跳至內容

英文维基 | 中文维基 | 日文维基 | 草榴社区

說明:如何瀏覽維基百科/完整版

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書
微笑歡迎
新手工具箱
目錄

常用頁面列表

幫助頁面

歡迎!新來者
新手索引大全
關於維基百科
請求幫助
新手入門
社群首頁
致其他百科用戶
新手入門簡明指南
使用教學材料庫

尋求他人協助

互助客棧
聯絡我們
IRC即時求助
知識問答
小天使
常見問題解答
如何建立新條目?
如何存取維基百科?
到哪裏發問或提建議?
使用VPN時無法編輯頁面?

傳揚維基百科
宣傳片
分享你的感受

新手上路
第一印象
與維基的相識
為什麼寫維基
首次編輯感覺

如果您身處中國大陸,想正常瀏覽維基百科以及其他部分維基媒體基金會旗下專案,需要透過技術手段繞過防火長城的封鎖。本文旨在提供有效的方法。

簡而言之

[編輯]
  • 請透過代理軟件(如Shadowsocks等)、VPNTor瀏覽及編輯維基百科。
    • 請注意,為防止破壞,維基百科禁止透過代理和VPN編輯。如果您使用代理和VPN,且希望編輯維基百科,請申請IP封禁例外
  • 您也可以透過使用工具注入特製的TCP封包直接瀏覽及編輯維基百科。
  • 您也可以透過鏡像網站瀏覽維基百科。但維基百科不對鏡像站的安全性和穩定性負責。切勿透過鏡像網站登入帳號及編輯,這可能造成帳號資訊泄露。
  • 如果您有足夠的技術水平,可以考慮透過架設本地反向代理及自建鏡像站等方式直接瀏覽維基百科。

中國大陸直連情況

[編輯]
當您瀏覽經過HTTPS加密的頁面時,瀏覽器的地址列中應當出現一個鎖形圖示。

維基百科的網址如下:

自2015年6月中旬起,維基媒體基金會對旗下專案進行了強制性加密(HTTPS),未加密的明文版頁面(HTTP)會被強制跳轉到對應的加密版頁面。如果在瀏覽過程中瀏覽器提示證書錯誤,或者頁面停留在明文版而未跳轉至加密版(即地址列不以https://開頭),說明當前連接極有可能已經受到了干擾建議停止瀏覽,不要添加例外,以免傳輸的數據被竊聽。

如果您在直接連接(未使用代理VPN等手段)維基百科時遇到的情況和下文描述不盡相同,歡迎留下反饋資訊

IPv4連接

[編輯]

目前,在中國大陸使用IPv4直接瀏覽維基媒體基金會的不同專案可能會遇到如下情況:

專案 加密(HTTPS) 明文(HTTP)[註 1]
電腦版 流動版 電腦版 流動版
維基百科
所有語言 NoN DNS TCP
維基新聞
中文 NoN DNS TCP
英文 NoN DNS TCP ☒N DNS NoN DNS TCP ☒N DNS
其他語言 ☒N IP
其它中文專案
維基文庫 ☒N IP NoN IP TCP
維基教科書 ☒N IP
維基詞典 ☒N IP
維基語錄 NoN DNS TCP
維基導遊 ☒N IP
維基學院 ☒N IP NoN DNS TCP ☒N IP ☒N DNS
多語言專案
維基物種 ☒N IP
維基共享資源 ☒N IP
維基孵育場 ☒N IP
多語言維基文庫 ☒N IP
元維基 ☒N IP
維基數據 ☒N IP
MediaWiki官網 ☒N IP
後台支援性服務 加密(HTTPS) 明文(HTTP)[註 1]
Toolforge[註 2]
toolserver.org checkY YesY
toolforge.org checkY YesY
wmcloud.org checkY YesY
wmflabs.org NoN DNS TCP
其它服務
媒體檔案伺服器[註 3] ☒N IP
地圖伺服器 ☒N IP
短網址服務[註 4] ☒N IP
後台技術追蹤管理 ☒N IP
技術文件 ☒N IP
郵寄清單 checkY YesY
  • 字母代號:
    • DNS: 此專案會被解析到無效的IP位址或已被封鎖的IP位址,因此無法瀏覽,必須使用Hosts檔案手動修正網域名稱解析。
    • TCP: 此專案還會受到SNI檢測的影響,會出現連接重設現象。對於加密版本(HTTPS),還需要先瀏覽其他專案或者域前置才能正常瀏覽受到SNI檢測的專案。
    • IP : 對於加密版本(HTTPS),由於當前維基媒體基金會位於美國新加坡的伺服器遭遇封鎖,導致該專案無法瀏覽。但可透過修正網域名稱解析的方式直連。對於明文版(HTTP),直接瀏覽IP位址正常,但由於它們的443(HTTPS)埠被封鎖,故無法使用這些IP位址(維基媒體基金會全站已預設開啟HTTPS),故仍然視為無法正常瀏覽。
  • 上標註釋:
  1. ^ 1.0 1.1 明文版頁面會自動跳轉至加密版。不考慮HSTS的影響,如果該跳轉步驟能順利完成,則視為可用,標記為黃色勾號。
  2. ^ 根據維基媒體基金會的設置,直接瀏覽toolforge.org會跳轉至wikitech.wikimedia.org的對應toolforge介紹。
  3. ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至維基共享資源首頁。
  4. ^ 根據維基媒體基金會的設置,直接瀏覽該地址會跳轉至元維基中的短網址生成頁面

