帮助:如何访问维基百科/完整版
此帮助页面需要更新。 (2023年7月25日) |
本页为操作指南,用于介绍中文维基百科社群的一些实现和操作方式。 本文只是论述,不属于方针或指引。如果本指南与方针或指引起冲突或不一致,请以方针或指引的条文为准。 |
新手工具箱 | ||
---|---|---|
目录 | ||
| ||
| ||
| ||
|
如果您身处中国大陆,想正常访问维基百科以及其他部分维基媒体基金会旗下项目,需要通过技术手段绕过防火长城的封锁。本文旨在提供有效的方法。
简而言之
- 请通过代理软件(如Shadowsocks等)、VPN或Tor访问及编辑维基百科。
- 您也可以通过使用工具注入特制的TCP数据包直接访问及编辑维基百科。
- 您也可以通过镜像网站访问维基百科。但维基百科不对镜像站的安全性和稳定性负责。切勿通过镜像网站登录账号及编辑,这可能造成账号资讯泄露。
- 如果您有足够的技术水平,可以考虑通过架设本地反向代理及自建镜像站等方式直接访问维基百科。
中国大陆直连情况
维基百科的网址如下:
- https://zh.wikipedia.org/ (中文维基百科桌面版)
- https://zh.m.wikipedia.org/ (中文维基百科移动版)
- https://www.wikipedia.org/ (多语言入口,可以通过其访问或搜索任意语言版本的维基百科)
自2015年6月中旬起,维基媒体基金会对旗下项目进行了强制性加密(HTTPS),未加密的明文版页面(HTTP)会被强制跳转到对应的加密版页面。如果在访问过程中浏览器提示证书错误,或者页面停留在明文版而未跳转至加密版(即地址栏不以https://
开头),说明当前连接极有可能已经受到了干扰,建议停止访问,不要添加例外,以免传输的数据被窃听。
如果您在直接连接(未使用代理、VPN等手段)维基百科时遇到的情况和下文描述不尽相同,欢迎留下反馈资讯。
IPv4连接
目前,在中国大陆使用IPv4直接访问维基媒体基金会的不同项目可能会遇到如下情况:
项目 | 加密(HTTPS) | 明文(HTTP)[注 1] | ||
---|---|---|---|---|
桌面版 | 移动版 | 桌面版 | 移动版 | |
维基百科 | ||||
所有语言 | DNS TCP | |||
维基新闻 | ||||
中文 | DNS TCP | |||
英文 | DNS TCP | DNS | DNS TCP | DNS |
其他语言 | IP | |||
其它中文项目 | ||||
维基文库 | IP | IP TCP | ||
维基教科书 | IP | |||
维基词典 | IP | |||
维基语录 | DNS TCP | |||
维基导游 | IP | |||
维基学院 | IP | DNS TCP | IP | DNS |
多语言项目 | ||||
维基物种 | IP | |||
维基共享资源 | IP | |||
维基孵育场 | IP | |||
多语言维基文库 | IP | |||
元维基 | IP | |||
维基数据 | IP | |||
MediaWiki官网 | IP | |||
后台支持性服务 | 加密(HTTPS) | 明文(HTTP)[注 1] | ||
Toolforge[注 2] | ||||
toolserver.org | ||||
toolforge.org | ||||
wmcloud.org | ||||
wmflabs.org | DNS TCP | |||
其它服务 | ||||
媒体文件伺服器[注 3] | IP | |||
地图伺服器 | IP | |||
短网址服务[注 4] | IP | |||
后台技术追踪管理 | IP | |||
技术文档 | IP | |||
邮件列表 |
- 字母代号:
- DNS: 此项目会被解析到无效的IP地址或已被封锁的IP地址,因此无法访问,必须使用Hosts文件手动修正域名解析。
- TCP: 此项目还会受到SNI检测的影响,会出现连接重置现象。对于加密版本(HTTPS),还需要先访问其他项目或者域前置才能正常访问受到SNI检测的项目。
- IP : 对于加密版本(HTTPS),由于当前维基媒体基金会位于美国和新加坡的伺服器遭遇封锁,导致该项目无法访问。但可通过修正域名解析的方式直连。对于明文版(HTTP),直接访问IP地址正常,但由于它们的443(HTTPS)端口被封锁,故无法使用这些IP地址(维基媒体基金会全站已默认开启HTTPS),故仍然视为无法正常访问。
- 上标注释:
- ^ 1.0 1.1 明文版页面会自动跳转至加密版。不考虑HSTS的影响,如果该跳转步骤能顺利完成,则视为可用,标记为黄色勾号。
- ^ 根据维基媒体基金会的设置,直接访问toolforge.org会跳转至wikitech.wikimedia.org的对应toolforge介绍。
- ^ 根据维基媒体基金会的设置,直接访问该地址会跳转至维基共享资源首页。
- ^ 根据维基媒体基金会的设置,直接访问该地址会跳转至元维基中的短网址生成页面。
IPv6连接
维基媒体基金会旗下项目均支持IPv6连接,但是目前IPv6尚不成熟,由于运营商路由表优化不够和带宽有限等原因,其访问效果不如IPv4连接。
目前,通过IPv6:
- 任何语种的维基百科及中文维基语录均无法直接访问。
- 其他维基媒体基金会旗下项目可直接连接。
然而,在IPv6和IPv4环境共存的情况下,防火长城对维基媒体基金会部分项目的DNS污染可能会影响到IP地址的解析,所以如果访问失败,请修正域名解析。
封锁手段简介
