@张怀义 #18

>The Tor design doesn't try to protect against an attacker who can see or measure both traffic going into the Tor network and also traffic coming out of the Tor network. That's because if you can see both flows, some simple statistics let you decide whether they match up.

你就是典型的只看了第一句话，毛都不懂就响叮当的人。

>再来，弱智的你，听好了，IP包工作在网络层，包含了明文的IP src和IP dst信息，还要个毛线的流量比对？

不懂代理？流量对比就是拿来处理这种情况，这种攻击除了针对tor，还可以针对其他多重代理。

>2049作为服务端，没法主动发包，哪怕是websocket，也是客户端发起以后，服务端才能回应！

我说的主动发包就是你客户端访问2049这个网站之后。

回复你简直是浪费时间，这是最后一次回复了，连个程序员都算不上和你讨论这问题实在太搞笑。更别说你还是满嘴喷粪的人！

@张怀义 #11

>首先，楼主它讲的，就不符合它自己提到的名词解释！名词解释 是针对tor网络本身的攻击。

你到底看了楼主发的东西了吗？confirmation attack是指通过分析两端的流量来确定这两端是不是同个人。怎么就成了confirmation attack是"针对tor网络本身的攻击"了？

>最后，2049作为web 服务端，没法主动给客户端发包，你说的发包是什么，也解释下！

你打开2049之后，我完全可以悄悄地建个websocket链接，然后按照一定时间规律发送具有特征的包，然后分析时间，大小等等来确定。又或者特地在网页里插入特定大小的图片等等方式，找出可疑流量。方法多了去了。

@张怀义 #1 无语 起点在墙内，现在终点2049bbs可能被控制，端到端流量分析是有可能的。 就算你上前置代理又上tor，我要是在2049上每隔一段时间发个包，然后用包大小和时间对比流量两端，完全是有可能找出一定线索的。

这写的2020年5月最新盘点，结果几个知名的工具还偏偏停留在19年的版本？最可疑的就是那个图灵VPN了，给了个github的仓库，结果里面没有源代码只有个apk包？不是钓鱼VPN的吧？

并非左人，不过从左人口里了解到了一点东西。 似乎是马列斯毛那堆左派都主张暴力革命而非议会斗争来建立社会主义/共产主义国家，通过无产阶级专政来压迫资本主义反对力量。而现实就是这堆无产阶级专政到最后都成了专制独裁的国家。

方舟子一直在推特说话吧

@Wwssxx688 #2 天知道下载下来的app里是不是有什么后门。

@阿離 #2 我更在意的是直接国际断网可不可行。

假设国内有什么公司依赖国际服务，你把网断了。这个公司瘫痪了，然后依赖于这个公司的其他公司也瘫痪了。最终蝴蝶效应直接导致整个国内互联网瘫痪一大半。

中共虽然有GFW，但并不是完全的物理隔绝。如果发生了战争，中共有多大可能性会物理断网？全国性的物理断网可行吗？

毕竟断网这事影响的不是一家两家，很多公司都会受到波及。我听说俄罗斯倒是做过断网测试，中共有悄悄做过吗？到时候要是断网了，国内互联网是否会瘫痪。

@张怀义 #25 按理说是可以不用虚拟机的方式也可以做到。比如TailsOS默认就是用的iptables来阻止所有出站流量，只让tor和几个特定的流量出去，这样里面就没法ping外网。

用什么方式都是取决于假定的威胁模型，比如我基本不会用国产软件搞事，也不会用不可信的软件。所以我需要防止的东西就是软件自身的漏洞，而不需要防软件恶意发起的请求或者软件自己尝试虚拟机逃逸，所以这时候我就只用一个虚拟机+Tor。而访问一些其他我认为安全的网站，就连虚拟机都懒得上，直接在宿主机上用了tor。

@张怀义 #17 socks代理是可以绕开的。假设国产危险软件所处的环境可以直接联网，这个软件完全可以通过ICMP ping之类协议或者直接无视代理设置而直接联网，这样的话你的真实IP就会暴露。而HostOnly下是没有联网的，他必须走另外一台电脑的socks代理才行，这样国产软件走的流量必定是通过代理的。

@张怀义 #9 他是假设国产危险软件不可信，所以用了一个HostOnly的虚拟机来防止里面产生一些可疑的网络请求。同时代理软件也是在windows上跑的，所以用了第二个虚拟机。我不知道win10沙箱有什么效果，总之HostOnly的目的就是不让本地的网络请求走代理以外的方式出去。

