网络审查的主要技术手段有哪些？

一、那个深夜，我盯着屏幕上转圈的“连接中”图标

凌晨两点，我坐在北京某间出租屋的书桌前，面前的笔记本屏幕泛着幽蓝的光。我刚刚写完一篇关于海外开源社区的深度报道，需要上传一份文件到GitHub上。像往常一样，我打开了那款用了两年的VPN客户端，输入了服务器地址，点击“连接”。

然后，一切陷入了沉默。

进度条卡在“正在验证身份”那一步，像被冻住了一样。三分钟过去了，五分钟过去了。我刷新了客户端，换了另一个协议，甚至重启了路由器——结果依然如故。屏幕上那个转圈的图标，像一只嘲弄的眼睛，告诉我一个残酷的事实：这条“翻墙”的路，已经被堵死了。

那一刻，我突然意识到，我所以为的“技术对抗”，在庞大的网络审查体系面前，脆弱得不堪一击。而这场对抗的背后，是一整套精密、多层次、不断进化的技术手段。

二、网络审查的“守门员”：DNS劫持与污染

你输入的网址，可能根本就不是你想要的

让我们从最基础的层面说起。当你在浏览器里输入www.example.com并按下回车时，你的电脑需要知道这个域名对应的IP地址是什么。这个过程叫做DNS解析——它就像互联网世界的电话簿。

但在这个“电话簿”里，有人动了手脚。

2018年夏天，我在上海的一家咖啡馆里帮朋友调试网络。他的公司网站莫名其妙打不开，但用手机4G网络却能正常访问。我检查了他的路由器设置，发现DNS服务器被运营商悄悄改成了一个特定的IP地址。当我用nslookup命令查询那个被屏蔽的域名时，返回的IP地址指向了一个完全不同的网站——一个写着“该网站无法访问”的提示页面。

这就是DNS劫持。运营商在骨干网的路由器上做了手脚，当你的设备发出DNS查询请求时，它不会去真正的DNS服务器，而是被拦截并返回一个伪造的响应。你输入的是facebook.com，但你的电脑以为它要去的是127.0.0.1（本地回环地址），或者干脆是一个政府控制的警告页面。

更高级一点的是DNS污染。它不直接篡改你的查询结果，而是向DNS服务器发送大量伪造的响应包，让合法的DNS缓存被“毒化”。你查一次twitter.com，DNS服务器就记下了错误的结果，接下来所有向这台服务器查询的人都会得到错误的IP。

那些年我们追过的“hosts文件”

你可能听说过，早期绕过DNS封锁的方法很简单：手动修改本地的hosts文件。这个文件就像一个私人电话本，你可以强制把某个域名指向特定的IP地址。2014年左右，这招对Google和YouTube还管用。但很快，审查系统升级了——它们开始检测IP地址本身，而不仅仅是域名。

“翻墙”与“堵墙”的军备竞赛，正式拉开帷幕。

三、IP封锁与端口封锁：把“门”焊死

当IP地址变成“通缉名单”

一旦DNS劫持失效，审查者就会亮出第二张牌：IP封锁。这是一张巨大的“黑名单”，上面列着成千上万个IP地址——那些托管着敏感网站、VPN服务器或代理服务的服务器。

2021年秋天，我帮一位做跨境电商的朋友搭建海外服务器。我们租用了AWS新加坡节点，配置好所有服务，测试一切正常。第二天，他的业务系统就无法访问了。我登录AWS控制台查看，发现从中国大陆发出的所有请求，都在路由的某个节点上被默默丢弃了。AWS的IP段被整段封锁——不是封锁单个IP，而是封锁整个/24甚至/16的网段。

这意味着，只要你的服务器IP落入了某个被封锁的网段，无论你跑的是什么服务——电商、游戏、还是企业OA——都无法从中国大陆正常访问。

端口封锁：精确打击的艺术

但IP封锁太粗暴了。它误伤太大——可能封掉一个IP段里成千上万个合法的商业网站。于是审查者学会了更精细的操作：端口封锁。

2019年，我尝试在自己的VPS上搭建一个Shadowsocks服务。我用了默认的443端口——这是HTTPS的标准端口，理论上应该不会被封锁。但运行了不到48小时，端口就被封锁了。我换到8080，又被封。换成随机高位端口，依然被封。

后来我才明白，审查系统不是靠检测端口号来识别的，而是靠流量特征分析。我的VPS上跑的是一个非标准的服务，它的数据包大小、发送间隔、握手方式，都和正常的HTTPS流量截然不同。审查系统识别出这种“异常”流量后，就会精准封锁这个端口——不管端口号是多少。

四、深度包检测（DPI）：流量里的“X光机”

你的数据包，在审查者面前是透明的

如果说DNS劫持和IP封锁是网络审查的“宏观”手段，那么深度包检测（DPI）就是它的“微观”武器。DPI设备像一个超级显微镜，能够拆开每一个网络数据包，检查它的载荷——也就是传输的内容本身。