IPv6連接

[編輯]

維基媒體基金會旗下專案均支援IPv6連接,但是目前IPv6尚不成熟,由於運營商路由表最佳化不夠和頻寬有限等原因,其瀏覽效果不如IPv4連接。

目前,透過IPv6:

  • ☒N 任何語種的維基百科及中文維基語錄均無法直接瀏覽。
  • checkY 其他維基媒體基金會旗下專案可直接連接。

然而,在IPv6和IPv4環境共存的情況下,防火長城對維基媒體基金會部分專案的DNS污染可能會影響到IP位址的解析,所以如果瀏覽失敗,請修正網域名稱解析

封鎖手段簡介

[編輯]

防火長城針對維基媒體基金會旗下專案主要使用以下技術段進行封鎖(封鎖其他網站所用的技術手段也類似):

  • DNS污染:DNS服務用於匹配網域名稱IP位址,透過人為修改DNS記錄,使用戶無法獲得正確的IP位址,導致網站無法打開;如果你使用ping命令或者其他DNS請求工具獲得的IP位址不屬於維基媒體基金會所有,則說明遭遇此種手法;
  • IP封鎖:透過ACLBGP劫持黑洞攻擊等技術手段使用戶的封包無法傳遞至正確的伺服器,而是被丟棄或傳送至錯誤目的地,導致網站無法打開;如果你使用traceroute命令發現雖然IP位址屬於維基媒體基金會,但封包在進入運營商骨幹網後便再無追蹤記錄,則說明遭遇此種手法;
  • 深度包檢測:對於未加密的http連接,該技術可以檢測詳細的傳輸內容,如果觸發敏感詞則立即斷開連接;對於https連接,雖然其採取了加密措施,但是截至目前SNI部分未被加密,因此透過該技術仍然可以獲知用戶瀏覽的網站,如果該網站在封鎖名單中則斷開連接,此種手法無論使用ping還是traceroute命令結果均為正常,但是瀏覽器會顯示「連接被重設」等錯誤提示。

以上技術手段直接作用於維基媒體基金會所屬的站點,若使用代理服務瀏覽本站,則可能會遭遇VPN封鎖等措施。下文介紹的內容都是旨在破解本章節所介紹封鎖手段。

維基媒體伺服器列表

[編輯]

維基媒體基金會使用下列IP位址提供服務,您可以使用下列IP位址替換後續教程(如修正網域名稱解析)中提供的IP位址。text-lbupload-lb之間的數據不互通,通常應該使用text-lb中的IP位址,但是對於媒體資源伺服器(upload.wikimedia.org)及地圖服務(maps.wikimedia.org)則應該使用upload-lb中的IP位址。您可根據延遲丟包率等數據決定使用哪個伺服器。

自2019年12月起,位於美國三藩市維基媒體基金會伺服器的IPv4地址(198.35.26.96)遭到封鎖;自2020年起,位於新加坡的維基媒體基金會伺服器的IPv4地址(103.102.166.224)和維基媒體基金會位於美國阿什本的IPv4地址(208.80.154.224)被封鎖;此外,維基媒體基金會的媒體伺服器位於美國三藩市及阿什本的IPv4地址(198.35.26.112、208.80.154.240)也遭到封鎖,因此在中國大陸地區維基媒體基金會的全部專案幾乎被完全屏蔽。不過後期的反饋資訊顯示中國大陸已有部分地區解除了對新加坡伺服器的封鎖。

另需指出Toolforge單獨擁有數據中心,因此不使用以下任何IP位址,而有其專用的IP位址:185.15.56.11

教育網封鎖了部分IPv6地址,使用前應確認可用性。

位置 數據中心名 對應專案 網絡地址
text-lb upload-lb
IPv4地址 IPv6地址 IPv4地址 IPv6地址
 美國阿什本 eqiad 全部專案 ? 208.80.154.224 2620:0:861:ed1a::1 ? 208.80.154.240 2620:0:861:ed1a::2:b
 美國卡羅爾頓 codfw 208.80.153.224 2620:0:860:ed1a::1 208.80.153.240 2620:0:860:ed1a::2:b
 美國三藩市 ulsfo 198.35.26.96 2620:0:863:ed1a::1 198.35.26.112 2620:0:863:ed1a::2:b
 荷蘭阿姆斯特丹 esams 185.15.59.224 2a02:ec80:300:ed1a::1 185.15.59.240 2a02:ec80:300:ed1a::2:b
 新加坡 eqsin ? 103.102.166.224 2001:df2:e500:ed1a::1 ? 103.102.166.240 2001:df2:e500:ed1a::2:b
 法國馬賽 drmrs 185.15.58.224 2a02:ec80:600:ed1a::1 185.15.58.240 2a02:ec80:600:ed1a::2:b
在中國大陸可以直接連接的IP位址
? 在中國大陸部分地區可以直接連接,而另外部分地區無法直接連接的IP位址
在中國大陸不能直接連接的IP位址

說明:

  • 位於美國三藩市的text-lb伺服器無法ping通,封包在中國的骨幹網國際埠處被丟棄。
  • 位於美國阿什本的伺服器,以及三藩市的upload-lb的443埠被封鎖,體現為可以ping通,且在地址列明文瀏覽IP位址(即[1])可顯示Wikimedia Error錯誤資訊,但是由於維基媒體專案強制性加密(HTTPS)瀏覽,故無法建立連接(可透過地址列加密瀏覽IP位址即[2]來驗證)。
  • 位於新加坡的伺服器也遭到了與阿什本伺服器相同的封鎖,但在中國大陸部分地區解封。
  • dumps.wikimedia.org的IP位址不在上述列表中。

透過查詢text-lb.(数据中心名).wikimedia.orgupload-lb.(数据中心名).wikimedia.org(lb是load balancer的縮寫)可以獲得上述的IP位址。透過參考Wikimedia serversWikipedia:伺服器頁面可以獲得維基媒體基金會伺服器的相關資訊。

直接連接

[編輯]

防火長城會對部分維基媒體專案進行DNS污染和/或進行基於SNI檢測的TCP連接重設,並已封鎖美國三藩市阿什本新加坡的伺服器IPv4地址。對此您可以在修正網域名稱解析(具體方法參見下文)後先瀏覽未被封鎖的維基媒體基金會旗下的其他專案(例如元維基維基數據)再切換至被封鎖的專案,即可在接下來的一段時間內正常瀏覽。如果上述操作無效,可以等待幾分鐘後重試,也可以在cmd程式里重複輸入ipconfig/flushdns來重新整理DNS快取,通常可以成功連接。您也可以使用代理服務瀏覽維基百科以獲得更加穩定的體驗。

修正網域名稱解析後,用戶需要以https://開頭的網址來瀏覽相關專案,否則仍會遭到封鎖。因為維基媒體專案的網域名稱使用了HSTS技術,網域名稱亦在預載入列表中,所以在使用較新版本的瀏覽器瀏覽時,瀏覽器會自動將http://改為https://來瀏覽加密版頁面,而無須手動修改網址。

(*)提醒

  • 使用這些按鈕中的地址可以一鍵從其他維基媒體專案切換到中文維基百科(複製:桌面裝置右鍵,流動裝置長按):123456789

(※)注意:前提條件是已經透過修改Hosts檔案手動修正網域名稱解析,否則將仍然會受到防火長城的DNS污染及IP封鎖影響,無法正常使用,具體操作詳見下文。IPv6環境暫時不需要修正網域名稱解析。

  • 修正網域名稱解析不會改變您的IP位址,因此您仍然會對維基媒體基金會旗下專案展現運營商的真實IP位址。不過不用擔心,對於註冊用戶而言,其IP位址是不會對其他用戶顯示的(除了需要用戶查核等特殊情況),僅根據維基媒體基金會的私隱政策儲存在伺服器後台。假如真的遇到用戶查核,您的IP位址也不會和別人的混淆,進而避免被誤認為是破壞者傀儡/馬甲/小號

(※)注意

  • 若您已經因為使用代理伺服器或VPN編輯維基百科而被自動封禁,現在希望透過設置Hosts或DNS伺服器編輯維基百科,請在完成修改之後嘗試不使用代理或關閉VPN,直接瀏覽維基百科。
    • 由於phab:T152462,您可能還需要清空您的瀏覽器Cookie,或刪除名為zhwikiBlockID的Cookie,才能正常編輯維基百科。
  • TCP連接斷開之後需要重複上面的步驟才能繼續瀏覽。因此使用該方法時請儘量避免進行繞過瀏覽器快取操作。
    • 如果您的瀏覽器安裝了自動重新整理網頁的外掛程式,您可以對某個未被封鎖的維基媒體專案網頁進行定期重新整理以避免重複上面的步驟。
    • 您也可以使用JavaScript指令碼自動完成此操作,請登入後編輯頁面Special:MyPage/common.js並將以下內容添加進去:
(function() {
    const sites = [
        'www.mediawiki.org',
        'www.wikidata.org',
        'incubator.wikimedia.org',
        'meta.wikimedia.org',
        'en.wiktionary.org',
        'wikitech.wikimedia.org',
        'commons.wikimedia.org'
    ];

    const activateSni = function() {
        mw.loader.using('mediawiki.ForeignApi').then(function() {
            (new mw.ForeignApi('https://' + sites[Math.floor(Math.random() * sites.length)] + '/w/api.php')).get({
                action: 'query',
                meta: 'userinfo',
                sand: Math.random() * 10000
            })
            sites.push(sites.shift())
        })
        window.setTimeout(activateSni, 30000 + Math.random() * 20000)
    };
    activateSni()
})()

Hosts檔案

[編輯]

Hosts檔案存在於電腦本地,透過修改該檔案可以改變網域名稱至IP位址的對映。

由於大部分維基媒體專案被中國大陸當地運營商或公共DNS解析至198.35.26.96或103.102.166.224,故透過修改Hosts檔案可恢復部分維基媒體基金會專案的正常瀏覽。所需hosts檔案的具體內容請見於

修改Hosts檔案的具體做法是:

  1. 取得裝置的管理員權限或者對裝置進行root/越獄操作:
    • (&)建議:如果您因故無法獲得裝置的管理員權限,或者不能/不願對裝置進行root或越獄,可以考慮採取設置DNS或使用DoT/DoH作為替代措施。
    • 桌面裝置:
      • Windows系統:在編輯時透過UAC授權取得管理員權限。
      • Linux、macOS系統:透過su(或在編輯時使用sudo)取得root權限
    • 流動裝置:
      • Android系統:需要取得root權限,或者下載安裝並執行虛擬hosts應用,例如Virtual Hosts直接下載)。
      • iOS系統:需要進行越獄操作,如果您可以瀏覽非中國大陸區域的App Store,可以使用Surge
  2. 打開Hosts檔案:
    • Windows系統:從開始菜單中找到記事本程式(一般位於「Windows 附件」資料夾),右鍵選擇以管理員身份執行(根據用戶帳戶控制策略,可能需要輸入管理員帳戶的密碼),使用左上角選單中的檔案打開,在下面的檔名輸入框中輸入%WINDIR%\System32\drivers\etc\hosts並Enter。
    • 類UNIX系統(Linux、Android):Hosts檔案一般位於/etc/hosts,然後使用gedit(圖形介面)或vi(終端介面)編輯。
    • 其他系統:請參見Hosts檔案
  3. 在該檔案中加入下列內容(可根據裝置類型選擇添加):
    • Help:如何瀏覽維基百科/hosts
    • (&)建議:維基媒體基金會有多個IP位址,您可以參考維基媒體的伺服器列表並根據實際瀏覽情況選擇填寫不同的IP位址。
    • (※)注意:Hosts檔案不支援萬用字元,因此需要逐個添加地址。另外,由於SNI檢測的存在,使用時需要確保Hosts列表中的IP位址與運營商的解析結果保持一致,解析結果可以透過查詢未被DNS污染的維基媒體網域名稱獲得,如mediawiki.orgwikidata.orgw.wiki
      • Windows系統:在命令提示符(cmd)中使用nslookup命令查詢,如nslookup mediawiki.org
      • 類UNIX系統:在Shell中使用dig命令查詢,如dig mediawiki.org -t A mediawiki.org -t AAAA
    • 解析一般會得到兩個結果,其中以.(英文句號)分隔的是A記錄IPv4地址),以:(英文冒號)分隔的是AAAA記錄IPv6地址)。
    • (※)注意:由於目前位於美國三藩市的伺服器(198.35.26.96)、阿什本(208.80.154.224),以及新加坡的伺服器(103.102.166.224)已被封鎖,故添加Hosts時請使用其他伺服器。如果取得到的IP位址不在這個列表中,請確定(如使用WHOIS工具進行查詢)IP位址屬於「Wikimedia Foundation Inc.」,否則說明解析結果極有可能已經受到DNS污染,請勿使用這個IP位址。
  4. 儲存檔案。如果出現任何錯誤提示,如「權限不足」等,請嘗試透過UAC授權取得管理員權限(Windows 系統);如果保安軟件提示這一舉動存在安全風險,請您忽視。按照本教程的方式修改Hosts檔案不會對您的電腦造成損害。

通常修改後的Hosts檔案可以立即生效,但若儲存之後依然不能正常瀏覽,您可以嘗試清除DNS快取:

  • 重新啟動裝置。
  • 執行下列命令:
    • Windows:ipconfig /flushdns
    • OS X / macOS:lookupd -flushcachedscacheutil -flushcache
    • Linux:sudo service nscd restart
      • Ubuntu:直接可以套用,不用重新啟動[1]
    • Android:開啟再關閉飛航模式
  • (※)注意:針對Windows 10用戶反饋無法正常儲存hosts檔案的問題,提示「你沒有權限在此位置中儲存檔案」,請將該檔案另存為至別處,按照此教程修改權限後再覆蓋即可。
  • (*)提醒:雖然修改hosts檔案後,IP位址能正常連接,但是依然會受到防火長城連接重設SNI檢測的干擾。如果要瀏覽各語種版本的維基百科和中文維基語錄,需要配合本地反向代理才能正常瀏覽。

更換DNS

[編輯]

加密DNS

[編輯]

針對DNS的加密技術包括DoTDoH,它們比傳統DNS更加安全,可以對解析結果進行加密以防止被第三方竊聽或篡改,同時也可以作為無法修改Hosts且DNS失效的情況下的替代方案。

此外,對於不能瀏覽維基百科的中國大陸網絡用戶而言,可以點擊該連結檢視所有可用的DoH伺服器列表。

Windows

現在已經有專門使用DNS over HTTPS(DoH)技術的 Windows 圖形化本地第三方客戶端,純淨、簡單,面向普通用戶,無需複雜組態,開箱即可使用。該軟件目前可從Github下載

Android

Android9.0開始提供了原生的DoT支援,即私人DNS,組態方法是:

  1. 打開「設置」;
  2. 點擊「網絡和互聯網」,再點擊「進階」,再點擊「私人DNS」;
  3. 然後在打開的窗口中輸入DoT伺服器地址,只需要輸入IP位址或網域名稱,不需要加上協定或埠。

對於華為榮耀手機用戶,EMUI9.0以上系統版本中有此功能,可以在「設置>無線和網絡>加密DNS」中找到。

對於Android 9.0以下的系統,可以使用軟件進行DoT/DoH查詢:

Firefox

Firefox從60.0版本開始提供DNS over HTTPS支援,組態方法是:

  • 電腦版:
    1. 在地址列輸入about:preferences並打開;
    2. 將頁面翻到最下方,點擊「網絡設置」下方的「設置」按鈕;
    3. 勾上「啟用基於 HTTPS 的 DNS」選項;
    4. 選擇「自訂」(如果您想使用預設的DoH伺服器則可以不修改);
    5. 填入DoH伺服器地址,需以https://開頭,埠可選。
    • 注意:透過圖形介面設置後Firefox預設會在DoH查詢失敗時回退到傳統DNS,如果需要用DoH做所有的DNS查詢:
    1. 在地址列輸入about:config並打開,如果出現警告提示請繼續;
    2. 在頁面上方的搜尋方塊輸入network.trr.mode
    3. 修改network.trr.mode的值為3
  • 流動版:
    1. 在地址列輸入about:config並打開,如果出現警告提示請繼續;
    2. 在頁面右上角的搜尋方塊輸入network.trr.uri
    3. 修改network.trr.uri的值為DoH伺服器地址(如果您想使用預設的DoH伺服器則可以不修改),需以https://開頭,埠可選;
    4. 在頁面右上角的搜尋方塊輸入network.trr.mode
    5. 修改network.trr.mode的值為3(如果想在DoH查詢失敗時回退到傳統DNS,請設置為2)。
Chromium

Chromium瀏覽器內核自78版本開始支援DNS Over HTTPS,基於Chromium的瀏覽器(如:Google ChromeOpera、Vivaldi、Brave、Microsoft Edge等)均可使用此功能。

組態方法(以Microsoft Edge為例):

  1. 點擊右上角的「…」,選擇「設置」。
  2. 選擇「私隱、搜尋和服務」選項。
  3. 找到右側欄中的「使用安全的DNS指定如何尋找網站的網絡地址」,選擇下列服務提供商之一(或者手動輸入DoH地址):
    • Cleanbrowsing
    • Cloudflare
    • Comcast
    • OpenDNS
    • Quad9

傳統DNS

[編輯]

在通常情況下,在中國大陸的網絡環境下無論使用位於中國大陸境內的DNS服務,還是使用位於境外的DNS服務,都無法正常瀏覽任何受到DNS污染的網站。由於境內的絕大多數DNS伺服器已經完成投毒,而境外的DNS會在國際出口遭到GFW污染(UDP查詢)或者連接重設(TCP查詢),所以都會被污染。(但境外DoT/DoH和使用技術手段規避防火長城投毒的境內DoT/DoH除外)。

但是仍有一些設置在中國大陸的小型DNS使用技術手段迴避防火長城的DNS污染並提供不受污染的結果,通常使用這些小型DNS也能夠瀏覽部分其他被封鎖的網站,此類DNS服務包括:(帶刪除線的專案可能無法使用,或不對公眾開放使用)

服務提供者 首選網絡地址 備選網絡地址
IPv4地址 IPv6地址 IPv4地址 IPv6地址
中國科學技術大學DNS 202.141.178.13 (中國移動)
202.141.162.123 (中國電信)
202.38.93.153 (教育網)
清華大學TUNA協會DNS 101.6.6.6 (教育網) 2001:da8::666 (教育網)
其他DNS服務 111.230.37.44
140.143.226.193
110.43.41.122
40.73.101.101
150.242.98.63

部分海外IPv6 DNS服務(如Google Public DNS的2001:4860:4860::8888和2001:4860:4860::8844)也可能給出正確的解析結果,但使用前建議先檢查可用性。IPv4 DNS則很可能會受到干擾。關於海外的DNS服務,詳見公共網域名稱解析服務

獲得DNS服務商的IP位址後,更改DNS伺服器的方法如下:

一些路由器等網絡硬件裝置也允許用戶指定DNS地址,這樣一來所有連接到該網絡裝置並設置了「自動獲得DNS伺服器地址」(DHCP)的電腦、手機等終端裝置都會自動使用該DNS服務,較為方便。詳情請參閱裝置說明書。

注意事項

[編輯]

使用DNS服務時要注意潛在的安全問題。DNS伺服器的控制者儘管無法監視您與網站之間傳輸的內容,但是卻有能力記錄您的IP位址和您試圖瀏覽的網站網域名稱。DNS服務商可能會利用這些資訊或將其分享給第三方以用於用戶行為收集、廣告和政府監管等目的,因此請仔細閱讀服務條款,選擇自己信任的服務商。另外,DNS服務商也可能有意或無意地為您提供錯誤甚至有害的結果(這也是防火長城的工作原理之一)。此外,在首選和備選IP位址中填入不同DNS服務提供者的地址也是可以的。部分地區可能只能解析較少的次數。

(&)建議:由於部分DNS服務商的出口伺服器全部位於中國大陸以外,或者出口伺服器部署有限無法針對所有地區或運營商進行最佳化,可能會導致用戶在瀏覽中國大陸境內的網站時被解析到不合適的IP位址(例如中國網站在海外架設的CDN),進而產生瀏覽網站時載入緩慢甚至失敗等情況。如您遇到這類現象,可以試着查詢當前使用的DNS出口的有關資訊,若結果顯示當前DNS出口與您的運營商不一致、與您所處的省份不一致或位於中國大陸以外且DNS伺服器未使用ECS功能(Edns-Client-Subnet),則可以考慮暫時停用上述DNS服務改用運營商的預設DNS或中國大陸主流廠商的智能DNS服務。

