❗❗❗郑重声明

• 本文所介绍产品主要是为了方便学习、科研以及外贸工作。
• 请遵守中华人民共和国法律法规，切勿在任何地方发布分裂国家，激化民族矛盾的言论。请勿用于任何非法用途，否则自行承担后果和责任。
• 请牢记互联网并非法外之地，请谨言慎行，保持低调。
• 请珍惜当下还能让我们出去看看的大环境。

一、科学上网原理

1、“海关” 把守

正常情况下，国际互联网应该是连通的。比如你想要访问 Google 的首页，那么只需要你的主机发送一个请求到美国的 Google 服务器，Google 便会根据你的请求返回一个答复。

但实际情况却是，互联网也是需要物理意义上的「线缆」架设的。当我们想要访问别的国家的服务器时，就会经过「国际接入点」，这里通常都会有「海关」把守。当你的流量到达「国际接入点」时，海关人员一看你的流量请求是前往 Google，而 Google 恰巧就在 “黑名单” 上，然后就直接给你拦截下来，于是乎你的流量就中途夭折。

上述的 “海关” 就是“GFW”

2、中转服务器

但你又实在想要访问 Google，怎么办呢？聪明的网友便想到，如果我骗海关说这不是访问 Google，而是要访问国外的某个慈善机构。海关人员一看这个慈善机构不在黑名单上，于是就给你放行。当你的流量到了慈善机构之后，你又跟慈善机构说我要访问 Google，然后它又帮你转接到 Google 的服务器。Google 接受到你的请求之后，再按照「原路」返回给你一个网页。

上述的「慈善机构」就是「中转服务器」，又称「代理服务器」。需要说明两点，第一这个服务器必须在海外，如果在国内的话，这个服务器发给 Google 的请求同样会经过「海关」然后被拦下。第二这个服务器不在「海关」的黑名单上，否则你连服务器都访问不了，它还怎么帮你转接 Google 呢？

3、科学上网的本质

基于以上的内容，我们知道科学上网的实质就是骗过或者绕过 GFW。请求代理服务器帮你转接流量，这是「骗过」。不经过「海关」直接访问，这是「绕过」。例如马斯克的「星链计划」，直接在太空架设服务器，你的流量可以经过太空中的服务器帮你转接到 Google 的服务器。这也是未来的一种解决办法，我们的流量此时根本不经过海关，也就相当于绕过了GFW。但即使这项技术真的实现了，能不能普及也是一个问题。

二、主流的科学上网方式

1、VPN

VPN 是 “虚拟专用网络” 的简称，其本意是保护数据安全与个人隐私。原理是客户端和 VPN 服务器之间建立一个加密的隧道，此后你所有的上网行为都经由 VPN 服务器来完成。其使用” 隧道 “建立专线连接，实现” 全局代理 “，具有加密流量、保护个人隐私的优势。如果 VPN 服务器恰好在国外，那么也可以用它来科学上网。但是 VPN 的几种协议的流量特征太过明显，很容易被 GFW 识破并阻止连接到国际网络，因此现在它并不适用。

2、购买"机场"科学上网

2.1、 V2free——免费机场

V2free 免费机场适用于使用频率较低，访问google、github的用户

最新地址：V2free官网

V2free机场有免费节点，每天签到领取几百兆的流量，使用强度很低的话就完全够用了。设备数限制: 2，速度: 无限制。 当然V2free机场也有付费套餐，使用感觉不错的话可以购买付费套餐。

2.2、 特价机场——付费机场

速度还行，可用于chatGPT、twitter、telegram、Youtube

最新地址：特价机场官网

可按流量付费，价格很便宜。 目前还有5折活动，100GB只要9块钱；

奶茶套餐系列 折扣码：firstgo

限时折扣码： 50off

3、基于 VPS 的科学上网方式

VPS 是 “虚拟专用服务器” 的简称，本质上是一台 24 小时开机的电脑。当它位于国外时，我们就可以借助它实现流量中转，因此也被称为 “代理服务器”。和 VPN 不同的是，它主要目的是用来中转流量（或是建站）的。VPS 和客户端之间的连接「可能」没有 VPN 安全，这取决于客户端和 VPS 之间的流量传输协议及加密方式。
常见的代理协议有 http ,socks5,shadowsocks,Vmess ，前两者是明文传输，数据内容可以被 GFW 读取。而 tls（或者说是 ssl）则是针对数据流的安全传输协议，它相当于是一个加密的管道，http 以及 socks 代理的流量套上它之后便成为了加密流量，也就是 http over tls(https) 以及 socks over tls。下面介绍几种科学上网工具以及它们所使用的传输及加密协议。