防火长城针对维基媒体基金会旗下项目主要使用以下技术段进行封锁(封锁其他网站所用的技术手段也类似):
- DNS污染:DNS服务用于匹配域名和IP地址,通过人为修改DNS记录,使用户无法获得正确的IP地址,导致网站无法打开;如果你使用ping命令或者其他DNS请求工具获得的IP地址不属于维基媒体基金会所有,则说明遭遇此种手法;
- IP封锁:通过ACL、BGP劫持、黑洞攻击等技术手段使用户的数据包无法传递至正确的伺服器,而是被丢弃或发送至错误目的地,导致网站无法打开;如果你使用traceroute命令发现虽然IP地址属于维基媒体基金会,但数据包在进入运营商骨干网后便再无追踪记录,则说明遭遇此种手法;
- 深度包检测:对于未加密的http连接,该技术可以检测详细的传输内容,如果触发敏感词则立即断开连接;对于https连接,虽然其采取了加密措施,但是截至目前SNI部分未被加密,因此通过该技术仍然可以获知用户访问的网站,如果该网站在封锁名单中则断开连接,此种手法无论使用ping还是traceroute命令结果均为正常,但是浏览器会显示“连接被重置”等错误提示。
以上技术手段直接作用于维基媒体基金会所属的站点,若使用代理服务访问本站,则可能会遭遇VPN屏蔽等措施。下文介绍的内容都是旨在破解本章节所介绍封锁手段。
维基媒体伺服器列表
维基媒体基金会使用下列IP地址提供服务,您可以使用下列IP地址替换后续教程(如修正域名解析)中提供的IP地址。text-lb
和upload-lb
之间的数据不互通,通常应该使用text-lb
中的IP地址,但是对于媒体资源伺服器(upload.wikimedia.org
)及地图服务(maps.wikimedia.org
)则应该使用upload-lb
中的IP地址。您可根据延迟和丢包率等数据决定使用哪个伺服器。
自2019年12月起,位于美国旧金山的维基媒体基金会伺服器的IPv4地址(198.35.26.96)遭到封锁;自2020年起,位于新加坡的维基媒体基金会伺服器的IPv4地址(103.102.166.224)和维基媒体基金会位于美国阿什本的IPv4地址(208.80.154.224)被封锁;此外,维基媒体基金会的媒体伺服器位于美国旧金山及阿什本的IPv4地址(198.35.26.112、208.80.154.240)也遭到封锁,因此在中国大陆地区,维基媒体基金会的全部项目几乎被完全屏蔽。不过后期的反馈资讯显示中国大陆已有部分地区解除了对新加坡伺服器的封锁。
另需指出Toolforge单独拥有数据中心,因此不使用以下任何IP地址,而有其专用的IP地址:185.15.56.11
。
教育网屏蔽了部分IPv6地址,使用前应确认可用性。
位置 | 数据中心名 | 对应项目 | 网络地址 | |||
---|---|---|---|---|---|---|
text-lb | upload-lb | |||||
IPv4地址 | IPv6地址 | IPv4地址 | IPv6地址 | |||
美国阿什本 | eqiad | 全部项目 | ? 208.80.154.224 | 2620:0:861:ed1a::1 | ? 208.80.154.240 | 2620:0:861:ed1a::2:b |
美国卡罗尔顿 | codfw | 208.80.153.224 | 2620:0:860:ed1a::1 | 208.80.153.240 | 2620:0:860:ed1a::2:b | |
美国旧金山 | ulsfo | 198.35.26.96 | 2620:0:863:ed1a::1 | 198.35.26.112 | 2620:0:863:ed1a::2:b | |
荷兰阿姆斯特丹 | esams | 185.15.59.224 | 2a02:ec80:300:ed1a::1 | 185.15.59.240 | 2a02:ec80:300:ed1a::2:b | |
新加坡 | eqsin | ? 103.102.166.224 | 2001:df2:e500:ed1a::1 | ? 103.102.166.240 | 2001:df2:e500:ed1a::2:b | |
法国马赛 | drmrs | 185.15.58.224 | 2a02:ec80:600:ed1a::1 | 185.15.58.240 | 2a02:ec80:600:ed1a::2:b |
在中国大陆可以直接连接的IP地址 | |
? | 在中国大陆部分地区可以直接连接,而另外部分地区无法直接连接的IP地址 |
在中国大陆不能直接连接的IP地址 |
说明:
- 位于美国旧金山的text-lb伺服器无法ping通,数据包在中国的骨干网国际端口处被丢弃。
- 位于美国阿什本的伺服器,以及旧金山的upload-lb的443端口被封锁,体现为可以ping通,且在地址栏明文访问IP地址(即[1])可显示Wikimedia Error错误资讯,但是由于维基媒体项目强制性加密(HTTPS)访问,故无法建立连接(可通过地址栏加密访问IP地址即[2]来验证)。
- 位于新加坡的伺服器也遭到了与阿什本伺服器相同的封锁,但在中国大陆部分地区解封。
dumps.wikimedia.org
的IP地址不在上述列表中。
通过查询text-lb.(数据中心名).wikimedia.org
、upload-lb.(数据中心名).wikimedia.org
(lb是load balancer的缩写)可以获得上述的IP地址。通过参考Wikimedia servers或Wikipedia:伺服器页面可以获得维基媒体基金会伺服器的相关资讯。
