▲
            /  \
           / L5  \    完全隔离（朝鲜）
          /--------\   → 国家级内联网，物理隔绝国际互联网
         /    L4    \  全面DPI + 主动探测 + AI（中国GFW）
        /------------\  → 深度包检测 + 主动探测 + 机器学习流量分类
       /      L3      \ 选择性DPI + 周期性断网（伊朗、俄罗斯）
      /----------------\ → 有DPI能力但部署不完全，关键时刻直接断网
     /       L2         \ DNS/IP黑名单 + SNI过滤（土耳其、巴基斯坦、印尼）
    /--------------------\ → 基于域名和IP的粗粒度封锁
   /         L1           \ 轻度过滤（印度、巴西部分地区）
  /------------------------\ → 偶尔封锁特定网站/App，但无系统性审查
 /           L0             \  无审查（冰岛、爱沙尼亚等）
/----------------------------\

Roskomnadzor封禁IP统计（2018年4月-5月）：

Amazon AWS IP段：约 130万+ 个IP被封
Google Cloud IP段：约 50万+ 个IP被封  
Microsoft Azure：约 数十万 个IP被封
其他云服务：若干

总计：约 1800万+ 个IP地址被封禁

Domain Fronting 原理：

用户 → [TLS SNI: google.com] → Google CDN → [Host: telegram-api.google.internal] → Telegram

GFW/Roskomnadzor看到的：用户在访问google.com
实际上：流量被Google CDN转发给了Telegram

1. 协议识别：能识别特定协议（OpenVPN, WireGuard, Tor等）的流量特征
2. 限速/降速：不完全封锁，而是把特定流量降到极慢（比如把Twitter限速到128kbps）
3. 流量重定向：可以把特定流量导向政府控制的服务器
4. SNI检测：检查TLS握手中的SNI字段，按域名封锁
5. 紧急断网：理论上可以在"紧急情况"下切断俄罗斯与国际互联网的连接

正常请求流程：
你的电脑 → [HTTP请求: Host: twitter.com] → ISP的DPI → "检测到twitter.com！封锁！" → ❌

GoodbyeDPI的工作方式：
你的电脑 → [GoodbyeDPI修改数据包] → ISP的DPI → "看不懂这个请求..." → ✅ → twitter.com

正常情况下，HTTP请求的Host头在一个TCP包里：
[GET / HTTP/1.1\r\nHost: twitter.com\r\n...]

DPI设备完整读取这个包，匹配到 "twitter.com"，封锁。

GoodbyeDPI把这个请求拆成两个TCP分段：
包1: [GET / HTTP/1.1\r\nHos]
包2: [t: twitter.com\r\n...]

很多低端DPI设备只检查第一个包，看不到完整的Host字段，就放行了。

通过设置极小的TCP Window Size，强制对方（或中间设备）一次只能处理很少的数据，
打乱DPI设备的包重组逻辑。

Host: twitter.com  →  Host:  twitter.com（多个空格）
或者  hoSt: twitter.com（大小写混淆）

HTTP标准是大小写不敏感的，所以目标服务器能正常处理，
但一些DPI设备的匹配规则是大小写敏感的，就被骗过了。

先发送一个假的HTTP请求（故意格式错误），触发DPI设备的状态重置，
然后紧接着发送真正的请求。DPI设备在处理假请求时状态混乱，
来不及分析真请求就放行了。

Amnezia支持的协议：
├── OpenVPN（标准）
├── OpenVPN + Cloak（混淆层，见下文）
├── WireGuard
├── WireGuard + Amnezia（自研混淆）
├── IKEv2
├── Shadowsocks
└── AmneziaWG（核心创新）

原版WireGuard握手：
[4字节类型][4字节发送者索引][32字节临时公钥][48字节加密负载]...
总计固定 148 字节 → DPI一眼就认出来

AmneziaWG握手：
[随机长度的垃圾数据][原始WireGuard数据][更多随机填充]
总计随机 200-1500 字节 → DPI无法通过包大小识别

AmneziaWG在WireGuard的基础上修改了以下内容：

1. 初始化包(Initiation)头部增加了随机长度的Junk数据
2. 响应包(Response)头部也增加了随机长度的Junk数据
3. 传输包(Transport)的头部标识被修改为随机值
4. 握手包大小不再固定，变为随机范围

