V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
my2492
V2EX  ›  宽带症候群

关于境外卡漫游的数据安全问题

  •  
  •   my2492 · 2022-02-06 23:36:31 +08:00 · 11146 次点击
    这是一个创建于 1022 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近看到有人在讨论境外卡的漫游,我也算是个用了好几年漫游的用户了,在此说一下我自己的看法:

    首先要说明几个误区,很多人说漫游回传是 iplc ,其实回传走啥有好几种方案的,给你哪种根本不知道。其次是很多人认为漫游数据直接加密后发回归属地处理,这个似乎也不太正确,因为有些地方可以给你 dns 污染,那证明一定过了墙,后面再细说。

    以下摘自 华为 LTE 国际漫游白皮书:

    3. 漫游组网的选择方式
    为了保证用户漫游切换情况下业务的连续性,需要运营商网络之间建立组网连接,并达成漫游协议;遵照相互之间达成的漫游协议,配置漫游控制策略,对漫游用户的网络接入进行准入控制,并对漫游业务进行相应的运营管理。

    移动运营商网络之间互联有两种方案:直连,或者通过 GRX/IPX 网络建立连接。

    在此解释一下,直连这个方案既可以走公网也可以走专线。

    接下来就是重点了,漫游回传走的协议是 GPRS Tunneling Protocol ( GTP ),这玩意你可以看成类似是两个运营商的国际漫游网关间建立一个 VPN ,可以用公网也可以用专线,反正就是跑在 IP 网络的协议,底层承载网是啥只有运营商知道。最重要的是大概看了一下这个协议安全性太差,比裸奔好不了多少,被常用的 proxy 协议吊打,但因为它是漫游回传协议,一般不给你掐了。就跟某些国外大学的 anyconnect ,就算很多人在用,特殊时期基本也不会被掐的,只会掐你自建的那些东西。而且基于 dns 能被污染,我个人认为这个隧道上的最起码有部分数据是明文的,或者说如果跑公网上被墙识别是没问题的。

    根据我使用漫游卡的延迟和速率表现,个人认为这个回传跑在公网上的概率还是蛮大的,国内卡挂 iplc 节点抖动延迟要好很多,甚至这个漫游还不如 CN2 公网稳,如果是 iplc 回传的话个人觉得不应该这么差。对于大部分地区公网质量没啥问题的,确实公网回传就是性价比最高的方案。为什么我觉得跑在公网,举几个例子,台湾卡漫游到广州,speedtest 选台湾本地服务器,ping 300 起跳,专线你觉得可能吗?还有 cmhk 之前漫游也有段时间不太稳。所以说个人觉得这个东西最主要还是应急+规避法律风险,质量和安全性方面,落后了,回传不是 iplc 的话没太大意思

    如果对 GTP 这个协议有了解的朋友,欢迎讨论并指出错误
    71 条回复    2022-03-01 14:32:05 +08:00
    lzh000307
        1
    lzh000307  
       2022-02-06 23:53:42 +08:00
    传输的安全性和隐蔽性是两码事,anyconnect 这类 VPN 协议都是经得起时间考验的,而且那么多企业在用,安全性是有保证的,绝对是比那些个梯子强的多。特征明显是明显,不干扰不就没问题,这些通道有名单的,要屏蔽可比满世界找梯子 ip 来屏蔽容易
    my2492
        2
    my2492  
    OP
       2022-02-07 00:01:48 +08:00 via iPhone
    @lzh000307 数据隐蔽性还不如 anyconnect ,跟 anyconnect 一样属于故意放的白名单,确实就是精准屏蔽漫游比屏蔽常见的 proxy 工具简单多了,而且干扰其实是有的。现在问题就是运营商到底选择的是公网承载回传还是专线承载,专线理论上应该是不太可能出现 google.com 被解析到 fb 的,并且响应 dns 就是境外运营商 dns
    a8Fy37XzWf70G0yW
        3
    a8Fy37XzWf70G0yW  
       2022-02-07 00:05:48 +08:00 via Android
    @my2492 估計是歸屬地到漫遊地是既定線路,然後漫遊地到使用者是明文吧。然後問題可能就是漫遊地到使用者這段出現的。
    a8Fy37XzWf70G0yW
        4
    a8Fy37XzWf70G0yW  
       2022-02-07 00:06:56 +08:00 via Android   ❤️ 1
    使用者-----明文---->歸屬地----線路----->漫遊地----------出口
    my2492
        5
    my2492  
    OP
       2022-02-07 00:07:34 +08:00 via iPhone
    @viberconnection 漫游地到使用者全程都在墙内,而 dns 污染的过程是通过墙的阶段完成的,所以我个人怀疑有明文数据跑在公网上回传
    AlphaTauriHonda
        6
    AlphaTauriHonda  
       2022-02-07 00:55:51 +08:00
    漫游卡的延迟比公网 CN2 差远了,也没有优秀的线路稳。有 DNS 污染或者各种其他的干扰就证明了会过墙,而且你观察到的是墙的行为。

