目前熱門科學上網方式介紹及優缺點簡評

【美博翻牆2019.11.13】【編註：本文轉載自飛羽部落格，最初成文於2014-02-23，2019-07-20有修改，文中簡評對翻牆的網友有一定參考價值，美博園轉載於此，與大家分享】

科學上網主要有兩大類：｢翻牆｣和｢穿牆｣。｢翻牆｣主要方式是代理、VPN，需要國外代理伺服器，｢穿牆｣則是讀懂GFW的特性，使用特殊方式使得GFW的屏蔽失效。

｢翻牆｣受代理伺服器連接速度的制約，一個日本代理對於東部沿海城市，一個香港代理對於南方城市來說一般速度較好，而最為常見的美國代理往往速度堪憂，畢竟在地球另一邊。

而｢穿牆｣混淆了GFW使得它無法無法屏蔽你的連接，是直連站點的伺服器了，通常速度較好，但畢竟能｢穿｣的站點有限，許多站點光｢穿牆｣是不行的，因此有許多科學上網工具採用了｢穿｣、｢翻｣結合的方式。

穿牆：

1、hosts

原理：GFW的封鎖策略中，對啟用了cdn的站點不可能進行簡單的封IP策略，多採用劫持、污染DNS記錄、HTTP阻斷、HTTPS干擾等各種方式，個別IP被封鎖也是有的。Google、facebook等這類站點，通過DNS查詢獲取的IP通常位於香港或者美國，而這些IP有不少要麼被封、要麼速度慢，有的乾脆GFW沒封鎖你也連不上，而修改hosts，就是將這類站點的網域，指向國內伺服器、或者國外沒有被封、速度尚可的伺服器。這樣就可以直接避免了GFW的干擾完成｢穿牆｣。

優點：｢穿牆｣速度較好，對於google部分站點，是有國內伺服器的，甚至可以獲得更快的速度。

缺點：google、facebook這些站點通常伺服器非常多，採用了CDN，本來通過DNS查詢後會連到他們的CDN伺服器上，再根據你的地理位置、伺服器狀態等情況為你跳出一個相對優質的伺服器。然而hosts只能選擇固定的伺服器，你會發現有些網路條件下，諸如smart hosts之類的列表中的IP很多根本就ping不通，導致你無法連接某些伺服器，而且不同ISP，不同地區，情況都不同。加上這些伺服器老在變，你必須經常更新你的hosts，否則哪天可能網站就上不了了，非常的不便。導致一個hosts難以解決全國各地的需求。

2、流量混淆

原理：其實是加密的一種，只不過這種加密會導致流量所使用的協議都會變得難以分辨，使得GFW無法識別你是使用了HTTPS還是OpenVPN還是說其他的協議類型。局限性較大，需要伺服器支持，通常與其他翻牆類科學上網方式相結合，達成防GFW阻斷的功能，不單一使用，不再贅述。

3、加密協議

原理：使用加密的協議來進行數據傳輸，通常針對GFW的關鍵字審查。加密後的數據GFW無法進行關鍵字審查，從而避免GFW的連接重置阻斷。網頁服務通常使用HTTPS協議（SSL加密），而其他軟體不少也有自己的自定義加密連接協議。常見的例子是使用 https://www.google.com/ 來進行搜尋避免搜尋某些敏感關鍵字時候遭遇連接重置，類似的還有維基百科。chrome瀏覽器可使用hsts功能強制開啟站點的https。

優點：非常直接的穿牆方式，同樣是直連，如果能連上的話，速度有保障。

缺點：局限性較大，一是伺服器可能不支持HTTPS，二是GFW會特殊照顧一些名氣較大的站點，這些站點你開了HTTPS照樣會被阻斷。

翻牆

1、普通HTTP/socks代理

最常見的代理方式了，利用HTTP，socks等方式進行代理，應用非常廣泛，遠不止科學上網領域。然而這種連接方式未經加密，依然會遭遇連接重置，基本是完全暴露給GFW，不適合目前的網路環境，隨時可能掛掉。

2、變式HTTP/socks代理

這是目前主流的翻牆方式，使用自家協議防止GFW簡單識別代理協議並阻斷，並且可以使用AES等加密方式加密流量來進行代理，比較出名的有GoAgent和shadowsocks。

goagent比較特殊，利用Google App Engine（GAE）來做代理伺服器，利用了GFW不可能封殺GAE但GAE卻可以直連被牆站點的特性。GAE的特性也決定了其速度相當不錯，而goagent封裝的代理數據包在多數地區就算未加密也沒有收到干擾可以無障礙通訊。部分地區可能需要加密數據。