代价：与标准WireGuard不兼容，需要客户端和服务端都使用AmneziaWG
性能：几乎无损，因为混淆只发生在握手阶段

Cloak的原理：

客户端 → [伪装成HTTPS流量] → 中间人/DPI → "这是正常的HTTPS访问" → Cloak服务端 → 解包 → OpenVPN/SS

对于DPI来说，Cloak的流量看起来就是普通的TLS 1.3连接。
Cloak服务端同时还运行一个真实的Web服务器，
当非Cloak客户端连接时，返回正常的网页内容。

方案1（小白用户）：
→ 下载Amnezia VPN
→ 购买/获取一台境外VPS（通常在荷兰、德国、芬兰）
→ Amnezia一键部署AmneziaWG
→ 连接

方案2（技术用户）：
→ 自建VPS
→ 部署 VLESS+Reality / Shadowsocks+Cloak / Outline
→ 使用对应客户端连接

方案3（轻度用户，只需访问被封网站）：
→ 安装GoodbyeDPI（Windows）或Zapret（路由器）
→ 不需要任何服务器
→ 对抗ISP级别的DPI即可

方案4（使用Tor）：
→ Tor直连在俄罗斯大部分地区已被封锁
→ 使用Tor网桥（obfs4/Snowflake/meek）
→ 仍可连接

为什么"断网"比想象中难得多？

1. BGP路由复杂性：俄罗斯与外部有大量BGP对等连接，完全切断需要逐一处理
2. CDN依赖：大量俄罗斯网站使用Cloudflare、Akamai等国际CDN，断网后这些网站会挂
3. DNS依赖：很多俄罗斯网站使用国际DNS服务
4. 证书链：HTTPS证书依赖国际CA机构，断网后证书验证可能出问题
5. 软件更新：操作系统、应用的更新服务器大多在国外
6. 云服务：大量俄罗斯企业使用AWS/Azure/Google Cloud

伊朗审查系统架构（推测）：

                        国际互联网
                            ↕
                   ┌────────────────┐
                   │  TIC 网关      │  ← 所有国际流量必须通过这里
                   │ (电信基础设施  │     (类似中国的国际出口)
                   │  公司控制)     │
                   └────────┬───────┘
                            │
                   ┌────────┴───────┐
                   │   DPI 设备     │  ← 深度包检测（多供应商：华为？诺基亚？）
                   │ (协议识别、    │
                   │  SNI过滤、     │
                   │  关键词检测)   │
                   └────────┬───────┘
                            │
              ┌─────────────┼─────────────┐
              │             │             │
        ┌─────┴────┐  ┌────┴─────┐  ┌────┴─────┐
        │ 移动运营商│  │固定宽带  │  │企业/教育 │
        │(Irancell │  │(Mokhaberat│  │网络      │
        │ MCI等)   │  │ Shatel等)│  │          │
        └──────────┘  └──────────┘  └──────────┘
              ↓             ↓             ↓
           用户手机       家庭用户       学校/公司

2019年11月断网时间线：

11月15日：汽油涨价，抗议开始
11月16日：移动网络开始断断续续
11月16日晚：全国移动网络完全关闭
11月17日：固定宽带也开始中断
11月17日-23日：伊朗几乎完全从互联网上"消失"

全国约80%的互联网连接被切断
持续时间：约6-7天
影响人口：约8000万

经济损失（据NetBlocks估算）：约15亿美元

中国GFW的策略：让你用互联网，但过滤内容
→ 你能上网，但看不到不该看的东西
→ 经济影响最小化

伊朗的策略：紧急情况下直接拔网线
→ 你完全不能上网
→ 经济损失巨大，但可以最快速度阻止信息传播

2022年9月-12月伊朗互联网管控措施：

1. 完全封锁WhatsApp和Instagram（此前Instagram是伊朗唯一未被封的西方社交媒体）
2. 定期关闭移动网络（特别是在抗议集中的城市和大学周围）
3. 将国际带宽限速到极低水平
4. 封锁几乎所有已知的VPN协议
5. 手机应用商店中VPN类App被下架
6. 据报道，在某些地区实施了基站级别的精准断网
   （即只关闭特定街区/大学附近的移动信号）

Psiphon的技术栈：

1. 多协议支持：
   └── SSH隧道
   └── HTTP代理
   └── L2TP/IPsec VPN
   └── Psiphon自有的混淆协议（基于TLS的混淆传输）
   └── Meek (Domain Fronting)
   └── QUIC

