說明:如何瀏覽維基百科/完整版
此幫助頁面需要更新。 (2023年7月25日) |
本頁為操作指南,用於介紹中文維基百科社群的一些實作和操作方式。 本文只是論述,不屬於方針或指引。如果本指南與方針或指引起衝突或不一致,請以方針或指引的條文為準。 |
新手工具箱 | ||
---|---|---|
目錄 | ||
| ||
| ||
| ||
|
如果您身處中國大陸,想正常瀏覽維基百科以及其他部分維基媒體基金會旗下專案,需要透過技術手段繞過防火長城的封鎖。本文旨在提供有效的方法。
簡而言之
[編輯]- 請透過代理軟件(如Shadowsocks等)、VPN或Tor瀏覽及編輯維基百科。
- 您也可以透過使用工具注入特製的TCP封包直接瀏覽及編輯維基百科。
- 您也可以透過鏡像網站瀏覽維基百科。但維基百科不對鏡像站的安全性和穩定性負責。切勿透過鏡像網站登入帳號及編輯,這可能造成帳號資訊泄露。
- 如果您有足夠的技術水平,可以考慮透過架設本地反向代理及自建鏡像站等方式直接瀏覽維基百科。
中國大陸直連情況
[編輯]維基百科的網址如下:
- https://zh.wikipedia.org/ (中文維基百科電腦版)
- https://zh.m.wikipedia.org/ (中文維基百科流動版)
- https://www.wikipedia.org/ (多語言入口,可以透過其瀏覽或搜尋任意語言版本的維基百科)
自2015年6月中旬起,維基媒體基金會對旗下專案進行了強制性加密(HTTPS),未加密的明文版頁面(HTTP)會被強制跳轉到對應的加密版頁面。如果在瀏覽過程中瀏覽器提示證書錯誤,或者頁面停留在明文版而未跳轉至加密版(即地址列不以https://
開頭),說明當前連接極有可能已經受到了干擾,建議停止瀏覽,不要添加例外,以免傳輸的數據被竊聽。
如果您在直接連接(未使用代理、VPN等手段)維基百科時遇到的情況和下文描述不盡相同,歡迎留下反饋資訊。
IPv4連接
[編輯]目前,在中國大陸使用IPv4直接瀏覽維基媒體基金會的不同專案可能會遇到如下情況:
專案 | 加密(HTTPS) | 明文(HTTP)[註 1] | ||
---|---|---|---|---|
電腦版 | 流動版 | 電腦版 | 流動版 | |
維基百科 | ||||
所有語言 | DNS TCP | |||
維基新聞 | ||||
中文 | DNS TCP | |||
英文 | DNS TCP | DNS | DNS TCP | DNS |
其他語言 | IP | |||
其它中文專案 | ||||
維基文庫 | IP | IP TCP | ||
維基教科書 | IP | |||
維基詞典 | IP | |||
維基語錄 | DNS TCP | |||
維基導遊 | IP | |||
維基學院 | IP | DNS TCP | IP | DNS |
多語言專案 | ||||
維基物種 | IP | |||
維基共享資源 | IP | |||
維基孵育場 | IP | |||
多語言維基文庫 | IP | |||
元維基 | IP | |||
維基數據 | IP | |||
MediaWiki官網 | IP | |||
後台支援性服務 | 加密(HTTPS) | 明文(HTTP)[註 1] | ||
Toolforge[註 2] | ||||
toolserver.org | ||||
toolforge.org | ||||
wmcloud.org | ||||
wmflabs.org | DNS TCP | |||
其它服務 | ||||
媒體檔案伺服器[註 3] | IP | |||
地圖伺服器 | IP | |||
短網址服務[註 4] | IP | |||
後台技術追蹤管理 | IP | |||
技術文件 | IP | |||
郵寄清單 |
- 字母代號:
- DNS: 此專案會被解析到無效的IP位址或已被封鎖的IP位址,因此無法瀏覽,必須使用Hosts檔案手動修正網域名稱解析。
- TCP: 此專案還會受到SNI檢測的影響,會出現連接重設現象。對於加密版本(HTTPS),還需要先瀏覽其他專案或者域前置才能正常瀏覽受到SNI檢測的專案。
- IP : 對於加密版本(HTTPS),由於當前維基媒體基金會位於美國和新加坡的伺服器遭遇封鎖,導致該專案無法瀏覽。但可透過修正網域名稱解析的方式直連。對於明文版(HTTP),直接瀏覽IP位址正常,但由於它們的443(HTTPS)埠被封鎖,故無法使用這些IP位址(維基媒體基金會全站已預設開啟HTTPS),故仍然視為無法正常瀏覽。
- 上標註釋:
- ^ 1.0 1.1 明文版頁面會自動跳轉至加密版。不考慮HSTS的影響,如果該跳轉步驟能順利完成,則視為可用,標記為黃色勾號。
- ^ 根據維基媒體基金會的設置,直接瀏覽toolforge.org會跳轉至wikitech.wikimedia.org的對應toolforge介紹。
- ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至維基共享資源首頁。
- ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至元維基中的短網址生成頁面。
IPv6連接
[編輯]維基媒體基金會旗下專案均支援IPv6連接,但是目前IPv6尚不成熟,由於運營商路由表最佳化不夠和頻寬有限等原因,其瀏覽效果不如IPv4連接。
目前,透過IPv6:
- 任何語種的維基百科及中文維基語錄均無法直接瀏覽。
- 其他維基媒體基金會旗下專案可直接連接。
然而,在IPv6和IPv4環境共存的情況下,防火長城對維基媒體基金會部分專案的DNS污染可能會影響到IP位址的解析,所以如果瀏覽失敗,請修正網域名稱解析。
