INTRODUCTION 1. 简介 2. 关于这本指南 2

Size: px

Start display at page:

Download "INTRODUCTION 1. 简介 2. 关于这本指南 2"

縻管
9 years ago
Views:

1 CIRCUMVENTION TOOLS Published : License : None 1

2 INTRODUCTION 1. 简介 2. 关于这本指南 2

3 1. 简介 1948 年 12 月 10 日, 世界人权宣言的通过开启了一个新的时代黎巴嫩学者查理斯哈比卜马利克向参会代表做了如下描述 : 联合国的每个会员均已庄严承诺实现对人权的尊重和遵守但是, 无论是在宪章里还是在其他任何国际条约中, 这些权利究竟明确地是哪些我们之前却从未讲过这是人权和基本自由的原则第一次权威性地和精确细致地被阐述出来现在我知道了我的政府承诺促进实现和遵守的是什么我可以鼓动反对我的政府, 并且如果她不履行她的承诺, 我将得到和感受到整个世界的精神支持世界人权宣言在第 19 条所述的基本权利之一就是言论自由的权利 : 每个人都有见解和表达自由的权利 ; 这个权利包括坚持主张不受干涉及通过任一媒介且无论国界寻求接受和传递信息和观点的自由当这些话六十年前被写入时, 没人想象到全球互联网现象将怎样扩大人们寻求接受和传递信息的能力, 不仅跨越了边界, 而且以惊人的速度和可复制编辑处理重组的形式, 通过与 1948 年可用的传播媒介根本不同的方式与或大或小的观众共享比想象中更多的信息在更多的地方互联网上的东西及其适用的地方在过去几年中难以置信的增长产生了这样的效果, 使得人类知识和活动中难以想象的庞大部分突然出现在了意想不到的地方 : 一个偏僻小山村里的医院你 12 岁孩子的卧室你向你最亲密的同事展示将使你超越竞争对手的新产品设计的会议室你祖母的房子在所有这些地方, 与世界连接的可能性开辟了许多改善人们生活的极好机会当你在度假时得了一种罕见的疾病, 偏僻山村的医院可通过将你的检测结果发给首都甚至另一个国家的医疗专家来挽救你的生命 ; 你 12 岁的孩子可以研究她的学校项目或与其他国家的孩子交朋友 ; 你可以同时向分布全世界的办事处的高层管理者展示你的新产品设计, 他们可以帮助你改进它 ; 你的祖母可以通过电子邮件及时发送给你她特殊的苹果派食谱, 以便你今晚烤它做餐后甜点但是, 互联网并不只包含相关和有用的教育信息友谊和苹果派就像世界本身一样, 它庞大复杂, 且经常吓人它对恶意贪婪不择手段不诚实或仅粗鲁的人可用就像对你和你 12 岁的孩子及你的祖母一样并不是每个人都想让整个世界加入随着互联网上反映出的人性所有的最好面和最坏面, 以及某些种类的欺诈和骚扰通过技术更容易实施, 任何人都不会感到惊讶互联网在增长的同时伴随着控制人们如何使用它的努力这些努力有很多不同的动机目标包括 : 保护孩子远离被认为不适当的资料, 或者限制他们与可能伤害他们的人接触减少通过电子邮件或在网上的不必要的商业邀请的泛滥控制任一使用者在同一时间能访问的数据流的大小防止雇员分享被认为是其雇主财产的信息, 或者防止其为个人活动利用其工作时间或雇主的技术资源限制对在特定管辖区内 ( 如一个国家或一个类似学校的组织 ) 禁止或规管的资料或在线活动的访问, 如明显的色情或暴力资料药物或酒精赌博和卖淫, 以及被认为是危险的有关宗教政治或者其他团体或观点的信息其中一些关注点包括允许人们控制他们自己的互联网行为 ( 如让人们使用垃圾邮件过滤工具阻止垃圾邮件被投递到他们自己的电子邮件账户 ), 但另一些关注点则包括限制他人能怎样使用互联网以及他们能和不能访问什么当访问被限的人不同意这种封锁是合适的或符合他们利益的时, 后一种情况导致了重大的冲突和分歧谁在过滤或封锁互联网? 尝试限制特定人使用互联网的人士和机构的种类就如同其目的一样多样他们包括父母学校商业公司网吧经营者或互联网服务提供商 (ISPs), 以及各级政府 3

诺, 我将得到和感受到整个世界的精神支持世界人权宣言在第 19 条所述的基本权利之一就是言论自由的权利 : 每个人都有见解和表达自由的权利 ; 这个权利包括坚持主张不受干涉及通过任一媒介且无论国界寻求接受和传递信息和

互联网控制的极端情形是当一个国家的政府尝试限制其所有国民使用互联网访问所有种类的信息或与外部世界自由共享信息的活动网络公开倡议 (http://opennet.

4 互联网控制的极端情形是当一个国家的政府尝试限制其所有国民使用互联网访问所有种类的信息或与外部世界自由共享信息的活动网络公开倡议 ( 的研究已列明了国家对其公民上网过滤和封锁的许多方式这包括实行无孔不入的过滤政策的国家, 其被发现定期封锁对挑战现状或者被视为有威胁的或不良的人权组织新闻博客和网络服务的访问其他国家封锁对某一种互联网内容的访问, 或者间歇性地封锁特定的网站或网络服务以配合战略事件, 比如选举或公共示威即使一般对言论自由有力保护的国家有时也尝试限制或监控与抑制色情所谓仇恨言论恐怖主义和其他犯罪活动泄露军事或外交通信违反著作权法有关的互联网使用过滤导致监控任一这些官方或民间团体也可能使用各种技术监控他们关心的人的互联网活动, 从而确保他们限制的尝试是有效的这个范围从父母透过孩子的肩膀或查看孩子电脑上访问了什么网站, 到公司监控雇员的电子邮件, 到法律执行机构从互联网服务提供商处要求信息或者甚而查封你家中的电脑以寻找你参与了不良活动的证据何时审查? 根据谁限制对互联网的访问和 / 或监控其使用, 以及访问被限的人的判断, 几乎任一这些目标和任一用来实现其的方法都可能被视为是合法必要的或是不可接受的审查和对基本人权的侵犯一个十几岁的男孩, 他的学校封锁其访问他最喜欢的网络游戏或像 Facebook 类的社交网站, 他感觉他的个人自由被削减了, 丝毫不亚于其政府阻止其阅读有关政治反对派的网络报纸的那些人到底是谁封锁了我对互联网的访问? 谁能在任何给定的国家内在任何给定的电脑上限制访问取决于谁有能力控制技术基础设施的特定部分这种控制可能基于合法建立的关系或要求, 或者基于政府或其他机构的能力, 从而迫使合法控制技术基础设施的主体依从封锁过滤或收集信息的要求国际互联网基础设施的许多部分是由政府或政府控制的机构控制的, 他们可能按照或不按照当地的法律主张控制过滤或封锁部分互联网可能出重手或者很轻, 可能明确规定或者几乎看不见一些国家公开承认封锁并发布封锁标准, 同时将被封锁的网站代之以说明信息其他国家没有明确的标准, 有时依靠非正式的理解和不确定地迫使互联网服务提供商进行过滤在一些地方, 过滤被伪装成技术故障, 且当封锁是故意时政府并不公开承担责任或确认即使是在同一国家并遵守相同法规的不同网络运营商也可能会因为谨慎技术无知或商业竞争而采用完全不同的方式执行过滤在从个人到国家各级可能的过滤中, 封锁恰被认为不良的访问的技术困难可能有意想不到的且往往是可笑的结果意在封锁色情资料的家庭友善过滤阻止了对有用健康信息的访问封锁垃圾邮件的尝试可能过滤掉重要的商业信函封锁对特定新闻网站访问的尝试同样可能切断教育资源存在哪些方法绕过过滤? 就如同一些个人企业和政府将互联网视为危险信息的来源之一而必须受到控制一样, 许多个人和团体正努力确保互联网及其上的信息能被每个需要它的人自由使用这些人像寻求控制互联网的那些人一样有许多不同的动机然而, 对那些互联网访问被限制和想要做一些事情的人来说, 这些工具是否由一些想要和女朋友聊天写一份政治宣言或发送垃圾邮件的人开发可能并不重要有来自商业非营利和志愿者团体的大量资源致力于开发工具和技术绕过互联网审查, 产生了大量绕过互联网过滤的方法总的来说, 这些被称为绕行方法, 且其范围能从简单的解决方法保护途径到复杂的计算机程序然而, 它们几乎都以大致相同的方式工作它们指示你的网络浏览器通过一个被称为代理的中介计算机进行迂回, 其 : 被设置在不受互联网审查的某处并未封锁你的位置知道如何为像你一样的用户获取和回馈内容 4

内容的访问, 或者间歇性地封锁特定的网站或网络服务以配合战略事件, 比如选举或公共示威即使一般对言论自由有力保护的国家有时也尝试限制或监控与抑制色情所谓仇恨言论恐怖主义和其他犯罪活动泄露军事或外交通信违反著

5 什么是使用绕行工具的风险? 只有你, 想绕过你的网络访问限制的人, 能决定访问你想要的信息是否有重大风险, 也只有你能觉得受益是否超过风险可能没有法律明确地禁止你想要的信息或者访问它这一行为另一方面, 缺乏法律制裁并不意味你没有冒着其他后果的风险, 如骚扰失去工作或者更坏的结果下面的章节讨论互联网是如何工作的, 描述了各种形式的网络审查, 并详细说明大量可以帮助你绕开这些言论自由障碍物的工具和技术关于数字隐私和安全的首要问题的思考贯穿全书, 从基本开始, 然后在结束前, 为那些想帮助他人绕过网络审查的网站管理员和电脑专家用一个简短的章节, 讨论一些复杂的话题 5

息或者访问它这一行为另一方面, 缺乏法律制裁并不意味你没有冒着其他后果的风险, 如骚扰失去工作或者更坏的结果下面的章节讨论互联网是如何工作

6 2. 关于这本指南绕过网络审查这本指南介绍了这一话题, 并解释了一些用来绕过网络审查的最常用的软件和方法还有关于在绕开审查时避免监视和其它探测手段的信息, 然而它本身是一个广博的主题, 所以我们仅在它直接与审查问题全面讨论保持匿名和防止探测内容或活动已超出本书的范畴这本书是如何写就的以及谁是作者这本指南的第一版刊载的内容主要在 2008 年 11 月 Book Sprint 写就八个人在密集的五天内紧锣密鼓共同工作创造本书你正在阅读的这本指南的更新版编辑于 2011 年初期在德国举行的第二届 Book Sprint 这一次, 有十一人在密集的五天内紧锣密鼓共同工作这本书是活的课程文档, 在网络上免费, 你也可以编辑和改进它除了在两届 Book Sprint 写就的材料外, 还有材料来源于早先的出版物包括来自于下列人士的稿件 : Ronald Deibert Ethan Zuckerman Roger Dingledine Nart Villeneuve Steven Murdoch Ross Anderson Freerk Ohling Frontline Defenders 哈佛大学 Berkman 互联网和社会中心的 Hal Roberts, Ethan Zuckerman, Jillian York, Robert Faris, 以及 John Palfrey 这些作者友善地同意我们在 GPL 授权协议环境下使用这些材料这本指南已在 FLOSS Manuals 上写就按照下列步骤改进这本指南 : 1. 注册在 FLOSS Manuals 上注册 : 2. 撰稿! 选择这本指南 ( 和其中一章进行撰稿如果你需要就如何撰稿向我们提问, 加入下面所列的聊天室并向我们提问! 我们期待你的撰稿! 欲知更多关于使用 FLOSS Manuals 的信息, 你可能也希望阅读我们的指南 : 3. 聊天与我们交谈是个好主意, 这样我们能够协调所有的撰稿我们有一个使用 IRC 的聊天室如果你知道怎样使用 IRC, 你可以连接下列的 : server: irc.freenode.net channel: # booksprint 如果你不知道怎么使用 IRC, 在你的浏览器访问下列基于网页的聊天软件 : 关于如何使用这些基于网页的聊天软件的信息在这 : 4. 邮件列表讨论所有关于 FLOSS MANUALS 的事宜, 加入我们的邮件 6

这本指南的更新版编辑于 2011 年初期在德国举行的第二届 Book Sprint 这一次, 有十一人在密集的五天内紧锣密鼓共同工作这本书是活的课程文档, 在网络上免费, 你也可以编辑和改进它除了在两届 Book Sprint 写就的材料外, 还

7 列表 : 7

8 QUICK START 3. 快速入门 8

9 3. 快速入门当人们或团体控制互联网阻止网民访问特定内容或服务时, 互联网是被审查的网络审查有多种形式例如, 政府可能封锁普通的电子邮件服务, 试图迫使公民使用政府的电子邮件, 它易于被监视过滤或者关闭父母可以控制他们的未成年的孩子访问的内容大学可能阻止学生在图书馆访问 Facebook 网吧的所有者可能封锁点对点文件分享服务独裁政府可能审查关于侵犯人权或上次被盗的选举的报道对这些审查形式的合法或非法, 人们有广泛不同的观点绕行绕行是绕过互联网审查的活动有很多种方法可以做到, 但是几乎所有的绕行工具几乎以同样的方式工作他们命令你的浏览器通过一个中介电脑绕道而行, 被叫做代理 (proxy), 它 : 位于没有互联网审查的地方没有被你所在地封锁知道如何为你这样的用户获取和返回内容安全和匿名记住没有工具对你的情况是完美的解决方案不同种类的工具提供不同程度的安全性, 但是技术不能消除你反对当权者所承担的身体危险这本书有几章解释互联网是如何工作的, 它对理解在绕行审查时如何更安全是重要的存在很多不同有些工具只能在你所用的浏览器使用, 而其他的可能立刻就可在数个程序使用这些程序可能需要配置通过代理发送网络流量有一点额外的耐心, 你不用在你电脑上安装任何软件就可以做所有这些注意你的获取网页的工具可能不能准确地显示网页一些工具为了隐瞒你正在访问被封锁的服务的事实, 使用超过一台中介电脑这也可以对工具的提供者隐藏你的活动, 这对匿名非常重要一个工具可能有聪明的方法知道可以连接的替代代理, 如果你正在使用的自身被审查理想地, 为保护它免受窥探, 请求获取和发送所产生的流量被加密对于面对互联网审查访问或者制作内容来说, 就你特定的处境选择正确的工具几乎肯定不是你将要做的最重要的决定尽管关于这些事提供具体的建议困难, 花点时间思考下背景是重要的, 比如 : 你打算怎样什么时候和在哪使用这些工具谁可能想阻止你做这些工具可以让你做的事这些组织和个体反对这些使用有多强烈他们掌握什么资源用来帮助他们实现自己想要的结果, 直至暴力访问大多数被封锁的网站不使用另外的软件最基本的绕行工具是网页代理虽然它不是你最理想的解决方案有众多理由, 就非常基本的绕行目的而言, 它经常是一个好的起点假设它还没有在你的所在地被封锁, 访问以下网址 : 接受服务条款, 在蓝色的地址栏输入你想访问的被封锁网站的地址 : 按回车 (Enter) 或点击 GO, 如果成功导航到请求的网站, 那么它是可行的如果上面的连接不起作用, 你需要寻找一个替代绕行方法这本书的网页代理 (Web proxy) 和赛风 (Psiphon) 章节提供一些寻找网页代理的建议和大量关于一旦你使用它你应不应该愿意使用它的决定如果你需要访问特别复杂的网站 Facebook 的全部功能, 你可能需要使用一个简单的可安装的工具如 Ultrasurf, 而不是网页代理如果你想要或者需要一个解决方案, 它通过严格安全测试且能帮助你保持匿名, 不需要你知道谁真正管理服务自身, 你应该使用 T or 如果你需要访问被过滤的网络资源而不仅仅是网站, 如被封锁的即时通信平台或者被过滤的邮件服务器 ( 被 Mozilla T hunderbird 或者 Microsoft Outlook 等程序使用 ), 你可以尝试 HotSpot Shield 或者其他的 OpenVPN 服务所有的这些工具, 在这本书的后面有自己的章节, 简要描述如下访问所有被封锁的网站和平台 9

绕行绕行是绕过互联网审查的活动有很多种方法可以做到, 但是几乎所有的绕行工具几乎以同样的方式工作他们命令你的浏览器通过一个中介电脑绕道而行, 被叫做代理 (proxy), 它 : 位于没有互联网审查的地方没有被你所在地封

Ultrasurf 是一个适合 Windows 操作系统的免费的代理工具, 可以从 http://www.ultrareach.com/, http://www.ultrareach.net/ 或者 http://www.wujie.net/ 下载下载的压缩文件需要解压, 右击并选择全部解压 ( "Extract All.

exe 文件可以不需要安装直接启动 ( 即使在网吧用 USB 闪盘 ) Ultrasurf 自动连接, 将启动一个新的 Internet Explorer 浏览器窗口, 你可以使用它打开被封锁的网站绕开过滤器和在网上保持匿名 T or 是一个复杂的代理服务器网

10 Ultrasurf 是一个适合 Windows 操作系统的免费的代理工具, 可以从或者下载下载的压缩文件需要解压, 右击并选择全部解压 ( "Extract All...") 得到的.exe 文件可以不需要安装直接启动 ( 即使在网吧用 USB 闪盘 ) Ultrasurf 自动连接, 将启动一个新的 Internet Explorer 浏览器窗口, 你可以使用它打开被封锁的网站绕开过滤器和在网上保持匿名 T or 是一个复杂的代理服务器网络它是免费的开源软件, 主要是用来允许匿名网络浏览, 但它也是一个很好的审查绕行工具支持 Windows Mac OS X 或者 GNU/Linux 的 T or 浏览器组件可以在上下载如果 torproject.org 网站被封锁, 你可以通过在喜欢的搜索引擎搜索 "tor mirror", 或者在邮件的正文写有 "help", 发送一封电子邮件到 [email protected], 找到其他的下载地址当你点击下载文件, 它将解压到你选择保存的位置也可以是 USB 闪盘, 你可以在网吧使用你然后可以点击启动 T or 浏览器 ("Start T or Browser" ), 启动 T or( 确保你已关掉已经在运行的 T or 或 Firefox) 几秒钟后,T or 自动启动一个特别版本的 Firefox 浏览器, 打开一个测试网站如果你看到绿色的信息恭喜你 ( Congratulations ) 你的浏览器已经配置好使用 T or 你然后可以使用这个窗口打开被封锁的网站使用一个安全的隧道传输所有网络流量如果你想使用网站之外的互联网服务, 如通过电子邮件客户端如 Outlook 或 T hunderbird 使用电子邮件, 一个容易又安全的方法就是使用虚拟专用网络 (virtual private network (VPN)) VPN 将在你自己和其他的电脑间加密传输所有的网络流量, 所以不仅可以使你所有的不同种类的流量看起来和窃听者一样, 而且加密使得它对所有沿途的人来说不可读取当连接上 VPN, 你的互联网服务提供商看不到你的内容, 但是它能看到你正在连接 VPN 因为许多跨国公司使用 VPN 技术安全连接它们的远程办公室,VPN 技术不可能总体上被封锁 Hotspot Shield 10

11 一个简单的开始使用 VPNs 的方法是使用 Hotspot Shield Hotspot Shield 是一个可以在 Microsoft Windows 和 Mac OS X 操作系统使用的免费的 ( 但是是商业的 )VPN 解决方案安装 Hotspot Shield 前你须从下载软件文件 6MB 大, 所以使用慢的拨号上网连接下载可能需要花费 25 分钟或更多时间安装, 请双击下载好的文件, 按照安装向导提示的步骤安装一旦安装完成后, 从桌面上的 "Hotspot Shield Launch" 图标或通过 " 程序 (Programs )> Hotspot Shield" 启动 Hotspot Shield 一个窗口将打开, 是一个显示不同连接尝试阶段如正在验证 ( "Authenticating") 和正在分配 IP 地址 ( "Assigning IP address") 的状态页面连接好后,Hotspot Shield 把你转到欢迎页面点击启动 ("start" ) 开始冲浪退出 Hotspot Shield, 右击图标, 选择 "Disconnect/OFF" 11

com 下载软件文件 6MB 大, 所以使用慢的拨号上网连接下载可能需要花费 25 分钟或更多时间安装, 请双击下载好的文件, 按照安装向导提示的步骤安装一旦安装完成后, 从桌面上的 "Hotspot Shield

12 BACKGROUND 4. 互联网如何工作 5. 审查和网络 6. 绕行和安全 12

13 4. 互联网如何工作想象一下, 一组人决定要通过连接其电脑和在这些电脑间发送信息来共享其电脑上的信息他们努力的结果是一组能通过计算机网络相互连接的设备当然, 如果该网络能与其他网络, 从而与其他计算机和网络用户相连接, 那么它将更有价值和用处这种电子化连接和共享信息的简单愿望现今在全球互联网上实现了随着互联网的迅速发展, 其互联的复杂性也已增加, 且互联网已真正从大量网络的互联中建立起来了互联网的基本任务可以描述为便利数字信息使用一个合适的路径和一种适当的传输模式从其来源到目的地的传输本地的计算机网络, 被称为本地局域网或 LANs, 将同一物理位置的许多计算机和其他设备与彼此物理连接起来他们还可以通过被称为路由器的设备与其他网络相连接, 而路由器管理着网络间的信息流一个局域网中的电脑可以出于类似分享文件和打印机或玩多玩家网络视频游戏的目的而直接相互连接即使不与外部世界相连接, 局域网也是十分有用的, 但当它与外部世界相连接时, 其显然会变得更加有用今天的互联网是一个由这种本地计算机网络与诸如大学和企业网络的大型网络以及虚拟主机服务提供商网络组成的分散的全球性网络安排网络之间这些相互联系的组织被称为互联网服务提供商或 ISPs 一个互联网服务提供商的职责是将数据传送到适当的位置, 往往是通过转发数据到另一个更靠近数据最终目的地的路由器 ( 被称为下一跳 ) 通常情况下, 下一跳实际上属于不同的互联网服务提供商为了做到这一点, 互联网服务提供商可能从一个如国家级提供商般的更大的互联网服务提供商处购买其自己的互联网通路 ( 某些国家只有一个单独的国家级提供商, 可能是政府经营的或政府下属的, 而其他国家则有很多, 可能是竞争性的私营电信公司 ) 国家级提供商同样可能收到其来自跨国公司之一的连接, 这些跨国公司管理和操作常被称为主干网的服务器和连接主干网由主要网络设备安装及它们之间通过光缆和卫星的全球连接组成这些连接使不同国家和大洲的互联网用户之间的通讯成为可能通过路由器与该主干网连接的国家和国际提供商有时被称为网关, 其是允许不同网络与彼此沟通的连线这些网关, 就像其他路由器一样, 可能是互联网活动被监测或控制的一点建设互联网互联网的创造者普遍认为只有一个互联网, 其是全球性的, 且在假设计算机的主人想要发生时, 其应允许世界上任何地方的任何两台计算机与彼此直接联系在 1996 年的一份备忘录中, 后来成为互联网架构委员会主席的布莱恩卡彭特写道 : 一般而言, 互联网工程团体认为目标是连接网络的增长似乎表明连接本身就是一种奖赏, 且其比任何个人应用都要更有价值仍有大批的互联网先驱和早期采用者拥护全球互联互通开放标准和自由访问信息的理想, 虽然这些理想常与政治和商业利益相冲突, 而并不常直接影响日常的经营活动和互联网各个部分的政策互联网的创始人们也创造了并继续创造旨在使他人也更容易地创造其自己的网络和加入彼此的标准了解互联网标准可帮助弄清互联网是如何工作的, 以及网络站点和服务是如何变成可访问或不可访问的连接设备的标准 13

利数字信息使用一个合适的路径和一种适当的传输模式从其来源到目的地的传输本地的计算机网络, 被称为本地局域网或 LANs, 将同一物理位置的许多计算机和其他设备与彼此物理连接起来他们还可以通过被称为路由器的设备与

14 如今, 大多数局域网通过有线以太网或无线以太网 ( 或 Wi-Fi) 技术建立所有这些组成互联网使用共同技术标准或互联网协议的互联 ( 局域网和其他设备 ) 使计算机找到彼此并与彼此交流通常情况下, 该互联使用私人所有的设备和设施, 且在以营利为目的的基础上运作在某些管辖区, 互联网连接由法律广泛规定在其他国家或地区, 则很少或没有规定统一全球互联网上所有设备的最基本的标准被称为互联网协议 (IP) 识别网络设备的标准当你的电脑连接到互联网时, 它通常会被分配给一个数字 IP 地址就像一个邮政地址般, 该 IP 地址唯一标识互联网上单一的一台计算机然而, 又不像邮政地址, 一个 IP 地址 ( 尤其是个人电脑设备 ) 并不一定永久与一台特定的计算机相关联因此, 当你的电脑从互联网上断开并在稍后时间重新连接, 其可能收到一个不同的 ( 但唯一的 )IP 地址目前普遍使用的 IP 协议版本是 IPV4 在 IPV4 协议中, 一个 IP 地址以用点分隔的范围内的四个数字写出 ( 如 ) 域名和 IP 地址所有的互联网服务器, 如那些主机网站的服务器, 也拥有 IP 地址例如, 的 IP 地址是由于记忆 IP 地址是繁琐的, 且 IP 地址可能随着时间而改变, 特定的系统在适当的地方以使你能更容易地在互联网上达到你的目的地这个系统就是域名系统 (DNS), 在此, 一组计算机专用于为你的电脑提供已与人类难忘的名字相关的 IP 地址的服务例如, 想要访问证人网站, 你可以键入地址, 即一个域名, 从而代替然后, 你的电脑向一个 DNS 服务器发送有该名称的信息当该 DNS 服务器将该域名转换成 IP 地址后, 其与你的计算机分享该信息该系统使网页浏览和其他互联网应用对人来说更人性化, 对计算机来说更有利于计算机从数学上讲,IPV4 允许一批大约 4.2 亿不同的计算机连接到互联网同样也有技术使多台计算机共享一个 IP 地址尽管这样, 可用地址池或多或少在 2011 年初将被耗尽因此,IPV6 协议已被制定, 其有一个更大的可能唯一地址的资源库 IPV6 地址比传统的 IPV4 地址更长, 且更难记忆 IPV6 地址的一个例子是 : 2001:0db8:85a3:0000:0000:8a2e:0370:7334 虽然 2011 年少于 1% 的互联网用户使用 IPV6 协议, 但这种情况在不久的将来可能会发生巨大的变化通过网络发送信息的协议你使用互联网交换的信息可以有多种形式 : 发送给你表亲的电子邮件一个事件的图片或视频联系方式的资料库包含一组指令的档案包含一份关于敏感话题报告的文件教一门技能的计算机程序有各种各样的互联网软件根据特定协议去配合妥善处理各种形式的信息, 比如 : 通过简单邮件传输协议 (SMT P) 的电子邮件通过可扩展消息在线协议 (XMPP) 的即时消息 14

区, 互联网连接由法律广泛规定在其他国家或地区, 则很少或没有规定统一全球互联网上所有设备的最基本的标准被称为互联网协议 (IP) 识别网络设备的标准当你的电脑连接到互联网时, 它通常会被分配给一个数字 IP 地址就像一

15 通过文件传输协议 (FT P) 的文件共享通过比特流 (BitT orrent) 协议的点对点文件共享通过网络新闻传输协议 (NNT P) 的网络新闻组协议的结合 : 使用互联网语音协议 (VoIP) 的语音通讯, 会话发起协议 (SIP) 和实时传输协议 (RT P) 网页虽然很多人互换着使用术语互联网和网页, 但实际上网页仅指使用互联网交流的一种方式当你访问网页时, 你使用一种被称为网页浏览器的软件, 比如火狐谷歌浏览器 Opera 或者微软 IE 浏览器网页运行其上的协议被称为超文本传输协议或 HT T P 你可能还听说过 HT T PS, 其是 HT T P 的安全版, 使用传输层安全 (T LS) 加密以保护你的通讯追随你在互联网上的信息旅行让我们追随从你的家庭电脑访问一个网站这一例子连接互联网要将你的电脑连接到互联网, 你可能需要一些额外的设备以首先连接到你的互联网服务提供商的网络, 比如一个调制解调器或一个路由器通常情况下, 最终用户的计算机或家庭网络通过下列几种技术之一与互联网服务提供商相连接电话调制解调器 ( 拨号 ), 以打电话的形式通过电话线发送互联网数据数字用户线路 (DSL), 一种更有效和高速的在短距离间通过电话线发送数据的方式电缆调制解调器 ( 或有线互联网 ), 通过有线电视公司的同轴电缆发送互联网数据光纤电缆, 尤其是在发达国家人口密集的地区广域固定无线链路, 尤其是在农村地区通过移动电话网络的数据服务浏览网站 1. 你输入计算机将域名 security.ngoinabox.org 发送给一个指定的域名服务器, 其会返回一个包含提供给盒网络服务器 ( 目前是 ) 中战略技术安全的 IP 地址的信息 2. 然后, 浏览器发送一个与该 IP 地址相连接的请求 3. 该请求经过一系列的路由器, 每一个都将请求的副本转发到更接近目的地的路由器, 直到其到达找到所需特定计算机的路由器 4. 该计算机将信息发回给你, 允许你的浏览器发送完整的统一资源定位符 (URL) 和接收数据, 从而显示页面从网站发给你的信息穿越了其他设备 ( 计算机或路由器 ) 沿路径的每一个这样的设备可以被称为一跃点 ; 跃点数即你的信息沿其路径接触的计算机或路由器的数量, 且往往在 5 到 30 之间 15

为超文本传输协议或 HT T P 你可能还听说过 HT T PS, 其是 HT T P 的安全版, 使用传输层安全 (T LS) 加密以保护你的通讯追随你在互联网上的信息旅行让我们追随从你的家庭电脑访问一个网站这一例子连接互联网要将你的电脑

16 为什么这很重要通常情况下所有这些复杂过程都是被隐藏的, 且你为了找到你所需的信息并不需要了解这些然而, 当有人或组织试图干扰系统运作限制你对信息的访问时, 你使用互联网的能力可能受到限制在这种情况下, 了解他们做了什么以干扰你的访问可以变得极其有意义想一想防火墙, 其是有意阻止一台计算机和另一台之间某些种类交流的设备防火墙帮助网络所有者执行有关何种网络交流和使用被允许的政策最初, 防火墙的使用被视为一种计算机安全措施, 因为其可以帮助击退针对无意错误配置和易受感染计算机的电子攻击但是, 防火墙已被用于更广泛的目的和执行远超出计算机安全范围的政策, 包括对内容的控制另一个例子是域名服务器, 其曾被描述为帮助提供对应被请求域名的 IP 地址然而, 在某些情况下, 这些服务器可以被作为审查机制, 阻止特定的 IP 地址被返回, 同时有效封锁对来自该域的被请求信息的访问审查可以发生在互联网基础设施中的不同点, 覆盖整个网络域或子域个别协议或者由过滤软件确定的特定内容避开审查的最好方法取决于使用的特定审查技术了解这些不同将有助于你为自己选择适当的措施以有效和安全地使用互联网端口和协议为了共享数据和资源, 计算机需要同意有关如何格式化和交流信息的约定这些我们称为协议的约定有时被比作是人类语言的语法互联网正基于一系列这种协议分层网络模型互联网协议依赖于其他协议例如, 当你使用一个网络浏览器访问一个网站时, 该浏览器依赖于 HT T P 或 HT T PS 协议以同网络服务器相交流这种交流转而也依赖于其他协议试想, 我们为一个特定网站使用 HT T PS, 从而确保我们安全地访问它在上述例子中,HT T PS 协议依赖于传输层安全 (TLS) 协议以加密通讯, 从而使其穿过网络时是不公开的和未修改的转而, 传输层安全 (T LS) 协议依赖于传输控制协议 (TCP) 以确保信息在传输中不会意外丢失或损坏最后, 传输控制协议 (T CP) 依靠 IP 协议以确保数据被传递到预定的目的地当使用加密的 HT T PS 协议时, 你的电脑仍然使用未加密的域名服务器 (DNS) 协议, 从而为域名检索 IP 地址域名服务器 (DNS) 协议使用用户数据协议 (UDP) 标记正确路由到域名服务器的请求, 且用户数据协议 (UDP) 依靠 IP 实际传输数据到预定的目的地由于这种分层协议关系, 我们经常把网络协议称作存在于一组层中每一层的协议负责通讯功能的某一特定方面使用端口计算机通过以上提到的传输控制协议 ( TCP) ) 相互连接并在一段时间内保持连接以允许更高级别的协议执行其任务传输控制协议 ( TCP) 使用编号端口的概念来管理这些连接并区分不同的连接编号端口的使用也允许计算机决定哪个特定软件应处理某特定请求或数据块 ( 用户数据协议也为此使用端口编号 ) IANA( 因特网名称指定机构 ) 为各种被应用服务使用的高级别协议分配端口编号几个常见的标准分配端口编号的例子如下 : 20 和 21-FT P( 文件传输 ) 22-SSH( 安全壳远程访问 ) 23-T elnet( 不安全远程访问 ) 16

施, 因为其可以帮助击退针对无意错误配置和易受感染计算机的电子攻击但是, 防火墙已被用于更广泛的目的和执行远超出计算机安全范围的政策, 包括对内容的控制另一个例子是域名服务器, 其曾被描述为帮助提供对应被请求域名

17 25-SMT P( 发送电子邮件 ) 53-DNS( 解析计算机名称到一个 IP 地址 ) 80-HT T P ( 正常网页浏览 ; 有时也用作代理 ) 110-POP3 ( 接收电子邮件 ) 143-IMAP ( 发送 / 接收电子邮件 ) 443-HT T PS ( 安全网络连接 ) 993- 安全 IMAP 995-POP SOCKS 代理 1194-OpenVPN 3128-Squid 代理标准 HT T P 式代理使用这些特殊编号并不通常是那些协议的技术要求 ; 事实上, 任何类型的数据可以通过任何端口发送 ( 并且使用非标准化端口可以成为一种有用的绕行技术 ) 然而, 这些分配为方便起见在默认情况下使用例如, 你的网络浏览器知道, 如果你未指定任何端口号访问一个网站时, 它应自动尝试使用端口 80 其他种类的软件也有类似的默认值, 因此你可以正常使用互联网服务, 而不用知道或记住与你使用的服务相关的端口编号加密加密是一种针对监视的技术性防御, 它利用高深的数学技术对数据重新编码, 使窃听者无法理解这种通信加密还能够防止网络监管者对通信进行修改, 或者至少可探测到这种修改它通常工作起来就像一个隧道, 从你正在使用的软件, 如一个网络浏览器, 到其他的连接终端, 如网络服务器对于利用现代密码学的加密通信, 想要通过技术方式破解是极度困难的 ; 大量可用的加密软件为防止窃听提供了强大的隐私保护措施但另一方面, 如果用户无法或没有按照相应的流程进行加密, 一些方式能够绕过加密, 其中包括目标式恶意软件, 或者通过密钥管理或密钥交换例如, 加密程序通常需要一种方法来确认网络连接另一端的用户或计算机身份, 否则, 通信将易受到中间人攻击, 窃听者冒充某人的通信对象, 以此截获私密通信数据对于这种身份验证, 不同的软件采用了不同的方式, 但忽略或跳过这个验证步骤将使用户的加密通信对于监视变得更加脆弱另一种监视技术是通信分析, 它利用对通信进行分析, 推测通信的内容来源目的地或意义, 即使窃听者无法理解通信的内容通信分析是一种非常强大的技术, 并且对其进行防御也非常困难通信分析有助于确认匿名方的身份, 对于匿名系统, 这种技术尤其需要留意类似 T or 之类的先进的匿名系统采用了一些方法, 可以降低通信分析的效率, 但可能仍然易受攻击, 这取决于窃听者的能力 17

种有用的绕行技术 ) 然而, 这些分配为方便起见在默认情况下使用例如, 你的网络浏览器知道, 如果你未指定任何端口号访问一个网站时, 它应自动尝试使用端口 80 其他种类的软件也有类似的默认值, 因此你可以正常使用互联网服

18 5. 审查和网络解互联网在实践中是如何被控制的可以帮助将互联网审查的来源与可能的威胁联系起来互联网控制和审查可以很广泛一个国家的政府可能不仅封锁对内容的访问, 还可能会监控其国家内的人们正访问什么信息, 且可能因为政府认为不可接受的互联网相关活动而惩罚用户各国政府可能同时定义对什么封锁和实施封锁, 或者他们可能制定法律法规或额外的法律激励从而促使名义上独立的公司的员工去实施拦截和监视谁控制着网络? 互联网治理的完整版故事是复杂的政治性的, 且仍饱受争议政府经常拥有权力和资源去实现他们互联网监测和控制的首选方案, 无论互联网基础设施是由政府自己或私营电信公司拥有和经营因此, 一个想要封锁信息访问的政府往往能够容易地对该信息产生或出入该国的信息点进行直接或间接的控制政府同时拥有广泛的法定权力监视其公民, 且很多比法律允许的更进一步, 其会使用额外的法律手段监视或限制互联网使用并按照其自己的规则去重塑它政府的参与互联网是由美国政府资助的研究在 20 世纪 70 年代开发的它逐渐扩展到学术用途, 然后到商业和公共使用今天, 一个全球共同体正努力维持那些标准和协议, 其旨在实现全世界范围内公开的连接性和互操作性而没有任何地域的区别然而, 政府并没有被强求按照这些目标或有关互联网架构的相关建议来构建互联网基础设施一些政府设计本国的电信系统有单一的咽喉要道, 在此其能够控制整个国家对特定网站和服务的访问, 且在某些情况下能阻止外界对其互联网部分的访问其他政府则通过法律或采用非正式的控制规制私人互联网服务提供商的行为, 有时迫使他们参与监视封锁或删除对特殊资料的访问一些互联网设施和协调功能是由政府或政府特许的企业管理的没有一个国际互联网治理是完全独立运作的政府将控制互联网和电信基础设施的活动作为国家主权的事项, 且很多声称有权禁止或封锁对被认为攻击性的或危险的特种内容和服务的访问政府为什么要控制网络? 许多政府对这样一个事实存在问题, 即只有一个技术上没有地理或政治边界的全球互联网对最终用户来说,( 除了几毫秒的延迟 ) 一个网站是办在同一个国家还是世界的另一边并没有区别, 但办在世界另一边的事实常让互联网用户愉快却深深地让国家恐慌受到重新设置地理和地域差别希望的激励, 互联网审查可以因为很多原因发生从网络公开倡议 ( 选取一个分类, 我们可以介绍其中一些原因如下 : 政治原因政府想要审查与各自国家的政策相反的观点和意见, 包括如人权和宗教类的主题社会原因政府想要审查与色情赌博酗酒药物和其他可能看起来冒犯人的主题有关的网页国家安全原因政府想要封锁与反对运动有关的内容, 以及任何危害国家安全的事情为了确保信息控制是有效的, 政府可能也过滤能使人们绕过网络审查的工具在极端情况下, 政府可以拒绝向公众提供互联网服务, 就像在朝鲜一样, 或者其也能在公众抗议期间在其领土内切断互联网, 就如同 2005 年在尼泊尔及 2011 年在埃及和利比亚短暂发生的那样控制可以同时针对接入服务提供商和内容提供商政府可以对接入服务提供商实施严格的控制, 从而规制和塑造互联网活动, 并能监测和监控该国的互联网用户这也是一种封锁从国外流入的全球内容的手段例如, 巴基斯坦政府 2010 年 5 月要求当地互联网服务提供商封锁对 Facebook 的访问, 从而封锁对在该社交网站上可用的先知穆罕默德讽刺画的访问, 因为他们并不能控制内容提供商 Facebook 政府可以要求内容提供商, 比如国内的网站编辑网站管理员或搜索引擎, 禁止和封锁对被认为攻击性的或危险的特种内容和服务的访问例如, 本地的谷歌子公司在多国 ( 如 2010 年 3 月前在中国, 此后其重定向搜索引擎活动指向谷歌香港 ) 被要求删除有争议的内容我被封锁或过滤了吗? 18

互联网治理的完整版故事是复杂的政治性的, 且仍饱受争议政府经常拥有权力和资源去实现他们互联网监测和控制的首选方案, 无论互联网基础设施是由政府自己或私营电信公司拥有和经营因此, 一个想要封锁信息访问的政府往往