2. 海量服务器池：
   └── Psiphon运营着数千台服务器，遍布全球
   └── 服务器IP不断轮换
   └── 即使被封一批，迅速上线新一批

3. 智能降级：
   └── 客户端会自动尝试所有协议
   └── 如果SSH被封，自动切换到Meek
   └── 如果Meek被封，尝试QUIC
   └── 总能找到一条路

4. 分发渠道多样：
   └── 官网（经常被封）
   └── Email：发邮件到特定地址，自动回复APK下载链接
   └── 侧载：通过USB、蓝牙、AirDrop在人之间传递APK
   └── 网盘/Telegram群组

Snowflake是Tor项目的一种可插拔传输（Pluggable Transport），原理如下：

                     世界各地的志愿者
                    （运行Snowflake扩展）
                     ┌─────┐ ┌─────┐ ┌─────┐
                     │ 志愿 │ │ 志愿 │ │ 志愿 │
                     │ 者A  │ │ 者B  │ │ 者C  │
                     └──┬──┘ └──┬──┘ └──┬──┘
                        │       │       │
                        └───┬───┘       │
                            │           │
                     ┌──────┴───────────┴──────┐
                     │     Snowflake Broker     │ ← 中介服务器
                     │   (分配志愿者给用户)      │    (托管在CDN上)
                     └────────────┬─────────────┘
                                  │
            ┌─────────────────────┴──────────────────────┐
            │                                            │
   ┌────────┴─────────┐                        ┌────────┴─────────┐
   │ 伊朗用户A        │                        │  伊朗用户B       │
   │ (通过WebRTC      │                        │  (通过WebRTC     │
   │  连接到志愿者A)  │                        │   连接到志愿者C) │
   └──────────────────┘                        └──────────────────┘

伊朗用户常用的V2Ray配置：

1. VLESS + WebSocket + TLS + CDN（Cloudflare）
   → 原因：伊朗不敢封Cloudflare，因为太多伊朗网站依赖它
   → 速度较慢（因为走CDN），但非常稳定

2. VMess + WebSocket + TLS + Cloudflare Workers
   → 利用Cloudflare的无服务器计算作为中转
   → 免费额度足够个人使用

3. Reality + VLESS
   → 2023年后开始在伊朗技术社区流行
   → 提供了比传统TLS更好的伪装

国家信息网的目标：

1. 将所有伊朗国内的互联网服务（邮件、社交、银行、政务）
   部署在伊朗境内的服务器上

2. 国内互联网服务之间的通信不需要经过国际网关
   → 速度更快、更便宜

3. 当需要"断网"时，只切断国际连接
   → 国内服务继续正常运行
   → 类似中国已经实现的状态

4. 长远目标：让伊朗人民"不需要"国际互联网
   → 发展伊朗版的搜索引擎、社交媒体、视频平台

全球互联网 ←——X——→ 朝鲜光明网

没有任何直接连接。两个完全独立的网络。

光明网的组成：
├── 约1,000-5,500个网站（据不同来源估计）
├── 电子邮件系统（仅限国内收发）
├── 电子图书馆
├── 新闻门户（只有官方媒体）
├── 在线学习平台
├── 科技文献数据库（部分经审核的国际论文被手动导入）
└── 网络游戏（据报道有少数国产游戏）

不包含：
├── 任何国际社交媒体
├── 任何搜索引擎
├── 任何国际新闻
├── YouTube / Google / Facebook / Wikipedia
└── 任何未经审核的内容

能访问国际互联网的人：
├── 最高领导层及其直属官员
├── 部分外交官
├── 特定的军事/情报机构
├── 极少数经审批的科研人员
└── 在朝的外国人（外交官、NGO工作者、极少数游客）

估计人数：数百到数千人（在2600万总人口中）

朝鲜的国际互联网连接（已知）：

1. 中国联通提供的线路
   → 通过中朝边境的光纤连接
   → 这是朝鲜最主要的国际互联网出口

2. 俄罗斯TransTeleCom提供的线路（2017年启用）
   → 通过俄朝边境连接
   → 提供冗余，降低对中国单一线路的依赖

朝鲜的IP地址段：
→ 175.45.176.0/22（仅1024个IP地址）
→ 210.52.109.0/24（256个IP地址，通过中国联通）

全球最小的国家级IP分配之一

朝鲜的"翻墙"方式（非互联网）：

1. 韩国/中国的走私商通过中朝边境将USB/SD卡/DVD偷运入朝鲜
2. 内容包括：
   ├── 韩国电视剧（特别受欢迎）
   ├── 韩国电影
   ├── 韩国流行音乐(K-pop)
   ├── 外国新闻（翻译成韩语）
   ├── 中国电视剧/电影
   └── 维基百科离线版（据报道有组织专门制作）
3. 朝鲜民众在私下传阅这些存储设备