  • 使用以下網址可以獲得當前DNS用來查詢的源伺服器(亦即DNS出口)地址,可用於判斷DNS出口伺服器的區域:
    • ipleak.net:能同時給出多組結果,但只顯示IP位址的地理位置,不能給出運營商名稱。使用方法:在「DNS Addresses」這一節,如果顯示「DNS Address detection」或「pending」字樣則表示正在查詢
    • nstool.netease.com:一次只能給出一條結果,但能同時給出IP位址的地理位置和運營商名稱
  • 透過在終端中使用下列命令查詢網域名稱edns-client-sub.netTXT記錄可以獲得DNS伺服器的ECS功能狀態(請將下文中的8.8.8.8替換成您需要查詢的DNS入口伺服器地址):
  • dig:dig edns-client-sub.net -t TXT @8.8.8.8
  • nslookup:nslookup -type=TXT edns-client-sub.net 8.8.8.8
    • Windows系統下可能需要使用nslookup -qt=TXT edns-client-sub.net 8.8.8.8
  • 查詢會得到一個類似於JSON格式的結果,例如:
    {'ecs_payload':{'family':'1','optcode':'0x08','cc':'[ECS客户端国家代码]','ip':'[ECS客户端IP地址]','mask':'[ECS客户端CIDR码]','scope':'0'},'ecs':'[ECS状态]','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
  • 如果DNS伺服器沒有使用ECS功能(也就是ecs的值為False),則不會出現ecs_payload欄位,屬正常現象。例如:
    {'ecs':'False','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
  • 註釋:
    • DNS入口是DNS服務商用來接收用戶請求和返回解析結果的伺服器地址,例如Google的8.8.8.8;DNS出口是DNS服務商用來向權威DNS伺服器發起查詢的伺服器地址,智能DNS服務商通常擁有多個出口節點,能根據用戶的地理位置和使用的網絡營辦商就近分配DNS出口以確保用戶能獲得合適的解析結果。
    • ECS功能允許DNS伺服器向權威DNS伺服器傳達您的IP位址從而可以讓權威DNS伺服器返回合適的IP位址。因此,如果DNS服務商使用了該功能(如果查詢返回的結果包含'ecs':'True'則說明DNS伺服器使用了ECS功能;如果包含'ecs':'False',則說明未使用ECS功能),那麼不論DNS出口位於何處,返回給用戶的結果都是合適的。

域前置

[編輯]

域前置可以讓用戶向防火長城展示經過偽裝的瀏覽資訊,藉此避開SNI封鎖,也就是說雖然瀏覽的是維基百科,但在防火長城看來是在瀏覽別的網站,從而使得連接不會被中斷。

因為維基媒體基金會的IP位址可以正常連接(除位於美國三藩市阿什本新加坡的伺服器),但是仍然會受到防火長城連接重設和針對HTTPSSNI檢測的干擾影響,所以可以透過使用多種方法實現域前置,規避防火長城的SNI檢測,瀏覽各個語種版本的維基百科和中文維基語錄等專案。

瀏覽器修補程式

[編輯]

此方法操作起來較為複雜,需要用戶具有相當電腦相關知識,故不建議使用。若您有足夠能力,也可以檢視維基百科用戶就該方法進行過的討論來進一步了解。(2020年更新

本地反向代理

[編輯]

這裏提供了一個完整組態方法,組態後直接執行Nginx即可。如需要停止服務,可使用nginx -s quit命令或在工作管理員(Windows系統)或使用sudo pkill nginx命令(Linux系統)直接終止Nginx行程。

專用解封工具

[編輯]

如果您正使用Windows系統,也可以在Github上下載SNI解封工具(第三方工具),配合Hosts檔案即可瀏覽包括維基媒體基金會(含各個語種版本的維基百科)在內的部分被封鎖的網站,無需翻牆

修改Chromium瀏覽器啟動參數

[編輯]

對於Windows系統的Chromium瀏覽器,我們可以在其捷徑中寫入--host-rules參數,從而使其連接維基百科時不使用原本的SNI,而是使用其他未被GFW檢測的SNI,從而繞過SNI檢查。

方法:右鍵單擊Chromium瀏覽器捷徑-屬性-在「目標」後加入 --host-rules="MAP *.wikipedia.org wikidata.org, MAP commons.wikimedia.org wikidata.org" --host-resolver-rules="MAP upload.wikimedia.org 208.80.153.240, MAP wikidata.org 208.80.153.224"

IP重新導向

[編輯]

有時DNS伺服器會將部分網域名稱解析到被封鎖或無效的IP,此時可以將這些IP重新導向到正確的IP。

路由器IP轉發

[編輯]

如果您的路由器支援DNAT功能,則可以設置IP重新導向。

注入特製的TCP封包

[編輯]

根據加利福尼亞大學河濱分校的研究人員在ACM IMC 2017會議上發表的論文Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship所述,防火長城的檢測手段可被客戶端注入的特製封包繞過以達到直連瀏覽維基百科的目的。[2]可用工具有INTANG(Linux平台、內核中必須支援netfilter)、TCPioneer(僅支援64位元Windows系統)等。

若您使用64位元Windows系統,可直接在這個頁面下載TCPioneer的最新發行版,解壓後執行tcpioneer.exe即可。

非直接連接

[編輯]

代理伺服器

[編輯]