19 一般来说, 很难确定是否有人阻止你访问一个网站或向他人发送信息当你尝试访问一个被封锁的网站时, 你可能看到一个常规错误信息或什么也没有该行为可能会使其看起来像该网站是因技术原因而无法访问政府或互联网服务提供商可能否认此处有审查的事实, 甚至会责备该 ( 国外 ) 网站一些组织, 最引人注目的是网络公开倡议, 使用软件测试不同国家的网络访问, 从而了解访问可能如何被不同各方损害在某些情况下, 这是一个困难甚至危险的任务, 其取决于有关当局在一些国家, 政府毫无疑问封锁了部分互联网例如, 在沙特阿拉伯, 访问露骨色情资料的尝试会得到一个来自政府的明显的信息, 解释该网站被封锁了以及为什么被封锁在不告知封锁的国家里, 审查最常见的标志之一是很多有相关内容的网站表面上因技术原因而无法访问或者看起来发生了故障 ( 比如, 网页未找到的错误, 或者连接经常超时 ) 另一个潜在迹象是搜索引擎对特定主题出现反馈无用的结果或什么也没有过滤或封锁也可能由实体而不是政府实施父母可能过滤影响他们孩子的信息许多组织, 从学校到企业, 限制互联网访问以阻止用户从事不受监控的通讯为个人原因使用上班时间或公司硬件侵犯著作权或者使用过多的网络资源很多政府拥有资源和法定权力去控制一个国家网络基础设施的大部分如果政府是你的对手的话, 请记住, 从互联网到移动和固定电话的整个通信基础设施都能被监控地理环境不同地方的用户可能有各种不同的互联网内容管制经验在一些地方, 你的政府可能被法律约束过滤或者决定不过滤内容你可能被你的互联网服务提供商监控, 那么这些信息可以被出售给广告商政府可能要求互联网服务提供商在其网络上安装监控 ( 但不是封锁 ) 功能政府可对你的浏览器历史记录和聊天记录提出正式的请求, 或者可储存信息以供日后使用当其这样做时, 其将试着不吸引注意力你面临着来自非政府行为者的威胁, 比如攻击网站或窃取个人财务信息的计算机犯罪分子在一些地方, 互联网服务提供商可能使用技术方法封锁某些网站或服务, 但政府目前不会跟踪或打击报复访问其的尝试, 也没有实施一个协调性的网络内容控制策略在一些地方, 你可以访问能公平匹配外国服务的本地服务这些服务由你的互联网服务提供商或政府工作人员巡视你可以自由地发布敏感内容, 但其将被删除如果这种情况发生过于频繁, 那么处罚可能会变得更加严重限制可能只有在充满政治色彩的事件中才变得明显在一些地方, 你的政府可能过滤大部分的外国网站, 特别是新闻网站其对互联网服务提供商实施严格控制, 并跟踪人们创建内容如果你使用一个社交网络平台, 其会努力渗透它政府可能怂恿你的邻居暗中监视你个人环境政府有一系列动机监控或限制不同人的网上活动活动家 : 你可能想要改进你的政府或正寻求一个新的也许你想要改革社会的某特定部分或为少数群体的权利而奋斗你可能想要曝光你工作地方的环境问题虐待劳工欺诈或贪污你的政府和雇主在任何时候都将对此感到不满, 但如果他们怀疑街头很快会有抗议活动, 那么他们可能将更多的精力放在监视你上博客 : 你可能想要写日常生活, 但有些人却因为种族或性别而被禁言不管你有什么要说你都不应该说你可能处在一个大多是不受限制的用户的国家, 但你的观点在你的社区却不受欢迎你可能更喜欢匿名或者需要连接到一个支持团队记者 : 你可能有一些同活动家和博客主一样的关注点有组织犯罪腐败和政府暴行是危险的报道主题你可能需要保护自己和成为消息来源的任何活动家读者 : 你可能不积极参与政治, 但如此多的内容被审查, 故你需要绕行软件以访问娱乐科学和行业期刊你可能想要阅读一个网络漫画或浏览关于其他国家的新闻你的政府可能会忽略这个直到它有一些其他原因去监控你过去最常见被封锁的互联网资源是露骨的色情资料 ; 如今, 则是社交网络平台社交网站在国际上的日益流行使得世界上数以百万计的互联网用户变为潜在的审查受害者一些社交网站在全球范围内流行, 如 Facebook MySpace 或 Linkedln, 而另一些网站则在特定的国家或地区拥有大量的用户 : 中国的 QQ(Qzone) 伊朗的 Cloob 俄罗斯的 vkontakte 秘鲁和哥伦比亚的 Hi5 独联体国家的 Odnoklassniki 印度和巴西的 Orkut 越南的 Zing 叙利亚的 Maktoob 日本的 Ameba 和 Mixi 英国的 Bebo 及其他 19

有关当局在一些国家, 政府毫无疑问封锁了部分互联网例如, 在沙特阿拉伯, 访问露骨色情资料的尝试会得到一个来自政府的明显的信息, 解释该网站被封锁了以及为什么被封锁在不告知封锁的国家里, 审查最常见的标志之一是很多

20 审查如何工作 [ 以下部分改编自斯蒂芬 J. 默多克和罗斯安德森所著的访问被拒第三章 ] 在该章中所描述的技术是审查员采用的一些用来试以阻止互联网用户访问特定内容或服务的方法网络运营商能够使用各种各样的技术在不同程度的准确度和定制化上过滤或操纵网络中任何一点的互联网活动通常情况下, 这些活动包括使用软件监视用户正尝试做什么和选择性地干预运营商认为被政策禁止的活动过滤可以由一国政府或者一个国家或地方的互联网服务提供商甚至是一个本地网络的运营商创建或实施 ; 或者基于软件的过滤可以被直接安装到个人电脑上根据部署组织的动机, 部署过滤机制的目标也有变化他们可能是为了使想要查看某特定网站 ( 或个人网页 ) 的人无法访问, 或者使其不可靠, 或者甚至为阻止用户尝试首先去访问它机制的选择同样基于请求过滤的组织的能力, 即他们有什么通路和影响他们能强制执行其意愿的人群, 以及他们愿意花费多少其他的考虑因素包括可接受错误的数量过滤是否应公开或隐蔽以及其可靠性如何 ( 同时针对普通用户和想要绕过它的用户 ) 我们将介绍几种技术, 一旦要封锁的资源列表被创建, 则通过其可以对特定内容进行封锁创建这个列表是一个相当大的挑战, 且是部署系统中的共同弱点不仅网站的庞大数量使得创建一份全面的禁止内容列表困难, 而且内容是移动的, 网站会改变其 IP 地址, 故保持这份列表的更新需要很多努力此外, 如果一个网站的运营者想要对封锁进行干扰, 那么该网站能比其不想干扰更迅速地移动我们首先介绍对最终用户使用的技术措施, 然后简要讨论对出版商和虚拟主机服务提供商使用的措施, 以及非技术性胁迫请注意该方法列表并不详尽, 且在特定情况下一种以上的这些策略可能被使用针对最终用户的技术措施在像互联网般的现代通信网络中, 审查和监测 ( 监控人们的通讯或活动 ) 在实践中紧密相连世界上大多数的互联网服务提供商为会计目的和打击类似垃圾邮件的滥用而监控其用户通讯的某些方面互联网服务提供商经常一起记录用户账户名和 IP 地址除非用户使用隐私增强软件加以阻止, 否则从技术上, 一个互联网服务提供商可以记录所有通过其电缆的信息, 包括用户通讯的确切内容该监控亦是以技术为基础的网络审查的前提一个尝试审查其用户想要发送的通讯的互联网服务提供商能够读取那些通讯, 从而确定哪些违反了其政策因此, 减少互联网审查的核心方法是向互联网服务提供商隐藏通讯的详细内容, 不管是在私人事务中还是推广阻碍监测的亲隐私技术的使用时这意味着针对网络审查的反技术措施往往依赖于尽可能随地使用模糊处理或加密, 从而使互联网服务提供商不能确切看到已传输的内容是什么本节讨论审查员运用技术手段封锁内容和访问的一些具体方式网址过滤禁止访问网址 ( 整个网址或部分网址 ) 是国家和其它机构屏蔽网络信息的方法之一网络审查者通常会完全屏蔽某些网站域名, 因为他们反对这些域名所包含的内容屏蔽整个网址是是最简单的屏蔽网站的方法之一有时, 当局会更有选择性地屏蔽某个域名的子域名, 其它子域名仍可访问越南就是这样, 政府屏蔽网站的特定部分 ( 如 BBC 和自由亚洲电台的越南语版 ), 但很少审查用英文写的内容 20

任何一点的互联网活动通常情况下, 这些活动包括使用软件监视用户正尝试做什么和选择性地干预运营商认为被政策禁止的活动过滤可以由一国政府或者一个国家或地方的互联网服务提供商甚至是一个本地网络的运营商创建或实

21 比如, 审查者可能过滤掉子域名 news.bbc.co.uk, 而不会过滤 bbc.co.uk 和同样, 他们还会过滤掉某些内容, 而该域名的其它网页内容仍可以访问方法之一就是查找目录名, 比如通过 worldservice 来屏蔽 bbc.co.uk/worldservice 下的外语新闻, 英语网站内容则不受影响他们甚至可以根据网页名称屏蔽某些网页, 以及屏蔽搜索问题中涉嫌攻击或非法内容的关键词网址过滤可以在本地实现, 通过使用安装在你正在使用的电脑上的特殊软件例如, 网吧的电脑可能都运行过滤软件, 阻止访问某些网站网址过滤也可以在网络的中间点实施, 如代理服务器网络可以被设置为不允许用户直接访问网站, 强制 ( 或者只是鼓励 ) 所有的用户通过代理服务器访问这些网站代理服务器被用来传送请求, 和在缓存里临时储存它们获取的网页, 并向多个用户传送它们对互联网服务提供商来说, 这减少频繁获取一个经常被请求的页面的需要, 因此可以节约资源和改进传送时间然而, 除了改善性能以外,HT T P 代理也可以屏蔽网站代理决定网页请求是否被允许, 如果是这样的话, 向托管被请求内容的网络服务器发送请求因为请求的全部内容可供使用, 网页可能被过滤, 基于网页名和网页的真实内容如果网页被过滤, 代理服务器可能返回一个正确的原因的解释, 或者假装这个网页不存在或者产生一个错误 DNS 过滤和 DNS 欺骗当你在浏览器中输入一个域名后, 浏览器首先会向一台 DNS 服务器发出请求 ( 对应于一个已知的数字地址 ), 查找域名, 并提供相应的 IP 地址如果 DNS 服务器被设定为屏蔽访问, 它将询问非法域名黑名单如果浏览器向黑名单中的域名对应的 IP 地址发出请求,DNS 服务器就会给出错误应答, 或者根本没有反应如果 DNS 服务器给予一个无意义的应答或者没有应答, 发送请求的电脑不能知道它想联系的服务的正确的 IP 地址没有正确的 IP 地址, 发出请求的计算机就无法继续, 进而显示错误信息既然浏览器无法得到网站 IP 地址, 它也无法向网站发出页面请求, 结果该域名下的所有服务, 如该域名下的所有网页都会被屏蔽在这种情况下, 故意的过滤可能错误地作为技术问题或者偶然故障同样地, 审查员可能强制一个 DNS 项目指向错误的 IP 地址, 因此将网民重定向到错误的网站这种技术叫做 DNS 欺骗, 审查员可以用它来劫持某个服务器的身份, 显示伪造的网站, 或者更改用户流量路线到可以拦截他们的数据的未经授权的服务器 ( 在一些网络, 错误的应答可能有不同的网络服务器, 这清楚地说明发生的过滤的性质不担心承认他们从事审查的审查员和那些不想让用户对发生的事感到困扰的人使用这一技术 ) IP 过滤 21

22 当数据通过互联网发送时, 会被划分为数据组 (packets) 一个数据组包括发送数据以及和发送方式相关的信息, 比如发送数据计算机的 IP 地址, 以及目标 IP 地址路由器是数据组从发送者到接受者之间所经过的计算机, 其作用是确定信息走向如果审查者希望阻止用户访问路由器, 他们可以设置路由器, 令其放弃 ( 忽视和不能传送 ) 发往黑名单 IP 地址的数据, 或者返回错误信息单纯基于 IP 地址的过滤会屏蔽某个服务器提供的所有服务, 比如网站服务器和电子邮件服务器既然只依靠 IP 地址屏蔽内容, 即使本来只打算禁止一个, 与其共享同一 IP 地址的多个域名也会同时被封关键词过滤 IP 地址过滤只能用于根据数据包来源或去处的通信封锁, 而不适用于数据包内容封锁对于包含违禁内容的 IP 地址, 如果无法制作一份完整的列表, 或者某些 IP 地址包括足够多的非违禁内容, 如果封锁与其相关的所有通信, 这看起来并不合理, 因此, 对于审查者来说, 网址过滤存在一些问题如果让更为精细的控制成为可能, 需要检查数据包内容是否包含违禁关键字由于路由器通常并不检查数据包内容, 而只是查看数据包头部, 因此需要额外的设备, 检查数据包内容的过程通常被称为深度包检测 (Deep Packet Inspection) 一个被确认包含违禁内容的通信, 可通过直接封锁数据包使通信中断, 或者向通信的双方发送信息, 请求中断会话实施这些审查和其他功能的设备已在市场上提供作为替代方案, 可以使用下述的 HT T P 代理过滤方式流量整形流量整形是网络管理者用来让一些网络顺利运行的技术, 通过优先某种数据包, 延迟其他种类符合一定标准的数据包流量整形有点类似在街上控制车辆流量总的来说, 所有的车辆 ( 数据包 ) 有同样的优先次序, 但是有些车辆被交通管理员或者红绿灯临时阻挡, 以避免在某个地方交通堵塞同时, 一些车辆 ( 消防车, 救护车 ) 可能需要更快地到达它们的目的地, 因此通过阻挡其他车辆, 给予他们被给予优先权对为实现最佳性能需要低延时的网络数据包可以适用相同的逻辑 ( 如 voice over IP,VoIP) 流量整形也可以被政府或者其他机构用来延迟有特定内容的数据包如果审查员想限制访问某些服务, 他们可以轻松地识别与这些服务相关的数据包, 并通过设置它们的优先级为低, 增加延迟这可能给予用户容易误解的印象, 这个网站本来就速度慢或者不可靠, 或者它可以简单地使不受欢迎的网站相对其他网站来说不愉快地被使用这项技术被不赞成文件分享的互联网服务提供商用来对付点对点文件分享网络, 如 BitTorrent 端口封锁把单个端口编号列入黑名单会限制访问服务器上的某个服务, 比如网络或电子邮件网络上的普通服务都有典型的端口编号服务和端口编号之间的关系由网络分配号码机构 (IANA) 分配, 但是它们不是强制性的这些分配指令允许路由器对受访服务进行推测因而, 为了屏蔽访问某个网站的网络流量, 审查者可以只屏蔽 80 端口, 因为该端口通常提供网络接入服务用户所在的机构, 无论是私人企业还是网吧, 其网络管理员都可以控制端口的访问, 此外, 提供互联网连接的 ISP( 网络服务提供商 ) 或某些能够访问 ISP 所用连接的组织, 如政府审查机构, 也可以控制端口访问除审查之外, 还有许多原因可能导致端口被封锁减少垃圾邮件, 阻止使用不受欢迎的网络使用如点对点文件分享即时通信或者网络游戏如果端口被封锁, 对于用户, 所有使用该端口传输的信息都是不可访问审查通常会封锁端口和 8080, 因为这些是最常用的代理端口如果用户面临的正是这种情况, 你不能直接使用任何需要使用这些端口的代理, 你将不得不使用一个不同的绕行技术, 否则找到或者安排创建使用非常用端口的代理例如, 在某个大学, 对于外部连接, 可能只能使用端口 22(SSH) 110(POP3) 143(IMAP) 993( 加密式 IMAP) 995( 加密式 POP3) 和 5190(ICQ 即时通讯 ) 如果用户想使用其他的网络服务, 这迫使用户使用绕行工具或者用非常用端口访问服务关闭互联网关闭互联网连接是政府为应对敏感的政治和社会事件实施极端审查的一个例子然而, 完全的网络中断 ( 如, 国内和国际互联网 ) 需要高强度的工作, 因为必须关闭连接国际网络的协议和互联网服务提供商之间互相连接并和用户相连接的协议有些国家完全关闭网络连接 (2005 年的尼泊尔,2007 年的缅甸和 2011 年的埃及和利比亚 ) 将它作为平息政治动荡的方法关闭从持续数小时到几星期, 尽管有些人试图通过拨号连接国外的互联网服务提供商或者使用移动网络或者卫星连接中断国际连接并不必然破坏国内的互联网服务提供商之间的连接或者单个互联网服务提供商的不同用户间的交流将用户与内网完全隔离还需采取进一步措施因此, 中断有多个互联网服务提供商的国家的本地网络连接更难攻击出版人审查员也可以通过侵害出版人的出版或者托管信息的能力, 从源头上禁止发布内容和服务, 这有多种实现方法 22

23 法律限制有时, 执法者能诱导服务运营商自己履行或配合审查例如, 一些博客主机或电子邮件服务提供商, 可能决定在自己的服务器上执行关键字过滤, 也许是因为政府告诉他们该这么做 ( 在这种情况下, 期待任何形式的规避行为将抵消这些服务的审查, 这几乎没有希望 ; 我们通常设想将规避行为作为一种获得在别的地方的想要的网络服务的努力, 如在一个不同的国家, 或不同的管辖区域 ) Denial of Service( ( 拒绝服务 ) 如果部署过滤的组织没有权利 ( 或无法访问网络基础设备 ) 实施常规的封锁, 可通过令服务器或网络连接过载的方式使网站服务访问这种技术, 称为 DoS( 拒绝服务 ) 攻击, 可通过一台具有快速网络连接能力的计算机进行实施 ; 更为常用的是, 利用数量更多的计算机实施分布式 DoS(DDoS) 攻击域名注销在前文中, 我们已经提到, 网页请求的第一阶段是联系本地 DNS 服务器, 查找目标网址的 IP 地址保存所有已存在的域名是不可行的, 因此使用一种名为递归解析器来存储指向其他 DNS 服务器的指针, 而这些 DNS 服务器更可能提供所需的答案递归解析器将遍历每个 DNS 服务器, 直到发现能够返回请求答案的可信的服务器域名系统是按照等级方式进行组织的, 最上层为域名中的国家域, 如.uk 和.de, 以及非地理位置的顶级域名如.org 和.com 负责这类域名的服务器将子域名 ( 如 example.com) 的解析授权给其他 DNS 服务器, 而后者对这些域名的请求进行解析因此, 如果负责等级域名的 DNS 服务器将某个域名注销, 递归解析器将无法找到 IP 地址, 并为用户提供该网站的访问服务国家类的顶级域名通常由相应国家的政府或由其指定的机构进行管理因此, 如果网站使用某个国家的域名, 而对于这个国家, 该网站提供的内容违禁, 那么它将面临域名被注销的危险关闭服务器为内容提供主机服务的服务器必须存放在某个地点, 以便管理员进行管理对于这些服务器的存放地点, 如果反对这些网站内容的人员具有法律或非法律的控制权, 那么他们可以断掉这些服务器的连接或要求管理员关掉它威胁用户监视审查员同样可以以各种不同的方式阻止用户访问被禁止的材料上述对违禁内容的封锁机制使用的是未成熟的技术, 并且存在规避的可能还有一种方式, 可能与过滤同时使用, 即对访问的网站进行监视如果用户访问 ( 或试图访问 ) 违禁内容, 那么将采取实施法律 ( 或非法律 ) 措施进行惩罚如果真相已在很多网站公布, 它将阻止人们试图访问这些被禁内容, 即使那些封锁的技术本身并不能真正能够防止人们获得这些信息在一些地方, 审查员试图制造一种到处都是他们的情报人员以及每个人都不断地被监视的印象, 不论是否真的是这样社会化技术社会化技术通常用于阻碍用户访问不当内容例如, 在一个家庭里, 将个人电脑放在起居室而不是有更多隐私的房间, 这样所有人都可以看到电脑显示器 ; 阻碍孩子访问不当网站, 这是一种低调而隐蔽的方式在图书馆中, 对电脑进行精心的摆放, 以使图书馆官员在办公桌处就可以清楚地看到电脑屏幕网吧安装闭路电视监控 (CCT V) 摄像头当地法律可能要求安装这种摄像头, 并且还要求提供用户提供政府颁发的带有照片的身份证偷窃和破坏通讯器材在一些地方, 审查人员有能力完全禁止某些种类的通信技术在这种情况下, 他们可以公然没收或搜寻并摧毁被禁止的通信设备, 以发送一个信息, 就是它的使用将不被允许 23

24 6. 绕行和安全你需要的安全种类取决于你的活动及其后果有一些安全措施每个人都应实施而无论其是否感到威胁一些在网上要谨慎的方法需要更多的努力, 但因为网络访问的严厉控制而十分必要你可能面临来自正被研究和迅速部署的技术老技术替代人类智能的使用或者上述三者的结合的威胁所有这些因素可能常常改变一些安全的最佳做法有些步骤每个有计算机的人都应实施以保证其安全这可能包括保护有关你网络活动家的信息或其可能是你的信用卡号码, 但是, 你需要的一些工具是相同的谨防承诺完美安全的程序 : 网络安全是一个良好软件和人类行为的结合要知道什么应保持脱机该相信谁以及其他安全问题不能仅靠技术回答寻找在其网站上列明风险或已被优先审核的程序保持你的操作系统更新 : 操作系统的开发人员提供了你应时常安装的更新这些可能是自动的, 或者你可能需要输入指令或调整你的系统设置请求这些更新一些这种更新使你的计算机更有效且更容易使用, 而另一些则修复安全漏洞攻击者能迅速了解这些安全漏洞, 有时甚至早于其被修复, 所以及时修复它们至关重要如果你仍在使用微软的 Windows, 那么请使用防病毒软件并保持其更新恶意软件是为窃取信息或为其他目的使用你的计算机而编写的软件病毒和恶意软件能够访问你的系统, 进行修改并隐藏其自身它们可以在一封电子邮件中发送给你, 可以在你访问的网页上, 或者作为看起来不可疑的文件的一部分防病毒软件供应商不断研究新出现的威胁并将其添加到你的计算机将封锁的事物列表为了使软件能识别新的威胁, 你必须在更新被发布时及时安装更新使用好的密码 : 没有一个密码选择系统可以防范暴力威胁, 但你可以通过使其更难猜测从而提高你的安全性使用字母标点和数字的组合结合小写和大写字母不要使用通过查阅有关你的公共信息能猜到的生日电话号码或单词保持你自己更新 : 投入到发现你的努力可能改变在某天起作用的技术可能在第二天就停止工作或不安全即使你现在不需要它, 你也要知道去哪里寻找信息如果你使用的软件供应商有方法获得支持, 那么在他们的网站被封之前, 请确保你了解他们使用自由和开源软件 (FOSS) 开源软件可同时用作一个可行的产品和一个针对用户和软件工程师的半成品其比因为出口限制或费用而仅能通过非法渠道在你的国家可用的封闭源代码以营利为目的的软件有许多安全优势你可能无法下载盗版软件的官方更新使用开源软件则没有必要搜索许多可疑网站以寻找免费的间谍软件和安全毛刺副本任何合法复制都将是自由的, 且可从开发者处获得如果出现安全漏洞, 其将被志愿者或有兴趣的用户发现然后, 一批软件工程师将从事解决方案, 这通常是很快的使用分离你是谁和你在哪的软件每个连接到互联网的计算机有一个 IP 地址 IP 地址可被用作寻找你的物理位置, 就像将其输入到一个公共域名注册网站一样简单代理服务器虚拟专用网络 (VPNs) 和 T or 通过世界各地一到三台计算机路由你的访问如果你只通过一个服务器, 那么请注意, 就像一个互联网服务提供商一样, 代理提供商可以看到你所有的访问你可能比你的互联网服务提供商更相信该代理提供商, 但同样的警告适用于任何单一来源的连接注意覆盖代理 T or 和虚拟专用网络 (VPNs) 的部分有更多的风险使用自生系统 CD 和可引导 USB 驱动器如果你正使用一台你并不想留下数据的公共计算机或其他计算机, 你可以使用 Linux 的一个版本, 从而你能从便携式媒体运行自生系统 CD 或可引导 USB 驱动器可插入计算机且无需安装任何东西而使用使用便携式程序 : 也有便携式版本的绕行软件, 其可从一个 USB 驱动器在 Windows 下运行更安全地访问社交网站在封闭社会和专制国家的背景下, 监测成为对社交网站用户的主要威胁, 特别是如果他们使用该服务协调民间社会活动或者从事网上维权行动或公民新闻时社交网络平台的一个核心问题是你共享有关你自己你的活动和联系人等私人资料的数量, 以及谁有权访问这些内容随着技术的发展, 社交网络平台越来越多地通过智能手机访问, 社交网络平台用户位置在任何特定时刻的披露也正成为一个重大威胁在这种情况下, 一些预防措施变得更加重要 ; 例如, 你应当 : 编辑你在社交网络平台的默认隐私设置准确地知道你和谁共享什么信息确保你了解默认地理位置设置, 并在需要时对其进行编辑只接受你真正了解和信任的人进入你的网络 24

25 只接受有足够悟性也要保护你与之共享的私人信息的人进入你的网络, 或者训练他们这样做必须注意, 即使是你网络中最懂行的人, 其也可能在被你的对手威胁时交出信息, 所以要考虑限制谁有权访问哪些信息必须注意, 通过绕行工具访问你的社交网络平台并不会自动保护你远离对你隐私的大部分威胁你可以在隐私权交流中心的这篇文章中读到更多 : 社交网络隐私 : 如何保证安全可靠和社交 : general-tips 当你的社交网络平台被过滤时, 你如何访问它? 如下所述, 使用 HT T PS 访问网站是很重要的如果你的社交网络平台允许 HT T PS 访问, 那么你应完全使用它, 并且如果可能的话, 你可以将其设为默认例如, 在 Facebook 上, 你可以编辑帐户设置 > 帐户安全 > 安全浏览 (https) 以使 HT T PS 作为连接到你的 Facebook 帐户的默认方式在某些地方, 使用 HT T PS 也可能允许你访问一个被封锁的服务 ; 例如, 在缅甸, 已被封锁而仍然可访问如果你想要在绕行强加于你的社交网络服务上的过滤的同时保护你的匿名和隐私, 那么,SSH 隧道或 VPN 将比网站代理给你更强的隐私保证, 包括针对揭示你的 IP 地址的风险即使使用像 T or 的匿名网络也不够, 因为社交网络平台使得揭示识别信息和公开有关你的联系人和社会关系的详细信息变得十分容易更安全地使用共用计算机世界人口的相当大比例, 特别是在发展中国家, 并不能在其家里个人上网这可能是因为在其家里拥有私人网络连接的成本个人计算机设备的缺乏, 或者是电信或电力网络基础设施中的问题对这部分人口来说, 现存唯一地方便地或实惠地访问互联网的方法即是使用与许多不同的人共用计算机的地方这包括网吧电信中心工作场所学校或图书馆等共用计算机的潜在优势在共用计算机上访问互联网有如下优势 : 你可能从其他用户或设备工作人员处获得关于如何绕行过滤的技术建议和帮助绕行工具可能已安装和预配置 25

26 其他用户可通过替代离线手段与你共享未经审查的信息如果你不是一台特定计算机设备的经常用户, 你没有向该设备经营者提供身份证明文件, 且你没有使用你的真实姓名或帐户信息在网上注册, 那么, 对任何人来说都将很难单独根据你的网上活动跟踪你共用计算机的一般风险事实上, 你在公共场所访问互联网并没有使其对你来说匿名或安全它往往适得其反一些主要的威胁是 : 计算机的所有者, 或者甚至是在你之前使用该计算机的人, 可以容易地将该计算机编程以暗中监视你所做的一切, 包括记录你所有的密码该计算机也可以被编程以绕行或废止你在其上使用的任何隐私和安全软件的保护在某些国家, 比如缅甸和古巴, 网吧顾客在使用该服务前被要求出示其身份证或护照该身份证信息可以被储存并和该顾客的网页浏览历史一并提交你留在你使用过的计算机上的任何数据都可能被记录 ( 浏览历史信息记录下载的文件等 ) 安装在顾客计算机中的软件或硬件键盘记录器可能记录下你会话期间的每个按键, 包括你的密码, 甚至早于该信息通过互联网被发送在越南, 一个显然无害的输入越南字符的虚拟键盘正被政府用于监控网吧和其他公共接入点的用户活动你的屏幕活动可能被频繁截图的特殊软件记录通过闭路电视摄像机监控, 或者只是由一个偷看你的人 ( 例如网吧管理员 ) 观察共用计算机和审查除了监视, 共用计算机用户往往只能访问有限的互联网, 且必须面对额外的障碍以使用其喜爱的绕行解决方案 : 在某些国家, 比如缅甸, 网吧所有者必须展示有关被禁止网络内容的海报, 并有责任在其业务内执行审查法律网吧管理员可能实施额外的过滤 ( 客户端控制和过滤 ), 从而补充在互联网服务提供商或者国家级实施的过滤用户可能为环境限制所迫出于对惩罚的恐惧而避免访问特定的网站, 因此会执行自我审查计算机经常被设置以阻止用户安装任何软件, 包括绕行工具或连接任何一种设备到 USB 端口 ( 比如 USB 闪存驱动器 ) 在古巴, 当局已开始为网吧部署一种名为 AvilaLink 的控制软件, 其可以阻止用户安装或执行特定软件或者从一个 USB 闪存驱动器运行应用程序用户可能被阻止使用除 Internet Explorer, 以外的任何其他浏览器, 从而阻止针对类似 Mozilla Firefox 或 Google Chrome 浏览器的隐私或绕行附件或设置的使用出于安全和绕行的最佳做法根据你使用共用计算机的环境, 你可以尝试以下做法 : 根据上面提到的名单 ( 闭路电视人工监控键盘记录等 ) 确定实施的监控措施并采取相应的行动从一个 USB 闪存驱动器运行便携式绕行软件使用一个你通过自生系统 CD 的使用能控制的操作系统如果你害怕经常性监控就经常更换网吧, 或者坚持在一个你相信其是安全连接的网吧带你自己的笔记本电脑去网吧并代替公共计算机而使用它保密和 HT T PS 某些过滤网络主要 ( 或完全 ) 使用关键词过滤, 而不是封锁特定的网站例如, 网络可能封锁任何提及被认为政治宗教或文化敏感的关键词的交流这种封锁可以是公开的, 或者假扮成一个技术性错误例如, 无论你何时搜索网络运营商认为你不应查找的东西, 某些网络会使其看起来像一个技术性错误这样, 用户不太可能将问题归咎于审查如果互联网通讯的内容未加密, 则其对互联网服务提供商的类似路由器和防火墙的网络设备是可见的, 在此, 可以实施基于关键词的监控和审查隐藏和加密通讯的内容使得审查任务更加困难, 因为网络设备再也不能区分包含被禁关键词和那些未包含的通讯了使用加密保密通讯也可以防止网络设备记录通讯以对其进行分析和在分析其读或写了什么的事实后将个体作为目标 HTTPS 是什么? HT T PS 是用于访问网站的 HT T P 协议的安全版它通过使用加密断绝对你的通讯内容的窃听和篡改从而为访问网站提供安全升级使用 HT T PS 访问网站可以防止网站运营商知道你正使用网站的哪一部分或你向该网站发送和从该网站收到了哪些信息 HT T PS 支持已被包含在每个流行的网络浏览器, 因此你不需要安装或添加任何软件以使用 HT T PS 26

27 通常情况下, 如果一个网站通过 HT T PS 是可用的, 那么你可以通过输入其以开头而不是以开头的地址 (URL) 访问该网站的安全版本如果你正在使用一个网站的安全版本, 你同样可以通过查看显示在你的网络浏览器导航栏中的地址和看它是否以开头来判别并不是每一个网站都有 HT T PS 版本实际上, 虽然有 HT T PS 版本的网站包括一些最大和最流行的网站, 但也许不到 10% 的网站有 HT T PS 版本一个网站只有在该网站经营者有意配置其 HT T PS 版本时才能通过 HT T PS 可用互联网安全专家已敦促网站经营者经常做到这一点, 且支持 HT T PS 网站的数量已稳步增长如果你尝试通过 HT T PS 访问一个网站但收到一个错误, 这并不总是意味着你的网络正阻止访问该网站它可能仅意味着该网站在 HT T PS 中不可用 ( 对任何人 ) 不过, 某些种类的错误信息更可能表明有人正积极封锁或干预连接, 特别是在你知道该网站通过 HT T PS 应该是可用的时提供 HTTPS 网站的例子这里是一些提供 HT T PS 的热门网站的例子在某些情况下, 在这些网站使用 HT T PS 是可选的, 而不是强制的, 因此你必须明确选择该网站的安全版本以获得 HT T PS 的好处网站名称非安全 (HTTP) 版本安全 (HTTPS) 版本 Facebook Gmail Google Search T witter Wikipedia Windows Live Mail (MSN Hotmail) 例如, 如果你是从而不是进行谷歌搜索, 那么你的网络运营商将不能看到你搜索的条件是什么, 因此, 其不能阻止谷歌回答不适当的搜索 ( 然而, 网络运营商可以决定全面封锁 encrypted.google.com ) 同样地, 如果你通过而不是使用 T witter, 那么网络运营商不能看到你正在阅读哪个消息你正在搜寻什么标签你在那发布了什么或者你登录了哪个帐户 ( 然而, 网络运营商可以决定封锁所有使用 HT T PS 对 twitter.com 的访问 ) HTTPS 和 SSL HT T PS 使用一种被称为 T LS( 传输层安全 ) 或 SSL( 安全套接层 ) 的互联网安全协议你可能听说过人们提到一个网站使用 SSL 或是一个 SSL 网站在网站的语境中, 这意味着该网站通过 HT T PS 可用在绕行技术外使用 HTTPS 即使是使用加密的绕行技术也不能代替使用 HT T PS, 因为使用何种加密的目的是不同的对许多种绕行技术来说, 包括 VPNs 代理和 T or, 在通过绕行技术访问一个被封网站时, 使用 HT T PS 地址仍是可能和适当的其提供了更大的隐私, 并阻止绕行提供者本身观察或记录你在做什么即使你有信心绕行提供者对你是友善的, 这也十分重要, 因为绕行提供者 ( 或是绕行提供者所使用的网络 ) 可能被侵入或被迫提供有关你的信息一些像 T or 一样的绕行技术开发者强烈呼吁用户始终使用 HT T PS, 从而确保绕行提供者本身不能暗中监视用户你可以在阅读到有关这一问题的更多信息养成尽可能使用 HT T PS 的习惯是很好的, 即使正使用一些其他绕行方法使用 HTTPS 的秘诀如果你喜欢把你经常访问的网站加入书签以使你不必输入完整的网站地址, 那么请记住书签每个网站的安全版本而不是非安全版本在 Firefox 中, 你可以安装 HT T PS Everywhere 扩展, 从而在每当你访问已知提供 HT T PS 的网站时以自动打开 HT T PS 它可从获得不使用 HTTPS 时的风险 27

28 当你不使用 HT T PS 时, 网络运营商, 如你的互联网服务提供商或国家级防火墙运营商, 可以记录你做的每一件事情, 包括你访问的特定网页的内容他们可以使用该信息封锁特定网页或创建以后可能被用于对付你的记录他们也可以修改网页的内容从而删除某些信息或者添加恶意软件以暗中监视你或感染你的电脑在许多情况下, 同一网络的其他用户也可能做这些事情, 即使他们并不是正式的网络运营商在 2010 年, 一些这种问题将被一种被称为 Firesheep 的程序改写, 其使得网络上的用户能极其容易地接管其他用户的社交网站帐户 Firesheep 能够起作用是因为, 当其被开发出来时, 这些社交网站并没有普遍使用 HT T PS, 或者以有限的方式使用它去仅仅保护其网站的某些部分这个范例在国际媒体引起了很多关注, 也导致更多的网站要求使用 HT T PS 或者提供 HT T PS 访问作为一种选择其同样允许技术不熟练的人通过侵入他人帐户侮辱他人 2011 年 1 月, 在突尼斯政治动乱期间, 突尼斯政府开始以允许政府窃取用户密码的方式干预用户连接到 Facebook 这是通过修改 Facebook 登录页面和悄悄地添加发送用户 Facebook 密码副本给当局的软件做到的这种修改在技术上能直接执行, 且能被任何网络运营商在任何时候实施据我们所知, 突尼斯使用 HT T PS 的 Facebook 用户完全被保护免受该攻击使用 HTTPS 时的风险当可用时, 使用 HT T PS 几乎总是比使用 HT T P 更安全即使有时出错, 其也不会使你的通讯更容易被暗中监视或过滤所以, 尝试在你可以的地方使用 HT T PS 是很有意义的 ( 但是请注意, 原则上, 使用加密在某些国家可以受到法律的限制 ) 然而, 有一些方式 HT T PS 可能无法提供完整的保护证书警告有时, 当你尝试通过 HT T PS 访问一个网站时, 你的网络浏览器将显示给你一条警告信息, 描述该网站数字证书的问题该证书是用来确保连接安全的这些警告信息存在以保护你免受攻击 ; 请不要忽略它们如果你忽略或绕过证书警告, 你可能仍能使用网站但限制了 HT T PS 技术保护你的通讯的能力在这种情况下, 你对该网站的访问可能变得不比一个普通的 HT T P 连接更安全如果你遇到一个证书警告, 那么你应当通过电子邮件将其报告给你尝试访问网站的网站管理员, 从而激励网站去解决该问题如果你使用一个私人设置的 HT T PS 网站, 像某些种类的网络代理, 你可能会收到一个证书错误, 因为该证书是自签名的, 其意味着你的浏览器未被授权确定通讯是否正被拦截对某些这种网站来说, 你可能别无选择, 如果你想使用该网站你只能接受该自签名的证书然而, 你可以尝试通过其他渠道, 比如电子邮件或即时消息, 确认该证书是你期望的那个或者看看当从不同电脑使用不同互联网连接时其是否看起来一样混合内容一个单一的网页通常由许多不同的元素组成, 其可以来自不同的地方, 也可以彼此分开转移有时, 一个网站会使用 HT T PS 于网页的某些元素而使用不安全的 HT T P 于其他元素例如, 一个网站可能只允许 HT T P 访问某些图像在 2011 年 2 月, 维基百科的安全网站出现了这个问题 ; 虽然维基百科页面的文本可以使用 HT T PS 载入, 但所有的图像都使用 HT T P 载入, 因此, 特定的图像可以被识别和封锁, 或者用于确定用户正在阅读维基百科的哪个页面重定向到网站的 HTTP 不安全版本某些网站仅以有限的方式使用 HT T PS, 且即使在用户已初始使用 HT T PS 访问后亦迫使用户重返使用不安全的 HT T P 访问例如, 某些网站使用 HT T PS 于用户输入其帐户信息的登录页面, 但在用户登录后则使用 HT T P 于其他页面这种配置使得用户容易受到监视你应当注意, 如果你在使用一个网站的过程中被发回到一个不安全页面, 那么你将不再享有 HT T PS 的保护封锁 HTTPS 的网络和防火墙由于 HT T PS 阻碍监控和封锁, 有些网络完全封锁对特定网站的 HT T PS 访问, 或者甚至整个封锁 HT T PS 的使用在这种情况下, 你可能被限于在那些网络上对那些网站使用不安全访问你可能发现你由于 HT T PS 的封锁而无法访问一个网站如果你使用 HT T PS Everywhere 或某些类似软件, 那么你可能完全无法使用某些网站, 因为该软件不允许不安全的连接如果你的网络封锁 HT T PS, 你应假设网络运营商可以看到和记录你所有在网上的网络浏览器活动在这种情况下, 你可能想要探寻其他绕行技术, 尤其是那些提供其他形式加密的技术, 比如 VPNs 和 SSH 代理在一个不安全计算机使用 HTTPS HT T PS 仅保护当你的通讯在互联网上环游时其的内容它并不保护你的计算机或者你的屏幕或硬盘驱动器的内容如果你使用的计算机是共用的或在其他方面不安全, 其可能包含监控或间谍软件或者审查软件, 从而记录或封锁敏感关键词在这种情况下,HT T PS 提供的保护可能不是那么相关, 因为监控和审查可能发生在你的计算机自身内部而不是网络防火墙上 28

29 HTTPS 证书系统的脆弱性 HT T SP 证书系统也存在另一个问题 -- 也被称为公共密钥基础结构 (PKI) 的用来验证 HT T PS 连接的证书权威系统存在问题这意味着如果攻击者拥有正确的资源, 那么一个富有经验的攻击者可以欺骗你的浏览器在攻击期间不显示警告这在任何地方都在发生但尚未被明确记载不过这不是避开使用 HT T PS 的理由, 因为即使在最坏的情况下,HT T PS 连接都将不会比 HT T P 连接更不安全 29

30 BASIC TECHNIQUES 7. 简单技巧 8. 创新 9. 网页代理 10. 赛风 (PSIPHON) 11. SABZPROXY 30

31 7. 简单技巧有一些技术可以绕开互联网过滤如果你的目的仅仅是访问在本地被屏蔽的网页或服务, 而不担心是否有人会发现并监视你的规避行为, 以下这些技巧就足够了 : HT T PS 通过替代域名 ( 或域名服务器 ) 访问被屏蔽内容通过第三方网站访问被屏蔽内容通过电子邮件网关使用电子邮件获得被屏蔽网页使用 HT T PS HT T PS 是用于访问网站的 HT T P 协议的安全版本在某些国家, 如果你想访问的网站启用了 HT T PS, 输入它的地址 (URL) 只需用代替就可以允许你访问网站, 甚至当 URL 被封锁了例如在缅甸被封锁, 而可以访问如果网址已被封锁, 在尝试其他绕行工具或技术前, 试着在你想访问的网站的网址 http 后加一个如果这方法可行, 不仅你可以访问目标网站, 而且你和网站间的流量也会被加密了解更多关于这个技术的细节, 阅读保密和 HT T PS 和 HT T PS Everywhere 这两章使用替代域名或者网址审查一个网站的最常用办法就是屏蔽其域名, 比如, news.bbc.co.uk 但是, 通常通过其它域名也可以访问同一网站, 比如 newsrss.bbc.co.uk 如果一个域名被屏蔽了, 你可以试试能否通过其它域名访问该网站你也可以尝尝访问一些网站为创造智能手机制作的特殊版本通常是一样的 URL 在开始的地方加上 m 或者 mobile, 例如 : (Gmail) or 通过第三方网站有几种不同的方法可以让你通过第三方网站访问网页内容, 而不用直接访问原网站缓存网页很多搜索引擎都留有收录网页的备份, 被叫做缓存网页在搜索一个网站时, 你可以在搜索结果旁边看到一个标有缓存 (cached) 的链接因为你是从搜索引擎的服务器中检索被屏蔽网页, 而不是从被屏蔽网站上, 所以你也许能够访问被屏蔽内容但是, 有些国家也把缓存服务作为屏蔽的对象 31