风险：
→ 被发现观看韩国内容可被判处劳改甚至处决
→ 朝鲜安全部门会突击检查家庭的电子设备
→ 朝鲜的部分电脑安装了政府监控软件，
   定期截屏并记录用户活动

Red Star OS的"安全"特性（即监控功能）：

1. 文件水印：
   → 每当用户打开、复制或传输任何媒体文件（图片、视频、文档），
     Red Star OS会在文件中嵌入一个唯一的水印，
     包含设备的硬件序列号
   → 这意味着如果一个"非法"文件被传播，
     政府可以追踪到最初是谁分发的

2. 防篡改：
   → 如果用户试图修改系统核心文件（比如禁用监控功能），
     系统会自动重启
   → 如果修改持续，系统可能拒绝启动

3. 浏览器监控：
   → 内置浏览器只能访问光明网
   → 所有浏览记录被记录

4. 外观：
   → 界面酷似macOS（是的，就是这么讽刺）
   → 据说金正恩喜欢Apple的设计（他本人据报道使用MacBook）

Lazarus Group / APT38（朝鲜国家级黑客组织）：

已知的重大攻击：
├── 2014年：索尼影业（因电影《刺杀金正恩》）
├── 2016年：孟加拉国央行（窃取8100万美元）
├── 2017年：WannaCry勒索病毒（全球影响）
├── 2018-2024年：大规模加密货币盗窃
│   └── 累计窃取金额估计超过30亿美元
│   └── 据联合国报告，这些资金被用于核武器/导弹计划
└── 2022年：Axie Infinity/Ronin桥攻击（6.25亿美元）

朝鲜黑客的培养：
→ 从小学开始选拔数学天才
→ 在平壤的精英学校接受专门训练
→ 被派往中国、东南亚等地执行任务
→ 使用中国/东南亚的互联网基础设施进行攻击

土库曼斯坦互联网概况：

互联网渗透率：约21%（全球倒数）
网速：平均 <1 Mbps（国际带宽极低）
费用：极高（相对收入），据报道月费可达平均工资的很大比例
审查程度：接近伊朗/中国水平

被封锁的服务：
├── Facebook、Twitter、YouTube → 全部封锁
├── WhatsApp、Telegram → 封锁
├── VPN → 被视为违法，使用可被罚款甚至拘留
├── VPN检测 → ISP使用DPI检测VPN流量
└── 大量国际新闻网站 → 封锁

独特之处：
→ 土库曼斯坦只有一个ISP：国有的Turkmentelecom
→ 所有互联网流量通过单一网关
→ 政府可以轻松实施任何审查措施
→ 据报道，在"敏感"时期（如总统选举），
   互联网速度会被降至几乎不可用

土库曼斯坦用户的翻墙手段（非常有限）：

1. VPN（高风险）：
   → 使用VPN在土库曼斯坦是违法的
   → 据报道，被发现使用VPN可被罚款数百美元（当地巨款）
   → 甚至可能被拘留或审讯
   → 但仍有人冒险使用

2. Psiphon：
   → 在土库曼斯坦有一定用户基础
   → 但由于带宽极低，体验很差

3. Tor：
   → Tor网桥在土库曼斯坦是为数不多的可用方案之一
   → 但速度极慢

4. 物理方式：
   → 在边境地区（靠近伊朗或乌兹别克斯坦），
     有人会使用邻国的SIM卡连接邻国的移动网络
   → 这需要在物理上靠近边境，且信号不一定好

政变前（2016-2021）：
→ 互联网相对自由
→ Facebook是缅甸最主要的社交平台（几乎等同于"互联网"本身）
→ 缅甸约5400万人口中，约2000万Facebook用户
→ 基本无系统性审查

政变后（2021年2月至今）：
→ 2月1日凌晨：政变
→ 2月1日早：移动网络中断
→ 2月6日：Facebook被封锁（军方认为Facebook是组织抗议的工具）
→ 2月后续：Twitter、Instagram被封
→ 2月15日起：每天晚上8点到早上8点实施"宵禁式断网"
→ 3月-4月：多次完全断网
→ 后续：逐步建立起DPI审查系统