2022年冬天，我在北京用一款新出的VPN尝试连接。这次它用了混淆技术——把VPN流量伪装成普通的HTTPS流量。连接成功了，速度也还不错。但当我开始浏览网页时，连接突然中断，客户端显示“服务器被重置”。

我抓取了网络包进行分析，发现了惊人的一幕：在我的VPN握手过程中，审查系统的DPI设备识别出了TLS证书中的异常特征。虽然数据包看起来像HTTPS，但证书的颁发者、加密套件的选择、甚至握手消息的顺序，都暴露了它其实是VPN。DPI设备向我的VPN服务器发送了伪造的TCP重置包（RST包），强制断开了连接。

这就是TCP重置攻击。DPI设备不直接封锁你的IP或端口，而是像狙击手一样，在识别出“违规”流量后，精准地切断连接。这种攻击的厉害之处在于，它只针对特定的流量——你同时访问百度可能完全正常，但一访问被屏蔽的网站，连接就立刻中断。

机器学习加持的“智能审查”

现在的DPI系统已经进化到了下一代。它们不再依赖静态的规则库，而是使用机器学习模型来识别流量。

2023年，我参加了一个网络安全技术交流会。一位来自某互联网公司的工程师透露，他们测试过一种新型的审查系统：它能够分析流量的“行为模式”。比如，一个VPN连接的数据包大小分布和普通的网页浏览截然不同——VPN的数据包通常大小均匀，而网页浏览的数据包大小差异很大。机器学习模型能够捕捉到这种细微的差异，准确率超过99%。

更可怕的是，这种系统能够实时学习。一旦你发明了一种新的混淆技术，系统会在几分钟内分析出它的特征，并更新模型。你永远跑在它后面。

五、VPN的“阿喀琉斯之踵”：协议特征识别

从PPTP到WireGuard：一场猫鼠游戏

VPN协议本身也有“指纹”。就像每个人走路姿势不同，每种VPN协议的握手过程、数据包结构、甚至加密算法的选择，都有独特的特征。

最早的PPTP协议已经彻底被破解——它的握手过程极其简单，审查系统一眼就能认出。L2TP/IPSec稍微好一点，但它的UDP 500端口和特定的数据包模式也是明显的标志。OpenVPN是长期以来的“主力”，但它的TLS握手和默认端口（1194）也被广泛识别。

2020年，WireGuard协议横空出世。它极其简洁、速度快、安全性高，一度被认为是最难封锁的VPN协议。我第一时间在自己的服务器上部署了WireGuard，体验确实惊艳——连接速度飞快，延迟极低。但好景不长，几个月后，WireGuard的流量也被识别了。它的UDP通信模式太独特了——固定的握手间隔、特定大小的数据包，这些都是明显的特征。

混淆技术：把VPN藏进“伪装的壳”

为了对抗协议特征识别，开发者发明了各种混淆技术。最著名的就是Shadowsocks和V2Ray。它们把VPN流量伪装成普通的HTTPS或WebSocket流量，让DPI设备难以分辨。

我试过V2Ray的WebSocket+TLS+CDN方案——把VPN流量伪装成普通的网页浏览，再通过Cloudflare的CDN中转。理论上，这应该是最难被封锁的方案之一。实际操作中，连接确实稳定了很长一段时间。但最终，审查系统还是找到了办法——它们开始封锁Cloudflare的某些IP段，或者检测TLS握手中的SNI（服务器名称指示）字段。

2023年，有开发者提出了Trojan协议：它直接模拟真实的HTTPS流量，使用标准的TLS库，甚至支持真正的HTTP响应。如果审查系统不主动连接你的服务器并检查证书，它几乎无法区分Trojan流量和正常的网页流量。但即便如此，审查系统也有对策——它们会主动发起“探测”连接，模拟客户端握手，如果发现服务器响应了异常的行为，就会判定为VPN并封锁。

六、更隐蔽的手段：流量整形与带宽限制

不是封你，只是让你慢到无法用

有时候，审查者不会直接封锁你的VPN连接，而是采用更隐蔽的手段：流量整形和带宽限制。

2022年夏天，我使用一款付费VPN连接海外。白天一切正常，速度能达到50Mbps。但到了晚上8点到11点的“高峰期”，速度骤降到不到1Mbps，连打开一个网页都要等十几秒。我以为是VPN服务器的问题，但切换到其他国家的节点，情况完全一样。

后来我通过traceroute（路由追踪）发现，我的流量在某个省级骨干网节点上被标记了。审查系统识别出这是VPN流量，但并没有直接封锁，而是给它打上了一个“低优先级”的标签。在高峰时段，这个标签意味着你的数据包会被排队处理——等所有“正常”流量传输完，才轮到你的包。