封鎖手段簡介
[編輯]防火長城針對維基媒體基金會旗下專案主要使用以下技術段進行封鎖(封鎖其他網站所用的技術手段也類似):
- DNS污染:DNS服務用於匹配網域名稱和IP位址,透過人為修改DNS記錄,使用戶無法獲得正確的IP位址,導致網站無法打開;如果你使用ping命令或者其他DNS請求工具獲得的IP位址不屬於維基媒體基金會所有,則說明遭遇此種手法;
- IP封鎖:透過ACL、BGP劫持、黑洞攻擊等技術手段使用戶的封包無法傳遞至正確的伺服器,而是被丟棄或傳送至錯誤目的地,導致網站無法打開;如果你使用traceroute命令發現雖然IP位址屬於維基媒體基金會,但封包在進入運營商骨幹網後便再無追蹤記錄,則說明遭遇此種手法;
- 深度包檢測:對於未加密的http連接,該技術可以檢測詳細的傳輸內容,如果觸發敏感詞則立即斷開連接;對於https連接,雖然其採取了加密措施,但是截至目前SNI部分未被加密,因此透過該技術仍然可以獲知用戶瀏覽的網站,如果該網站在封鎖名單中則斷開連接,此種手法無論使用ping還是traceroute命令結果均為正常,但是瀏覽器會顯示「連接被重設」等錯誤提示。
以上技術手段直接作用於維基媒體基金會所屬的站點,若使用代理服務瀏覽本站,則可能會遭遇VPN封鎖等措施。下文介紹的內容都是旨在破解本章節所介紹封鎖手段。
維基媒體伺服器列表
[編輯]維基媒體基金會使用下列IP位址提供服務,您可以使用下列IP位址替換後續教程(如修正網域名稱解析)中提供的IP位址。text-lb
和upload-lb
之間的數據不互通,通常應該使用text-lb
中的IP位址,但是對於媒體資源伺服器(upload.wikimedia.org
)及地圖服務(maps.wikimedia.org
)則應該使用upload-lb
中的IP位址。您可根據延遲和丟包率等數據決定使用哪個伺服器。
自2019年12月起,位於美國三藩市的維基媒體基金會伺服器的IPv4地址(198.35.26.96)遭到封鎖;自2020年起,位於新加坡的維基媒體基金會伺服器的IPv4地址(103.102.166.224)和維基媒體基金會位於美國阿什本的IPv4地址(208.80.154.224)被封鎖;此外,維基媒體基金會的媒體伺服器位於美國三藩市及阿什本的IPv4地址(198.35.26.112、208.80.154.240)也遭到封鎖,因此在中國大陸地區,維基媒體基金會的全部專案幾乎被完全屏蔽。不過後期的反饋資訊顯示中國大陸已有部分地區解除了對新加坡伺服器的封鎖。
另需指出Toolforge單獨擁有數據中心,因此不使用以下任何IP位址,而有其專用的IP位址:185.15.56.11
。
教育網封鎖了部分IPv6地址,使用前應確認可用性。
位置 | 數據中心名 | 對應專案 | 網絡地址 | |||
---|---|---|---|---|---|---|
text-lb | upload-lb | |||||
IPv4地址 | IPv6地址 | IPv4地址 | IPv6地址 | |||
美國阿什本 | eqiad | 全部專案 | ? 208.80.154.224 | 2620:0:861:ed1a::1 | ? 208.80.154.240 | 2620:0:861:ed1a::2:b |
美國卡羅爾頓 | codfw | 208.80.153.224 | 2620:0:860:ed1a::1 | 208.80.153.240 | 2620:0:860:ed1a::2:b | |
美國三藩市 | ulsfo | 198.35.26.96 | 2620:0:863:ed1a::1 | 198.35.26.112 | 2620:0:863:ed1a::2:b | |
荷蘭阿姆斯特丹 | esams | 185.15.59.224 | 2a02:ec80:300:ed1a::1 | 185.15.59.240 | 2a02:ec80:300:ed1a::2:b | |
新加坡 | eqsin | ? 103.102.166.224 | 2001:df2:e500:ed1a::1 | ? 103.102.166.240 | 2001:df2:e500:ed1a::2:b | |
法國馬賽 | drmrs | 185.15.58.224 | 2a02:ec80:600:ed1a::1 | 185.15.58.240 | 2a02:ec80:600:ed1a::2:b |
在中國大陸可以直接連接的IP位址 | |
? | 在中國大陸部分地區可以直接連接,而另外部分地區無法直接連接的IP位址 |
在中國大陸不能直接連接的IP位址 |
說明:
- 位於美國三藩市的text-lb伺服器無法ping通,封包在中國的骨幹網國際埠處被丟棄。
- 位於美國阿什本的伺服器,以及三藩市的upload-lb的443埠被封鎖,體現為可以ping通,且在地址列明文瀏覽IP位址(即[1])可顯示Wikimedia Error錯誤資訊,但是由於維基媒體專案強制性加密(HTTPS)瀏覽,故無法建立連接(可透過地址列加密瀏覽IP位址即[2]來驗證)。
- 位於新加坡的伺服器也遭到了與阿什本伺服器相同的封鎖,但在中國大陸部分地區解封。
dumps.wikimedia.org
的IP位址不在上述列表中。
透過查詢text-lb.(数据中心名).wikimedia.org
、upload-lb.(数据中心名).wikimedia.org
(lb是load balancer的縮寫)可以獲得上述的IP位址。透過參考Wikimedia servers或Wikipedia:伺服器頁面可以獲得維基媒體基金會伺服器的相關資訊。
