免翻墙上品葱教程(DoH+ESNI直连)
安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。
截至2020年初,防火墙封杀网站的手段有:
DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。
品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。
使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。
DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:
维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)
目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。
下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/
直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN
直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN
【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。
【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。
【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。
到这里DoH就设置完成了,接下来设置ESNI。
【4】在Firefox的地址栏里输入about:config,回车,如图
【5】接下来可以看到警告提示,点【接受风险并继续】就可以。
【6】在高级首选项里,在画红色方框的地方输入esni,如图
【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图
【8】接下来就可以免翻墙上品葱了
以上是电脑配置直连的方法,再说下手机端直连品葱的方法。
手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
【2】下面的选项搜索框里,输入:
把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。
【3】选项搜索框里,输入:
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。
---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:
品葱
https://pincong.rocks
Matters
https://matters.news
Medium
https://medium.com
编程随想的博客(镜像)
https://program-think-mirror.github.io/
来自其它网友补充:
郭媒体
https://gnews.org/
中国数字时代
https://chinadigitaltimes.net/chinese/
DuckDuckGo
https://duckduckgo.com/
SlashDot(IT技术)
https://slashdot.org
自由微博
https://freeweibo.com
Greatfire
https://zh.greatfire.org/
可能吧(一个中文博客站)
https://kenengba.com/
GitHub(开启DoH后可以提速)
https://github.com/
欢迎补充。
最后一点安全守则:
截至2020年初,防火墙封杀网站的手段有:
- 关键词过滤:随着https的普及,这种方法已经不常见。
- 封锁IP:主要用来屏蔽Google,Facebook等IP地址固定的大型网站。
- DNS污染+SNI探测:IPv4地址资源有限,对绝大多数网站,防火墙只能用DNS污染封锁。改Host可以绕过封锁,也可以用本文的DoH+ESNI方法直连被墙网站。
DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。
品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。
使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。
DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:
维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)
目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。
下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/
直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN
直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN
【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。
【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。
【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。
到这里DoH就设置完成了,接下来设置ESNI。
【4】在Firefox的地址栏里输入about:config,回车,如图
【5】接下来可以看到警告提示,点【接受风险并继续】就可以。
【6】在高级首选项里,在画红色方框的地方输入esni,如图
【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图
【8】接下来就可以免翻墙上品葱了
以上是电脑配置直连的方法,再说下手机端直连品葱的方法。
手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
about:config
【2】下面的选项搜索框里,输入:
network.trr.mode
把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。
【3】选项搜索框里,输入:
network.security.esni.enabled
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。
---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:
品葱
https://pincong.rocks
Matters
https://matters.news
Medium
https://medium.com
编程随想的博客(镜像)
https://program-think-mirror.github.io/
来自其它网友补充:
郭媒体
https://gnews.org/
中国数字时代
https://chinadigitaltimes.net/chinese/
DuckDuckGo
https://duckduckgo.com/
SlashDot(IT技术)
https://slashdot.org
自由微博
https://freeweibo.com
Greatfire
https://zh.greatfire.org/
可能吧(一个中文博客站)
https://kenengba.com/
GitHub(开启DoH后可以提速)
https://github.com/
欢迎补充。
最后一点安全守则:
- 只浏览不发言的用户,可以用本文方法浏览品葱。
- 新用户可以用这种方法临时上品葱,再寻找其它翻墙手段。
- 经常登录发言的用户,最低标准是外资VPN/VPS,推荐使用VPN+Tor。
- 在墙内网站冲塔,号召行动,必须使用干净电脑+虚拟机+Tor