    不是明文数据在公网上回传,如果是的话你在任何地区时间观察到的 DNS 污染都应该是持续的。

    我认为应该是在从手机明文发送到基站与运营商用任何协议回传到归属地之间有专门设置独立于墙的其他审查。建议用漫游卡再搭配代理,可以用已经被墙掐掉的协议。

    Anyconnect 的速度比常用的 Proxy 差很多。只有常用的 Proxy 才有可用的速度。
    AlphaTauriHonda
        7
    AlphaTauriHonda  
       2022-02-07 01:00:33 +08:00
    @my2492 网络质量上来说,不太可能是专线承载。
    my2492
        8
    my2492  
    OP
       2022-02-07 01:04:53 +08:00 via iPhone
    @AlphaTauriHonda 我觉得没必要为了一个小众的东西专门弄个墙啊,又不要阻断什么东西,大概率就是协议有漏洞,部分数据露出了关键字被墙识别到了,毕竟现在墙嗅探能力很强。因为也就是部分地区少数域名得到了国内 dns 解析结果。我比较感兴趣的是回传的底层承载网到底是啥
    my2492
        9
    my2492  
    OP
       2022-02-07 01:06:59 +08:00 via iPhone
    @AlphaTauriHonda 回传都是 GTP+s8 接口
    fastcache
        10
    fastcache  
       2022-02-07 01:19:51 +08:00 via iPhone
    基站到漫游地核心网是 GTP ,一般没有拥塞。回归属地的物理网络可能是融合的,例如 cn2, 既有公网也有 vpn, 但 vpn 业务不过墙(专业细节不解释)。网络质量不稳定个人判断可能有多个因素,最后几百米基站空口质量(低频优先保障语音)、跨运营商链路拥塞( QoS 也是信令和媒体流优先)…
    whileFalse
        11
    whileFalse  
       2022-02-07 02:11:15 +08:00 via iPhone
    这什么逻辑。
    你从境外连接到国内的自建 vpn ,出口在国内,dns 请求从国内发出的,也是要被污染的呀。
    whileFalse
        12
    whileFalse  
       2022-02-07 02:12:15 +08:00 via iPhone
    不好意思看错了,原来是在国内使用境外卡
    Rocketer
        13
    Rocketer  
       2022-02-07 08:21:47 +08:00 via iPhone
    多数人就是为了能访问 YouTube 啥的,又不是真去干什么“坏事”,所以流畅就好,是否能被监听并没有那么重要
    huoshen
        14
    huoshen  
       2022-02-07 09:54:36 +08:00
    国外大学的 anyconnect, 怎么白名单的? 基于 ip 或者 AS 的吗?
    ericbize
        15
    ericbize  
       2022-02-07 10:12:44 +08:00
    我一直都是觉得,这玩意 不是内层还要套 ssr 之类的东西吗。 反正不会阻断, 套 ssr 特别爽吧。