直接連接
[編輯]防火長城會對部分維基媒體專案進行DNS污染和/或進行基於SNI檢測的TCP連接重設,並已封鎖美國三藩市、阿什本及新加坡的伺服器IPv4地址。對此您可以在修正網域名稱解析(具體方法參見下文)後先瀏覽未被封鎖的維基媒體基金會旗下的其他專案(例如元維基或維基數據)再切換至被封鎖的專案,即可在接下來的一段時間內正常瀏覽。如果上述操作無效,可以等待幾分鐘後重試,也可以在cmd程式里重複輸入ipconfig/flushdns來重新整理DNS快取,通常可以成功連接。您也可以使用代理服務瀏覽維基百科以獲得更加穩定的體驗。
自2019年12月起,位於美國三藩市的維基媒體基金會伺服器的IPv4地址(198.35.26.96)遭到封鎖;自2020年起,位於新加坡的維基媒體基金會伺服器的IPv4地址(103.102.166.224)和位於美國阿什本的IPv4地址(208.80.154.224)被封鎖;此外,維基媒體基金會的媒體伺服器位於美國三藩市及阿什本的IPv4地址(198.35.26.112、208.80.154.240)也遭到封鎖,因此在中國大陸地區,維基媒體基金會的全部專案幾乎被完全屏蔽,詳見這裏。 |
修正網域名稱解析後,用戶需要以https://
開頭的網址來瀏覽相關專案,否則仍會遭到封鎖。因為維基媒體專案的網域名稱使用了HSTS技術,網域名稱亦在預載入列表中,所以在使用較新版本的瀏覽器瀏覽時,瀏覽器會自動將http://
改為https://
來瀏覽加密版頁面,而無須手動修改網址。
(*)提醒:
(※)注意:前提條件是已經透過修改Hosts檔案手動修正網域名稱解析,否則將仍然會受到防火長城的DNS污染及IP封鎖影響,無法正常使用,具體操作詳見下文。IPv6環境暫時不需要修正網域名稱解析。
- 修正網域名稱解析不會改變您的IP位址,因此您仍然會對維基媒體基金會旗下專案展現運營商的真實IP位址。不過不用擔心,對於註冊用戶而言,其IP位址是不會對其他用戶顯示的(除了需要用戶查核等特殊情況),僅根據維基媒體基金會的私隱政策儲存在伺服器後台。假如真的遇到用戶查核,您的IP位址也不會和別人的混淆,進而避免被誤認為是破壞者的傀儡/馬甲/小號。
(※)注意:
- 若您已經因為使用代理伺服器或VPN編輯維基百科而被自動封禁,現在希望透過設置Hosts或DNS伺服器編輯維基百科,請在完成修改之後嘗試不使用代理或關閉VPN,直接瀏覽維基百科。
- 由於phab:T152462,您可能還需要清空您的瀏覽器Cookie,或刪除名為
zhwikiBlockID
的Cookie,才能正常編輯維基百科。
- 由於phab:T152462,您可能還需要清空您的瀏覽器Cookie,或刪除名為
- TCP連接斷開之後需要重複上面的步驟才能繼續瀏覽。因此使用該方法時請儘量避免進行繞過瀏覽器快取操作。
- 如果您的瀏覽器安裝了自動重新整理網頁的外掛程式,您可以對某個未被封鎖的維基媒體專案網頁進行定期重新整理以避免重複上面的步驟。
- 您也可以使用JavaScript指令碼自動完成此操作,請登入後編輯頁面Special:MyPage/common.js並將以下內容添加進去:
(function() {
const sites = [
'www.mediawiki.org',
'www.wikidata.org',
'incubator.wikimedia.org',
'meta.wikimedia.org',
'en.wiktionary.org',
'wikitech.wikimedia.org',
'commons.wikimedia.org'
];
const activateSni = function() {
mw.loader.using('mediawiki.ForeignApi').then(function() {
(new mw.ForeignApi('https://' + sites[Math.floor(Math.random() * sites.length)] + '/w/api.php')).get({
action: 'query',
meta: 'userinfo',
sand: Math.random() * 10000
})
sites.push(sites.shift())
})
window.setTimeout(activateSni, 30000 + Math.random() * 20000)
};
activateSni()
})()
Hosts檔案
[編輯]Hosts檔案存在於電腦本地,透過修改該檔案可以改變網域名稱至IP位址的對映。
由於大部分維基媒體專案被中國大陸當地運營商或公共DNS解析至198.35.26.96或103.102.166.224,故透過修改Hosts檔案可恢復部分維基媒體基金會專案的正常瀏覽。所需hosts檔案的具體內容請見於此。
修改Hosts檔案的具體做法是:
- 取得裝置的管理員權限或者對裝置進行root/越獄操作:
- 打開Hosts檔案:
- 在該檔案中加入下列內容(可根據裝置類型選擇添加):
- Help:如何瀏覽維基百科/hosts
- (&)建議:維基媒體基金會有多個IP位址,您可以參考維基媒體的伺服器列表並根據實際瀏覽情況選擇填寫不同的IP位址。
- (※)注意:Hosts檔案不支援萬用字元,因此需要逐個添加地址。另外,由於SNI檢測的存在,使用時需要確保Hosts列表中的IP位址與運營商的解析結果保持一致,解析結果可以透過查詢未被DNS污染的維基媒體網域名稱獲得,如
mediawiki.org
、wikidata.org
、w.wiki
。 - 解析一般會得到兩個結果,其中以
.
