undang.

Pengecualian yang ketara kepada peraturan umum ini ialah UAE, yang baru-baru ini mengumumkan bahawa sesiapa yang ditangkap menggunakan risiko VPN denda sehingga 2 Juta Dirham UAE (lebih AS $ 500,000) dan / atau masa penjara. Bagaimana dengan ketat ini dikuatkuasakan dalam amalan masih harus dilihat, tetapi berhati-hati adalah dinasihatkan apabila cuba mengelakkan blok VPN di UAE.

Sudah tentu, walaupun menggunakan VPN dan memintas sekatan VPN biasanya tidak menyalahi undang-undang, seolah-olah kandungan yang anda akses semasa menggunakan VPN mungkin.

Pertimbangan keselamatan

Apabila menggunakan rangkaian WiFi atau LAN peribadi, pemilik rangkaian itu mempunyai setiap hak undang-undang untuk menyekat apa yang boleh anda lakukan apabila disambungkan ke rangkaian mereka. Ini termasuk sekolah, universiti, pejabat, dan rangkaian rumah, dan sebagainya.

Peluang untuk menangkap sekatan VPN yang menghantui rangkaian semacam itu biasanya agak tipis, tetapi berpotensi menyebabkan penggantungan, pemecatan, dan langkah disiplin lain.

Oleh itu, dengan berhati-hati mempertimbangkan sama ada manfaat menghalang blok VPN membenarkan masalah yang berpotensi, sekiranya anda terperangkap.

Bagaimana blok VPN berfungsi

Penggunaan VPN boleh dicegah dalam beberapa cara, dan organisasi yang serius menyekat VPN sering menggabungkan teknik.

Ambil perhatian bahawa dengan pengecualian China (di mana semua trafik internet ke dan dari China terhad kepada hanya 3 titik kawalan kerajaan), blok VPN kerajaan (dan penapisan) hampir selalu dilakukan oleh ISP pada arahan kerajaan.

Taktik biasa untuk blok VPN termasuk:

Menyekat akses ke laman web VPN

Jika anda tidak dapat mengakses tapak web pembekal VPN maka anda tidak boleh mendaftar untuk perkhidmatannya atau memuat turun perisiannya. Bentuk penapisan ini biasanya meluas ke tapak web peninjau VPN (seperti ProPrivacy.com) dan laman web lain yang didedikasikan untuk kaedah mengelakkan penapisan.

Walaupun jarang taktik yang digunakan, menyekat akses ke laman web VPN adalah tambahan yang sangat umum kepada kaedah lain yang digunakan.

Menyekat IP pelayan VPN yang diketahui

Tidak terlalu sukar untuk mengetahui alamat IP pelayan VPN yang digunakan oleh penyedia VPN. Dan kemudian menyekat akses kepada mereka.

Ini adalah cara yang paling biasa untuk mencegah penggunaan VPN, dan apabila digunakan bersama-sama dengan menyekat akses ke laman web VPN, biasanya tahap kebanyakan blok VPN.

Memandangkan sebilangan besar penyedia VPN di luar sana, dan kesulitan untuk menjejaki menukar alamat IP pelayan, kebanyakan organisasi menetap untuk mengharamkan hanya perkhidmatan VPN yang lebih popular. Ini bermakna pengguna perkhidmatan VPN yang lebih kecil dan kurang sering boleh "slip di bawah radar".

Penghalang pelabuhan

Secara lalai, OpenVPN menggunakan port 1194 (UDP, walaupun ini dapat dengan mudah diubah menjadi TCP). Protokol VPN lain menggunakan port yang berlainan. Oleh itu, cara yang mudah tetapi berkesan untuk menyekat VPN adalah dengan menggunakan firewall untuk menyekat pelabuhan-pelabuhan ini.

Pemeriksaan paket dalam (DPI)

Pemeriksaan paket dalam adalah "satu bentuk penapisan paket rangkaian komputer yang mengkaji bahagian data (dan mungkin juga pengepala) paket apabila ia melewati titik pemeriksaan." Pelbagai teknologi digunakan untuk DPI, dengan tahap keberkesanan yang berbeza.