直接连接
防火长城会对部分维基媒体项目进行DNS污染和/或进行基于SNI检测的TCP连接重置,并已封锁美国旧金山、阿什本及新加坡的伺服器IPv4地址。对此您可以在修正域名解析(具体方法参见下文)后先访问未被封锁的维基媒体基金会旗下的其他项目(例如元维基或维基数据)再切换至被封锁的项目,即可在接下来的一段时间内正常访问。如果上述操作无效,可以等待几分钟后重试,也可以在cmd程序里重复输入ipconfig/flushdns来刷新DNS缓存,通常可以成功连接。您也可以使用代理服务访问维基百科以获得更加稳定的体验。
自2019年12月起,位于美国旧金山的维基媒体基金会伺服器的IPv4地址(198.35.26.96)遭到封锁;自2020年起,位于新加坡的维基媒体基金会伺服器的IPv4地址(103.102.166.224)和位于美国阿什本的IPv4地址(208.80.154.224)被封锁;此外,维基媒体基金会的媒体伺服器位于美国旧金山及阿什本的IPv4地址(198.35.26.112、208.80.154.240)也遭到封锁,因此在中国大陆地区,维基媒体基金会的全部项目几乎被完全屏蔽,详见这里。 |
修正域名解析后,用户需要以https://
开头的网址来访问相关项目,否则仍会遭到屏蔽。因为维基媒体项目的域名使用了HSTS技术,域名亦在预加载列表中,所以在使用较新版本的浏览器访问时,浏览器会自动将http://
改为https://
来访问加密版页面,而无须手动修改网址。
(*)提醒:
(※)注意:前提条件是已经通过修改Hosts文件手动修正域名解析,否则将仍然会受到防火长城的DNS污染及IP封锁影响,无法正常使用,具体操作详见下文。IPv6环境暂时不需要修正域名解析。
- 修正域名解析不会改变您的IP地址,因此您仍然会对维基媒体基金会旗下项目展现运营商的真实IP地址。不过不用担心,对于注册用户而言,其IP地址是不会对其他用户显示的(除了需要用户查核等特殊情况),仅根据维基媒体基金会的隐私政策储存在伺服器后台。假如真的遇到用户查核,您的IP地址也不会和别人的混淆,进而避免被误认为是破坏者的傀儡/马甲/小号。
(※)注意:
- 若您已经因为使用代理伺服器或VPN编辑维基百科而被自动封禁,现在希望通过设置Hosts或DNS伺服器编辑维基百科,请在完成修改之后尝试不使用代理或关闭VPN,直接访问维基百科。
- 由于phab:T152462,您可能还需要清空您的浏览器Cookie,或删除名为
zhwikiBlockID
的Cookie,才能正常编辑维基百科。
- 由于phab:T152462,您可能还需要清空您的浏览器Cookie,或删除名为
- TCP连接断开之后需要重复上面的步骤才能继续访问。因此使用该方法时请尽量避免进行绕过浏览器缓存操作。
- 如果您的浏览器安装了自动刷新网页的插件,您可以对某个未被封锁的维基媒体项目网页进行定期刷新以避免重复上面的步骤。
- 您也可以使用JavaScript脚本自动完成此操作,请登录后编辑页面Special:MyPage/common.js并将以下内容添加进去:
(function() {
const sites = [
'www.mediawiki.org',
'www.wikidata.org',
'incubator.wikimedia.org',
'meta.wikimedia.org',
'en.wiktionary.org',
'wikitech.wikimedia.org',
'commons.wikimedia.org'
];
const activateSni = function() {
mw.loader.using('mediawiki.ForeignApi').then(function() {
(new mw.ForeignApi('https://' + sites[Math.floor(Math.random() * sites.length)] + '/w/api.php')).get({
action: 'query',
meta: 'userinfo',
sand: Math.random() * 10000
})
sites.push(sites.shift())
})
window.setTimeout(activateSni, 30000 + Math.random() * 20000)
};
activateSni()
})()
Hosts文件
Hosts文件存在于电脑本地,通过修改该文件可以改变域名至IP地址的映射。
由于大部分维基媒体项目被中国大陆当地运营商或公共DNS解析至198.35.26.96或103.102.166.224,故通过修改Hosts文件可恢复部分维基媒体基金会项目的正常访问。所需hosts文件的具体内容请见于此。
修改Hosts文件的具体做法是:
- 获取装置的管理员权限或者对装置进行root/越狱操作:
- 打开Hosts文件:
- 在该文件中加入下列内容(可根据装置类型选择添加):
- Help:如何访问维基百科/hosts
- (&)建议:维基媒体基金会有多个IP地址,您可以参考维基媒体的伺服器列表并根据实际访问情况选择填写不同的IP地址。
- (※)注意:Hosts文件不支持万用字元,因此需要逐个添加地址。另外,由于SNI检测的存在,使用时需要确保Hosts列表中的IP地址与运营商的解析结果保持一致,解析结果可以通过查询未被DNS污染的维基媒体域名获得,如
mediawiki.org
、wikidata.org
、w.wiki
。 - 解析一般会得到两个结果,其中以
.