我感觉编程随想的一堆博客都不是给技术人员看的，弄这么复杂的原因也是因为又用国产软件又用windows上的代理。我个人还是觉得，不用奇奇怪怪的软件的话，TailsOS系统的单虚拟机就足够了。

我感觉单虚拟机+tor就足够了。 双虚拟机是因为有国产软件其中一个虚拟机在里面吧。

https://github.com/curl/curl/wiki/DNS-over-HTTPS

这里有个列表

行政拘留果然不符合国际惯例

同样是收集用户资料，但力度根本不一样好吗。

twitter和weibo，一个除非用户主动设置，不然不需要登录就能看，一个是你不登录就一堆不能看的。 更别说国内那堆社交媒体注册的时候还都得实名了。

一部法律通常包含哪几个部分？立法原则+违法条件+处罚条款？

我发现一些法律，比如英烈保护法、网络安全法等等，可以直接给出行政处罚，而不需要司法机构介入，这在其他国家常见吗？而且这部法律并没给出具体的处罚细则，只是说要承担民事/刑事责任，或者直接被依法行政处罚。那么是不是可以任意处罚？比如网络安全法第七十四条：违反本法规定，给他人造成损害的，依法承担民事责任。违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

这种条文如何理解？

不知道其他人怎么样，我支黑可能是情绪问题，在墙内和人争论后出来释放压力。

我平常基本不用国内那一套社交网站键政，因为知道那里水平太低，还有一堆网评员，所以基本只在校内论坛上和人争论。我校是个985，所以按理说水平不低，但我发现能接受普世价值的就没几个，还真就是小粉红一片。有人觉得现在的舆论是中共压制了一部分声音导致的，但我在校内论坛得出的结论是，这样的声音根本就不多，从我在一些粉红回复的赞踩比看出来，基本是7比1的样子。而这还是在一个985高校里，放到社会上我觉得这种比例会更低。我最近越和他们争论一些东西，就越来越难认同自己中国人的身份，完全想早点脱离中国，或者希望中国早点分裂，大家都不要是中国人最好。

@立紗Lisa #8 品葱是上了cf的cdn的，cdn的一个ip实际上是有很多网站的，如果直接封杀的话这个ip上所有网站都会受影响。所以从封ip来看，（至少目前）根本不是一个可行的办法。

所以现在GFW对pincong的封杀方式也就是限制在DNS污染和SNI重置上，但是这两点都被DOH+ESNI解决了。所以目前来说，GFW要么把支持DOH的DNS给全部墙掉，要么把cf的CDN大量给墙掉，要么就是把esni的包都给reset掉，但无论是那种方法，都必定会误杀大量网站。

@立紗Lisa #4 加了DOH+ESNI，主动探测到了也墙不了的。就像现在pincong.rocks一直可以通过这种方式直连一样。 不过最近GFW似乎把firefox默认的DOH的DNS给墙了，但只要换个DOH的DNS就行了。 除非GFW再进一步把所有cloudflare的CDN给墙了，或者把ESNI的包都给reset掉，那就是更进一步了。

话说DoH本身要用https的话，DoH的SNI还是没加密的吧？

回复乱了，再改改

积分制

邀请制注册：邀请一个人需要消耗积分。若被邀请人被封号，则邀请人，邀请人的邀请人如此一条关系链上的人都会被扣相应积分（可以按照某种方式递减，使离得最远的人扣的分较少，免得连坐制影响太大）

回复一个帖子需要消耗积分，在同个帖子内多次回复不需要额外消耗积分

每日登录、被赞可以获得积分；点赞他人需要消耗积分

积分可以为负

不定期开放免邀请注册

具体每一种操作消耗/获得多少积分可以慢慢调

积分制 邀请制注册：邀请一个人需要消耗积分。若被邀请人被封号，则邀请人，邀请人的邀请人如此一条关系链上的人都要被扣相应积分（可以按照某种方式递减，使离得最远的人扣的分较少，免得连坐制影响太大） 回复一个帖子需要消耗积分，在同个帖子内多次回复不需要额外消耗积分 每日登录/被赞等等其他行为可以获得积分。 积分可以为负

第二个其实可以做成这样https://hidester.com/proxy/ 做成一个通用的online web proxy，不需要一个一个的网站去做反代。大部分这种online web proxy本身就被墙了，但如果配合cdn+doh+esni，就可以像直连pincong那样，通过online web proxy去访问各种被墙的网站。