幫助:如何訪問H萌娘

出自H萌娘
跳至導覽 跳至搜尋
Icon-info.png
  • 在使用這些措施時請注意安全,以免賬號、密碼等個人信息泄露,並請特別提防釣魚應用及代理節點,如果因使用這些措施導致自身利益受損本站概不負責。
  • 在使用這些措施時請注意安全,以免賬號、密碼等個人信息泄露,並請特別提防釣魚應用及代理節點,如果因使用這些措施導致自身利益受損本站概不負責。
Across the Great Wall, we can reach every corner in the world.
——中國大陸的第一封電子郵件

2018年6月之後[1],舊H萌娘在中國大陸地區網際網路由於被GFW封鎖而無法直接訪問。
截至當前(2023年1月17日),本站尚未被封鎖,但有極大概率在未來被封鎖,因此本文是為未來準備,面向當前直接訪問的讀者。同時,本文中許多方法是通用的,對本站外的站點也可能適用。

遠程代理(推薦)[編輯原始碼]

通過至少一台境外伺服器作為中轉,並且在流量穿過GFW時進行加密/混淆,可以繞過GFW的檢查以連接。 即使未被封鎖,我們仍然推薦使用遠程代理,原因是:

  • 可以避免被意識到訪問H萌娘;
  • 可以隱藏自己的真實IP位址。

加密/混淆有許多協議,我們建議使用公開的、大量使用的協議以避免協議中可能存在的漏洞,如VMess、Shadowsocks、Trojan、WireGuard。 同時也建議使用開源的、大量使用的客戶端,如V2Ray、Clash(需要注意其部分客戶端是閉源的)、Shadowsocks、Trojan、WireGuard。
遠程代理需要伺服器節點,可以通過購買境外伺服器自行建立,也可以購買現成的服務(也就是俗稱的「機場」),或者在網上能搜集到一些公開的節點。 我們希望讀者知道:

  • 不要暴露自己的危險個人信息,如境內郵箱;
  • 任何線上金錢交易都是易追蹤的;
  • 儘管本站進行了強制性加密(超文本傳輸安全協議,HTTPS),伺服器節點仍然可以知道您訪問了H萌娘。並且如果訪問中瀏覽器出現證書錯誤等提示,或者頁面停留在明文版而未跳轉至加密版(即地址欄不以https://開頭),說明連接極有可能已經受到了干擾請停止訪問,不要添加例外,以免傳輸的數據被竊聽。
當您在訪問經過超文本傳輸安全協議加密的頁面時,地址欄中應當出現一個鎖形圖標。

直接連接[編輯原始碼]

使用直接連接方法前需要先調查GFW使用了何種檢測/封鎖方式,然後才能對症下藥。有時是同時使用了多種檢測/封鎖方式,需要按照順序檢查並應用相應的對策。

DNS污染[編輯原始碼]

瀏覽器在建立連接前,需要先將域名解析為IP位址,這是通過查詢DNS伺服器完成的,因此GFW可以返回一個錯誤的結果。
以Windows系統為例,在命令提示符中運行如下代碼可以得到解析的IP位址:

nslookup hmoegirl.cyou

可以到如ip138等網站查詢這一IP位址的歸屬,如果查到的是如Facebook等與H萌娘毫無關係的歸屬(當前H萌娘IP位址的歸屬是Cloudflare),說明遭到了DNS污染。
下面介紹DNS污染的解決方法。

修改hosts[編輯原始碼]

通過修改系統中的hosts文件,可以直接告訴系統使用什麼IP位址進行連接。
在此之前,需要先知道H萌娘的IP位址,可以在未被封鎖的時候(也就是現在)記下這一IP位址,也可以通過其他工具查詢,如觀察[1]的境外結果。 然後用文字編輯器(如系統自帶的Notepad,需要以管理員權限運行)在Hosts文件中加入:

自己查IP hmoegirl.cyou www.hmoegirl.cyou

關於Hosts文件的位置請參見: Hosts文件#平台差異

加密DNS協議[編輯原始碼]

