8. 如何保持匿名与绕过互联网审查

目录

...Loading Table of Contents...

    世界上许多国家都安装了软件以防止国内的互联网用户访问某些网站与互联网服务。公司、学校和公共图书馆通常使用类似的软件来保护他们的员工、学生和顾客接触到会导致分散注意力或带来损害的资料。这种过滤技术有很多不同的形式。有些过滤器基于IP地址阻止某个网站,其他的则会把某些域名列入黑名单,或者搜遍所有未加密的互联网通信,以查找特定的关键词。

    不管是什么过滤方法,几乎都有可能通过依靠位于外国的电脑作中介替您访问被封锁的服务的方法来规避它们。这个过程通常被称为“绕过审查”,或者直接叫“绕行”,而作为中介的电脑叫做“代理”。代理同样也有多种不同的形式。本章先对多重代理匿名网络进行简要讨论,然后对绕行代理及其工作原理进行更透彻的描述。

    这两种方法都是规避互联网过滤的有效手段,如果您愿意以牺牲速度来尽可能地隐匿您的互联网行为,前一种方法是最为合适的。如果您了解并信任管理您的代理的个人或组织,或者对您来说,性能比隐匿性更为重要,那么一个简单的绕行代理可能为您提供更好的服务。

    设定场景

    Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。因为网站的主机在外国,她们国家的当局一直无法关闭他们的网站,但他们通常会通过其他行动分子去了解博客管理员的身份。Mansour和Magda担心当局监控到她们对博客的更新,进而知道她们是谁。另外,她们想针对政府将来把她们的网站过滤掉的境况做好准备工作,这样一来,她们不仅可以继续更新,同时也为了给她们国家的读者提供绕过审查的好建议,不然读者将无法再访问这个博客。

    您将从本章学到的内容

    • 如何访问一个在国内被封锁的网站
    • 如何防止您所访问的网站知道您的位置
    • 如何确保您国家的ISP和监控机构均无法确定您访问了哪些网站和互联网服务

    了解互联网审查

    来自OpenNet Initiative (ONI)无国界记者 (RSF)等组织的研究报告指出,很多国家都过滤了大量涉及社会性、政治性和“国家安全”性质的内容,但却很少会见到他们公布一个详细的网站封锁列表。那些企图掌控公民的互联网访问权的人们,自然也会费尽心机封锁已知的代理和公布绕过审查的工具与指引的网站。

    联合国《世界人权宣言》第十九条庄严写明,人人都有接收消息的自由,但在过去几年,实行互联网审查的国家数量一直在急剧增长。然而,随着互联网过滤的行径散布全球,由积极分子、程序员和志愿者所创造、部署与宣扬的绕行工具也在广泛传播。

    在探索规避互联网审查的各种方法之前,您应该先对这些过滤方法的原理有个基本的了解。在这个过程中,将您与互联网的连接看作一个简化的模型,会很有帮助。

    您的互联网连接

    您连接到互联网的第一步一般是您的家里、办公室、学校、图书馆或网吧,由互联网服务提供商ISP完成的。ISP给您的电脑分配一个IP地址,用于让不同的互联网服务鉴别您的身份、向您发送信息,如电子邮件和您要求的网页。知道您的IP地址 的任何人都可以查出您所在的城市。而且,您国家里一些神通广大的机构,可以通过此信息找到您的准确位置。

    • 您的ISP很清楚您在哪一栋楼房里,或者您正在使用哪一条电话线路经由调制解调器连接到互联网。
    • 您所在的网吧、图书馆或单位 很清楚您在某段时间内使用了哪台电脑,以及连接到哪个端口或无线接入点。
    • 政府机构由于可以支配以上所说的组织机构,所以能够了解所有这些细节。

    这样,您的ISP依靠您国内的网络基础设施来把包括您在内的用户跟世界上的其它地方连接起来。在连接的另一头,您访问的网站或服务从它国家的ISP那里收到自己的IP地址后,也经历了相似的过程。抛开所有技术细节,像这样的基本模型能帮助您去思考使用不同的工具来避开过滤以及在网上保持匿名。

    网站是怎样被封锁的

    本质上,当您去看一个网页的时候,您要把该网站的IP地址告诉您的ISP,然后请求它去把您和网站的ISP连接起来。如果你的网络连接未被过滤,它便会准确无误地执行。但如果您身处一个对互联网进行审查的国家,它会首先查阅被禁网站的黑名单,再去决定是否完成您的请求。

