声明
本节内容不只是对“科学上网”这个名词的解释,更是对科学上网本身、其技术和社会背景及蕴含的各种风险的一种说明。为了确保你能够安全、合理、健康地使用“科学上网”,建议你仔细读完。
科学上网和“墙”
Q:什么是”科学上网“,为什么要”科学上网“?
”科学上网“,又称”翻墙“,另有诸多代称如“魔法上网”“附魔”,是通过数据加密和代理转发的系统(俗称”梯子“)绕过”墙“,实现对被”墙“封锁的,服务器在中国大陆以外的网站(以下统称”墙外网站“,简称”墙外“)的访问的手段。同时,”科学上网“也可以提高”墙“没有封锁的,服务器在中国大陆以外网站(以下统称”境外直连网站“,与”墙外网站“统称”境外网站“,简称”境外“)的访问速度。简单来说,”科学上网“的目的是提高访问服务器在中国大陆以外的网站的速度和成功率。
Q:什么是”墙“?为什么有”墙“?
”墙“,正式名称“数据跨境安全网关”,另有“防火长城”“GFW””国家/主权防火墙“等别称。顾名思义,它是设立在中国互联网跨境出口或交换中心上的防火墙系统,以网关形式阻挡特定的网络信息传输。在有些语境中”墙“是一个动词,指对一个网站的访问被”墙“阻挡。
”墙“的设立涉及到复杂的政治、网络安全、社会、经济等因素,至今没有定论。简单来说,它一方面在一定程度上遏制了境内外网络有害信息(如涉华谣言、诈骗信息)和危险行为(如网络攻击、个人信息泄露、暴恐/犯罪等团伙组织串连)的跨国传播,但另一方面也阻碍了正常的跨国信息交流。
当然,如果你不认同对相关信息和行为的定义,比如觉得上面的信息和行为不”有害“”危险“,那你随便。本处只讨论“墙”的技术特征和客观作用。
Q:哪些网站是”墙外网站“?
最知名的就是谷歌相关网站和平台,如Google搜索、Youtube、Google Play等;
其次是国外社交网站,如Facebook、X(旧称Twitter)、Instagram、Reddit等;
还有一部分国外视频和音乐网站,当然最有名的是Youtube,其次还有Netflix、Spotify、Niconico、巴哈姆特动画疯等;
很多境外政治性组织(邪教、政治性NGO等)的网站当然也在”墙外“,另外很多境外媒体的中文版也在”墙外“;
多数色色网站(如pornhub),包括有色色内容的一些网站(比如pixiv、archiveofourown(AO3))在”墙外“,因为在中国大陆提供太色的内容的行为是写在中国刑法里的;
维基百科、Internet archive、ChatGPT等网站因为内容审核不能满足中国大陆法律的要求而被“墙”阻挡;
部分聊天软件,如Telegram、Discord、Whatsapp、Line,服务器在中国大陆以外,其访问很多也被“墙”阻挡了;
此外,还有DockerHub等部分网站被”墙“阻挡。另外Github、Steam存在一定的访问困难,它们有时也被视为被“墙”阻挡的网站。
以上所列的不是所有的被”墙“阻挡的网站/软件/平台,被“墙”阻挡的的名单是动态变化的,可以使用检测网站是否被墙 (checkgfw.com)检测网站是否被墙、ITDOG 工具箱检测一个网站在中国大陆访问是否顺畅。
当然还有一些网站不是被“墙”阻挡,而是因为各种原因主动阻止了来自中国大陆的访问,这种运营行为被称为“锁区”。这其中比较有名的就是TikTok。
其实相当一部分境外网站(比如多数境外媒体的英语或其它语言站)仍可直连,但是被”墙“阻挡的网站很多是高流量、高信息量的,这确实给我们访问国际信息和进行跨国交流带来了一定的阻碍。
科学上网的技术问题
注意
以下内容可能涉及到计算机网络和现代互联网系统的一些知识,部分内容可能不利于小白理解。网络(未完成)和如何让你的电脑连接网络(未完成)会有相应的科普,可以参考。若依旧不懂,请使用搜索引擎。
Q: “墙”是如何阻挡网站的?