(英文句号)分隔的是A记录(IPv4地址),以:
(英文冒号)分隔的是AAAA记录(IPv6地址)。 - (※)注意:由于目前位于美国旧金山的伺服器(198.35.26.96)、阿什本(208.80.154.224),以及新加坡的伺服器(103.102.166.224)已被封锁,故添加Hosts时请使用其他伺服器。如果获取到的IP地址不在这个列表中,请确定(如使用WHOIS工具进行查询)IP地址属于“Wikimedia Foundation Inc.”,否则说明解析结果极有可能已经受到DNS污染,请勿使用这个IP地址。
- 保存文件。如果出现任何错误提示,如“权限不足”等,请尝试通过UAC授权获取管理员权限(Windows 系统);如果安全软件提示这一举动存在安全风险,请您忽视。按照本教程的方式修改Hosts文件不会对您的电脑造成损害。
通常修改后的Hosts文件可以立即生效,但若保存之后依然不能正常访问,您可以尝试清除DNS缓存:
- 重新启动装置。
- 执行下列命令:
- Windows:
ipconfig /flushdns
- OS X / macOS:
lookupd -flushcache
或dscacheutil -flushcache
- Linux:
sudo service nscd restart
- Ubuntu:直接可以套用,不用重新启动[1]
- Android:开启再关闭飞行模式
- Windows:
- (※)注意:针对Windows 10用户反馈无法正常保存hosts文件的问题,提示“你没有权限在此位置中保存文件”,请将该文件另存为至别处,按照此教程修改权限后再覆盖即可。
- (*)提醒:虽然修改hosts文件后,IP地址能正常连接,但是依然会受到防火长城连接重置和SNI检测的干扰。如果要访问各语种版本的维基百科和中文维基语录,需要配合本地反向代理才能正常访问。
更换DNS
以下方法可能已经失效! 2021年3月起防火长城屏蔽技术升级,开始在检测到DoH伺服器的SNI时连接重置或者强制丢包(路由黑洞) |
加密DNS
针对DNS的加密技术包括DoT和DoH,它们比传统DNS更加安全,可以对解析结果进行加密以防止被第三方窃听或篡改,同时也可以作为无法修改Hosts且DNS失效的情况下的替代方案。
- DoT伺服器列表:DNS over TLS#公共DNS伺服器列表
- DoH伺服器列表:DNS over HTTPS#公共DNS
此外,对于不能访问维基百科的中国大陆网络用户而言,可以点击该链接查看所有可用的DoH伺服器列表。
- Windows
现在已经有专门使用DNS over HTTPS(DoH)技术的 Windows 图形化本地第三方客户端,纯净、简单,面向普通用户,无需复杂配置,开箱即可使用。该软件目前可从Github上下载。
- Android
Android从9.0开始提供了原生的DoT支持,即私人DNS,配置方法是:
- 打开“设置”;
- 点击“网络和互联网”,再点击“高级”,再点击“私人DNS”;
- 然后在打开的窗口中输入DoT伺服器地址,只需要输入IP地址或域名,不需要加上协议或端口。
对于华为和荣耀手机用户,EMUI9.0以上系统版本中有此功能,可以在“设置>无线和网络>加密DNS”中找到。
对于Android 9.0以下的系统,可以使用软件进行DoT/DoH查询:
- Intra(直接下载):由于此软件的默认内建伺服器
Google Public DNS
在中国大陆受到封锁(除谷歌中国版翻译以外的谷歌旗下所有网站及服务均受到封锁,详见2014年中国大陆屏蔽谷歌服务事件),所以可以选择其它内建伺服器。点击软件左上角的菜单按钮,然后选择“设置”,再点击“选择 DNS-over-HTTPS 伺服器”,在弹出的窗口中的“内建伺服器”选项当中选择其它内建伺服器;或者选择“自定义伺服器网址”选项,并手动输入DoH伺服器地址。推荐使用距离中国大陆较近的DoH伺服器,如TWNIC Quad 101
。 - 1.1.1.1 App(直接下载)
- Firefox
Firefox从60.0版本开始提供DNS over HTTPS支持,配置方法是:
- 桌面版:
- 在地址栏输入
about:preferences
并打开; - 将页面翻到最下方,点击“网络设置”下方的“设置”按钮;
- 勾上“启用基于 HTTPS 的 DNS”选项;
- 选择“自定义”(如果您想使用默认的DoH伺服器则可以不修改);
- 填入DoH伺服器地址,需以
https://
开头,端口可选。
- 在地址栏输入
- 注意:通过图形界面设置后Firefox默认会在DoH查询失败时回退到传统DNS,如果需要用DoH做所有的DNS查询:
- 在地址栏输入
about:config
并打开,如果出现警告提示请继续; - 在页面上方的搜索框输入
network.trr.mode
; - 修改
network.trr.mode
的值为3
。
- 移动版:
- 在地址栏输入
about:config
并打开,如果出现警告提示请继续; - 在页面右上角的搜索框输入
network.trr.uri
; - 修改
network.trr.uri
的值为DoH伺服器地址(如果您想使用默认的DoH伺服器则可以不修改),需以https://
开头,端口可选; - 在页面右上角的搜索框输入