Data yang dikemas kini oleh protokol VPN, bagaimanapun, sangat mudah untuk digunakan menggunakan teknik DPI yang agak asas. Kandungan paket terus disulitkan dengan selamat, tetapi DPI dapat menentukan bahawa ia telah dienkripsi menggunakan protokol VPN.

Menggunakan DPI untuk mengesan lalu lintas VPN pastinya merupakan langkah serius dalam bahagian organisasi yang melakukan DPI.

Penyelesaian Mudah

Gunakan sambungan mudah alih

Ok, jadi ini tidak akan berfungsi untuk mengelakkan blok kerajaan, tetapi ia akan berfungsi di sekolah, kolej, di tempat kerja, dan lain-lain. Dan selalunya penyelesaian paling mudah. Daripada menggunakan VPN untuk mengakses kandungan yang disekat pada rangkaian setempat, cuma akses pada peranti mudah alih anda menggunakan sambungan mudah alih anda (seluler).

Ini bermakna bahawa anda perlu membayar caj data mudah alih biasa anda, tetapi ia membolehkan anda menyemak akaun Facebook anda tanpa sedikit usaha dan sedikit peluang untuk menghadapi masalah untuk itu.

Cuba pembekal VPN dan / atau pelayan yang berbeza

Seperti yang telah diperhatikan, menjejaki semua alamat IP yang dimiliki oleh semua penyedia VPN adalah tugas yang penting. Oleh itu, beralih kepada perkhidmatan VPN berprofil rendah adalah cukup sering untuk mengelakkan blok IP selimut. Walaupun sesetengah IP milik VPN tertentu disekat, hanya menukar kepada yang berlainan yang dijalankan oleh penyedia yang sama mungkin berfungsi.

Sesetengah penyedia VPN kerap mengitar semula alamat IP mereka. Ini menjadikan pelacakan perubahan dan menyekat IP baru sebagai sakit kepala utama. Taktik ini sering dirujuk sebagai permainan "whack-a-mole". Adalah bernilai meminta penyedia anda jika ini adalah sesuatu yang ia lakukan.

Tidak banyak penyedia VPN yang menyokong sepenuhnya IPv6 (Mullvad adalah satu-satunya yang saya tahu). Ini hampir pasti berubah, bagaimanapun, apabila alamat IPv4 baru menjadi tidak tersedia. IPv6 sangat mengembang bilangan alamat IP yang tersedia. Ini bermakna bahawa apabila IPv6 menjadi lebih banyak digunakan, blok IP mudah akan menjadi kurang dan kurang berkesan.

Gulung VPN anda sendiri

Pilihan yang lebih ekstrim tetapi sangat berkesan adalah untuk menjalankan pelayan VPN anda sendiri dan kemudian menyambungkannya dari lokasi yang ditapis.

Oleh kerana pelayan VPN milik anda, ini tidak memberikan manfaat privasi biasa menggunakan perkhidmatan VPN komersial. Walau bagaimanapun, ia memberi anda alamat IP VPN unik anda sendiri, yang tidak akan disekat.

OpenVPN dipasang pada VPS

Anda boleh setup PC rumah untuk bertindak sebagai pelayan VPN peribadi anda, atau menyewa dan mengkonfigurasi VPS (yang juga bagus untuk geospoofing). Sekiranya rolling VPN anda sendiri pada VPS kelihatan terlalu sukar, PrivatePackets.io boleh melakukan pengangkat berat untuk anda.

Alamat IP khusus

Sesetengah VPN menawarkan alamat IP berdedikasi. Ini bermakna bahawa bukannya berkongsi IP dengan banyak pengguna lain, anda diberikan IP unik (sama seperti jika anda melancarkan VPN anda sendiri). Kerana IP ini unik kepada anda, sangat tidak mungkin disekat oleh laman web seperti Netflix dan BBC iPlayer. Sama seperti bergolek VPN anda sendiri, namun, ia tidak mempunyai manfaat privasi menggunakan alamat IP yang dikongsi.

Buka iPlayer dengan VPN

Datang bersedia

Apabila melawat tempat-tempat seperti China, salah satu taktik yang paling berkesan hanya datang bersiap! Mendaftar untuk perkhidmatan VPN dan memuat turun perisian sebelum lawatan anda. Walaupun akses kepada akses ke laman web penyedia VPN disekat, sambungan VPN sendiri sering tidak.

