前言 #

自2017年起，“被牆”成為許多 INTERNET 用户的日常用語。隨著網路環境的變遷與相關政策的調整，某些網站或服務因各種原因被限制訪問，導致用戶無法正常使用這些資源。對於學術研究、新聞獲取、線上學習等需求來說，這一現象無疑帶來了諸多不便。然而，在“被牆”的陰影下，依然存在一些方法可以幫助我們繞過網絡審查，繼續享受 INTERNET 網路世界的豐富資源。

本文將探討幾種常見的繞牆技巧與工具，並分析其背後的技術原理及使用注意事項，幫助讀者了解如何在合法合規的前提下合理利用這些技術手段以實現自由訪問全球網站的需求。

什麼是「被牆」？ #

「被牆」是指對特定網站或服務進行存取限制的現象。這種限制通常由政府機關執行，其目的是為了維持網路安全、防止不良資訊流散等目的。然而，在此過程中，也可能導致一些合法且有價值的信息和資源無法正常取得。

常見的繞牆方法 #

1. 虛擬私人網路（Virtual Private Network, VPN） #

虛擬私人網路是最常見的繞牆工具之一。通過建置一條加密的安全通道，將你的數據從公共網際網路傳輸到指定伺服器，然后再將其轉送至目標網站或服務。這樣做的好處在於不僅能夠存取被限制的網站，還能提升個人隱私保護。

技術原理： #

• 使用隧道技術，將你的網路請求包裝在加密的資料封包內。這樣做可以確保數據在傳輸過程中不會被竊取或干擾。
• 通過選擇位於不同國家/地區的伺服器進行數據传输，繞過地域性封锁。簡單來說，就是讓你的上網路徑看起來像是從國外來的，這樣就可以避開國內的一些訪問限制。
• 利用複雜的加密算法確保信息的安全性和完整性。這些算法會保護你的數據不被未授權的人員解密或篡改，讓你使用網路時更加安心。

注意事項： #

• 不同國家對於VPN服務的監管政策都不一樣，請確保所使用的VPN服務提供商支持中國用戶並符合當地法規要求。這樣可以避免因為使用不合規的服務而產生麻煩。
• 注意選擇安全性高的商業級或企業級產品，避免個人信息外洩的风险。畢竟،保護好自己的資料才是最重要的！

2. 代理伺服器（Proxy Server） #

代理伺服器是另一種常見的繞牆技術。它通過中繼伺服器轉發你的網路請求，以此實現對目標網站的訪問。與VPN相比，代理伺服器通常只提供HTTP/HTTPS層面上的支持，因此在速度和安全性方面可能會有所降低。簡單來說，代理伺服器就像一個仲介角色，先接收你的請求，再代為傳送至目标網站，最後將回應結果傳遞給你。這樣做雖然可以繞過部分訪問限制，但因為只在特定通訊層級上運作，所以在隱私保護和數據传输速度上可能不如VPN來得強大。

技術原理： #

• 用戶向代理伺服器傳送請求。
• 代理伺服器再將該請求轉發至目標伺服器，並返回回應給用戶。

注意事項： #

• 對於某些網站或服務來說，過度切換IP地址可能觸發反爬蟲機制，導致存取權限被限制。
• 某些代理服務可能會記錄你的瀏覽痕跡，存在個人資料外洩的風險，因此使用時需特別注意隱私保護。

3. 軟體與瀏覽器外掛 #

哎呀！最近几年發展起來的這些軟體工貝和瀏覽器外掛，簡直就成了繞牆的好幫手之一！比方說，Tor瀏覽器跟Squid這些工具啦，讓你在網路上逛街購物時，連女朋友都不曉得你在哪邊出没呢！至於Shadowsocks這種開源計劃嘛，就是讓你有辦法自己蓋個代理伺服器出來，這樣網路瀏覽就跟你在夜市擺攤一樣自由自在！是不是超級酷炫又有趣啊？哈哈！

技術原理： #

• Torres 網路裡面有一層又一層的密碼保護，還有亂來的路線設計，讓你成為網路世界的神偷大盜！ 哈哈！
• 然後你在電腦裡面安裝一套地下的規矩，讓那些被鎖起來的網站跟服務，突然間就像老鼠一樣鉚洞跑出來啦！ 真是太神了！

注意事項： #

• 哎呀！你要是個網路小白呢，自己動手蓋一個代理伺服器簡直就像讓高中生去修理鍋爐一樣，鐵定會搞得一塌糊塗，連湯都不曉得該往哪邊噴了！
• 至於那些開源工貝嘛，你一定要小心選對版本，不然就好像是穿著 mismatch 的襯衫褲子上街，不僅不帥氣，還可能會被人當場抓包，丟個大面子！