透過代理伺服器來中轉數據流量,用戶可以繞過絕大多數類型的網絡封鎖。

(※)注意

  • 由於維基媒體基金會封禁了大部分公共代理伺服器以避免破壞,若要透過代理伺服器編輯維基百科,您可能需要有一個擁有IP封禁例外權的帳戶。
  • 由於用戶與代理伺服器之間的連接未必被加密且用戶通常無法掌握代理伺服器的執行細節,因此用戶數據可能被第三方監聽(例如政府或網絡營辦商)或被代理服務提供者收集甚至共用給第三方(例如政府機構或廣告商)。對此,用戶應避免透過代理伺服器進入網上銀行等涉及私隱和財務的網站並儘可能地使用HTTPS加密連接。
  • 本章節主要討論相關的技術並舉出一些知名度較高的例子。在組態代理伺服器前,用戶需要聯絡代理伺服器的提供者來取得相關參數。
  • 如果使用了被污染的DNS伺服器仍然有無法瀏覽維基百科的可能,某些情況下仍然需要對DNS伺服器進行設置。翻牆軟件一般會對DNS伺服器進行設置或提供設置DNS伺服器的功能。

(&)建議

  • 如果您經常往返中國大陸境內外,在中國大陸境內瀏覽維基百科前,建議先禁用或解除安裝用於在境外瀏覽某些中國大陸網站(通常是包含版權內容的音影片服務)的軟件或瀏覽器外掛程式。
  • 本站有義務告知閣下:使用代理伺服器在部分國家和地區可能違反法律,違者可能會受到處罰。此外,使用代理伺服器在被封鎖的網站上發佈違反本地法律的內容,也可能會導致發佈者受到處罰。
  • 使用代理伺服器瀏覽被防火長城封鎖的網站也被稱為「科學上網」,在遭遇關鍵詞過濾時可以嘗試使用此關鍵詞進行搜尋或發貼。

專用代理軟件(翻牆軟件)

[編輯]

專用代理軟件(常稱為翻牆軟件)通常由代理服務提供商製作,該軟件會自動組態電腦的代理設置,從而使您的電腦和目標伺服器之間的流量都透過其指定的代理伺服器中轉。常見的免費翻牆軟件有賽風藍燈自由門等,另外還有收費的翻牆軟件可滿足對瀏覽質素(例如速度和延遲)有要求的用戶的需要。不同翻牆軟件的使用方法不盡相同,如有問題請閱讀軟件官方網站的使用說明或聯絡軟件開發者的客戶服務(如果有)。由於翻牆存在法律風險,因此利用翻牆軟件可能遭到懲罰,這一點請用戶務必注意。[3]另外,由於翻牆編輯維基百科會因使用被封禁的IP位址而無法編輯,因此可以申請IP封禁例外

HTTP代理

[編輯]
作業系統設置
[編輯]
瀏覽器設置
[編輯]

部分瀏覽器允許用戶獨立設置代理服務,所做的修改僅在該瀏覽器中有效。

  • Firefox:設置方法
  • Chrome:跟隨作業系統的代理設置
  • 大部分中國公司開發的瀏覽器:跟隨作業系統的代理設置。

VPN

[編輯]

VPN是一種網絡隧道,透過它可以連接到代理伺服器,VPN的連接通常是加密的。

各種作業系統的設置方法如下:

(※)注意:對於系統不支援的VPN協定,需要透過安裝第三方軟件來實現。

Shadowsocks

[編輯]
Shadowsocks的圖示是一個紙飛機,故也被稱為「飛機」

Shadowsocks是一種基於socks5開源代理軟件,支援Windows、Mac OS X、Linux、Android、iOS、OpenWRT平台,下載對應平台的客戶端後僅需簡單的組態即可使用。Shadowsocks的連接是被高度加密的,所以相對於HTTP代理更加安全且能避開關鍵字封鎖。其原作者clowwindy因被有關部門約談已停止開發、刪除Github上的原始碼,但另有開發者志願進行後續開發。此外,Shadowsocks也有若干分支版本,例如ShadowsocksR。

Shadowsocks分為伺服器端和客戶端。在使用之前,需要先將伺服器端部署在中國大陸以外未被防火長城封鎖的伺服器上,然後透過客戶端連接並建立本地代理。此外,用戶也可以選擇使用基於Shadowsocks的商業服務,以免去自行部署的麻煩。

類似的軟件還有V2Ray、Trojan、Naiveproxy等。

(&)建議:在有關鍵詞過濾機制的搜尋引擎或網絡討論區中,可以使用「酸酸乳」、「酸酸」、「機場」、「飛機」等關鍵詞來指代該軟件以及相關的伺服器。

Tor

[編輯]

Tor的全稱是「The Onion Router」(洋蔥路由器),本為匿名軟件,亦可作翻牆之用。其透過三重代理鏈隱匿路由資訊,反制現階段大量存在的流量過濾、嗅探分析等工具,難以追蹤,有效地保證了安全性。

Tor專案的官方網站提供了Tor瀏覽器(也可以在這裏下載)——整合了Tor且經過安全性客製化的Firefox,並針對封鎖了Tor的地區提供了流量混淆工具。中國大陸地區目前可選擇Obfs4網橋接入Tor網絡,也可以組態其他翻牆工具作為其前置代理。Tor瀏覽器連接成功後,將提供socks5代理入口127.0.0.1:9150以供其他應用程式使用。