優點：使用谷歌伺服器代理，速度快，較穩定。通過代理上網的用戶可以配置二級代理也可以翻牆。

缺點：部署略繁瑣，受限於GAE，HTTP代理沒有問題可是不能實現HTTPS代理，只能採用了偽HTTPS代理，導致必須導入其根證書。安卓下的客戶端不是很好用。看網頁尚可，其他應用用了自己協議的就有很多無法代理了。

而shadowsocks則是一款輕量級socks5代理，在安卓機子上很出名。使用Linux伺服器做代理，必須有國外代理伺服器，手機版提供了一個公共代理，速度尚可。

優點：使用完整Linux伺服器代理而不是GAE這種功能受限的Web host，shadowsocks可以完整代理你所有類型的流量。跨平台，主流作業系統均有支持的客戶端。

缺點：受限於代理伺服器的連接速度，除非你使用離你所在地距離較近的國外代理伺服器，否則速度上很難達到goagent的速度。

3、混合式代理

這類的代表就是fqrouter，穿牆加翻牆，用到了上面提到的所有方式。穿牆用了流量混淆和類似hosts的技術，翻牆則混用了goagent和shadowsocks，能走goagent的走goagent，HTTPS之類的不能走的走shadowsocks。fqroutwr不使用goagent的偽HTTPS代理。

fqrouter提供了不少公共goagent和shadowsocks代理，並智能判斷是否走代理，能直連的直連。簡單易用。你也可以添加自己的代理，goagent、shadowsocks、其他HTTP代理都可以添加

優點：混用多種方案，可解決大多數被牆網站，速度較快，穩定

缺點：方式較複雜，雖然效果好但耗電量會大些；只有安卓版；客戶端不支持二級代理，可能需要藉助第三方軟體才能實現。

當然，通過對代理管理軟體的配置，自己也能配置出混合代理方式。見這篇文章

4、VPN

這個算是終極方案了，在代理無效的情況下，利用VPN技術進行翻牆。

優點：如果連接沒有問題，幾乎可以解決任何被牆站點的訪問問題。

缺點：許多VPN只在Windows/Linux下有客戶端，對於android、ios的支持不是很好。

GFW對於VPN的封殺無時無刻不在進行，最典型的就是GFW早已可以準確識別OpenVPN，原理是利用協議在握手階段的某些特徵來檢測，從而可以達成瞬間阻斷OpenVPN連接，很有可能你連第一次連接都連不上就被檢測到了。而且這還沒完，你膽敢用OpenVPN的後果，就是伺服器IP立馬被照顧，所有不能被識別的加密流量均會被阻斷。我就嘗試在自己的VPS上部署了一次OpenVPN，然後連不上，接著第二天發現自己部署在VPS上的shadowsocks也連不上了。能連上的加密協議只有SSH、HTTPS（SSL）這類，無奈最終換IP，還好提供商的snapshot功能很好用，很快就搞好了。

所以現在使用VPN，不能使用原生的OpenVPN。必須使用變式的OpenVPN或者其他類的VPN軟體。比如說給流量做混淆，再比如使用GFW目前無法識別的VPN，比如：SoftEther VPN（見這篇文章）

VPN很多都是收費的因為要購買伺服器，而且很多都是美國VPN速度不怎麼樣。收費VPN也購買過一些小公司搞的便宜的VPN，網路質量多數不是太好，速度一般，國外有不少大一點的VPN提供商，質量好些但是普遍都比較貴。

而免費的VPN里，VPN GATE 是個不錯的選擇，全球分散式VPN，速度很快。也有人用 地下鐵 之類的，我沒用過不知道怎麼樣，不做討論了。

GFW對於VPN是堅決封殺的，目前引入的流量檢測技術，識別流量類型，導致很多VPN都跪了。加之目前的｢有罪推定｣這一蛋疼的方式，導致一切加密手段都變成了浮雲。無論你使用多複雜的加密手段都沒用，GFW會認為所有他認不出來的加密瀏覽都是｢犯罪嫌疑人｣，並對這些流量進行監控。如果滿足一定的條件，GFW將會判定｢罪名成立｣並處｢暫時截斷所有不能識別的加密瀏覽｣等類似處罰，也就是｢死緩｣，如果屢教不改者判以｢死刑立即執行｣，予以永久封IP處罰。

總之能代理就先代理，代理不行再掛VPN，VPN要少用，萬一被檢測出來，後果很嚴重。。說不定你花錢買的VPN就這麼跪了，錢就白瞎進去了。