#朝花夕拾
#科学上网
#gfw
#翻墙教程
翻墙技术Shadowsocks（SS）的开发者Clowwindy曾在2013年谈论过为什么不该使用基于SSL（SSL/TLS）的技术翻墙。
在2015年之前还没有TLS 1.3，当时主流使用TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0这些老旧的协议。首先TLS 1.1、TLS 1.0、SSL 3.0很不安全不谈，这些老旧协议共同点是协商握手过程中服务端证书信息会暴露，Clowwindy原话——
“SSL设计目标:
1.防内容篡改
2.防冒充服务器身份
3.加密通信内容
而翻墙的目标:
1.不被检测出客户端在访问什么网站
2.不被检测出服务器在提供翻墙服务
SSL 和这个目标还是有一些出入。其中最大的问题是‘防冒充服务器身份’这个功能多余了。他会导致墙嗅探出证书信息，继而墙会知道服务器身份。如果墙知道一个服务器身份是用来翻墙的，它要做的仅仅是封掉使用这个证书的所有 IP。”
https://gist.github.com/clowwindy/5947691
然而Clowwindy没有预料到的是如今SSL/TLS翻墙技术已经成为主流，V2ray和Trojan大放光彩。在2017年下旬TLS 1.3发布后，基于SSL/TLS的翻墙技术才走向成熟。TLS 1.3相比TLS 1.2等老旧协议重点改进点在于ServerHello之后的握手消息进行加密使可见明文大大减少。V2ray、Trojan之类可以更好的发挥出威力。
不过TLS 1.3依然有两个大漏洞尚未被堵上——一是TLS协商阶段的SNI服务器名称指示是明文的，依然会暴露出服务器信息。二是TLS 1.3握手数据包长度固定，难以抵抗AI统计数据的识别。
目前对于明文的SNI这点IETF正在推进ECH加密客户端消息，期待ECH的普及。对于握手数据包长度固定的问题可能需要新版本TLS支持握手数据包使用变长度数据填充。 :ys_35:
不过哪怕是ECH普及了都是好事，这意味着翻墙技术只要简单的模拟出TLS 1.3的握手就可以让GFW疲于应付。 :ys_26:

#朝花夕拾
#科学上网
#gfw
#翻墙教程
翻墙技术Shadowsocks（SS）的开发者Clowwindy曾在2013年谈论过为什么不该使用基于SSL（SSL/TLS）的技术翻墙。
在2015年之前还没有TLS 1.3，当时主流使用TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0这些老旧的协议。首先TLS 1.1、TLS 1.0、SSL 3.0很不安全不谈，这些老旧协议共同点是协商握手过程中服务端证书信息会暴露，Clowwindy原话——
“SSL设计目标:
1.防内容篡改
2.防冒充服务器身份
3.加密通信内容
而翻墙的目标:
1.不被检测出客户端在访问什么网站
2.不被检测出服务器在提供翻墙服务
SSL 和这个目标还是有一些出入。其中最大的问题是‘防冒充服务器身份’这个功能多余了。他会导致墙嗅探出证书信息，继而墙会知道服务器身份。如果墙知道一个服务器身份是用来翻墙的，它要做的仅仅是封掉使用这个证书的所有 IP。”
https://gist.github.com/clowwindy/5947691
然而Clowwindy没有预料到的是如今SSL/TLS翻墙技术已经成为主流，V2ray和Trojan大放光彩。在2017年下旬TLS 1.3发布后，基于SSL/TLS的翻墙技术才走向成熟。TLS 1.3相比TLS 1.2等老旧协议重点改进点在于ServerHello之后的握手消息进行加密使可见明文大大减少。V2ray、Trojan之类可以更好的发挥出威力。
不过TLS 1.3依然有两个大漏洞尚未被堵上——一是TLS协商阶段的SNI服务器名称指示是明文的，依然会暴露出服务器信息。二是TLS 1.3握手数据包长度固定，难以抵抗AI统计数据的识别。
目前对于明文的SNI这点IETF正在推进ECH加密客户端消息，期待ECH的普及。对于握手数据包长度固定的问题可能需要新版本TLS支持握手数据包使用变长度数据填充。 :ys_35:
不过哪怕是ECH普及了都是好事，这意味着翻墙技术只要简单的模拟出TLS 1.3的握手就可以让GFW疲于应付。 :ys_26:

#翻墙教程
#v2ray
昨晚提前睡觉，今天凌晨起来配置V2ray的VPS服务器，我一直采用Vmess+Http3（QUIC）+TLS的模式翻墙。伪装网站搭建为原神爱好者个人博客。这台服务器至今为止稳定运行2年没有被墙，除了常规的配置升级服务端修复漏洞外，我认为假戏真做使用原神内容（互联网高流量内容）进行伪装才是关键 :ys_26: 。
https://wxw.moe/@C99CXMOE/109369889813744304
目前为止伪装网站除Google、Baidu、Bing、DuckduckGo、Sogou等搜索引擎的爬虫拜访过以外，还有少量来自中国大陆🇨🇳内的未知爬虫，我怀疑这些可疑爬虫是GFW🧱的主动探测。不过我的伪装网站很多内容访问会Http301重定向到原神官网或者B站、Twitter原神官方账号主页等地方去，与墙在社会工程学上对抗。
目前为止我的伪装网站有4个缺陷隐患——
1.抓取原神相关的HTML展示在伪装网站上需要占用VPS硬盘空间，VPS需要20GB以上硬盘空间 :ys_28 。
2.浪费一部分流量，各种爬虫每个月要消耗7GB左右流量 :ys_3 。
3.VPS上的机器人去原神官网等地方抓取HTML时会暴露VPS IP地址，不过越来越多中国大陆网站在国外部署CDN，往后机器人抓取HTML时IP地址暴露给GFW的机会越来越少 :ys_26: 。
4.与Shadowsocks服务器不同，SS服务器搭建完毕后就可以丢在一边不管了，除了升级修补漏洞时才需要SSH登录到VPS外，其他时间可以去玩玩游戏。我的V2ray服务器为了瞒天过海，披着原神爱好者博客的皮，得自己编写一些博文放在伪装网站上，投入的维护精力更大（最终把博客网站运维给学会了 :ys_25: ）。
最后我想说一句为什么要翻墙，因为墙就在那里 :ys_10: 。象友们觉得我这篇嘟文可以帮到更多人可以转发一下 :ys_27: 。

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
浏览器设置DoH加密DNS解析暂时可以直连呜呜站，不过有的象友是MacOS、Windnows或者Linux用户。虽然这些平台的浏览器也可以设置DoH加密DNS，最大缺陷是加密DNS会使得国内网站被解析到国外IP，导致国内访问速度变慢。还有的象友使用第三方长毛象客户端，无法通过浏览器设置加密DNS恢复访问。
但这些平台可以使用经久不衰的方法——修改Hosts文件。
不过要提醒大家，一旦墙把封锁加重成TCP SNI Reset，加密DNS、修改Hosts就失效了，所以还是要准备好可用的梯子。
呜呜站的IP是
2606:4700:20::681a:828
2606:4700:20::ac43:4b29
172.67.75.41
104.26.9.40
呜呜站完整的hosts文件见图片
MacOS修改Hosts文件请看这里https://zhuanlan.zhihu.com/p/106703694
Windows与Linux修改Hosts文件请看这里https://zhuanlan.zhihu.com/p/438447914
另外修改完毕Hosts文件后记得重启电脑，清除被墙污染的DNS缓存，再尝试进入呜呜站。

