@victor Tooters got picked up by the #GreatFirewall! Wear it like a badge of honor, Victor.

(There is nothing you can do about this. BBC, CNN, Deutsche Welle, Wikipedia, FB, IG, Twitter, etc. are all blocked by the #GFW.)

自建mtproxy，不下載幾十兆的文件不怕撞上 #gfw

@twisted #GFW 早就对各个实例进行DNS污染了（大概是墙里面最低级但是最普遍的级别），而且很可能就是基于fediverse拉的清单，我自建的关闭注册的服务器都被DNS污染了，同时被污染的还有各大中文实例，以及我知道的几个小实例👀

福州是否开始使用网络域名白名单？#GFW

https://www.zhihu.com/question/602813176

@Phi 國內只要認真寫程序的都會撞上#gfw ，即便是去配置一個順手的latex編輯器

在中国大陆为什么不能用Facebook、Twitter？这道证书面试试题答案来了

汉府中文 2023-04-29
https://mp.weixin.qq.com/s/ZPK1lP1YfNDqMZnqhgtloA
#GFW #防火长城 #言论审查 #审查制度 #言论自由

《#国际中文教师证书》面试试题解析

前几天老师为大家分享了这样一套面试试题。很多同学后台留言，说想听一听中文问答第二题的讲解：

2.唐老师在上课时，讲到中国互联网很发达，现在有很多聊天工具。这时一位美国的学生说，为什么在中国不能用Facebook，Twitter，中国人上网并不自由。你怎么看这件事？怎么回应你的学生？

其实我相信大家知道为什么在中国不能使用Facebook、Twitter等国外的社交软件，只是不知道在证书面试这种场合应该怎么回答。
所以今天老师再专门发一篇文章为大家做一个讲解，希望能给大家一些启发。

一、先撇开题目谈一谈

我们先撇开如何答题，来谈一谈这个问题。
在大陆不能使用或者需要采取特殊方法才能使用Facebook、Twitter等国外的社交软件，有以下几个方面原因：
1.网络信息安全的考虑：我们都知道登录任何一个软件或者网站，都会留有登录信息或者痕迹的。一旦我们使用了国外的一些软件后，信息被盗后，由于很多地方不受大陆监管，很多弥补信息被盗带来的损失。
2.思想与价值观的引导：每个国家都有自己的意识形态，都有自己的主流价值观和思想。我国的思想体系与西方国家有很大差别，且我国社会各个方面目前正处于高速发展期，价值理想、道德信念正处于急剧变化期，在这种情况下，如果西方的主流思想与我们的思想、文化相冲突时，会带来很多风险，特别是对于青少年的发展。
3.国家安全的考虑：这里就不再多说，比如恶意的舆论导向等等。关于这个问题，大家可以到网上多了解更多的案例，这里就不方便多说啦。
4.国家和社会治理体系不同：每个国家都有自己的管理体系，这其中包括对社交媒体的管理。由于海外的一些社交软件，要遵循自身的一些法律法规，而这又不符合我国的一些法律法规，当两者都不能达成共识时，只能放弃合作。
以上是老师为大家总结的四点原因。接下来我们来看看这道题应该怎么答。

二、来看看如何答题

现在我们再回到本题中来，首先确定这道题的类型，属于课堂内容的跨文化交际，这时课堂中讲的这类题回答“套路”和技巧就要浮现在脑海中了。接下来老师给大家列举一下思路：
首先，对这个学生提出的问题给予正面的回应，比如表扬学生善于思考，提出了一个很好的问题。（这就是我们常说的“抹蜜”环节。）
其次，从“自由”这个概念入手，表明在大陆不能使用Facebook、Twitter等国外的社交软件，并不代表在中国上网就不自由。“自由”与“限制”都是相对的，每个人生活的环境、国家都不同，产生的思想和看法也不一样，所以“自由”与否我们也有自己的衡量标准。
再次，跟学生简单解释一下目前暂时无法使用Facebook、Twitter等国外的社交软件的原因，这就用到了前面我们分析的那几点，但是不是完全照搬。比如前面提到的“网民信息安全”、“国家和社会治理体系”两点可以做重点阐释。对于“思想与价值观念的引导”和“国家安全”可以不用在课堂上提及。
然后，及时转回到课堂教学内容上来，毕竟这个是在课堂上，不能被这些无关紧要的问题耽误了正常的教学时间。
当然，在回答这道题的时候，还需要用到我们课堂中讲的“陈述问题”“教学反思”“了解清楚”“请教他人”等环节。在这里就不再一一陈述了，大家可以自己尝试着再用自己的话回答一下这道题哦。