Sekiranya anda gagal untuk menyediakan (atau tidak pernah mendapat peluang), teknologi penapisan alternatif boleh digunakan untuk mengakses laman web VPN. Anda kemudiannya boleh mendaftar dan memuat turun perisian mereka.

Rangkaian Tor

Tor adalah lebih baik untuk memberikan anonimiti daripada pada penapisan. Ini adalah kerana kemudahan akses kepada nod Tor boleh disekat. Jambatan Tor boleh digunakan untuk memintas blok IP pada nod Tor, dan obfsproxy (lihat di bawah) boleh digunakan untuk menyembunyikan trafik Tor dari pemeriksaan paket Deep.

Pelayar Tor

Shadowsocks (Bahasa Cina: 影 梭)

Ini "adalah aplikasi proksi sumber terbuka, yang digunakan secara meluas di tanah besar China untuk memintas penapisan Internet. "Ia adalah alat / protokol / alat anti-GFW sumber terbuka yang dicipta oleh pemaju China. Pada dasarnya ia adalah proksi SOCKS5 yang tersedia untuk kebanyakan platform utama.

Surge

Ini sama dengan Shadowsocks, tetapi hanya tersedia untuk iOS.

Lahana

Berasal dari Tor, Lahana direka untuk menyelesaikan masalah Tor dengan nod keluar yang mudah disekat dengan menjadikannya "bodoh mudah" untuk menyusun nod baru. Lahana direka untuk mengalahkan penapisan di Turki, tetapi juga harus berfungsi dengan baik dalam banyak keadaan penapisan lain.

Psiphon

Ini menggunakan gabungan teknologi VPN, SSH dan teknologi pemalsuan untuk memintas penapisan. Sekiranya anda menghadapi blok apabila menggunakan VPN, sebagai contoh, anda boleh bertukar ke SSH atau SSH + (SSH +) yang diketuai. Salah satu perkara terbaik mengenai Psiphon ialah jika anda mendapati laman web Psiphon disekat, anda boleh meminta perisian tersebut dihantar kepada anda melalui e-mel.

Psiphon Windows SSH

Sebenarnya, kebanyakan pembekal VPN juga akan gembira membolehkan anda mendaftar dan memuat turun perisian mereka melalui e-mel. Tanya sahaja.

Tukar nombor port

Ramai pelanggan VPN tersuai membolehkan anda menukar port yang mereka gunakan. Ini adalah cara yang baik untuk mengalahkan pelabuhan menyekat. Pilihan pelabuhan yang paling popular untuk digunakan ialah:

Port TCP 80 - ini adalah penggunaan pelabuhan oleh semua lalu lintas internet "biasa" yang tidak disulitkan. Dengan kata lain, ia adalah port yang digunakan oleh HTTP. Menyekat pelabuhan ini berkesan menghalang internet, dan oleh itu hampir tidak pernah dilakukan. Kelemahannya adalah bahawa walaupun teknik DPI paling primitif akan melihat trafik VPN menggunakan port ini.

Port TCP 443 - ini adalah port yang digunakan oleh HTTPS, protokol yang disulitkan yang menjamin semua laman web selamat. Tanpa HTTPS, tiada bentuk perdagangan dalam talian, seperti membeli-belah atau perbankan, mungkin. Oleh itu, sangat jarang bagi pelabuhan ini untuk disekat.

Dan sebagai bonus tambahan, trafik VPN pada port TCP 443 dialihkan dalam penyulitan TLS yang digunakan oleh HTTPS. Ini menjadikan lebih sukar untuk menggunakan DPI. Pelabuhan TCP 443 oleh itu adalah pelabuhan yang digemari untuk mengelakkan blok VPN.

Kebanyakan penyedia VPN menawarkan keupayaan untuk menukar nombor port menggunakan perisian tersuai mereka (terutama apabila menggunakan protokol OpenVPN).

Walaupun anda tidak, banyak pembekal VPN benar-benar menyokong OpenVPN menggunakan port TCP 443 di peringkat pelayan. Anda boleh menukarnya dengan mengedit mudah ke fail konfigurasi OpenVPN (.ovpn) anda. Oleh itu, adalah bernilai meminta penyedia VPN anda tentang perkara ini.