4. 第三方301跳轉服务商 #

哎呀！這招簡直是 network 經界神來之筆！啥叫301永久重定向啊？就是說你的域名被鎖起來了，對吧？那我們就偷偷地把它改造成「301大跳轉」啦！就像一個舞廳DJ，突然把你從禁舞區直接轉到豪華VIP舞池，讓你跳舞跳到爽！

前言 #

在現代電腦網路中，TCP（傳輸控制協議）作為 INTERNET 通訊的基本協議，扮演著非常重要的角色。TCP 不僅負責數據的可靠傳遞，還通過複雜的手勢和流量控制機制確保網路連接的穩定性和高效性。它是一種面向連接、可靠的、基於位元流的传输層協議，在各種應用程式之間數據的可靠傳遞上廣泛應用。

然而，在TCP協議的设计與實現中，有一種機制雖然重要但常常被忽略——TCP重置（TCP Reset）。在某些情況下，TCP會發送一個「重置」（RST）段來終止當前進行中的資料傳輸，這通常被稱為TCP重置。這種機制在某些情況下可能會對網絡安全和系統穩定性造成嚴重影響。本文將深入探討TCP重置帶來的危害與影響，並詳細介紹如何應對這一問題。

這個技術可以在善意的防火牆中應用，但也可用於網路審查或是攻擊，恶意中断TCP連接，是一種旁觀者攻擊。防火長城（GFW）會自動執行TCP重置攻擊，來阻斷不符合當地法規法例的網站。

基本概念 #

背景 #

當兩台電腦之間需要建立雙向虛擬連線時，TCP（Transmission Control Protocol）與IP（Internet Protocol）會一起使用。（UDP則是無连接的IP協議。）兩台電腦上的TCP軟體將透過交換數據包流進行通訊（例如，裝有瀏覽器的電腦和Web服务器）。使用TCP連線為電腦提供了一種便捷的方式來交換對於單個數據包來說過大的數據項，例如影音片段、電子郵件附件或音樂檔案。雖然某些網頁对于單個數據包來說足夠小，但為了方便起見，它們也是透過TCP連線傳送的。

TCP重置 #

TCP重置是TCP協議中的一種錯誤處理機制，用於在网络連接出現異常時快速恢復通訊狀態。當TCP連線因某些原因斷開或發生嚴重錯誤（如數據包損壞、超時等）時，傳送方會向接收方傳送一個帶有RST（Reset）標旗位的TCP報文段，指示對方重置該連線。

TCP重置機制的設計初衷是快速清理無效連線，確保網路資源不被無謂地占用。然而，在實際應用中，由於配置不當、惡意攻擊或協議漏洞等原因，TCP重置可能會引發嚴重的安全問題和性能隱患。 按照最初的设计，這是一種有用的工具。常見的應用是在建立TCP連線時電腦（電腦A）發生崩潰的情況。另一端的電腦（電腦B）仍會持續傳送TCP數據包，因為它不知道電腦A已崩潰。重新啟動電腦A後，它將從舊的崩潰前連線接收數據包。電腦A沒有這些數據包的上下文，也無法知道如何處理這些數據包，因此它可以向電腦B傳送TCP重置。此重置使電腦B知道該連線不再有效。電腦B上的用戶現在可以嘗試其他連線或採取其他措施。

伪造TCP重置 #

在上述情況下，TCP重置是由作為連線端點之一的電腦發送的。但操作中，第三台電腦可以監視連線上的TCP數據包，然後將包含TCP重置的“偽造”數據包送到一個或兩個端點。偽造數據包中的標頭必須誤導地表明它來自端點，而不是偽造者。這些信息包括端點IP地址和端口号。IP和TCP封包標頭中的每個欄位都必須設置為令人信服的偽造值，以便進行偽重置，以欺騙端點關閉TCP連接。正確格式化的偽造TCP重置可能是中斷偽造者可以監視的任何TCP連接的非常有效的方法。

TCP重置是如何產生的 #

TCP重設（RST）是一種用於終止TCP連接或拒絕異常連接請求的機制。在正常的TCP通訊過程中，雙方會通過三次握手建立連接，並通過四次揮手完成連接的关闭。然而，在某些情況下，網路中的主機會發送一個帶有RST標誌位的TCP包，這將導致當前連接被重設。 以下是導致TCP重設的一些主要原因：

1.異常終止連接 #

• 在正常的通訊過程中有時候，如果一方突然斷電、崩潰或因其他原因無法繼續維持連接，它會發送一個RST包來通知另一方終止連接。這種情況下，RST包是合法的，用於清理異常狀態。