★Clash Verge 软件

经过一轮的 clash 相关开发者删库跑路，很多老的教程已经不适用的。但是野火烧不尽，有了新的方案出现。 Windows上推荐使用Clash Verge 。它是Clash Meta内核的GUI图形客户端，支持Windows、Linux、macOS系统，分流规则功能强大且支持多种代理协议，如V2Ray、Trojan、Shadowsocks(R)、Socks等协议。

下载地址：https://github.com/zzzgydi/clash-verge/releases/download/v1.3.8/Clash.Verge_1.3.8_x64-setup.exe

★Shadowsocks/Shadowsocks-R 软件

shadowsocks 分为客户端和服务器端，也就是本机和服务器。以下简称 SS。当启动 SS 客户端时，它首先会在电脑上开启 socks5 代理并指定一个端口（假设是 1080），当你打开网页时，流量（tcp 包）便会根据 socks5 协议从 1080 端口流入到 SS 客户端。然后客户端对这个流量进行修饰，加上服务器的地址，并根据软件自带的加密协议把流量封装成 shadowsocks协议的流量包，之后便发送到服务器端，服务器端的 SS 同样会根据自身的加密协议来解密这个流量包，之然后把请求发送到 Google 等网站，之后的回程方式基本一致。

需要注意的是，shadowsocks 使用自行设计的协议进行加密通信，加密算法有 AES、Blowfish、IDEA、RC4 等。只有在本地流量流入到客户端时，使用的才是 socks5 协议。在经过 GFW 时，它已经是 shadowsocks 协议了。整个过程比较简单，流量特征比较明显，因此经常被 GFW 封杀。

改造后的 SSR 则是加入了流量混淆插件。比如 80 和 443 端口通常是网页访问端口，而 SSR 的流量则访问服务器上的 80/443 端口，以此来模拟正常访问网页的 http/https 普通流量。但如果 GFW 主动探测网站上 80/443 端口，就会发现这并不是网页，此时就这种伪装也就失效了。(当然自己也可以真的搭建一个网页)

★V2Ray 工具

V2Ray 本身只是一个开源的内核，在这个基础上发展出了 V2RayN、V2RayNG 等图形化客户端。

V2Ray 支持 Socks、HTTP、Shadowsocks、VMess 等协议，每个协议可单独设置传输载体，比如 TCP、mKCP、WebSocket 等。 V2Ray 的节点可以伪装成正常的网站（HTTPS），将其流量与正常的网页流量混淆。
更多介绍参考官方网站 (opens new window)

其中 VMess 协议是 V2Ray 特有的协议，使用非对称加密方式，但是其流量特征「可能」已经被 GFW 识别，但是流量内容同样是无法被解密的。

基于 v2ray，可以搭建一种比较高明的上网方式，就是 WS+TLS+Web+CDN。这种方式可以实现真正的 https 流量访问，而非混淆流量，其中 WS 是 WebSocket 流量，这里我们理解成 http 流量。

当你想要访问 Google 时，首先网页流量（WS）经过 v2ray，客户端使用 tls 进行加密，这时就行成了 https 流量。虽然此时在 GFW 眼中这已经是正常的 https 流量，允许你访问这个服务器（IP），但如果持续有大流量访问特定的海外 IP，难免会让 GFW 起疑。如果要打消 GFW 的疑虑或者想要隐藏自己服务器的 IP，这时候就需要 CDN 转发服务。

在上述的基础上，你已经可以通过 https 访问自己的服务器 (IP)，当然也可以再套一层 CDN。所谓 CDN，就是域名解析。你需要自己注册一个域名，然后再将这个域名解析到自己的 IP 地址。这时当你访问这个域名时，实际上是访问自己的服务器，但这个过程 GFW 是全然不知的，这也完成了对服务器 IP 的保护，GFW 即使封杀了你的 IP 地址，你也可以通过访问这个域名从而访问到服务器，除非 GFW 把这个域名也给封杀了（大不了再换一个域名继续解析）。这就是 CDN 转发，或者说是域名解析。

但是，如果 GFW 不死心，它怀疑你访问的是服务器上的某个代理协议端口，而不是真正的网页。此时它就可以发送流量包到你访问的端口进行探测，如果不是网页，它就可能将这个域名或 IP 封杀了。所以在服务器上建立一个真正的网页也是必要的，防止 GFW 主动探测。

最后，你就可以通过服务器上的这个网页实现科学上网了。