下載
返回部落格
隱私··9 分鐘閱讀

VPN 如何突破網路審查(以及何時行不通)

語言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文

過去幾年,網路審查變得精準了許多,而 VPN 是否仍能突破它,並沒有一句話就能說清的答案。這取決於封鎖是怎麼做的,也取決於 VPN 用什麼方式隱藏自己。

簡短回答:VPN 把你的流量包進加密裡,經由審查網路之外的一台伺服器轉送,藉此突破大多數審查——過濾器看不到你在讀什麼,也看不到流量去往何處。這對一般封鎖有效。但面對當今的深度封包檢測,VPN 本身可能成為被封鎖的對象。

重點速覽

  • VPN 對網路隱藏了你流量的目的地內容,這就讓基於 IP 的封鎖、DNS 污染與關鍵字過濾全都失效。
  • 深度封包檢測(DPI)並不讀取你加密後的內容——它對流量的形態取指紋,以此猜測你是否在用 VPN。
  • 在 DPI 強勢的地方,標準 VPN 通訊協定會被識別,進而被限速或封鎖——這正是混淆(obfuscation)與「隱身」模式存在的原因。
  • 沒有任何 VPN 是有保證的穿透手段。在過濾最嚴的網路裡它是一個移動標靶,手上不只一個工具,比任何單一 App 都更重要。

簡短回答

把你未經處理的網路流量想像成一張明信片:任何經手的人都能讀到地址和內容。審查網路坐在中間,拒絕投遞寄往特定地點、或含有特定詞語的明信片。VPN 把這張明信片放進一個密封、不透明的信封,寄給一個可信地址——VPN 伺服器——再由它代你轉寄。網路仍能看到你寄出了一個信封,卻看不到它最終去往哪裡,也看不到裡面是什麼。

僅僅這一個改變,就同時讓最常見的幾種審查形式失效。複雜之處——也是本文不只一句話的原因——在於信封本身有一種可辨識的形態,而這正是現代審查學會去尋找的東西。

網路審查到底如何運作

國家級與網路級審查不是單一技術,而是一疊技術,通常層層堆疊:

  • IP 位址封鎖。最簡單的辦法:丟棄發往與來自一份伺服器位址清單的所有流量。便宜、粗暴,且只要換一個位址存取同樣內容就容易繞過。
  • DNS 污染。當你的裝置詢問「這個網站的位址是什麼?」時,網路說謊——回傳錯誤答案或什麼都不回傳。大量日常封鎖就是這一招,因此它也是最容易越過的一層。
  • SNI 過濾。即便在加密的 HTTPS 連線上,最初的交握通常也會以明文寫出你正在存取的站台(即 Server Name Indication)。過濾器讀取這個名稱,切斷通往被禁網域的連線,而放過其餘流量。
  • 關鍵字與內容過濾。對未加密流量,網路可以掃描被禁詞語或片語,並據此封鎖或記錄。
  • 限速(throttling)。不是直接封鎖,而是把一個服務拖慢到無法使用。這種做法可以抵賴——沒有任何東西「被封」——而且曾被用於整個平台。
  • 深度封包檢測。最複雜的一層,也正是 VPN 真正要應對的那一層。下面細說。

VPN 的加密隧道悄悄解決了前四項。網路無法對讀不到的流量做 SNI 或關鍵字過濾,也無法竄改發生在隧道內部的 DNS 請求。如果你想了解隧道本身的機制,我們在什麼是 VPN 隧道、它如何運作中講過。

什麼是深度封包檢測

深度封包檢測(DPI)是讓審查 VPN 成為可能的那項技術。這個名字略有誤導:面對加密流量,DPI 並不讀取你封包的內容,因為它讀不到。它檢查的是內容周圍的一切——中繼資料,以及連線的統計形態。