RSS 聚合器 RSS 聚合器 (RSS aggregators) 是可以允许你订阅并阅读 RSS 推送文件 (feeds) 的网站所谓 RSS 推送文件就是你订阅的网站发布的新闻信息流及其它信息 (RSS 是超简单聚合 Really Simple Syndication 的缩写 ; 想了

com/) RSS 聚合器会连接其它网站, 下载你订阅的推送文件, 然后展示给你既然是聚合器访问其它网站, 而不是你, 你或许可以访问本该被屏蔽的网站当然, 该方法只适用于那些发布 RSS 推送文件的网站, 因而对博客和新闻网站来说最

32 RSS 聚合器 RSS 聚合器 (RSS aggregators) 是可以允许你订阅并阅读 RSS 推送文件 (feeds) 的网站所谓 RSS 推送文件就是你订阅的网站发布的新闻信息流及其它信息 (RSS 是超简单聚合 Really Simple Syndication 的缩写 ; 想了解更多使用信息, 请参考 RSS 聚合器会连接其它网站, 下载你订阅的推送文件, 然后展示给你既然是聚合器访问其它网站, 而不是你, 你或许可以访问本该被屏蔽的网站当然, 该方法只适用于那些发布 RSS 推送文件的网站, 因而对博客和新闻网站来说最有用免费的在线 RSS 聚合器有很多其中最著名的包括 Google 阅读器 ( ( 或者 Friendfeed( 以下是 Google 阅读器显示新闻内容的示例 : 翻译器网上有很多语言翻译服务, 通常由搜索引擎提供如果你通过翻译服务访问一个网站, 访问被屏蔽网站的是该翻译网站, 而不是你这样你就可以看到翻译成其它语言的被屏蔽内容即便你不想翻译文字内容, 你也可以通过翻译服务绕开屏蔽为此, 你需要选择一种原网站上没有的语言, 然后翻译成原网站语言比如, 为了使用翻译服务访问一个英文网站, 你可以选择从中文到英文的翻译服务该翻译服务只翻译中文部分 ( 英文网站没有中文 ), 英文部分不变 ( 也就是整个网页 ) 流行的翻译服务包括以及等以下这个例子演示了使用 Babelfish 浏览网页的三个必要步骤首先输入你想访问的网址链接 : 接着, 选择你希望在该网站上看到的语言在本例中, 我们让 Babelfish 把韩语翻译成英语既然没有韩语文字, 页面将保持不变 32

33 选好语言之后, 点击翻译就会出现希望访问的页面当然这需要翻译器本身可以被访问, 可并不总是这样, 因为有些屏蔽当局意识到这些翻译器可能被用来绕行例如根据在沙特阿拉伯已被封锁窄带过滤器窄带过滤器 (Low-bandwidth filters) 是一种网络服务, 其目的是让你在网速比较慢的地方更容易地浏览网页它们会删除或减少图片, 去掉广告, 压缩网站使其使用更少的数据, 所以下载更快但是, 和翻译和聚合服务一样, 你可以通过窄带过滤器绕开网站屏蔽, 从这些过滤服务网站读取数据, 而不是从你的计算机上是一个有用的窄带过滤服务网站网页存档 archive.org 的缓存的 (Wayback Engine - 允许用户看到存档的过去的网页的各种版本数以百万计的的网站和相关数据 ( 图像源代码文件等等 ) 都保存在一个庞大的数据库然而, 不是所有的网站都是可利用的, 因为许多网站的主人选择不包括他们的网站, 同时添加快照通常需要很长的事件通过电子邮件服务电子邮件和网络邮件可以用来和朋友及同事分享文档, 甚至可以用来浏览网页通过电子邮件访问网页 33

34 和窄带过滤服务一样, 这些服务适用于网速低或网络不安全的用户, 允许用户通过电子邮件发出网页请求服务网站会回复一封邮件, 在邮件正文或者在附件中会包含所请求的页面这些网站需要你为一个或多个网页发送独立的请求, 然后等待邮件回复, 因而非常难用但是在某些情况下, 尤其是当你通过安全的网页邮件服务访问这些网站时, 它们在访问被屏蔽网站时效率很高 Web2mail web2mail.com 就是这样一个服务在使用时, 发送邮件到并在标题栏输入你想访问的网页地址你还可以通过在标题栏输入搜索关键词进行简单的网页搜索比如, 你可以在邮件标题栏输入搜索审查绕行工具, 然后把邮件发送到就可以搜索审查绕行工具 TheWeb T heweb 是另一个同类服务, 它允许你用电子邮件发送任何网页给任何人, 包括你自己通过电子邮件发送网页, 你需要在网站上注册, 或者使用你的 Gmail 帐户免费服务最多允许你每天发送 25 页你可以在 ACCMAIL 邮件列表中找到更多与该话题相关的信息和支持向发送一封正文含有 SUBSCRIBE ACCMAIL 字样的邮件, 你就可以订阅该列表 RSS 转换成电子邮件某些平台上提供一种类似发送网页到电子邮件的服务, 但它以 RSS 种子为重点, 而不是简单的网页 ; 包括 : FoE 从电邮订阅 (Feed Over ) 是另一个有趣的同类项目, 由美国联邦广播理事会的 Sho Sing Ho 创建在写这本书的时候, 从电邮订阅 (Feed Over ) 仍处于开发阶段可以在上跟进了解从电邮订阅 (Feed Over ) Sabznameh 如果你在伊朗有兴趣阅读波斯语的被过滤的新闻 Sabznameh 是一个你应该考虑的选项 Sabznameh 是一个耐用的和可扩展的电邮订阅通讯平台, 让独立的新闻读者通过电子邮件访问被审查的和被封锁的内容最简单的获得 Sabznameh 的方法是发送一封空白的电子邮件 ( 主题和内容为空 ) 到 [email protected] 使用这种方法你可以注册, 即便你不能访问该网站你将收到一个回复电子邮件, 将引导你完成在现有的一个或多个出版物注册的步骤通过网页邮件分享文档如果你想在线分享文档, 但希望控制浏览权限, 你可以把它们放在一个私人空间, 只有输入正确的密码才可以访问有一个简单办法可以让你跟好友和同事分享文档, 那就是使用网络电子邮件提供商提供的网络邮件账户, 比如 Gmail( 然后跟你的好友和同事共享用户名和密码由于大部分网络邮件服务都是免费的, 你可以不时切换到新账户, 让其他任何人都无法知道你们在做什么你可以在这里找到一个免费网络邮件提供商列表 : 优点和风险这些简单技巧快捷易用 ; 不用费事就可以使用很多方法在很多数情况下 ( 至少在某些时候 ) 都可以发挥作用但是, 它们很容易被发现和屏蔽由于它们不会对你的信息进行加密或隐藏, 很容易遭到关键词屏蔽和监视 34

35 8. 创新如果你的互联网服务提供商封锁一些网站或服务, 你可以使用其他章节介绍的工具, 或者你可以思考创造性的途径访问不受限制的信息下面是一些例子使用替代 ISPS 有时候所有的互联网服务提供商并不统一和一致适用过滤规则大的提供商有大量的用户, 和国有电信公司一样, 比小型互联网企业可能受到更多监视和更多执法 2002 年德国政府通过了一部管理互联网的法律, 仅适用于它的一个州的互联网服务提供商用户因此可以通过订购办公室在本国其他地区的全国性的互联网服务提供商的服务, 规避这一管制同样地,2010 年实施的一部德国规章可能只影响有超过 10,000 用户的互联网服务提供商 ( 为了泄漏黑名单 ), 通过订购小型的当地的互联网服务提供商的服务容易规避 2011 年埃及革命期间, 有猜测认为 NOOR DSL 是最后一个执行关闭网络命令的互联网互联网服务提供商, 因为它相对较小的市场份额 (8%) 和它的那些著名客户, 如埃及证券交易所埃及国家银行和可口可乐公司替代互联网服务提供商也可找海外的, 一些公司甚至为那些住在剧烈政治动荡国家的用户免除订购费用在 2011 年利比亚和埃及革命期间, 个别公民能在他们各自国家公布政治和社会形势, 是通过国外的互联网服务商拨号上网, 或使用其他的通讯方法, 如卫星无线分组和跨国公司或大使馆提供的未过滤的连接移动网络移动网络逐渐地成为流行的传播和访问未收审查信息的方法, 原因之一是它们在拥有一台电脑或私人网络连接的成本国过高的国家有高的普及率因为许多移动运营商并不是网络服务提供商, 它们的网络不同样的受规章的影响然而, 它们的网络通常易于监控, 经常受到广泛的监视一些国家的活动家已使用他们的手机和免费的开源软件如 FrontlineSMS ( 管理短信 (short message service (SMS)) 活动, 并将短信技术和 Twitter 等微博服务结合起来运行 FrontlineSMS 的已连接上网的电脑可以作为一个供他人通过他们的手机发布信息到网上的平台其他的设备也可使用移动网络例如,Amazon 的 Kindle 3G 电子书阅读器附带国际漫游, 在超过 100 个国家可以通过移动网络自由访问维基百科不使用互联网有时访问互联网完全受限, 活动家不得不使用其他方法传播和获得未受审查的信息 1989 年, 互联网普及前,, 一些密歇根大学的学生购买传真机向中国的大学政府部门医院和主要企业发送每天的国际媒体摘要, 提供政府对天安门事件的报道之外的另一种选择如果你连接互联网受限, 可以考虑通过其他方法进行点对点交流的可能性 IrDA (Infrared) 和 Bluetooth 装在大多数手机里, 可以用来在短距离传输数据其他项目, 如 "The Pirate Box" ( 使用 Wi-Fi 和免费开源软件开发手机文件分享设备在互联网普及率低的国家, 如古巴,USB 闪存驱动器被那些想传播未受审查信息的人广泛使用在 2011 年利比亚和埃及政治动乱期间, 活动家使用的其他技术包括传真 speak2tweet(google 和 Twitter 推出的平台, 可以是固定电话用户通过语音邮件 (voic ) 发布 tweet) 和短信使用很旧或很新的技术有时过滤和监视技术只针对当前的标准互联网协议和服务, 所以可以考虑使用很旧或很新的技术, 可能没被封锁或监视及时通信 (INSTANT MESSAGING (IM)) 软件 (WINDOWS LIVE MESSENGER, AIM, 等等 ) 出现前, 使用互联网中继聊天 (INTERNET RELAY CHAT (IRC)) 进行团体沟通, 它是一个允许实时互联网文本信息的协议尽管不如它的后继者流行, 互联网中继聊天 (IRC) 仍然存在, 并被大量互联网用户广泛使用电子公告板系统 (BULLETIN BOARD SYSTEM) 一个电脑运行软件, 允许用户联系, 上传和下载软件及其他数据, 阅读新闻, 和与其他用户交流信息最初用户可以拨号使用调制解调器访问这些系统, 到了 1990 年初期, 有些电子公告板系统 (BULLETIN BOARD SYSTEM) 也允许使用互联网交互文本协议访问, 如 TELNET 以及后来的 SSH 就这一点而言, 新的技术有和旧的技术同样的好处, 因为它们被有限的用户使用, 因此较少被审查例如, 新的互联网协议 IPv6 已经被一些国家的互联网服务提供商部署, 通常它没有被过滤网络服务的其他用途许多网络被审查的用户使用网络服务的方式与它们最初被设计的不同例如, 网民使用视频游戏的聊天功能讨论敏感事项, 在普通的聊天室聊会被发现另一项技术是分享一个电子邮件帐号, 保存会话到草稿箱文件夹, 以避免在网络上发送电子邮件在线备份服务如 DROPBOX.COM 和 SPIDEROAK.COM 已被活动家用来传播和分享文件和其他数据原用来翻译缓存或格式化的服务已被用作简单的代理来绕过网络审查著名的例子有 Google 翻译, Google 缓存, 和 Archive.org 有其他的创造性应用, 如 Browsershots.org ( 给网站截图 ), PDFMyURL.com ( 给网站创制 PDF 版 ), URL2PNG.com ( 将网址的内容转换成 PNG 图片 ), 和 InstantPaper.com ( 为 Nook 和 Kindle 等电子书阅读器创建易读的文档 ) 任何通信通道都可以是绕行通道如果你有任何形式的和合作人或者未受审查的电脑的通信通道, 你应该能把它变成一种绕行的方法如上所述, 人们已用视频游戏聊天来绕过审查, 因为审查者经常不会想到去监视或者审查它或者封锁流行的视频游戏在允许玩家创建复杂的在线物体的游戏中, 人们讨论创建在线电脑电视机屏幕或其他设备, 玩家可以使用他们不受审查访问被封锁的资源人们也建议使用社交网络网站的个人资料隐藏信息例如, 一个人可以把他想访问的网站地址隐藏在他的社交网络网站的个人资料里他未受网络审查的朋友将这个网站的内容保存为图形文件, 然后发到另一个个人资料上这个过程可以通过软件实现自动实现, 所以它快速而且自动, 而不需要人来做这项工作 35

36 借助计算机编程, 即使一个只是允许少量的数字或文本信息来回流动的通道, 可以转换成一个作为网页代理的通信通道 ( 当一个通道, 完全掩盖了某种形式的通信存在时, 它被称为隐蔽通道 ) 例如, 程序员们创造了 IP-over- DNS 或 HTTP-over-DNS 代理应用程序使用 DNS 来绕过防火墙一个例子是上的 iodine 软件你还可以在和上阅读类似的软件的文档使用这些应用程序, 一个访问某个网站的请求被伪装成查询众多不习关的网站地址的请求请求的信息的内容然后被伪装成回复这些请求的内容许多防火墙没有被配置用来阻止此类沟通, 因为 DNS 系统从来不会被特意用来供终端用户进行通信, 而是被用来运载关于网站地址的基本目录信息许多聪明的使用隐蔽通道来绕行的应用程序是可能的, 而且这是正在进行研究和探讨的领域为了使它有用, 这些需要一个专用服务器在其他地方, 两端的软件必须由精通技术的用户来设置 36

9. 网页代理代理可以让你访问一个网站或其他互联网资源, 即便在你所在地不能直接访问这个资源有许多不同种类的代理, 包括 : 网页代理, 这只需要你知道代理网站的地址一个网页代理的网址可能看起来像 http://www.example.

37 9. 网页代理代理可以让你访问一个网站或其他互联网资源, 即便在你所在地不能直接访问这个资源有许多不同种类的代理, 包括 : 网页代理, 这只需要你知道代理网站的地址一个网页代理的网址可能看起来像 HT T P 代理, 需要你或者软件修改你的浏览器设置 HT T P 代理只可以使用网页内容你可以得到一个 HT T P 代理的信息, 这样的格式 : proxy.example.com:3128 或 :8080 SOKS 代理, 需要你或软件修改你的浏览器设置 SOKS 代理可以使用许多不同的网络应用程序, 包括电子邮件和即时通信工具 SOCKS 代理信息看起来就像是 HT T P 代理信息网页代理就像一个嵌入你网页的浏览器通常, 网页代理都有一个地址栏, 你可以在地址栏里提交想要访问的网址然后网页代理就会显示你要的页面, 但是不会让你和被请求网站之间建立直接联系在使用网页代理时, 你不需要安装软件或改变计算机设置这意味着你可以在任何电脑上使用网页代理, 包括网吧的电脑在浏览器输入网页代理的网址, 然后在网页代理输入你想要访问的网址, 接着按回车键 (Enter) 或者点击提交 (submit) 按钮一旦你通过网页代理浏览网页, 你应该能够使用你的浏览器的前进或者返回按钮, 点击链接和提交地址栏, 你还在用代理连接到过滤网站这是因为你的代理人已经改写了页面上的所有的链接, 所以它们现在告诉你的浏览器通过代理请求目的地资源然而, 考虑到今天的网站的复杂性, 这可能是一个艰巨的任务因此, 你可能会发现一些网页, 链接或者表格突破了代理连接通常, 当这一切发生的时候, 网络代理的 URL 表单将消失在你的浏览器窗口我怎么找到网页代理? 你可以在这样的网站找到网页代理的网址, 你可以通过加入邮件列表, 如或者通过订阅一个具体国家的 twitter 种子 (feed), 或者在搜索引擎搜索免费网页代理 ( free Web proxy ) Proxy.org 有数以千计的免费网页代理免费网页代理平台包括 CGIProxy, PHProxy,Zelune,Glype,Psiphon 和 Picidae 如上所述, 这些都不需要你在电脑上安装他们是服务器软件, 别人必须安装在电脑上, 这台电脑在不受过滤的地位连接上网所有的这些平台提供相同的基本功能, 但是他们看起来不同, 可能会有不同的优点和缺点有些可能某些方面更好, 如准确地播放视频或者显示复杂网站 37

38 有些网页代理是私人的只有代理提供者的联系人才知道这些代理, 使用者人数有限私人网络代理有一定的优势具体地来说, 它们可能是 : 更有可能不被发现, 因此可以访问不容易拥挤, 因此速度更快更值得信赖, 假设他们是经过加密的 ( 见下文 ) 和由你认识的人运行访问也会受到限制, 要求用户用用户名和密码登录, 或只是防止代理网址出现在如之前所述的公开目录上网络代理是易于使用, 但他们比其他绕行工具有较多缺点结果, 人们经常使用它们作为一个临时的方法, 用来获得和学习如何使用更先进的工具, 这些常常需要从本身已被过滤的网站上下载同样, 当试图修复或替换已经不能用的另一个工具时, 使用一个网页代理可以是有用的网页代理兼容性问题网页代理只对网页通信起作用, 所以他们不能被用来使用其他互联网服务, 如电子邮件或即时通信许多网页代理和复杂的网站如 Facebook, 流媒体网站如 Youtube 和通过 HT T PS 访问的加密网站不兼容后面的这一限制意味着许多网页代理将无法帮助你访问需要登录的过滤网站, 如基于网页的电子邮件服务更糟的是, 有些网页代理它们自身不能通过 HT T PS 访问如果你使用这样一个代理登录通常安全的目标网站, 你敏感的信息, 包括你的密码, 可能处于危险之中像这样的安全问题下面将进行更详细的讨论 38

39 以上描述的 HT T PS 问题的显著例外, 大多数网站的兼容性问题, 是可以通过使用目标网站的移动或基本的 HT ML 版本解决, 假如有一个是可用的不幸的是, 相对较少的网站提供这种简化的界面, 甚至更少有网站展示网站的所有功能如果网站提供了一种移动版本, 它的网址经常用 m 开头而不是 www 例子包括 : 和有时你能找到一个移动版或者基本的 HT ML 版本的链接, 在到网站的首页的底部的小的链接中使用网页代理的风险你应该意识到使用网页代理存在着一些风险, 尤其当你使用网页代理是由那些你不甚了解的组织和人员所维护时, 这种风险会很大, 如果你使用代理来浏览这样的公共站点时, 你唯一的真正问题是 : 有人可能会知道你正在浏览被审查的新闻来源有人可能知道你做这些事依赖哪一种代理此外, 如果你的网页代理运作正常, 如果你访问它通过 HT T PS, 前者的信息只有代理的管理员知道然而, 如果你依赖一个不安全的 HT T P 连接故障或你的代理不起作用 ( 或者设计糟糕 ), 这条信息将被可能监视你网络连接的人看到事实上, 未加密的网页代理在一些国家根本不起作用, 因为他们不能绕过使用关键词而不是网址或 IP 地址过滤的过滤器对于某些用户来说, 上述的风险并不是一个主要问题然而, 如果你想用一个网页代理访问特定类型的网上资源, 它们可能变得相当严重, 如 : 要求你用密码登录的网站你打算通过它访问敏感信息的网站你打算通过它创作和分享内容的网站电子商务或网络银行网站自身支持 HT T PS 加密的网站在这种情况下, 你应该避免使用不安全的或不可信赖的网页代理事实上, 你完全可以网页代理不能保证一个更高级的工具将更加可靠, 为保持你的通信隐私, 可安装的绕行软件必须面对的挑战通常没有网页代理软件面对的复杂但是如果你使用代理来进行私人通信或者登录网页邮箱, 网上银行, 和网上购物这类应用时, 别人可能会盗取并滥用你的个人信息, 其中包括个人密码尤其当你使用的这些服务本身未对信息加密, 或者你使用的代理阻不准你对信息的加密, 这种可能性会更大混淆不是加密有些网页代理, 尤其是那些缺乏支持 HT T PS 的网页代理, 使用简单的编码方案, 以绕开糟糕设置的域名和关键字过滤其中的一个方案, 被称作 ROT -13, 在拉丁字母里用在字母前 13 位的其他字母替代它 ( 你可以访问自己尝试一下 ) 当用 ROT -13 规则转换后, 网址就变成了 uggc://jjj.oop.pb.hx, 它可以让关键词过滤器无法识别代理设计者觉得这个技巧, 即使在没有关键词过滤的国家因为网页代理通常把目标网址包含在每次你点击一个链接或提交一个新的地址你的浏览器向代理发送的实际网址里换句话说, 当你使用一个代理, 您的浏览器可能请求 / 而不是用来对付后者的域名过滤器可能乐于对付前者 / jjj.oop.pb.hx, 另一方面, 就可能通过过滤器不幸的是, 字符编码方案并不十分可靠毕竟, 没什么可防止审查员增加 jjj.oop.pb.hx 到它的黑名单, 和, 一起 ( 或者, 更好的是, 她可以添加 uggc:// 到黑名单, 将阻挡所有代理的使用 ) 要记住的重要一点是字符编码它不能保护你的匿名性, 第三方观察者仍然可以跟踪你访问的网站列表以及, 即使它可以应用到你浏览的网页的全文和你提交的全文 ( 而不仅仅是网址 ), 它还能不能提供机密保护如果这些事情对你来说重要, 限制你使用网页代理访问支持 HT T PS 的网站别忘了, 代理的管理员可以看到所有事情上述建议强调了, 在被审查的目标网站和代理自身上, 当使用一个网页代理创建或获取敏感信息时,HT T PS 的重要性然而, 值得注意的是, 即使当你访问一个安全站点通过安全代理, 你仍然坚信管理代理的任何人, 这些个人或组织能读取你发送或接收的所有的通信这包括你为了访问目标网站可能需要提交的密码即便更加先进的绕行工具, 通常会要求你在你的计算机上安装软件, 为了绕过网络过滤器必须依靠某种中介代理然而, 所有这个种类的著名工具都以这样的方式实施, 为保护 HT T PS 网页的内容, 流量甚至来源于绕行服务自身不幸的是, 这对网页代理来说是不可能的, 它必须更多地依赖旧式的信任信任是一个复杂的功能, 不仅取决于服务的管理员意愿保护你的利益, 也取决于她的日志和记录保存政策她的技术能力和她经营的法律和监管环境网页代理的匿名风险用来规避过滤的工具不一定提供匿名性, 甚至包括那些在它们的名字里面可能包括匿名这样的词的工具一般来说, 匿名性是一个比基本保密更加难以捉摸的安全属性 ( 防止窃听者查看你与网站交换的信息 ) 如上所述, 甚至通过网页代理所要求的基本保密性确保保密, 你 : 39

40 使用 HT T PS 网页代理通过代理连接到一个 HT T PS 目的网站信任代理管理员的意图, 政策, 软件和技术能力注意, 任何浏览器的警告, 如本书 HT T PS 章所讨论的所有的这些条件也是任何程度匿名性的先决条件如果第三方可以阅读你通信的内容, 他可以很容易将您的 IP 地址和你访问的网站的详细清单联系起来这是真的, 即便, 例如, 你用假名登录这些网站或张贴消息 ( 当然, 相反的才是对的你在目标网站用你的名字署名在你的帖子上, 甚至一个完美的安全代理也无法保护你的身份!) 广告, 病毒以及恶意软件一些人架设网页代理是为了赚钱他们可以网页上公开出售每个代理页面的广告, 如下面的例子或者, 一些不良的代理运营者会使用恶意软件来感染用户的计算机这类所谓的路过时下载 ( "drive-by-downloads") 会劫持你的计算机来发送垃圾邮件和商业广告, 甚至用于其他非法目的而确保你计算机免受病毒和其他恶意软件的侵害的一个重要方法就是保持软件的更新 ( 尤其是你的操作系统和杀毒软件 ) 你也可以使用火狐浏览器的广告屏蔽扩展 AdBlockPlus( 来屏蔽广告, 以及使用 Noscipt 扩展 ( 来屏蔽恶意的内容这两款扩展都是 Firefox 浏览器扩展要想了解更多避免上述风险的信息, 用户可以访问 StopBadware( 网站 Cookies 和脚本 Cookie 和脚本的使用也有风险用户可以禁止掉许多站点的 Cookie 和脚本, 但是其他许多站点 ( 比如像 Facebook 这类的社交站点和 Youtube 这类的流媒体网站 ) 也需要使用 Cookie 和脚本网站和广告商使用这些机制跟踪你, 即便你使用代理, 以及提供证据, 例如公开做某事的人是匿名做另一件事的人即便你重启后, 有些 Cookie 也会保存在计算机中, 所以一个可能好的办法是有选择的使用 Cookie 例如, 在火狐浏览器中, 你可以告诉浏览器在浏览器关闭之后自动清除 Cookie ( 同样的, 你也可以告诉浏览器在关闭之后自动清除你的浏览记录 ) 然而, 一般来说, 网页代理有着极其有限的能力来保护你的身份不被你通过它们访问的网站跟踪如果这是你的目标, 你就必须非常小心你是如何配置你的浏览器和代理设置的, 你可能想要使用一种更先进的绕行工具帮助别人如果你在一个可以没有限制网络访问的国家, 你愿意帮助别人逃避审查, 如本书帮助别人部分所讨论的, 你可以在自己的网站安装在一个网页代理脚本 ( 甚至在你家用电脑上 ) 40

41 10. 赛风 ( PSIPHON) Psiphon 是一个开源的网页代理平台, 过去几年改变了不少它各种方式不同于其他代理软件 ( 如 CGIProxy 和 Glype), 取决于它是如何在服务器上配置它一般来说,Psiphon: 通过 HT T PS 访问支持访问 HT T PS 目标网站改进与一些复杂网站的兼容 ( 虽然远非完美 ), 包括 Youtube 可能或可能不要求用用户名和密码登录允许你用电子邮件地址注册, 当你的代理被屏蔽时, 从管理员那收到新的代理网址允许你邀请他们使用你的代理 ( 假设它被设置为要求密码 ) 当前版本的 Psiphon 服务器软件运行只能在 Linux 上运行, 比大多数其他代理更难安装和管理它主要是为了促进一个大范围的抗封锁的绕行服务的运行, 它针对那些没有能力安装和使用更先进的工具的人 PSIPHON 的历史 Psiphon 1, 这个网页代理平台的原版, 设计用来在 Windows 上运行, 允许在没有屏蔽互联网的国家的非专业的电脑用户向屏蔽互联网国家的具体个人提供基本的绕行服务它安装容易, 使用方便, 部分支 HT T PS, 使得它比许多其他的服务更安全它也需要用户登录, 有利于防止拥堵和减少这些被叫做节点的小网页代理被作为屏蔽对象的可能性 Psiphon 1 不再被开发它的组织维护和支持 Psiphon 2 完全重写, 着眼于在集中服务模式下的性能安全兼容性和可扩展性体现在一个集中式服务模型这些目标已经得到不同程度的实现最初, 一个 Psiphon 2 用户必须用户名和口令登录到一个特定的私人节点 Psiphon 公司给了一些来自各个地区的早期的用户额外的特权, 让他们能够邀请其他人访问其代理早期的 Psiphon 2 代理也需要用户忽略无效证书的浏览器警告, 因为当他们可以通过 HT T PS 访问, 它们的管理人员不能或者不愿意购买 SSL 证书所有公司部署的 Psiphon 私人节点本身现在已签署证书, 应该不会引发浏览器的警告很明显, 对第三方安装的 Psiphon 软件来说可能不是这样最后, 所有的 Psiphon 用户现在获得发送有限数量邀请的权利后来实施的 Psiphon 2 开放节点, 不用登录就可以使用开放的节点自动载入一个特定主页, 自身显示特定的语言, 但当逃避网络审查时可以用来浏览其他网页开放的节点包含一个连接, 通过它用户能创建一个帐户, 可以选择注册一个电子邮件地址这样做, 可以让代理管理员向所在国节点被屏蔽的用户发送一个新的网址一般来说, 开放节点比私人节点更容易被屏蔽, 取代也更快与新的私人节点一样, 所有的 Psiphon 开放节点使用 HT T PS 来保证安全,Psiphon 公司运行的那些节点确定自己使用有效的和签署的证书我怎样才能访问一个 PSIPHON 节点? 为限制和监控它的代理被过滤,Psiphon 公司没有集中的方式来发布公开节点 ( 有时被称作 right2know 节点 ) 一个 Sesawe 绕行支持论坛专用的英语开放节点, 可在找到另外的开放节点由组成 Psiphon 客户基础的不同的内容制作人私下传播 ( 通过邮件列表,twitter 种子, 广播等 ) Psiphon 私人节点则不一样即使在这本书上刊载一个邀请链接是可能的, 但这是不明智的, 因为维护一个私人的节点最重要的一点是是限制其发展和保持一种类似与社会网络成员之间的信任毕竟, 一个发送到单个告密者邀请就可能足以让一个节点的 IP 地址被加到一个国家的黑名单里更糟的是, 如果邀请被接受, 告密者也可以收到系统管理员发送的替代代理地址如果你接收到了一个邀请, 它将包括一个类似于下面链接的链接, 它将允许你创建一个帐户和注册一个电子邮件地址跟着下面的创建一个帐户的指示去做创建帐户后, 就不再需要使用邀请链接相反, 你将通过一个有点容易记住的网址如登录使用 PSIPHON 开放节点你首次连接一个开放 Psiphon 代理, 你将可以看到 Psiphon 使用条款和隐私政策请仔细阅读服务条款, 因为它们包含重要的安全建议和关于代理的管理员声称如何处理你的数据的信息为使用这些代理, 你必须点击同意 (Agree) 41

42 你接受使用条款后,Psiphon 将会载入下面显示的一个和节点有关的默认的主页你可以你可以点击显示在这个页面的链接, 将会自动通过代理请求内容, 或者你可以通过使用你浏览器窗口顶部的蓝色的地址栏 ( 在 Psiphon 术语里被叫做 Bluebar) 访问别的网站创建一个帐号只要你还记得一个没有被屏蔽的的开放节点的网址或者将它加为书签, 你可以使用它来访问被过滤的网站创建一个帐户, 允许你修改某些偏好, 包括代理的语言和默认主页它还允许您注册一个电子邮箱地址, 这样, 如果被过滤, 节点的管理员可以发送一个新的代理网址的电子邮件给你, 要做到这一点, 点击 Bluebar 上的创建帐户链接如果您收到一个 Psiphon 私人节点的邀请, 创建你的帐户所需的步骤和下面所述是相同的 42

43 填写注册表时, 你可能想选择一个不能通过电子邮件服务, 社交网络网站, 或其他类似平台与你的真实身份联系上的用户名这同样适用于你的电子地址, 如果你选择注册一个大多数你的代理的其他用户无法看到您的用户名或你的电子邮件地址, 但是它们都存储在数据库中的某处, 网页代理的管理员可以见到如果你选择注册一个电子邮件地址, 建议你选择一个能够让你通过 HT T PS 连接访问电子邮件的服务支持 HT T P 的免费电子邮件服务提供商包括和为了防止自动注册的 Psiphon 帐户, 你必须看下安全代码图像上显示的号码, 并在最后一个空格输入当你完成后, 点击创建帐户 ("Create account") 你应该看到一条消息, 确认你的帐户创建成功从现在开始, 请使用此页上显示的网址登录到你的 Psiphon 节点请注意, 它包括一个 HT T PS 的前缀和一个短后缀 ( 在上面的图片 / 001 ) 你可能想打印出这个欢迎页面或将链接的网址加为书签 ( 但要小心, 不要无意中将欢迎页面本身加为书签 ) 当然, 你也需要你在上述步骤中选择的用户名和密码这个欢迎页面, 也可能会提供一些如上图所示的建议, 关于无效的安全证书警告, 和为使用 Psiphon 需要接受它们事实上, 这些说明是过时的, 你不应该再遵循它们如果连接到一个 Psiphon 代理时, 你会看到如下面所显示的警告, 你应该注意他们如果出现这种情况, 您可能需要关闭浏览器和联系 [email protected] 或者 [email protected] 获得其他建议 43

44 psiphon_right2know_sslerror_ie 邀请他人如果你使用的帐户登录到你的 Psiphon 代理, 你最终会获得邀请他人的能力为了帮助防止屏蔽, 你会收集邀请许可将会比较缓慢, 任何时间你可以获得的邀请数目都有限显然, 如果你的代理是一个开放的节点, 你可以简单地发送代理网址给他人然而, 被屏蔽后, 如果你在你注册的电子邮箱收到后续的迁移消息, 你可能会发现, 你的帐户已被转移到一个私人的节点你不应该和他人共享私人节点的网址, 除了通过 Psiphon 内置的邀请机制一旦你收集到一个或多个邀请, 你会在 Bluebar 上看到一个链接, 显示邀请 ( 余下 1 个 ), 如下图所示邀请其他人使用您的 Psiphon 代理有两种方式 : 发送邀请的方法自动发送邀请链接到一个或多个收件人邀请消息将来自 Psiphon, 而不是从你自己的帐户创建邀请方法生成一个或多个邀请链接, 你可通过其他渠道分发如果你点击 Bluebar 链接, 你将被带到发送邀请页面上为了创造一个不需要用电子邮件发送的邀请链接, 你必须首先单击简档 ( profile ) 链接, 然后再创建邀请 44

45 你将会看到一个提示告诉你一条或更多的信息已经进入排序阶段, 这意味着在未来的几分钟内 Psiphon 会将你的邀请通过电子邮件发送给你请记住, 你应该只邀请你信任的人使用私人节点创建邀请单击简档 ( profile ) 页面的创建邀请 ( "Create invitations") 选择创建的邀请链接的数量, 然后点击邀请 ( "Invite") 您可以分发这些邀请链接, 通过你可以使用的任何渠道, 但是 : 每个邀请只可以使用一次不公开显示私人节点的链接, 以避免暴露代理网址你应该只邀请你认识的人使用私人节点报告不能访问的网站使用 Psiphon 可能不能正常显示某些依赖嵌入的脚本和复杂的网络技术如 Flash 和 AJAX 的网站为了提高 Psiphon 与此类网站的兼容性, 我们的开发人员需要知道哪些网站不能正常浏览如果您发现了此类网站, 可以通过点击 Bluebar 上的不能访问的页面 (Broken Page) 链接, 将它们报告给我们如果你在描述 (Description) 一栏中提供对问题的简单的解释, 它可以让开发人员更容易地锁定并解决问题当完成后, 点击提交 (Submit), 您的反馈就会发送给开发人员 45

46 46

47 11. SABZPROXY SabzProxy( 波斯语的意思是绿色代理 ) 是一个免费的分布式网页代理, 是由 Sabznameh.com 团队提出来的它是基于 PHProxy 遗留代码 ( 自 2007 年以来就没有维护 ) 如需了解网页代理的概念的其他详细信息, 请参阅前面的章节和 PHProxy 相比,SabzProxy 主要的改进是它的网址编码这使得 SabzProxy 更难以被检测 (PHProxy 有一个预知足迹, 这意味着现在它在一些国家被过滤, 包括伊朗在内 ) 只有深度包检测可检测并阻止 SabzProxy 服务器 SabzProxy 的语言是波斯语, 但在任何语言环境都能实现全部功能不同国家的许多人都使用它来建立自己的公共网页代理一般信息 Supported operating system Localization Web site Support Persian [email protected] 我如何访问 SABZPROXY SabzProxy 是一个分布式的网页代理这意味着, 既没有中心的 SabzProxy 代理, 也没有一个商业实体, 来创造和传播它相反, 它依赖于它的社区和用户创建自己的代理, 并与他们的网络分享这些你可以通过各种论坛或网络访问它, 当你有机会访问时, 欢迎你与你的朋友分享 Sesawe 绕行支持论坛运营一个专用的代理, 在您可以用用户名 flossmanuals, 密码 flossmanuals 登录 ) 如果你拥有一个网络主机空间, 并有兴趣创建和与你的朋友和家人分享您的 SabzProxy 代理, 请参阅本书的帮助他人部分安装 SabzProxy 这一章它是如何工作的? 下面是一个例子, 说明如何 SabzProxy 是如何工作的 1. 在你正在使用的浏览器中输入 SabzProxy 代理的地址 2. SabzProxy 页面上的网页地址框中, 输入你想要访问的被审查的网站地址例如, 你可以保留默认的选项单击 Go 或 Enter 47

48 网站在浏览器的窗口显示你可以看到 SabzProxy 绿色的地址栏在浏览器窗口里, 和地址栏下方的 BBC 波斯语网站继续浏览, 你或者 : 点击当前页面的任何链接网页代理将自动检索被链接的网页在页面顶部的地址框中输入新的网址 48

49 高级选项通常你可以使用默认选项浏览网页但您也可以设置以下几个高级选项 : فرم آدرس URL/ 在每个页面中都采用迷你如果您想在任何一个通过代理打开的页面上保留一个地址栏, 以便输入新的网址而不用再返回到 Sabzproxy 的主页输入, 你可以使用这个选项如果您的屏幕比较小, 最好把这个选项关闭, 以便有更多的空间显示页面 حذف اسكريپت ها JavaScript)/ 禁用客户端脚本 ( 如如果你想从网页删除动态技术脚本, 你可以使用这个选项有时,JavaScript 可以造成不必要的问题, 因为它也可以用来显示在线广告, 甚至跟踪你的身份浏览复杂的网站 ( 如网络邮件服务, 或社交网络平台 ) 的移动 / 轻的版本也是一种使用 SabzProxy 时避免 JavaScript 问题的替代方法 قبول کردن کوکی ها cookie/ 允许保存 cookie 是由你的浏览器自动保存的小型文本文件在一些需要认证的网站上它是必需的, 但也可能用来跟踪你的身份打开这个选项之后, 每个 cookie 都会被保存较长一段时间如果您想在进程结束后就删除它们, 就关闭这个选项并选择仅在该线程运行时保存 cookie ( 详见下文 ) نمایش عکسها / 片显示页面图如果您的网速较慢, 可以关闭这个选项, 这样页面将更轻, 从而加快页面加载速度 نمايش مسيرها / 源显示实际引用来浏览器会默认发送你链入的链接浏览器会自动在日志中记录结果页面的链接并加以分析为了达到更好的匿名性, 你可以关闭这个选项 حذف تگ هاي متا tags)/ 去除页面中的元信息标签 (meta information 许多网站上保存的元信息标签可以被计算机程序自动取用这些信息可能包括作者姓名网站内容描述或者搜索引擎关键词过滤技术可以在这些标签上运行你可以打开这个选项来防止关键字过滤发现这些元信息 حذف عنوان صفحات / 题去除页面标如果打开这个选项,Sabzproxy 会删除显示在浏览器顶部标题栏上的页面标题这个技巧很有用, 比如隐藏你正在访问的页面名称, 当你最小化浏览器窗口时, 你不想周围的人看到它 كوكي ها موقت cookie/ 仅在该线程运行时保存该选项与允许保存 cookie 类似打开该选项后, 一旦你通过退出浏览器关闭 Sabzproxy 进程, 则保存在电脑中的 cookie 也会被删除 49

50 FIREFOX AND ITS ADD-ONS 12. 介绍火狐 (FIREFOX) 13. NOSCRIPT 和 ADBLOCK 14. HTTPS ( 超文本传输安全协议 ) EVERYWHERE 15. 代理设置和 FOXYPROXY 50

51 12. 介绍火狐 ( FIREFOX) 我们猜想除非你已经知道网络浏览器是什么, 否则你不会阅读这一章然而, 如果你不知道, 浏览器是你用来在网上访问和浏览网站的软件在之前的一章里, 我们解释了互联网是一个庞大的计算机网络, 都相互连接一部分计算机是网络服务器网站在其上的计算机如果你想使用电脑或移动设备访问这些网站, 你需要一种冲浪和显示它们的方法这就是浏览器的用途 Firefox 是最流行的浏览器之一, 是一款由 Mozilla 基金会 2003 年研发的免费开源的网页浏览器 Firefox 可运行于所有的主要操作系统 (Windows, MacOS 和 Linux) 它至少被翻译成 75 种语言最重要的是, 它完全免费从那里得到 FIREFOX 如果你想安装 Firefox, 你可以在这找到安装文件 : 当你访问这个网站, 将会自动出现适合你操作系统 (Windows/Mac/Linux) 的安装文件欲知更多关于在这些操作系统安装 Firefox 方法的信息, 请阅读 FLOSS Manuals Firefox 指南 : 什么是 FIREFOX 附加组件 (ADD-ON)? 首次下载和安装 Firefox 时, 它能直接处理基本的浏览器任务通过安装附加组件 (addons), 能增强 Firefox 能力的小附件, 你也可以增加额外的性能或者改变 Firefox 的活动这里有几种附加组件 (add-ons): 给浏览器提供额外功能的扩展改变 Firefox 外观的主题帮助 Firefox 处理其通常不能处理的事情 ( 如闪客电影, Java 应用程序等等 ) 的插件可用的附加组件 (add-ons) 的种类巨多你可以安装不同语言的字典, 跟踪其他国家的天气情况, 获得类似你正在浏览的网站的建议, 等等 Firefox 在其网站 ( 上有现有的附加组件 (add-ons) 的清单, 或者你可以在上按种类浏览它们在安装任何附加组件 (add-on) 前, 切记它能从你的浏览器读取大量的信息, 所以从可靠的来源选择附加组件 (add-ons) 非常重要要不然, 你安装的附加组件 (add-on) 可能偷偷分享你的信息, 记录你访问过你网站, 甚至伤害你的计算机我们推荐你决不为 Firefox 安装附加组件 (add-on), 除非它可以从 Firefox 的附加组件 (addon) 页面获得你也不应该安装 Firefox, 除非你能从可靠的来源获得安装文件请注意在他人的电脑或在网吧使用 Firefox 增加了潜在的脆弱性, 这一点很重要接下来的三章, 我们将了解与用来对付网络审查尤为相关的附加组件 (add-ons) 51

52 13. NOSCRIPT 和 ADBLOCK 虽然没有任何工具可以完全保护你, 防范所有对你的网络隐私和安全的威胁, 这章所介绍的 Firefox 扩展能够显著减少你遇到你最常见的威胁, 增加你保持匿名的可能性 ADBLOCK PLUS Adblock Plus( 扫描网页, 发现广告和其他试图跟踪你的内容, 然后阻挡它们 Adblock Plus 依赖志愿者维护的黑名单, 以保持与最新的威胁同步开始使用 AdBlock Plus 有了安装好的 Firefox 后 : 1. 从 release, 下载 AdBlock Plus 的最新版本, 或用附加组件管理器 (Add-ons Manager)("Firefox" > "Add-ons"). 搜索这个插件 2. 点击现在安装 ( "Install Now"), 确认你需要 AdBlock Plus 3. AdBlock Plus 安装好后,Firefox 要求重新启动选择过滤规则 Adblock Plus 自身不能做什么它可以看到网站企图加载的每一个成分, 但是它不知道该过滤哪些这正是 Adblock 过滤规则所要解决的重启 Firefox 后, 你将被要求选择一个过滤规则订阅 ( 免费 ) 52

你应该选择哪一个过滤规则订阅呢?Adblock Plus 在下拉菜单提供了一些, 你也许希望了解每一个的优点 EasyList 就是一个好的保护隐私的过滤规则 ( 它也在 http://easylist.adblockplus.