network.trr.mode
; - 修改
network.trr.mode
的值为3
(如果想在DoH查询失败时回退到传统DNS,请设置为2
)。
- 在地址栏输入
Chromium浏览器内核自78版本开始支持DNS Over HTTPS,基于Chromium的浏览器(如:Google Chrome、Opera、Vivaldi、Brave、Microsoft Edge等)均可使用此功能。
配置方法(以Microsoft Edge为例):
- 点击右上角的“…”,选择“设置”。
- 选择“隐私、搜索和服务”选项。
- 找到右侧栏中的“使用安全的DNS指定如何查找网站的网络地址”,选择下列服务提供商之一(或者手动输入DoH地址):
- Cleanbrowsing
- Cloudflare
- Comcast
- OpenDNS
- Quad9
传统DNS
在通常情况下,在中国大陆的网络环境下无论使用位于中国大陆境内的DNS服务,还是使用位于境外的DNS服务,都无法正常访问任何受到DNS污染的网站。由于境内的绝大多数DNS伺服器已经完成投毒,而境外的DNS会在国际出口遭到GFW污染(UDP查询)或者连接重置(TCP查询),所以都会被污染。(但境外DoT/DoH和使用技术手段规避防火长城投毒的境内DoT/DoH除外)。
但是仍有一些设置在中国大陆的小型DNS使用技术手段回避防火长城的DNS污染并提供不受污染的结果,通常使用这些小型DNS也能够访问部分其他被封锁的网站,此类DNS服务包括:(带删除线的项目可能无法使用,或不对公众开放使用)
服务提供者 | 首选网络地址 | 备选网络地址 | ||
---|---|---|---|---|
IPv4地址 | IPv6地址 | IPv4地址 | IPv6地址 | |
中国科学技术大学DNS | 202.141.162.123 (中国电信) |
|||
清华大学TUNA协会DNS | 2001:da8::666 (教育网) | 无 | ||
其他DNS服务 | 140.143.226.193 110.43.41.122 |
40.73.101.101 150.242.98.63 |
部分海外IPv6 DNS服务(如Google Public DNS的2001:4860:4860::8888和2001:4860:4860::8844)也可能给出正确的解析结果,但使用前建议先检查可用性。IPv4 DNS则很可能会受到干扰。关于海外的DNS服务,详见公共域名解析服务。
获得DNS服务商的IP地址后,更改DNS伺服器的方法如下:
- Windows
- OS X 10.10 Yosemite
- Android(第三方教程,不同装置的操作方法可能不同,请参考装置厂商的说明)
- iOS(第三方教程)
一些路由器等网络硬件装置也允许用户指定DNS地址,这样一来所有连接到该网络装置并设置了“自动获得DNS伺服器地址”(DHCP)的电脑、手机等终端装置都会自动使用该DNS服务,较为方便。详情请参阅装置说明书。
注意事项
以下说明同时适用于加密DNS和传统DNS! |
使用DNS服务时要注意潜在的安全问题。DNS伺服器的控制者尽管无法监视您与网站之间传输的内容,但是却有能力记录您的IP地址和您试图访问的网站域名。DNS服务商可能会利用这些资讯或将其分享给第三方以用于用户行为收集、广告和政府监管等目的,因此请仔细阅读服务条款,选择自己信任的服务商。另外,DNS服务商也可能有意或无意地为您提供错误甚至有害的结果(这也是防火长城的工作原理之一)。此外,在首选和备选IP地址中填入不同DNS服务提供者的地址也是可以的。部分地区可能只能解析较少的次数。
(&)建议:由于部分DNS服务商的出口伺服器全部位于中国大陆以外,或者出口伺服器部署有限无法针对所有地区或运营商进行优化,可能会导致用户在访问中国大陆境内的网站时被解析到不合适的IP地址(例如中国网站在海外架设的CDN),进而产生访问网站时加载缓慢甚至失败等情况。如您遇到这类现象,可以试着查询当前使用的DNS出口的有关资讯,若结果显示当前DNS出口与您的运营商不一致、与您所处的省份不一致或位于中国大陆以外且DNS伺服器未使用ECS功能(Edns-Client-Subnet),则可以考虑暂时停用上述DNS服务改用运营商的默认DNS或中国大陆主流厂商的智慧DNS服务。
- 使用以下网址可以获得当前DNS用来查询的源伺服器(亦即DNS出口)地址,可用于判断DNS出口伺服器的区域:
- ipleak
.net:能同时给出多组结果,但只显示IP地址的地理位置,不能给出运营商名称。使用方法:在“DNS Addresses”这一节,如果显示“DNS Address detection”或“pending”字样则表示正在查询 - nstool
.netease .com:一次只能给出一条结果,但能同时给出IP地址的地理位置和运营商名称
- ipleak
- 通过在终端中使用下列命令查询域名
edns-client-sub.net
的TXT记录可以获得DNS伺服器的ECS功能状态(请将下文中的8.8.8.8替换成您需要查询的DNS入口伺服器地址):
- dig:
dig edns-client-sub.net -t TXT @8.8.8.8
- nslookup:
nslookup -type=TXT edns-client-sub.net 8.8.8.8