缅甸审查技术的已知/疑似供应商：

1. 以色列公司（有争议）：
   → 据报道，缅甸在政变前就采购了以色列的网络监控设备
   → 包括Cellebrite（手机取证）和Circles（通信监控）

2. 中国公司（有争议但广泛报道）：
   → 华为等中国公司被指控向缅甸提供了网络监控/DPI设备
   → 华为否认

3. 本土DPI：
   → 政变后，缅甸ISP被要求安装DPI设备
   → 这些设备能进行SNI过滤和基本的协议识别
   → 但技术水平远不如GFW或TSPU

缅甸VPN下载数据（据Top10VPN统计）：

2021年2月1日-2月28日：
→ VPN下载量增长超过 7,200%
→ 单月VPN下载量超过 800万次
→ 在5400万总人口中，这是一个惊人的比例

最受欢迎的VPN/工具：
1. Tunnel Bear（免费VPN）
2. Psiphon
3. OpenVPN
4. 各种免费VPN应用
5. Tor

问题：
→ 大多数缅甸用户技术水平有限
→ 使用的多为免费VPN，安全性存疑
→ 一些"免费VPN"本身就是数据收集工具
→ 军方通过法律手段威胁VPN用户

Briar的特殊能力：

在没有互联网的情况下，Briar可以通过以下方式通信：
├── WiFi（设备之间直接连接，无需路由器）
├── 蓝牙（设备之间直连）
└── Tor（有网时通过Tor传输）

原理：
手机A ←[蓝牙]→ 手机B ←[WiFi]→ 手机C ←[蓝牙]→ 手机D
                    形成一个mesh网络

这意味着即使政府完全断网，
只要人们物理距离足够近，
仍然可以通过Briar传递信息。

局限：
→ 蓝牙/WiFi直连的范围有限（10-50米）
→ 需要形成人链才能传输较远距离的消息
→ 在抗议场景（人群密集）中特别有用
→ 在日常生活中不太实用

土耳其封锁的主要服务和事件：

2007-2010：YouTube被封锁（因侮辱阿塔图尔克的视频）
2014年：Twitter被封锁（因反政府言论，埃尔多安称要"铲除Twitter"）
2014年：YouTube再次被封锁
2017年：Wikipedia被封锁（持续近3年，至2020年解封）
2016年政变期间：社交媒体大规模限速/封锁
持续至今：数十万个网站在土耳其被封

封锁技术：
├── DNS劫持（将域名解析到政府的封锁页面）
├── IP封锁
├── SNI过滤（TLS握手中检测域名）
├── BGP劫持（少数情况下）
├── URL过滤（HTTP明文中的路径匹配）
└── 限速（对特定服务降速而非完全封锁）

土耳其的审查法律框架：

第5651号法律（2007年）：
→ 允许政府在以下情况下封锁网站：
  ├── 侮辱阿塔图尔克（土耳其国父）
  ├── 色情（特别是儿童色情）
  ├── 赌博
  ├── 毒品
  ├── 自杀教唆
  ├── 危害国家安全
  └── 侵犯个人隐私
→ "危害国家安全"这一条被广泛滥用

2014年修正案：
→ 赋予BTK在4小时内无需法院命令封锁网站的权力
→ 大幅降低了封锁门槛

土耳其常用的翻墙方法：

1. 改DNS（最简单）：
   → 由于土耳其很多封锁是通过DNS劫持实现的
   → 把DNS改成 1.1.1.1 (Cloudflare) 或 8.8.8.8 (Google) 就能绕过很多封锁
   → 但越来越多的封锁开始使用SNI过滤，改DNS不够了

2. DoH / DoT (DNS over HTTPS / DNS over TLS)：
   → 加密DNS查询，ISP无法看到你在查询什么域名
   → 可以绕过DNS劫持

3. ECH (Encrypted Client Hello)：
   → 加密TLS握手中的SNI字段
   → ISP无法看到你要访问什么网站
   → 但ECH普及率还不高

4. VPN：
   → VPN在土耳其合法（与俄罗斯、中国不同）
   → 但政府有时会在"敏感时期"封锁VPN协议
   → OpenVPN和WireGuard的特征有时会被识别

5. Tor：
   → 直连在土耳其通常可用（不像中国和伊朗那样被积极封锁）
   → 但在政变等紧急时期可能被封

6. Psiphon：
   → 在土耳其也有用户基础

7. 简单的HTTPS代理：
   → 由于土耳其不做深度内容检测（只做域名级封锁），
     简单的Web代理就能绕过

巴基斯坦审查简史：

2010年：封锁Facebook（因"画穆罕默德"争议，后解封）
2012年：封锁YouTube（持续4年，因反伊斯兰视频）
2020年：短暂封锁TikTok（多次封锁/解封循环）
2023年：封锁Twitter/X（在政治动荡期间）
2024年：大规模升级DPI能力 ← 重点