    在一些情况下,也许存在一个取代ISP进行过滤的中央机构。通常,一个黑名单包含的是域名,例如www.blogger.com,而非IP地址。在一些国家,过滤软件监控您的网络连接,而不是封阻特定的互联网地址。这种软件会检查您作出的每个网页请求以及返回给您的每个网页,寻找敏感的关键词,然后决定是否让您看到结果。

    更糟糕的是,当一个网页受到了封锁,您还不一定知道。有些过滤器提供了“阻止页面”来解释审查某个特定页面的原因,其他的只会显示误导人的错误信息。这些信息可能会显示例如无法找到该页面,或者网址拼写错误。

    一般来说,应对互联网审查最简单就是设想最坏的情况,而无需试图调查在您国内所使用的过滤技术有哪些独特长处与弱点。换句话说,您可以假设:

    • 您的互联网流量里的关键词受到监控
    • 直接在ISP层面实现过滤
    • 被封锁的网站IP地址和域名均在黑名单上。
    • 关于一个被封锁的网站为什么无法载入,您可能会得到一个不明确或误导的解释。

    由于最有效的绕行工具可以无视任何过滤方法,所以作出这样的最坏假设并无害处。

    Mansour: 那么,如果我某天发现无法访问博客,但在国外的一个朋友却仍然能看得见,这是否意味这政府把它封锁了呢?

    Magda: 也不一定。也许会存在一些问题只影响到从此处访问我们网站的人。或者你电脑有些问题,只会在你访问某些网页时才出现。但你的思路是正确的。你还应该亲自试试使用一个绕行工具来访问。毕竟,这些工具都是仗靠外部的代理服务器,这跟你叫一个在国外的朋友帮你测试差不多,只是你可以单独完成。

    了解如何规避审查

    如果一个网站被前面所提及的其中一种方法封锁了,导致您无法直接访问,您就要想办法绕过此障碍。在没有互联网过滤的国家的安全代理服务器可以提供这种绕行,它先获取您所请求的网页,再递送回给您。在您的ISP看来,您只是在互联网的某处与一台未知的电脑(代理服务器)进行安全通讯。

    当然,在您的国家主管互联网审查的政府机构(或向过滤软件提供更新的公司)可能最终会发现这台“未知的电脑”其实是个绕行代理。要是这样,它的IP地址就可能被添加进黑名单里,它也就再也不能用了。然而,代理 通常不会在短时间内遭到封锁,而创建和更新绕行工具的人们也很清楚这个威胁。他们会使用以下的其中一种或两种方法来回击:

    • 隐藏的代理 隐藏的代理更难被鉴别。这是使用安全代理的重要性之一,它没有那么显眼。然而加密只是其中一个环节。如果一个代理的运行者希望保持隐蔽,他们在向新用户透露位置时必须小心谨慎。

    • 一次性的代理 能在遭到封锁后被迅速更换。这种情况下,要告诉新用户如何寻找替代代理,此过程则也许不会特别安全。然而,通常这种类型的绕行工具分发得要比遭到封锁的速度更快。

    最后,只要您可以得到一个您信任的代理,来为您获取您所要求的服务,您就只管发送请求,然后使用适当的工具去查阅它返回给您的内容。通常,这道程序的细节都由您安装在电脑上的绕行工具来自动处理,它会修改您的浏览器设置,或者使其指向一个基于网页的代理页面。后文描述到的Tor匿名绕行工具使用的是第一种方法。再后面会讨论关于一些基础级别的、单层的代理绕行工具,它们的工作原理都稍有不同。

    匿名网络与基础代理服务器

    匿名网络

    匿名网络通常让您的互联网传输“来回弹跳”于多个不同的代理之间,从而隐瞒您来自哪里以及要访问什么内容。这会极大地减慢您加载网页或其他互联网服务的速度。然而,就Tor而言,它同时还提供了可靠、安全和公开的绕行手段,使您无需担心是否可以信任您的代理和您所访问网站的运行者。跟往常一样,在使用浏览器交换密码、电子邮件这些敏感信息之前,您必须确保您在使用已加密的HTTPS连接到一个安全网站。

    您需要安装软件来使用Tor,您将得到一个同时提供匿名和绕行的工具。每次当您连接上Tor网络,您都选择了一条随机的路径,贯通三个安全的Tor代理。这能确保不论您的ISP还是那些代理本身都不知道您电脑的IP地址以及您所请求的互联网服务所在。您可以从Tor指南里了解更多详情。

    上手指南:查看Tor 指南并开始使用

    Tor的长处之一,在于它不仅能与浏览器一起使用,还能用于不同类型的互联网软件。包括Mozilla Thunderbird 在内的电子邮件程序以及包括Pidgin在内的即时通讯程序,都可以通过Tor运作,以访问被过滤的服务和隐瞒您对这些服务的使用。

    基础绕行代理

    在选择一个基础绕行代理的时候,您需要考虑三个重要的问题。首先,它是一个基于网页的代理,还是会要求您更改设置或给电脑安装软件?第二,它是否安全?第三,它是私密的还是公共的?