2.網路配置錯誤 #

• 在網路設備（如路由器、防火牆）的配置過程中，如果規則設置不當，可能會導致某些合法的TCP流量被錯誤地標記為非法，並觸發RST重設。例如，一些ACL（訪問控制列表）或NAT（網絡地址轉換）配置錯誤可能导致連接被意外終止。

3.中間設備干擾 #

• 在複雜的網路環境中，某些中間設備（如防火牆、負載均衡器）可能會因為處理不當而發送RST包。特別是在處理畸形的TCP包（如重組失敗的数据包）時，這些設備可能會認為連接處於異常狀態，並主動發送RST來重設連接。

4.安全威脅 #

• 憤怒攻擊者可以通過發送偽造的RST包啟動拒絕服務（DoS）攻擊或分布式拒絕服務（DDoS）攻擊。透過向目標伺服器發送大量RST包，攻擊者可以阻止合法客戶端與伺服器之間的正常通訊，從而導致服務中斷。

5.協議實現問題 #

• 某些操作系統或應用程序的TCP/IP協定堆疊可能存在漏洞，導致在特定情況下錯誤地發送RST包。例如，某些老版本的操作系統在處理某些異常流量時可能會觸發不必要的RST重設。

6.網路故障 #

• 硬體問題：如交換機、路由器等設備的物理損壞或配置錯誤。
• 帶寬限制：高流量需求可能导致網絡擁塞，進而引發TCP重設。

7.安全攻擊 #

• SYN Flood攻擊：攻擊者發送大量偽造的連接請求（SYN包），導致伺服器資源耗盡，無法正常回應有效的連接請求。
• 憤怒RST包：黑客通過向目標設備發送RST段來干擾正常的通訊過程。

8.應用程式錯誤 #

• 超時問題：應用程沒有正確處理TCP的重傳機制，導致长时间等待無回應的数据包被自動放棄並發送RST。
• 資源耗盡：例如記憶體洩漏、線程挂起等情況下，應用程式無法正常工作，從而觸發TCP重設。

9.作業系統配置 #

• 防火牆規則設定不當：錯誤的防火牆規則可能导致合法的数据包被誤判為恶意攻擊並阻止其傳輸。
• 網絡介面問題：如網卡驅動程式故障或不兼容等導致的问题。

TCP重置帶來的危害與影響 #

在2016年，由Mirai僵尸網路發起的大規模DDoS攻擊中，攻擊者通过感染大量物聯網設備（如攝像頭、路由器）向目標服務器发送了海量的RST包和其他畸形數據包。這種攻擊不僅導致目標服務器因過載而崩潰，還引發了全球範圍內的インターネット服務中斷。

前言 #

在現代互聯網體系中，域名系統（Domain Name System, DNS）是連接用戶與網站的关键基礎設施，扮演著至关重要的角色。簡單來說，DNS就像是インターネット上的“地址簿”，將人類容易記憶的域名（如www.example.com）轉換為計算機能夠理解的IP地址（如192.168.1.1）。然而，這種看似基礎的功能卻潛藏著一個嚴重的安全隱患。在某些情況下，DNS伺服器可能會被惡意操縱或竄改，導致用戶的查詢結果受到干擾，这种現象被稱為DNS汙染。

DNS的基本原理 #

在了解DNS汙染之前，首先需要明確DNS的工作機制：

• 域名解析過程 ：當用戶輸入網址（例如www.example.com）時，瀏覽器會向本地的DNS快取伺服器發起請求。如果該地址已被快取在本地伺服器上，則直接使用；否則，DNS客戶端將請求傳送至根域名伺服器。
• 分層查找機制 ：根域名伺服器負責指向顶级域名伺服器（如.COM、.NET等）。這些顶级域名伺服器進一步指向權威域名伺服器，最終由權威域名伺服器提供準確的IP地址。
• DNS解析 ：DNS伺服器負責將域名轉換為對應的IP地址，并將結果回傳給用戶的設備。
• 建立連線 ：一旦獲得正確的IP地址，用戶的設備就可以與目標網站建立連線並進行通訊。 在正常情況下，這個過程是快速且安全的。然而，當DNS汙染發生時，惡意行為者會竄改或伪造 DNS 記錄，導致用戶被導向錯誤的目的地。

什麼是DNS汙染？ #

DNS汙染是指透過操縱或偽造 DNS 紀錄，讓用戶在嘗試存取某個合法域名時，被導向錯誤的IP地址。這些錯誤的IP地址通常指向惡意網站、廣告頁面或完全無用的資源。這種攻擊不僅會影響用戶上網的體驗，還可能帶來嚴重的安全風險。