2024年的关键变化：
→ 巴基斯坦在国际互联网网关上部署了新的防火墙/DPI系统
→ 据报道，这套系统可能来自中国（未经官方确认）
→ 新系统能进行：
  ├── VPN协议识别（能检测到OpenVPN、WireGuard等）
  ├── SNI过滤
  ├── 更精确的URL过滤
  └── 社交媒体限速（特别是在政治敏感期）

2024年巴基斯坦"新墙"的特征（用户报告）：

1. VPN大面积失效：
   → OpenVPN：基本不可用
   → WireGuard：不稳定
   → 商业VPN（ExpressVPN、NordVPN）：部分可用，部分不可用

2. 互联网整体变慢：
   → 国际带宽明显下降
   → 可能是新DPI设备引入了延迟
   → 也可能是故意限速

3. 社交媒体被定向限速：
   → Twitter/X在政治敏感时期明显变慢
   → 但不完全封锁（类似俄罗斯2021年对Twitter的做法）

4. HTTPS请求延迟增加：
   → 所有HTTPS请求都出现了额外的延迟
   → 疑似DPI设备在中间处理每个TLS握手

巴基斯坦政府的官方回应：
→ "我们正在升级国家网络安全基础设施"
→ "没有引入任何审查系统"
→ 没有人相信这个说法

巴基斯坦用户的翻墙方式（2024年）：

1. V2Ray/Xray：
   → 和伊朗类似，中国的翻墙工具开始在巴基斯坦技术社区传播
   → VLESS + WebSocket + TLS 的组合被证实有效

2. Psiphon：
   → 在巴基斯坦有稳定的用户基础

3. Cloudflare WARP：
   → Cloudflare的WARP应用在巴基斯坦有时有效
   → 因为它使用的WireGuard变体有一定的混淆能力
   → 且巴基斯坦不太敢完全封Cloudflare

4. GoodbyeDPI / Zapret类工具：
   → 在巴基斯坦的DPI系统上，类似GoodbyeDPI的TCP分段技巧
     有一定的效果（因为DPI系统较新，配置可能不完善）

5. SSH隧道：
   → 传统但有效

2020年白俄罗斯断网事件：

8月9日（选举日）：
→ 投票站关闭后，互联网开始变得不稳定
→ 社交媒体变慢

8月9日晚-8月12日：
→ 白俄罗斯互联网几乎完全中断
→ 持续约3天

技术实现：
→ 白俄罗斯使用了美国公司Sandvine的DPI设备（后来引发丑闻）
→ Sandvine的设备被用于实施SNI过滤和协议封锁
→ 在断网最严重的时候，可能也采用了物理层面的流量限制

Sandvine丑闻：
→ 加拿大公司Sandvine（原美国公司）被发现向白俄罗斯出售了DPI设备
→ 这些设备被用于政治审查和断网
→ 引发国际谴责
→ 加拿大政府后来对Sandvine实施了出口限制
→ 2024年，美国对Sandvine实施制裁

2020年白俄罗斯抗议中使用的工具：

1. Psiphon → 最主要的翻墙工具
2. Tor + 网桥 → 有效但慢
3. Telegram → 主要的组织和通信平台
   → Telegram的抗封锁能力在这里再次得到验证
4. Briar → 断网时的备用方案
5. 各种VPN → 需求暴涨

独特之处：
→ 白俄罗斯的Telegram频道"NEXTA"成为抗议的核心信息源
→ NEXTA在高峰期有200多万订阅者（白俄罗斯总人口约940万）
→ 通过Telegram组织了大量抗议活动
→ 后来NEXTA的创始人在飞越白俄罗斯领空时被强制降落并逮捕
   （2021年5月瑞安航空事件）

埃及互联网审查：

历史事件：
→ 2011年阿拉伯之春期间，穆巴拉克政府实施了5天的完全断网
→ 这是现代互联网历史上第一次大规模国家断网事件
→ 当时埃及通过让4大ISP同时停止BGP广播来实现