- Windows系统下可能需要使用
nslookup -qt=TXT edns-client-sub.net 8.8.8.8
- Windows系统下可能需要使用
- dig:
- 查询会得到一个类似于JSON格式的结果,例如:
{'ecs_payload':{'family':'1','optcode':'0x08','cc':'[ECS客户端国家代码]','ip':'[ECS客户端IP地址]','mask':'[ECS客户端CIDR码]','scope':'0'},'ecs':'[ECS状态]','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
- 如果DNS伺服器没有使用ECS功能(也就是
ecs
的值为False
),则不会出现ecs_payload
字段,属正常现象。例如:{'ecs':'False','ts':'[请求UNIX时间戳]','recursive':{'cc':'[DNS服务器国家代码]','srcip':'[DNS服务器源IP地址]','sport':'[DNS服务器源端口]'}}
- 注释:
- DNS入口是DNS服务商用来接收用户请求和返回解析结果的伺服器地址,例如Google的8.8.8.8;DNS出口是DNS服务商用来向权威DNS伺服器发起查询的伺服器地址,智慧DNS服务商通常拥有多个出口节点,能根据用户的地理位置和使用的网络运营商就近分配DNS出口以确保用户能获得合适的解析结果。
- ECS功能允许DNS伺服器向权威DNS伺服器传达您的IP地址从而可以让权威DNS伺服器返回合适的IP地址。因此,如果DNS服务商使用了该功能(如果查询返回的结果包含
'ecs':'True'
则说明DNS伺服器使用了ECS功能;如果包含'ecs':'False'
,则说明未使用ECS功能),那么不论DNS出口位于何处,返回给用户的结果都是合适的。
域前置
域前置可以让用户向防火长城展示经过伪装的访问资讯,借此避开SNI封锁,也就是说虽然访问的是维基百科,但在防火长城看来是在访问别的网站,从而使得连接不会被中断。
因为维基媒体基金会的IP地址可以正常连接(除位于美国旧金山、阿什本及新加坡的伺服器),但是仍然会受到防火长城连接重置和针对HTTPS的SNI检测的干扰影响,所以可以通过使用多种方法实现域前置,规避防火长城的SNI检测,访问各个语种版本的维基百科和中文维基语录等项目。
浏览器补丁
此方法操作起来较为复杂,需要用户具有相当电脑相关知识,故不建议使用。若您有足够能力,也可以查看维基百科用户就该方法进行过的讨论来进一步了解。(2020年更新)
本地反向代理
这里提供了一个完整配置方法,配置后直接运行Nginx即可。如需要停止服务,可使用nginx -s quit
命令或在任务管理器(Windows系统)或使用sudo pkill nginx
命令(Linux系统)直接终止Nginx进程。
专用解封工具
如果您正使用Windows系统,也可以在Github上下载SNI解封工具(第三方工具),配合Hosts文件即可访问包括维基媒体基金会(含各个语种版本的维基百科)在内的部分被封锁的网站,无需翻墙。
修改Chromium浏览器启动参数
对于Windows系统的Chromium浏览器,我们可以在其快捷方式中写入--host-rules
参数,从而使其连接维基百科时不使用原本的SNI,而是使用其他未被GFW检测的SNI,从而绕过SNI检查。
方法:右键单击Chromium浏览器快捷方式-属性-在“目标”后加入 --host-rules="MAP *.wikipedia.org wikidata.org, MAP commons.wikimedia.org wikidata.org" --host-resolver-rules="MAP upload.wikimedia.org 208.80.153.240, MAP wikidata.org 208.80.153.224"
IP重定向
有时DNS伺服器会将部分域名解析到被封锁或无效的IP,此时可以将这些IP重定向到正确的IP。
路由器IP转发
如果您的路由器支持DNAT功能,则可以设置IP重定向。
注入特制的TCP数据包
根据加利福尼亚大学河滨分校的研究人员在ACM IMC 2017会议上发表的论文Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship所述,防火长城的检测手段可被客户端注入的特制数据包绕过以达到直连访问维基百科的目的。[2]可用工具有INTANG(Linux平台、内核中必须支持netfilter)、TCPioneer(仅支持64位Windows系统)等。
若您使用64位Windows系统,可直接在这个页面下载TCPioneer的最新发行版,解压后运行tcpioneer.exe即可。
非直接连接
代理伺服器
通过代理伺服器来中转数据流量,用户可以绕过绝大多数类型的网络封锁。
(※)注意:
- 由于维基媒体基金会封禁了大部分公共代理伺服器以避免破坏,若要通过代理伺服器编辑维基百科,您可能需要有一个拥有IP封禁例外权的账户。
- 由于用户与代理伺服器之间的连接未必被加密且用户通常无法掌握代理伺服器的运行细节,因此用户数据可能被第三方监听(例如政府或网络运营商)或被代理服务提供者收集甚至共享给第三方(例如政府机构或广告商)。对此,用户应避免通过代理伺服器进入网上银行等涉及隐私和财务的网站并尽可能地使用HTTPS加密连接。