53 你应该选择哪一个过滤规则订阅呢?Adblock Plus 在下拉菜单提供了一些, 你也许希望了解每一个的优点 EasyList 就是一个好的保护隐私的过滤规则 ( 它也在上面 ) 尽管看起来很诱人, 但不要把你能得到的过滤规则订阅都添加上因为有些可能重叠, 从而导致意想不到的结果 EasyList( 主要针对英文网站 ) 能与其他 EasyList 扩展一起工作 ( 如 RuAdList 等特定区域列表,EasyPrivacy 等主题列表 ) 但是它与 Fanboy 的列表 ( 另一个主要针对英文网站的列表 ) 相冲突你可以在首选项 (preferences) 里随时更改你的过滤订阅 ( 按 Ctrl+Shift+E) 更改后, 点击 OK 创建个性化的过滤规则如果你有兴趣的话,AdBlock Plus 允许你创建自己的过滤规则添加过滤从 Adblock Plus 首选项 (preferences) 开始 ( 按 Ctrl+Shift+E), 点击窗口左下角的添加过滤规则 ("Add Filter") 个性化的过滤规则不能取代维护好的黑名单如 EasyList, 但它们对阻挡公共列表上没有的特定内容非常有用例如, 如果你想阻止来自其他网站和 Facebook 进行互动, 你应该添加下列的过滤规则 : facebook.*$domain=~facebook.com ~ 第一部分 ( FACEBOOK.*) 首先屏蔽一切来自 Facebook 的域名的访问第二部分 ($ 域 = facebook.com ) 是一个例外, 那就是告诉过滤规则为了使 Facebook 的某些功能保持运转, 只有当你在 Facebook 上或从 ( 您自己的电脑 ) 访问时允许 Facebook 的请求关于如何创建自己的 Adblock Plus 过滤规则的指南, 可以在上找到为特定元素或网站启用和禁用 AdBlock Plus 你可以点击你浏览器上的 ABP 工具栏图标 ( 通常挨着搜索栏 ), 选择 " 打开可过滤项目 "("Open blockable items"), 或按 Ctrl+Shift+V, 看到 AdBlock Plus 识别的各种元素你浏览器底部的窗口可以让你逐一启用和禁用每一个元素或者, 你可以点击 ABP 工具栏图标, 勾选对域名禁用 ("Disable on [domain name]") 或只对这个网页禁用 ("Disable on this page only"), 在某个特定域名或网页禁用 Adblock Plus NOSCRIPT NoScript 全面禁止所有的 JavaScript Java 插件和其他网站载入在你电脑上运行的可执行内容, 进一步保护浏览器的安全告诉 NoScript 忽略一些特定的网站, 你需要把它们加入白名单这听起来可能乏味, 但在 NoScript 保护网民免受跨站脚本 ( 攻击者将恶意代码从一个网站植入另一网站 ) 和点击劫持 ( 点击一个页面的无害目标时暴露保密信息, 或者允许攻击者控制你的电脑 ) 之类的威胁方面做得很好访问或得到 NoScript. NoScript 保护你的方法也可能改变好的网页的外观和功能幸运的是, 你可以手动调整 NoScript 对每个网页和网站的处理方式, 由你来找到方便和安全之间合理的平衡点开始使用 NoScript 53

1. 访问 NoScript 的下载部分 : http://noscript.net/getit. 点击绿色的安装 ("INST ALL" ) 按钮 2. 点击现在安装, 确认你需要 NoScript 3.

脚本即使有些脚本由你白名单上的网页导入, 代码将不会被运行 ( 托管文件不会被启用 ) 严重受限 : 主要站点仍然被禁止, 但有些部分 ( 如框架 ) 被允许这种情况下, 部分代码可以运行, 因为主要脚本有被禁止, 这个页面不可能正常

54 1. 访问 NoScript 的下载部分 : 点击绿色的安装 ("INST ALL" ) 按钮 2. 点击现在安装, 确认你需要 NoScript 3. 要求重启时重启 Firefox NoScript 通知和添加网站到白名单重启后,NoScript 的图标将会出现在你浏览器的右下角, 就是状态栏所在的位置, 显示当前的网站在你的电脑上执行内容的权限完全保护 : 禁止当前网站和其 subframe 的脚本即使有些脚本由你白名单上的网页导入, 代码将不会被运行 ( 托管文件不会被启用 ) 严重受限 : 主要站点仍然被禁止, 但有些部分 ( 如框架 ) 被允许这种情况下, 部分代码可以运行, 因为主要脚本有被禁止, 这个页面不可能正常运转有限允许 : 允许主要文件的脚本, 但其他活性元素或网页导入的脚本不会被允许一个页面上有多种框架或者链接存储在其他平台的代码的脚本成分时发生最受信任 : 允许网页上的所有脚本, 但是部分嵌入内容被禁止 ( 如框架 ) 选择性保护 : 允许部分网址上的脚本, 其他的标记为不信任允许当前网站上的所有脚本全局允许脚本,, 但标记为不信任的内容将不会被载入添加一个你信任的站点到白名单, 点击 NoScript 按钮选择 : 允许域名 ("Allow [domain name]") 允许一个特定域名上的所有脚本, 或者允许本页面所有对象 ("Allow all this page") 完全允许脚本运行, 包括来自其他地方, 但从主要网站载入的第三方脚本 ( 你也可以使用临时允许 ( "T emporarily allow") 选项只允许当前会话的内容载入对只想就一次访问该网站以及想让白名单在可控水平上的人有用 ) 54

记它为不可信任的 : 点击 NoScript 图标, 打开不信任的 ( "Untrusted") 彩电, 选择标记域名为

55 或者, 你可以点击 NoScript 按钮, 直接添加域名到白名单, 选择选项 (Options), 然后点击白名单 (Whitelist) 选项卡标记内容为不可信的如果你想永久地禁止脚本加载某一网站, 你可以标记它为不可信任的 : 点击 NoScript 图标, 打开不信任的 ( "Untrusted") 彩电, 选择标记域名为不可信的 NoScript 会记住你的选择, 即使启用全局允许脚本 ("Allow Scripts Globally") 55

14. HTTPS ( 超文本传输安全协议超文本传输安全协议 ) EVERYWHERE HTTPS Everywhere 是 Tor 项目 (https://www.torproject.org) 和 EFF(Electronic Frontier Foundation)(https://eff.

56 14. HTTPS ( 超文本传输安全协议超文本传输安全协议 ) EVERYWHERE HTTPS Everywhere 是 Tor 项目 ( 和 EFF(Electronic Frontier Foundation)( 合作开发的 Firefox 附加组件 (add-on) 它加密你与若干重要网站之间的通讯, 包括 Google,Wikipedia, 和流行社交网络平台如 Facebook 和 Twitter 很多网站有限的支持通过 HTTPS 加密, 但使用不方便例如, 默认用未加密的 HTTP, 即便可以使用 HTTPS 或者在加密网页中嵌入大量非加密链接这样, 这些网站发送和收到的数据 ( 如用户名和密码 ) 以纯文本的方式传送, 容易被第三方看到 HTTPS Everywhere 通过重新要求这些网站使用 HTTPS, 来修复这些问题 ( 尽管这个扩展叫做 "HTTPS Everywhere", 它只能激活个别网站使用 HTTPS, 只能使那些以选择支持它的网站使用 HTTPS 如果这个网站没有提供 HTTPS, 它并不能使你安全的连接上这个网站 ) 请注意有些网站包括来自不支持 HTTPS 的其他网站上的图片或者图标等大量内容一如既往, 如果浏览器的锁定图标是损坏的或带有一个感叹号, 你可能仍然容易受到一些敌人主动攻击或流量分析但是, 监控你浏览情况所需要投入的努力仍有效增加有些网站 ( 如 Gmail) 自动提供 HTTPS 支持, 但是用 HTTPS Everywhere 仍将保护你免受 SSL-stripping 攻击, 如果最初你试图访问 HTTP 版本, 攻击者从你的电脑隐藏这个网站的 HTTPS 版本更多详情请访问 : 安装首先, 在官方网站下载 HT T PS Everythere: 选择最新版本 (newest release) 在下面这个例子中, 我们使用了 HT T PS Everywhere 的版本 ( 一个更新的版本可能已经发布 ) 点击允许 ( "Allow") 然后你需要点击现在重启 ( "Restart Now") 按钮重启 Firefox 现在 HTTPS Everywhere 已被安装好 56

57 配置点击屏幕的左上方的 FIREFOX 菜单, 然后选择附加组件管理器 (ADD-ONS MANAGER), 在 FIREFOX 4 (LINUX) 里进入 HTTPS EVERYWHERE 的设置面板 (SETTINGS PANEL) ( 注意不同版本的 FIREFOX 和不同的操作系统, 附加组件管理器 (ADD-ONS MANAGER) 可能在界面的不同位置 ) 点击选项 (Options) 按钮 57

58 HTTPS 重定向规则应适用的所有支持的 Web 站点的列表将显示出来如果你有一个特定的重定向规则问题, 你可以在这取消它在这种情况下,HTTPS Everywhere 不再修改你与那些特定的站点的连接使用启用和配置好后,HTTPS Everywhere 使用非常简单和易懂输入一个不安全的 HTTP 网址 ( 如 : 按回车 (Enter) 你将被自动重定向到安全的 HTTPS 加密网站 ( 如 : 不需要要做别的什么 58

59 如果网络屏蔽 HTTPS 你的网络运营商为增强其侦察你活动的能力, 它可能屏蔽网站的安全版本在这种情况下,HTTPS Everywhere 可能阻止你使用这些网站, 因为它强制你的浏览器只使用这些网站的安全版本, 决不用不安全的版本 ( 例如, 我们听说一个机场的 Wi-Fi 网络允许所有的 HTTP 连接, 不允许 HTTPS 连接可能 Wi-Fi 的经营商对用户的行为感兴趣, 在那个机场, 用户使用 HTTPS Everywhere 不能使用某些网站, 除非它们临时禁用 HTTPS Everywhere ) 在这种情况下, 为了绕开网络对网站安全连接的过滤, 你可以选择结合绕行技术如 Tor 或 VPN 使用 HTTPS Everywhere 在 HTTPS Everywhere 新增对其他网站的支持你可以在 HTTPS Everywhere 附加组件 (add-on) 为自己喜欢的网站增加自己的规则你可以在这找到方法 : 增加规则的好处是它们能告诉 HTTPS Everywhere 如何确保你访问这些网站是安全的但请记住 : 除非网站的经营者已经选择让它们的网站使用 HTTPS,HTTPS Everywhere 不能让你安全访问网站如果网站不支持 HTTPS, 为它添加规则没有益处如果你管理一个网站, 并且网站的 HTTPS 版本已可使用, 将你的网站提交到 HTTPS Everywhere 官方发布版本是好的举措 59

60 15. 代理设置和 FOXYPROXY 代理服务器可以让你访问一个网站或其他互联网资源, 即便当直接访问已被你的国家或你的互联网服务提供商过滤有许多不同种类的代理, 包括 : 网页代理, 这只需要你知道代理网站的地址一个网页代理的网址可能看起来像 HTTP 代理, 需要你或者软件修改你的浏览器设置 HTTP 代理只可以使用网页内容你可以得到一个 HTTP 代理的信息, 这样的格式 : proxy.example.com:3128 或 :8080 SOKS 代理, 需要你或软件修改你的浏览器设置 SOKS 代理可以使用许多不同的网络应用程序, 包括电子邮件和即时通信工具 SOCKS 代理信息看起来就像是 HTTP 代理信息你使用网页代理无需任何配置, 直接输入网址然而,HTTP 和 SOCKS 代理, 需要在浏览器上配置默认火狐代理配置在 Firefox4(Linux) 上, 你点击你屏幕左上方的 Firefox 菜单, 进入配置界面, 然后选择选项 (Options) 在弹出窗口中, 选择标有高级 (Advanced) 的图标, 然后选择网络 ( Network) 选项卡你应该看到这个窗口 : 选择设置 ( Settings), 单击手动配置代理, 并输入你要使用的代理服务器信息请记住,HTTP 代理和 SOCKS 代理的工作方式不同, 必须在相应的字段输入如果有一个冒号 (:), 在您的代理信息, 是代理地址和端口号之间的分隔符你的屏幕上看起来应该像这样 : 60

61 单击 OK 后, 你的配置将被保存, 你的浏览器未来的所有连接将自动通过代理连接如果你得到一个错误信息, 如代理服务器拒绝连接或无法找到该代理服务器, 这个问题与你的代理配置有关在这种情况下, 重复上述步骤, 并在最后一个屏幕选择无代理停用代理 FoxyProxy FoxyProxy 是一个免费 Firefox 浏览器附加组件, 这使得它易于管理许多不同的代理服务器, 并互相切换有关 FoxyProxy 的详细信息, 请访问安装在 Firefox4(Linux) 里, 在屏幕上的左上角点击 Firefox 菜单, 然后选择附加组件在弹出窗口中, 在右上角的搜索框输入你想安装的附件组件的名称 ( 在这种情况下是 FoxyProxy ), 并单击 Enter 在搜索结果中, 你会看到两个不同版本的 FoxyProxy: 标准和基本全面的比较两个免费版本, 请访问但基本版已经能满足基本的绕行需要决定你想要哪个版本后, 单击安装安装后,Firefox 应该已重新启动, 打开 FoxyProxy 的帮助网站你应该看到在右下角看到 FoxyProxy 图标 61

62 配置为使 FoxyProxy 完成其工作, 它需要知道使用什么代理设置点击 Firefox 窗口的右下角图标, 打开配置窗口配置窗口看起来像这样 : 点击添加新代理在下面的窗口, 以 Firefox 的默认代理配置相类似的方式输入代理细节 : 选择手动配置代理, 在相应的输入框输入主机或 IP 地址和你的代理的端口如果适用的话, 检查 SOCKS 代理?, 然后单击 OK 重复上述步骤, 你可以添加更多的代理使用右击 Firefox 窗口的右下角的狐狸图标, 可以切换你的代理 ( 或选择不使用代理 ): 要选择一个代理服务器, 只需左击你要使用的代理 62

63 TOOLS 16. 简介 17. 自由门 (FREEGATE) 18. SIMURGH 19. 无界浏览 20. VPN 服务 21. 在 UBUNTU 上使用 VPN 22. 热点保护盾 23. ALKASIR 24. TOR: 洋葱路由器 25. JONDO 26. YOUR-FREEDOM 63

64 16. 简介绕行互联网审查的基本思路是通过未被封锁和经非过滤连接连接到互联网的第三方服务器路由请求本章介绍了一些使用这种服务器的工具以阻止互联网封锁过滤和监控选择哪种能最好实现你的目标的工具应根据你要访问内容类型的初步评估你可用的资源和这样做的风险为了应对不同的障碍和威胁, 人们开发了用来阻止互联网封锁过滤和监控的工具他们有助于 : 绕开审查 : 使你能阅读或创作内容收发消息, 以及通过绕开阻止你这么做的努力与特定的用户网站或服务进行交流比如通过 Google 缓存或 RSS 阅读器间接访问一个被封网站阻止窃听 : 保持交流的私密性, 从而没人可以看到或听到你的沟通内容 ( 但是, 他们可能知道你在和谁交流 ) 有的工具能够绕开审查, 但无法阻止窃听, 仍有可能受到关键词过滤, 其封锁所有含有特定被禁止词语的交流比如, 各种形式的加密技术, 如 HT T PS 或 SSH, 只允许发件人和收件人读取信息窃听者能看到哪个用户正和哪个网络服务器连接, 但从内容上其只能看到一个看起来无关紧要的字符串保持匿名 : 没人能通过信息或者跟你交流的人识别你的交流能力 - 无论是你连接网络的运营商还是网站以及跟你交流的人都无法认出你是谁许多代理服务器和代理工具都不提供完美的或任何匿名服务 : 代理运营商能够观察进出代理的流量以及其发送的频率 ; 连接任一端的恶意观察者能够收集到相同的信息像 T or 一样的工具被用于通过限制网络中任一节点可以包含的关于用户身份或位置信息的数量使攻击者很难收集到关于用户的这类信息隐藏用户活动 : 掩饰你发出的交流信息, 让间谍无法知道你在绕开审查制度比如, 信息隐藏技术 (steganography) 可以把文本消息隐藏在一个普通图片文件里, 根本看不出你在使用绕行工具使用有各种不同用户的网络意味着对手因为你选择的软件而无法知道你正在做什么当其他人使用相同的系统访问有争议的内容时, 这样做特别好有的工具只能通过一种方式保护你的交流信息比如, 很多代理可以绕开审查, 但无法阻止窃听你可能需要多种工具来绕过审查, 明白这一点很重要在不同情况下每种保护措施都和不同的人群有关当你选择工具绕过网络审查时, 你应该记住自己需要哪种保护, 以及你所采用的工具能否提供这种保护比如, 如果有人发现你试图绕过审查系统会怎么样? 你这样做时是否要访问你的主要内容或者你是否需要继续匿名有时, 一个工具可以同时做到绕开审查和匿名保护, 但是所涉及的步骤各不相同比如,T or 软件通常可以用来达到这两个目的, 但是 T or 用户关心的侧重点不同, 使用 T or 的方法也不同出于匿名的目的, 使用捆绑了 T or 的网络浏览器很重要, 因为它已被修改为阻止泄露你的真实身份重要警告经过足够努力, 网络运营商和政府机构可以发现大多数绕行工具, 因为这些工具产生的流量具有特定性这一点对于不使用加密技术的绕行方法来说肯定适用, 但是也可能适用于采用加密技术的方法如果你通过技术绕开过滤, 很难不被发现, 尤其是如果你使用非常流行的技术, 或者长期使用同一种服务或方法此外, 也有一些方法不需要技术就可以发现你的活动 : 亲自观察监测以及很多其他传统的手工信息收集方法我们无法就威胁分析及处理威胁的工具提供具体建议情况和国家不同, 风险也不一样, 而且风险也在不断变化你应该明白那些试图限制你的交流和活动的人会不断改进自己的手段如果你做的事情会让你在所在地区遇到风险, 你应该自己判断安全状况, 并且 ( 如果可能 ) 向专家咨询 : 64

65 大多数情况下, 你必须依靠陌生人提供的服务请注意, 他们可能对有关你从哪来你正访问的网站甚至是你在未加密网站输入的密码等信息有访问权限即使你认识且相信运行单跳代理或 VPN 的人, 他们也可能被入侵或被强迫提供你的信息请记住, 不同系统做出的匿名和安全承诺可能并不准确你需要独立证实开源工具可以由技术娴熟的朋友评估开源工具中的安全漏洞可以被志愿者发现并解决专有软件却很难做到一样实现匿名或安全可能要求你遵守纪律并认真遵守一定的安全程序和做法忽视安全程序可能极大地减少你获得的安全保护认为有你匿名或安全的一键解决办法是很危险的例如, 通过代理或 T or 路由你的连接是不够的请务必使用加密, 维护你的计算机安全, 避免在你发布的内容中泄露你的身份请注意, 他人 ( 或政府 ) 可能会设置诱捕系统 (honeypots), 这些虚假网站会假装提供安全交流或审查绕行, 但实际上会从不知情用户身上收集信息有时, 甚至连像恶意软件般活动的 Policeware 也可能会被或远程或直接地安装到用户的计算机上, 其会监控计算机上的所有活动, 即使在计算机未连接到互联网时也一样, 而且其还会破坏大部分其他预防性安全措施请注意非技术威胁如果有人偷了你的或你的好友的计算机或者手机, 会有什么后果? 如果网吧工作人员偷看或将摄像头指向你的屏幕或键盘怎么办? 如果有人在你朋友忘记登出帐户的网吧计算机旁坐下并假装成她给你发送信息, 会有什么后果? 如果你社交网络中有人被捕或被迫交出密码怎么办? 如果法律和法规限制或禁止你正在访问的内容或者你正在从事的活动, 一定要小心可能发生的后果若想了解更多数字安全和隐私知识, 请阅读 :

17. 自由门 ( FREEGATE) 自由门是为 Windows 用户使用的代理工具, 最初由 DIT - INC 开发, 可以绕过中国和伊朗的网络审查一般信息 Supported operating system Localization Web site Support English, Chinese, Persian,

66 17. 自由门 ( FREEGATE) 自由门是为 Windows 用户使用的代理工具, 最初由 DIT - INC 开发, 可以绕过中国和伊朗的网络审查一般信息 Supported operating system Localization Web site Support English, Chinese, Persian, Spanish Forum: 如何获得自由门您可以在 ools/misc-networking- T ools/freegate.shtml 上免费下载这个软件你会得到一个后缀名.zip 的文件, 你必须先解压右击下载的文件, 并选择全部解压, 然后点击加压按钮生成的文件大约 1.5 MB 可执行文件的名称可能看起来像一系列字母和数字 ( 如 fg707p.exe ) 安装当你第一次运行这个应用程序, 你可能会看到一个安全警告您可以接受此安全警告, 通过取消选中复选框打开此文件前总是询问, 单击运行运行自由门现在, 应用程序已启动, 并自动连接到服务器 66

安全通道已成功启动时, 你会看到自由门的状态窗口, 将自动打开一个新的 Internet Explorer, 加载网址为 http://dongtaiwang.com/loc/phome.php?v7.

67 安全通道已成功启动时, 你会看到自由门的状态窗口, 将自动打开一个新的 Internet Explorer, 加载网址为的页面, 这取决于你的版本和语言这是确认你正在的通过一个加密的通道正确地使用自由门如果一切顺利, 你就可以开始使用自动打开的 Internet Explorer 窗口正常地浏览, 绕过互联网审查如果你想使用自由门运行另一个应用程序 ( 如 Firefox 浏览器或 Pidgin 即时通信客户端 ), 你将不得不对它们进行配置它们使用自由门作为一个代理服务器 IP 是 , 端口是 8580 在自由门设置选项卡下, 你可以从英文繁体中文简体中文, 波斯文和西班牙文中选择界面语言在状态下, 你可以跟踪你通过自由门网络的上传 / 下载的流量服务器选项卡允许你从几个服务器中挑选, 其中有一个可能会快于当前连接 67

68 18. SIMURGH Simurgh( 波斯语中意指凤凰 ) 是一个轻量级的独立的代理软件和服务就是说不需要事先安装什么或者拥有对电脑的管理权限你可以复制它到你的 USB 闪盘在合用的电脑上使用 ( 如在网吧 ) 一般信息 Supported operating system Localization Web site Support English [email protected] 下载 SIMURGH 欲使用 Simurgh 的服务, 从免费下载工具可以在 Microsoft Windows 的所有版本上使用文件小于 1MB, 所以即便是在网速慢的情况下仍能在在合理的时间内下载完使用 Simurgh 点击已下载好的文件启动 Simurgh 使用 Microsoft Internet Explorer 下载的文件默认保存在你的桌面, 使用 Mozilla Firefox 下载的文件默认保存在我的文件的 "Downloads" 里注意 : 当你第一次使用 Simurgh, 你可能会遇到 Windows 安全警告, 询问你是否阻止 Simurgh 因为 Simurgh 需要联网, 为使它能使用, 选择解除组织或者允许访问 ( 取决于你 Microsoft Windows 的版本 ) 很重要你可能见到这个警告窗口 : 或这个 : 68

Explorer 浏览器将会打开一个测试页面的新窗口如果你看到你的连接来自其他国家, 如美

69 成功启动 Simurgh 后, 点击开始 (Start) 建立安全连接当开始 (Start) 按钮变成结束 (Stop) 按钮后,Simurgh 已成功连接上其服务器确保你已连接上 Simurgh 的服务器现在你 Internet Explorer 浏览器将会打开一个测试页面的新窗口如果你看到你的连接来自其他国家, 如美国, 这证实 Simurgh 已成功改变你浏览器的设置, 你自动地正在安全的 Simurgh 连接上冲浪 69

你也能使用 http://www.geoiptool.com 这个网站来检查你的连接来自何处.

70 你也能使用这个网站来检查你的连接来自何处. 如果网站显示你的位置非常遥远 ( 在其他国家, 如美国 ), 你正在使用 you 安全的 Simurgh 连接在 MOZILLA FIREFOX ( 火狐 ) 使用 SIMURGH 为使用其他的浏览器如 Mozilla Firefox, 你需要配置它, 使用 HT T P 代理 localhost, 端口为在 Firefox 中, 你可以找到代理设置通过工具 (T ools )> 选项 (Options) > 网络 (Network) > 设置 (Settings) 如下面的截图所示在连接设置 ( "Connection settings" ) 窗口选择手工代理配置 "Manual proxy configuration", 输入 "localhost" ( 没有引号 ) 作为 HT T P 代理, 端口为 2048 点击 OK, 接受新的设置 70

19. 无界浏览无界浏览是极景网络公司开发的一款代理工具, 旨在帮助中国网民绕过他们的审查它可以为其他国家的用户工作一般信息 Supported operating system Localization Web site Support English http://www.

71 19. 无界浏览无界浏览是极景网络公司开发的一款代理工具, 旨在帮助中国网民绕过他们的审查它可以为其他国家的用户工作一般信息 Supported operating system Localization Web site Support English FAQ: 怎样得到无界浏览你可以从或者 ( 后面的网页是中文的, 但是仍然容易下载, 下载是英文的 ) 安装和使用无界浏览一旦你已经下载好命名类似 u1006.zip ( 根据版本号 ) 的文件, 通过右键点击该文件, 并选择全部解压, 将它解压双击新的 u1006 图标来启动该应用程序无界浏览将自动打开 Internet Explorer 并显示无界浏览的搜索页面你现在就可以使用无界打开的 Internet Explorer 开始浏览 71

72 如果你想用无界浏览使用另一个应用程序 ( 例如 Firefox 浏览器或 Pidgin 即时通信客户端 ), 你需要对它们进行配置, 使用无界浏览的客服端作为代理服务器 :IP 是 ( 你的电脑, 也被称为 localhost ), 端口是 9666 您可以通过点击无界浏览主窗口中的帮助, 打开无界浏览用户指南中文无界浏览信息 (wujie): 中文用户指南 : 72

73 20. VPN 服务 VPN( 虚拟专用网络 ) 加密你与其他计算机之间的所有互联网连接并为其建立隧道该计算机可能属于一个商业化虚拟专用网络服务你的机构或你信任的联系人由于虚拟专用网络服务为所有的互联网连接建隧道, 故其可被用于电子邮件即时消息语音 IP 电话 (VoIP) 及其他任何添加到网络浏览器的互联网服务, 从而使沿途的任何人都不能阅读通过该隧道环游的一切如果该隧道终止于互联网被限制的区域之外, 那么其可以一种有效的绕行方法, 因为过滤主体 / 服务器只能看到加密的数据却没有办法知道哪些数据正穿过隧道其还有一个附加效果就是使你所有不同种类的连接对窃听者来说看起来都差不多由于许多跨国公司使用 VPN 技术允许其需要访问敏感财务或其他信息的雇员通过互联网从家里或其他远程地点访问公司的计算机系统,VPN 技术比起只用于绕行目的的技术来更不大可能被封锁重要的是, 要注意数据只加密到隧道的尽头, 然后未加密传输到其最终目的地例如, 如果你设置一条隧道到一个商业化虚拟专用网络提供商, 然后请求网页通过该隧道, 数据从你的计算机到另一端虚拟专用网络提供商的计算机将被加密, 但从该处起, 它将未加密到 BBC 运行的服务器, 就像正常互联网连接一样这意味着, 理论上, 该虚拟专用网络提供商 BBC 和任何控制这两个服务器之间系统的人都可以看到你发送或请求了什么数据使用虚拟专用网络服务虚拟专用网络服务不一定要求客户端软件的安装 ( 许多依赖于 Windows, Mac OS 或 GNU/Linux 中已有的虚拟专用网络支持, 因此不需要额外的客户端软件 ) 使用虚拟专用网络服务要求你相信该服务的所有者, 其提供了一种简单便利的绕开互联网过滤的方法, 它可以是免费的或收取一般在 5 到 10 美元之间的月租费, 具体数额取决于该服务免费服务往往或者是靠广告支持, 或者是限制带宽和 / 或在特定时期内允许的最大流量流行的免费虚拟专用网络服务有 : 热点保护盾, 根据一份 2010 年来自伯克曼中心的报告, 热点保护盾很大程度上是最流行性的虚拟专用网络服务如需关于如何获取和使用热点保护盾的更多详细信息, 请查阅本手册的热点保护盾章 73

74 UltraVPN, FreeVPN, CyberGhost, Air VPN, Air VPN 通过请求为活动家提供不限制带宽或流量且没有广告的免费帐户 Vpnod, VpnSteel, Loki Network Project, ItsHidden, 付费虚拟专用网络服务的例子包括 Anonymizer GhostSurf XeroBank HotSpotVPN WiT opia VPN Swiss Steganos Hamachi LogMeIn Relakks Skydur ipig ivpn.net FindNot Dold UnblockVPN 和 SecureIX 你可以在找到一份免费和付费虚拟专用网络提供商的列表, 上有他们的月租费和技术功能虚拟专用网络标准和加密对于虚拟专用网络的设置, 有许多不同的标准, 其中包括网络协议安全 (IPSec), 安全套接协议层 / 传输层安全 (SSL/T LS) 以及传输层安全 (PPT P), 这些标准在复杂程度, 提供的安全等级, 以及适用的操作系统方面有所不同而且不同功能的软件对这些标准的实现也有许多不同方式我们知道与网络协议安全和安全套接协议层 / 传输层安全相比, 传输层安全的保密性相对要弱一些, 它也许可以绕过互联网封锁, 而且微软 Windows 操作系统的多数版本都内置有传输层安全客户端软件基于安全套接协议层 / 传输层安全的虚拟专用网络系统设置上相对简单, 而且也提供了可靠的安全等级网络协议安全 (IPSec) 是在网络层运行的, 在互联网的架构里面, 它负责数据包的传输, 而其他协议都是运行在应用层的这使得网络协议安全标准更具灵活性, 因为它可以用来保护所有更高层的协议, 但也难以设置设置你自己的虚拟专用网络服务作为商业化付费虚拟专用网络服务的替代品, 用户如果在那些网络不受限的国家有联系人, 其可以让这些联系人下载并安装用于架设私人虚拟专用网络服务的软件这需要有用户比较好的技术知识, 但是这种虚拟专用网络将会是免费这类私人架设的虚拟专用网络跟那些商业化的虚拟专用网络相比被封锁的可能性更小其中一个常用来架设此类私人虚拟专用网络的免费开源程序就是 OpenVPN( 该程序可以在 Linux,MacOS,Windows 以及其他许多操作系统中安装要了解如何设置一个 OpenVPN 系统, 请参阅本手册的使用 OpenVPN 章优点虚拟专用网络提供商加密你的数据传输, 因此它是绕开互联网审查的最安全方式之一一旦配置好, 使用起来很方便易懂虚拟专用网络最适合有技术能力也有需求的用户使用, 这些用户不仅仅要求为网络连接提供安全的绕行服务, 他们也希望能在自己的计算机上安装一些额外的软件, 然后通过自己的计算机访问互联网如果用户所处地区的互联网遭到审查, 而且用户在其他互联网未遭过滤的地区找不到值得信赖的人, 那么虚拟专用网络是一个不错的选择虚拟专用网络是一种常见的商务应用, 不太可能被封锁缺点和风险一些知名的商业化虚拟专用网络 ( 特别是那些免费的 ) 可能已经被过滤了在网吧和图书馆这类无法安装软件的公共上网场所, 用户通常无法使用这些服务虚拟专用网络的使用可能比其他绕行方法需要更高级别的专业技术知识网络运营商可以检测到虚拟专用网络正被使用, 而且也可以判断虚拟专用网络的提供商是谁但是, 除非虚拟专用网络设置不正确, 网络运营商是无法查看通过虚拟专用网络发送的通讯的 74

75 除非你为你的通讯使用一些额外的加密, 比如针对网络连接的 HT T PS, 虚拟专用网络运营商 ( 更像一个代理运营商 ) 可以看到你正在做什么 ; 没有额外的加密, 你必须相信虚拟专用网络或隧道运营商不会滥用这个权限 75

76 21. 在 UBUNTU 上使用 VPN 如果你使用 Ubuntu 作为你的操作系统, 你可以使用内置的 NetworkManager 和免费 OpenVPN 客户端连接 VPN OpenVPN 允许你使用多种验证方法连接 VPN 网络举个例子, 我们将知道怎样使用免费的 VPN 服务 AirVPN 连接 VPN 服务器不管你使用哪款 VPN 服务, 在 Ubuntu 上使用 OpenVPN 配置过程是一样的为 NetworkManager 安装 OpenVPN 网络实用工具 NetworkManager 可以让你你打开或者关闭 VPN 连接, 默认安装在 Ubuntu 内, 你可以在你屏幕的通知区域找到它, 挨着系统时钟下一步, 从 Ubuntu 软件中心 (Ubuntu Software Center) 找到可以与 NetworkManager 一起工作的 OpenVPN 扩展 76

在搜索框输入 "network-manager-openvpn-gnome"( 可以启动 OpenVPN 的 NetworkManager 扩展 ) 程序包包含了你需要成功建立 VPN 连接的所有文

77 1. 在屏幕左上方应用程序菜单 (Applications menu) 打开 Ubuntu 软件中心 (Ubuntu Software Center) 2. Ubuntu 软件中心 (Ubuntu Software Center) 可以让你搜索安装和卸载软件点击窗口右上方的搜索框 3. 在搜索框输入 "network-manager-openvpn-gnome"( 可以启动 OpenVPN 的 NetworkManager 扩展 ) 程序包包含了你需要成功建立 VPN 连接的所有文件, 包括 OpenVPN 客户端点击安装 (Install) 4. Ubuntu 可能提示你需要安装软件的额外权限如果这样的话, 输入你的密码点击验证 (Authenticate) 程序包安装好后, 你可以关闭 Ubuntu 软件中心 (Ubuntu Software Center) 77

78 5. 检查 OpenVPN 是否已正确安装, 点击 NetworkManager( 图标在系统时钟的左边 ), 选择 VPN 连接 (VPN Connections )> 设置 VPN (Configure VPN) 6. 在 VPN 选项卡上点击添加 (Add) 7. 如果你能看到 OpenVPN 选项, 这意味着你已成功在 Ubuntu 上安装 OpenVPN 客户端点击取消 (cancel), 关闭 NetworkManager 注册一个 AirVPN 帐号 ' AirVPN( 是一款免费服务, 但是你需要在它们网站上注册, 为你的 VPN 连接下载配置文件访问注册一个免费帐号确保你选择了一个强密码, 因为它将是你使用 VPN 的密码 ( 阅读本书威胁和威胁评估这一章获得强密码的贴士 ) 2. 在 AirVPN 的网站导航菜单, 选择 More > Access with... > Linux/Ubuntu

查页面底部的服务条款合同, 然后点击生成 (Generate) 3. 一个弹出窗口告诉你 air.

79 1. 点击 "Access without our client", 将会被要求输入你注册时使用的用户名和密码 2. 选择你想在 NetworkManager 设置的 VPN 模式 ( 那我们来说, 我们使用 "Free - TCP - 53") 其他选项为默认确保你已检查页面底部的服务条款合同, 然后点击生成 (Generate) 3. 一个弹出窗口告诉你 air.zip 文件已可以下载它包含配置文件和你连接 VPN 所需的证书, 点击 OK 在 NetworkManager 配置 AirVPN 现在你有配置文件和证书, 你可以配置 NetworkManager 连接 AirVPN 服务 79

80 80

81 1. 解压你下载的文件到你硬盘的一个文件夹 ( 如 "/home/[yourusername]/.vpn") 你现在应该有四个文件 "air.ovpn" 文件是你需要导入 NetworkManager 的配置文件 2. 打开 NetworkManager, 前往 VPN 连接 (VPN Connections )> 配置 VPN (Configure VPN), 导入配置文件 3. 在 VPN 选项卡, 点击导入 (Import) 4. 找到你刚解压的 air.ovpn, 点击打开 ( Open) 81

82 5. 一个新的窗口将被打开保持默认, 点击应用 (Apply) 6. 恭喜你! 你的 VPN 连接已可使用, 出现在 VPN 选项卡的连接列表中现在你可以关闭 NetworkManager 使用你新的 VPN 连接现在你配置 NetworkManager 使用 VPN 客户端连接 VPN 服务, 你可以使用新的 VPN 连接绕开网络审查按照下面的步骤开始 : 82

标移到图标上, 确认 VPN 连接已连上 3. 你也可以访问 http://www.ipchicken.com.

