Der Stellvertreter, der in China, Iran und Russland funktioniert
Die digitale Seidenstraße: Mit Proxies durch die Zensur navigieren
Stellen Sie sich das Internet als wilden Wald vor: Manche Wege sind frei, andere von Dornengestrüpp und wachsamen Augen überwuchert. In China, Iran und Russland erheben sich Firewalls wie alte Stadtmauern und versperren den freien Durchgang. Um an diesen Wächtern vorbeizukommen, muss man einen ebenso subtilen wie raffinierten Schutzschild einsetzen – einen Mantel, der so gut sitzt, dass man ihn für gewöhnliche Kleidung hält.
Wichtige technische Anforderungen
| Besonderheit | China (GFW) | Iran | Russland | Hinweise |
|---|---|---|---|---|
| TLS-Fingerabdruck | Ja | Ja | Ja | Muss beliebte Browser/Dienste nachahmen |
| Deep Packet Inspection (DPI) | Ja | Ja | Ja | Verschleierung obligatorisch |
| SNI-Filterung | Ja | Ja | Ja | ESNI/ECH-Unterstützung ideal |
| IP-Blacklisting | Ja | Ja | Ja | Rotierende IPs und Domain-Fronting hilfreich |
| Protokoll-Whitelisting | Ja | Ja | Ja | HTTP/HTTPS am vertrauenswürdigsten |
| Aktives Sondieren | Ja | Ja | Ja | Muss der Entdeckung und Befragung standhalten |
Proxy-Technologien: Die Geschichte der drei Umhänge
1. Schattensocken (mit Verschleierung)
Shadowsocks, das Arbeitspferd des chinesischen Untergrunds, ist einfach, schnell und – in Kombination mit Plugins – bemerkenswert unauffällig. Doch für sich genommen ist es so offensichtlich wie der Fuchs im Hühnerstall.
Beste Verwendung: China, Iran
Schwäche: Anfällig für aktives Sondieren ohne Plug-Ins.
Typisches Setup:
# Server (install Shadowsocks + v2ray-plugin)
sudo apt-get install shadowsocks-libev
sudo apt-get install v2ray-plugin
# Run server
ss-server -s 0.0.0.0 -p 8388 -k <password> -m aes-256-gcm --plugin v2ray-plugin --plugin-opts="server;tls;host=www.bing.com"
Wichtige Plugin-Optionen:
– v2ray-plugin (WebSocket+TLS): Wird als normales HTTPS getarnt.
– obfs-plugin: Einfacher, hüllt den Datenverkehr in eine HTTP- oder TLS-ähnliche Schicht.
| Besonderheit | Schattensocken | Mit v2ray-Plugin |
|---|---|---|
| DPI-Umgehung | Mäßig | Hoch |
| TLS-Fingerabdruck | Keiner | Ja |
| Domänen-Fronting | NEIN | Ja |
2. V2Ray (VMess/Reality/XTLS)
Das Handwerkerwerkzeug V2Ray ist eine modulare Proxy-Plattform. Das VMess-Protokoll, gekleidet in XTLS oder Reality, tanzt an Zensoren vorbei wie ein Barde bei einem Maskenball.
Beste Verwendung: China, Iran, Russland
Stärken:
– Realität: Imitiert echte TLS-Sitzungen (kein echtes Zertifikat erforderlich).
– XTLS: Effizient, widersteht DPI.
Beispiel: Reality-Setup-Snippet
- Besorgen Sie sich den öffentlichen Schlüssel eines beliebten Dienstes (z. B. Cloudflare).
- V2Ray-Server konfigurieren:
{
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{"id": "<uuid>"}],
"decryption": "none",
"fallbacks": []
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "www.cloudflare.com:443",
"xver": 0,
"serverNames": ["www.cloudflare.com"],
"privateKey": "<private key>",
"shortIds": ["<shortid>"]
}
}
}]
}
Warum es funktioniert:
Reality/XTLS macht Ihren Datenverkehr von legitimem HTTPS nicht mehr zu unterscheiden und frustriert so die Zensurbehörden.
3. Trojan
Trojaner sind Wolf im Schafspelz, die sich in echtes TLS hüllen und sich unter die Herde des harmlosen HTTPS-Verkehrs mischen.
