墙内战友的网络安全

来自NFSC Dictionaries


前言

CCP末日前必将疯狂,每位墙内战友都应该重视自己的安全问题,确保在CCP的最后时刻到来之前不受到不必要伤害。

老司机翻车事件:知名博主编程随想(维基百科)似乎在2021年5月前后被CCP抓捕(疑似在病逝后被抄家),他是一位身在墙内却追寻自由民主的极客,一直致力于传播各种翻墙技术并揭露一些历史事件。(因安全问题不推荐不使用全局代理的情况下访问他的博客 https://program-think.blogspot.com/)

CCP的存在让任何人都不会是安全的,但因CCP可用的人力有限,不可能对所有人实施抓捕或请喝茶,所以尽量不冒头,不被纳入重点监控列表是保护自己的关键。

所以每个人都应该学习思考保护自己的隐私,墙内战友尽量少地使用自己的账号发表CCP不喜欢的信息,或者学习更安全的访问网络的方式再发表。

本篇介绍一些数字安全、隐私保护的方法。请战友务必花时间学习提高,也请老司机申请《辞典》账户分享自己的经验。

基本加密

请务必学习使用zip压缩包加密文件的方式,这样可以事先与放心的人约定较长的压缩密码,这样可以防止无法使用国际网络时,还能通过墙内的网络来传递重要信息。(将加密过的压缩包使用微信、qq、各种邮箱传递)

不得已在墙内应用如微信、QQ上通信时,必然会被AI监测。基本加密方法:对称加密、莫尔斯电码、北约音标等,见密码学

手机的管理

使用两台手机。

生活用手机
  • 装国内软件的手机,插手机卡使用。
  • 尽量严格地设置app的权限。尽可能地关闭大多数软件的GPS定位权限。
  • 关闭各种软件的“自启动”“后台运行”。
  • 关闭AI助理功能。
  • 在养成习惯,注意遮挡麦克风、前置摄像头。
  • 不保存、不阅读任何不被CCP允许的信息。
  • 一定要卸载反诈中心app。据说MIUI 13系统自带了反诈中心,使用小米手机请暂时关闭自动更新,防止被更新到13。使用华为手机的请尽早扔掉。
  • 谨慎使用智能音箱,语音交互的各种AI助手。
  • 不要用国产浏览器,收藏夹不要存太多网页。


浏览墙外信息的手机
  • 使用进口或非国产品牌手机(或未使用国区账号登录过的海外苹果手机),新买此类手机尽量不要用自己的账号,买完记得删掉购物记录,也需注意购买的商家,不要购买小米手机、荣耀手机或华为手机。
  • 如果自己能够掌握的话,可刷第三方ROM再使用。
  • 永远不要插手机sim卡。
  • 打开飞行模式后,再开启wifi,且尽可能地关闭定位功能。
  • 绝不安装任何墙内app。
  • 尽量不带出门。
  • 考虑使用不装国产软件的电脑。
使用虚拟号码或者Google Voice (GV)
  • 通过google应用商店、苹果商店等平台下载免费的虚拟号码完成注册。注意定期使用这些免费软件发一条信息避免号码被回收。
  • 使用收费的虚拟号码,或者想办法购买GV。

网络基本知识

网络地址

  • IPv4地址 223.223.223.223
  • IPv6地址 2401:820e:3133:765a:2a3f:9bd4:7e2a:8a9e。通常情况下,该地址前4组与你的网络有关,后4组可能与你的设备有关,也可能会随机生成。现在的新设备都支持IPv6,如果地址的后4组在切换网络时或在较长时间后没有变化,则应当想办法关闭该功能。
  • MAC地址 08:00:20:0A:8C:6D。 每个网络设备都有一个固定的MAC地址,新的设备支持“随机MAC”功能,可以一定程度上保护隐私,防止你的手机被跟踪。
  • 网址 www.google.com。 为了帮助记忆,有专门的服务器用于把网址转换为IP地址,称为DNS服务器。