83 1. 在 NetworkManager 菜单, 从 VPN 连接中选择新的连接 2. 等待 VPN 连接建立当连接时, 一个小挂锁的图标将会紧挨在 NetworkManager 图标的右边, 显示你正在使用一个安全的连接把光标移到图标上, 确认 VPN 连接已连上 3. 你也可以访问检查连接的现状这个免费的 IP 查询工具确认你正在使用 airvpn.org 的一个服务器 4. 在 NetworkManager 菜单选择 VPN 连接 (VPN Connections )> 断开 VPN (Disconnect VPN), 断开你的 VPN 你现在又在使用你的正常连接 ( 被过滤 ) 83

84 84

85 22. 热点保护盾热点保护盾 (Hotspot Shield) 是一个免费 ( 但商业的 ) 适用于微软 Windows 和 Mac OS 的虚拟专用网络 (VPN) 解决方案, 其可被用于通过一个安全隧道 ( 在你的正常被审查互联网连接之上 ) 访问网络热点保护盾加密你所有的通讯, 所以你的审查者的监视软件不能看到你正访问什么网站一般信息 Supported operating system Localization Web site Support English FAQ: [email protected] 如何获得热点保护盾从下载软件文件大小大约是 6 兆, 因此通过缓慢的拨号连接下载可能需要长达 25 分钟或更多如果该下载在你尝试访问的地方被封锁, 那么写邮件给 [email protected], 并且在你的电子邮件的主题行中至少包括以下字之一 : hss sesawe hotspot 或 shield 你将在你的收件箱收到作为电子邮件附件的安装程序注意事项 : 如果你使用的是启用 NoScript 扩展的 Firefox, 那么当你尝试使用热点保护盾时可能会遇到一些问题请确保热点保护盾连接的所有 URL 都是白名单, 或者当你使用该服务时你暂时允许全球脚本安装热点保护盾 85

86 1. 在成功下载后, 查找你计算机上下载好的文件, 并双击图标以开始安装 2. Windows 可能询问你安装该软件的许可点击是 3. 从下拉菜单中选择你喜欢的安装语言 4. 在你选择好语言后, 你将看到一个欢迎界面点击下一步 5. 通过点击我同意 (I agree) 接受许可协议 86

87 6. 你将看到一个窗口, 通知你可以选择安装的附加软件点击下一步 7. 在下一个界面, 你可以去掉安装热点保护盾社区工具栏的选项运行热点保护盾并不必需该产品 8. 附件选项将在下一个界面出现所有这些产品都是可选的, 且你并不必需它们中的任何一个以运行热点保护盾 9. 选择你想要安装热点保护盾硬盘位置在大多数情况下, 你可以保留默认路径, 继续点击安装 87

88 10. Windows 可能不断请求额外许可安装热点保护盾的不同组件你每次都可以放心地继续点击安装 11. 当安装完成后, 点击下一步 12. 最后, 你可以在安装后立即启动热点保护盾和在你的桌面上创建一个图标选择你喜欢的并点击完成 88

89 现在, 热点保护盾已安装到你的电脑上连接到热点保护盾服务 89

90 1. 点击你桌面上或目录程序中的热点保护盾图标 > Hotspot Shield 2. 一旦你启动热点保护盾, 浏览器窗口将打开一个状态页面显示连接尝试的不同阶段, 如认证和分配 IP 地址 3. Once connected, Hotspot Shield will redirect you to a welcome page. Click Start to begin surfing. 4. Please note that after you click Start, Hotspot Shield may redirect you to an advertisement page such as the one displayed below. You can close this tab and start surfing the Web as usual. You can check that you are connected to the Hotspot Shield service by looking at the green Hotspot Shield icon in your system tray (next to the clock). 5. To check your connection status, simply right click on the Hotspot Shield system tray icon and select Properties. 90

91 断开热点保护盾服务 1. 要断开热点保护盾服务, 只要右击系统托盘图标 ( 见上图 ) 并选择断开 / 关闭 2. 热点保护盾将询问你以确认该动作点击断开 3. 一个状态窗口将出现, 确认你现已断开并在你正常的 ( 被过滤的 ) 连接上网上冲浪点击连接按钮继续绕行 91

92 23. ALKASIR Alkasir 是一款创新的服务器 / 客服端工具促进对网站审查 ( 过滤 ) 进行跟踪分析和绕行 Alkasir 主要在中东地区使用, 但是在全球都可使用它利用一个专用的客服端软件和使用代理服务器通过半自动更新, 允许全球用户社区报道新近被屏蔽的网站, 以保持被屏蔽的网站列表是最新的, 是其创新点一般信息 Supported operating system Localization Web site Help FAQ Contact English and Arabic ALKASIR 是如何工作的? Alkasir 已实施两个创新性和互补性的新功能它被设计成一个嵌入式的预配置的 HTTP 代理网络浏览器 ( 基于 Mozilla Firefox), 和一个可以自己添加被过滤的网址的数据库绕过网络审查 Alkasir 的创新只依靠其被屏蔽网址数据库, 并内置了代理来访问被屏蔽的网址没有被屏蔽的网址可以直接访问, 无需通过代理只有当它真正需要优化带宽的使用情况, 并允许更迅速地访问没有被过滤的网页时 ( 因为直接访问的网页加载更快 ), 才使用 HTTP 代理保持被过滤网址数据库更新任何时候当用户怀疑网址被屏蔽, 他可以通过软件界面报告 Alkasir 彻底检查这个报告, 然后要求该国的版主 ( 一个人 ) 批准添加到数据库, 除了数据库 ( 保持数据库的相关性, 并防止不良内容被加入, 如色情 ) 一个被屏蔽的内容单位 ( 一个在某一个国家被屏蔽的网站 ) 往往依赖于多个网址 Alkasir 检测在某一个国家被屏蔽的网址时, 它会检查该网页上的所有来源网址, 以确定他们是否也封锁因此,Alkasir 通过一个简单的原始的和一级蜘蛛爬行方法建立被屏蔽的内容数据库最后, 如果 Alkasir 用户直接请求 ( 即不通过代理 ) 加载一个网址失败, 客户端注意到这一点, 自动检查, 看它是否是一个新的 ( 尚未在数据库中 ) 被屏蔽的网址, 如果是的话, 则自动将其添加数据库在上总之,Alkasir 的被屏蔽网址数据库连续不断地从用户那获得信息 ( 通过人工提交或自动报告 ),Alkasir 浏览器依赖这个数据库通过仅重定向那些经由代理的被屏蔽网址请求, 来优化这个全球工具的反应怎样得到 ALKASIR? 你可以直接从网站上下载或者通过邮件接收从网站下载 Alkasir 你可以从官网上下载 Alkasir, 取决于你的操作系统和你的程序, 你可以从下列版本选择一个 : 如果你使用 Windows Vista 或者 Windows 7, 并已安装好 Mozilla Firefox, 你只需要 Alkasir 安装包 ( 需要安装,3MB) 如果不是上述情况, 你需要下载 Alkasir 完整安装包 ( 也需要安装,41.04MB) 如果你无法安装或不想在电脑上永久地安装 Alkasir( 比如公用电脑, 网吧, 或者图书馆的电脑 ), 你可以选择下载 2 个 USB 版本的 Alkasir 中的一个 : 不包含 Mozilla 的 Alkasir USB 包 ( 无需安装 -- 便携 -- 但需要用火狐打开 ; 大小 :4MB) 包含 Mozilla 浏览器 ( 火狐 ) 的 Alkasir USB 包 ( 无需安装 -- 便携 ; 大小 :12MB) 请注意两种版本都需要安装 Net Framework, 在 Windows Vista 和 Windows 7 操作系统里已预先安装你可以注册一个帐号, 通过邮件从 Alkasir 收到定期更新和新闻更新定期发布, 所以, 你应该能肯定的从官方网站获取最新版本 92

通过邮件接收 Alkasir 如果 Alkasir 网站在你的国家被屏蔽, 你可以通过电子邮件自动回复得到安装文件只需要发送一封空白邮件到 get@alkasir.

93 通过邮件接收 Alkasir 如果 Alkasir 网站在你的国家被屏蔽, 你可以通过电子邮件自动回复得到安装文件只需要发送一封空白邮件到索取作为附件的安装文件你将收到一封邮件, 软件在附件中, 还有关于如何在你电脑上安装 Alkasir 的说明如果几分钟以后你还没收到软件, 你可能需要添加到你的联系人白名单上, 这样的话邮件不会被认为是垃圾邮件安装下载好安装文件后, 双击软件图标你可能会遇到安全警告点击运行 (Run) 或者接受 (Accept) 按照 Alkasir 安装向导, 点击下一步 (Next) 按钮 93

94 你可以更改安装文件夹 ( 但不建议这样做 ) 准备好时, 点击下一步 (Next) 验证上图所示的安全警告, 点击是 (Yes) 94

95 安装完成后, 点击关闭 (Close) 怎样使用 ALKASIR? 每当 Windows 启动,Alkasir 就默认启动检查 Alkasir 的图标出现在你的系统任务栏, 在时钟 (clock) 的附近, 确保软件正在运行右击图标显示的配置菜单 95

启动浏览器 (Launch Browser) 打开 Alkasir 界面 (Open Alkasir interface) 报告被屏蔽的网址 (Report blocked URLs) Alkasir 的主界面集中了这个软件的所用功能你可以 : 启动, 关闭和重启软件启动 Alkasir 浏览器在

96 启动浏览器 (Launch Browser) 打开 Alkasir 界面 (Open Alkasir interface) 报告被屏蔽的网址 (Report blocked URLs) Alkasir 的主界面集中了这个软件的所用功能你可以 : 启动, 关闭和重启软件启动 Alkasir 浏览器在上注册或登录获得已安装 Alkasir 版本的更新首先, 启动 Alkasir 浏览器因为基于同样的技术架构, 浏览器的图形用户界面和 Mozilla Firefox 非常相似注意下列若干特有的功能 : 一个完全阿拉伯语的按钮报告被屏蔽网址的按钮, 当你正在试图访问一个被屏蔽的网站是使用这个按钮挨着地址栏 (address bar) 和状态栏 (status bar) 去主页面的 Alkasir 按钮 96

97 你也可以找到其他菜单, 整合你的 Alkasir 浏览器和 Alkasir 帐号可以启用或禁止软件代理列表和被屏蔽网站数据库的自动更新如果你遇到可能表明一个被屏蔽的网站的一个错误页面 ( 如拒绝访问或连接超时错误 ), 你可以点击报告被屏蔽网址按钮提交网址到 Alkasir 数据库你可以选择得到协调员决定是否将该网址加入数据库的通知 ( 这一决定基于工具的政策 ) 更多信息访问这个软件的全面文档 : 一些常见问题 :: 97

24. TOR: : 洋葱路由器 T or( 洋葱路由器 ) 是一个非常高级的代理服务器网络一般信息 Supported operating system Localization Web site Support 13 languages https://www.torproject.

net 使用 T or 访问网站时, 用户的通信可通过由独立的自愿的代理组成的网络随机转发所有 T or 服务器 ( 或中继器 ) 之间的通信都是经过加密的, 并且每个中继器只知道其他两个相邻中继器的 IP 地址 : 通信传输链中位于它之前

98 24. TOR: : 洋葱路由器 T or( 洋葱路由器 ) 是一个非常高级的代理服务器网络一般信息 Supported operating system Localization Web site Support 13 languages Mailinglist: FAQ: heonionrouter/t orfaq IRC: # tor on irc.oftc.net 使用 T or 访问网站时, 用户的通信可通过由独立的自愿的代理组成的网络随机转发所有 T or 服务器 ( 或中继器 ) 之间的通信都是经过加密的, 并且每个中继器只知道其他两个相邻中继器的 IP 地址 : 通信传输链中位于它之前和之后的两个中继器这样做的目标是不可链接性 T or 使以下意图很难得逞 : 互联网服务提供商或任何其他本地观察者获悉用户目标网站或用户发送的信息目标网站获悉用户是谁 ( 至少获悉用户的 IP 地址 ) 任何无关的中继器或者通过直接获取 IP 地址或者通过不断观察流量对浏览习惯进行相关从而获悉用户是谁以及用户数据的目的地 TOR 与哪些软件兼容? 想要使用 T or 网络连接互联网, 或者想要使用它来保护匿名隐私和绕行, 用户需要在计算机上安装 T or 客户端软件也可以使用存储棒或其他外部设备运行该程序的可移动版本 T or 可以兼容 Windows Mac OS X 和 GUN/Linux 操作系统的大多数版本 WITH WHAT SOFTWARE IS TOR COMPATIBLE? T or 使用 SOCKS 代理接口连接应用程序, 因此所有支持 SOCKS(4 4a 和 5 版本 ) 的应用程序都可以匿名地使用 T or, 其中包括 : 大多数的网络浏览器许多即时通讯和 IRC 客户端 SSH 客户端 98

99 电子邮件客户端如果你从 Vidalia Bundle T or Browser Bundle 或 T or IM Browser Bundle 安装 T or, 其中绑定的 T or 工具已将某个 HT T P 应用代理设置为 T or 网路的前端 (frontend) 通过这种方式, 某些不支持 SOCKS 的应用程序也可以使用 T or 如果用户最感兴趣的是使用 T or 来进行网页浏览和聊天, 那么使用 T or Browser Bundle 或 T or IM Browser Bundle 是最简单的选择, 因为它们已进行预先设置, 可以直接使用 T or browser bundle 中还包含 T orbutton, 使用 T or 进行网页浏览时, 该工具可以提供隐私的安全性这两种版本的 T or 工具可以从下面的网站下载 : 优势与风险对于规避封锁和保护用户隐私,T or 是一个非常高效的工具用户的通信内容经过 T or 工具的加密处理, 当地网络运营商无法获悉相关信息, 并且这种加密还可以隐藏用户的通信对象以及用户查看了什么网站比起单个代理, 正确地使用这种工具, 用户可以取得更为强大的隐私保护但是 : 对于封锁,T or 很容易受到影响大多数的 T or 节点已在公共目录中列出, 所以网络运营商能够很容易地获取该列表, 然后将节点的 IP 地址添加到黑名单中进行过滤 ( 有一种方式可以绕开这种封锁, 使用 Tor bridges, 它是那些未公开列出的节点, 专门用于规避封锁 ) 某些使用 T or 的程序存在一些问题, 会降低隐私的安全性 T or Browser Bundle 配备安装了 T orbutton 的 Firefox 版本 T orbutton 禁用一些插件并改变你的浏览器痕迹, 使其看起来像任何其他 T orbutton 用户如果你没有配置你的应用通过 T or 运行,T or 将无法保护你一些插件和脚本会忽略本地代理设置, 可以显示你的 IP 地址如果用户没有使用额外的加密对通信进行保护, 那么在通信链的最后节点 ( 称为出口节点 :exit node) 处, 用户的数据将是非加密的这意味着, 对于最后 T or 节点的所有者以及该节点与目标网站之间的互联网服务提供商来说, 用户数据是可见的 T or 开发者一直很关注这个漏洞和其他一些潜在的风险, 并提出三点警告 : 1. 如果用户没有正确地使用 T or, 它将不能为用户提供保护打开下面的链接, 阅读其中的警告信息 : warning, 然后查看下面的网页, 确保按照其中指示对用户平台进行设置 : RunningT or 2. 即使用户正确地设置和使用 T or, 仍然存在潜在的攻击, 能够降低 T or 的用户保护能力 : heonionrouter/t orfaq# Whatattacksremainagainstonionrouting 3. 目前, 没有哪个匿名系统是完美无缺的,T or 也不例外 : 如果真的需要强大的匿名保护, 用户不应只依靠当前的 T or 网络使用 TOR 浏览器套件在 Windows OS X 或 GNU/Linux 上使用 T or 浏览器套件, 用户无需再对网页浏览器进行配置更为方便的是, 该程序是便携式的, 可以从 USB 闪存驱动器直接运行, 对于任何计算机来说, 用户无需在硬盘上安装就可以直接使用该程序下载 TOR 浏览器套件用户可以从 torproject.org 网站下载 T or 浏览器套件, 有两种格式, 一种是单个文件, 一种是多个文件的分割版如果用户的互联网连接速度比较慢或者不稳定, 最好下载分割版而不是一个较大的文件如果 torproject.org 网站在用户所在地被过滤, 可在常用的网页搜索引擎中输入 tor mirrors ( 即搜索 tor 镜像 ): 在搜索结果中将显示一些替代地址, 用于下载 T or 浏览器套件通过电子邮件获得 Tor: 以帮助为邮件主题向 [email protected] 发送一封电子邮件, 你将收到关于如何使自动应答机器人发送给你 T or 软件的说明注意 : 下载 T or Bundle( 普通格式或分割版 ) 时, 用户应该检查文件签名, 尤其是对于从镜像网站下载这个检查步骤用于确保软件文件没有被篡改有关签名文件的更多信息以及如何进行检查, 请查阅 : 用户可以从下面的网址下载 GnuPG 软件, 检查签名时需要使用该软件 : auto-ref-2 在 Microsoft Windows 系统下安装 T or 浏览器, 请查阅下面的安装指南如果用户使用不同的操作系统, 请查阅 T or 网站的下载链接和相关指南从单个文件安装 99

100 1. 在网络浏览器中, 输入 T or 浏览器的下载网址 : 2. 单击相应语种版本的链接, 下载安装文件 3. 下载完成之后, 双击.exe 文件弹出 7-Zip self-extracting archive (7-Zip 文档自解压 ) 窗口 100

101 1. 为解压文件选择一个文件夹, 然后单击 Extract ( 解压 ) 注 : 如果用户想要在不同的计算机 ( 比如在网吧的电脑 ) 上使用该软件, 可选择将文件直接解压至 USB 闪存驱动器 2. 解压完成之后, 打开相应的文件夹, 查看文件夹下的内容是否与下图相同 : 如果不再需要下载文件, 可将最初下载的.exe 文件删除从多个分割文件安装 101

1. 在网络浏览器中, 输入 T or 浏览器套件分割版的下载网址 (https://www.torproject.org/projects/torbrowser-split.html.

rar ), 将所有文件都保持在用户硬盘的同一文件夹中 3. 双击后缀名为.exe 的第一个文件然后将运行一个程序, 将该程序的所有文件组合起来 4.

102 1. 在网络浏览器中, 输入 T or 浏览器套件分割版的下载网址 ( 然后单击相应语言版本的链接, 打开一个页面, 下图为英文版网页 : 2. 单击每个文件链接进行下载 ( 一个文件的后缀名为.exe, 其他九个文件为.rar ), 将所有文件都保持在用户硬盘的同一文件夹中 3. 双击后缀名为.exe 的第一个文件然后将运行一个程序, 将该程序的所有文件组合起来 4. 选择安装文件夹, 然后单击 Install ( 安装 ) 上图中解压程序将显示进度信息, 然后自动关闭 5. 解压完成之后, 打开相应的文件夹, 查看文件夹下的内容是否与下图相同 : 6. 如果不再需要下载文件, 可将它们都删除使用 TOR 浏览器 102

103 在开始之前 : 关闭 T or 如果用户计算机已安装 T or, 请确保当前它没有运行启动 T or 浏览器 : Tor starting 在 T or Browser 文件夹中, 双击 Start T or Browser 文件 T or 控制面板 (Vidalia) 将打开, 并且 T or 开始连接 T or 网络连接建立完成之后,Firefox 将自动打开 T orcheck 页面, 然后确认用户的浏览器是否已配置使用 T or 这可能需要一些时间, 取决于用户的互联网连接状况如果已连接到 T or 网络, 在计算机屏幕的右下角的系统托盘中显示绿色的洋葱图片 : 使用 TOR 浏览器浏览网页试着查看一些网站, 检查是否能够打开网页由于使用了 T or, 用户的连接将通过多个中继进行转发, 所以打开网页的速度为比较慢如果 TOR 无法正常工作如果 Vidalia 控制面板中的洋葱图标没有变为绿色, 或者 Firefox 已启动, 但显示一个 Sorry. You are not using T or ( 抱歉,T or 未正常运行 ) 的页面, 如下图所示, 那么表示用户并没有使用 T or 103

如果看到该信息, 请关闭 Firefox 和 T or 浏览器, 然后重复上述步骤你可以随时通过访问 https://check.torproject.

T or IM 浏览器套件和 T or 浏览器套件类似, 但利用前者, 用户可以使用一个多协议的即时通讯客户端 :Pidgin; 该客户端可以对常用的可能被过滤的即时通讯协议如 ICQ, MSN Messenger Yahoo!

104 如果看到该信息, 请关闭 Firefox 和 T or 浏览器, 然后重复上述步骤你可以随时通过访问进行该检查以确保你使用了 T or 如果 T or 浏览器在两三次尝试后仍不起作用,T or 可能被你的互联网服务提供商部分封锁, 你应尝试使用 T or 的 bridge 功能参见以下通过网桥使用 T or 部分使用 TOR IM 浏览器套件 T or IM 浏览器套件和 T or 浏览器套件类似, 但利用前者, 用户可以使用一个多协议的即时通讯客户端 :Pidgin; 该客户端可以对常用的可能被过滤的即时通讯协议如 ICQ, MSN Messenger Yahoo! Messenger 或 QQ 进行加密有关 Pidgin 更多信息, 请查阅 : 下载 TOR IM 浏览器套件你可以直接从 T or 网站 ( 下载 T or IM 浏览器套件如果用户的互联网连接数速度较慢或不够稳定, 可以从 torproject.org 网站的页面下载分割版 104

用该软件, 可选择将文件加压至 USB 闪盘解压完成之后, 打开新创建的解压文件夹, 然后检查内容, 下图为 PidginPortable 文件下的内容 : 解压之后, 用户就可以安全地删除下载的.

105 自动解压文档首先, 双击刚刚下载的.EXE 文件用户可以看到如下窗口 : 为解压文件选择一个文件夹如果不确定保存在何处, 可使用缺省设置然后单击 Extract ( 解压 ) 按钮注 : 如果用户想要在不同的计算机 ( 比如在网吧的电脑 ) 上使用该软件, 可选择将文件加压至 USB 闪盘解压完成之后, 打开新创建的解压文件夹, 然后检查内容, 下图为 PidginPortable 文件下的内容 : 解压之后, 用户就可以安全地删除下载的.exe 文件或分割版的所有.rar 和.exe 文件使用 TOR IM 浏览器套件在开始之前 : 关闭 Firefox 浏览器如果用户计算机已安装 Firefox, 请确保当前该浏览器没有运行关闭 T or 如果用户计算机已安装 T or, 请确保当前它没有运行启动 T or IM 浏览器 : 在 T or Browser 文件夹中, 双击 Start T or Browser 文件 T or 控制面板 (Vidalia) 将打开, 并且 T or 开始连接 T or 网络 105

106 当建立连接之后 : 将打开 Firefox 浏览器并访问 T orcheck 页面, 该页面显示如果显示绿色图标, 表示已经连接到 T or 网络弹出 Pidgin 帐号窗口 ( 如下图所示 ), 邀请用户在 Pidgin 上设置 IM 帐号此外, 在屏幕的右下角的系统托盘中, 用户还可以看到 T or 图标 ( 绿色表示已连接到 T or 网络 ) 和 Pidgin 图标 : 在 PIDGIN 中设置 IM 帐号用户可以在 Pidgin 窗口中添加 IM 帐号 Pidgin 可以兼容大多数的 IM 服务 (AIM MSN Yahoo! Google T alk Jabber XMPP QQ 和 ICQ 等等 ) 有关 Pidgin 使用方法的更多信息, 请查阅 : 106

http://developer.pidgin.im/wiki/using%20pidgin# GSoCMentoring.Evaluations 如果 TOR 无法正常工作如果 Vidalia 控制面板中的洋葱图标没有变为绿色, 或者 Firefox 已启动, 但显示一个 Sorry.

正常运行, 可能是因为 T or 被用户的 ISP 封锁请参考本手册的通过 Bridge( 网桥 ) 的使用 T or 章节, 然后使用 T or 的 bridge 功能, 再次尝试运行 T or 关闭 TOR IM 浏览器想要关闭 T or IM 浏览器, 用户需要 : 在系统托盘中, 右键

107 GSoCMentoring.Evaluations 如果 TOR 无法正常工作如果 Vidalia 控制面板中的洋葱图标没有变为绿色, 或者 Firefox 已启动, 但显示一个 Sorry. You are not using T or ( 抱歉,T or 未正常运行 ) 的页面, 那么用户应 : 退出 Vidalia 和 Pidgin( 详情见下文 ) 按照上文使用 T or IM 浏览器套件中描述的步骤, 重新启动 T or IM 浏览器经过几次尝试之后,T or 浏览器仍然无法正常运行, 可能是因为 T or 被用户的 ISP 封锁请参考本手册的通过 Bridge( 网桥 ) 的使用 T or 章节, 然后使用 T or 的 bridge 功能, 再次尝试运行 T or 关闭 TOR IM 浏览器想要关闭 T or IM 浏览器, 用户需要 : 在系统托盘中, 右键单击洋葱图标, 然后在弹出的 Vidalia 菜单中选择 Exit, 关闭 Vidalia 在系统托盘中, 右键单击洋葱图标, 然后在弹出的 Vidalia 菜单中选择 Exit, 关闭 Pidgin 屏幕右下角系统托盘中的 Vidalia 洋葱图标和 Pidgin 图标消失之后, 也就关闭了 T or IM 浏览器 107

108 通过 BRIDGE( ( 网桥 ) 使用 TOR 如果你怀疑 T or 网络被封锁, 你可以使用 T or 的网桥功能网桥这一功能专门为帮助 T or 网络被封锁的用户使用 T or 在使用网桥功能之前, 用户必须已下载并安装 T or 软件什么是网桥? 网桥中继 (Bridge relay, 简写为 bridge) 是指那些没有在主要的公共 T or 目录中列出的 T or 中继这样做, 是专门为了防止这些中继被封锁即使用户的 ISP 将所有公共所知的 T or 中继封锁过滤掉, 它也不可能封锁所有网桥在哪里可找到网桥? 为了使用网桥, 用户需要知道一个桥中继地址, 并将相关信息添加到用户的网络设置中一件简单的获得网桥的方法是访问如果这个页面被过滤, 或者你需要更多的网桥, 从 Gmail 帐号发送一封电子邮件至 [email protected], 在邮件主题中写 get bridges ( 没有引号 ) 很快, 用户就可以收到一份邮件回复, 其中包含了一些桥中继的信息重要注释 : 1. 用户必须使用 Gmail 帐号发送请求如果 torproject.org 接受其他邮件帐号的请求, 那么攻击者可以很容易创建大量电子邮件地址, 并快速获得所有桥中继信息如果用户没有 Gmail 帐号, 只需几分钟时间就可以申请一个 2. 如果用户的互联网连接速度较慢, 可以使用网址直接访问 Gmail 简单的 HT ML 版本启动网桥并输入网桥信息用户获得一些网桥的地址之后, 必须使用用户想要使用的网桥地址对 T or 进行配置 108

在 Add a Bridge ( 添加网桥 ) 字段中, 输入回复邮件中的桥地址信息 6. 单击位于该字段右边的绿色 + 号该地址将添加到下面的文本框内, 如下图所示 : 7. 单击窗口底部的 OK 按钮, 启动新的设置注 : 8.

109 1. 打开 T or 控制面板 (Vidalia) 2. 单击 Settings ( 设置 ) 弹出 Settings 窗口 3. 单击 Network ( 网络 ) 4. 选中 My Firewall only lets me connect to certain ports ( 防火墙仅允许连接某些端口 ) 和 My ISP blocks Connections to the T or network (ISP 封锁了 T or 网络的连接 ) 5. 在 Add a Bridge ( 添加网桥 ) 字段中, 输入回复邮件中的桥地址信息 6. 单击位于该字段右边的绿色 + 号该地址将添加到下面的文本框内, 如下图所示 : 7. 单击窗口底部的 OK 按钮, 启动新的设置注 : 8. 在 T or 控制面板中, 停止并重启 T or, 就可以使用新的设置了添加尽可能多的网桥地址更多的网桥可增加可用性要连接 T or 网络, 一个网桥已足够, 然而, 如果用户只使用了一个网桥, 而它被封锁或停止运行时, 用户的 T or 网络连接将被切断, 直到用户添加新的网桥想要在网络设置中添加更多网桥, 用户只需重复上述步骤, 添加更多网桥信息, 这些信息可通过来自 [email protected] 的电子邮件获取 109

110 25. JONDO JonDo 开始于一个被称为 Java 匿名代理 (JAP) 的德国大学项目, 且已成为一款像 T or 的强大匿名工具, 其可以通过数个不同的独立服务器发送网页流量然而, 并不像 T or,jondo 网络融合了由志愿者与母公司维持的其他主体运行的服务器这种安排给了用户一个速度选择 : 免费的 30-50KBit/s 还是收费的 >600 kbit/s 如需更详细的比较和价格清单, 请参阅 : 一般信息 Supported operating system Localization Web site Support English, German, Czech, Dutch, French and Russian Forum: Wiki: Contact form: 安装要使用被称为 JonDonym 的 JonDo 网络, 你需要从为你的操作系统下载 JonDo 客户端版本适用于 Linux( 大约 9 兆 ) Mac OS X( 大约 17 兆 ) 和 Windows( 大约 35 兆 ) 一旦你下载了客户端, 就像安装其他软件到你的平台一样安装它你可能会被询问是想安装它到你的个人电脑还是想创建一个便携版本在我们的例子中, 我们假定你安装 JonDo 到个人电脑 Windows 用户还可能被邀请安装 JonDoFox 网络浏览器, 这将在下面讨论配置和使用当你第一次启动 JonDo, 你可以选择你想要显示的语言接下来, 你可以选择使用该服务时你想看到的详细信息级别没有经验的用户应选择简化视图 110

打开一个网站如果 JonDo 显示了一个警告, 且你必须选择是以查看该网站, 那么一切都已正确配置, 你可以选择警

111 在下一个界面, 安装助手会询问你选择你想要使用 JonDo 代理工具的网络浏览器点击你的浏览器名称, 并遵照说明操作一旦这些完成,JonDo 会询问你检测你的配置在控制面板中, 转换匿名到关闭, 然后尝试用你刚配置好的浏览器打开一个网站如果 JonDo 显示了一个警告, 且你必须选择是以查看该网站, 那么一切都已正确配置, 你可以选择警告已显示配置后可网上冲浪如果你看到任何其他描述, 选择它, 安装助手将给你更多关于如何解决该问题的信息 111

它, 安装助手将帮助你解决该问题我们已差不多完成了你已成功配置你的浏览器通过 JonDo 网络连接

112 现在, 采取第二步以确保正确配置 : 在控制面板中转换匿名到开, 用你已配置的浏览器打开一个随机网站如果该网站载入, 那么一切都很好, 你可以点击连接已建立, 网上冲浪很好如果你看到其他描述, 选择它, 安装助手将帮助你解决该问题我们已差不多完成了你已成功配置你的浏览器通过 JonDo 网络连接现在, 你还应配置你的浏览器以使其不会意外泄露任何信息点击你的浏览器的名称以启动下列进程 112

113 如果 JonDo 的标准服务器在你的国家已被封锁, 你应尝试反审查选项在控制面板中点击配置, 选择网络选项卡点击连接到其他 JAP/JonDo 用户以到达匿名服务阅读警告并通过点击是确认要确认你正确配置了你的浏览器, 你可以将其指向它将告诉你是否有任何问题 JONDOFOX 为了更安全,JonDoNym 团队提供了一个被称为 JonDoFox 的修改过的 Firefox( 火狐 ) 网络浏览器类似 T or 浏览器套件, 其阻止在使用匿名工具时泄露多余的信息你可以在下载该工具 113

26. YOUR-FREEDOM Your-Freedom 是一款商业化的代理工具, 其也提供免费 ( 虽然较慢 ) 的服务该软件可用于 Windows,Linux 和 Mac OS 操作系统, 并将你连接到一个由大约遍布 10 个国家的 30 台服务器组成的网络 Your-Freedom 也

net Support Forum: https://www.your-freedom.net/index.php?id=2 User guide: https://www.your-freedom.net/emsdist/your%20freedom%20user%20guide.pdf 准备使用 YOUR-FREEDOM 首先, 从 https://www.your-freedom.net/index.php?id=downloads 下载自由工具如果你已经安装了 Java, 你可以下载大约 2 兆的小版本要检查是否已安装 Java, 登录 http://www.

114 26. YOUR-FREEDOM Your-Freedom 是一款商业化的代理工具, 其也提供免费 ( 虽然较慢 ) 的服务该软件可用于 Windows,Linux 和 Mac OS 操作系统, 并将你连接到一个由大约遍布 10 个国家的 30 台服务器组成的网络 Your-Freedom 也提供类似 OpenVPN 和 SOCKS 的先进服务, 使其成为一个相对复杂的绕过互联网审查的工具一般信息 Supported operating system Localization 20 languages Web site Support Forum: User guide: 准备使用 YOUR-FREEDOM 首先, 从下载自由工具如果你已经安装了 Java, 你可以下载大约 2 兆的小版本要检查是否已安装 Java, 登录如果你未安装 Java, 则下载大约 12 兆的完整版安装程序所有文件同样可以从获得如果你生活在一个政府审查互联网访问的国家,Your-Freedom 可能用 Sesawe 帐户为你工作 ( 用户名 :sesawe, 密码 :sesawe) 如果这不起作用, 那么你必须注册一个帐户为了启动, 请在网站注册一个免费帐户点击两个登录框下的首次访问? 点击这里注册链接在下一页, 输入被要求的信息只有用户名密码和电子邮箱地址是必须的其他信息是可选的你将看到一个提示你的注册差不多完成的信息, 并且在几秒内, 你会在你提供的地址收到一封电子邮件 114

115 点击第二个链接 ( 更长的那个 ) 以确认你的注册当你看到谢谢你界面时, 你的帐户被激活了安装以下说明和截图是在 Windows 下被抓取的, 但所有步骤和设置对其他操作系统来说都是非常相似的现在, 准备安装 Your-Freedom 点击下载好的文件文件名可能因为新版本的定期发布而有所不同在第一个界面点击下一步 115

116 在下一个界面你可以选择该程序是只对你的帐户还是对你计算机的所有用户 ( 共同 ) 有用然后点击下一步选择安装 Your-Freedom 的目录大多数用户应接受默认选择点击下一步在安装程序的下一个界面, 你可以改变在程序文件夹中使用的名称你可以保留默认值不变并点击下一步 116

117 选择你是否想在桌面上创建一个图标再次点击下一步在这里你可以看到你之前设置的汇总确认后点击下一步, 或者如果需要修改, 点击返回现在, 安装开始了这可能需要几分钟, 具体时间取决于你的电脑性能 117

118 最后, 安装完成点击完成退出安装程序设置 Your-Freedom 会自动启动如果你以后想人工启动它, 点击你桌面的 Your-Freedom 图标 ( 那个门 ) 当你第一次启动 Your-Freedom 时, 你需要配置它第一步是选择你的语言点击你想要的语言你以后也能改变这些设置第一次启动完成后, 你会看到一个配置向导点击下一步 118

119 在代理服务对话框中, 程序将自动检测你可以使用的代理服务器的信息点击下一步在选择协议对话框中, 你应保持默认值并继续点击下一步接下来,Your-Freedom 配置向导将做一些监测来搜寻可用的服务器, 并检查你的连接和过滤的类型这可能会花上一点时间你可能从你的防火墙得到一个警告 ( 这里例如来自 Windows 7 的一个警告 ) 你可以允许访问 Your-Freedom 119

120 当向导完成后, 你会看到发现的自由服务器界面, 在此你可以选择一个服务器并再次点击下一步接着输入你先前创建的帐户信息如果你没有, 你可以通过向以下电子邮箱地址发送请求而获得免费访问点击下一步 120

已经连接到了服务器, 并且提供了一个你可以在你喜欢的类似 Internet Explorer 或 Firefox 软件中使用的本地代理如果想自动对其进行配置, 点击

121 当你看到恭喜界面时, 说明配置向导已经完成点击保存并退出现在,Your-Freedom 运行在你的计算机上, 并且你可以在你的任务栏里看到一个图标为了更多安全性和更好地绕开过滤, 你应在 Your-Freedom 主窗口中点击配置并选择以下截图中显示的选项从而调整选项完成后点击保存并退出现在,Your-Freedom 已经连接到了服务器, 并且提供了一个你可以在你喜欢的类似 Internet Explorer 或 Firefox 软件中使用的本地代理如果想自动对其进行配置, 点击 Your-Freedom 主窗口中的应用程序标签, 选择你想用的软件并点击确定 Your-Freedom 将自动配置该软件, 以使其通过加密的 Your-Freedom 链路连接到互联网 121

如果想确认你正确使用了 Your-Freedom, 你可以访问网站 https://www.your-freedom.

122 如果想确认你正确使用了 Your-Freedom, 你可以访问网站并检查左边的你的踪迹栏目如果检测到的不是你所在的国家, 那么说明你正成功地使用加密的 Your-Freedom 链路访问互联网 122

123 ADVANCED TECHNIQUES 27. 域名和域名解析系统 (DNS) 28. HTTP 代理 29. 命令行 30. 开放虚拟专用网络 (OPENVPN) 31. SSH 隧道加密技术 32. SOCKS 代理 123

124 27. 域名和域名解析系统 ( DNS) 如果你确认怀疑或被告知你网络上主要的审查技术基于 DNS 过滤和欺骗, 你应该考虑这些技术使用其他的域服务器或域名简单地说,DNS 服务器将人性化的网络地址如 google.com 转换成 IP 地址, 如 , 它确认与域名相关联的网络上特定的服务器这一服务通常通过你的互联网服务提供商维护的 DNS 服务器进行简单的 DNS 封锁通过错误的或无效的回应 DNS 请求来实施, 防止用户找到他们所需的服务器对审查这一方来说这个方法很容易被实施, 所以它广为使用记住通常集中审查方法结合使用, 所以 DNS 封锁可能不是唯一的问题使用这两种方法, 你有可能绕过这个封锁 : 更改你电脑的 DNS 设置, 使用其他的 DNS 服务器, 或者编辑你的 hosts 文件使用其他的 DNS 服务器你可以使用第三方服务器, 绕开你本地的互联网服务提供商的 DNS 服务器, 让你的电脑找到域名地址, 它们可能被互联网服务提供商的 DNS 服务器封锁有大量的免费国际范围内可用的 DNS 服务器可使用 OpenDNS ( 提供一个这样的服务, 并有如何更改你电脑使用的 DNS 服务器的指南 ( 这里还有一个更新的全球可使用的 DNS 服务器列表 : 这是一份公开提供的 DSN 服务器清单, 转自网络审查维基 (Internet Censorship Wiki), 地址 : ( 部分服务自身可能封锁有限数量的网站, 查阅提供商的网站进一步了解它们的政策 ) Publicly-available DNS servers Address Provider Google Google OpenDNS OpenDNS DynDNS DynDNS Visizone Visizone NortonDNS NortonDNS DNS Advantage DNS Advantage DNSResolvers DNSResolvers Level Cable & Wireless 选择好 DNS 服务器后, 你需要在你的操作系统的 DNS 设置里输入你的选择在 Windows 更改你的 DNS 设置 124

125 1. 在开始菜单 (Start menu) 打开你的控制面板 (control panel) 2. 在网络和 Internet 连接,, 点击查看网络状态和任务 ( "View network status and tasks") 3. 在窗口的右边点击你的无线网络连接 4. 无线网络连接 (Wireless Network Connection ) 状态窗口将会被打开. 点击属性 (Properties) 125

126 5. 在无线网络连接 (Wireless Network Connection ) 属性 (Properties) 窗口选择 Internet Protocol 版本 4 (T CP/IPv4), 再点击属性 (Properties) 6. 你现在应该在 Internet Protocol 版本 4 (T CP/IPv4) 属性 (Properties ) 窗口, 在这你将指定你的替代 DNS 地址 ( 例如,Google Public DNS) 126

127 7. 在窗口的底部, 点击使用下面的 DNS 服务器地址 ( "Use the following DNS server addresses" ), 用你偏爱的 DNS 服务器 IP 信息填写输入框完成后,, 点击 OK 默认情况下, 将使用第一个 DNS 服务器备选 DNS 服务器可以来自另一公司在 Ubuntu 更改你的 DNS 设置 127

择你的网络界面如果你想为无线连接更改设置, 选择无线 (wireless) 选项卡, 然后选择合适的无线网络 3.

128 1. 在系统菜单到首选项 (Preferences) > 网络连接 (Network Connections) 2. 选择连接, 你想为它配置 Google Public DNS 如果你想更改 Ethernet 连接 ( 有线 ) 的设置, 选择有线 (Wired) 选项卡, 然后在列表中选择你的网络界面如果你想为无线连接更改设置, 选择无线 (wireless) 选项卡, 然后选择合适的无线网络 3. 点击编辑 (Edit), 在出现的窗口里, 选择 IPv4 设置选项卡 4. 如果选择的方法是 Automatic (DHCP), 打开下拉菜单 (dropdown menu ), 选择 "Automatic (DHCP) addresses only" 更换如果是其他方法, 不需要更改 128

5. 在 DNS 服务器输入框, 输入你的替代 DNS IP 信息, 以一个空格隔开例如, 如果你想添加 Google DNS, 输入 8.8.8.8 8.8.4.4 6. 点击应用 ( Apply) 保存更改如果提示输入密码或确认, 输入密码或确认你想更改 7.

129 5. 在 DNS 服务器输入框, 输入你的替代 DNS IP 信息, 以一个空格隔开例如, 如果你想添加 Google DNS, 输入点击应用 ( Apply) 保存更改如果提示输入密码或确认, 输入密码或确认你想更改 7. 对你想更改的每个网络连接, 重复步骤 1-6 编辑 HOSTS 文件如果你知道被你的网络服务提供商的 DNS 服务器封锁的网站或网络服务的 IP 地址, 你可以把这个网站添加到你的 Hosts 文件里, 它是一个本地的 name-to-ip 地址列表, 在使用外面的 DNS 服务器前, 你的电脑将使用它 Hosts 文件是文本文件, 格式非常简单, 它的内容类似 : secure.wikimedia.org 129

130 每一行包括一个 IP 地址, 然后一个空格, 再一个域名你可以添加任何数量的网站到你的 hosts 文件 ( 但请注意如果你使用错误的地址, 它可能会阻碍你通过地址访问你这个网站, 直到你修正它, 或者把它从列表中移除 ) 如果你因为你的网络服务提供商的 DNS 封锁, 找不到网站的 IP 地址, 有许许多多的服务可以帮助你进行一次未受审查的 DNS 查询例如, 你可以使用上的任意一款工具你也可以考虑使用上的工具, 它是不同的网络服务提供商提供的高级网络诊断工具起初用来诊断意外的网络中断而不是故意的审查, 但是它也可以用来诊断审查这些工具也包含查找服务器 IP 地址的功能在 Windows Vista / 7 编辑 hosts 文件你需要一个简单的文本编辑器, 如 Notepad, 用来编辑你的 hosts 文件在 Windows Vista 和 Windows 7, 你的 hosts 文件通常位于 C:\Windows\system32\drivers\etc\hosts 130

131 1. 点击开始 (Start) 按钮 2. 在搜索框 (search box) 输入 "notepad" 3. 找到这个程序后, 右击它并选择用管理员身份运行 ("Run as administrator") 4. Windows 将征求你同意更改这些文件点击 Yes 131

$5. 在文件 ( File) 菜单, 选择打开 (Open) 6. 浏览 C:\Windows\System32\Drivers\etc\.$

132 5. 在文件 ( File) 菜单, 选择打开 (Open) 6. 浏览 C:\Windows\System32\Drivers\etc\. 你可能注意到文件夹最初似乎是空的 7. 在打开对话框 (open dialog) 的右下方, 选择所有文件 ( All Files) 8. 选择以 "hosts" 命名的文件, 点击打开 (Open) 132

9. 举例, 在文件的末尾添加一行 "69.63.181.12 www.facebook.com", 按 Ctrl+S 或选择文件 ( File )> 保存 (Save from the menu.

133 9. 举例, 在文件的末尾添加一行 " 按 Ctrl+S 或选择文件 ( File )> 保存 (Save from the menu.) 保存它在 Ubuntu 编辑你的 hosts 文件在 Ubuntu, 你的 hosts 文件位于 located in /etc/hosts 编辑它, 你需要了解命令行的知识请参考这本书命令行这一章, 作为这个功能的简单介绍 133

1. 在你的应用程序菜单 (Applications menu) 附件 (Accessories) > 终端 (T erminal ), 打开终端 (terminal) 2. 使用下面的命令行自动添加一行到你的 hosts 文件 : echo 69.63.181.12 www.facebook.