    其次是 楼主说的不稳定,楼主有没有 考虑 4G 网络不稳定的情况 所以就会有 掉包的情况。

    另外,据我所知,以前 国际漫游 的 qos 巨高 (高中的时候,妹子用联通 3G + SoftBank ) 漫游, 据说晚上宿舍大家都一卡一卡的, 她各种流畅。 现在 qos 我就不知道了。
    AlphaTauriHonda
        16
    AlphaTauriHonda  
       2022-02-07 10:16:32 +08:00 via iPhone
    @Rocketer 被监听是绝对的。数据一路上经过那么多境内的基础设施,监听是毋庸置疑的。然而 my2492 关注的是监听带来的审查,比如 DNS 污染。以及这样的现象 对于背后运营商如何传输漫游流量这个问题的启示。
    AlphaTauriHonda
        17
    AlphaTauriHonda  
       2022-02-07 10:17:47 +08:00 via iPhone
    @ericbize 这种延迟高,不稳定可以用一张漫游在联通上的卡和联通卡对比出来。不是 4G 不稳定的问题
    Marionic0723
        18
    Marionic0723  
       2022-02-07 10:22:49 +08:00
    那开了漫游再套一层 VPN ,比如 warp ,既然能过墙,问题就不大,就算是明文的,加密就好了,warp 速度非常可以了。
    或者国外免费 VPN 也不少。
    还有,谁推荐个流量卡,长期在国内漫游,电话短信不需要,有的话更好(最好收短信免费),流量一个月 1G 就够(实在不行 500M 也行),月租 5 美元以下,能随用随充更好。
    my2492
        19
    my2492  
    OP
       2022-02-07 10:36:08 +08:00 via iPhone
    @huoshen 都可以,国外大学都是自有 AS
    my2492
        20
    my2492  
    OP
       2022-02-07 10:38:18 +08:00 via iPhone
    @ericbize 我当然是找信号好的地方和本地卡一起对比过的,QCI 是归属地下发的,你国内开了 5G 优享之类出去漫游也有效,香港联通漫游进来就是 QCI 6
    my2492
        21
    my2492  
    OP
       2022-02-07 10:45:54 +08:00 via iPhone
    @fastcache 回归属地 vpn 不过墙可以认为是专线回传吗?还是指的跑在公网但是墙给了白名单?我是同一地点国内卡挂代理和境外卡直连测试,境外卡网络品质感觉和低峰期的 163 差不多。如果全部专线回传,所有合作运营商间都要开专线,这成本想想也不太可能
    ex898
        22
    ex898  
       2022-02-07 11:18:09 +08:00 via iPhone
    能搞张台湾卡最好,综合隐私和延迟等等方面。港澳卡个人信息都监管的到只是查不查的问题
    my2492
        23
    my2492  
    OP
       2022-02-07 11:20:06 +08:00 via iPhone
    @ex898 我还有英国卡,如果公网回传的话没区别啊
    ex898
        24
    ex898  
       2022-02-07 11:29:15 +08:00 via iPhone
    @my2492 查访问记录肯定都能查,但是这张外国卡属于谁的它查不了,相对更安全
    my2492
        25
    my2492  
    OP
       2022-02-07 11:32:09 +08:00 via iPhone
    @ex898 为什么不能查呢,你这个 IMEI 有没有用过其他国内卡,一查就知道,你还得找个不是国内的版本,还从来没在国内用过的手机,那可能还不如用代理加密的安全性高,至少代理加密查不到你访问了什么
    ex898
        26
    ex898  
       2022-02-07 11:40:18 +08:00 via iPhone
    @my2492 但是你再加密它也知道你在漫游啊,要绝对安全肯定要像你说的那样搞个和内地完全隔绝的外版手机来漫游
    ex898
        27
    ex898  
       2022-02-07 11:45:08 +08:00 via iPhone
    @my2492 还必须用外国卡不能是港澳中资运营商的卡漫游,不然你卡的所有信息都有会乖乖交上去的风险
    Chism
        28
    Chism  
       2022-02-07 11:58:34 +08:00 via Android
    漫游卡都是养着,预防白名单后所有工具失效
    CKR
        29
    CKR  
       2022-02-07 12:01:26 +08:00 via Android
    说起 dns 污染,去年有一段时间 CMHK 的卡在深圳漫游都打不开 google 其他的一些网站又可以
    my2492
        30
    my2492  
    OP
       2022-02-07 12:07:41 +08:00 via iPhone
    @Chism 你有没有想过,有那么一天的话,先干掉漫游卡简单多了,毕竟是个明文协议。朝鲜有 3G 网,但是不接受漫游,你有没有想过也有这么一天。有没有想过本来不准备动漫游,结果有几个人为了所谓的立功,自告奋勇开发一套漫游专属 gfw 上供,这套系统可以通过登记 IMEI 来管控你这张卡是否有漫游权限,必须是外国护照才能登记
    my2492
        31
    my2492  
    OP
       2022-02-07 12:11:10 +08:00 via iPhone
    @Chism cmhk 现在在 xj 和 xz 的数据漫游基本就是中断的,貌似 2G 能用,所以技术上选择性屏蔽完全没问题
    leonme
        32
    leonme  
       2022-02-07 12:21:05 +08:00 via iPhone
    @ex898 为啥台湾就不查呢?
    leonme
        33
    leonme  
       2022-02-07 12:38:11 +08:00 via iPhone
    建了个境外卡的讨论群,大家可以在这儿讨论~ https://t.me/+33F4ZEGnE0tjMDg1
    leonme
        34
    leonme  
       2022-02-07 12:40:53 +08:00 via iPhone
    @Marionic0723 可以在 33 楼讨论
    feitxue
        35
    feitxue  
       2022-02-07 12:48:46 +08:00
    @leonme 港澳地区国家可以管啊.台湾地区运营商国家管不了.
    Chism
        36
    Chism  
       2022-02-07 13:07:19 +08:00 via Android
    @my2492 此外我担心的是,插个境外卡到处逛是否更容易引起关注
    0ZXYDDu796nVCFxq
        37
    0ZXYDDu796nVCFxq  
       2022-02-07 13:15:22 +08:00 via Android
    @Chism 大部分地区应该没问题,漫游在中国的境外卡肯定有百万级别
    但别去某两个省份,估计有人时刻关注着你
    SCJiang
        38
    SCJiang  
       2022-02-07 13:19:37 +08:00
    @Chism 有概率,去年底澳门发生疫情的时候,有城市就通过澳门卡漫入用户来排查来自澳门的人员
    Archeb
        39
    Archeb  
       2022-02-07 13:35:05 +08:00
    感谢楼主的分享,之前一直有关于这个问题的疑惑,但是没有深入去挖掘了解。
    huoshen
        40
    huoshen  
       2022-02-07 13:47:45 +08:00
    @my2492 确实哦, 我查了一下我学校也是自有 AS, 用的也是 anyconnect. 虽然没屏蔽但是真的在国内那段时间卡的要死, 最后还是我自己路由网关透明代理先爬墙, 再 anyconnect 才勉强能用. 不知道这种有没有办法借用一下做成能翻墙的, 能的话我也建个 anyconnect 备用
    ericbize
        41
    ericbize  
       2022-02-07 13:58:04 +08:00
    @AlphaTauriHonda
    @my2492