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
浏览器设置DoH加密DNS解析暂时可以直连呜呜站，不过有的象友是MacOS、Windnows或者Linux用户。虽然这些平台的浏览器也可以设置DoH加密DNS，最大缺陷是加密DNS会使得国内网站被解析到国外IP，导致国内访问速度变慢。还有的象友使用第三方长毛象客户端，无法通过浏览器设置加密DNS恢复访问。
但这些平台可以使用经久不衰的方法——修改Hosts文件。
不过要提醒大家，一旦墙把封锁加重成TCP SNI Reset，加密DNS、修改Hosts就失效了，所以还是要准备好可用的梯子。
呜呜站的IP是
2606:4700:20::681a:828
2606:4700:20::ac43:4b29
172.67.75.41
104.26.9.40
呜呜站完整的hosts文件见图片
MacOS修改Hosts文件请看这里https://zhuanlan.zhihu.com/p/106703694
Windows与Linux修改Hosts文件请看这里https://zhuanlan.zhihu.com/p/438447914
另外修改完毕Hosts文件后记得重启电脑，清除被墙污染的DNS缓存，再尝试进入呜呜站。

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
iOS系统反DNS污染恢复访问呜呜站相对困难。
如果你有外区iOS账号就简单了，可以去AppStore下载Cloudflare的1.1.1.1或者Adguard，这两个软件都可以使用加密DNS。只是1.1.1.1 App需要关闭内置的WARP VPN才能使用。
但大部分呜站象友是没有外区iOS账号的，不过只要你的iOS系统版本是iOS14以上，可以手动配置DNS over TLS（DoT）或者DNS over Https（DoH）的mobileconfig配置文件。去Adguard这个网页下载iOS的加密DNS配置文件https://adguard-dns.io/zh_cn/public-dns.html

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
iOS系统反DNS污染恢复访问呜呜站相对困难。
如果你有外区iOS账号就简单了，可以去AppStore下载Cloudflare的1.1.1.1或者Adguard，这两个软件都可以使用加密DNS。只是1.1.1.1 App需要关闭内置的WARP VPN才能使用。
但大部分呜站象友是没有外区iOS账号的，不过只要你的iOS系统版本是iOS14以上，可以手动配置DNS over TLS（DoT）或者DNS over Https（DoH）的mobileconfig配置文件。去Adguard这个网页下载iOS的加密DNS配置文件https://adguard-dns.io/zh_cn/public-dns.html

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
由于呜呜站被墙（DNS污染），大量象友受困于没有梯子或者镜像站点连线质量很差。
目前呜呜站尚未被TCP SNI Reset封锁（被TCP SNI Reset封锁的网站就算修改Hosts指向正确IP或者使用加密DNS反污染也会“连接被重置”）。
可以通过各种反DNS污染的方法连接。本篇嘟文先介绍如何在浏览器端设置DoH（DNS over Https）加密DNS解析，这适用于直接通过浏览器或者浏览器附属的PWA应用使用呜呜站的用户。
首先你需要新版本的Chrome、Edge或者Firefox浏览器，大部分浏览器的加密DNS设置方式大同小异。可以参考下方图片。
由于DoH可以反DNS污染的特性，不少DoH服务器被墙以TCP SNI Reset甚至封杀端口的方式进行封锁。部分网址域名方式连接的加密DoH无法使用，但仍有少量DoH服务器存活。以下是可用的列表——
Cloudflare ——
https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https://[2606:4700:4700::1111]/dns-query
https://[2606:4700:4700::1001]/dns-query
Cisco OpenDNS ——
https://208.67.222.222/dns-query
https://208.67.220.220/dns-query
https://[2620:119:35::35]/dns-query
https://[2620:119:53::53]/dns-query
https://doh.opendns.com/dns-query
https://dns.opendns.com/dns-query
IBM Quad9 ——
https://9.9.9.9/dns-query
https://149.112.112.112/dns-query
https://[2620:fe::9]/dns-query
https://[2620:fe::fe]/dns-query
DNS SB ——
https://dns.sb/dns-query
https://doh.sb/dns-query
https://185.222.222.222/dns-query
https://45.11.45.11/dns-query
Internet Initiative Japan IIJ ——
https://public.dns.iij.jp/dns-query
Adguard DNS ——
https://94.140.14.14/dns-query
https://94.140.15.15/dns-query
希望这篇嘟文可以帮到象友们。 :ys_23: :ys_14:

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
由于呜呜站被墙（DNS污染），大量象友受困于没有梯子或者镜像站点连线质量很差。
目前呜呜站尚未被TCP SNI Reset封锁（被TCP SNI Reset封锁的网站就算修改Hosts指向正确IP或者使用加密DNS反污染也会“连接被重置”）。
可以通过各种反DNS污染的方法连接。本篇嘟文先介绍如何在浏览器端设置DoH（DNS over Https）加密DNS解析，这适用于直接通过浏览器或者浏览器附属的PWA应用使用呜呜站的用户。
首先你需要新版本的Chrome、Edge或者Firefox浏览器，大部分浏览器的加密DNS设置方式大同小异。可以参考下方图片。
由于DoH可以反DNS污染的特性，不少DoH服务器被墙以TCP SNI Reset甚至封杀端口的方式进行封锁。部分网址域名方式连接的加密DoH无法使用，但仍有少量DoH服务器存活。以下是可用的列表——
Cloudflare ——
https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https://[2606:4700:4700::1111]/dns-query
https://[2606:4700:4700::1001]/dns-query
Cisco OpenDNS ——
https://208.67.222.222/dns-query
https://208.67.220.220/dns-query
https://[2620:119:35::35]/dns-query
https://[2620:119:53::53]/dns-query
https://doh.opendns.com/dns-query
https://dns.opendns.com/dns-query
IBM Quad9 ——
https://9.9.9.9/dns-query
https://149.112.112.112/dns-query
https://[2620:fe::9]/dns-query
https://[2620:fe::fe]/dns-query
DNS SB ——
https://dns.sb/dns-query
https://doh.sb/dns-query
https://185.222.222.222/dns-query
https://45.11.45.11/dns-query
Internet Initiative Japan IIJ ——
https://public.dns.iij.jp/dns-query
Adguard DNS ——
https://94.140.14.14/dns-query
https://94.140.15.15/dns-query
希望这篇嘟文可以帮到象友们。 :ys_23: :ys_14:

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
昨日凌晨时，GFW🧱又大规模封杀SS、SSR、V2ray、Trojan、VPN。同时还对部分长毛象实例进行了DNS污染，很不幸的是呜呜站也被GFW拉进了名单（其实早有预料，懂得都懂）。
因为目前只是DNS污染，还未到TCP连接重置（SNI Reset封锁）封锁。现给出如下解决方案——
1.使用VPN或者SS、V2ray代理。
2.修改Hosts文件重新制定正确IP，正确的IPv4、IPv6地址已在下方图片中，但安卓和iOS系统难以修改Hosts文件。
3.安卓系统可以设置并使用加密DNS over TLS服务器，直接反DNS污染。墙外（海外）加密DNS服务器可在这里查找https://dns.icoa.cn/#world
4.对于新版本的浏览器可以直接设置DNS over Https加密DNS服务器，可在网上搜索设置教程。
5.使用呜呜站的镜像网址（不过不知道镜像网址能否坚挺多久），可以在这里查找https://in.wxw.moe/

#我爱长毛象
#长毛象使用小贴士
#长毛象中文使用手册
#翻墙教程
昨日凌晨时，GFW🧱又大规模封杀SS、SSR、V2ray、Trojan、VPN。同时还对部分长毛象实例进行了DNS污染，很不幸的是呜呜站也被GFW拉进了名单（其实早有预料，懂得都懂）。
因为目前只是DNS污染，还未到TCP连接重置（SNI Reset封锁）封锁。现给出如下解决方案——
1.使用VPN或者SS、V2ray代理。
2.修改Hosts文件重新制定正确IP，正确的IPv4、IPv6地址已在下方图片中，但安卓和iOS系统难以修改Hosts文件。
3.安卓系统可以设置并使用加密DNS over TLS服务器，直接反DNS污染。墙外（海外）加密DNS服务器可在这里查找https://dns.icoa.cn/#world
4.对于新版本的浏览器可以直接设置DNS over Https加密DNS服务器，可在网上搜索设置教程。
5.使用呜呜站的镜像网址（不过不知道镜像网址能否坚挺多久），可以在这里查找https://in.wxw.moe/