现状（2024）：
→ 数百个网站被封（包括部分新闻网站和人权组织网站）
→ VPN被广泛使用
→ 审查级别约L2（DNS/IP封锁为主）
→ OpenVPN在埃及大部分时间可用
→ 但在"敏感时期"会被封锁

阿联酋互联网审查：

特点：
→ 专注于VoIP封锁（禁止WhatsApp通话、Skype、FaceTime等）
→ 原因：保护本土电信运营商的通话收入
→ 色情内容全面封锁
→ 赌博网站封锁
→ 政治性审查相对伊朗/中国较轻，但存在

VPN政策：
→ VPN使用本身不违法
→ 但使用VPN"犯罪"（如通过VPN使用VoIP）可被罚款
→ 罚款金额可高达200万迪拉姆（约50万美元）
→ 实际执法中主要针对企业滥用

技术：
→ 使用DPI设备（据报道供应商包括Blue Coat / Symantec）
→ 能识别和封锁VPN协议
→ OpenVPN特征可被识别
→ WireGuard有时有效
→ Shadowsocks/V2Ray基本不在当地审查的关注范围内

古巴互联网：

历史：
→ 直到2015年，古巴才开设了第一批公共WiFi热点
→ 2018年才开始提供移动数据服务
→ 互联网渗透率约68%（2024年），但质量很差

审查：
→ 政府控制唯一的电信运营商ETECSA
→ 封锁独立媒体和异见网站
→ 2021年大规模抗议期间实施断网

独特的翻墙方式：
→ "El Paquete Semanal"（每周包裹）：
  → 每周有人从互联网上下载大量内容（电影、剧集、新闻、App更新）
  → 存入硬盘
  → 通过线下网络在全国分发
  → 是一个巨大的"离线互联网"生态
  → 覆盖古巴大部分人口
  → 价格低廉（1-3美元）

委内瑞拉互联网审查：

特点：
→ 审查逐年加重
→ 主要在政治危机时封锁社交媒体
→ 2019年：临时封锁Twitter、Facebook、YouTube、WhatsApp
→ 2024年选举后：再次大规模封锁社交媒体和VPN

使用的翻墙工具：
→ Psiphon（再次出现）
→ Tor
→ 各种VPN
→ 与拉美其他国家的技术社区共享翻墙经验

埃塞俄比亚：

特点：
→ 频繁断网（尤其在政治冲突地区）
→ 2020年内战期间，提格雷地区断网长达数月
→ 考试期间全国断网（防止作弊！）
   → 是的，埃塞俄比亚曾因全国考试而断网整个国家

技术：
→ 单一国有电信运营商 Ethio Telecom
→ DPI设备（据报道来自中国的ZTE/华为）
→ 审查级别约L2-L3

印度互联网审查：

特点：
→ 全球断网次数最多的"民主国家"
→ 克什米尔地区曾断网长达18个月（2019-2021）
→ 这是已知持续时间最长的地区性断网
→ 封禁了300多个中国App（包括TikTok、微信、百度等）
→ 偶尔封锁VPN（在克什米尔地区常规封锁VPN）

有趣的数据：
→ 2012-2023年间，印度政府下令断网超过700次
→ 大多数是地区性的（某个邦或城市）
→ 全球所有记录在案的断网事件中，
   印度占了约一半以上

Outline的定位：

→ 让"非技术人员"也能轻松搭建Shadowsocks服务器
→ 提供一个图形化的管理界面
→ 一键部署到DigitalOcean/AWS等云服务商
→ 底层就是Shadowsocks

为什么重要：
→ 它降低了自建翻墙服务器的门槛
→ 特别适合新闻记者、NGO工作者、人权组织
→ Google/Jigsaw通过Outline间接支持了全球反审查运动

Geneva的原理：

Geneva使用遗传算法（Genetic Algorithm）来自动发现审查系统的弱点。

传统方法：人类安全研究员手动分析审查系统，找到绕过方法
Geneva方法：让AI自动尝试各种数据包修改策略，看哪种能绕过

┌──────────────────────────────────────────────┐
│                  Geneva流程                   │
│                                              │
│  1. 生成随机的"数据包修改策略"（个体）        │
│     例如："把TCP包拆成3段"                     │
│          "在SYN包后插入一个假的RST包"          │
│          "修改TTL为5"                          │
│                                              │
│  2. 用这些策略尝试访问被封锁的网站             │
│                                              │
│  3. 如果成功 → 这个策略"存活"                  │
│     如果失败 → 这个策略"淘汰"                  │
│                                              │
│  4. 存活的策略之间"交叉""变异"，               │
│     产生新一代策略                              │
│                                              │
│  5. 重复步骤2-4，经过多轮进化，               │
│     找到最优的绕过策略                          │
│                                              │
│  结果：Geneva自动发现了多种GFW/伊朗/           │
│        哈萨克斯坦审查系统的绕过方法，           │
│        其中一些是人类研究员从未发现过的          │
└──────────────────────────────────────────────┘