注:在网络传输过程中IP地址和mac地址可被途径的所有路由器、交换机、网关等中转设备所记录。

解释:MAC地址有点像你家房子的照片,拿着照片能认识房子,但是具体位置可能找不到。IPv4地址则是房子的地址,可以据此查到实际位置。IPv6地址肯定会包含房子的地址,有可能会包含房子的照片。网址则是帮助记忆地址的助记符。DNS服务器就是邮政地址簿。

墙内访问互联网的过程

墙内访问互联网的过程.png

DNS请求过程

DNS请求与gfw墙.png

翻墙原理

翻墙原理1.png

翻墙工具

  1. 传统代理服务器是第一代翻墙工具,非常不安全,因为传输过程的大多数信息无法加密。可通过大数据分析出你在海外服务器做的事情。
  2. VPN是第二代翻墙工具,也同样不安全,除了传输过程的信息加密太弱,另一个缺陷是流量特征比较明显,会被快速识别并封杀。
    • XXX-VPN,在VPN的基础上做了一些调整,比如增强了加密,但VPN技术的天生缺陷导致它们并不安全。
  3. Shadowsocks (SS),第三代工具,开启了翻墙新时代,后来作者被请喝茶,传输特征可被GFW识别,会被快速识别并将IP地址加入GFW的黑名单。
    • ShadowsocksR (SSR),第三代+工具。使用混淆功能让GFW不太容易识别。但SS系列的“传输协议”天生有明确特征,如果GFW进行严格的禁止或者对该协议的传输过程做出扰乱还是可以的。
  4. 第四代工具:V2Ray的VMess协议。新的加密方式,新的伪装方式,可以自定义信息传输过程。通过正确的设置,可以让翻墙通信变得像访问普通网站一样,GFW几乎无法识别。
    • Trojan和V2Ray/XRay的VLESS协议,除了可以自定义信息传输过程,还可以伪装成普通网站来抵御主动探测攻击,防止IP地址被拉黑。

信息传输过程

翻墙示例.png

  • 传输协议 ➡ 各种国家的语言 HTTP Socks VLESS VMESS Trojan Shadowsocks
  • 传输方式 ➡ 交通工具:飞机 轮船 TCP UDP Websocket QUIC HTTP/2 (TCP升级版) gRPC (HTTP/2+)
  • 加密方式 ➡ 电报密码本 与选择的传输协议、传输方式有关。TCP传输方式直接支持TLS加密,以此协议传输就可伪装成浏览网页了。

翻墙方式的简单答案

简单的答案:使用V2Ray/XRay工具,传输过程为 TCP + TLS + VMESS/VLESS 组合穿透防火墙,线路质量差的用cloudflare加速。

构建自己的翻墙工具

(本步必须自己花时间去学习和尝试才能掌握。)

原则
  • 所有的软件尽量在Github下载,使用高★的程序,不要私下传递,确保软件来源安全。防止下载到含有木马的程序。
  • 自己的机场、VPS也不要随意共享给他人使用。
参考网站
油管找相关视频来学习具体步骤,可参考:
  • 波仔分享
  • 洋葱
配置海外服务器有2种方案(序号大的配置难度和安全度都提高)
  1. 使用“机场”,具体机场需从油管上自己寻找,无法在此推荐。机场的好处是可以省去学习自己配置服务器的步骤,坏处是网络不一定稳定,另外“机场”的公司实际上是可以劫持你所有未加密流量的。
  2. 购买自己的VPS服务器、域名,使用视频中提供的“一键安装脚本”自己搭建服务器。购买服务器和域名时注意保护个人信息。(目前还有许多支持Paypal、支付宝的云主机供应商不过新购买时还是应尽量避免使用自己的账号)
配置自家的网络有4种方案(序号大的配置难度和安全度都提高)
  1. 在使用的电脑手机上直接安装翻墙用的软件,如SSR,V2RayN。根据视频学习设置。
  2. 购买和使用可以刷“梅林固件”并安装翻墙插件的路由器,如一些型号的华硕路由器。电脑和手机只要正确连接到该软路由器即可翻墙,无需再安装翻墙软件。目前不太推荐此方式,因为做插件的开发者遭到CCP严重打压,配置和安装需要的软件难寻。
  3. 使用自己电脑自带的“虚拟机技术”,在虚拟机中安装可以翻墙的路由器Openwrt固件。电脑和手机只要正确连接到该虚拟机即可翻墙,无需再安装翻墙软件。
  4. 购买和“软路由”,在家里的路由器设置代理,电脑和手机只要正确连接到该软路由器即可翻墙,无需再安装翻墙软件。