- 本章节主要讨论相关的技术并举出一些知名度较高的例子。在配置代理伺服器前,用户需要联络代理伺服器的提供者来获取相关参数。
- 如果使用了被污染的DNS伺服器仍然有无法访问维基百科的可能,某些情况下仍然需要对DNS伺服器进行设置。翻墙软件一般会对DNS伺服器进行设置或提供设置DNS伺服器的功能。
(&)建议:
- 如果您经常往返中国大陆境内外,在中国大陆境内访问维基百科前,建议先禁用或卸载用于在境外访问某些中国大陆网站(通常是包含著作权内容的音视频服务)的软件或浏览器插件。
- 本站有义务告知阁下:使用代理伺服器在部分国家和地区可能违反法律,违者可能会受到处罚。此外,使用代理伺服器在被封锁的网站上发布违反本地法律的内容,也可能会导致发布者受到处罚。
- 使用代理伺服器访问被防火长城封锁的网站也被称为“科学上网”,在遭遇关键词过滤时可以尝试使用此关键词进行搜索或发贴。
专用代理软件(翻墙软件)
个别软件和服务会要求您在电脑或手机安装某种根证书。建议您不要使用此类软件,因为此类软件的提供商可以获得您的用户名、密码和您访问过的网页及其内容。 |
专用代理软件(常称为翻墙软件)通常由代理服务提供商制作,该软件会自动配置电脑的代理设置,从而使您的电脑和目标伺服器之间的流量都通过其指定的代理伺服器中转。常见的免费翻墙软件有赛风、蓝灯、自由门等,另外还有收费的翻墙软件可满足对访问质量(例如速度和延迟)有要求的用户的需要。不同翻墙软件的使用方法不尽相同,如有问题请阅读软件官方网站的使用说明或联络软件开发者的客户服务(如果有)。由于翻墙存在法律风险,因此利用翻墙软件可能遭到惩罚,这一点请用户务必注意。[3]另外,由于翻墙编辑维基百科会因使用被封禁的IP地址而无法编辑,因此可以申请IP封禁例外。
HTTP代理
操作系统设置
- Windows 7 / Vista[失效链接](对Windows的代理设置进行的修改可以影响到包括Internet Explorer在内的大部分软件的代理设置)
- OS X 10.10 Yosemite[失效链接]
浏览器设置
部分浏览器允许用户独立设置代理服务,所做的修改仅在该浏览器中有效。
- Firefox:设置方法
- Chrome:跟随操作系统的代理设置
- 大部分中国公司开发的浏览器:跟随操作系统的代理设置。
VPN
VPN是一种网络隧道,通过它可以连接到代理伺服器,VPN的连接通常是加密的。
各种操作系统的设置方法如下:
- Windows 10
- Windows 7 / Vista[失效链接]
- OS X 10.10 Yosemite[失效链接]
- Android(对于非原版安卓系统,操作方法可能不同,请参考装置厂商的说明)
- iOS[失效链接]
(※)注意:对于系统不支持的VPN协议,需要通过安装第三方软件来实现。
Shadowsocks
Shadowsocks是一种基于socks5的开源代理软件,支持Windows、Mac OS X、Linux、Android、iOS、OpenWRT平台,下载对应平台的客户端后仅需简单的配置即可使用。Shadowsocks的连接是被高度加密的,所以相对于HTTP代理更加安全且能避开关键字封锁。其原作者clowwindy因被有关部门约谈已停止开发、删除Github上的原始码,但另有开发者志愿进行后续开发。此外,Shadowsocks也有若干分支版本,例如ShadowsocksR。
Shadowsocks分为伺服器端和客户端。在使用之前,需要先将伺服器端部署在中国大陆以外未被防火长城封锁的伺服器上,然后通过客户端连接并创建本地代理。此外,用户也可以选择使用基于Shadowsocks的商业服务,以免去自行部署的麻烦。
类似的软件还有V2Ray、Trojan、Naiveproxy等。
(&)建议:在有关键词过滤机制的搜索引擎或网络论坛中,可以使用“酸酸乳”、“酸酸”、“机场”、“飞机”等关键词来指代该软件以及相关的伺服器。
Tor
Tor的全称是“The Onion Router”(洋葱路由器),本为匿名软件,亦可作翻墙之用。其通过三重代理链隐匿路由资讯,反制现阶段大量存在的流量过滤、嗅探分析等工具,难以追踪,有效地保证了安全性。
Tor项目的官方网站提供了Tor浏览器(也可以在这里下载)——集成了Tor且经过安全性定制的Firefox,并针对封锁了Tor的地区提供了流量混淆工具。中国大陆地区目前可选择Obfs4网桥接入Tor网络,也可以配置其他翻墙工具作为其前置代理。Tor浏览器连接成功后,将提供socks5代理入口127.0.0.1:9150
以供其他应用程式使用。
为防止滥用,维基媒体项目以扩展TorBlock查封了大多数Tor出口节点,Tor用户只能阅读但无法编辑维基百科。要突破该限制,用户需申请IP封禁例外权限。
浏览器扩展程序
Firefox和Chrome等浏览器支持扩展程序,通过安装代理类的扩展程序可以也可以使用代理服务,部分代理扩展程序还可以根据网址进行匹配。通过浏览器扩展程序进行的代理设置通常只在该浏览器中有效,不会影响其它程序。
- Google Chrome浏览器上可以使用扩展 Proxy SwitchyOmega进行代理器管理或使用PAC文件。