4月28日发布的新报告《中国的防火长城是如何检测和封锁完全加密流量的》

https://gfw.report/publications/usenixsecurity23/zh/

PDF: https://gfw.report/publications/usenixsecurity23/data/paper/paper.pdf

墙内PDF下载: https://www.swisstransfer.com/d/7288c0b4-558e-454a-9e49-95bbdd1442a5

"在这篇论文中，我们测量并描述了GFW用于审查完全加密流量的新系统。我们发现，审查者并没有直接定义什么是完全加密流量，而是应用粗糙但高效的启发式规则来豁免那些不太可能是完全加密的流量；然后它阻止其余未被豁免的流量。这些启发式规则基于常见协议的指纹、比特的占比以及可打印的ASCII字符的数量、比例和位置。我们对互联网进行扫描，并揭示了GFW都检查哪些流量和哪些IP地址。我们在一个大学网络的实时流量上模拟我们推断出的GFW的检测算法，以评估其全面性和误报率。结果表明，我们推断出的检测规则很好地覆盖了GFW实际使用的检测规则。 我们估计，如果这一检测算法被广泛地应用，它将有可能误伤大约0.6%的非翻墙互联网流量。"

#GFW #防火长城 #审查

What's the latest on using #TorBrowser in #China? Does it connect without bridges? How stable are connections?

#censorship #circumvention #gfw

發現 #GFW 已經根據流量來block port了，管控力度越來越精細了，同一個梯子的IP兩個port，一個流量大的被block，流量小的沒有block。

#fastmail was blocked by #GFW

還是被牆了。

(Video) Reading group discussion "Examining How the Great Firewall Discovers Hidden Circumvention Servers" #tor #china #gfw

https://archive.org/details/bbs-reading-group-20230226-Ensafi2015b

#VMware #Security #VirtualCloudNetwork #RunNSX #GFW - #NSX 4.0.1 #Stateful Active-Active #Gateway – Part 2 – Two Tier Routing (by Harikrishnan T) VMware NSX #vExpertNSX #vExpert

https://advocacy.vmware.com/member/post/nsx-4-0-1-stateful-active-active-gateway-part-2-two-tier-routing/ced716c5-636d-4ec3-936f-efff8c91d305

#VMware #MultiCloud #VirtualCloudNetwork #RunNSX #GFW - NSX 4.0.1 Stateful Active-Active Gateway – Part 1 – Single Tier Routing (by @Harikrishnan T) VMware NSX #vExpert #vExpertNSX

https://advocacy.vmware.com/member/post/nsx-4-0-1-stateful-active-active-gateway-part-1-single-tier-routing/eed726d7-22c8-4ed1-8be3-651a147dd929

#knowledge #gfw

翻墙新思路：通过 IP/Port 随机化阻止 GFW TCP 状态机建立连接追踪。
https://github.com/apernet/iptables-mod-randmap

众所周知 GFW 是一套运行在旁路的 DPI 设备。如果像西厢计划那样从一开始就阻止 GFW 建立 TCP 连接追踪，那自然也就没有后续的协议分析，主动探测。
上面的 iptables-mod-randmap 项目通过 iptables extension 实现 IP/Port 完全随机化，即使对于同一个 TCP 连接，每个包都可以选择不同的源地址和目标地址。这种情况下，处于路径中的防火墙将无法建立连接追踪。
如果你所在的宽带分配了 IPv6 地址及PD，并且可以接受主动传入连接，那么你可以尝试一下这个项目。

另外受上述思路启发，有人通过 iptables 实现了弱化版的 IPV6 负载均衡。当然这个更像是 v2ray 随机端口的 IP 版，并不能达到阻止 TCP 连接追踪的目的。
https://gist.github.com/KaraRyougi/5a5158f93b5db5d4c5fe6852bb99ae1d