已知的审查技术供应商（部分，基于公开报道和调查）：

┌──────────────────────────────────────────────────────┐
│                                                      │
│  🇨🇳 中国公司：                                      │
│  ├── 华为（Huawei）                                  │
│  │   → 被指控向伊朗、缅甸、朝鲜、非洲多国提供监控设备│
│  │   → 华为否认                                      │
│  ├── 中兴（ZTE）                                     │
│  │   → 被发现向伊朗出售监控设备（2012年）            │
│  │   → 被美国制裁的原因之一                          │
│  └── 其他（具体不明）                                │
│                                                      │
│  🇮🇱 以色列公司：                                    │
│  ├── NSO Group（Pegasus间谍软件）                    │
│  │   → 向多国政府出售手机间谍软件                    │
│  │   → 客户包括沙特、UAE、墨西哥、印度等              │
│  ├── Cellebrite                                      │
│  │   → 手机取证/破解工具                             │
│  │   → 客户遍布全球，包括威权国家                    │
│  └── Circles（NSO子公司）                            │
│      → 通信监控系统                                  │
│                                                      │
│  🇨🇦🇺🇸 北美公司：                                   │
│  ├── Sandvine（加拿大/美国）                         │
│  │   → DPI设备                                      │
│  │   → 被发现向白俄罗斯、埃及、土耳其等国出售        │
│  │   → 2024年被美国制裁                              │
│  ├── Blue Coat Systems（现赛门铁克/博通）            │
│  │   → DPI/Web过滤设备                              │
│  │   → 被发现在叙利亚、伊朗使用                      │
│  └── Cisco（有争议）                                 │
│      → 部分网络设备被用于审查基础设施                 │
│      → Cisco称这不是其设备的设计用途                  │
│                                                      │
│  🇮🇹 意大利公司：                                    │
│  └── Hacking Team                                    │
│      → 向多国政府出售间谍软件                        │
│      → 2015年自身被黑，大量内部文件泄露              │
│      → 客户名单包括苏丹、沙特、埃塞俄比亚等          │
│                                                      │
│  🇬🇧 英国公司：                                      │
│  └── Gamma Group / FinFisher                         │
│      → 间谍软件/监控工具                             │
│      → 在巴林、埃塞俄比亚等国被发现使用              │
│      → 2022年宣布破产                                │
│                                                      │
└──────────────────────────────────────────────────────┘

                 经济发展
                    ▲
                   / \
                  /   \
                 /     \
                /       \
               /    ?    \
              /           \
             /             \
            /_______________\
信息管控 ◄─────────────────► 社会稳定

封锁 → 绕过 → 更强的封锁 → 更巧的绕过 → ...

这个循环从互联网诞生之日起就存在，且永远不会停止。

SSH隧道被封 → Shadowsocks诞生
SS被识别 → VMess/混淆协议出现
协议特征被识别 → TLS伪装(Trojan)出现
TLS指纹被检测 → Reality诞生
DPI越来越强 → Geneva用AI自动找漏洞
...

每一次封锁都催生了更精巧的绕过技术。
每一次绕过都促使审查系统进化。
这是一场没有终点的技术博弈。

GFW之所以独一无二，是因为它同时满足了以下条件：

1. 技术最先进（DPI + 主动探测 + AI）
2. 部署最完整（覆盖所有国际出口）
3. 迭代最快（与全球最聪明的翻墙开发者持续博弈20年）
4. 误伤最少（国内互联网生态完整，审查几乎不影响国内经济）
5. 持续时间最长（2003年至今，20年+）
6. 从不断网（政治定力——相信技术审查而非暴力断网）

其他国家要么做不到这个技术水平（俄罗斯、巴基斯坦），
要么太依赖暴力断网（伊朗、缅甸、白俄罗斯），
要么干脆不给互联网（朝鲜）。

从纯技术角度看，GFW是人类历史上最复杂的内容过滤系统。
不管你对它的政治立场如何，
在技术层面，它值得每一个网络安全从业者认真研究。