Pilihan lain ialah menggunakan protokol SSTP (jika ada), yang menggunakan port TCP 443 secara lalai.

Penyelesaian lanjutan

Sesetengah penyedia VPN menawarkan penyelesaian penghalang VPN yang lebih maju yang direka untuk mengalahkan teknik DPI yang lebih sensitif. Teknik tersebut menganalisis saiz paket dan / atau masa untuk mengesan jabat tangan OpenVPN yang agak tersendiri, walaupun tersembunyi di belakang HTTPS.

Sangat sensitif (dan oleh itu juga sangat mahal, dan jarang digunakan) DPI juga boleh mengesan penggunaan VPN apabila menggunakan taktik yang digariskan di bawah. Terdapat 2 pendekatan asas untuk penyembunyian VPN canggih:

terowong / SSL terowong

stunnel adalah program multi-platform sumber terbuka yang mencipta terowong TLS / SSL. TLS / SSL adalah penyulitan yang digunakan oleh HTTPS, jadi sambungan VPN (biasanya OpenVPN) yang diarahkan melalui terowong TLS / SSL oleh itu sangat sukar untuk diberitahu selain daripada trafik HTTPS biasa.

Ini kerana data OpenVPN dibungkus dalam lapisan tambahan penyulitan TLS / SSL. Oleh kerana teknik DPI tidak dapat menembusi enkripsi lapisan "luar" ini, mereka tidak dapat mengesan penyulitan OpenVPN "di dalam".

Terowong SSL biasanya dibuat menggunakan perisian stunnel. Ini mesti dikonfigurasi pada kedua pelayan VPN dan komputer anda. Oleh itu, adalah perlu untuk membincangkan situasi dengan penyedia VPN anda jika anda ingin menggunakan terowong SSL (panduan setup tersedia di sini untuk rujukan).

AirVPN SSH tunnel SSL

AirVPN adalah satu-satunya pembekal VPN yang saya tahu untuk menawarkan fungsi stunnel "keluar dari kotak" menggunakan perisian sumber terbuka adatnya. Saya tidak biasa dengan Anonyproz, tetapi ia boleh dikonfigurasi untuk stunnel, dan penyedia lain mungkin juga menawarkan ciri ini.

Terowong SSH

Ini serupa dengan terowong SSL, kecuali data VPN dibungkus di dalam lapisan penyulitan Shell Secure (SSH) sebaliknya. SSH digunakan terutamanya untuk mengakses akaun shell pada sistem UNIX. Penggunaannya adalah terhad kepada dunia perniagaan, dan tidak ada tempat yang popular seperti SSL.

Sama seperti terowong SSL, anda perlu berbincang dengan pembekal VPN anda untuk mendapatkannya berfungsi. Sekali lagi, AirVPN menyokongnya "di luar kotak".

Terowong SSH menggunakan klien telnet / SSH PuTTY, dan panduan persediaan yang agak mudah boleh didapati di sini.

Obfsproxy (dan teknologi yang serupa)

Obfsproxy adalah alat yang direka untuk membungkus data ke lapisan obfuscation. Ini menjadikannya sukar untuk mengesan bahawa OpenVPN (atau mana-mana protokol VPN lain) sedang digunakan.

Ia telah diterima pakai oleh rangkaian Tor, sebahagian besarnya sebagai respons kepada China menyekat akses kepada nod Tor awam. Ia bebas dari Tor, bagaimanapun, dan boleh dikonfigurasi untuk OpenVPN .

Untuk berfungsi, obfsproksi perlu dipasang pada komputer klien (menggunakan, misalnya, port 1194), dan pelayan VPN. Walau bagaimanapun, semua yang diperlukan adalah bahawa baris arahan berikut dimasukkan ke dalam pelayan:

obfsproxy obfs2 -dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Ini memberitahu obfsproxy untuk mendengar pada port 1194 (contohnya), untuk menyambungkan setempat ke port 1194 dan menyampaikan data yang dikodkan ke dalamnya (x.x.x.x harus digantikan dengan alamat IP anda atau 0.0.0.0 untuk mendengar pada semua rangkaian rangkaian). Ia mungkin terbaik untuk menyediakan IP statik dengan pembekal VPN anda supaya pelayan mengetahui port mana yang hendak didengar.

