下载
返回博客
隐私··9 分钟阅读

VPN 如何绕过审查(以及何时无法绕过)

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

过去几年,网络审查变得精准了许多,而 VPN 是否仍能绕过它,并没有一个一句话的答案。这取决于封锁是怎么做的,也取决于 VPN 用什么方式隐藏自己。

简短回答:VPN 把你的流量包进加密里,经由审查网络之外的一台服务器转发,从而绕过大多数审查——过滤器看不到你在读什么,也看不到流量去往何处。这对普通封锁有效。但面对当今的深度包检测,VPN 本身可能成为被封锁的对象。

要点速览

  • VPN 对网络隐藏了你流量的目的地内容,这就让基于 IP 的封锁、DNS 污染和关键词过滤都失效。
  • 深度包检测(DPI)并不读取你加密后的内容——它对流量的形态取指纹,以此猜测你是否在用 VPN。
  • 在 DPI 强势的地方,标准 VPN 协议会被识别,进而被限速或封锁——这正是混淆(obfuscation)和「隐身」模式存在的原因。
  • 没有任何 VPN 是有保证的穿透手段。在过滤最严的网络里它是一个移动靶,拥有不止一个工具,比任何单一应用都更重要。

简短回答

把你未经处理的网络流量想象成一张明信片:任何经手的人都能读到地址和内容。审查网络坐在中间,拒绝投递寄往特定地点、或含有特定词语的明信片。VPN 把这张明信片放进一个密封、不透明的信封,寄给一个可信地址——VPN 服务器——再由它代你转寄。网络仍能看到你寄出了一个信封,却看不到它最终去往哪里,也看不到里面是什么。

仅此一个改变,就同时让最常见的几种审查形式失效。复杂之处——也是本文不止一句话的原因——在于信封本身有一种可识别的形态,而这正是现代审查学会去寻找的东西。

网络审查到底如何运作

国家级与网络级审查不是单一技术,而是一摞技术,通常层层叠加:

  • IP 地址封锁。最简单的办法:丢弃发往与来自一份服务器地址清单的所有流量。便宜、粗暴,且只要换一个地址访问同样内容就容易绕过。
  • DNS 污染。当你的设备询问「这个网站的地址是什么?」时,网络撒谎——返回错误答案或什么都不返回。大量日常封锁就是这一招,因此它也是最容易越过的一层。
  • SNI 过滤。即便在加密的 HTTPS 连接上,最初的握手通常也会以明文写出你正在访问的站点(即 Server Name Indication)。过滤器读取这个名称,切断通往被禁域名的连接,而放过其余流量。
  • 关键词与内容过滤。对未加密流量,网络可以扫描被禁词语或短语,并据此封锁或记录。
  • 限速(throttling)。不是直接封锁,而是把一个服务拖慢到无法使用。这种做法可以抵赖——没有任何东西「被封」——而且曾被用于整个平台。
  • 深度包检测。最复杂的一层,也正是 VPN 真正要应对的那一层。下面细说。

VPN 的加密隧道悄悄解决了前四项。网络无法对读不到的流量做 SNI 或关键词过滤,也无法篡改发生在隧道内部的 DNS 请求。如果你想了解隧道本身的机制,我们在什么是 VPN 隧道、它如何运作中讲过。

什么是深度包检测

深度包检测(DPI)是让审查 VPN 成为可能的那项技术。这个名字略有误导:面对加密流量,DPI 并不读取你数据包的内容,因为它读不到。它检查的是内容周围的一切——元数据,以及连接的统计形态。

每种协议都有某种口音。标准 VPN 握手的包大小、时序和字节模式都有其特征,与普通网页浏览不同。DPI 系统被训练去识别这些口音。它们实际上在问:这个连接看起来像不像 VPN,尽管我读不到它?当答案为是时,系统可以给连接限速、将其重置,或把目标服务器加入封锁名单——而这一切都无需解密任何东西。

更新的系统还更进一步,采用主动探测(active probing)。在看到一个可疑连接后,它们自己向目标服务器发送测试流量,看它如何回应。如果服务器回应得像一个已知的 VPN,就会被封。一些国家级防火墙正是这样,在 VPN 服务器上线后几分钟内就发现并关停它们。

VPN 如何穿过它

那么在审查网络里,VPN 究竟靠什么仍然有效?两种方式,而且它们可以叠加。

第一种就是前面说过的根本方式:加密。由于隧道同时隐藏了流量的目的地与内容,整整一类基于地址、DNS 和内容的封锁就根本无从适用。对世界上绝大多数网络——公司过滤、学校网络、酒店 Wi-Fi,以及许多依赖 DNS 和 SNI 的国家级封锁——这就是全部故事。VPN 之所以有效,是因为审查者并没有造出比封锁名单更复杂的东西。

第二种是混淆(obfuscation),它只在 DPI 介入时才重要。混淆就是给 VPN 流量乔装,让它不带那种可识别的口音。有些工具把流量打乱,使其看起来像随机噪声;另一些则把它包装得像普通 HTTPS——也就是承载日常网页浏览的那个协议——以至于封锁它就意味着破坏日常互联网。协议层面的细节各不相同,而且经常变化,因为这是一场军备竞赛:审查者更新指纹,绕行工具更新伪装,循环往复。诚实的说法是:混淆争取的是时间和可达性,而不是永久的胜利。

VPN 在哪里会被封

关于局限值得直说,因为很多营销并不会说。VPN 可能因为以下几种原因而无法带你穿过:

  • 协议被取指纹。标准的 WireGuard 与 OpenVPN 握手已被充分研究。一套针对它们调校的 DPI 系统,即便读不到,也能给连接限速或将其丢弃。这是 VPN 在全国规模被封的最常见方式。
  • 服务器在封锁名单上。商业 VPN 服务器使用已知的地址段。审查者购买同样的服务,枚举地址,再成批封锁。提供方必须不断轮换地址才能保持可达。
  • 主动探测找到了服务器。如上所述,网络测试可疑服务器,并封掉那些回应得像 VPN 的。
  • 默认一切皆封。少数网络彻底反转模型:除非在白名单上,否则什么都连不上。在那里,问题不是你的 VPN 是否被发现,而是它能否模仿某种被允许的东西。

这些都不意味着 VPN 在审查下毫无用处——远非如此。它意味着协议和提供方的工程能力很重要,体验更接近「需要费些力气才能用,有时要换服务器或换模式」,而非「永远好用」。像 OONI 这样的独立测量项目会追踪哪些工具和协议在何处被封,而这幅图景确实月月在变。

2026 年的伊朗、俄罗斯与中国

三个最常被讨论的案例,展示了同一场军备竞赛的不同阶段。

中国的系统最老牌、也最精细。它把 DNS 污染、SNI 过滤、大规模 DPI 和主动探测结合起来,并把绕行当作一个需要长期管理的工程问题,而非一劳永逸去赢得的东西。普通 VPN 协议常被识别;能存活下来的,往往依赖混淆。

俄罗斯在 2025 与 2026 年间,从粗放封锁转向中国式模式,在各网络部署检测设备,并稳步扩展它能够限速的协议与服务范围。2026 年的报道记录了一波又一波的 VPN 封锁、各服务随之轮换方法,以及这种规模过滤带来的附带损害——包括封锁失准时对普通银行与即时通讯的干扰。

伊朗把重度过滤与周期性的、近乎全面的断网结合在一起,其人口中很大一部分把通过绕行工具访问开放互联网当作家常便饭。这是需求跑赢审查者的最清晰例子:封锁严厉,而人们持续适应,每当一个工具被盯上就换一个。

贯穿三者的主线是:VPN 是必要的,但单凭它并不充分。那些保持在线的人,通常会备有不止一个工具,预期需要切换,并把可靠性当作一件需要维护的事,而不是买一次就完。

这对你意味着什么

如果你在一个强力过滤的地方选择或依赖 VPN,几条诚实而实用的建议:

  • 协议比品牌更重要。一个连接能否在 DPI 下存活,取决于协议,以及应用是否提供混淆或「隐身」模式,而不是某个标志。
  • 留一个备用。在审查网络里最可靠的策略是冗余——不止一个工具,这样当其中一个被盯上时,你不至于被切断。
  • 在需要之前就设置好。趁还能自由访问时下载并配置好工具;在收紧时期,绕行工具往往是最先被封的东西。
  • 留意法律图景。在一些国家,使用 VPN 受限或有风险。这和它在技术上是否有效是两回事,我们在使用 VPN 是否合法中谈过。
  • 对保证保持怀疑。任何承诺面对国家级防火墙「永远有效」的提供方都是在夸大。真实的版本是:「常常有效,用对协议,而且我们持续适应。」

还有一个容易被忽略的隐私要点:当你为绕过审查而把一切都经由一个 VPN 转发时,你正把审查者想看的那些流量,托付给了那个提供方。提供方留存了你的哪些信息,一下子变得至关重要。这正是选择一个「交不出它从未收集之物」的提供方的全部理由——见「不记录日志」到底意味着什么

常见问题

如何用 VPN 绕过审查?连接到审查网络之外的一台服务器;你的流量会被加密并经由它转发,于是域名、DNS 和内容封锁都不再适用。在有深度包检测的网络里,如果应用有混淆或隐身模式就打开它,并做好换服务器的准备。

网络能看出我在用 VPN 吗?有时能。它读不到你的流量,但深度包检测往往仅凭连接的形态就能判断它看起来像 VPN。混淆正是为让这件事更难而设计的。

用 VPN 绕过限制违法吗?这完全取决于国家。世界上大部分地区使用 VPN 是合法的;少数国家加以限制或禁止。工具本身的合法性,和你用它做什么的合法性,是两个不同的问题,我们在关于 VPN 合法性的指南中都有讨论。

为什么我的 VPN 连上了,但在审查下什么都加载不出来?通常是握手过去了,但网络在限速或重置被识别的 VPN 流量,或者服务器地址在封锁名单上。常见的解决办法是换一台服务器,或换一个经过混淆的协议。

结论

VPN 通过隐藏你流量的去向与内容来绕过审查,这就让大多数网络所依赖的普通封锁失效。面对深度包检测,较量转移到了 VPN 能否不看起来像 VPN——这是一场真实而持续的军备竞赛,其中协议、提供方的工程能力,以及是否备有后手,都比任何「无敌」承诺更重要。弄清你面对的是哪一种封锁,你就会拥有现实的预期,而非营销的预期。

Snap VPN 运行在 WireGuard 之上,不需要账号或邮箱,也不保留流量日志——因此审查者想要强行索取的数据,正是我们并不持有的数据。它是为日常隐私而造的,而非作为对世界上最激进防火墙的有保证答案,我们更愿意把这点说明白。可在 App Store 获取。

Sofia Lindqvist
Privacy & policy writer