    很好奇你们有什么 延时敏感 的场景
    Chism
        42
    Chism  
       2022-02-07 14:01:10 +08:00
    @SCJiang 会不会哪天突然收到大陆敬茶叔叔拨打我们的澳门卡号码,遇到问申卡理由怎么回答比较得体?
    Chism
        43
    Chism  
       2022-02-07 14:02:42 +08:00
    @gstqc Tibet and Xinjiang 吗?我看你头像应该是大神级别
    my2492
        44
    my2492  
    OP
       2022-02-07 14:05:19 +08:00 via iPhone
    @ericbize 没啥延迟敏感场景,只是觉得如果公网回传的话就不值这个价格了,现在 iplc 流量才多少钱?
    my2492
        45
    my2492  
    OP
       2022-02-07 14:07:39 +08:00 via iPhone
    @Chism 直接反问哪条法律规定禁止申卡了?
    my2492
        46
    my2492  
    OP
       2022-02-07 14:08:39 +08:00 via iPhone
    @huoshen 应该是你们学校线路差,我司 anyconnect 走的 pccw 大陆优化线路,速度很快
    my2492
        47
    my2492  
    OP
       2022-02-07 14:11:43 +08:00 via iPhone
    @Chism 我 cmhk ctmo cuniq 3hk 4 张卡到处逛都没人找我,不过我平时大部分时间在南京,老家安徽用也没问题
    ericbize
        48
    ericbize  
       2022-02-07 14:21:08 +08:00
    @my2492 运营商 买 sdwan 200 多 /M/月 吧, 但是我问 监控的事情, 运营商也没有很明确回答我。就只是说, 如果有违规会协助国家调查。