这种手段比直接封锁更阴险。它不触犯你的“心理防线”——你总觉得可能是网络问题、服务器问题、甚至自己的设备问题。但实际上，你已经被“软封锁”了。

主动探测：审查系统会“钓鱼”

还有一种更激进的主动手段：主动探测。审查系统会假装成一个普通用户，主动连接你的VPN服务器，检查它是否真的是VPN。

2021年，我收到了一封来自VPS服务商的警告邮件：我的服务器被检测到“异常流量模式”。我检查了服务器日志，发现有一系列来自中国大陆IP的连接尝试，它们都尝试了标准的VPN握手，但连接后立即断开。这些就是审查系统的“探测请求”——它们试图确认我是否在运行VPN服务。

一旦被确认，我的服务器IP就会被加入黑名单。更麻烦的是，这种探测是持续的——即使你更换了IP，新的IP也会在短时间内被探测并封锁。你需要不断地更换服务器、更换IP、更换协议，就像打地鼠游戏一样疲惫不堪。

七、审查的“神经末梢”：客户端与APP层面的封锁

你手机里的APP，也在“配合”审查

除了网络层面的封锁，审查系统还渗透到了客户端层面。2023年，我朋友的一台iPhone无法连接任何VPN——不是网络问题，而是操作系统层面的限制。苹果在中国大陆销售的设备，内置了“网络访问控制”功能，它会阻止某些VPN配置文件的安装和运行。

安卓系统也有类似机制。2020年之后，很多国产手机的系统更新中，加入了“VPN检测”功能。当系统检测到VPN连接时，会自动断开或限制某些应用的网络访问。更隐蔽的是，一些APP本身就会检测VPN状态——比如某些银行APP或视频APP，一旦检测到VPN连接，就会拒绝提供服务。

证书吊销：让你的“伪装”失效

还有一种更高级的手段：证书吊销。当你使用HTTPS伪装时，审查系统可以吊销你的TLS证书。2022年，有用户发现，某些自签名的TLS证书在连接时会被浏览器直接拦截——不是因为证书本身有问题，而是因为审查系统在本地安装了一个“根证书”，它可以以“安全理由”吊销任何它不信任的证书。

这意味着，即使你完美地伪装了HTTPS流量，审查系统也能从证书层面把你卡死。你需要在服务器上配置一个“可信”的证书——但那些证书往往来自被控制的CA（证书颁发机构），或者你的域名本身就在黑名单里。

八、现实中的“军备竞赛”：一场没有终点的战争

技术对抗的“螺旋上升”

写到这里，你可能会问：这些技术手段真的能完全封锁吗？答案是否定的。审查系统永远无法做到100%封锁，就像防盗门永远无法阻止所有小偷。但它的目的不是完全封锁，而是提高成本——让“翻墙”变得足够麻烦、足够慢、足够不稳定，以至于大多数人放弃。

2023年年底，我最终放弃了自建VPN服务器。不是因为技术上的失败，而是因为维护成本太高了——我需要每周更换服务器IP、更新混淆配置、调整协议参数，甚至要研究最新的审查技术动态。这已经变成了一份兼职工作。

普通用户面临的现实困境

对于大多数普通用户来说，网络审查的技术手段已经形成了一个多层防御体系：

• 第一层：DNS劫持和污染，阻挡大部分不懂技术的用户
• 第二层：IP封锁和端口封锁，阻挡使用公共VPN服务的用户
• 第三层：DPI和流量特征识别，阻挡使用标准协议的用户
• 第四层：主动探测和证书吊销，阻挡使用伪装技术的用户
• 第五层：客户端层面封锁和带宽限制，作为最后的“兜底”手段

每一层都像一张网，筛掉一批用户。最终能穿透所有网层的，只有那些技术能力极强、愿意持续投入时间和精力的人。

九、技术背后的“人”

写这篇文章的时候，我回想起那个深夜，盯着“连接失败”提示的自己。我突然意识到，网络审查的技术手段再精密，它服务的始终是一个政治选择。那些在机房里的DPI设备、那些在骨干网上的路由器、那些在手机系统里的代码——它们不是冰冷的机器，而是某种意志的延伸。

而我，以及无数像我一样的人，在深夜敲击键盘、调试参数、尝试新的协议，其实是在进行一场不对称的对抗。我们的对手不是一个人、一个机构，而是一整套体系——它有无限的资源、持续的技术投入、以及法律和行政权力的加持。

但即便如此，技术的本性是开放的。每一种封锁手段，都会催生一种新的绕过技术。从hosts文件到Shadowsocks，从OpenVPN到WireGuard，从普通代理到WebSocket+CDN——这条进化链还在继续。

也许有一天，我们会找到一种真正无法被封锁的通信方式。也许不会。但在这个过程中，我们至少学会了：技术从来不是中立的，它既可以是锁，也可以是钥匙。