常見的DNS汙染手段 #

1.DNS騙局（Spoofing） #

- 攻擊者喬裝為合法 DNS 伺服器，向用戶的設備傳送虛假的DNS回應。
- 這種手段也稱為全體DNS汙染。在某些情況下，網路營運商或ISP可能會更動所有用戶的DNS設定，從而將用戶導向特定的網站。
- 例如，當用戶嘗試存取“www.example.com”時，攻擊者會回傳一個指向惡意網站的IP地址。

2.DNS篡改（Tampering） #

- 攻擊者直接修改合法的DNS紀錄，使其指向惡意伺服器。
- 這種方法通常需要對DNS伺服器進行未授權的更改，常見於未受保護的企业網路或公共DNS服務中。

3.缓存汙染（Cache Poisoning） #

- 攻擊者透過向DNS遞歸解析器傳送虛假回應，將惡意IP地址儲存到解析器的缓存中。
- 一旦緩存被汙染，所有使用該解析器的用戶都會受到影響，直到緩存過期。
- 這種是最常見的形式。當一個惡意DNS伺服器將偽造的IP地址注入到本地DNS缓存中時，會導致該缓存數據被錯誤地更新。

4.中間人攻擊（MITM） #

- 攻擊者通過攔截並篡改通信過程中DNS請求與回應報文來實現汙染的目的。

DNS汙染的危害 #

1.網絡安全風險 #

- 黑客可以通過修改DNS紀錄，引導用戶訪問偽造的惡意網站，進行魚叉式攻擊、傳播病毒等行為。
- 用户可能誤入惡意網站，導致個人資訊泄露、賬戶被盜等嚴重後果。
- 恶意網站可能會散播病毒、木馬或其他恶意軟件，進一步危害用戶的設備和數據安全。

2.隱私洩露 #

- 恶意網站可能收集用戶資訊，用於非法目的。

3.政治與社會影響 #

- 在某些國家或地區，通過DNS汙染可以實現網絡審查、言論控制等。

4.用户体验下降 #

- DNS汙染會導致用戶無法正常訪問目標網站，甚至被重定向到完全無關的頁面。
- 如用戶試圖訪問銀行官網時被引導至假設登錄頁面，不僅浪費時間，還可能造成經濟損失。

5.信任危機 #

- 如果DNS汙染事件頻發，用戶對互聯網的信任度下降，影響整體網絡環境的安全性和穩定性。
- 企業可能會因為被錯誤指向而失去客戶信任，導致合法業務受损。

如何應對DNS汙染 #

1.使用加密的DNS協議： #

• 部署支持 DNS over HTTPS（DoH）或 DNS over TLS（DoT）等加密協議的DNS服務。
• 這些協議可以確保DNS查詢在傳輸過程中被加密，防止中間人攻擊。

2.選擇可靠的DNS服務提供商： #

• 使用知名且信誉良好的公共DNS服務
  • Google Public DNS（8.8.8.8 和 8.8.4.4）
  • Cloudflare 1.1.1.1
  • OpenDNS (208.67.222.222, 208.67.220.220)
• 這些服務通常會對DNS查詢進行嚴格監控和過濾，降低被汙染的風險。

3.配置本地DNS缓存： #

• 在個人設備上啟用本地DNS缓存功能（如作業系統自带的功能）。
• 通過这种方式，可以減少對外部DNS伺服器的依賴，並降低DNS汙染的影響範圍。

4.企業級防護措施： #

• 對於企業網絡，建議部署專業的DNS安全解決方案，包括實時監控、威脅檢測和響應機制。
• 定期更新DNS記錄，確保所有解析信息準確無誤。

5.提高用戶意識： #

• 教育用戶識別異常的網絡行為，避免點擊可疑鏈接或訪問不明網站。
• 使用多因素認證（MFA）等安全措施，進一步保護帳戶和數據。

6.安裝並更新殺毒軟件 #

• 確保系統和網絡不受惡意軟件的侵擾。

7.定期檢查路由器設置： #

• 確認DNS伺服器地址未被篡改，尤其是新連接或疑似不安全的Wi-Fi網絡中。

8.啟用網絡安全功能： #

• 使用防火牆阻止可疑流量
• 启用反釣魚網站保護

9.提高風險意識： #

• 提高對其他人員對潛在風險的認識。

結論 #

DNS汙染作為互聯網時代的一個隱秘威脅，正在逐步侵蝕著用戶的信任與安全。儘管技術手段在不斷進步，但要徹底解決這個問題仍需要多方共同努力。通過使用加密協議、選擇可靠的DNS服務、配置本地缓存以及提高用戶意識等措施，我們可以有效降低DNS汙染帶來的风险，為更安全的互聯網環境貢獻力量。