(英文句號)分隔的是A記錄(IPv4地址),以:
(英文冒號)分隔的是AAAA記錄(IPv6地址)。 - (※)注意:由於目前位於美國三藩市的伺服器(198.35.26.96)、阿什本(208.80.154.224),以及新加坡的伺服器(103.102.166.224)已被封鎖,故添加Hosts時請使用其他伺服器。如果取得到的IP位址不在這個列表中,請確定(如使用WHOIS工具進行查詢)IP位址屬於「Wikimedia Foundation Inc.」,否則說明解析結果極有可能已經受到DNS污染,請勿使用這個IP位址。
- 儲存檔案。如果出現任何錯誤提示,如「權限不足」等,請嘗試透過UAC授權取得管理員權限(Windows 系統);如果保安軟件提示這一舉動存在安全風險,請您忽視。按照本教程的方式修改Hosts檔案不會對您的電腦造成損害。
通常修改後的Hosts檔案可以立即生效,但若儲存之後依然不能正常瀏覽,您可以嘗試清除DNS快取:
- 重新啟動裝置。
- 執行下列命令:
- Windows:
ipconfig /flushdns
- OS X / macOS:
lookupd -flushcache
或dscacheutil -flushcache
- Linux:
sudo service nscd restart
- Ubuntu:直接可以套用,不用重新啟動[1]
- Android:開啟再關閉飛航模式
- Windows:
- (※)注意:針對Windows 10用戶反饋無法正常儲存hosts檔案的問題,提示「你沒有權限在此位置中儲存檔案」,請將該檔案另存為至別處,按照此教程修改權限後再覆蓋即可。
- (*)提醒:雖然修改hosts檔案後,IP位址能正常連接,但是依然會受到防火長城連接重設和SNI檢測的干擾。如果要瀏覽各語種版本的維基百科和中文維基語錄,需要配合本地反向代理才能正常瀏覽。
更換DNS
[編輯]以下方法可能已經失效! 2021年3月起防火長城封鎖技術升級,開始在檢測到DoH伺服器的SNI時連接重設或者強制丟包(路由黑洞) |
加密DNS
[編輯]針對DNS的加密技術包括DoT和DoH,它們比傳統DNS更加安全,可以對解析結果進行加密以防止被第三方竊聽或篡改,同時也可以作為無法修改Hosts且DNS失效的情況下的替代方案。
- DoT伺服器列表:DNS over TLS#公共DNS伺服器列表
- DoH伺服器列表:DNS over HTTPS#公共DNS
此外,對於不能瀏覽維基百科的中國大陸網絡用戶而言,可以點擊該連結檢視所有可用的DoH伺服器列表。
- Windows
現在已經有專門使用DNS over HTTPS(DoH)技術的 Windows 圖形化本地第三方客戶端,純淨、簡單,面向普通用戶,無需複雜組態,開箱即可使用。該軟件目前可從Github上下載。
- Android
Android從9.0開始提供了原生的DoT支援,即私人DNS,組態方法是:
- 打開「設置」;
- 點擊「網絡和互聯網」,再點擊「進階」,再點擊「私人DNS」;
- 然後在打開的窗口中輸入DoT伺服器地址,只需要輸入IP位址或網域名稱,不需要加上協定或埠。
對於華為和榮耀手機用戶,EMUI9.0以上系統版本中有此功能,可以在「設置>無線和網絡>加密DNS」中找到。
對於Android 9.0以下的系統,可以使用軟件進行DoT/DoH查詢:
- Intra(直接下載):由於此軟件的預設內建伺服器
Google Public DNS
在中國大陸受到封鎖(除谷歌中國版翻譯以外的谷歌旗下所有網站及服務均受到封鎖,詳見2014年中國大陸封鎖谷歌服務事件),所以可以選擇其它內建伺服器。點擊軟件左上角的選單按鈕,然後選擇「設置」,再點擊「選擇 DNS-over-HTTPS 伺服器」,在彈出的窗口中的「內建伺服器」選項當中選擇其它內建伺服器;或者選擇「自訂伺服器網址」選項,並手動輸入DoH伺服器地址。推薦使用距離中國大陸較近的DoH伺服器,如TWNIC Quad 101
。 - 1.1.1.1 App(直接下載)
- Firefox
Firefox從60.0版本開始提供DNS over HTTPS支援,組態方法是:
- 電腦版:
- 在地址列輸入
about:preferences
並打開; - 將頁面翻到最下方,點擊「網絡設置」下方的「設置」按鈕;
- 勾上「啟用基於 HTTPS 的 DNS」選項;
- 選擇「自訂」(如果您想使用預設的DoH伺服器則可以不修改);
- 填入DoH伺服器地址,需以
https://
開頭,埠可選。
- 在地址列輸入
- 注意:透過圖形介面設置後Firefox預設會在DoH查詢失敗時回退到傳統DNS,如果需要用DoH做所有的DNS查詢:
- 在地址列輸入
about:config
並打開,如果出現警告提示請繼續; - 在頁面上方的搜尋方塊輸入
network.trr.mode
; - 修改
network.trr.mode
的值為3
。
- 流動版:
- 在地址列輸入
about:config
並打開,如果出現警告提示請繼續; - 在頁面右上角的搜尋方塊輸入
network.trr.uri
; - 修改
network.trr.uri
的值為DoH伺服器地址(如果您想使用預設的DoH伺服器則可以不修改),需以https://
開頭,埠可選; - 在頁面右上角的搜尋方塊輸入
network.trr.mode
; - 修改
network.trr.mode