134 1. 在你的应用程序菜单 (Applications menu) 附件 (Accessories) > 终端 (T erminal ), 打开终端 (terminal) 2. 使用下面的命令行自动添加一行到你的 hosts 文件 : echo sudo tee -a /etc/hosts 3. 为修改文件, 你可能被提示输入密码一经认定, 命令将添加 " 到 hosts 文件的最后一行 4. 可选项 : 如果你觉得用图形界面更舒服, 打开终端 (T erminal ), 使用下面的命令行启动文本编辑器 :sudo gedit /etc/hosts 5. 为修改文件, 你可能被提示输入密码窗口打开后, 仅需添加一行 " 到文件的最后部分, 按 Ctrl+S 或选择文件 (File) > 保存 (Save from the menu) 保存它 134

135 28. HTTP 代理称为应用代理的软件可使互联网中的一台计算机处理来自其他计算机的请求最常见的应用代理有 HTTP 代理和 SOCKS 代理, 前者处理网站请求, 后者处理来自多种应用程序的请求在本章节中, 我们将介绍 HT T P 代理以及其工作原理代理的好与坏网络运营商可使用应用代理对互联网进行审查或者监控用户的所作所为但是, 应用代理还可为用户用于规避审查以及其他网络限制限制访问的代理网络运营商可能要求用户只通过某个代理访问互联网 ( 或网页 ) 网络运营商可编写程序, 利用这种代理记录用户访问的内容, 并且还可以拒绝用户对某些网站或服务的访问 (IP 封锁或端口封锁 ) 在这种情况下, 网络运营商可以使用防火墙来封锁未通过限制性代理的连接这种配置有时称为强制性代理, 因为用户被要求必须使用它用于规避封锁的代理应用代理同时还可以帮助用户规避封锁的限制如果用户可以与位于非限制区域的应用代理计算机建立连接, 那么就可以利用这种代理的非限制连接来突破封锁有时, 某个代理对公众开放, 则成为公共代理在互联网受限的国家, 网络封锁的管理人员如果获悉这些公共代理, 将会封锁这些代理在何处可找到应用代理许多网站提供公共的应用代理列表这类网站的综合列表可查看以下链接 : 请注意, 许多公共应用代理仅存在几个小时, 所以代理列表能够及时更新是很重要的 HTTP 代理设置为了使用应用代理, 用户必须对用户所用的操作系统或在单独的应用程序中, 对代理的配置选项进行相应的设置用户在应用程序的代理配置中选择代理之后, 这个应用程序的所有互联网连接都将使用选中的代理请确保已对初始设置进行备份, 以便恢复如果由于某些原因代理不可用或无法访问, 使用它的软件通常会停止运行对于这种情况, 用户需要进行重置, 恢复为初始设置对于 Mac OS X 和某些 Linux 系统, 可在操作系统中进行代理设置, 并自动应用于应用程序如网页浏览器或即时通讯程序对于 Windows 和某些 Linux 系统, 没有控制程序可以进行代理设置, 并且必须对每个应用程序进行单独配置请注意, 即使对代理进行中心设置, 并不保证应用程序支持这些设置, 因此, 最好对每个应用程序进行单独检查通常只有网页浏览器可以直接使用 HT T P 代理 135

136 以下步骤描述了在 Microsoft IE Mozilla Firefox Google Chrome 和免费开源即时通讯客户端 Pidgin 中如何设置, 以便使用代理如果用户使用 Firefox 进行网页浏览, 使用 FoxyProxy 软件更为简单 ; 使用它可以省去以下描述的步骤如果用户使用 T or 工具, 那么使用 T orbutton 软件 (T or Bundle 下载包中的一部分 ) 对使用 T or 的浏览器进行设置是最安全的方式虽然电子邮件客户端, 如 Microsoft Outlook 和 Mozilla T hunderbird 也可以设置为使用 HT T P 代理, 收发邮件时, 实际的邮件通信使用其他协议如 POP3 IMAP 和 SMT P; 并且这些数据流将不会通过 HT T P 代理 Mozilla Firefox 对 Firefox 使用 HT T P 代理进行设置 : 136

137 1. 在工具菜单中, 单击选项 : 2. 选项窗口出现 : 3.. 在窗口顶部工具栏中, 单击高级 : 4. 单击网络标签 : 5. 单击设置 Firefox 将显示连接设置窗口 : 137

138 6. 选择手动配置代理该选项下的字段将激活 7. 输入 HT T P 代理地址和端口编号, 然后点击确定如果用户选中为所有协议使用该服务器代理,Firefox 将通过代理发送 HT T PS( 加密式 HT T P) 和 FT P 通信如果用户使用的是公共应用代理, 该选项可能不起作用, 因为很多公共代理不支持 HT T PS 和 FT P 通信但另一方面, 如果用户的 HT T PS 和 / 或 FT P 通行被封锁, 用户可以使用支持 HT T PS 和 / 或 FT P 的公共应用代理, 并在 Firefox 中选中为所有协议使用该服务器代理现在,Firefox 已经设置为可以使用 HT T P 代理了 Microsoft IE 浏览器对 IE 浏览器使用 HT T P 代理进行设置 : 138

139 1. 在工具菜单中, 单击互联网选项 : 2. IE 浏览器显示 Internet 选项窗口 : 3. 单击连接标签 : 4. 单击局域网设置弹出的局域网 (LAN) 设置窗口如下图所示 : 139

如果用户选中为所有协议使用相同服务器代理,Internet Explorer 将通过代理发送 HT T PS( 加密式 HT T P) 和 FT P 通信如果用户使用的

140 5. 选中为 LAN 使用代理服务器 6. 单击高级弹出的代理服务器设置窗口如下图所示 : 7. 在第一行文本框中输入代理服务器地址和端口编号 8. 如果用户选中为所有协议使用相同服务器代理,Internet Explorer 将通过代理发送 HT T PS( 加密式 HT T P) 和 FT P 通信如果用户使用的是公共应用代理, 该选项可能不起作用, 因为很多公共代理不支持 HT T PS 和 FT P 通信但另一方面, 如果用户的 HT T PS 和 / 或 FT P 通行被封锁, 用户可以使用支持 HT T PS 和 / 或 FT P 的公共应用代理, 并在 Internet Explorer 中选中为所有协议使用该服务器代理 140

141 现在,IE 浏览器已经设置为可以使用 HT T P 代理了 Google Chrome Google Chrome 和 Windows 操作系统使用相同的连接和代理设置改变这些设置影响 Google Chrome Internet Explorer 和其他 Windows 程序如果你通过 Internet Explorer 配置 HTTP 代理, 那么你接着不需要采取以下步骤配置 Chrome 遵照以下步骤配置你的 HT T P 代理 : 141

142 1. 点击定制和控制 Google Chrome 目录 (URL 地址栏旁边的小扳手 ): 2. 点击选项 : 3. 在 Google Chrome 选项窗口中, 选择高级选项标签 : 4. 在网络部分点击改变代理设置按钮 : 142

之外的某些互联网应用程序也可以使用 HT T P 代理进行互联网连接, 从而可以绕开封锁下面以即时通讯

143 5. 互联网选项窗口将打开, 根据 ( 以上 ) 如何在 Internet Explorer 下配置 HT T P 代理中的第 2-8 步完成 HT T P 代理设置现在,Chrome 已经设置为可以使用 HT T P 代理了 Pidgin 即时通讯客户端网页浏览器之外的某些互联网应用程序也可以使用 HT T P 代理进行互联网连接, 从而可以绕开封锁下面以即时通讯软件 Pidgin 为例, 对使用 HT T P 代理进行配置 1. 在工具 (T ools) 菜单上, 单击预置 (Preferences) : 143

144 2. 单击网络 (Network) 标签, 弹出如下图所示窗口 : 144

145 3. 单击网络 (Network) 标签, 弹出如下图所示窗口 : 4. 在代理类型 (Proxy type) 下拉列表中选择 HT T P 在该选项下方将显示相关的输入框 5. 输入 HT T P 代理的主机地址和端口编号 6. 单击关闭现在,Pidgin 已经设置为可以使用 HT T P 代理了使用代理之后在使用代理之后, 尤其对于公用计算机, 用户应将各项设置恢复为初始值否则, 这些应用程序将继续使用代理如果用户不想其他人知道自己使用了代理或者所用的由特定绕行程序提供的本地代理并不是一直都在运行, 不恢复初始值可能会造成一些问题 145

146 29. 命令行在继续本书剩下的部分之前, 了解命令行是这样工作的是有用的如果你不熟悉命令行, 下面的内容用来帮助你迅速获得基本知识基础虽然电脑上的互动发生得如此之快以至于你来不及想, 每一次点击或者击键是一次给电脑的命令, 它对此作出反应使用命令行是同样的事, 但它更 deliberate 你输入一个命令, 按 Return 或 Enter 键例如, 在我的终端, 我输入 : date 电脑回复 : Fri Feb 25 14:28:09 CET 2011 这个很电脑化在以后的章节里我们将说明如何用一种更合适的格式请求日期和时间我们也将说明在不同的国家工作和用不同的语言是如何改变输出的现在的想法是你已有了一次互动命令行可以做得更好日期 (date) 命令, 就现在所见而言, 没有看一下日历或者时钟好主要问题并不是让人反胃的输出的外观, 我们已提及, 而是不能使用输入做有价值的所有事例如, 如果我正在找日期, 为了将它插入一个我正在写的文档或在我的网络日程表上更新一个活动, 我不得不重新输入命令行可以比这个做得更好如果你知道基本的命令和一些节省时间的有用方法, 你将在这本书找到更到关于将命令的输出输送到其他命令, 自动操作活动, 和保存命令供以后使用的方法我们所将的命令指什么? 在本章的开头我们大量使用命令一词, 指的是告诉电脑做什么的任何方法但是在这本书的语境里, 命令有非常特定的含义它是你电脑上的文件, 可以被执行, 或者在某些情况下是整合到 shell 程序的活动除了内置的命令之外, 电脑通过找到有其名字的文件和执行这个文件运行每个命令当它们变得有用时, 我们将告诉你更多的细节输入命令的方法为跟上这本书, 你需要在你的电脑打开一个命令行解释器 (command-line interpreter) 或者命令行界面 (command-line interface)( 在 GNU/Linux 叫 shell 或者终端 (terminal) 只要一登录, 非图形电脑屏幕就呈现它的解释器现在几乎所有的人除了专业的系统管理员外都使用图形界面, 尽管对许多种用途的使用来说非图形界面仍然更容易和快捷所以我们将告诉你如何来做找到终端你可以从桌面打开终端的界面, 但使用最初的纯文本终端可能更容易要做到这一点, 使用 < ctrl + alt + F1 > 组合键你打开一个几乎空白的屏幕邀请你登录输入你的名字和密码你可以使用其他的终端使用 < alt + F2 > 组合键, 如此等等, 不管你想完成什么任务, 创建会话使用不同 ( 或者相同 ) 的用户在任何时候, 可以使用 < alt + F# > 击键从一个切换到你想要的另一个其中, 可能是 F7 或者 F8, 将让你回到桌面在文本终端, 你可以使用的鼠标 ( 如果你的系统 Gpm ( 通用鼠标守护进程 ) 正在运行 ) 选择一个命令命令行和多行命令你然后可以粘贴文本到在这个终端或其他终端的别的地方 GNU/Linux 发行版包含不同的图形用户界面提供不同的美感和语义隐喻那些运行在操作系统上的被称为桌面环境 (desktop environments) GNOME KDE 和 Xfce 使用最广泛事实上, 每一个桌面环境 (desktop environments) 提供一个模仿旧的过去常常用来作界面的纯文本终端的程序在你的桌面上, 试着在应用程序菜单找到一个叫做终端 (T erminal) 的程序通常它在被叫做附件 (Accessories) 等的菜单上, 它并不是很恰当, 因为一旦你阅读这本书, 你每天将花费大量的时间在终端上在 GNOME 上选择应用程序 (Applications )> 附件 (Accessories) > 终端 (T erminal) 146

147 在 KDE 上, 选择 K Menu -> System -> T erminal 在 Xfce 上, 选择 Xfce Menu -> System -> T erminal 不管它在哪个位置, 你几乎必定能找到终端程序当你运行终端程序, 只会打开一个空白窗口 ; 找不到多少帮助你应该知道怎么做, 我们将教你下图显示在 GNOME 桌面打开的终端 (T erminal) 窗口运行单个命令许多图形界面也提供小的对话窗口, 被叫做运行命令 ( "Run command") 等它显示一个小的文本框, 你可以在那输入命令, 按回车键 (Return or Enter key) 147

148 可以按 < alt + F2 > 组合键, 或通过应用程序菜单搜索, 调用这个对话窗口你可以使用这个窗口作为快速启动终端程序的捷径, 只要你知道安装在你电脑上的终端程序的名字如果你使用一台不熟悉的电脑, 不知道默认的终端程序的名字, 输入 xterm 启动一个基本的终端程序 ( 没有允许选择颜色主题或字体的花哨的菜单 ) 如果你极度地需要这些花哨的菜单, 在 GNOME 默认的终端程序应该是 gnome-terminal 在 KDE 应该是 konsole 在 Xfce 试下 Terminal 或特定版本的终端名字, 如 Xfce 4, 你应该找 xfce4-terminal 148

149 30. 开放虚拟专用网络 ( OPENVPN) 开放虚拟专用网络 (OpenVPN) 是一种广受好评的免费开源虚拟专用网络 (VPN) 解决方案该软件支持大部分 Windows( 即将支持 Windows Vista) 操作系统,Mac OS X 以及 Linux 系统 OpenVPN 是一款基于 SSL 的软件, 也就是说, 它使用的加密技术跟访问以 https 开头的安全网站所使用的技术是一样的一般信息 Supported operating system Localization Web site Support English, German, Italian, French and Spanish Forum: OpenVPN 不适合在网吧, 或其它共享计算机上临时使用, 因为你无法安装其它软件更加详细了解 VPN 和随时可用的 VPN 服务, 阅读本指南中的 VPN 服务这一章一个 OpenVPN 系统包含一台充当服务器 ( 在未屏蔽地区 ) 的计算机, 以及一个或多个客户端该服务器必须可以通过网络访问, 不能被防火墙屏蔽, 并且要有一个可以公开路由的 IP 地址 ( 在某些地方, 搭建服务器的用户必须向其网络服务提供商发出申请 ) 每个客户端连接到服务器, 并且创建一个 VPN 隧道, 这样客户端网络流量就可以通过商业 OpenVPN 提供商有很多, 比如 WiT opia ( /personalmore.html), 每月支付 5-10 美元的费用, 你就可以访问他们的 OpenVPN 服务器这些提供商还会帮助你在计算机上安装设置 OpenVPN 从这里可以找到类似的商业 OpenVPN 提供商列表 : OpenVPN 可以被一个在未过滤地区的可信任的联系人用来, 向一个或多个客户端提供 OpenVPN 服务器, 把客户网络流量转移到自己的计算机上, 然后再转移到网上但是正确安装 OpenVPN 有点复杂安装 OPENVPN 的建议你可以按照 OpenVPN 提供的文档安装自己的 OpenVPN 服务器和客户端如果你想通过 OpenVPN 访问被屏蔽网站, 以下事项对你非常重要 : 客户端 Windows 用户可以使用一个图形用户界面 (GUI), 根据需要启动和停止 OpenVPN, 并且你可以通过配置 OpenVPN 使用 HT T P 代理上网 GUI 下载地址 : 如果你在 Linux 或 Mac OS X 下通过设置 OpenVPN 使用代理服务器, 可以阅读以下相关内容 :( http). 服务器在选择采用路由 (routing) 还是桥接 (bridging) 时, 如果你的客户端只想通过服务器绕开网络审查, 配置桥接没有什么额外好处, 选择路由就行指南中有些地方介绍了如何确保所有客户端流量都经过服务器, 需要特别注意没有该配置, 系统无法帮助你访问被屏蔽网页 ( redirect) 如果客户端计算机位于非常强大的防火墙之后, 并且默认 OpenVPN 端口已经被屏蔽, 你可能需要改变 OpenVPN 端口选择之一就是使用 443 端口, 该端口通常用于访问安全网站 (HT T PS), 并且用用户数据电文协议 (UDP) 取代传输控制协议 (T CP) 经过这样的设置, 防火墙就很难区分 OpenVPN 流量和普通安全网络流量了为此, 在客户端和服务器配置文件的靠近上方处, 把 proto udp 换成 proto tcp, 把 1194 端口换成 443 端口优势与风险 149

150 一经正确安装和配置,OpenVPN 可以非常有效地绕开网络过滤器由于所有流量都已经在客户端和服务器之间进行加密, 并且从单一端口通过, 很难将其与其它安全网站的流量区分开来, 比如访问在线购物网站或其它加密服务的网络流量 OpenVPN 可用于所有网站流量, 其中包括网页流量, 电子邮件, 即时通讯, 以及 IP 语音电话流量只要你信得过 OpenVPN 服务器提供者, 并且根据 OpenVPN 文档说明正确安装相关证书和密钥,OpenVPN 还可以提供一定程度的反监视保护记住, 流量只是在 OpenVPN 服务器这里经过加密, 在此之后, 流量就会在未经加密的情况下传输到网上了 OpenVPN 主要的缺点就是安装和配置比较复杂, 并且需要访问未屏蔽地区的服务器此外,OpenVPN 无法提供可靠的匿名代理服务 150

151 31. SSH 隧道加密技术 SSH, 即安全外壳 (Secure Shell), 是一种标准协议, 可对你的计算机和服务器之间的通信内容进行加密该加密技术可以防止通信内容被网络运营商查看或修改 SSH 可广泛应用于安全通信应用, 最常见的就是安全登录服务器, 以及安全文件转移 ( 安全复制协议,SCP 或安全文件传输协议,SFT P) SSH 尤其适用于绕开网络审查, 因为它可以提供加密隧道, 充当一个通用代理客户端审查者不能完全屏蔽 SSH, 因为它不仅仅用来绕开网络审查 ; 比如系统管理员也会使用 SSH 通过网络管理服务器使用 SSH 时需要一个服务器上的账户, 通常使用 Unix 或 Linux 服务器为了绕开审查, 该服务器需要能自由访问网络, 并且提供者最好是信得过的人有些公司也销售服务器账户, 并且很多网络虚拟主机服务可以提供 SSH 访问你可以在这里找到一个外壳账户提供商名单 : op/computers/internet/access_providers/unix_shell_providers/, 每个账户每月收费 2-10 美元大部分 Unix,Linux, 和 Mac OS 计算机上已经预装了一个叫做 OpenSSH 的 SSH 程序, 作为一个命令行程序, 从终端计算机上输入 ssh 就可以运行 Windows 用户也可以使用一个叫做 PuT T Y 的免费 SSH 工具所有新版 SSH 都支持创建防火墙安全会话转换协议 (SOCKS) 代理, 允许网页浏览器和很多其它软件通过加密 SSH 链接使用未经屏蔽的网络在本例中, 我们仅讨论 SSH 的这种应用下列步骤将在计算机的本地 1080 端口上设置一个 SOCKS 代理 LINUX/UNIX 以及 MACOS 命令行 ( 以 OPENSSH 为例 ) 你可以从得到 OpenSSH, 但一般 Linux/Unix 和 Mac OS 计算机上会预装该程序你将运行的 ssh 命令包括一个本地端口号 ( 典型的是 1080), 一个服务器名称和一个用户名 ( 帐户名 ) 如下所示 : ssh -D localportnumber accountname@servername 例如 : 然后会提示你输入密码, 接着你就可以登录到服务器通过使用 -D 选项, 你可以建立一个本地 SOCKS 代理, 只要你的计算机连接在服务器上, 该代理就不会消失注意 : 现在你可以验证主机密钥并配置你的程序了, 否则你将不能使用你创建的隧道! WINDOWS 图形用户界面 ( 以 PUTTY 为例 ) 你可以从下载到 PuT T Y 你可以把 putty.exe 程序保存到你的硬盘上, 以备将来使用, 或者你也可以直接从网站上运行该程序 ( 通常, 你可以在共用或公共的计算机上实现, 比如图书馆或者网吧里的计算机 ) 启动 PuT T Y 后, 你可以看到一个配置对话框首先, 你要输入打算连接的 SSH 服务器的主机名 ( 地址 )( 这里比如 example.com) 如果你只知道 IP 地址, 或者 DNS 屏蔽让你无法使用主机名, 你可以用 IP 地址代替如果你需要经常进行此操作, 你可以创建一个 PuT T Y 档案, 这样就可以保存这些选项及后续选项以便将来使用 151

152 接下来, 在目录 (Category) 列表选择连接 (Connection)--> SSH, 然后选择隧道 (T unnels) 在源端口 (Source port) 后输入 1080, 然后选中动态 (Dynamic) 和 Ipv4 选项框现在点击添加 (Add) 按钮, 接着点击打开 (Open) 按钮之后会建立一个到服务器的连接, 然后会弹出一个窗口, 提示你输入用户名 (username) 和密码 (password) 输入这些信息后你就可以登录到服务器, 然后会收到一条来自服务器的命令行提示这样就建立了 SOCKS 代理注意 : 现在你可以验证主机密钥并配置你的程序了, 否则你将不能使用你创建的隧道! 152

153 主机密钥验证当你第一次连接到服务器时, 会提示你确认该服务器的主机密钥指纹 (host key fingerprint) 主机密钥指纹是一长串可以安全识别特定服务器的字母和数字 ( 十六进制 ), 比如 :57:ff:c9:60:10:17:67:bc:5c:00:85:37:20:95:36:dd 检查主机密钥指纹是一项安全措施, 可以确保你是在和你认为你连接的服务器进行通信, 并且加密后的连接无法破解 SSH 并不提供自动验证方法为了享用该安全机制带来的好处, 你应该和服务器提供者一起核对主机密钥指纹, 或者让一个信得过的人连接同一台服务器, 看其是否可以看到同样的指纹如果你想确保让 SSH 保护你的通信内容不被窃听, 验证主机密钥指纹就很有必要 ; 但如果你只想绕开审查, 而不在乎网络运营商时候可以看到你的通信内容, 则没有必要验证指纹配置程序, 使用代理只要你不关闭 SSH 程序, 通过以上步骤建立的代理会一直有效但如果你的网络连接被中断了, 你需要重复上面的步骤, 重新激活代理启动并运行代理之后, 你需要设置软件以使用代理通过以上步骤, 你得到的是一个位于本地主机 (localhost) 的 SOCKS 代理, 端口为 1080( 也即 , 端口 1080) 你应该确保软件设置可以阻止 DNS 泄漏, 否则 SSH 的隐私保护和审查绕行效果可能会受到影响更多选项到目前为止, 所有这些命令都显示在远程计算机上, 接着你可以从该远程计算机执行其提供给你的任何命令有时你可能想要在远程计算机上只执行一个命令, 随后返回你的本地计算机上的命令行这可以通过将要在远程计算机上执行的命令放在单引号中实现 $ ssh remoteusername@ othermachine.domain.org 'mkdir /home/myname/newdir' 有时, 你需要在远程计算机上执行耗时命令, 但你不能确保你当前的 ssh 会话有足够的时间如果你在命令执行完成前关闭远程连接, 那么该命令将被中止为了防止你的任务丢失, 你可以通过 ssh 启动一个远程窗口会话, 然后断开它, 并在你想的任何时候重连它要断开一个远程窗口会话, 只要关闭 ssh 连接即可 : 断开的窗口会话将仍运行于远程计算机上 ssh 提供了许多其他选项你也可以设置你最喜爱的系统允许不用每次输入你的密码就可以登录或运行命令该设置是复杂的, 但可以节省你很多的输入工作 ; 尝试对 ssh-keygen sshadd 和 authorized_keys 做一些网络搜索 scp: file copying SSH 协议超出了基本 ssh 命令一种基于 SSH 协议的特别有用的命令是 scp, 即安全复制命令下面的例子从你本地计算机上的当前目录复制一个文件到远程计算机上的目录 /home/me/stuff $ scp myprog.py me@ othermachine.domain.org:/home/me/stuff 请注意, 该命令将覆盖已存在于 name /home/me/stuff/myprog.py 的任何文件 ( 或者当已有该名称的文件且你无权重写它时, 你将得到一个错误信息 ) 如果 /home/me 是你的主目录, 那么目标目录可以被缩写 $ scp myprog.py me@ othermachine.domain.org:stuff 在另一个方向, 你也可以如此简单地复制 : 从远程计算机到你的本地计算机 $ scp me@ othermachine.domain.org:docs/interview.txt yesterday-interview.txt 远程计算机上的文件是你主目录的 docs 子目录中的 interview.txt 这个文件将被复制到你本地系统主目录中的 yesterday-interview.txt scp 可被用于从一个远程计算机向另一个远程计算机复制文件 $ scp user1@ host1:file1 user2@ host2:otherdir 要循环复制一个目录中的所有文件和子目录, 可以使用 -r 选项 $ scp -r user1@ host1:dir1 user2@ host2:dir2 查看 scp 手册页以获得更多选项 RSYNC: 自动批量传输和备份 153

154 rsync 是一个非常有用的命令, 其可以使远程目录和本地目录保持同步我们在此提到它是因为其像 ssh 一样是进行网络活动的有用的命令行形式, 同时也因为 SSH 协议被推荐为 rsync 的底层传输以下是一个简单而有用的例子其从你的本地 /home/myname/docs 目录向 system quantum.example.edu 上你的主目录中名为 backup/ 的目录复制文件实际上,rsync 减少了通过各种复杂检查必须的复制量 $ rsync -e ssh -a /home/myname/docs me@ quantum.example.edu:backup/ 指向 ssh 的 -e 选项使用被推荐的底层传输 SSH 协议 -a 选项 ( 代表存档 ) 复制指定目录内的一切东西如果你想在本地系统上的文件被复制后将其删除, 那么要包含一个 -- 删除选项经常使用 SSH 使你的生活更容易如果你使用 SSH 连接到许多不同的服务器, 你经常会出现误输用户名或者甚至是主机名的错误 ( 试想要尝试记住 20 个不同的用户名 / 主机的组合 ) 值得庆幸的是,SSH 提供了一种简单的方法来通过一个配置文件管理会话信息该配置文件隐藏在.ssh 目录 ( 完整路径可能类似 /home/jsmith/.ssh/config- 如果该文件不存在, 你可以创建它 ) 下你的主目录中使用你最喜爱的编辑器打开这个文件, 并像这样指定主机 : Host dev HostName example.com User fc 你可以像这样在你的配置文件里设置多个主机, 在保存以后, 通过运行以下命令连接到你成为 dev 的主机 $ ssh dev 请记住, 你经常使用这些命令越多, 你节省的时间也就越多 154

155 32. SOCKS 代理 SOCKS 是一种互联网协议, 它显示了一种特殊的代理服务器 SOCKS 代理的默认端口是 1080, 但它们也可能在其他端口上与普通的 HT T P 代理的实际区别是,SOCKS 代理不仅可以用来网络浏 Web 浏览, 但也可为其他应用程序使用, 如视频游戏文件传输或即时通信客户端和 VPN 类似, 它们作为一个安全的隧道普通的 SOCKS 版本包括 4,4A 及 5 第 4 版创建一个连接总是需要 IP 地址, 所以 DNS 解析仍然在客户端上进行这使得它不能满足很多绕行需要 4A 版通常使用主机名第 5 版包括身份验证 UDP 和 IPv6 等新技术, 但它通常使用 IP 地址, 所以它也可能不是完美的解决方案另见本章末尾的 DNS 泄漏部分各种软件可以利用 SOCKS 代理来绕过过滤器或其他限制, 不仅仅是浏览器, 还包括即时通信和电子邮件应用程序等其他互联网软件尽管确实存在公共 SOCKS 代理, 但大部分 SOCKS 代理运行在你的本地计算机上, 并且由软件程序提供因为 SOCKS 隧道非常灵活, 一些审查绕行软件可以在你的计算机上创建一个本地代理 ( 通常可以通过账户名 localhost 或者 IP 地址访问 ) 这个本地代理可以让网页浏览器等软件使用绕行软件这类工具包括 T or,your-freedom, 以及通过 PuT T Y 安装的 ssh 隧道本地代理爱好者 T 恤 ( 明白了?) 为了使用应用代理绕开审查, 在和其它网络通信时, 你必须让本地计算机上的软件知道你想使用代理有些网络软件通常不支持代理, 因为软件开发者没有提供代理支持但很多软件可以通过 SOCKS 化 (socksifier) 软件支持 SOCKS 代理, 这些软件的一些例子包括 : tsocks ( 支持 Unix/Linux WideCap ( 支持 Windows ProxyCap ( 支持 Windows 配置应用软件 155

156 在大多数情况下, 通过设置软件使用 SOCKS 代理的方法和使用 HT T P 代理的方法差不多软件如果支持 SOCKS 代理, 在它的菜单或者选项对话框里设置 HT T P 代理的地方通常会有一个单独的部分让你设置 SOCKS 代理有些软件会让你选择 SOCKS 4 或 SOCKS 5 代理设置, 一般选择 SOCKS 5 更好, 但有的 SOCKS 代理只支持 SOCKS 4. 有些软件, 如火狐 (Firefox) 允许用户同时设置 HT T P 和 SOCKS 代理这种情况下, 你就可以在正常网页浏览时使用 HT T P 代理, 当访问视频播放等内容使用 SOCKS 代理 Mozilla Firefox 配置 Mozilla Firefox 使用 SOCKS 代理 : 156

157 1. 选择工具 (T ools) 菜单, 点击选项 (Options) : 2. 会出现选项 (Options) 窗口 : 3. 在窗口顶部工具栏选择高级 (Advanced) : 4. 点击网络 (Network) 选项卡 : 5. 点击设置 (Settings) 火狐弹出连接设置 (Connection Settings) 窗口 : 157

158 6. 选择手动设置代理 (Manual proxy configuration), 然后其下的选项就可以更改了 7. 输入 SOCKS 代理 (SOCKS proxy) 地址和端口 (Port) 号, 选择 SOCKS v5 然后点击 OK 现在火狐就可以使用 SOCKS 代理了微软 IE 浏览器通过以下步骤让 IE 浏览器使用 SOCKS 代理 : 158

159 1. 在工具 (T ools) 菜单选择 Internet 选项 (Internet Options) : 2. IE 弹出 Internet 选项 (Internet Options) 窗口 : 3. 单击连接 (Connections) 选项卡 : 4. 单击 LAN 设置 (LAN Settings),IE 会弹出局域网设置 (Local Area Network (LAN) Settings) 窗口 : 5. 选择为 LAN 使用代理服务器 (Use a proxy server for your LAN) 然后点击高级 (Advanced) IE 弹出代理设置 (Proxy Settings) 窗口 : 159

160 6. 确保没有选中为所有协议使用同一代理服务器 (Use the same proxy server for all protocols) : 7. 在 SOCKS 行输入使用的代理地址 (Proxy address to use) 和端口 (Port) 号, 然后点击 OK : 现在 IE 就可以使用 SOCKS 代理了为其他程序设置 SOCKS 代理除浏览器之外的很多网络程序也可以通过 SOCKS 代理连接到网络, 绕开网络屏蔽以下设置的即时通讯软件 Pidgin 就是一个典型的例子, 但是设置其它软件使用 SOCKS 代理的具体步骤可能略有不同 160

161 161

162 1. 在工具 (T ools) 菜单单击首选项 (Preferences) : 2. Pidgin 会弹出首选项窗口 : 3. 点击网络选项卡 4. 在代理类型 (Proxy type) 里选择 SOCKS 5, 然后会出现更多选项 162

提供本地代理的绕行程序没有同时运行, 这会带来麻烦 DNS 泄漏使用 SOCKS 代理会存在一个严重的问题, 即有些支持 SOCKS 代理的程序不会一直通过代理进行网络通信最常见的就是域名系统 (DNS) 请求可能不通过代理发出这种 DNS

163 5. 输入你想使用的 SOCKS 代理的主机 (Host) 和端口 (Port) 号 6. 点击关闭 (Close) 这样 Pidgin 就可以使用 SOCKS 代理了用完代理之后在你用完代理之后, 尤其是在共享计算机上, 一定要把修改过的设置恢复到默认状态不然, 这些程序将继续尝试使用代理如果你不想让别人知道你用过代理, 或者提供本地代理的绕行程序没有同时运行, 这会带来麻烦 DNS 泄漏使用 SOCKS 代理会存在一个严重的问题, 即有些支持 SOCKS 代理的程序不会一直通过代理进行网络通信最常见的就是域名系统 (DNS) 请求可能不通过代理发出这种 DNS 泄漏会造成隐私问题, 并可能导致你试图利用代理绕过的 DNS 被屏蔽软件是否存在 DNS 泄漏问题视版本不同而不同 Mozilla Firefox 当前的默认设置存在 DNS 泄漏问题, 但是你可以通过永久设置更改阻止 DNS 泄漏, 避免 DNS 泄漏的发生 : 1. 像输入网址一样在火狐地址栏输入 about:config ( 你可能会看到一个关于改变高级设置的警告 ): 2. 如有必要, 点击我会小心, 我保证!(I'll be careful, I promise!) 来确认你想修改浏览器设置浏览器会显示一个配置设置信息列表 3. 在过滤器 (Filter) 一栏输入 network.proxy.socks_remote_dns 这里只会出现这一个设置选项 4. 如果该设置的值为假 (false), 双击改变为真 (true) 163

164 现在火狐就可以阻止 DNS 泄漏了一旦该值显示为真 (true), 火狐就会自动永久保存该设置如果不使用外部程序, 目前还无法阻止微软 IE 浏览器内的 DNS 泄漏问题在本文撰写时, 使用 SOCKS 5 代理的 Pidgin 软件还没有发生过 DNS 泄漏的情况 164

165 HELPING OTHERS 33. 研究和记录审查 34. 应对端口封锁 35. 安装网页代理 36. 运行代理的风险 37. 网站管理员的最佳做法 38. 设置一个 TOR 中继 165

33. 研究和记录审查在许多国家, 存在政府审查互联网不是秘密审查的范围和方法已被记录, 如这些书 :Access Denied: The Practice and Policy of Global Internet Filtering 和 Access Controlled: The Shaping of Power,

166 33. 研究和记录审查在许多国家, 存在政府审查互联网不是秘密审查的范围和方法已被记录, 如这些书 :Access Denied: The Practice and Policy of Global Internet Filtering 和 Access Controlled: The Shaping of Power, Rights, and Rule in Cyberspace, 都由 Ronald Delbert, John Palfrey, Rafal Rohozinski 和 Jonathan Zittrain 编辑 ( 网址 : 和当一个流行的网站被广泛地封锁, 这一事实易于被为这个国家所广泛了解然而, 有些国家 ( 包括相当活跃的审查国家 ) 官方否认存在审查, 或者伪装成随机的技术错误如果你遭受审查, 你可以用你的情况帮助他人 ( 包括研究审查的国际学者和活动家团体 ) 了解审查并可能公布它当然, 你需要小心 : 否认网络审查实践的国家可能并不欣赏你参与揭发他们的活动研究审查知识数据库一些审查知识数据库最近几年已被公开它们中有些是众包的 (crowd-sourced), 但它们都被这个领域的专家验证它们不断更新以保持信息和被封锁网站的列表尽可能准确部分数据库网址如下 : Herdict Web: Alkasir Map: 在一个更大的地理范围, OpenNet Initiative 和 Reporters without Borders 定期对每个国家发布网络状态的报告 OpenNet Initiative 研究报告 : Reporters Without Borders( 无国界记者 ) 网络敌人 : 使用 HERDICT 被告被封锁网站 Herdict ( 是一个聚合无法进入的网站报告的网站它由美国哈佛大学 Bekman 互联网和社会研究中心的研究人员运营, 他们研究互联网是如何被审查的 Herdict 的数据并不完美, 例如许多用户并不能区分一个网站因为技术故障或者输错地址不可以使用和真正的审查, 但数据在世界范围内收集并经常更新上图是 Facebook 报告的概貌你可以通过他们的网站提交你自己的报告给 Herdic, 帮助这些研究人员它是免费的, 容易使用, 你甚至不需要注册你也可以注册以获得一个网站将来封锁通知的消息 166

167 Herdict 也提供 Firefox 和 Internet Explorer 浏览器的附加组件, 使得报告你浏览时网站是否被封锁变得更简单使用 ALKASIR 报告被封锁网站 Alkasir 是一款审查绕行工具, 允许用户轻轻点击报告被封锁的地址 "Report Blocked URLs" 按钮, 报告被封锁的网站 Alkasir 有一个相关的每个国家被封锁网站列表, 可以自动检查其他网址的可用性通过使用报告功能, 你可以轻松地对这一研究做出贡献你可以在使用 Alkasir 这一章了解更多关于如何使用这个工具的内容允许他人远程访问你可以通过允许研究人员远程访问你的电脑, 使用它进行他们自己的测试, 帮助审查研究你只有在你信任研究人员和你提供给他们访问的性质的情况下才这样做, 因为他们可以完全控制你的电脑, 对你的互联网服务提供商和政府来说, 他们在你电脑上做的任何事看起来跟你做的一样对 GNU/Linux 操作系统, 一个 shell 帐号是最好的选择, 你可以在和其他网站上找到安装帮助对 Windows 操作系统, 内置的远程桌面 (remote desktop ) 功能应该被使用你可以在上找到说明你可能也需要在你连接互联网用的路由器盒改变端口转发 (port forwarding) 设置, 这有解释 : 远程访问的另一个解决方案是免费工具 T eamviewer ( 所有操作系统都可以使用它对比记录记录网络审查的基本技术是尝试访问大量的网络资源, 如一长串网址, 从不同的地方访问, 然后对比结果是否有些网站在一些地方加载失败而在其他地方则不是? 这些差别是持续的和系统的吗? 如果你有可靠的绕行技术如 VPN, 你自己可以进行一些实验, 对比有绕行工具和没有绕行工具网络是怎样的例如, 在美国这是用来记录互联网服务提供商是如和中断点对点文件分享软件使用的方法对比可以用自动操作的软件或手工进行数据包嗅探如果你熟悉互联网协议是如果工作的技术细节, 数据包嗅探工具如 Wireshark ( 可以让你记录你电脑目前传输和接受的网络数据包 167

168

169 应对端口封锁网络防火墙可以用来封锁指向一个特定端口 (port) 上的所有的通信这个用来阻止使用一个特定端口或某种网络软件为绕开这一网络限制, 互联网服务提供商和用户可以用非标准的端口访问服务这允许软件绕开简单的端口封锁许多软件应用可以轻松使用非标准端口号网页的网址有一个特别方便的方法, 就在网址里进行例如, 网址可以告诉浏览器在端口 8000 向 example.com 进行一个 HT T P 请求, 而不是默认的 http 端口 80 当然, 这只有在上网站服务器软件已经期待端口 8000 上的请求才可以测试端口屏蔽你可以利用 T elnet 来测试你连接中的哪些端口被封锁只需打开命令行, 键入 telnet login.icq.com 5555 或 telnet login.oscar.aol.com 5555, 然后按下 Enter( 回车键 ) 其中的数字是想要测试的端口如果返回一些奇怪的字符, 说明连接成功相反, 如果计算机立即报告连接失败超时或中断断开或重置, 那么说明该端口很可能已被封锁 ( 请注意, 某些端口可能只对于某些特定 IP 地址是封锁的 ) 169

170 35. 安装网页代理如果你在一个不审查互联网访问的国家有访问网络服务器的权限, 你可以安装一个网页代理, 其是以 PHP Perl Python 或 ASP 程序语言编写的小软件基于网页的绕行软件的安装需要一些专业技术知识和资源 ( 一个兼容的网络主机和足够的带宽 ) 如果你想要安装你自己的网页代理, 你需要以下之一 : 一个有 PHP 支持的网络主机空间 ( 其可以年费从类似或的主机公司购买, 或者由你的学校或大学提供 ) 一个虚拟的 (VPS) 或专用的服务器 ( 这更昂贵且使用起来更复杂 ) 一台连接到宽带连接的个人电脑 ( 有一个公共路由 IP 地址 ) 公共和私人网页代理公共网页代理对每个想搜索其的人都可用, 例如在像谷歌一样的搜索引擎上公共网页代理和匿名服务可能被用户和那些实施过滤的当局发现, 因此, 他们更容易被列入黑名单私人网页代理的位置只有目标用户知道因此, 私人网页代理最适合需要稳定网络连接绕行服务及有值得信任的拥有足够的技术能力与可用带宽设置和维护网页代理的联系人在未过滤地点的用户私人网页代理被发现和封锁的几率低于那些公共绕行服务其也是仅对网络连接可用的最灵活的绕行选择, 且比公共网页代理更不容易被发现和封锁, 特别是当它使用 SSL 加密时网页代理的功能网页代理可以根据终端用户的具体需要而进行不同程度的定制通常定制内容包括更换服务器运行端口或者使用 SSL 加密由于一些黑名单中会包括一些和常用代理软件相关的关键词, 所以通过改变默认 URL 脚本名称或者用户界面元素, 也可以降低代理服务被自动探测和封禁的风险通过使用用户名和密码启用.htaccess 可用保护网页代理的使用当使用 SSL 加密时, 也可以在服务器的根目录下建立一个伪装页面, 然后用随机路径和文件名把网页代理掩饰起来虽然监控者可以发现你使用的服务器, 但却不会发现代理路径, 因为它是经过加密的例如, 如果一位用户链接到监控者会发现该用户打开的是 example.com, 但却不会知道他实际上打开的是网页代理如果网页代理运营商在 example.com 上放了一个伪装页面, 那么通过监控网络传输就不太可能发现这个网页代理一个在所有流行的网络浏览器中被信任的有效 SSL 证书可用在免费获取在互联网上有很多免费的开源网页代理他们主要的不同在于其编写的程序语言, 因为并不是每个网络服务器都支持每种程序语言另一个较大的不同是使用像 AJAX( 被 Gmail 或 Facebook 使用 ) 或 Flash 视频流 ( 被 YouT ube 使用 ) 技术的现代网站脚本的兼容性常用的网页代理程序包括 : CGIProxy ( 一个以 Perl 程序语言编写的可以提供 HT T P 和 FT P 代理的 CGI 脚本 Peacefire's Circumventor ( 一个自动安装的程序, 可以让没有技术背景的用户在 Windows 平台上方便地安装和调试 CGIProxy SabzProxy ( 一个 HT T P 和 FT P 代理其基于以 PHP 编写的 PHProxy 的程式码, 有一些新的功能, 比如随机编码 URL, 使其更难封锁 Glype Proxy ( 另一个免费使用基于网络的代理脚本, 同样以 PHP 编写这些网页代理的网站提供有关如何安装它们的说明基本上, 这包括下载脚本在本地硬盘提取通过 FT P 或 SCP 上传脚本到你的网络服务器设置权限和检测脚本以下是安装 SabzProxy 的例子, 不过对其他网页代理来说步骤是类似的 INSTALLING SABZPROXY SABZPROXY 只波斯语的界面可用, 但 GUI 更简单且容易理解 170