為防止濫用,維基媒體專案以擴充TorBlock查封了大多數Tor出口節點,Tor用戶只能閱讀但無法編輯維基百科。要突破該限制,用戶需申請IP封禁例外權限。

瀏覽器擴充程式

[編輯]

Firefox和Chrome等瀏覽器支援擴充程式,透過安裝代理類的擴充程式可以也可以使用代理服務,部分代理擴充程式還可以根據網址進行匹配。透過瀏覽器擴充程式進行的代理設置通常只在該瀏覽器中有效,不會影響其它程式。

網頁代理

[編輯]
一個網頁代理的截圖,可以看出瀏覽器地址列中輸入的是網頁代理的網址,而網頁代理的輸入框中才是需要瀏覽的網站的地址,此外頁面頂部存在輕微的排版錯亂現象

網頁代理或線上代理是一種在網頁上執行的代理伺服器程式(本質上是一種網站),用戶無需在本地進行任何設置,輸入網頁代理服務的網址即可開始使用,相對方便。使用時,用戶需要在網頁代理服務提供的網址輸入框(而不是瀏覽器的地址列)中輸入需要瀏覽的地址,網頁代理服務會為用戶載入內容。

由於網頁代理服務的傳輸原理和一般的網站類似,故封鎖網頁代理比封鎖其他類型的代理工具要更加容易,因此網頁代理也更容易失效。而且不加密(HTTP)的網頁代理服務同樣會受到關鍵字過濾的干擾,建議用戶使用支援HTTPS加密的線上代理服務。另外,對於內容較複雜的網頁,使用網頁代理可能會出現排版錯亂、亂碼等問題。

鏡像網站

[編輯]

鏡像網站普遍只是郵遞員,內容與官方的維基百科即時同步。部分鏡像網站不能夠登入。即使鏡像網站可以登入,也請您不要登入,因為鏡像網站的提供者完全有能力記錄您的用戶名及密碼。有些網站保留了編輯功能,但透過鏡像網站進行的編輯都會歸屬到同一個IP位址從而容易被濫用,因此相關IP位址大部分已經被封禁從而不能用於編輯。

以下列出的是維基百科的部分鏡像網站。作為中文版,這裏側重列出中文維基百科的鏡像網站。

 警告維基百科、維基媒體基金會及中文維基社群與這些網站完全無關,不能保證列於此處的網站的可靠性和安全性。強烈建議不要在以下任意站點輸入您的用戶名或密碼,以免被惡意的網站盜取。使用這些站點安全性自負。

(※)注意:以下列出的鏡像網站,除非在備註中有特別說明,否則您在透過它們進行編輯時,應仔細檢查您將要提交的文字,以免您最終提交的是可能被篡改的文字。


維基百科拷貝站點列表
主站點 中文站點 類型 可編輯 資源伺服器[註 1] 遵守版權 版權聲明 原條目連結 中國大陸直接瀏覽 備註
https://kfd.me/ https://54e1ad4b48888.kfd.me/wiki/Wikipedia:首页 未知 已代理 CC BY-SA 4.0 不能直接瀏覽,必須先瀏覽主站
https://zhwp.blacktea67.us.kg/wiki/Wikipedia:首页 反向代理 未代理 CC BY-SA 4.0 疑似部分地區 僅支援中文維基百科
  1. ^ 維基媒體的資源伺服器(網域名稱:upload.wikimedia.org;標識:upload-lb)提供了圖片、音頻等媒體資源,目前其IPv4伺服器已被封鎖。如果發現圖片無法顯示或是音頻無法播放等情況,可參見Help:如何瀏覽維基百科#維基媒體伺服器列表進行修復,或直接使用已代理此伺服器的鏡像網站。


短網址服務

[編輯]

鑑於一些網絡討論區中存在的網址過濾和發言字數限制,用戶可以使用短網址服務壓縮連結長度並繞開過濾規則,不過這些服務並不能用來繞過網絡封鎖。另外維基百科為了避免用戶繞過垃圾連結過濾器,禁止用戶添加主要短網址服務的連結,所以這些連結(除前三個外)都不能添加到維基百科中,建議各位用戶在編輯時使用完整地址作為外部連結。

  • https://w.wiki/:維基媒體基金會的短網址服務,可透過m:Special:UrlShortener(不是Special:UrlShortener,本地無法生成)為維基媒體基金會旗下專案(包括但不限於維基百科)生成短網址。該服務目前在中國大陸無法直接使用,需要根據上文設置Hosts檔案後才可正常使用。
  • https://zhwp.org/:維基百科用戶User:PhiLiP維護的服務,訪問時只需輸入「https://zhwp.org/頁面名」即可直接訪問中文維基百科的對應頁面,詳見說明書
  • https://enwp.org/:類似於zhwp.org,只不過將會跳轉到英文維基百科的對應頁面。
  • https://bit.ly/:bit.ly的短網址服務將需要壓縮的地址輸入其官網即可獲得短連結。該服務在中國大陸境內使用HTTP瀏覽會遭到干擾,HTTPS可較穩定使用。
  • https://u.nu/:支援IPv6瀏覽的短網址服務。

參見

[編輯]

註釋

[編輯]
  1. ^ 14.04 - After modifying /etc/hosts which service needs to be restarted?. Ask Ubuntu. [2021-01-25]. 
  2. ^ Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship. 2017. doi:10.1145/3131365.3131374 (美國英語). 
  3. ^ 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知.