的值為3
(如果想在DoH查詢失敗時回退到傳統DNS,請設置為2
)。
- 在地址列輸入
Chromium瀏覽器內核自78版本開始支援DNS Over HTTPS,基於Chromium的瀏覽器(如:Google Chrome、Opera、Vivaldi、Brave、Microsoft Edge等)均可使用此功能。
組態方法(以Microsoft Edge為例):
- 點擊右上角的「…」,選擇「設置」。
- 選擇「私隱、搜尋和服務」選項。
- 找到右側欄中的「使用安全的DNS指定如何尋找網站的網絡地址」,選擇下列服務提供商之一(或者手動輸入DoH地址):
- Cleanbrowsing
- Cloudflare
- Comcast
- OpenDNS
- Quad9
傳統DNS
[編輯]在通常情況下,在中國大陸的網絡環境下無論使用位於中國大陸境內的DNS服務,還是使用位於境外的DNS服務,都無法正常瀏覽任何受到DNS污染的網站。由於境內的絕大多數DNS伺服器已經完成投毒,而境外的DNS會在國際出口遭到GFW污染(UDP查詢)或者連接重設(TCP查詢),所以都會被污染。(但境外DoT/DoH和使用技術手段規避防火長城投毒的境內DoT/DoH除外)。
但是仍有一些設置在中國大陸的小型DNS使用技術手段迴避防火長城的DNS污染並提供不受污染的結果,通常使用這些小型DNS也能夠瀏覽部分其他被封鎖的網站,此類DNS服務包括:(帶刪除線的專案可能無法使用,或不對公眾開放使用)
服務提供者 | 首選網絡地址 | 備選網絡地址 | ||
---|---|---|---|---|
IPv4地址 | IPv6地址 | IPv4地址 | IPv6地址 | |
中國科學技術大學DNS | 202.141.162.123 (中國電信) |
|||
清華大學TUNA協會DNS | 2001:da8::666 (教育網) | 無 | ||
其他DNS服務 | 140.143.226.193 110.43.41.122 |
40.73.101.101 150.242.98.63 |
部分海外IPv6 DNS服務(如Google Public DNS的2001:4860:4860::8888和2001:4860:4860::8844)也可能給出正確的解析結果,但使用前建議先檢查可用性。IPv4 DNS則很可能會受到干擾。關於海外的DNS服務,詳見公共網域名稱解析服務。
獲得DNS服務商的IP位址後,更改DNS伺服器的方法如下:
- Windows
- OS X 10.10 Yosemite
- Android(第三方教程,不同裝置的操作方法可能不同,請參考裝置廠商的說明)
- iOS(第三方教程)
一些路由器等網絡硬件裝置也允許用戶指定DNS地址,這樣一來所有連接到該網絡裝置並設置了「自動獲得DNS伺服器地址」(DHCP)的電腦、手機等終端裝置都會自動使用該DNS服務,較為方便。詳情請參閱裝置說明書。
注意事項
[編輯]以下說明同時適用於加密DNS和傳統DNS! |
使用DNS服務時要注意潛在的安全問題。DNS伺服器的控制者儘管無法監視您與網站之間傳輸的內容,但是卻有能力記錄您的IP位址和您試圖瀏覽的網站網域名稱。DNS服務商可能會利用這些資訊或將其分享給第三方以用於用戶行為收集、廣告和政府監管等目的,因此請仔細閱讀服務條款,選擇自己信任的服務商。另外,DNS服務商也可能有意或無意地為您提供錯誤甚至有害的結果(這也是防火長城的工作原理之一)。此外,在首選和備選IP位址中填入不同DNS服務提供者的地址也是可以的。部分地區可能只能解析較少的次數。
(&)建議:由於部分DNS服務商的出口伺服器全部位於中國大陸以外,或者出口伺服器部署有限無法針對所有地區或運營商進行最佳化,可能會導致用戶在瀏覽中國大陸境內的網站時被解析到不合適的IP位址(例如中國網站在海外架設的CDN),進而產生瀏覽網站時載入緩慢甚至失敗等情況。如您遇到這類現象,可以試着查詢當前使用的DNS出口的有關資訊,若結果顯示當前DNS出口與您的運營商不一致、與您所處的省份不一致或位於中國大陸以外且DNS伺服器未使用ECS功能(Edns-Client-Subnet),則可以考慮暫時停用上述DNS服務改用運營商的預設DNS或中國大陸主流廠商的智能DNS服務。
- 使用以下網址可以獲得當前DNS用來查詢的源伺服器(亦即DNS出口)地址,可用於判斷DNS出口伺服器的區域:
- ipleak
.net:能同時給出多組結果,但只顯示IP位址的地理位置,不能給出運營商名稱。使用方法:在「DNS Addresses」這一節,如果顯示「DNS Address detection」或「pending」字樣則表示正在查詢 - nstool
.netease .com:一次只能給出一條結果,但能同時給出IP位址的地理位置和運營商名稱
- ipleak
- 透過在終端中使用下列命令查詢網域名稱
edns-client-sub.net
的TXT記錄可以獲得DNS伺服器的ECS功能狀態(請將下文中的8.8.8.8替換成您需要查詢的DNS入口伺服器地址):
- dig:
dig edns-client-sub.net -t TXT @8.8.8.8
- nslookup:
nslookup -type=TXT edns-client-sub.net 8.8.8.8
- Windows系統下可能需要使用
nslookup -qt=TXT edns-client-sub.net 8.8.8.8