171 这些说明描述了最常见的情况 : 使用 FT P 传输 SabzProxy 到一个已支持 PHP 的网络空间帐户使用该技术, 你同样需要一个像 FileZilla ( 的 FT P 客户端虽然这种方法最常见, 但并不适用于每种情况 ( 例如当你通过命令行设置你自己的服务器时 ), 不过, 这些步骤应该是类似的 1. 第一步是从下载 SabzProxy 压缩文件 2. 接下来, 通过鼠标右键点击该.zip 文件和选择提取所有以提取其内容 3. 用基础文本编辑器打开 config.php 文件 ( 例如,Windows 中的 Notepad Linux 系统中的 Gedit 或 Nano MacOS 中的 T exteditor) 4. 编辑第 8 行, 以 $config_key 开头在之间输入一个随机字符串该字符串将被用于随机化 URL 编码, 因此使其尽可能地随机 5. 你也可以配置一些选项, 比如欢迎文本和链接 6. 打开 FileZilla, 输入你网络空间的 ( 主 ) 服务器用户名和密码, 点击快速连接 ( 或者类似的, 如果你正是用一个不同的 FT P 客户端 ) 7. FT P 客户端窗口的左部代表你的本地个人电脑, 因此你可以找到你刚提取在这里的 SabzProxy 文件 8. 将文件从 FT P 客户端窗口的左部拖放到右部, 右部代表远程 FT P 服务 ( 你的网络空间 ) 9. 现在, 你可以通过浏览你的网络空间域和你上传 PHProxy 的目录访问 SabzProxy ( 如在的例子中 ) 如这不起作用, 那么你的服务器帐户可能不支持 PHP, 或者 PHP 支持可能已失效或需要额外的步骤请参考你的帐户文件或者使用的网络服务器软件你也可以找一个合适的技术支持论坛或向你的网络服务器运营商询问更多的帮助 171

172 36. 运行代理的风险当你在电脑上提供在线代理服务或使用代理软件时, 通过代理发出的请求和连接就会显示发自你的电脑你的计算机代表其他互联网用户, 因此, 他们的活动被认为是你做的, 好像你自己做了这件事如果有人使用代理发送或接受第三方所反对的资料, 你可能会被投诉要求承担责任并停止这种行为在一些情况下, 使用代理还会带来法律问题, 或者引起你所在国家或其他国家执法机关的注意一些国家的代理提供商曾经收到过法律投诉, 而且在有些案子中, 执法机关甚至还没收了提供代理服务的电脑造成这种情况的原因可能有以下几个 : 有人误以为代理服务提供者亲自参与了通过代理进行的活动有人可能认为代理服务提供者在法律上有义务制止某些代理使用行为有人可能希望检查代理服务 ( 比如查找代理服务运行日志 ) 以获取某人进行过某种活动的证据如果你认为在你所在地区提供代理服务会有风险, 最好把代理服务放在数据中心的一台专用电脑上这样, 不会吸引别人注意你的家庭互联网连接不通国家向代理提供者提供的法律保护方式和程度可能会有所不同如想知道你所在国的具体规定, 你可以咨询律师或所在国法律专家运行公共代理的风险网络服务提供商 (ISP) 也可能会因为你提供代理服务而投诉你, 特别是当他们收到代理被滥用的申诉时一些 ISP 会声称运行公共代理违反了他们的服务条款, 或者他们干脆不想让用户运行公共代理这些 ISP 可能会断开你的网络, 或者威胁会在将来断开你的网络一个公共代理可能被世界各地的许多人使用, 可能使用大量的带宽和流量, 所以在使用非固定收费的互联网服务提供商时, 应采取预防措施, 以避免在月末支付很多的流量费用运行私人代理的风险如果为了你个人或一小部分人的需要而运行非公共的代理, 虽然也会有一定风险, 但其风险要比运行公共代理小许多如果你建立的非公共代理被发现并监控, 监控者就会意识到或推断出你正在通过连接帮助用户避开网络过滤与公共代理相比, 你所在地的 ISP 对私人代理不太排斥, 但一些 ISP 会的反代理政策非常全面, 甚至不允许你利用他们的网络提供私人代理服务数据保留法律可能会管制代理服务在某些国家, 用来限制匿名使用的数据保留法律或相似法律, 也可能适用于管制代理服务如想了解更多关于数据保留的信息, 请参阅 elecommunications_data_retention. 172

173 37. 网站管理员的最佳做法运营一个网站, 无论是否有广大的读者, 不总是容易考虑自己的安全和访问者的安全是重要的当网站出人意料地在某个国家被封锁, 网站管理员常常感到惊奇如果大量的访问者不能访问网站, 网站的经营者可能也会遇到经济问题失去网站的内容或者服务器, 或者不得不架设新的服务器, 也是件令人不安和沮丧的事这一章试图收集一个运营网站需要记住的好的做法和建议的清单保护你的网站一直定期在至少一台其他的物理计算机上自动备份 ( 文件和数据库 ) 确保你知道怎么还原它监控你的流量了解你的访问者来自哪些国家你可以使用地理位置数据库猜测一个 IP 地址来自哪个国家如果你注意到来自某个国家的流量有较多的下降, 你的网站可能被屏蔽了你可以在区域被封锁网站数据库如 Herdict ( 上分享保护你的网站, 尤其你使用 CMS (Content Management System) 时总是按照最新的稳定更新修复安全漏洞进行高度安全性设置, 保护你的网络服务器软件 ( 你可以找到大量的关于如何保护 Linux 网络服务器的网络资源 ) 注册 ( 或转移 ) 你的域名到其他的 DNS 提供商, 它不是你的空间服务商如果你现在的提供商遭到攻击, 你可以轻松地将你的域名指向新的空间服务商你也可以创建一个镜像服务器, 作为一个你可以轻松转换的备用品学会怎样将你的 DNS 服务转换到镜像服务器考虑你的网站托管到国外, 在那内容较少受到争议并清晰地受到法律保护这意味着你的访问者加载网页所花的时间有一点延时 ( 通常几毫秒 ), 如果在你所在的国家你的网站的内容被认为非常有争议, 你可以避免很多麻烦使用你的访问者可能使用的主要的绕行工具测试和优化你的网站检查和修复任何无法显示的页面或者功能理想地, 让那些没有 JavaScript 或插件的访问者可以使用你的网站, 因为当人们使用代理时这些可能不能被使用避免使用 FTP 上传你的文件 FT P 在网上发送你的密码没有加密, 使得窃听者容易窃取你的登录信息考虑用 SFT P (File T ransfer Protocol over SSH), SCP, 或者 secure WebDAV (over HT T PS) 替代使用其他的端口进入你的后台黑客经常自动扫描标准的端口发现漏洞考虑将你的端口改成非标准的 ( 如 SSH), 将受攻击的风险最小化通过在服务器安装 DenyHosts(( 之类的工具保护你的服务器, 将超过一定时间登录失败的 IP 地址列入黑名单, 保护你的服务器免受暴力攻击保护你自己如果作为网站管理员保持匿名对你来说重要的话, 这些技巧可以帮助你防止可能的人身伤害使用匿名的跟你真实身份无关的电子邮件地址和名字如果你有一个专用的域名, 你可以在 WHOIS 公开数据库通过使用叫做 "WHOIS proxy", "WHOIS protect" 或 "domain privacy" 的服务输入假的信息更新网站时使用 T or 等服务保持匿名保护你的访问者除了保护网站和你自己, 保护访问者免受可能的第三方监视也重要, 尤其他们向你的网站提交内容 173

174 配置 HT T PS, 这样你的用户可以使用加密连接访问你的网站, 自动查看正在传送的内容和弄清楚你的身份将变得更难确保你 HT T PS 配置覆盖你整个网站和使用其他配置 HT T PS 的最佳做法你可以在上找到如何正确配置它的信息你也可以在上就很多技术参数进行自动测试尽可能在日志中减少保存的数据没有必要, 不要保存 IP 地址或者其他与你访问者有关的个人人数据加密关键的用户数据如密码, 例如使用 salted hashes 外部的服务如 Google Analytics 或者其他第三方内容如广告网络难以控制避免使用它们为你的网站创建一个轻的和安全的版本, 没有 Flash 或者 Javascript 嵌入代码, 和 T or 以及低带宽的网络连接相容教育你的访问者 Teach your users how to use circumvention tools, and be able to improve their online security. Make a digital safety checklist available so your visitors can be sure they are not being monitored or attacked. 教你的用户使用绕行工具和改进他们的网络安全制作一个数字安全清单, 你的访问者可以确保他们没有被监视或攻击向你的访问者分享绕行工具托管网页代理 ( 如 SabzProxy 或 Glype Proxy). 通过邮件或者你的社交网络向你的访问者分享它们如果你在私人节点有一个帐号, 向他们发送赛风 (psiphon) 邀请如果你有一个装用的服务器, 安装其他种类的网页代理和应用代理, 并分享它在你的网站连接这本指南或者相关的绕行工具增加发行渠道网站管理员可以而且应该为尽可能地传播他们的内容而采取不同的措施防止被关闭或者被封锁创建一份简讯 (newsletter), 通过邮件发送新内容的定期更新当你的读者不再能访问你的网站时, 你仍然能联络他们创建 RSS 种子, 确保它包含全文而不是摘要 ( 片段 ) 这样你的内容可以轻易地被第三方网站和应用如 Google Reader 解析, 在不能直接访问的地方它们可以用来阅读你的内容在流行的社交网络平台分享你的内容, 如 Facebook 或者 T witter, 它们难以被封锁尽可能传播你的内容让你的内容可以被下载例如, 维基百科将它的全部内容作为数据库转储发送, 可以轻松地用来在别处创建有着同样内容的新的镜像网站考虑采用开放授权协议 ( 如 GPL 或者 Creative Commons) 发表你的文章, 它允许每个人重新使用你的内容和创建镜像在文件分享托管服务如 Rapidshare.com 或者 Megaupload.com 上, 以及点对点文件分享软件如 Bittorrent 上备份你的文件配置你的网络服务器让它也能服务在其他端口的内容, 而不仅仅是标准端口 80 (http) 和 443 (https) 提供一个应用程序界面 (API (application programming interface) ), 如 T witter 或者维基百科 (Wikipedia) 所做的, 可以允许他人通过第三方软件自动访问你的内容减少你的页面加载时间减少你的页面加载时间不仅可以节省你的带宽和金钱, 也可以帮助来自发展中国际的访问者更好地访问你的信息一个好的加快你网站的最佳做法的列表可以在和找到 174

175 采用简约风格考虑将图片最小化, 使用 CSS 设计你的布局一个好的关于 CSS 的介绍可以在找到优化你的图片使用 OptiPNG ( 之类的程序优化它们, 让你的图片加载速度更快另外, 如果你不需要, 不要使用 HT ML 改变图片的大小 ( 例如, 你需要一个 60x60 的图片, 直接调整它的大小, 而不是使用 HT ML) 尽量减少 Java JavaScript Flash 和其他可在客户电脑运行的内容记住有些网吧处于安全考虑不支持这种内容务必让你想传递的信息以纯 HTML 格式显示为你的 CSS 和 JavaScript 使用外部文件如果你使用某种 CSS 样式或 JavaScript, 它们一再在你网站上出现, 可以考虑保存为单独的文件, 并在网页的页眉调用它这将允许你的客户的浏览器把文件存储于硬盘, 每次他们访问你网站的网页时, 他们将不需要下载所有的内容缩减你的代码去掉不需要的不起作用的行和空格有些工具可以自动做这些, 可以在上找到尽可能减少服务器请求如果你有一个动态的网站, 但是内容改变不频繁, 你可能需要安装一个缓存扩展, 它可以向你的用户提供你的内容的静态版本, 因此明显的减少请求你数据库的数量 175

176 38. 设置一个 TOR 中继如果你生活在一个没有 / 几乎没有网络审查的地区, 你只需要运行简单的 T or 中继或者 T or 网桥中继, 就可以帮助其他 T or 用户避开审查访问互联网 T or 网络靠的是志愿者贡献带宽, 所以运行中继的人越多,T or 网络的速度也会越快访问也就越安全如果想帮助其他使用 T or 的人绕过网络审查, 就建立一个网桥中继, 而不要建立普通中继网桥中继 (Bridge relays) 指的是那些没有列入主力 ( 公开 )T or 目录中的 T or 中继即便网络服务提供商会过滤所有已知的 T or 中继, 也不可能把所有网桥中继封禁掉运行 TOR 节点 (TOR 中继 ) 的风险一个 T or 节点是一种公共代理, 所以运行一个可能会有本指南运行代理的风险一章中提到运行一个代理的一般风险但是典型的 T or 节点有两种类型 : 出口节点 (exit node) 和中间人节点 (middleman node), 也叫做非出口节点 (non-exit node) 中间人节点只把经过加密的通信传递给其他节点, 并不允许匿名用户与 T or 网络之外的站点直接通信运行这两种节点对整个 T or 网络来说都有帮助, 运行出口节点尤其有用, 因为它相对数量较少运行中间人节点相对风险较低, 它不会作为公共代理被投诉, 因为中间人节点的 IP 地址永远不会被写入运行日志因为网桥不是出口节点 (exit node), 你不会因为他人使用网桥节点而被投诉尽管运行中间人节点和网桥节点并不会招致投诉, 但它们会让您的 ISP 有更多理由反对你提供代理例如,ISP 可能会反对你使用 T or 网络, 或者禁止用户运行任何类型的公共服务你可以在上找到如何安全运行一个 T or 出口节点 (exit node) 的最佳做法运行 TOR 中继或者网桥中继需要我做什么? 运行一个 T or 中继只需满足以下几个条件 : 你的互联网连接的上下行带宽至少为 20KB/S( 而且在你电脑开机期间都要保证稳定的连接 ) 你的互联网连接必须拥有一个可以路由传送的公网 IP 地址如果你的电脑处于网络地址转换 ( NAT ) 防火墙内, 没有公网 IP 地址, 你必须在路由器上设定端口映射规则你可以借助 T or 的通用即插即用设备完成这一步骤, 也可以通过查看你的路由器使用说明, 或者根据 portforward.com( /port_forwarding/ht T PS/HT T PSindex.htm) 上的说明手动设置它非必需条件有 : 下载 T or 你的电脑不必一直开机联网 (T or 目录会在开机并联网的时候设置好一切 ) 你不必拥有一个静态 IP 地址你可以到点击导航栏中的下载 (Download) 得到 T or 在可用的 T or 套件 (Available T or Bundles) 页面, 选择适合你操作系统的稳定版本 176

在 GNU / LINUX 上安装 TOR 你可以在 https://www.torproject.org/docs/tor-doc-relay.html.

果你使用的是火狐浏览器, 则需安装下图对话框中所列出的所有组件 : 如果你没有安装火狐, 则要取消选择 T orbutton ( 随后你将会看

177 在 GNU / LINUX 上安装 TOR 你可以在上找到关于如何运行一个 T or 中继或网桥的详细说明在 MICROSOFT WINDOWS 上安装 TOR 打开安装程序并一路点击下一步 (Next) 如果你使用的是火狐浏览器, 则需安装下图对话框中所列出的所有组件 : 如果你没有安装火狐, 则要取消选择 T orbutton ( 随后你将会看到安装火狐和 T orbutton 的选项 ) 当安装完成后, 选中如下图所示的现在运行安装好的组件 (Run installed components now), 点击完成 (Finish) 按钮 : 设置 TOR 网桥 177

要创建网桥, 点击帮助有网络审查的用户使用 T or 网络 (Help censored users reach the T or network) ; 4.

178 1. 执行以下操作来打开你的网桥 : 打开 Vidalia 控制面板 ; 点击控制面板中的设置 (Settings) : 2. 在设置窗口中, 点击分享 (Sharing) ; 3. 要创建网桥, 点击帮助有网络审查的用户使用 T or 网络 (Help censored users reach the T or network) ; 4. 如果你的本地网络使用的是网络地址转换后的 IP 地址 (NAT IP address), 则需要在路由器中创建端口映射规则你可以通过点击尝试自动设置端口映射 (Attempt to automatically configure port forwarding), 让 T or 尝试帮你设置端口映射 ; 178

5. 点击测试 (T est) 来检测 T or 是否在路由器上正确地创建了端口映射 ; 如果 T or 不能自动设置端口映射, 请参阅 T or FAQ 中关于此问题的解决方法 :https://trac.torproject.

179 5. 点击测试 (T est) 来检测 T or 是否在路由器上正确地创建了端口映射 ; 如果 T or 不能自动设置端口映射, 请参阅 T or FAQ 中关于此问题的解决方法 : heonionrouter/t orfaq# ServerForFirewalledClients 恭喜! 如果一切正常的话, 你的网桥已经建立并能正常运行了你的网桥信息将被加入到隐藏的网桥目录, 并供其他发送了请求的用户使用与朋友分享你的网桥如果你建立网桥是为了能让你的朋友使用 T or 网络, 你可以把设置窗口下方的信息拷贝下来, 发送给他 / 她 179

180 APPENDICES 39. GLOSSARY 40. 评估互联网翻墙工具应考虑的十大问题 41. 更多资源 42. LICENSE 180

181 39. GLOSSARY Much of this content is based on AGGREGATOR An aggregator is a service that gathers syndicated information from one or many sites and makes it available at a different address. Sometimes called an RSS aggregator, a feed aggregator, a feed reader, or a news reader. (Not to be confused with a Usenet News reader.) ANONYMITY (Not be confused with privacy, pseudonymity, security, or confidentiality.) Anonymity on the Internet is the ability to use services without leaving clues to one's identity. The level of protection depends on the anonymity techniques used and the extent of monitoring. The strongest techniques in use to protect anonymity involve creating a chain of communication using a random process to select some of the links, in which each link has access to only partial information about the process. The first knows the user's IP address but not the content, destination, or purpose of the communication, because the message contents and destination information are encrypted. The last knows the identity of the site being contacted, but not the source of the session. One or more steps in between prevents the first and last links from sharing their partial knowledge in order to connect the user and the target site. ANONYMOUS R ER An anonymous r er is a service that accepts messages containing instructions for delivery, and sends them out without revealing their sources. Since the r er has access to the user's address, the content of the message, and the destination of the message, r ers should be used as part of a chain of multiple r ers so that no one r er knows all this information. ASP (APPLICATION SERVICE PROVIDER) An ASP is an organization that offers software services over the Internet, allowing the software to be upgraded and maintained centrally. BACKBONE A backbone is one of the high-bandwidth communications links that tie together networks in different countries and organizations around the world to form the Internet. BADWARE See malware. BANDWIDTH The bandwidth of a connection is the maximum rate of data transfer on that connection, limited by its capacity and the capabilities of the computers at both ends of the connection. BASH (BOURNE-AGAIN SHELL) The bash shell is a command-line interface for Linux/Unix operating systems, based on the Bourne shell. BITTORRENT BitTorrent is a peer-to-peer file-sharing protocol invented by Bram Cohen in It allows individuals to cheaply and effectively distribute large files, such as CD images, video, or music files. BLACKLIST 181

182 A blacklist is a list of forbidden persons or things. In Internet censorship, lists of forbidden Web sites may be used as blacklists; censorware may allow access to all sites except for those specifically listed on its blacklist. An alternative to a blacklist is a whitelist, or a list of permitted things. A whitelist system blocks access to all sites except for those specifically listed on the whitelist. This is a less common approach to Internet censorship. It is possible to combine both approaches, using string matching or other conditional techniques on URLs that do not match either list. BLUEBAR T he blue URL bar (called the Bluebar in Psiphon lingo) is the form at the top of your Psiphon node browser window, which allows you to access blocked site by typing its URL inside. See also Psiphon node BLOCK T o block is to prevent access to an Internet resource, using any number of methods. BOOKMARK A bookmark is a placeholder within software that contains a reference to an external resource. In a browser, a bookmark is a reference to a Web page by choosing the bookmark you can quickly load the Web site without needing to type in the full URL. BRIDGE See Tor bridge. BRUTE-FORCE ATTACK A brute force attack consists of trying every possible code, combination, or password until you find the right one. T hese are some of the most trivial hacking attacks. CACHE A cache is a part of an information-processing system used to store recently used or frequently used data to speed up repeated access to it. A Web cache holds copies of Web page files. CENSOR To censor is to prevent publication or retrieval of information, or take action, legal or otherwise, against publishers and readers. CENSORWARE Censorware is software used to filter or block access to the Internet. T his term is most often used to refer to Internet filtering or blocking software installed on the client machine (the PC which is used to access the Internet). Most such client-side censorware is used for parental control purposes. Sometimes the term censorware is also used to refer to software used for the same purpose installed on a network server or router. CGI (COMMON GATEWAY INTERFACE) CGI is a common standard used to let programs on a Web server run as Web applications. Many Web-based proxies use CGI and thus are also called "CGI proxies". (One popular CGI proxy application written by James Marshall using the Perl programming language is called CGIProxy.) CHAT Chat, also called instant messaging, is a common method of communication among two or more people in which each line typed by a participant in a session is echoed to all of the others. There are numerous chat protocols, including those created by specific companies (AOL, Yahoo!, Microsoft, Google, and others) and publicly defined protocols. Some chat client software uses only one of these protocols, while others use a range of popular protocols. 182

183 CIRCUMVENTION Circumvention is publishing or accessing content in spite of attempts at censorship. COMMON GATEWAY INTERFACE See CGI. COMMAND-LINE INTERFACE A method of controlling the execution of software using commands entered on a keyboard, such as a Unix shell or the Windows command line. COOKIE A cookie is a text string sent by a Web server to the user's browser to store on the user's computer, containing information needed to maintain continuity in sessions across multiple Web pages, or across multiple sessions. Some Web sites cannot be used without accepting and storing a cookie. Some people consider this an invasion of privacy or a security risk. COUNTRY CODE TOP-LEVEL DOMAIN (CCTLD) Each country has a two-letter country code, and a T LD (top-level domain) based on it, such as.ca for Canada; this domain is called a country code top-level domain. Each such cct LD has a DNS server that lists all second-level domains within the TLD. The Internet root servers point to all TLDs, and cache frequently-used information on lower-level domains. DARPA (DEFENSE ADVANCED PROJECTS RESEARCH AGENCY) DARPA is the successor to ARPA, which funded the Internet and its predecessor, the ARPAnet. DECRYPTION Decryption is recovering plain text or other messages from encrypted data with the use of a key. See also encryption. DOMAIN A domain can be a Top-Level Domain (T LD) or secondary domain on the Internet. See also Top-Level Domain, country code Top-Level Domain and secondary domain. DNS (DOMAIN NAME SYSTEM) The Domain Name System (DNS) converts domain names, made up of easy-to-remember combinations of letters, to IP addresses, which are hard-to-remember strings of numbers. Every computer on the Internet has a unique address (a little bit like an area code+telephone number). DNS LEAK A DNS leak occurs when a computer configured to use a proxy for its Internet connection nonetheless makes DNS queries without using the proxy, thus exposing the user's attempts to connect with blocked sites. Some Web browsers have configuration options to force the use of the proxy. DNS SERVER A DNS server, or name server, is a server that provides the look-up function of the Domain Name System. It does this either by accessing an existing cached record of the IP address of a specific domain, or by sending a request for information to another name server. DNS TUNNEL A DNS tunnel is a way to tunnel almost everything over DNS/Nameservers. 183

184 Because you "abuse" the DNS system for an unintended purpose, it only allows a very slow connection of about 3 kb/s which is even less than the speed of an analog modem. T hat is not enough for YouTube or file sharing, but should be sufficient for instant messengers like ICQ or MSN Messenger and also for plain text . On the connection you want to use a DNS tunnel, you only need port 53 to be open; therefore it even works on many commercial Wi-Fi providers without the need to pay. T he main problem is that there are no public modified nameservers that you can use. You have to set up your own. You need a server with a permanent connection to the Internet running Linux. There you can install the free software OzymanDNS and in combination with SSH and a proxy like Squid you can use the tunnel. More Information on this on EAVESDROPPING Eavesdropping is listening to voice traffic or reading or filtering data traffic on a telephone line or digital data connection, usually to detect or prevent illegal or unwanted activities or to control or monitor what people are talking about. , short for electronic mail, is a method to send and receive messages over the Internet. It is possible to use a Web mail service or to send s with the SMT P protocol and receive them with the POP3 protocol by using an client such as Outlook Express or Thunderbird. It is comparatively rare for a government to block , but surveillance is common. If is not encrypted, it could be read easily by a network operator or government. EMBEDDED SCRIPT An embedded script is a piece of software code. ENCRYPTION Encryption is any method for recoding and scrambling data or transforming it mathematically to make it unreadable to a third party who doesn't know the secret key to decrypt it. It is possible to encrypt data on your local hard drive using software like TrueCrypt ( or to encrypt Internet traffic with SSL or SSH. See also decryption. EXIT NODE An exit node is a T or node that forwards data outside the T or network. See also middleman node. FILE SHARING File sharing refers to any computer system where multiple people can use the same information, but often refers to making music, films or other materials available to others free of charge over the Internet. FILE SPREADING ENGINE A file spreading engine is a Web site a publisher can use to get around censorship. A user only has to upload a file to publish once and the file spreading engine uploads that file to some set of sharehosting services (like Rapidshare or Megaupload). FILTER T o filter is to search in various ways for specific data patterns to block or permit communications. FIREFOX Firefox is the most popular free and open source Web browser, developed by the Mozilla Foundation. FORUM 184

185 On a Web site, a forum is a place for discussion, where users can post messages and comment on previously posted messages. It is distinguished from a mailing list or a Usenet newsgroup by the persistence of the pages containing the message threads. Newsgroup and mailing list archives, in contrast, typically display messages one per page, with navigation pages listing only the headers of the messages in a thread. FRAME A frame is a portion of a Web page with its own separate URL. For example, frames are frequently used to place a static menu next to a scrolling text window. FTP (FILE TRANSFER PROTOCOL) T he FT P protocol is used for file transfers. Many people use it mostly for downloads; it can also be used to upload Web pages and scripts to some Web servers. It normally uses ports 20 and 21, which are sometimes blocked. Some FTP servers listen to an uncommon port, which can evade port-based blocking. A popular free and open source FT P client for Windows and Mac OS is FileZilla. T here are also some Web-based FT P clients that you can use with a normal Web browser like Firefox. GATEWAY A gateway is a node connecting two networks on the Internet. An important example is a national gateway that requires all incoming or outgoing traffic to go through it. HONEYPOT A honeypot is a site that pretends to offer a service in order to entice potential users to use it, and to capture information about them or their activities. HOP A hop is a link in a chain of packet transfers from one computer to another, or any computer along the route. T he number of hops between computers can give a rough measure of the delay (latency) in communications between them. Each individual hop is also an entity that has the ability to eavesdrop on, block, or tamper with communications. HTTP (HYPERTEXT TRANSFER PROTOCOL) HTTP is the fundamental protocol of the World Wide Web, providing methods for requesting and serving Web pages, querying and generating answers to queries, and accessing a wide range of services. HTTPS (SECURE HTTP) Secure HTTP is a protocol for secure communication using encrypted HTTP messages. Messages between client and server are encrypted in both directions, using keys generated when the connection is requested and exchanged securely. Source and destination IP addresses are in the headers of every packet, so HT T PS cannot hide the fact of the communication, just the contents of the data transmitted and received. IANA (INTERNET ASSIGNED NUMBERS AUTHORITY) IANA is the organization responsible for technical work in managing the infrastructure of the Internet, including assigning blocks of IP addresses for top-level domains and licensing domain registrars for cctlds and for the generic TLDs, running the root name servers of the Internet, and other duties. ICANN (INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS) ICANN is a corporation created by the US Department of Commerce to manage the highest levels of the Internet. Its technical work is performed by IANA. INSTANT MESSAGING (IM) 185

186 Instant messaging is either certain proprietary forms of chat using proprietary protocols, or chat in general. Common instant messaging clients include MSN Messenger, ICQ, AIM or Yahoo! Messenger. INTERMEDIARY See man in the middle. INTERNET The Internet is a network of networks interconnected using TCP/IP and other communication protocols. IP (INTERNET PROTOCOL) ADDRESS An IP address is a number identifying a particular computer on the Internet. In the previous version 4 of the Internet Protocol an IP address consisted of four bytes (32 bits), often represented as four integers in the range separated by dots, such as In IPv6, which the Net is currently switching to, an IP address is four times longer, and consists of 16 bytes (128 bits). It can be written as 8 groups of 4 hex digits separated by colons, such as 2001:0db8:85a3:0000:0000:8a2e:0370:7334. IRC (INTERNET RELAY CHAT) IRC is a more than 20-year-old Internet protocol used for real-time text conversations (chat or instant messaging). There exist several IRC networks -- the largest have more than users. ISP (INTERNET SERVICE PROVIDER) An ISP (Internet service provider) is a business or organization that provides access to the Internet for its customers. JAVASCRIPT JavaScript is a scripting language, commonly used in Web pages to provide interactive functions. KEYWORD FILTER A keyword filter scans all Internet traffic going through a server for forbidden words or terms to block. LATENCY Latency is a measure of time delay experienced in a system, here in a computer network. It is measured by the time between the start of packet transmission to the start of packet reception, between one network end (e.g. you) to the other end (e.g. the Web server). One very powerful way of Web filtering is maintaining a very high latency, which makes lots of circumvention tools very difficult to use. LOG FILE A log file is a file that records a sequence of messages from a software process, which can be an application or a component of the operating system. For example, Web servers or proxies may keep log files containing records about which IP addresses used these services when and what pages were accessed. LOW-BANDWIDTH FILTER A low-bandwidth filter is a Web service that removes extraneous elements such as advertising and images from a Web page and otherwise compresses it, making page download much quicker. MALWARE Malware is a general term for malicious software, including viruses, that may be installed or executed without your knowledge. Malware may take control of your computer for purposes such as sending spam. (Malware is also sometimes called badware.) 186

187 MAN IN THE MIDDLE A man in the middle or man-in-the-middle is a person or computer capturing traffic on a communication channel, especially to selectively change or block content in a way that undermines cryptographic security. Generally the man-in-the-middle attack involves impersonating a Web site, service, or individual in order to record or alter communications. Governments can run man-in-the-middle attacks at country gateways where all traffic entering or leaving the country must pass. MIDDLEMAN NODE A middleman node is a Tor node that is not an exit node. Running a middleman node can be safer than running an exit node because a middleman node will not show up in third parties' log files. (A middleman node is sometimes called a non-exit node.) MONITOR To monitor is to check a data stream continuously for unwanted activity. NETWORK ADDRESS TRANSLATION (NAT) NAT is a router function for hiding an address space by remapping. All traffic going out from the router then uses the router's IP address, and the router knows how to route incoming traffic to the requestor. NAT is frequently implemented by firewalls. Because incoming connections are normally forbidden by NAT, NAT makes it difficult to offer a service to the general public, such as a Web site or public proxy. On a network where NAT is in use, offering such a service requires some kind of firewall configuration or NAT traversal method. NETWORK OPERATOR A network operator is a person or organization who runs or controls a network and thus is in a position to monitor, block, or alter communications passing through that network. NODE A node is an active device on a network. A router is an example of a node. In the Psiphon and T or networks, a server is referred to as a node. NON-EXIT NODE See middleman node. OBFUSCATION Obfuscation means obscuring text using easily-understood and easily-reversed transformation techniques that will withstand casual inspection but not cryptanalysis, or making minor changes in text strings to prevent simple matches. Web proxies often use obfuscation to hide certain names and addresses from simple text filters that might be fooled by the obfuscation. As another example, any domain name can optionally contain a final dot, as in "somewhere.com.", but some filters might search only for "somewhere.com" (without the final dot). OPEN NODE An open node is a specific Psiphon node which can be used without logging in. It automatically loads a particular homepage, and presents itself in a particular language, but can then be used to browse elsewhere. See also Psiphon node. PACKET A packet is a data structure defined by a communication protocol to contain specific information in specific forms, together with arbitrary data to be communicated from one point to another. Messages are broken into pieces that will fit in a packet for transmission, and reassembled at the other end of the link. PEER-TO-PEER 187

188 A peer-to-peer (or P2P) network is a computer network between equal peers. Unlike clientserver networks there is no central server and so the traffic is distributed only among the clients.this technology is mostly applied to file sharing programs like BitTorrent, emule and Gnutella. But also the very old Usenet technology or the VoIP program Skype can be categorized as peer-to-peer systems. See also file sharing. PHP PHP is a scripting language designed to create dynamic Web sites and web applications. It is installed on a Web server. For example, the popular Web proxy PHProxy uses this technology. PLAIN TEXT Plain text is unformatted text consisting of a sequence of character codes, as in ASCII plain text or Unicode plain text. PLAINTEXT Plaintext is unencrypted text, or decrypted text. See also encryption, SSL, SSH. PRIVACY Protection of personal privacy means preventing disclosure of personal information without the permission of the person concerned. In the context of circumvention, it means preventing observers from finding out that a person has sought or received information that has been blocked or is illegal in the country where that person is at the time. POP3 Post Office Protocol version 3 is used to receive mail from a server, by default on port 110 with an program such as Outlook Express or Thunderbird. PORT A hardware port on a computer is a physical connector for a specific purpose, using a particular hardware protocol. Examples are a VGA display port or a USB connector. Software ports also connect computers and other devices over networks using various protocols, but they exist in software only as numbers. Ports are somewhat like numbered doors into different rooms, each for a special service on a server or PC. T hey are identified by numbers from 0 to PROTOCOL A formal definition of a method of communication, and the form of data to be transmitted to accomplish it. Also, the purpose of such a method of communication. For example, Internet Protocol (IP) for transmitting data packets on the Internet, or Hypertext Transfer Protocol for interactions on the World Wide Web. PROXY SERVER A proxy server is a server, a computer system or an application program which acts as a gateway between a client and a Web server. A client connects to the proxy server to request a Web page from a different server. T hen the proxy server accesses the resource by connecting to the specified server, and returns the information to the requesting site. Proxy servers can serve many different purposes, including restricting Web access or helping users route around obstacles. PSIPHON NODE A Psiphon node is a secured web proxy designed to evade Internet censorship. It is developed by Psiphon inc. Psiphon nodes can be open or private. PRIVATE NODE 188

189 A private node is a Psiphon node working with authentication, which means that you have to register before you can use it. Once registered, you will be able to send invitations to your friends and relatives to use this specific node. See also Psiphon node. PUBLICLY ROUTABLE IP ADDRESS Publicly routable IP addresses (sometimes called public IP addresses) are those reachable in the normal way on the Internet, through a chain of routers. Some IP addresses are private, such as the x.x block, and many are unassigned. REGULAR EXPRESSION A regular expression (also called a regexp or RE) is a text pattern that specifies a set of text strings in a particular regular expression implementation such as the UNIX grep utility. A text string "matches" a regular expression if the string conforms to the pattern, as defined by the regular expression syntax. In each RE syntax, some characters have special meanings, to allow one pattern to match multiple other strings. For example, the regular expression lo+se matches lose, loose, and looose. R ER An anonymous r er is a service which allows users to send s anonymously. The r er receives messages via and forwards them to their intended recipient after removing information that would identify the original sender. Some also provide an anonymous return address that can be used to reply to the original sender without disclosing her identity. Well-known R er services include Cypherpunk, Mixmaster and Nym. ROUTER A router is a computer that determines the route for forwarding packets. It uses address information in the packet header and cached information on the server to match address numbers with hardware connections. ROOT NAME SERVER A root name server or root server is any of thirteen server clusters run by IANA to direct traffic to all of the TLDs, as the core of the DNS system. RSS (REAL SIMPLE SYNDICATION) RSS is a method and protocol for allowing Internet users to subscribe to content from a Web page, and receive updates as soon as they are posted. SCHEME On the Web, a scheme is a mapping from a name to a protocol. T hus the HT T P scheme maps URLs that begin with HTTP: to the Hypertext Transfer Protocol. The protocol determines the interpretation of the rest of the URL, so that identifies a Web site and a specific file in a specific directory, and mailto:[email protected] is an address of a specific person or group at a specific domain. SHELL A UNIX shell is the traditional command line user interface for the UNIX/Linux operating systems. T he most common shells are sh and bash. SOCKS A SOCKS proxy is a special kind of proxy server. In the ISO/OSI model it operates between the application layer and the transport layer. The standard port for SOCKS proxies is 1080, but they can also run on different ports. Many programs support a connection through a SOCKS proxy. If not you can install a SOCKS client like FreeCap, ProxyCap or SocksCap which can force programs to run through the Socks proxy using dynamic port forwarding. It is also possible to use SSH tools such as OpenSSH as a SOCKS proxy server. SCREENLOGGER 189

190 A screenlogger is software able to record everything your computer displays on the screen. T he main feature of a screenlogger is to capture the screen and log it into files to view at any time in the future. Screen loggers can be used as powerful monitoring tool. You should be aware of any screen logger running on any computer you are using, anytime. SCRIPT A script is a program, usually written in an interpreted, non-compiled language such as JavaScript, Java, or a command interpreter language such as bash. Many Web pages include scripts to manage user interaction with a Web page, so that the server does not have to send a new page for each change. SMARTPHONE A smartphone is a mobile phone that offers more advanced computing ability and connectivity than a contemporary feature phone, such as Web access, ability to run elaborated operating systems and run built-in applications. SPAM Spam is messages that overwhelm a communications channel used by people, most notably commercial advertising sent to large numbers of individuals or discussion groups. Most spam advertises products or services that are illegal in one or more ways, almost always including fraud. Content filtering of to block spam, with the permission of the recipient, is almost universally approved of. SSH (SECURE SHELL) SSH or Secure Shell is a network protocol that allows encrypted communication between computers. It was invented as a successor of the unencrypted Telnet protocol and is also used to access a shell on a remote server. T he standard SSH port is 22. It can be used to bypass Internet censorship with port forwarding or it can be used to tunnel other programs like VNC. SSL (SECURE SOCKETS LAYER) SSL (or Secure Sockets Layer), is one of several cryptographic standards used to make Internet transactions secure. It is was used as the basis for the creation of the related T ransport Layer Security (TLS). You can easily see if you are using SSL/T LS by looking at the URL in your Browser (like Firefox or Internet Explorer): If it starts with https instead of http, your connection is encrypted. STEGANOGRAPHY Steganography, from the Greek for hidden writing, refers to a variety of methods of sending hidden messages where not only the content of the message is hidden but the very fact that something covert is being sent is also concealed. Usually this is done by concealing something within something else, like a picture or a text about something innocent or completely unrelated. Unlike cryptography, where it is clear that a secret message is being transmitted, steganography does not attract attention to the fact that someone is trying to conceal or encrypt a message. SUBDOMAIN A subdomain is part of a larger domain. If for example "wikipedia.org" is the domain for the Wikipedia, "en.wikipedia.org" is the subdomain for the English version of the Wikipedia. THREAT ANALYSIS A security threat analysis is properly a detailed, formal study of all known ways of attacking the security of servers or protocols, or of methods for using them for a particular purpose such as circumvention. Threats can be technical, such as code-breaking or exploiting software bugs, or social, such as stealing passwords or bribing someone who has special knowledge. Few companies or individuals have the knowledge and skill to do a comprehensive threat analysis, but everybody involved in circumvention has to make some estimate of the issues. TOP-LEVEL DOMAIN (TLD) 190

