免翻墙上品葱教程(DoH+ESNI直连)

安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。

截至2020年初,防火墙封杀网站的手段有:

  • 关键词过滤:随着https的普及,这种方法已经不常见。
  • 封锁IP:主要用来屏蔽Google,Facebook等IP地址固定的大型网站。
  • DNS污染+SNI探测:IPv4地址资源有限,对绝大多数网站,防火墙只能用DNS污染封锁。改Host可以绕过封锁,也可以用本文的DoH+ESNI方法直连被墙网站。


DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。

使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:

维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)

目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN


【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。
https://i.imgur.com/YdaRtpQ.png


【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。
https://i.imgur.com/84c2xO6.png


【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。
https://i.imgur.com/vGwtf1Q.png


到这里DoH就设置完成了,接下来设置ESNI。


【4】在Firefox的地址栏里输入about:config,回车,如图
https://i.imgur.com/JzXWTCm.png


【5】接下来可以看到警告提示,点【接受风险并继续】就可以。
https://i.imgur.com/ck36sJX.png



【6】在高级首选项里,在画红色方框的地方输入esni,如图
https://i.imgur.com/rs1xtOO.png


【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图
https://i.imgur.com/dtLePoq.png


【8】接下来就可以免翻墙上品葱了
https://i.imgur.com/kKd5i5H.png
以上是电脑配置直连的方法,再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入:
about:config


【2】下面的选项搜索框里,输入:
network.trr.mode

把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。

【3】选项搜索框里,输入:
network.security.esni.enabled

把这个选项的值改成true,打开ESNI.

然后就可以用手机直连品葱了。

---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客(镜像)
https://program-think-mirror.github.io/

来自其它网友补充:
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot(IT技术)
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧(一个中文博客站)
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则:

  • 只浏览不发言的用户,可以用本文方法浏览品葱。
  • 新用户可以用这种方法临时上品葱,再寻找其它翻墙手段。
  • 经常登录发言的用户,最低标准是外资VPN/VPS,推荐使用VPN+Tor。
  • 在墙内网站冲塔,号召行动,必须使用干净电脑+虚拟机+Tor
185
分享 2020-02-26

132 个评论

好像不好使,看来各个宽带提供商的GFW策略不同,看来这个方法我用不了了………………
厉害啊,向你学习
 这篇帖子实用性相当的大
經測試用這種方法沒法上寒冬網站
厉害啊,要是能看youTube梯子都省了

的确厉害
感谢分享!
三寸雪 新注册用户 回复 楚方城
可以看youtube么???
yulisasama 新注册用户
火狐还行,以前用过一段时间,但就是有点不稳定,账号容易出问题
沉默的广场 休假中 回复 yulisasama 新注册用户
火狐还行,以前用过一段时间,但就是有点不稳定,账号容易出问题

你用的是火狐中国版,还是火狐国际版?
哈哈哈我是谁 新注册用户
借个楼,请问如何使用TOR?谢谢!
实测Archive of Our Own也可以这么访问。
DeviantArt,Discord也可以。

补充:Firefox内置的2个DoH服务器不是所有地区都能够用。可能的话建议使用 dnscrypt-proxy 让整个系统都能够使用DoT/DoH(需要手动关掉DNSCrypt支持)。
实测Archive of Our Own也可以这么访问。DeviantArt,Discord也可以。...

是这样
这里有一份DoH伺服器列表 https://zh.m.wikipedia.org/wiki/%E5%85%AC%E5%85%B1%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E6%9C%8D%E5%8A%A1

填入network.trr.url 自定地址
比如https://dns.nextdns.io/(your_id)
https://dns.google/dns-query (没有被墙
seeseeto 新注册用户
新手实用,安全第一~~~~~~
Firefox 居然有Chrome沒有的功能,神奇
技术大神,将各种方法都阐述的很清晰,这样的文章建议还是多写,因为很多人都是小白,能参照,就避免了许多的弯路
为大家更新一下编程随想的博客的镜像网站:

https://program-think-mirror.github.io/
以上镜像已经完全更新

https://www.programthinkmirror.com/
以上镜像包含对于所有评论的完整备份

另外还有一点告之各位葱油:个人猜测以上两个网站【都没有】享受SNI封杀的待遇,所以各位只要把Firefox里的DoH设置打开就行了,【不用】打开ESNI设置。(当然各位也可以通过修改hosts的老办法)。本人身在墙外,所以没有办法证实这个猜测,还望墙内热心之人士予以验证一下。

**该用户被封禁,内容已自动替换**

各民族独立建国为什么有合法性?
答:独立建国的合法性就是自治和民主的天然合法性。当各地的自治和民主受到外来威胁,面临被再次占领和奴役的紧急情况时,独立建国就成了必要和正义的措施。当下(2019)的台湾爱国者没有急于建国,就是因为他们还可以享受海峡所保护的实质独立。香港爱国者正走在建国的快车道上,则是因为他们面临着被中国(=中共)彻底奴役的危险。自由与民主高于一切,为了捍卫自由与民主,各民族独立建国当然有不容置疑的合法性!
可以搭配cloudflare workers + jsproxy,这样即使cf workers被墙,也可以继续用了。
感谢楼主和以上技术大大,操作成功了。
太高级了,我还是选择梯子……
Blasphemous 新注册用户
我是在两会前还可以翻墙,开会之后就被屏蔽了,问客服说只要是在中国大陆就经常被屏蔽。
如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudfla...

并不会。因为墙内人99.9%的流量都是墙内流量,就算是物理切断国际出口对绝大部分韭菜而言也没什么大影响。
CHIDEY 黑名单
這種連接方法會降低訪問速度嗎?(來自vpn超慢的提問
根据这篇报告:ESNI已经被阻断 。测试后发现这种方法已经失效,目前 ESNI 仍为草案性质的协议,很多地方还没有完善。我已经向 Mozilla 发送电邮报告这个问题,未来不久应该会被解决
现在已经失效了

从5月份以来,这种方法就打不开那些网站了

最近有用户在这里发了共残党封杀这种技术的帖子

[iyouport] 报告:中国的防火长城已经封锁加密服务器名称指示(ESNI)

https://pincong.rocks/article/22661

要发言请先登录注册

要发言请先登录注册

发起人

状态

  • 最新活动: 2020-08-21
  • 浏览: 40061