    @Chism 你不做坏事,为什么会找你。 做坏事就自己套一层 vpn 。 而且你这个 信道 是运营商提供的,不违法。 你也不存在 翻墙的行为。
    ericbize
        49
    ericbize  
       2022-02-07 14:23:19 +08:00
    @my2492 突然想到了, 你说的这个, 和用 云厂的 cdn 翻墙 一样感觉,哈哈哈哈哈哈哈 , 虽然不知道他出境用 iplc 还是 公网
    my2492
        50
    my2492  
    OP
       2022-02-07 14:36:45 +08:00 via iPhone
    @ericbize cdn 没必要公网出境吧,公网资源一定程度上比专线还值钱,因为资源有限,专线不受到出口汇聚层带宽限制,而且企业就可以拉。回传可能是因为对接运营商太多,很多地区的漫游流量又极低,一个个去开专线不划算,所以才有用公网的。其实基站也可以公网回传,只是大型运营商一般不用而已,都是专网回传,某些皮基站就是公网回传,ipsec 协议的,不过这个部分公网回传是不会被墙的,主要看漫游地核心网至归属地核心网的回传是用的什么
    my2492
        51
    my2492  
    OP
       2022-02-07 14:41:32 +08:00 via iPhone
    @ericbize 其实吧,东南亚的专线回传成本是不高的,漫游流量的成本大头反而就是本地流量本身,回传都是到指定城市核心网出去,在南京联通的漫游大概率走北京联通回传,延迟很高,上海貌似就不绕路比较低延迟
    leonme
        52
    leonme  
       2022-02-07 16:23:12 +08:00
    @my2492 #47 这几张卡的套餐资费能聊聊吗?
    my2492
        53
    my2492  
    OP
       2022-02-07 16:37:20 +08:00 via iPhone
    @leonme 全是储值卡,就是最常见的那种套餐
    ericbize
        54
    ericbize  
       2022-02-07 16:51:22 +08:00
    @my2492 emmm , 马来那张卡是给我开了 特别套餐 大概 8rmb 1G ,有效期一个月,然后就是每个月扣 8 块。

    上次 pccw 的人给我说,某厂 找他们 买了 400G 中港, 我只是觉得, 这个 和 cdn 有点像, 因为也是 全国落地落地加速 , 也是 后端加速到 目的地。
    leonme
        55
    leonme  
       2022-02-07 16:53:38 +08:00
    @my2492 #53 哦哦,了解了,感谢~~
    SCJiang
        56
    SCJiang  
       2022-02-07 18:18:58 +08:00 via Android
    @Chism 大概是不会接听吧(
    my2492
        57
    my2492  
    OP
       2022-02-07 19:05:16 +08:00 via iPhone
    @ericbize 400G 肯定是专线了,之前一个国际出口局每家的公网出口一共才 400G
    Laitinlok
        58
    Laitinlok  
       2022-02-07 20:21:50 +08:00 via Android
    看了下 GTP 本身沒帶加密和認證, GTP 本來就只會用在安全的內網上美無需要加密
    testver
        59
    testver  
       2022-02-07 20:58:51 +08:00
    漫游卡就根本没想过它的安全问题。