傳統的UDP DNS是未加密的,因此很容易被修改。現在已經發展出了很多加密DNS協議,如DNS-over-HTTPS(DoH)、DNS-over-TLS(DoT)等。 新的系統或瀏覽器已經支持這些協議,可以自行修改這些設置。
加密DNS協議同樣需要境外DNS伺服器,這些DNS伺服器有許多已經被封鎖,因此本站不提供具體可用的加密DNS伺服器。 可以自行搜索測試可用的加密DNS伺服器。

SNI RST[編輯原始碼]

在現在流行的TLS協議中,建立連接過程的client hello沒有被加密,其中的server_name字段就是域名,易被識別,然後GFW會發出TCP RST以結束連接。 SNI RST最顯著的表現是瀏覽器會提示類似於「無法建立安全連接」的錯誤。 如果您懂得如何抓包,可以觀察到在客戶端發出client hello後馬上收到TCP RST(而不是正常的TLS錯誤)。 進一步地,可以往其他非正常境外IP位址發送client hello也會出現TCP RST。
下面介紹SNI RST的解決方法。

ECH(推薦)[編輯原始碼]

為了解決TLS握手未加密的問題,互聯網工程任務組(IETF)先是提出了Encrypted Server Name Indication (ESNI),然後又提出了Encrypted Client Hello (ECH) 作為TLS的一個新擴展。
目前,ECH尚未大規模應用,但本站的CDN提供商Cloudflare已經支持ECH,新的瀏覽器也開始支持,但可能需要手動開啟,同時需要配合上文提到的境外DoH使用。請自行搜索自己瀏覽器的設置方法。

域前置[編輯原始碼]

修改server_name為其他內容可以規避檢測,但對於H萌娘,這受到了CDN提供商Cloudflare的一些限制。儘管有一些解決辦法,但暫不公開以作為後備方法。
需要注意,許多域前置程序為實現起來簡單直接忽略了對TLS證書的檢查,這存在很大的安全隱患。應使用會檢查TLS證書的程序。

HTTP/3[編輯原始碼]

由於RST是基於TCP的(包括檢測亦可能如此),而HTTP/3是基於UDP的,因此HTTP/3能避開目前的封鎖。當前HTTP/3尚未大規模應用,但本站的CDN提供商Cloudflare已經支持HTTP/3,新的瀏覽器也開始支持,然而一般的瀏覽器並不傾向於直接使用,因此可以考慮強制HTTP/3。

TCB desync[編輯原始碼]

通過修改TCP可以干擾GFW的檢測。 TCPioneer / GhosTCPphantomsocks實現了這一方法(亦使用了上文的一些其他方法)。
此外User:Izumi_Chino[2]對hmoegirl.cyou進行了預配置。 需要注意:

  • 修改TCP需要下到IP層操作,因為會涉及權限極高的內核模式程序,在使用前需要確認這些程序是否可信,同時也要提防可能的惡意程序利用這些程序;
  • 原則上,可以知曉你正在使用這一技術,並仍可知曉你正在訪問H萌娘。

IP層的封鎖[編輯原始碼]

如果(TCP甚至ICMP)ping不通本站,那麼極有可能說明遭到了路由黑洞等IP層的封鎖。IP層的封鎖可能只是針對443端口的。
由於本站目前使用的Cloudflare CDN的任意免費版IP都可以作為edge IP,因此可以用其他Cloudflare CDN IP來替換。(似乎有些奇怪的問題,暫不明確)

最徹底的翻牆方法[編輯原始碼]

  • 搬到沒有網絡審查國家,遠離審查制度。肉身出走說話就是硬氣,但不過國外對under14的內容審查比中國大陸嚴格很多
  • 使用衛星網絡進行國際聯網(銥星等)按字節收費,還需另購地面接收器
  • 買張中國大陸以外地區的手機卡(港澳都行,別問我為什麼沒有台,問就是+886要實名但是會走三大運營商的基站,沒準平子會從基站偷你數據包

其他方法[編輯原始碼]

註釋[編輯原始碼]