简单来说,有以下几种手段:
- 识别你试图访问的境外服务器的域名(使用深度包检测和SNI检测等方法),并通过DNS污染(在DNS查询过程中向你的设备返回错误的网站IP)或者TCP重置(模仿因网站关闭等原因造成的找不到域名对应服务器的情况,将你与所访问网站服务器之间的连接阻断,并向你的设备发送访问失败的信息)等方式阻止你访问网站;
- ”墙“在跨境网关上直接设置限制转发对某个IP地址的访问请求信息的规则,直接阻止你和特定IP之间的连接。
- 识别”梯子“所用的代理转发和加密服务的协议、直接封锁你访问”墙外“网站的去路,以及用上述方法找到并封锁代理服务器。这也是一些早期”科学上网“手段(如一些VPN)现在无法使用的原因。
图1. Facebook网站被”墙“阻挡
更多内容,参见GFW 原理考 | shinyaのブログ、上网限制和翻墙基本原理 | superxlcr’s notebook,当然,前提是你能看懂。
Q: “科学上网”是怎么绕过“墙”的?
现在的科学上网手段无非一个”绕“字。或者可以用一个简单的图展现:
图2. ”翻墙“的基本模式,即”直连代理“模式
其中,未被”墙“阻挡的服务器被称作”代理服务器“,”代理“这个词你可以理解为帮你送东西的人,或者帮商家送东西的的外卖员、快递员。用户和代理服务器之间的信息交流是加密的,加密的协议很多,早期是传统的虚拟专线网络(VPN)协议,现在基本不能用于”科学上网“,自ShadowSocks(SS)崛起以来,专门针对”墙“的协议越来越多,Trojan、VMess、Vless、Hysteria2、Reality等层出不穷且在技术层面和VPN已经有了显著差距,除了加密能力更强,还加入了混淆、伪装等功能。
在基础的”直连代理“模型,也就是上图的模式之外,也有其它的代理模式,如中转(你和网站服务器之间收发的信息从一台国内的服务器转发到另外一台境外的服务器)、隧道中转(国内外的服务器之间的信息传输被套多了一层加密,相当于在一个”墙“难以探测到的隧道里传输)、专线(在合法购买和使用的国际专线内传输加密信息,由于国际专线上不会被部署”墙“因此延迟较低)等。它们的区别如下图所示1:
图3. 中转模式
图4. 隧道中转模式
图5. 专线模式
Q:怎么”科学上网“?
请查看如何科学上网这篇文章。
Q:科学上网是怎么修改我的IP地址的?会影响我在境内网站显示的IP属地吗?
简单来说,你用”科学上网“访问网站时,网站接收到的IP是未加密的最后一次数据传输的起点的IP,在上面几张图中出现的多VPS转发的代理模式中就是最后一台服务器,通常将这个服务器叫做”落地“服务器。这也是你在使用各种”梯子“(无论是以前的VPN还是这篇文章中提到的”机场“)时都能看到不同的国家/地区选项的原因——这些国家/地区选项自然不是你所在的位置,而是”落地“服务器所在的位置。
境内网站显示账号IP属地的原理则是无论国内外,运营商为一台网上的设备分配IP地址2时都是按照地理区域分成号段分配的,分配规则是公开的,因此网站只要知道访问它的IP地址所在的号段就可以推断出一个设备所在的概略地理位置。
但当你使用”梯子“服务的”全局“模式时,不管访问什么网站,”梯子“都会一股脑地把你的访问请求加密发到代理服务器那,由于代理服务器没有被”墙“阻挡,最后这段访问请求会不加密地回到境内,境内网站就会收到一个代理服务器所在地区的访问。这会导致你在这个网站上发出的一切信息都会被认为是代理服务器发的,而实际上却来自于你的设备,进而使得你的IP属地变成代理服务器所在地。解决这个问题的方法就是使用”梯子“服务的”规则/分域名/分站点“等代理模式,在这种模式下,”梯子“会在访问请求发出前确认你要访问的地址,并自动选择是否让这个访问请求加密前往代理服务器。
Q: 我能否用”科学上网”看B站的港澳台番剧、在阿根廷买steam游戏?