- Mozilla Firefox浏览器上可以使用 Proxy SwitchyOmega (Firefox官方扩展站下载页面)或 FoxyProxy(Firefox官方扩展站下载页面),Proxy SmartProxy进行代理管理或使用PAC文件。
- Microsoft Edge和Internet Explorer除了可以在设置选项内手工修改代理设置之外,也可以通过配置PAC文件的方式来让浏览器自动分辨哪些网站使用代理访问。
网页代理
网页代理或在线代理是一种在网页上运行的代理伺服器程序(本质上是一种网站),用户无需在本地进行任何设置,输入网页代理服务的网址即可开始使用,相对方便。使用时,用户需要在网页代理服务提供的网址输入框(而不是浏览器的地址栏)中输入需要访问的地址,网页代理服务会为用户加载内容。
由于网页代理服务的传输原理和一般的网站类似,故封锁网页代理比封锁其他类型的代理工具要更加容易,因此网页代理也更容易失效。而且不加密(HTTP)的网页代理服务同样会受到关键字过滤的干扰,建议用户使用支持HTTPS加密的在线代理服务。另外,对于内容较复杂的网页,使用网页代理可能会出现排版错乱、乱码等问题。
镜像网站
镜像网站普遍只是邮递员,内容与官方的维基百科实时同步。部分镜像网站不能够登录。即使镜像网站可以登录,也请您不要登录,因为镜像网站的提供者完全有能力记录您的用户名及密码。有些网站保留了编辑功能,但通过镜像网站进行的编辑都会归属到同一个IP地址从而容易被滥用,因此相关IP地址大部分已经被封禁从而不能用于编辑。
以下列出的是维基百科的部分镜像网站。作为中文版,这里侧重列出中文维基百科的镜像网站。
警告:维基百科、维基媒体基金会及中文维基社群与这些网站完全无关,不能保证列于此处的网站的可靠性和安全性。强烈建议不要在以下任意站点输入您的用户名或密码,以免被恶意的网站盗取。使用这些站点安全性自负。
(※)注意:以下列出的镜像网站,除非在备注中有特别说明,否则您在通过它们进行编辑时,应仔细检查您将要提交的文本,以免您最终提交的是可能被篡改的文本。
主站点 | 中文站点 | 类型 | 可编辑 | 资源伺服器[注 1] | 遵守著作权 | 著作权声明 | 原条目链接 | 备注 |
---|---|---|---|---|---|---|---|---|
https://kfd.me/ | https://54e1ad4b4888.kfd.me/wiki/Wikipedia:首页 | 未知 | 否 | 已代理 | 是 | CC BY-SA 4.0 | 否 | 不能直接访问,必须先访问主站 |
- ^ 维基媒体的资源伺服器(域名:upload.wikimedia.org;标识:upload-lb)提供了图片、音频等媒体资源,目前其IPv4伺服器已被封锁。如果发现图片无法显示或是音频无法播放等情况,可参见Help:如何访问维基百科#维基媒体伺服器列表进行修复,或直接使用已代理此伺服器的镜像网站。
参见
短网址服务
鉴于一些网络论坛中存在的网址过滤和发言字数限制,用户可以使用短网址服务压缩链接长度并绕开过滤规则,不过这些服务并不能用来绕过网络封锁。另外维基百科为了避免用户绕过垃圾链接过滤器,禁止用户添加主要短网址服务的链接,所以这些链接(除前三个外)都不能添加到维基百科中,建议各位用户在编辑时使用完整地址作为外部链接。
- https://w.wiki/:维基媒体基金会的短网址服务,可通过m:Special:UrlShortener(不是Special:UrlShortener,本地无法生成)为维基媒体基金会旗下项目(包括但不限于维基百科)生成短网址。该服务目前在中国大陆无法直接使用,需要根据上文设置Hosts文件后才可正常使用。
- https://zhwp.org/:维基百科用户User:PhiLiP维护的服务,访问时只需输入“https://zhwp.org/页面名”即可直接访问中文维基百科的对应页面,详见说明书。
- https://enwp.org/:类似于zhwp.org,只不过将会跳转到英文维基百科的对应页面。
- https://bit.ly/:bit.ly的短网址服务将需要压缩的地址输入其官网即可获得短链接。该服务在中国大陆境内使用HTTP访问会遭到干扰,HTTPS可较稳定使用。
- https://u.nu/:支持IPv6访问的短网址服务。
参见
- 防火长城
- 互联网审查
- 中华人民共和国网络审查
- TCP重置攻击
- IP地址
- DNS及DNS污染
- Wikipedia:IP封禁例外
- WP:IPBEMAIL
- 帮助:使用VPN时无法编辑页面?
- 对维基媒体的审查与封锁
- 中国大陆对维基媒体的封锁
- 帮助:如何访问维基媒体旗下项目
注释
- ^ 14.04 - After modifying /etc/hosts which service needs to be restarted?. Ask Ubuntu. [2021-01-25].
- ^ Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship. 2017. doi:10.1145/3131365.3131374 (美国英语).
- ^ 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知.