    基于网页的代理和其他代理

    基于网页的代理可能是最容易使用的。它们只要求您把浏览器指向一个代理页面,输入您想查看的被过滤的网址,然后点击一个按钮。代理就会在它自己的页面内显示您所请求的内容。您可以照常点击链接,或者如果您想查看另一个网页,就往代理里输入一个新网址。您并不需要安装任何软件或更改浏览器设置,这也就是说基于网页的代理

    • 容易使用。
    • 可在公共电脑上进行使用,例如在不允许您安装软件或修改设置的网吧里。
    • 如果您担心因为在电脑上使用绕行软件而被捕,这就可能更安全。

    基于网页的代理也存在一些缺点。它们不总是正确地显示页面,很多基于网页的代理无法加载复杂的网页,包括那些以音频流和视频内容为特色的网页。还有,任何一个代理在被大量使用时都会变慢,这在使用公共的网页代理时更为明显。还有,理所当然地,基于网页的代理只能用于网页。比如说您不可以通过一个基于网页的代理来使用即时通讯软件或者电邮客户端来访问被封锁的服务。最后,安全的网页代理也只提供有限的保密性,因为它们必须经由您所访问的网站访问和修改返回给您的信息。不然的话,您点击一个链接的时候就不得不离开背后的代理,直接访问目标网站。这点在下一节里会进一步讨论。

    其他类型的代理一般会要求您安装一个程序或者在您的浏览器或操作系统里配置一个外部代理地址。第一种情况下,您的绕行软件通常会提供一些开启和关闭该工具的方法,告诉您的浏览器是否去使用代理。如前面所说的,像这样的软件通常可以在一个代理被封锁后自动更换。如果您必须在您的浏览器或操作系统里配置一个外部代理地址,您要知道正确的代理地址,它在被封锁或者变得太慢而无法使用的时候也可以更改。

    尽管比起基于网页的代理在使用上会稍微困难一些,这种绕行方法更可能正确显示复杂的网页,也不会在很多人开始使用某个代理服务器时很快就变慢。此外,许多不同的互联网应用软件都可以配合代理使用。例子包括浏览器的HTTP代理,电邮和聊天程序的SOCKS代理,还有可以重新引导您的所有网络流量以避开过滤的VPN代理

    安全代理与不安全的代理

    在本章,一个安全的代理指的是任何能把从用户一方发起的连接进行加密代理。一个不安全的代理也允许你绕过许多类型的过滤,但如果您的互联网连接被扫描关键词或特定的网址,它就不能用了。通过一个不安全的代理去访问一般会被加密的网站是个特别坏的主意,例如电邮帐户和银行网站。这样做的话,您可能会暴露本来被隐藏的敏感信息。还有,正如前面所提到的,不安全的代理通常比较容易被那些更新互联网过滤软件和政策的人发现和封锁。最后,免费、快速、安全的代理的存在,意味着实在没什么理由去凑合着使用一个不安全的代理。

    如果您可以通过HTTPS访问一个代理页面,您就知道这个基于网页的代理是安全的。电邮帐户可能支持安全与不安全的连接,所以您应该一定要使用安全的地址。通常,在这种情况下,您需要认可一个来自浏览器的“安全证书警告”才能继续使用。后面会讨论到的PsiphonPeacefire代理就是这种情况。这样的警告是告诉您,有人——可能是您的ISP或者黑客——可能正在监控您与代理之间的连接。虽然会有这些警告,尽可能去使用安全的代理仍然是个好主意。然而,在靠这种代理来绕行的时候,您应该避免访问安全网站、输入密码或者交换敏感资料,除非可以验证代理SSL指纹。如果要这么做,您将需要联系代理的管理员。

    Psiphon用户手册附录C里说明了您和代理的管理员应该遵循哪些步骤,以校验代理的指纹。

    不论您在访问这个代理的时候有没有看到安全证书警告,甚至不论您跟代理的运行者是否熟悉到可以在让浏览器认可警告之前校验到代理服务器的指纹,您都应该避免通过一个基于网页的代理来访问敏感资料,除非您信得过运行代理的人。在使用一个单层代理服务器来绕行的时候,它的管理员一定会知道您的IP地址以及您要访问什么网站。然而,更重要的是,如果这个代理是基于网页的,一个恶意的运作者可以取得所有通过您的浏览器和您所访问的网站的信息,包括您的电子邮件内容和您的密码。