需根据自己的学习能力来决定使用哪种方式。

代理模式

  • 全局代理:所有的互联网访问都走代理
  • 根据IP代理:根据ip地址判断服务器在墙内外,墙外走代理
  • 根据域名代理:根据gfwlist域名,可设置在列表里/外的走代理

VPS或机场线路的质量

  • 带宽(俗称网速) 一般指每秒钟最多能传输多少数据
  • 响应速度(俗称延迟) 指一个数据包从终端到服务器整个过程花费的时间
  • 丢包 数据会被分割打包成一个一个数据包在网络中传输,但有时候数据包会在传输过程中丢失,这是影响网络质量的重要指标。
大陆到海外的主要线路
  • 无优化的连接
  • CN2 (China Optimized)
  • CN2 GIA (E-Commercial, Directly connected)

带宽由供应商控制,香港节点一般是1Mbps 10Mbps,其他大多是1000Mbps。
实际带宽、延迟、丢包会根据国际出口不同、线路不同会有很大差别。

大陆的互联网国际出口示意图 (https://www.infrapedia.com/)

大陆的互联网国际出口.png

参考VPS

因香港已被CCP控制,因此不推荐使用香港提供的主机。而且近期香港线路被严重干扰,选择节点时也应避免使用。

其他翻墙工具

参考 工具网站汇总

电子邮箱、重要信息的管理

  • 参考手机的管理,应该使用多个账号,而且账户名称不应该有任何相似性,更不要有生日、QQ号、手机号出现
  • 使用安全的邮箱gmail protonmail,注意邮箱的名称,不应该有常用于代表你名称的字词。
  • 应该有可以不翻墙访问的非大陆邮箱,比如yahoo、livemail (outlook)、mailfence等,交给信任的身在墙外的人,当发生翻墙困难意外时还有一定可能有可以较安全地联系的渠道。
  • 将记不住的邮箱、识别码(如借款编号,discord账号数字)等重要信息打印下来保存,或者放置在设有密码的word文档、7zip压缩文件之中。

养成保护隐私的习惯

  1. 使用chromeopera非中国mod版的firefox浏览器,收藏夹中尽量少地保存内容,关闭同步。
  2. 学习使用浏览器的“匿名模式”访问网站。(但对于墙内很多网站不是很现实——点击登录、点击在APP中开启)
  3. 定期清除浏览器访问记录,或者设置浏览器关闭时自动清除浏览记录。
  4. 尽量开启你设备的“随机MAC地址”功能。新版的手机、电脑操作系统一般都有此功能。
  5. 尽量不在twitter、facebook、youtube这些已被证实数据库外泄很严重的平台上发布CCP不喜欢的信息,防止被大数据识别。
  6. 给战友或者工作组传输pptx、docx、jpg、png等文件时务必小心,文件的附加属性中可能存在个人信息、GPS定位等等。
  7. 不太被CCP接受的文字、图片、视频应该使用U盘、外接硬盘单独保管,确保万一遭到调查有快速处理的可能,不可使用墙内的各种云盘保存。
  8. 不太常用的资料,可以使用7zip软件压缩为7z,并且压缩时设置长度比较长的密码防止被破解,另外文件名、文件夹名应使用别人看不懂的字词。
  9. 使用discord、telegram时不要在不明情况下随便点击不认识人发的链接。(好的、新版的浏览器可以一定程度地防止危害发生)
  10. 使用discord私信时需检查对方名称后面的 #1234 小数字是否对应,确保是可信的人。
  11. 谨慎地使用国内手机号注册国外网站。

其他需要注意的

  • 网购时,一些物品组合应分不同账号寄到不太一样的地址,小心被加入监视列表
  • 近期因各种财务行为被冻结银行卡的人非常多。参考百度贴吧-冻结吧
  • 参考并探讨 应急物资清单

更复杂的保护隐私方案

可参考 https://github.com/baoliaogeming2020/other