- Windows系統下可能需要使用
- dig:
- 查詢會得到一個類似於JSON格式的結果,例如:
{'ecs_payload':{'family':'1','optcode':'0x08','cc':'[ECS客户端国家代码]','ip':'[ECS客户端IP地址]','mask':'[ECS客户端CIDR码]','scope':'0'},'ecs':'[ECS状态]','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
- 如果DNS伺服器沒有使用ECS功能(也就是
ecs
的值為False
),則不會出現ecs_payload
欄位,屬正常現象。例如:{'ecs':'False','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
- 註釋:
- DNS入口是DNS服務商用來接收用戶請求和返回解析結果的伺服器地址,例如Google的8.8.8.8;DNS出口是DNS服務商用來向權威DNS伺服器發起查詢的伺服器地址,智能DNS服務商通常擁有多個出口節點,能根據用戶的地理位置和使用的網絡營辦商就近分配DNS出口以確保用戶能獲得合適的解析結果。
- ECS功能允許DNS伺服器向權威DNS伺服器傳達您的IP位址從而可以讓權威DNS伺服器返回合適的IP位址。因此,如果DNS服務商使用了該功能(如果查詢返回的結果包含
'ecs':'True'
則說明DNS伺服器使用了ECS功能;如果包含'ecs':'False'
,則說明未使用ECS功能),那麼不論DNS出口位於何處,返回給用戶的結果都是合適的。
域前置
[編輯]域前置可以讓用戶向防火長城展示經過偽裝的瀏覽資訊,藉此避開SNI封鎖,也就是說雖然瀏覽的是維基百科,但在防火長城看來是在瀏覽別的網站,從而使得連接不會被中斷。
因為維基媒體基金會的IP位址可以正常連接(除位於美國三藩市、阿什本及新加坡的伺服器),但是仍然會受到防火長城連接重設和針對HTTPS的SNI檢測的干擾影響,所以可以透過使用多種方法實現域前置,規避防火長城的SNI檢測,瀏覽各個語種版本的維基百科和中文維基語錄等專案。
瀏覽器修補程式
[編輯]此方法操作起來較為複雜,需要用戶具有相當電腦相關知識,故不建議使用。若您有足夠能力,也可以檢視維基百科用戶就該方法進行過的討論來進一步了解。(2020年更新)
本地反向代理
[編輯]這裏提供了一個完整組態方法,組態後直接執行Nginx即可。如需要停止服務,可使用nginx -s quit
命令或在工作管理員(Windows系統)或使用sudo pkill nginx
命令(Linux系統)直接終止Nginx行程。
專用解封工具
[編輯]如果您正使用Windows系統,也可以在Github上下載SNI解封工具(第三方工具),配合Hosts檔案即可瀏覽包括維基媒體基金會(含各個語種版本的維基百科)在內的部分被封鎖的網站,無需翻牆。
修改Chromium瀏覽器啟動參數
[編輯]對於Windows系統的Chromium瀏覽器,我們可以在其捷徑中寫入--host-rules
參數,從而使其連接維基百科時不使用原本的SNI,而是使用其他未被GFW檢測的SNI,從而繞過SNI檢查。
方法:右鍵單擊Chromium瀏覽器捷徑-屬性-在「目標」後加入 --host-rules="MAP *.wikipedia.org wikidata.org, MAP commons.wikimedia.org wikidata.org" --host-resolver-rules="MAP upload.wikimedia.org 208.80.153.240, MAP wikidata.org 208.80.153.224"
IP重新導向
[編輯]有時DNS伺服器會將部分網域名稱解析到被封鎖或無效的IP,此時可以將這些IP重新導向到正確的IP。
路由器IP轉發
[編輯]如果您的路由器支援DNAT功能,則可以設置IP重新導向。
注入特製的TCP封包
[編輯]根據加利福尼亞大學河濱分校的研究人員在ACM IMC 2017會議上發表的論文Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship所述,防火長城的檢測手段可被客戶端注入的特製封包繞過以達到直連瀏覽維基百科的目的。[2]可用工具有INTANG(Linux平台、內核中必須支援netfilter)、TCPioneer(僅支援64位元Windows系統)等。
若您使用64位元Windows系統,可直接在這個頁面下載TCPioneer的最新發行版,解壓後執行tcpioneer.exe即可。
非直接連接
[編輯]代理伺服器
[編輯]透過代理伺服器來中轉數據流量,用戶可以繞過絕大多數類型的網絡封鎖。
(※)注意:
- 由於維基媒體基金會封禁了大部分公共代理伺服器以避免破壞,若要透過代理伺服器編輯維基百科,您可能需要有一個擁有IP封禁例外權的帳戶。
- 由於用戶與代理伺服器之間的連接未必被加密且用戶通常無法掌握代理伺服器的執行細節,因此用戶數據可能被第三方監聽(例如政府或網絡營辦商)或被代理服務提供者收集甚至共用給第三方(例如政府機構或廣告商)。對此,用戶應避免透過代理伺服器進入網上銀行等涉及私隱和財務的網站並儘可能地使用HTTPS加密連接。