每種通訊協定都有某種口音。標準 VPN 交握的封包大小、時序和位元組模式都有其特徵,與一般網頁瀏覽不同。DPI 系統被訓練去辨識這些口音。它們實際上在問:這個連線看起來像不像 VPN,儘管我讀不到它?當答案為是時,系統可以給連線限速、將其重置,或把目標伺服器加入封鎖名單——而這一切都無需解密任何東西。

更新的系統還更進一步,採用主動探測(active probing)。在看到一個可疑連線後,它們自己向目標伺服器送出測試流量,看它如何回應。如果伺服器回應得像一個已知的 VPN,就會被封。一些國家級防火牆正是這樣,在 VPN 伺服器上線後幾分鐘內就發現並關停它們。

VPN 如何穿過它

那麼在審查網路裡,VPN 究竟靠什麼仍然有效?兩種方式,而且它們可以疊加。

第一種就是前面說過的根本方式:加密。由於隧道同時隱藏了流量的目的地與內容,整整一類基於位址、DNS 和內容的封鎖就根本無從適用。對世界上絕大多數網路——公司過濾、學校網路、飯店 Wi-Fi,以及許多依賴 DNS 和 SNI 的國家級封鎖——這就是全部故事。VPN 之所以有效,是因為審查者並沒有造出比封鎖名單更複雜的東西。

第二種是混淆(obfuscation),它只在 DPI 介入時才重要。混淆就是給 VPN 流量喬裝,讓它不帶那種可辨識的口音。有些工具把流量打亂,使其看起來像隨機雜訊;另一些則把它包裝得像一般 HTTPS——也就是承載日常網頁瀏覽的那個通訊協定——以至於封鎖它就意味著破壞日常網際網路。協定層面的細節各不相同,而且經常變化,因為這是一場軍備競賽:審查者更新指紋,繞行工具更新偽裝,循環往復。誠實的說法是:混淆爭取的是時間和可達性,而不是永久的勝利。

VPN 在哪裡會被封鎖

關於侷限值得直說,因為很多行銷並不會說。VPN 可能因為以下幾種原因而無法帶你穿過:

  • 通訊協定被取指紋。標準的 WireGuard 與 OpenVPN 交握已被充分研究。一套針對它們調校的 DPI 系統,即便讀不到,也能給連線限速或將其丟棄。這是 VPN 在全國規模被封的最常見方式。
  • 伺服器在封鎖名單上。商業 VPN 伺服器使用已知的位址段。審查者購買同樣的服務,列舉位址,再成批封鎖。供應商必須不斷輪換位址才能保持可達。
  • 主動探測找到了伺服器。如上所述,網路測試可疑伺服器,並封掉那些回應得像 VPN 的。
  • 預設一切皆封。少數網路徹底反轉模型:除非在白名單上,否則什麼都連不上。在那裡,問題不是你的 VPN 是否被發現,而是它能否模仿某種被允許的東西。

這些都不意味著 VPN 在審查下毫無用處——遠非如此。它意味著通訊協定和供應商的工程能力很重要,體驗更接近「需要費些力氣才能用,有時要換伺服器或換模式」,而非「永遠好用」。像 OONI 這樣的獨立量測計畫會追蹤哪些工具和協定在何處被封,而這幅圖景確實月月在變。

2026 年的伊朗、俄羅斯與中國

三個最常被討論的案例,展示了同一場軍備競賽的不同階段。

中國的系統最老牌、也最精細。它把 DNS 污染、SNI 過濾、大規模 DPI 和主動探測結合起來,並把繞行當作一個需要長期管理的工程問題,而非一勞永逸去贏得的東西。一般 VPN 通訊協定常被識別;能存活下來的,往往依賴混淆。

俄羅斯在 2025 與 2026 年間,從粗放封鎖轉向中國式模式,在各網路部署檢測設備,並穩步擴展它能夠限速的協定與服務範圍。2026 年的報導記錄了一波又一波的 VPN 封鎖、各服務隨之輪換方法,以及這種規模過濾帶來的附帶損害——包括封鎖失準時對一般銀行與即時通訊的干擾。