    主要是个备用,万一紧急时要上 gmail 收个邮件或者查点资料,这也是合法的使用信道,每月花点钱就当买了个保险吧。
    idrawer
        60
    idrawer  
       2022-02-07 23:02:59 +08:00
    @my2492 这种查证理论上的风险存在,但是要协调的部门调查成本太高,除非你是斯诺登那种级别,要不然如果只是鸿茅药酒那种级别应该都够不上这种调查
    my2492
        61
    my2492  
    OP
       2022-02-07 23:31:05 +08:00 via iPhone
    @idrawer 之前 tg 群里有人说插着 ctmo 的卡在 xj 逛街就被查手机问为什么要办外卡的,也不一定的,小心点总是好的。当然这个事情当事人是否说谎就不知道了
    kyor0
        62
    kyor0  
       2022-02-08 05:47:59 +08:00 via iPad
    恩,安全方面的确没想象的高。不过作为备用防止失联还是可以的
    Marionic0723
        63
    Marionic0723  
       2022-02-08 08:19:56 +08:00 via Android
    群加了。其实说起来,外卡也没什么特殊之处,主要就是个应急手段,上上 Gmail 啦,Google 啦,因为是直通外网,老外在华的也不少,被一刀切的概率小一些。现有的魔法技术,无论如何加密伪装混淆,也是基于一个条件:GFW 不认识或不敢阻断的 IP ,一旦墙换允许列表,就等同于和自由世界失联了,流量卡最少明面上不好下手,怕监听再开一个 VPN 加密就好了,就当是买保险了,一个月几美元,能免费接电话收短信就更赚了,也许有朝一日出国了还能激活外国本地套餐用。
    brMu
        64
    brMu  
       2022-02-08 10:25:37 +08:00
    看了大佬们的讨论,个人理解
    1.GTP 不加密,可以审查,所以是查不查和污不污染的问题
    2.因为不加密,所以你访问了哪个网站都能知道,比普遍使用的过墙方式更不安全
    3.回程方式不可能都是专线,因为不可能和所有国家都来个专线吧?所以一定有走公网的
    4.就算走专线,估计运营商也只要保障基本速度就可以,不会扩容到非常快的速度,就是要让长期在中国的外国人觉得慢,办国内卡,更好监管
    5.因为是手机卡,所以漫游到国内哪个省都会很容易查到,又增加了不安全性

    综上,个人认为备用玩玩可以,长时间用不合适,更不安全
    roundweek
        65
    roundweek  
       2022-02-08 10:43:26 +08:00
    GTP 如果墙不会下手的话我在想如果写一个软件使用 GTP 来翻墙。。。?
    mandymak
        66
    mandymak  
       2022-02-08 11:53:38 +08:00
    @roundweek gayhub 已有。
    my2492
        67
    my2492  
    OP
       2022-02-08 11:59:59 +08:00 via iPhone
    @roundweek 应该还会配合 ip 白名单吧,而且是不是跑在公网上的都不知道
    my2492
        68
    my2492  
    OP
       2022-02-08 12:03:37 +08:00 via iPhone
    @brMu 还有一种省钱的专线,GRX ( GPRS roaming exchange )所有运营商专线连接到指定的几个点交换流量,就是不知道国内是否采用这种方式
    my2492
        69
    my2492  
    OP
       2022-02-08 12:06:04 +08:00 via iPhone
    @brMu 其实走专线回程的普遍质量会比公网好的,因为没几个人会把这个当主力上网手段,公网口子再大肯定是不如专线稳定
    datocp
        70
    datocp  
       2022-02-09 07:54:39 +08:00 via Android
    看不懂优点在哪,平时联通 4G 长时间 l2tp 在线都没问题,而且是点对点加密,运营商只能看到访问端口看不到具体访问 url 。这种所谓的境外卡要经过那么多网关设备,真比自架 vpn 有优势。
    说起来这个搬瓦工 ip 换了有两年了,这两年真太平,长时间借助移动线路根本没以前的电信线路问题,电信这种破烂连个下载测试 url 都要丢 tcp reset,很多东西根本上升不到墙的问题,而是线路太烂,网管工作太认真。
    chenxuhua
        71
    chenxuhua  
       2022-03-01 14:32:05 +08:00
    搜索到一个网页 https://www.zctac.com/ntop_nDPI.html

    「我们正在不断扩展 nDPI ,到目前为止支持的协议有很多,包括:GTP 」

    网页内 Ctrl + F 搜索关键字 GTP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1165 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:39 · PVG 07:39 · LAX 15:39 · JFK 18:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.