Berbanding terowong dan terowong SSH, obfsproksi tidak selamat. Ini kerana ia tidak membungkus lalu lintas dalam enkripsi. Walau bagaimanapun, ia agak mudah untuk ditubuhkan dan dikonfigurasi, dan mempunyai overhead bandwidth yang jauh lebih rendah kerana ia tidak membawa lapisan penyulitan tambahan. Ini boleh menjadi sangat relevan bagi pengguna di tempat-tempat seperti Syria atau Ethiopia, di mana jalur lebar sering merupakan sumber kritikal.

Sesetengah penyedia boleh menggunakan teknologi alternatif yang serupa dengan obsfproxy. BolehVPN, sebagai contoh, menggunakan obfuscasi XOR untuknya "xCloak" pelayan.

Addendum

Nota di UAE

Penyelesaian maju di atas untuk menyekat VPN mungkin akan menghalang penggunaan VPN dikesan oleh teknik DPI (walaupun Emiriah Arab Bersatu telah melabur dalam sistem pengawasan internet yang canggih).

Adalah dipercayai, bagaimanapun, bahawa ISE UAE juga boleh mengekalkan pangkalan data IP pelayan pelayan VPN yang luas. Mereka mungkin dengan mudah dapat menentukan bahawa anda menggunakan VPN hanya dengan IP yang anda sambungkan (seperti laman web seperti Netflix lakukan).

Pada hakikatnya, nampaknya tidak mungkin anda akan didakwa hanya untuk menggunakan VPN untuk menonton Netflix di UAE. Sekiranya anda mengabaikan pihak berkuasa dengan cara tertentu, namun hakikat bahawa anda menggunakan VPN boleh memberi mereka senjata berbahaya untuk digunakan terhadap anda.

Kami sentiasa mengesyorkan berhati-hati ekstrem apabila mempertimbangkan menggunakan VPN di UAE.

Nota di laman web yang menghalang pengguna VPN

Bentuk penyekatan ini boleh mencabar untuk diatasi. Memilih penyedia VPN berprofil rendah, atau yang kerap mengitar semula IPnya, boleh menjadi berkesan. Percubaan dan kesilapan adalah kunci di sini.

Kami menasihatkan anda untuk memanfaatkan sepenuhnya sebarang percubaan percuma dan jaminan wang balik yang ditawarkan. Ini akan membolehkan anda mengetahui sendiri perkhidmatan VPN yang berfungsi untuk kandungan yang ingin anda strim.

Ingat bahawa perkhidmatan yang berfungsi hari ini boleh disekat esok. Oleh itu, adalah idea yang baik untuk membayar langganan satu bulan pada suatu masa. Ini hampir selalu lebih mahal daripada membayar setiap tahun. Tetapi jika perkhidmatan itu disekat (tanpa kesalahan sendiri), anda tidak akan dibiarkan dengan langganan setahun yang tidak berguna kepada anda!

Ia mungkin juga bernilai melihat penyelesaian Smart DNS, dan bukan menggunakan VPN. Perkhidmatan DNS Pintar juga boleh disekat, tetapi ini lebih sukar untuk dilakukan dan kurang mungkin berlaku. Perkhidmatan DNS pintar yang lebih kecil diharamkan daripada perkhidmatan VPN.

Sesetengah perkhidmatan VPN, seperti AirVPN, menggunakan routing DNS mewah. Ini membolehkan anda menyambung ke perkhidmatan seperti Netflix dan iPlayer AS, walaupun anda tidak disambungkan ke pelayan di AS atau UK (masing-masing)! Ini tidak selalu 100% berkesan, tetapi begitu mengagumkan.

Kesimpulannya

Kebanyakan blok VPN agak mudah diatasi dengan menggunakan pemikiran sedikit lateral. Walaupun teknik pemeriksaan paket Deep canggih dan sangat sensitif digunakan, teknologi seperti stunnel dan obfsproxy sangat berkesan.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me