伊朗把重度過濾與週期性的、近乎全面的斷網結合在一起,其人口中很大一部分把透過繞行工具存取開放網際網路當作家常便飯。這是需求跑贏審查者的最清晰例子:封鎖嚴厲,而人們持續適應,每當一個工具被盯上就換一個。

貫穿三者的主線是:VPN 是必要的,但單憑它並不充分。那些保持在線的人,通常會備有不只一個工具,預期需要切換,並把可靠性當作一件需要維護的事,而不是買一次就完。

這對你有什麼意義

如果你在一個強力過濾的地方選擇或依賴 VPN,幾條誠實而實用的建議:

  • 通訊協定比品牌更重要。一個連線能否在 DPI 下存活,取決於通訊協定,以及 App 是否提供混淆或「隱身」模式,而不是某個標誌。
  • 留一個備用。在審查網路裡最可靠的策略是冗餘——不只一個工具,這樣當其中一個被盯上時,你不至於被切斷。
  • 在需要之前就設定好。趁還能自由存取時下載並設定好工具;在收緊時期,繞行工具往往是最先被封的東西。
  • 留意法律圖景。在一些國家,使用 VPN 受限或有風險。這和它在技術上是否有效是兩回事,我們在使用 VPN 是否合法中談過。
  • 對保證保持懷疑。任何承諾面對國家級防火牆「永遠有效」的供應商都是在誇大。真實的版本是:「常常有效,用對通訊協定,而且我們持續適應。」

還有一個容易被忽略的隱私要點:當你為突破審查而把一切都經由一個 VPN 轉送時,你正把審查者想看的那些流量,託付給了那個供應商。供應商保留了你的哪些資訊,一下子變得至關重要。這正是選擇一個「交不出它從未蒐集之物」的供應商的全部理由——見「不記錄日誌」到底意味著什麼

常見問題

如何用 VPN 突破審查?連線到審查網路之外的一台伺服器;你的流量會被加密並經由它轉送,於是網域、DNS 和內容封鎖都不再適用。在有深度封包檢測的網路裡,如果 App 有混淆或隱身模式就打開它,並做好換伺服器的準備。

網路能看出我在用 VPN 嗎?有時能。它讀不到你的流量,但深度封包檢測往往僅憑連線的形態就能判斷它看起來像 VPN。混淆正是為讓這件事更難而設計的。

用 VPN 突破限制違法嗎?這完全取決於國家。世界上大部分地區使用 VPN 是合法的;少數國家加以限制或禁止。工具本身的合法性,和你用它做什麼的合法性,是兩個不同的問題,我們在關於 VPN 合法性的指南中都有討論。

為什麼我的 VPN 連上了,但在審查下什麼都載入不出來?通常是交握過去了,但網路在限速或重置被識別的 VPN 流量,或者伺服器位址在封鎖名單上。常見的解決辦法是換一台伺服器,或換一個經過混淆的通訊協定。

結論

VPN 透過隱藏你流量的去向與內容來突破審查,這就讓大多數網路所依賴的一般封鎖失效。面對深度封包檢測,較量轉移到了 VPN 能否不看起來像 VPN——這是一場真實而持續的軍備競賽,其中通訊協定、供應商的工程能力,以及是否備有後手,都比任何「無敵」承諾更重要。弄清你面對的是哪一種封鎖,你就會擁有現實的預期,而非行銷的預期。

Snap VPN 採用 WireGuard,不需註冊帳號或電子郵件,也不保留流量紀錄——因此審查者想要強行索取的資料,正是我們並不持有的資料。它是為日常隱私而打造,而非作為對世界上最激進防火牆的有保證答案,我們更願意把這點說明白。可於 App Store 下載。

Sofia Lindqvist
Privacy & policy writer