由上文可知,网站能够通过IP地址知道你所在的大致地理位置。一般而言,同一个网站在不同地区的服务差异就是靠识别你所在的IP属地实现的。这就给通过修改IP地址等方式访问一个网站在其它国家/地区提供的服务,即”改区“提供了空间。
对于B站这样的网站,在拥有“科学上网”等代理手段的情况下,”改区“是相对容易的。将你的“梯子”设置为“全局”模式,或者在分流模式的规则中加入B站相关的域名和IP(具体的域名和在各软件上的添加方式,请使用搜索引擎自行查询),打开台湾地区或者香港地区代理,打开bilibili网站,当你访问网站的速度稍慢于平时访问的时候,点开任意一个名字后面写着”(僅限港澳台地區)“的番剧,也就是俗称的”港澳台番剧“,就能看到了。
图6. 用代理软件(这里使用clash verge软件)将Bilibili网站的访问方式改为用台湾节点代理访问
图7. 成功看到一个港澳台番剧
Steam的”改区“情况有些复杂。一般来说,在使用代理软件修改你访问Steam的IP,从而使你转到某个国家或地区的Steam服务区域后,使用该区域的支付方式买一次游戏或其它内容,才可以真正的转区。对于阿根廷等低价区域,情况更为复杂的一点是其并不支持国内常用的支付方式,可能需要使用灰色的”点卡“支付法或使用外币信用卡等。
如果说B站和Steam在”改区“这件事上还好操作的话,那么有些网站就没那么好操作了。尤其是对中国大陆或者其它国家/地区”锁区“,或者在海外不同国家间提供不同服务的一些网站和平台,可能会采取多种手段试图查明你的真实地理位置,典型就是Netflix(它既被”墙“,自己也对中国大陆”锁区“,而且会检测你访问的IP是否来自于代理服务)。对于这类网站,可能需要关闭GPS等定位功能、使用特制的”解锁xx网站节点“、使用该国电话号和邮箱地址注册并登录账号、使用当地支付方式支付一次、修改浏览器或操作系统语言为你所访问国家常用语言,乃至于用当地语言向网站/平台运营方投诉等手段来伪装自己是当地居民从而享用到特定地区的服务。请善用搜索引擎和各大网站社区,寻找网上其它人的解决方案。
Q: ”游戏加速器“和”科学上网“有什么关联和区别?我能使用”科学上网“的方式玩服务器在海外的游戏吗?
互联网在传输数据的连接方式上有两种协议,分别是TCP和UDP协议。简单地来说,你日常访问网页、看视频、聊QQ,用的都是TCP协议的连接,特点是连接过程要反复用一种叫做”握手“的过程来确认连接成功,数据传输错误了可能会尝试重新传输;打游戏常用的是UDP协议,特点是默认对面能够立刻接受你的连接,并且不会反复重传数据。TCP传输稳定、高速而UDP传输简单、低延迟。
在”科学上网“环境中,有些代理协议也会分出TCP和UDP连接。由于服务器设置的区别、线路成本和延迟的原因,并不是所有代理提供者都会提供带UDP连接的代理,这样的”科学上网“服务就不能用于打服务器在海外的游戏。有些”科学上网“代理会提供UDP连接的代理,这样的服务就可以用来打服务器在海外的游戏。
事实上,游戏加速器就是一种特殊、合法的代理服务系统,它通过特殊申请的专线前往合法的代理服务器,只不过因为游戏加速器的客户端和代理服务器限制了你能连接的服务器的IP和域名,故只能用加速器访问游戏服务器或者与游戏有关的一些网站(如Steam)。
如果你拥有上面提到的可以使用UDP连接的代理,可以试试用netch等软件实现类似游戏加速器的功能,但是一般而言,”科学上网“节点连接游戏服务器的延迟,是远不如专门的游戏加速器这么低的。
Q: 为什么“科学上网”了浏览器还是不能访问某些网站?