#GFW

#朝花夕拾
#科学上网
#gfw
#翻墙教程
翻墙技术Shadowsocks（SS）的开发者Clowwindy曾在2013年谈论过为什么不该使用基于SSL（SSL/TLS）的技术翻墙。
在2015年之前还没有TLS 1.3，当时主流使用TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0这些老旧的协议。首先TLS 1.1、TLS 1.0、SSL 3.0很不安全不谈，这些老旧协议共同点是协商握手过程中服务端证书信息会暴露，Clowwindy原话——
“SSL设计目标:
1.防内容篡改
2.防冒充服务器身份
3.加密通信内容
而翻墙的目标:
1.不被检测出客户端在访问什么网站
2.不被检测出服务器在提供翻墙服务
SSL 和这个目标还是有一些出入。其中最大的问题是‘防冒充服务器身份’这个功能多余了。他会导致墙嗅探出证书信息，继而墙会知道服务器身份。如果墙知道一个服务器身份是用来翻墙的，它要做的仅仅是封掉使用这个证书的所有 IP。”
https://gist.github.com/clowwindy/5947691
然而Clowwindy没有预料到的是如今SSL/TLS翻墙技术已经成为主流，V2ray和Trojan大放光彩。在2017年下旬TLS 1.3发布后，基于SSL/TLS的翻墙技术才走向成熟。TLS 1.3相比TLS 1.2等老旧协议重点改进点在于ServerHello之后的握手消息进行加密使可见明文大大减少。V2ray、Trojan之类可以更好的发挥出威力。
不过TLS 1.3依然有两个大漏洞尚未被堵上——一是TLS协商阶段的SNI服务器名称指示是明文的，依然会暴露出服务器信息。二是TLS 1.3握手数据包长度固定，难以抵抗AI统计数据的识别。
目前对于明文的SNI这点IETF正在推进ECH加密客户端消息，期待ECH的普及。对于握手数据包长度固定的问题可能需要新版本TLS支持握手数据包使用变长度数据填充。 :ys_35:
不过哪怕是ECH普及了都是好事，这意味着翻墙技术只要简单的模拟出TLS 1.3的握手就可以让GFW疲于应付。 :ys_26:

#朝花夕拾
#科学上网
#gfw
#翻墙教程
翻墙技术Shadowsocks（SS）的开发者Clowwindy曾在2013年谈论过为什么不该使用基于SSL（SSL/TLS）的技术翻墙。
在2015年之前还没有TLS 1.3，当时主流使用TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0这些老旧的协议。首先TLS 1.1、TLS 1.0、SSL 3.0很不安全不谈，这些老旧协议共同点是协商握手过程中服务端证书信息会暴露，Clowwindy原话——
“SSL设计目标:
1.防内容篡改
2.防冒充服务器身份
3.加密通信内容
而翻墙的目标:
1.不被检测出客户端在访问什么网站
2.不被检测出服务器在提供翻墙服务
SSL 和这个目标还是有一些出入。其中最大的问题是‘防冒充服务器身份’这个功能多余了。他会导致墙嗅探出证书信息，继而墙会知道服务器身份。如果墙知道一个服务器身份是用来翻墙的，它要做的仅仅是封掉使用这个证书的所有 IP。”
https://gist.github.com/clowwindy/5947691
然而Clowwindy没有预料到的是如今SSL/TLS翻墙技术已经成为主流，V2ray和Trojan大放光彩。在2017年下旬TLS 1.3发布后，基于SSL/TLS的翻墙技术才走向成熟。TLS 1.3相比TLS 1.2等老旧协议重点改进点在于ServerHello之后的握手消息进行加密使可见明文大大减少。V2ray、Trojan之类可以更好的发挥出威力。
不过TLS 1.3依然有两个大漏洞尚未被堵上——一是TLS协商阶段的SNI服务器名称指示是明文的，依然会暴露出服务器信息。二是TLS 1.3握手数据包长度固定，难以抵抗AI统计数据的识别。
目前对于明文的SNI这点IETF正在推进ECH加密客户端消息，期待ECH的普及。对于握手数据包长度固定的问题可能需要新版本TLS支持握手数据包使用变长度数据填充。 :ys_35:
不过哪怕是ECH普及了都是好事，这意味着翻墙技术只要简单的模拟出TLS 1.3的握手就可以让GFW疲于应付。 :ys_26:

https://github.com/233boy/v2ray/wiki/V2Ray%E6%90%AD%E5%BB%BA%E8%AF%A6%E7%BB%86%E5%9B%BE%E6%96%87%E6%95%99%E7%A8%8B

#GFW

https://10beasts.net/china-fanqiang-tools-blacklist/

#GFW

@ilumium From what I can tell, the bigger risk is that all instances are probably monitored to find the real people behind #Chinese language accounts. It's not clear what identification methods are used by the PRC. Direct HTTPS access to the bigger instances is blocked by the #GFW but that's unsurprising and easy to work around.