    对于非基于网页的代理,您可能需要调查一下,以确定它是否支持安全连接。本章所推荐的所有代理和匿名网络都是安全的。

    私密代理与公共代理

    公共代理接受来自任何人的连接,而私密代理则通常会要求用户名和密码的。公共代理有着自由使用的显著优点,但假如能被轻易找到,它们可能很快变得过度拥挤。因此,即便公共代理在技术的复杂程度和维护的力度上等同私密代理,它们通常也比较慢。最后,私密代理更倾向于如同营利事业一般运作,或者由管理员给他们直接或间接认识的用户创建帐户。因此,通常能更容易判断一个私密代理的运作者的动机是什么。然而,您不应该认为私密代理本质上更可信赖。毕竟,营利的目可能导致在线服务暴露它们的用户,这种事情曾经发生过。

    简单的、不安全的公共代理通常可以在搜索引擎上输入“公共代理”这样的关键词找到,但您不应该依赖这样找到的代理。如果能选择,最好还是使用一个私密且安全的代理,并且是由您亲自认识和信任的人,或者声誉良好的人,拥有专业技术以确保他们的服务器安全的人来运作。是否使用一个基于网页的代理,取决于您自己的具体要求与偏好。如在Firefox指南里所说的,在使用代理来绕行的时候,用Firefox浏览器并安装NoScript浏览器扩展都是好主意。这样做可以帮助保护您抵御恶意代理和那些试图找出您的真实IP地址的网站。最后请记住,就算一个加密代理,也不能使一个不安全的网站变得安全。在发送和接受敏感信息之前,您仍然必须确保用上了HTTPS连接。

    如果您无法找到一个提供可靠、廉价、能在您国家访问到的代理服务的个人、组织或公司,您应该像在前面的 匿名网络 一节讨论过的那样,考虑使用Tor匿名网络。

    特别的绕行代理

    下面几款特别的工具和代理可以帮助您避开互联网过滤。新的绕行工具会定期出现,而现有的被频繁更新,因此您应该访问“安全宝盒”网站和在延伸阅读里提及的资源,以了解更多详情。

    Psiphon2是一个私密的、匿名的网页代理系统。您需要有代理服务器的网页地址(URL)和一个帐户(用户名和密码)来使用psiphon2。您可以从已有一个Psiphon 2帐户的用户那里获得邀请来创建帐户。您也可以使用本指引手册印刷版本所附带的邀请码。请参看Psiphon 用户手册

    Sesawe Hotspot Shield是一个公开的、安全的、不基于网页的免费绕行代理。您需要下载并安装来使用它。开发Hotspot Shield的公司从广告获利,所以每次使用它来访问不提供加密的网站时,您会在浏览器窗口的顶部看到一个“横幅广告”。虽然无法验证,但该公司声称会删除使用此工具的用户的IP地址,而不会保存或发送给广告商。由于Hotspot Shield基于虚拟私密网络(VPN),在您接入之后,您的整个互联网连接都会通过这个代理。如果您使用在国内被过滤了的电邮或即时通讯服务,这就很有用。您可以在AnchorFree 网站网站上对Hotspot Shield进行更多的了解。

    Your-Freedom是一个私密的、安全的、不基于网页的绕行代理。它是一个免费软件工具,可以用于访问一个免费的绕行服务。您也可以通过付费来使用更快和更少限制的商业服务。您需要下载创建帐户来使用Your-Freedom,这些都可以在Your-Freedom网站上完成。在连接到互联网时,您还需要配置您的浏览器来使用代理。您可以在Sesawe网站上学习如何进行此操作。

    Peacefire维护着大量公共的、基于网页的代理,既有安全代理也有不安全的,取决于您如何访问它们。在使用Peacefire代理的时候,您必须输入HTTPS地址以建立您和代理之间的安全连接。新的代理会定期发布到一个庞大的邮件列表。您可以在Peacefire网站注册以获取更新。

    Mansour: 太好了!那么我们在使用代理服务器的时候,ISP就不能看到我们在干什么,对吧?

    Magda: 只要我们使用一个安全的代理,考虑每一个弹出的“安全证书警告”,那就是的,没错。要记住,一个不安全的代理仍然可以让你绕过多数互联网过滤器,但还是能让ISP窥探到你的连接,包括你所访问的页面的位置。

    延伸阅读