有以下几种情况:
- 你使用了国产浏览器,或者其它一些会限制访问特定网站的浏览器。请改用Microsoft Edge、Google Chrome或Mozilla Firefox浏览器来访问”墙外“网站。
- 你所用的代理服务本身就限制用户访问某些网站,尤其是邪教等政治性网站,具体请咨询你的代理服务商;
- 你要访问的网站本身就“锁区”,这点已经在前面反复提到过,但解除不同网站对你的“锁区“的方法大相径庭,请善用搜索引擎和各大网站社区,寻找网上其它人的解决方案。
- ”落地“服务器所在的地域通过某些方法(比如”墙“,或者使用DNS污染的方式插入安全警示)屏蔽了你需要访问的网站。典型是盗版资源网站如Zlibrary。这种情况下请咨询网站,得到网站的备用地址或者绕过屏蔽的方法。
Q: 为什么我的”梯子“打开了”系统代理“,某些软件还是打不开/命令行上的命令没有访问代理?
”系统代理“指的是系统默认使用的HTTP代理。可以在系统设置中的”网络与Internet“→”代理“查看:
这一代理一般只有浏览器等一部分软件会默认使用,很多软件要使用代理需要设置,下面以Telegram软件为例:
首先鼠标左击软件左上角三个横线的按键:
进入更换用户和更多选项的界面,鼠标左击”Settings“选项:
进入Settings选项的界面,用鼠标左击,选择”Advanced“选项
进入”Advanced“选项后,点击”Connection type“选项
在打开代理软件的”系统代理“的前提下,点击”Use system proxy settings“即可使用“系统代理”设置,也即代理软件的”系统代理“功能。
对于命令行来说(在Windows上就是CMD和Powershell),可以通过命令来给命令行附加代理,比如在Powershell中:
- 打开powershell(在目标路径下按住shift,鼠标右键,选择“在此处打开powershell窗口”即可)
- 依次输入如下两行命令
$env:HTTP_PROXY="http://域名:端口"
$env:HTTPS_PROXY="http://域名:端口"
比如:
$env:HTTP_PROXY="http://127.0.0.1:7897"
即将域名和端口改成127.0.0.1和你本地代理软件的端口。代理软件的端口可以在代理软件内的“设置”里看见,具体的代理软件请自行寻找。
另外,许多代理工具存在一种叫TUN的模式。该模式会代理你电脑上所有联网软件所发出的请求和数据,从而避免了在单个软件上设置。具体的设置方法可见如何科学上网中的相关描述。
更多关于Windows系统中的”代理“,可见关于『代理』的不完全使用指北 | Revincx的小破站
Q: 为什么科学上网后我访问海外网站还这么慢/下载海外资源跑不满宽带?
首先,代理怎么说都是要绕路的,因此你访问一个网站发送的数据都要跨越边境去向千里之外,途径诸多路由器、交换机、代理服务器,这一定会大大提高你访问境外网站的延迟。
其次,访问代理的通道是有限的,和你家的宽带一样都有带宽的限制,同时由于是很多人一起使用,每个人分到的带宽并不平均。总带宽多少、代理服务的速度多少,请咨询代理服务商。
使用”科学上网“时,请避免长时间下载尤其是BT/PT下载、PCDN等大量占用带宽的行为经过代理服务器,这样不仅会消耗你的服务流量,而且异常的高带宽访问可能会使得服务商对你进行限速乃至停用。
Q: 我能让我的手机/电视机/游戏机/NAS”科学上网“、访问境外内容吗?
安卓系统的手机拥有类似于电脑的代理软件,可以在搜索引擎或者Google Play上搜索如何科学上网中提及软件的同名或相似名称软件,按照相关软件的文档教程或软件内指引导入节点、开启代理即可。
电视机、游戏机、NAS等因为系统特殊,一般没有通用的”梯子“软件下载安装。但是在连接家用WiFi、局域网的前提下,有以下两种方法代理它们发出的访问请求:
- 将你的电脑的代理软件打开”局域网连接“,记下电脑的局域网IP和代理端口,在你需要被代理的设备的WiFi/局域网/有线网等设置里,找到你连上的网络,找到”代理设置“,填入你电脑的IP和代理软件的端口,重新连接网络,即可连接代理。
- 使用拥有”科学上网“代理软件的路由器/网关,在上面开启代理软件,无需设置被代理的设备即可代理这些设备所发出的访问请求和访问的数据。由于”科学上网“的灰色性,这类路由器不可能以品牌路由器的方式销售,而是以”刷机“后的路由器/网关,或者”软路由器“的方式出现。请自行探索相关解决方案。
科学上网的风险和注意事项
Q:”科学上网“合法吗?