- 本章節主要討論相關的技術並舉出一些知名度較高的例子。在組態代理伺服器前,用戶需要聯絡代理伺服器的提供者來取得相關參數。
- 如果使用了被污染的DNS伺服器仍然有無法瀏覽維基百科的可能,某些情況下仍然需要對DNS伺服器進行設置。翻牆軟件一般會對DNS伺服器進行設置或提供設置DNS伺服器的功能。
(&)建議:
- 如果您經常往返中國大陸境內外,在中國大陸境內瀏覽維基百科前,建議先禁用或解除安裝用於在境外瀏覽某些中國大陸網站(通常是包含版權內容的音影片服務)的軟件或瀏覽器外掛程式。
- 本站有義務告知閣下:使用代理伺服器在部分國家和地區可能違反法律,違者可能會受到處罰。此外,使用代理伺服器在被封鎖的網站上發佈違反本地法律的內容,也可能會導致發佈者受到處罰。
- 使用代理伺服器瀏覽被防火長城封鎖的網站也被稱為「科學上網」,在遭遇關鍵詞過濾時可以嘗試使用此關鍵詞進行搜尋或發貼。
專用代理軟件(翻牆軟件)
[編輯]個別軟件和服務會要求您在電腦或手機安裝某種根證書。建議您不要使用此類軟件,因為此類軟件的提供商可以獲得您的用戶名、密碼和您瀏覽過的網頁及其內容。 |
專用代理軟件(常稱為翻牆軟件)通常由代理服務提供商製作,該軟件會自動組態電腦的代理設置,從而使您的電腦和目標伺服器之間的流量都透過其指定的代理伺服器中轉。常見的免費翻牆軟件有賽風、藍燈、自由門等,另外還有收費的翻牆軟件可滿足對瀏覽質素(例如速度和延遲)有要求的用戶的需要。不同翻牆軟件的使用方法不盡相同,如有問題請閱讀軟件官方網站的使用說明或聯絡軟件開發者的客戶服務(如果有)。由於翻牆存在法律風險,因此利用翻牆軟件可能遭到懲罰,這一點請用戶務必注意。[3]另外,由於翻牆編輯維基百科會因使用被封禁的IP位址而無法編輯,因此可以申請IP封禁例外。
HTTP代理
[編輯]作業系統設置
[編輯]- Windows 7 / Vista[失效連結](對Windows的代理設置進行的修改可以影響到包括Internet Explorer在內的大部分軟件的代理設置)
- OS X 10.10 Yosemite[失效連結]
瀏覽器設置
[編輯]部分瀏覽器允許用戶獨立設置代理服務,所做的修改僅在該瀏覽器中有效。
- Firefox:設置方法
- Chrome:跟隨作業系統的代理設置
- 大部分中國公司開發的瀏覽器:跟隨作業系統的代理設置。
VPN
[編輯]VPN是一種網絡隧道,透過它可以連接到代理伺服器,VPN的連接通常是加密的。
各種作業系統的設置方法如下:
- Windows 10
- Windows 7 / Vista[失效連結]
- OS X 10.10 Yosemite[失效連結]
- Android(對於非原版安卓系統,操作方法可能不同,請參考裝置廠商的說明)
- iOS[失效連結]
(※)注意:對於系統不支援的VPN協定,需要透過安裝第三方軟件來實現。
Shadowsocks
[編輯]Shadowsocks是一種基於socks5的開源代理軟件,支援Windows、Mac OS X、Linux、Android、iOS、OpenWRT平台,下載對應平台的客戶端後僅需簡單的組態即可使用。Shadowsocks的連接是被高度加密的,所以相對於HTTP代理更加安全且能避開關鍵字封鎖。其原作者clowwindy因被有關部門約談已停止開發、刪除Github上的原始碼,但另有開發者志願進行後續開發。此外,Shadowsocks也有若干分支版本,例如ShadowsocksR。
Shadowsocks分為伺服器端和客戶端。在使用之前,需要先將伺服器端部署在中國大陸以外未被防火長城封鎖的伺服器上,然後透過客戶端連接並建立本地代理。此外,用戶也可以選擇使用基於Shadowsocks的商業服務,以免去自行部署的麻煩。
類似的軟件還有V2Ray、Trojan、Naiveproxy等。
(&)建議:在有關鍵詞過濾機制的搜尋引擎或網絡討論區中,可以使用「酸酸乳」、「酸酸」、「機場」、「飛機」等關鍵詞來指代該軟件以及相關的伺服器。
Tor
[編輯]Tor的全稱是「The Onion Router」(洋蔥路由器),本為匿名軟件,亦可作翻牆之用。其透過三重代理鏈隱匿路由資訊,反制現階段大量存在的流量過濾、嗅探分析等工具,難以追蹤,有效地保證了安全性。
Tor專案的官方網站提供了Tor瀏覽器(也可以在這裏下載)——整合了Tor且經過安全性客製化的Firefox,並針對封鎖了Tor的地區提供了流量混淆工具。中國大陸地區目前可選擇Obfs4網橋接入Tor網絡,也可以組態其他翻牆工具作為其前置代理。Tor瀏覽器連接成功後,將提供socks5代理入口127.0.0.1:9150
以供其他應用程式使用。
為防止濫用,維基媒體專案以擴充TorBlock查封了大多數Tor出口節點,Tor用戶只能閱讀但無法編輯維基百科。要突破該限制,用戶需申請IP封禁例外權限。
瀏覽器擴充程式
[編輯]Firefox和Chrome等瀏覽器支援擴充程式,透過安裝代理類的擴充程式可以也可以使用代理服務,部分代理擴充程式還可以根據網址進行匹配。透過瀏覽器擴充程式進行的代理設置通常只在該瀏覽器中有效,不會影響其它程式。
- Google Chrome瀏覽器上可以使用擴充 Proxy SwitchyOmega進行代理器管理或使用PAC檔案。
- Mozilla Firefox瀏覽器上可以使用 Proxy SwitchyOmega (Firefox官方擴充站下載頁面)或 FoxyProxy(Firefox官方擴充站下載頁面),Proxy SmartProxy進行代理管理或使用PAC檔案。