191 In Internet names, the T LD is the last component of the domain name. T here are several generic TLDs, most notably.com,.org,.edu,.net,.gov,.mil,.int, and one two-letter country code (cctld) for each country in the system, such as.ca for Canada. T he European Union also has the two-letter code.eu. TLS (TRANSPORT LAYER SECURITY) TLS or Transport Layer Security is a cryptographic standard based on SSL, used to make Internet transactions secure. TCP/IP (TRANSMISSION CONTROL PROTOCOL OVER INTERNET PROTOCOL) TCP and IP are the fundamental protocols of the Internet, handling packet transmission and routing. There are a few alternative protocols that are used at this level of Internet structure, such as UDP. TOR BRIDGE A bridge is a middleman T or node that is not listed in the main public T or directory, and so is possibly useful in countries where the public relays are blocked. Unlike the case of exit nodes, IP addresses of bridge nodes never appear in server log files and never pass through monitoring nodes in a way that can be connected with circumvention. TRAFFIC ANALYSIS Traffic analysis is statistical analysis of encrypted communications. In some circumstances traffic analysis can reveal information about the people communicating and the information being communicated. TUNNEL A tunnel is an alternate route from one computer to another, usually including a protocol that specifies encryption of messages. UDP (USER DATAGRAM PACKET) UDP is an alternate protocol used with IP. Most Internet services can be accessed using either TCP or UDP, but there are some that are defined to use only one of these alternatives. UDP is especially useful for real-time multimedia applications like Internet phone calls (VoIP). URL (UNIFORM RESOURCE LOCATOR) T he URL (Uniform Resource Locator) is the address of a Web site. For example, the URL for the World News section of the NY Times is Many censoring systems can block a single URL. Sometimes an easy way to bypass the block is to obscure the URL. It is for example possible to add a dot after the site name, so the URL becomes If you are lucky with this little trick you can access blocked Web sites. USENET Usenet is a more than 20-year-old discussion forum system accessed using the NNTP protocol. The messages are not stored on one server but on many servers which distribute their content constantly. Because of that it is impossible to censor Usenet as a whole, however access to Usenet can and is often blocked, and any particular server is likely to carry only a subset of locally-acceptable Usenet newsgroups. Google archives the entire available history of Usenet messages for searching. VOIP (VOICE OVER INTERNET PROTOCOL) VoIP refers to any of several protocols for real-time two-way voice communication on the Internet, which is usually much less expensive than calling over telephone company voice networks. It is not subject to the kinds of wiretapping practiced on telephone networks, but can be monitored using digital technology. Many companies produce software and equipment to eavesdrop on VoIP calls; securely encrypted VoIP technologies have only recently begun to emerge. VPN (VIRTUAL PRIVATE NETWORK) 191

192 A VPN (virtual private network) is a private communication network used by many companies and organizations to connect securely over a public network. Usually on the Internet it is encrypted and so nobody except the endpoints of the communication can look at the data traffic. T here are various standards like IPSec, SSL, TLS or PPT P. T he use of a VPN provider is a very fast secure and convenient method to bypass Internet censorship with little risks but it generally costs money every month. WHITELIST A whitelist is a list of sites specifically authorized for a particular form of communication. Filtering traffic can be done either by a whitelist (block everything but the sites on the list), a blacklist (allow everything but the sites on the list), a combination of the two, or by other policies based on specific rules and conditions. WORLD WIDE WEB (WWW) The World Wide Web is the network of hyperlinked domains and content pages accessible using the Hypertext Transfer Protocol and its numerous extensions. The World Wide Web is the most famous part of the Internet. WEBMAIL Webmail is service through a Web site. The service sends and receives mail messages for users in the usual way, but provides a Web interface for reading and managing messages, as an alternative to running a mail client such as Outlook Express or T hunderbird on the user's computer. For example a popular and free webmail service is WEB PROXY A Web proxy is a script running on a Web server which acts as a proxy/gateway. Users can access such a Web proxy with their normal Web browser (like Firefox) and enter any URL in the form located on that Web site. T hen the Web proxy program on the server receives that Web content and displays it to the user. T his way the ISP only sees a connection to the server with the Web proxy since there is no direct connection. WHOIS WHOIS (who is) is the aptly named Internet function that allows one to query remote WHOIS databases for domain registration information. By performing a simple WHOIS search you can discover when and by whom a domain was registered, contact information, and more. A WHOIS search can also reveal the name or network mapped to a numerical IP address 192

193 40. 评估互联网翻墙工具应考虑的十大问题罗杰丁高戴恩,Tor 项目负责人 ( 译者注 : 本文翻译转自中国人权论坛 ) 当越来越多国家对使用互联网进行镇压时, 世界各地的人们正转而寻找反审查软件, 以使他们能够进入被屏蔽的网站这类软件也被称为翻墙工具, 是为了应付对网络自由的威胁才被创造出来的这些工具拥有不同特点, 具有不同程度的安全性能对用户来说, 了解使用这些软件的优缺点十分重要本文提出十个在你评估一种翻墙工具时应该考虑的问题我们的目的并不是为了推崇某一种软件, 而是为了告诉你在不同情况下什么样的工具更有用提出这些问题的顺序先后主要根据叙述的需要 ; 所以, 并不是首先提到的问题就是最重要的用於互联网的翻墙软件, 包含两个组件 : 中继组件和发现组件中继组件建立与主机或代理服务器的联系, 进行加密处理和传输数据 ; 发现组件要做的则是在此之前的步骤寻找一个或多个可访问地址的过程有些工具只有一个简单的中继组件比如, 假定你正在使用一个开放代理服务器, 使用过程是很直接的 : 设置你的网络浏览器或其他软件, 以使用代理服务器对使用开放代理服务器的人来说一个较大的挑战是找到一个可靠快速的开放代理服务器另外, 有些工具有非常复杂的中继组件, 由多个代理服务器多层加密组成, 等等首先要告知的是 : 我是 T or 第二代洋葱路由软件的发明人和开发者 T or 主要用於保护隐私和翻墙虽然根据我所选择的问题在这里显示了我对像 T or 这样的更安全的工具的偏爱 ( 即我提出的问题突显了 T or 的优点 ; 而这些问题是其他的工具开发者可能并不在意的 ), 但我也试图将其他软件开发者认为重要的问题包括在内一用户多元化当你评判一个翻墙工具时你会问的一个最简单问题就是 : 还有谁在用它? 使用者的多元性意味着如果有人发现你正使用这一软件, 他们将无法确定你用它的原因安装了一个像 T or 这样的保护隐私的工具在全世界有许多不同阶层的使用者 ( 从普通民众和人权活跃人士, 到企业执法部门和军方 ) 这个事实并不会让别人获得更多有关你是谁或你可能会访问哪些网站的信息另一方面, 设想一下一组伊朗博客使用只为他们设计的翻墙工具, 那么当任何人发现他们中有人使用这一软件时, 就很容易猜出使用它的目的除了技术上的特点, 也就是使某种工具在一个国家对一些人很有用, 或对世界上所有人都有用之外, 市场营销扮演着一个重要角色许多工具是通过口耳相传普及的, 如果第一批用户在越南, 他们发现这个工具好用, 那么下一批用户很可能仍在越南一种工具被翻译成某种语言或没有被翻译成某种语言, 也会对其可能吸引的用户起引导或阻碍作用二本地适用下一个需要考虑的问题是这一工具是否人为地限制了在哪些国家可以使用它几年来, 商业性网站 Anonymizer.com 在伊朗一直是免费使用的所以该网站准予连接的要么是付费的消费者 ( 大部分在美国 ), 要么是在伊朗的为了规避政府审查的使用者最近的例子是 Your Freedom 只允许像缅甸这样一小部分国家免费使用, 像自由门和无界浏览这样的系统也只在少数他们愿意提供服务的国家 ( 中国, 无界浏览则在伊朗 ) 提供免费连接, 在其他国家则完全不行一方面从宽带成本的角度考虑, 这一策略是有道理的 ; 但另一方面, 如果你在沙特阿拉伯, 需要翻墙工具, 一些有用的工具可能就不在你可选择的範围之内三可持续性网络和软件开发如果你准备花时间弄清楚怎样使用某种工具, 你想确定的是这种工具是不是会存在一段时间这里有三种可以确定不同的工具能否长期存在的方法 : 利用志愿者能否赢利从赞助商获得资金像 T or 这样的网络是依靠志愿者提供中继才形成网络的全世界数千位有良好网络连接的志愿者, 他们想帮助世界变得更美好通过把他们连接成一个巨大的网络,T or 确保了这个网络独立於编写这软件的公司, 因此即便 T or 这个项目作为一个实体已经消失, 这个网络仍将继续存在赛风 (Psiphon) 走的是第二条路 : 收服务费他们的理由是, 如果他们可以使公司赢利, 那么公司将有能力在此基础上建立一个网络第三条路是依靠赞助者来付带宽费 Java 匿名代理 (Java Anon Proxy) 或是 JAP 项目依靠政府拨款资助其宽带 ; 现在政府拨款已经停止, 他们正在了解收费赢利的办法极境网络 (Ultrareach) 和自由门 (Freegate) 采用的赞助者模式效果不错, 不过他们一直在寻找更多赞助者以使他们的网络可以继续操作下去 193

194 在解答了一个网络怎样才能长期生存下去的问题之后, 接下来的问题就是软件本身的可持续性上面说到的三种方法同样适用於此, 但是例子不同虽然 T or 的网络是由志愿者来操作的, 但是 T or 作为软件本身靠的是赞助者 ( 政府和非政府组织 ) 来资助软件的新功能和软件的维护而极境网络和自由门, 在软件更新方面的可持续性更强 : 他们在世界各地有一支团队, 大部分是志愿者, 确保他们的工具永远比政府的审查走前一步这三种方法各有优点, 但是加深理解某种工具采用的方法, 可以帮助你预测未来你可能会碰到什么样的问题四开放式设计要做到工具软件及其设计透明并有可复用性, 首先必须根据开源许可 ( 不仅是客户方面的软件, 而且还有服务器方面的软件 ) 来发布软件开源许可, 即使用者可对软件进行检验, 看它如何操作, 并且有权对应用程式加以修改虽然并非人人都得益於这样的机会 ( 许多人只想使用工具现有的功能 ), 但实际上有的使用者可以使之更加安全和有用没有这一选择, 你等於被迫相信少数软件开发者已经考虑到并解决了所有可能发生的问题仅仅拥有开源许可是不够的可靠的翻墙工具需要提供其他安全专家可资使用的清楚完整的文件不仅有关其如何设计, 而且有关其特点, 以及开发者所要实现的目标他们准备提供隐私保护吗? 他们准备应对攻击性的审查吗? 他们准备抵抗什么样的攻击? 为什么他们的工具能够抵抗这样的攻击? 如果看不到源代码和了解开发者的目的, 就很难决定这一工具是否存在安全问题, 或是很难评估其能否达到其目标在密码学领域里, 科克豪福斯 (Kerckhoffs) 原则要检验的是你所设计的系统应该使你要保密的範围尽可能小和容易理解这就是为什么在加密算法中有密钥 ( 其秘密部分 ), 而其馀部分则可对任何人公开解释历史上, 任何加密设计如果其中的秘密部分过多, 最后的结果一定比设计者设想的更不安全相似情况也适用於翻墙工具的秘密设计, 唯一能对该软件进行检验的人是该软件的开发者和伤害它的攻击者, 其他有助於使它更好更可持续的开发者和使用者却都被排除在外了设计某一项目的想法可以被重复使用从而超出这一项目本身的寿命有太多的翻墙工具对自己的设计加以保密, 希望政府审查时难以发现其系统如何运作, 但这样做的结果是各种项目之间无法相互学习, 翻墙工具的发展领域作为一个整体进展缓慢五分布式结构对翻墙工具另一个需要了解的特点是它的网络是集中式的还是分布式的集中式的工具将其使用者的发出的所有要求通过一个或几个工具操作者控制的主机来回答而一个分布式的设计, 如 T or 或 JAP, 则通过多个不同地点传输数据因此, 就不存在可以看到每个使用者正进入哪个网站的单一地点或统一体另一观察这种区别的角度基於你的信任是集中式的还是分布式的如果你将所有信任全部放在一个实体上, 那么你能期望的最好情况就是以政策保护隐私即, 他们虽然拥有你的所有数据, 但他们保证不去看, 也不会丢失或转卖你的数据另一个方式就是安大略保护隐私委员会所呼吁的以设计保护隐私即系统设计本身确保使用者的隐私得到保护这种设计的开放性让每个人评估设计所提供的对隐私的保护程度这一关切并非仅为假设 2009 年初, 伯克曼中心的哈尔罗伯兹在一个翻墙工具网站的常见问答中发现这一工具在推销其用户点击记录 (clicklogs) 后来, 我跟另一翻墙工具提供商聊天, 他说, 他们拥有所有对其系统提出的使用要求记录, 因为你永远不知道什么时候你可能会需要他们我在这里隐去了这些工具的名称, 因为重要的不是这些工具提供商可能使用了用户的资料, 而是任何以集中化信任架构为基础建立起来的工具都能够使用其用户的资料, 而这是用户无法知道的事情糟糕的是, 即使工具提供商并无恶意, 但实际上所有数据通过一个地方, 便使这个地方成了攻击者前来窥探的具吸引力的目标许多这类工具把翻墙与保护用户隐私看作完全互不相连的两个目的这种分离并不一定是坏事, 只要你知道你正处於怎样的境况比如, 在对信息进行审查的国家中, 我们从许多人那里听说, 仅仅到一个新闻网上阅读并不会被盯上但是, 正如我们在过去几年里从各方面所了解到的, 巨大的个人信息数据库最终往往比我们希望的更公开六上网安全隐私问题不仅仅涉及你使用的工具是否能记录你的使用请求, 而且还涉及你访问的网站会不会认识或跟踪你还记得雅虎交出其一位中国客户信息的事吗? 如果一个博客聚合要找出谁正在某个博客上贴文谁贴了最新评论, 或某一位博客到其它网站阅读了什么, 那将会怎么样? 使用安全的工具上网意味着网站没有多少信息可以交出去一些翻墙工具比另一些更安全, 其根本原因在於代理服务器代理服务器常常将客户地址跟着他们的网络使用请求一起发送出去, 因此网站很容易确切地了解使用请求是从哪里来的从另一个角度来讲, 像 T or 这样的工具使用客户端浏览器延伸来隐藏你的浏览器版本语言偏好浏览器视窗尺寸时区等等, 来隔离你的小甜点 (Cookies) 过往历史和缓冲, 从而可以预防像快闪 (Flash) 这样的插件洩漏你的信息 194

195 但是使用应用程序级的保护是有代价的 : 一些网站不能正确工作当更多网站发展到最新互联网 2.0 版本时, 这些网站要求浏览器的功能有更大的入侵性如果要达到最安全的目的, 就要解除那些会带来危险的功能但如果某人在土耳其试图登录 YouT ube, 而 T or 为了安全, 关闭了他的插件 (Flash), 那么他的视频就工作不了了没有哪个工具可以既安全又好用赛风 (Psiphon) 在它的集中化代理服务器上手工评估每个网站和应用程式, 改写每一篇网页他们的改写主要并不是为了保护隐私而是为了确保网页上的所有连接能被导回其代理服务器, 但结果是, 如果他们没有查到你的目标网站, 它可能就不能帮助你了比如, 因为 Facebook 首页一直不断变化, 赛风为了跟上它也必须跟着不断变化 T or 目前将一些内容关闭了, 这些内容也许在实践中是安全的, 之所以这样做是因为我们还没有设计出一个好的界面, 可以让用户在充分掌握信息的情况下做出决定其它工具则还是让任何内容通过, 他们不太在乎客户被暴露七不承诺能为整个互联网加密我应该在加密和隐私之间做一区分大部分翻墙工具将用户与翻墙工具提供商之间的网络数据加密, 但像代理服务器这样非常简单的服务器则不加密翻墙工具需要加密以规避像中国的防火墙这样的审查机制设置的关键字过滤但是, 如果目标网站不支持加密的话, 没有一种工具可以对工具提供商和目标网站之间的网络数据加密因此, 不存在一种神奇的办法可以为网络数据加密对每个人来说, 理想的答案是使用安全超文本传输协议 (HT T PS) 上网 ; 对每个网站来说, 最好都支持安全超文本传输协议的连接只要你正确使用, 安全超文本传输协议会在你的浏览器和网站间提供加密这种终端对终端的加密意味着网络上无人 ( 并非指你的互联网服务供应商, 互联网主干供应商和翻墙工具提供商 ) 能获得你的通讯内容但是由於种种原因, 扩大加密还没有被完全接受如果你的目标网站不支持加密, 那么最好的办法是 : 第一, 不要发送可辨识或敏感的信息, 如在博客帖子上署真名, 或你不希望别人知道的密码 ; 第二, 使用无任何信任瓶颈的翻墙工具所谓有信任瓶颈的翻墙工具就是, 尽管在你已经做到了第一点的情况下, 还是会让别人将你和你造访的目标网站联系在一起的工具另外, 当你必须传送敏感信息时安全问题就变得更为复杂有人对 T or 使用志愿者操作的这种网络设计表示关切, 理由是如果使用集中式设计你至少知道谁在操作基础设施但实际上不管采取哪种方式都是陌生人在读你的数据, 不同点不过是陌生的志愿者还是陌生的专注於你的人前者不知道你是谁 ( 他们不会以你为目标 ), 后者的目的就是要获得你的全部流量资料 ( 及你与它的关系 ) 任何人承诺绝对安全其实都是在花言巧语地推销东西八快对於一个翻墙工具下一个你要注意的问题是速度有些工具总是很快, 有些则总是很慢, 有些完全无法预测其表现速度受制於很多因素, 包括该系统有多少人使用用户在做什么有多大的电脑资源, 以及负荷是否均匀地分布在网络上集中化信任设计有两个优点第一, 他们能看到所有用户以及他们正在做什么, 即, 他们可以事先将资源均匀分布, 并可减少增加系统负担的行为第二, 在需要的时侯可以购买更多电脑资源因此, 他们付出越多他们的工具速度就越快而分布式信任设计就不那么容易跟踪他们的用户如果他们依靠志愿者提供的资源, 那么, 相对於集中式付更多宽带费可使速度加快, 分布式使用志愿者越多其过程就越复杂速度也就越慢工具的性能问题的另一面是灵活性问题许多系统通过限制其用户功能来确保速度虽然赛风 (Psiphon) 限制用户造访他们还未经手工检查的网站, 但极境网络 (Ultrareach) 和自由门 (Freegate) 实际上已主动对允许用户造访的网站设限这样他们才能控制他们的宽带费用相比之下,T or 能够让用户进入任何协议 (protocol) 和目标网站, 即, 比如, 你也可以发送即时信息 ; 但缺点是网络常常因用户的批量传输而不胜负荷九软件和更新易获得当某种翻墙工具一出名, 其网站就会被屏蔽如果无从获得这一工具, 工具再好又有何用在这里最好的解决办法是不要使用任何专门的客户软件这样就不必从工具网站上下载软件比如赛风, 只靠一般的浏览器, 就不在乎网站可能被封, 因为使用者不需要下载软件另一种办法是使用微型应用程式, 如极境网络或自由门, 你可以用实时消息的方式将链接传送给朋友 T or 的浏览器套件也是一个选择 : 套件包括所有已经配置好的所需要的软件但是, 由於它包含了大型应用程式, 如火狐 (Firefox), 因此不容易在网上传递而通过社会网络闪存硬盘, 或使用电子邮件自动应答系统, 则可得以分发电子邮件自动应答允许你通过谷歌的 G-mail 来下载 T or 然后, 你需要考虑每一种方法的特点首先, 什么样的操作系统是它可支持的? 赛风不需要任何额外的客户软件就可以很好工作 ; 极境网络和自由门都很特别, 只能在微软视窗环境中工作 ;T or 及其软件基本上可以在任何环境中操作其次, 要考虑客户软件可自动处理从一个代理服务器转到另一个的失效备援, 所以, 如果你目前的地址消失了或被封了, 你不必用手工记下新的地址最后, 你使用的工具是否有跟踪记录功能来对付屏蔽? 比如无界浏览和自由门都曾有当现有版本的工具停止工作时立刻发布更新版本的历史他们在这种猫捉老鼠的游戏中积累了丰富的经验, 因此, 有理由相信他们已经为下一轮变故做好了准备在 T or 这方面, 也已经为最终可能被屏蔽做好了准备, 那就是将其网络通信更精简, 看上去更像加密的 195

196 网页浏览, 并介绍了还未出版的网桥中继 (bridge relays) 对黑客来说网桥中继比公共中继 (public relays) 更难被发现和被屏蔽 T or 试图将软件更新跟代理服务器地址更新这两者区别开如果你使用的网桥中继被屏蔽了, 你可以继续使用同一个软件, 只要改变一下配置以使用新的网桥地址我们的网桥设计 2009 年 9 月在中国进行了测试, 数万用户顺畅地从使用公共中继转移到使用网桥中继十不把自己作为翻墙工具推销许多翻墙工具通过大量媒体高调推出媒体当然喜欢这样的做法, 他们常常以美国黑客对中国宣战! 为首页通栏标题但这种亮相虽有助於吸引支持 ( 志愿者利润赞助商 ), 但大肆宣传也吸引了审查者的注意审查机构通常屏蔽两类翻墙工具 : 一类是好用的工具, 即拥有数十万用户的工具 ; 一类是名气很响的工具一般来说, 审查制度屏蔽所有敏感内容的情况很少, 更多的情况是制造一种打压的气氛, 从而使人们进行自我约束媒体上的文章对当局的控制能力造成威胁, 他们被迫做出回应这里要表明的是我们能够控制武器竞赛的速度尽管某种工具拥有许多用户, 但只要无人谈论它, 一般来说就不会被屏蔽但是如果无人谈论它, 用户又从何知道它? 走出这一悖论的方法之一是通过口耳相传和社会网络, 而不是通过传统的媒体宣传来传播另一方法是将工具置於一个不同的背景中比如, 我们主要将 T or 展现为一个保护隐私和公民自由的工具, 而不是翻墙工具但是, 一个工具在名声日益增长时要维持这种平衡是很难的结语本文解释了一些你在评估翻墙工具的优缺点时应该考虑的问题我故意没有将不同的工具做成图表及在不同的分类中对他们进行评分毫无疑问, 有人最终会这样做, 并概括出每种工具被打上多少个钩但是现在的问题并不是要找出最佳工具各种各样的翻墙工具被广泛使用, 增加了所有这类工具的力量, 因为审查者必须同时去对付每一个策略最后, 我们应该记住, 技术不能解决所有的问题防火墙毕竟在许多国家都成功地发挥了作用只要在审查制度下仍有很多人说我很高兴政府使我感到互联网是安全的, 那么就说明社会方面的挑战至少还是非常严重的但与此同时, 在所有这些国家仍然有人希望通过互联网学习和传播信息, 那么一个强大的技术解决方案就仍是至关紧要的一环 Roger Dingledine is project leader for The Tor Project, a US non-profit working on anonymity research and development for such diverse organizations as the US Navy, the Electronic Frontier Foundation, and Voice of America. In addition to all the hats he wears for T or, Roger organizes academic conferences on anonymity, speaks at a wide variety of industry and hacker conferences, and also does tutorials on anonymity for national and foreign law enforcement. This article is licensed under the Creative Commons Attribution 3.0 United States License. Originally prepared for the March 2010 "Index on Censorship", then adapted for the July 2010 "China Rights Forum" (Chinese translation). Last updated 25 May

197 41. 更多资源绕过网络审查是一个广博的话题, 有很多可用的工具和服务如果你想你的绕行行为更加难以被发现或者将来被封锁, 如果你想你的网络使用实现匿名, 或者如果你想帮助他人绕过审查, 你也有许多的事情需要考虑下面是一些推荐的资源供进一步学习相关事项 ( 这些资源的一部分在一些地方可能已经不可使用或者已被封锁 ) 手册和指南绕过网络审查 Reporters Without Borders, Handbook for Bloggers and Cyber-Dissidents, id_article=26187 The Internet Censorship Wiki, 给活动家的计算机安全建议 NGO-in-a-Box, a collection of free portable applications, Digital Security and Privacy for Human Rights Defenders, Surveillance Self-Defense International, 对网络审查的研究 Ronald Deibert, John Palfrey, Rafal Rohozinski, Jonathan Zittrain, Access Denied: The Practice and Policy of Global Internet Filtering (Cambridge, MA: MIT Press, 2008), ISBN Ronald Deibert, John Palfrey, Rafal Rohozinski, Jonathan Zittrain, Access Controlled: The Shaping of Power, Rights, and Rule in Cyberspace (Cambridge, MA: MIT Press, 2010), ISBN Hal Roberts, Ethan Zuckerman, Jillian York, Rob Faris, John Palfrey, 2010 Circumvention Tool Usage Report (Berkman Center for Internet & Society) ool_usage More resources on Internet censorship: 从事记录, 斗争或绕开网络限制的组织 Citizen Lab ( Committee to Protect Bloggers ( Committee to Project Journalists ( Berkman Center for Internet and Society ( Electronic Frontier Foundation ( FrontLine ( Global Internet Freedom Consortium ( T he Herdict ( OpenNet Initiative ( Peacefire ( Reporters Sans Frontières/Reporters Without Borders ( Sesawe ( Tactical Tech Collective ( 公开的网页代理和应用程序代理 Proxy.org, a list of thousands of open Web Proxies: Peacefire, a mailing list which sends out new web proxies: Application proxies: Proxying_and_Filtering/Hosted_Proxy_Services/Free/Proxy_Lists/ 绕行解决方案和服务提供商 197

198 Access Flickr!: Alkasir: CECID: Circumventor CGIProxy: Codeen: Coral: CProxy: Dynaweb FreeGate: FirePhoenix: FoxyProxy: Glype: GPass: GProxy: Gtunnel: Guardster: Hamachi LogMeIn: hopster: HotSpotVPN: HT T PS Everywhere: httpt unnel: JAP / JonDo: Megaproxy: OpenVPN: PHProxy: Picidae: Proxify: psiphon: PublicVPN: SabzProxy: Simurgh: SmartHide: T or: T rafficcompressor: UltraReach UltraSurf: Your-Freedom: 商业 VPN 提供商列表 Socksification 软件 ( 让非代理软件使用 SOCKS 代理 ) tsocks: WideCap: ProxyCap: FreeCap: Proxifier: SocksCap: 198

199 42. LICENSE All chapters copyright of the authors (see below). Unless otherwise stated all chapters in this manual licensed with GNU General Public License version 2. This documentation is free documentation; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This documentation is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this documentation; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA , USA. AUTHORS All chapters the contributors unless otherwise noted below. INT RODUCT ION gravy - A Ravi Oli 2011 Mokurai - Edward Mokurai Cherlin 2011 booki - adam or aco 2011 rastapopoulos - Roberto Rastapopoulos 2011 helen - helen varley jamieson 2011 Zorrino - Zorrino Hermanos 2011 poser - Poser 2011 lalala - laleh 2011 ABOUT T HIS MANUAL Zorrino - Zorrino Hermanos 2011 booki - adam or aco 2011 QUICKST ART booki - adam or aco 2011 erinn - Erinn Clark 2011 puffin - Karen Reilly 2011 freerk - Freerk Ohling 2011 Zorrino - Zorrino Hermanos 2011 helen - helen varley jamieson 2011 poser - Poser 2011 schoen - Seth Schoen 2011 HOW T HE NET WORKS booki - adam or aco 2011 gravy - A Ravi Oli 2011 lalala - laleh 2011 schoen - Seth Schoen 2011 freerk - Freerk Ohling 2011 CENSORSHIP AND T HE NET gravy - A Ravi Oli 2011 booki - adam or aco 2011 freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 lalala - laleh 2011 schoen - Seth Schoen 2011 CIRCUMVENT ION AND SAFET Y 199

200 gravy - A Ravi Oli 2011 booki - adam or aco 2011 freerk - Freerk Ohling 2011 puffin - Karen Reilly 2011 helen - helen varley jamieson 2011 schoen - Seth Schoen 2011 INT RODUCT ION booki - adam or aco 2010 ABOUT T HIS MANUAL booki - adam or aco 2010 SIMPLE T RICKS freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 Zorrino - Zorrino Hermanos 2011 poser - Poser 2011 lalala - laleh 2011 schoen - Seth Schoen 2011 GET CREAT IVE freerk - Freerk Ohling 2011 DavidElwell - David Elwell 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 Zorrino - Zorrino Hermanos 2011 schoen - Seth Schoen 2011 WEB PROXIES freerk - Freerk Ohling 2011 puffin - Karen Reilly 2011 lalala - laleh 2011 poser - Poser 2011 booki - adam or aco 2011 WHAT IS CIRCUMVENT ION booki - adam or aco 2010 PSIPHON freerk - Freerk Ohling 2011 puffin - Karen Reilly 2011 helen - helen varley jamieson 2011 poser - Poser 2011 booki - adam or aco 2011 AM I BEING CENSORED? booki - adam or aco 2010 DET ECT ION AND ANONYMIT Y booki - adam or aco

201 SABZPROXY booki - adam or aco 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 helen - helen varley jamieson 2011 HOW T HE NET WORKS booki - adam or aco 2010 INT RODUCT ION T O FIREFOX SamT ennyson - Samuel L. T ennyson 2011 booki - adam or aco 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 scherezade - Genghis Kahn 2011 freerk - Freerk Ohling 2011 lalala - laleh 2011 schoen - Seth Schoen 2011 WHO CONT ROLS T HE NET booki - adam or aco 2010 FILT ERING T ECHNIQUES booki - adam or aco 2010 ADBLOCK PLUS AND NOSCRIPT SamT ennyson - Samuel L. T ennyson 2011 freerk - Freerk Ohling 2011 scherezade - Genghis Kahn 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 HT T PS EVERYWHERE SamT ennyson - Samuel L. T ennyson 2011 freerk - Freerk Ohling 2011 booki - adam or aco 2011 rastapopoulos - Roberto Rastapopoulos 2011 helen - helen varley jamieson 2011 schoen - Seth Schoen 2011 SIMPLE T RICKS booki - adam or aco 2010 PROXY SET T INGS AND FOXYPROXY SamT ennyson - Samuel L. T ennyson 2011 freerk - Freerk Ohling 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 USING A WEB PROXY INT RODUCT ION 201

202 gravy - A Ravi Oli 2011 freerk - Freerk Ohling 2011 erinn - Erinn Clark 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 poser - Poser 2011 USING PHProxy FREEGAT E freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 USING PSIPHON USING PSIPHON2 SIMURGH booki - adam or aco 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 freerk - Freerk Ohling 2011 ULT RASURF freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 USING PSIPHON2 OPEN NODES VPN SERVICES Zorrino - Zorrino Hermanos 2011 freerk - Freerk Ohling 2011 lalala - laleh 2011 booki - adam or aco 2011 RISKS VPN ON UBUNT U SamT ennyson - Samuel L. T ennyson 2011 booki - adam or aco 2011 scherezade - Genghis Kahn 2011 freerk - Freerk Ohling 2011 HOT SPOT SHIELD booki - adam or aco 2011 freerk - Freerk Ohling

203 rastapopoulos - Roberto Rastapopoulos 2011 scherezade - Genghis Kahn 2011 helen - helen varley jamieson 2011 Zorrino - Zorrino Hermanos 2011 schoen - Seth Schoen 2011 ADVANCED BACKGROUND HT T P PROXIES ALKASIR booki - adam or aco 2011 freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos 2011 helen - helen varley jamieson 2011 Zorrino - Zorrino Hermanos 2011 schoen - Seth Schoen 2011 T OR: T HE ONION ROUT ER freerk - Freerk Ohling 2011 erinn - Erinn Clark 2011 puffin - Karen Reilly 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 Zorrino - Zorrino Hermanos 2011 helen - helen varley jamieson 2011 lalala - laleh 2011 INST ALLING SWIT CH PROXY USING SWIT CH PROXY JONDO SamT ennyson - Samuel L. T ennyson 2011 freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 YOUR-FREEDOM freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 booki - adam or aco 2011 T OR: T HE ONION ROUT ER USING T OR BROWSER BUNDLE DOMAINS AND DNS gravy - A Ravi Oli 2011 freerk - Freerk Ohling

204 helen - helen varley jamieson 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 Zorrino - Zorrino Hermanos 2011 schoen - Seth Schoen 2011 USING T OR IM BROWSER BUNDLE SahalAnsari - Sahal Ansari 2010 HT T P PROXIES booki - adam or aco 2011 lalala - laleh 2011 scherezade - Genghis Kahn 2011 helen - helen varley jamieson 2011 USING T OR WIT H BRIDGES T HE COMMAND LINE booki - adam or aco 2011 helen - helen varley jamieson 2011 schoen - Seth Schoen 2011 freerk - Freerk Ohling 2011 USING JON DO OPENVPN Zorrino - Zorrino Hermanos 2011 freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos 2011 booki - adam or aco 2011 SSH T UNNELLING freerk - Freerk Ohling 2011 booki - adam or aco 2011 WHAT IS VPN? OPENVPN SOCKS PROXIES Zorrino - Zorrino Hermanos 2011 freerk - Freerk Ohling 2011 lalala - laleh 2011 booki - adam or aco 2011 SSH T UNNELLING RESEARCHING AND DOCUMENT ING CENSORSHIP freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos

205 schoen - Seth Schoen 2011 booki - adam or aco 2011 SOCKS PROXIES DEALING WIT H PORT BLOCKING booki - adam or aco 2011 schoen - Seth Schoen 2011 freerk - Freerk Ohling 2011 INST ALLING WEB PROXIES freerk - Freerk Ohling 2011 rastapopoulos - Roberto Rastapopoulos 2011 booki - adam or aco 2011 INST ALLING WEB PROXIES SET T ING UP A T OR RELAY freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 booki - adam or aco 2011 INST ALLING PHProxy RISKS OF OPERAT ING A PROXY freerk - Freerk Ohling 2011 schoen - Seth Schoen 2011 INST ALLING PSIPHON SET T ING UP A T OR RELAY BEST PRACT ICES FOR WEBMAST ERS freerk - Freerk Ohling 2011 helen - helen varley jamieson 2011 rastapopoulos - Roberto Rastapopoulos 2011 scherezade - Genghis Kahn 2011 booki - adam or aco 2011 Zorrino - Zorrino Hermanos 2011 schoen - Seth Schoen 2011 RISKS OF OPERAT ING A PROXY GLOSSARY freerk - Freerk Ohling 2011 puffin - Karen Reilly 2011 rastapopoulos - Roberto Rastapopoulos 2011 helen - helen varley jamieson 2011 Mokurai - Edward Mokurai Cherlin

206 T EN T HINGS Zorrino - Zorrino Hermanos 2011 booki - adam or aco 2011 puffin - Karen Reilly 2011 schoen - Seth Schoen 2011 helen - helen varley jamieson 2011 FURT HER RESOURCES FURT HER RESOURCES booki - adam or aco 2011 rastapopoulos - Roberto Rastapopoulos 2011 schoen - Seth Schoen 2011 helen - helen varley jamieson 2011 GLOSSARY CREDIT S booki - adam or aco 2011 CREDIT S T he below is information for pre-2011 content AUTHORS ABOUT THIS MANUAL adam hyde 2008 Austin Martin 2009 Edward Cherlin 2008 Janet Swisher 2008 T om Boyle 2008 Zorrino Zorrinno 2009 ADVANCED BACKGROUND Steven Murdoch And Ross Anderson 2008 adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008 Niels Elgaard Larsen 2009 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 DETECTION AND ANONYMITY Seth Schoen 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno

207 RISKS Nart Villeneuve 2008 adam hyde 2008 Alice Miller 2008 Austin Martin 2009 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 SOCKS PROXIES Seth Schoen 2008 adam hyde 2008 Freerk Ohling 2008, 2009 T om Boyle 2008 USING SWITCH PROXY adam hyde 2008, 2009 Alice Miller 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 CREDITS adam hyde 2006, 2007, 2008 Edward Cherlin 2008 FILTERING TECHNIQUES Edward Cherlin 2008 adam hyde 2008 Alice Miller 2008 Janet Swisher 2008 Niels Elgaard Larsen 2009 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 FURTHER RESOURCES adam hyde 2008 Edward Cherlin 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno 2008, 2009 GLOSSARY Freerk Ohling 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 AM I BEING CENSORED? adam hyde 2008 Alice Miller 2008 Edward Cherlin

208 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 T om Boyle 2008 Zorrino Zorrinno 2008 HOW THE NET WORKS Frontline Defenders 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 T omas Krag 2008 Zorrino Zorrinno 2008 INSTALLING WEB PROXIES Nart Villeneuve 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 INSTALLING PHProxy Freerk Ohling 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 INSTALLING PSIPHON Freek Ohling 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008, 2009 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno 2008 INSTALLING SWITCH PROXY adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 INTRODUCTION Alice Miller 2006, 2008 adam hyde 2008, 2009 Ariel Viera 2009 Austin Martin 2009 Edward Cherlin 2008 Janet Swisher 2008 Seth Schoen 2008 T om Boyle

209 RISKS OF OPERATING A PROXY Seth Schoen 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Sam T ennyson 2008 T om Boyle 2008 SSH TUNNELLING Seth Schoen 2008 adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008, 2009 Sam T ennyson 2008 T WikiGuest 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno 2008 SETTING UP A TOR RELAY Zorrino Zorrinno 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 SIMPLE TRICKS Ronald Deibert 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008, 2009 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno 2008 TOR: THE ONION ROUTER Zorrino Zorrinno 2008 adam hyde 2008 Alice Miller 2008 Ben Weissmann 2009 Edward Cherlin 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 USING TOR WITH BRIDGES Zorrino Zorrinno 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008, 2009 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag

210 USING JON DO Freerk Ohling 2008 adam hyde 2008 Alice Miller 2008 Sam T ennyson 2008 T om Boyle 2008 T omas Krag 2008 OPENVPN T omas Krag 2008 adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 USING PHProxy Freerk Ohling 2008 adam hyde 2008 Alice Miller 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 Zorrino Zorrinno 2008 USING PSIPHON Freerk Ohling 2008 adam hyde 2008 Alice Miller 2008 Austin Martin 2009 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 Zorrino Zorrinno 2008 USING PSIPHON2 Freerk Ohling 2009 adam hyde 2010 Austin Martin 2009 Zorrino Zorrinno 2009 USING PSIPHON2 OPEN NODES Freerk Ohling 2010 Roberto Rastapopoulos 2010 Zorrino Zorrinno 2010 USING TOR BROWSER BUNDLE Zorrino Zorrinno 2008 adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 USING TOR IM BROWSER BUNDLE Zorrino Zorrinno 2008 adam hyde 2008, 2009 Alice Miller 2008 Freerk Ohling 2008 Sahal Ansari 2008 Sam T ennyson

211 T om Boyle 2008 T omas Krag 2008 HTTP PROXIES adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008, 2009 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 Zorrino Zorrinno 2008 USING A WEB PROXY Nart Villeneuve 2008 adam hyde 2008 Alice Miller 2008 Freerk Ohling 2008 Janet Swisher 2008 Sam T ennyson 2008 Seth Schoen 2008 T omas Krag 2008 Zorrino Zorrinno 2008 WHAT IS CIRCUMVENTION Ronald Deibert 2008 adam hyde 2008 Alice Miller 2008 Sam T ennyson 2008 Edward Cherlin 2008 Janet Swisher 2008 Sam T ennyson 2008 WHAT IS VPN? Nart Villeneuve 2008 adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Sam T ennyson 2008 Seth Schoen 2008 T om Boyle 2008 T omas Krag 2008 WHO CONTROLS THE NET adam hyde 2008 Alice Miller 2008 Edward Cherlin 2008 Freerk Ohling 2008 Janet Swisher 2008 Niels Elgaard Larsen 2009 Sam T ennyson 2008 Seth Schoen 2008 T omas Krag 2008 Free manuals for free software GENERAL PUBLIC LICENSE 211

212 Version 2, June 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA , USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. Preamble T he licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public License is intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This General Public License applies to most of the Free Software Foundation's software and to any other program whose authors commit to using it. (Some other Free Software Foundation software is covered by the GNU Lesser General Public License instead.) You can apply it to your programs, too. When we speak of free software, we are referring to freedom, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish), that you receive source code or can get it if you want it, that you can change the software or use pieces of it in new free programs; and that you know you can do these things. T o protect your rights, we need to make restrictions that forbid anyone to deny you these rights or to ask you to surrender the rights. These restrictions translate to certain responsibilities for you if you distribute copies of the software, or if you modify it. For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights. We protect your rights with two steps: (1) copyright the software, and (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software. Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software. If the software is modified by someone else and passed on, we want its recipients to know that what they have is not the original, so that any problems introduced by others will not reflect on the original authors' reputations. Finally, any free program is threatened constantly by software patents. We wish to avoid the danger that redistributors of a free program will individually obtain patent licenses, in effect making the program proprietary. To prevent this, we have made it clear that any patent must be licensed for everyone's free use or not licensed at all. The precise terms and conditions for copying, distribution and modification follow. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 0. T his License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. T he "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you". Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. T he act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does. 1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program. You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. 2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions: 212

213 a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change. b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License. c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.) These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it. T hus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program. In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License. 3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following: a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.) T he source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable. If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code. 4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 213

214 5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it. 6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License. 7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program. If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances. It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice. T his section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License. 8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License. 9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation. 10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally. NO WARRANTY 11. BECAUSE T HE PROGRAM IS LICENSED FREE OF CHARGE, T HERE IS NO WARRANT Y FOR T HE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FIT NESS FOR A PART ICULAR PURPOSE. T HE ENT IRE RISK AS T O T HE QUALIT Y AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION. 214

215 12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED T O IN WRIT ING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILIT Y T O USE T HE PROGRAM (INCLUDING BUT NOT LIMIT ED T O LOSS OF DAT A OR DAT A BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF T HE PROGRAM T O OPERAT E WIT H ANY OT HER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. END OF TERMS AND CONDITIONS 215

展开

AVG AntiVirus User Manual

AVG AntiVirus User Manual AVG AntiVirus 用户手册文档修订 AVG.04 ２０１６２９版权所有 AVG Technologies CZ, s.r.o. 保留所有权利所有其它商标均是其各自所有者的财产目录 1. 简介 3 2. AVG 安装要求 4 2.1 支持的操作系统 4 2.2 最低推荐硬件要求 4 5 3. AVG 安装过程 3.1 欢迎 5 3.2 输入您的许可证号码 6 3.3 自定义安装

INTRODUCTION 1. 简 介 2. 关 于 这 本 指 南 2

INTRODUCTION 1. 简介 2. 关于这本指南 2