简单来说,不合法,但是是一种灰色地带。建设”梯子“等代理服务系统、组织“科学上网”活动,或者为发布、传播上文提到的有害信息或组织、参与上文提到的危险活动而“翻墙”是有可能被处罚乃至被捕、追究刑事责任的。普通人“科学上网”理论上违法,但中国的“科学上网”用户极多,实际上可达千万级,在多数人不发布和传播有害信息、不参与危险活动的情况下,很难对其进行处罚,很多被处罚的案例都是因为上述所提及的活动而遭到处罚。再加之“科学上网”是学术界获取境外一手学术信息、跨境商业人士进行线上交流和交易的重要手段,政府对“科学上网”的态度也就变得灰色。
Q:”墙外“是什么样的环境?
由于很多国家没有“墙”,即便有“墙”也没有中国这么严厉,不少“墙外”网站是多语言的跨国网站。由于英语是国际性语言,甚至是多数国家居民的第一外语,且大量网站是美国网站,多数网站的社区以英语为主。而港澳台居民、海外华侨华人以及和你我一样的大陆“科学上网”玩家的存在使得“墙外”中文也是各大网站的高流量社区。
但是,“墙外”的中文社区是一个灰色漩涡。除开涉华内容等政治性信息,以及各位耳熟能详的色色等在中国大陆违法的内容,诈骗、黑客、“开盒”、违禁商品(甚至毒品)销售、暴恐活动等真正意义上的犯罪活动及其预谋也在”墙外“中文社区频繁上演。其中尤以Telegram平台上的各种黑产社群为甚。
另外,在“墙外”并不代表可以“畅所欲言”“为所欲为”,在“墙外”造谣或传播谣言,利用墙外平台实施各种违法犯罪活动,只要你人在国内,在被发现后依旧会受到中国法律的追究。
顺带提醒一下,“科学上网”≠“自由”,海外可能没有严格的审查和“墙”,但是平台的自我规制,”水军“等团体的舆论操作,对特定网络行为的严厉打击,乃至于他国情报特务机关的监控和镇压,都可能干扰乃至阻遏你的外网生活。
Q:”科学上网“后应该注意什么?
- 保持辨别能力和思考能力,不要信谣传谣,不要参与明显的违法犯罪活动;
- 避免阅读和发表政治或其它争议性言论,尽量不要参与互联网舆情(尤其是中文舆情,甚至包括在中国大陆境内正在发生或发生过的舆情),远离社会和政治问题。
- 保持匿名,避免透露个人信息,手机号、邮箱等账号注册信息避免使用中国号码、地址,用户名和密码与国内网站分离;
- 定期按照如何科学上网里的提示检查DNS和WebRTC泄露,并且防范节点链接和订阅链接泄露;
- 除非确有必要,减少阅读境外中文社区内容和参与境外中文讨论;
- 英语社区是境外互联网中流量、信息量较高、讨论质量较好的社区,尤其在计算机领域,英语是大量内容的一手来源。但正因如此,英语社区讨论的主体、话题、立场和倾向都十分复杂,请保证自己拥有一定的英语水平3后再前往英语社区。
有其它语言阅读能力的可自行前往其它语言社区,但建议多了解各语言对应国家的社会状况(会很大程度反映在互联网中)和互联网交流习惯,以免造成误解。 - 避免使用国内浏览器访问被”墙“网站,尽量避免在国内公开网络平台和线下公开场合提及”科学上网“相关内容,请勿随意向“墙内”转载境外社区的内容。