- Microsoft Edge和Internet Explorer除了可以在設置選項內手工修改代理設置之外,也可以透過組態PAC檔案的方式來讓瀏覽器自動分辨哪些網站使用代理瀏覽。
網頁代理
[編輯]網頁代理或線上代理是一種在網頁上執行的代理伺服器程式(本質上是一種網站),用戶無需在本地進行任何設置,輸入網頁代理服務的網址即可開始使用,相對方便。使用時,用戶需要在網頁代理服務提供的網址輸入框(而不是瀏覽器的地址列)中輸入需要瀏覽的地址,網頁代理服務會為用戶載入內容。
由於網頁代理服務的傳輸原理和一般的網站類似,故封鎖網頁代理比封鎖其他類型的代理工具要更加容易,因此網頁代理也更容易失效。而且不加密(HTTP)的網頁代理服務同樣會受到關鍵字過濾的干擾,建議用戶使用支援HTTPS加密的線上代理服務。另外,對於內容較複雜的網頁,使用網頁代理可能會出現排版錯亂、亂碼等問題。
鏡像網站
[編輯]鏡像網站普遍只是郵遞員,內容與官方的維基百科即時同步。部分鏡像網站不能夠登入。即使鏡像網站可以登入,也請您不要登入,因為鏡像網站的提供者完全有能力記錄您的用戶名及密碼。有些網站保留了編輯功能,但透過鏡像網站進行的編輯都會歸屬到同一個IP位址從而容易被濫用,因此相關IP位址大部分已經被封禁從而不能用於編輯。
以下列出的是維基百科的部分鏡像網站。作為中文版,這裏側重列出中文維基百科的鏡像網站。
警告:維基百科、維基媒體基金會及中文維基社群與這些網站完全無關,不能保證列於此處的網站的可靠性和安全性。強烈建議不要在以下任意站點輸入您的用戶名或密碼,以免被惡意的網站盜取。使用這些站點安全性自負。
(※)注意:以下列出的鏡像網站,除非在備註中有特別說明,否則您在透過它們進行編輯時,應仔細檢查您將要提交的文字,以免您最終提交的是可能被篡改的文字。
主站點 | 中文站點 | 類型 | 可編輯 | 資源伺服器[註 1] | 遵守版權 | 版權聲明 | 原條目連結 | 中國大陸直接瀏覽 | 備註 |
---|---|---|---|---|---|---|---|---|---|
https://kfd.me/ | https://54e1ad4b48888.kfd.me/wiki/Wikipedia:首页 | 未知 | 否 | 已代理 | 是 | CC BY-SA 4.0 | 否 | 是 | 不能直接瀏覽,必須先瀏覽主站 |
https://zhwp.blacktea67.us.kg/wiki/Wikipedia:首页 | 反向代理 | 否 | 未代理 | 是 | CC BY-SA 4.0 | 否 | 疑似部分地區 | 僅支援中文維基百科 |
- ^ 維基媒體的資源伺服器(網域名稱:upload.wikimedia.org;標識:upload-lb)提供了圖片、音頻等媒體資源,目前其IPv4伺服器已被封鎖。如果發現圖片無法顯示或是音頻無法播放等情況,可參見Help:如何瀏覽維基百科#維基媒體伺服器列表進行修復,或直接使用已代理此伺服器的鏡像網站。
短網址服務
[編輯]鑑於一些網絡討論區中存在的網址過濾和發言字數限制,用戶可以使用短網址服務壓縮連結長度並繞開過濾規則,不過這些服務並不能用來繞過網絡封鎖。另外維基百科為了避免用戶繞過垃圾連結過濾器,禁止用戶添加主要短網址服務的連結,所以這些連結(除前三個外)都不能添加到維基百科中,建議各位用戶在編輯時使用完整地址作為外部連結。
- https://w.wiki/:維基媒體基金會的短網址服務,可透過m:Special:UrlShortener(不是Special:UrlShortener,本地無法生成)為維基媒體基金會旗下專案(包括但不限於維基百科)生成短網址。該服務目前在中國大陸無法直接使用,需要根據上文設置Hosts檔案後才可正常使用。
- https://zhwp.org/:維基百科用戶User:PhiLiP維護的服務,訪問時只需輸入「https://zhwp.org/頁面名」即可直接訪問中文維基百科的對應頁面,詳見說明書。
- https://enwp.org/:類似於zhwp.org,只不過將會跳轉到英文維基百科的對應頁面。
- https://bit.ly/:bit.ly的短網址服務將需要壓縮的地址輸入其官網即可獲得短連結。該服務在中國大陸境內使用HTTP瀏覽會遭到干擾,HTTPS可較穩定使用。
- https://u.nu/:支援IPv6瀏覽的短網址服務。
參見
[編輯]- 防火長城
- 互聯網審查
- 中華人民共和國網絡審查
- TCP重設攻擊
- IP位址
- DNS及DNS污染
- Wikipedia:IP封禁例外
- WP:IPBEMAIL
- 幫助:使用VPN時無法編輯頁面?
- 對維基媒體的審查與封鎖
- 中國大陸對維基媒體的封鎖
- 幫助:如何瀏覽維基媒體旗下專案
註釋
[編輯]- ^ 14.04 - After modifying /etc/hosts which service needs to be restarted?. Ask Ubuntu. [2021-01-25].
- ^ Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship. 2017. doi:10.1145/3131365.3131374 (美國英語).
- ^ 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知.