Beste Verwendung: China, Russland
Stärke:
– Verwendet legitime TLS-Zertifikate (z. B. von Let’s Encrypt)
– Sieht identisch aus wie Standard-HTTPS
Schnelle Serverinstallation:
sudo apt install trojan
sudo certbot certonly --standalone -d mydomain.com
Serverkonfigurationsskelett:
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"password": ["<password>"],
"ssl": {
"cert": "/etc/letsencrypt/live/mydomain.com/fullchain.pem",
"key": "/etc/letsencrypt/live/mydomain.com/privkey.pem"
}
}
4. Meek (Domain-Fronting über CDN)
Wenn die Mauern unüberwindbar scheinen, gräbt Meek einen Tunnel durch das Fundament und versteckt sich in Anfragen an hochkarätige Domänen.
Beste Verwendung: Iran, Russland
Stärke:
– Domain-Fronting über große CDNs (z. B. Azure, Cloudfront)
So funktioniert es:
– Client verbindet sich mit fronted.domain.com (z.B, ajax.aspnetcdn.com)
– CDN leitet versteckte Anfragen über eine nicht blockierte Domäne an Ihr Backend weiter.
Einschränkungen:
– Langsamer und weniger zuverlässig; Domain-Fronting wird von einigen CDNs aktiv blockiert.
Vergleichstabelle: Proxy-Effektivität
| Proxy/Protokoll | GFW (China) | Iran | Russland | DPI-Umgehung | TLS-Tarnung | Aktiver Sondierungswiderstand | Hinweise |
|---|---|---|---|---|---|---|---|
| Schattensocken (obfs) | ✓ | ✓ | ✓ | Medium | Schwach | Schwach | Verwenden Sie das v2ray-Plugin für beste Ergebnisse |
| V2Ray (Realität) | ✓✓ | ✓✓ | ✓✓ | Stark | Stark | Stark | Am widerstandsfähigsten im Jahr 2024 |
| Trojan | ✓✓ | ✓ | ✓✓ | Stark | Stark | Stark | Erfordert ein gültiges TLS-Zertifikat |
| Sanftmütig/Frontal | ✓ | ✓✓ | ✓ | Sehr stark | Sehr stark | Stark | Durch CDN-Richtlinie eingeschränkt |
Praktische Schritte zum Entsperren
Auswahl des richtigen Werkzeugs
- Für China: Verwenden Sie V2Ray (Reality oder XTLS) oder Trojan mit benutzerdefinierter Domäne und gültigem Zertifikat.
- Für den Iran: V2Ray mit Reality oder Meek (sofern Domain-Fronting noch verfügbar ist).
- Für Russland: Trojaner und V2Ray; erwägen Sie auch die Verwendung einer Kombination mit Verschleierungs-Plugins.
Serverstandort
- Host-Server außerhalb des Ziellandes.
- Wählen Sie IPs und Domänen, die bisher nicht mit der Umgehung in Verbindung gebracht wurden.
TLS-Fingerabdruck-Mimikry
TLS-Fingerprinting ist der Spürhund der modernen Zensur. V2Ray (Reality/XTLS) und Trojan zeichnen sich dadurch aus, dass sie die Gangart und den Geruch legitimer Verbindungen nachahmen, was die Erkennung für die Zensoren gefährlich macht.
Beispiel: V2Ray-Client-Konfiguration
{
"outbounds": [{
"protocol": "vless",
"settings": {
"vnext": [{
"address": "your.server.com",
"port": 443,
"users": [{
"id": "<uuid>",
"encryption": "none",
"flow": "xtls-rprx-vision"
}]
}]
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"publicKey": "<server public key>",
"shortId": "<shortid>",
"serverName": "www.cloudflare.com"
}
}
}]
}
Verschleierungs-Plugins und Layering
Die Kunst der Täuschung:
– Koppeln Sie Shadowsocks mit dem v2ray-Plugin (WebSocket+TLS).
– Verwenden Sie mehrere Ebenen: z. B. V2Ray über WebSocket über TLS.
– Wechseln Sie regelmäßig die Server-IPs und Domänen.
Letzte Tipps: Unsichtbar bleiben
- Verwenden Sie nach Möglichkeit CDN-gestützte Domänen für das Fronting.
- Überwachen Sie regelmäßig die Sperrlisten für Ihre IP/Domäne.
- Vermeiden Sie die Verwendung beliebter öffentlicher Proxys, da diese schnell blockiert werden.
In dieser digitalen Geschichte ist der Held nicht der Stärkste, sondern der Anpassungsfähigste. Jeder Stellvertreter hier ist eine raffinierte Maske – wählen Sie diejenige, die am besten zu dem Maskenball passt, den Sie besuchen müssen.
Kommentare (0)
Hier gibt es noch keine Kommentare, Sie können der Erste sein!