说起科学上网,大家应该都不陌生。通过非正规手段翻墙,是有可能被请喝茶的。
不过今天我们不讨论这个,而是另一个想必大家都很关心的问题:单从技术上来说,翻墙能被发现吗?
有人可能想,翻墙不是数据都加密了吗,咋能知道我在翻墙?
轩辕从事的工作经常要与网络流量的分析检测打交道,今天就跟大家简单聊聊这个话题。
先说答案:有可能被发现,国内有很多公司在做这方面的产品。
1. VPN
最早期的翻墙很多都是通过VPN进行,VPN使用的协议就是那几个,很容易被协议识别,特征非常明显,再配合一个VPN服务器黑名单和白名单,想检测非常简单。
很多人把翻墙和VPN画等号了,这其实是不对的,VPN全称虚拟专用网络,是一种加密通信技术,是为了在互联网上通过加密手段开辟一条虚拟的专用网络,在政府单位、企业、高校应用的非常多。
VPN并不是为了科学上网而研发的技术,但确实被一些人拿去用作翻墙。
传统VPN特征过于明显,用这玩意儿翻墙那是高危操作,现在基本用的很少了。
2. DNS
现在的很多翻墙软件工作之前,免不了需要做一些DNS解析的工作,以拿到代理服务器的地址,而其中有一些情况下,DNS解析过程它没有做保护,这就给了检测的切入口。
这种情况下,尽管你的流量是加密的,DNS请求却是明文的,很容易被发现你要去哪个网站。
3. 流量特征
对于一些段位比较高的翻墙手段,通过协议、IP、域名这些都很难识别出来,它产生的网络行为看上去就像一条条正常的HTTPS连接。
这种情况下,一般就只能从流量特征角度来入手了。
这些特征是多维度的,有单个数据包局部的,也有整个会话全局的,还有多个会话之间的,像是TCP一些标志位,报文的大小、频率,在握手阶段和数据传输阶段的变化等等,拿着这些特征,然后找AI来训练模型出来做检测,这方面的专利多如牛毛。
现在做翻墙检测,一般需要结合各种黑名单+各种机器学习一起来实现。
4. 终端检测
以上说的都是在网络节点中抓包,然后通过通信流量的方式进行识别,有一定的难度。但如果能在你的电脑上安装个什么程序的话,那检测就是易如反掌了。
最后温馨提示:翻墙有风险,评论需谨慎!
本文发表于公众号【莫理】
▽▽▽
