我写这篇博文只是想记录一下自己从想法到探寻,再到探寻结果的整个过程。

在这个探寻的过程中,我发现了一些既在意料之中,又在意料之外的事实,而这些事实我个人认为有必要写篇博文进行记录。

最后,对于这些事实,我不做任何解读,也不会提出任何建议。


缘起

今天照例刷 Mastodon 时间轴时,有一条嘟文从我眼前飘过『求推荐便宜好用(免费也可以因为就几个月里用一小时……)的从国外翻回国内的vpn谢谢』。

看到这条嘟文,我的第一个想法是,这很简单呀,我这就有现成的 Mesh VPN 网络(nebula 网络),只要加进网络,再在国内端安装上代理软件,不就OK了吗?

但又立刻想到,这种做法对于国内节点的人风险非常大,万一对方发布什么中国政府不喜欢的话,你就有可能被顺着 IP 找上门,风险太高了。 想要这么干,必须是相当熟悉与了解的友人才可以。

就在我胡思乱想时,原嘟文下已经有了回复,回复中提到「穿梭」这个应用。

这一下子吸引了我的注意,原来已经有这样的回国 VPN 呀。 但是他们是怎么做的?他们不担心用户发布什么内容,然后被警察找上门吗?他们是怎么控制风险的? 他们有多少服务器?他们的中国大陆的服务器节点 IP 是什么?

带着这样的好奇,我开始了自己的探寻之旅。

探寻

使用「穿梭」在搜索引擎中搜索,顺利的找到该应用的 Google Play 页面iOS APP Store 页面

/images/2024/demystifying-the-vpn-app-transocks/google_play.png

Google Play 页面

/images/2024/demystifying-the-vpn-app-transocks/app_store.png

APP Store 页面

首先吸引我注意的是该应用超长的寿命。 通过 iOS APP Store 页面的 Version History,可以看到,该应用于2021年8月就已经上架 iOS APP Store,距今已有近3年时间了。 对于跑路不断的机场而言,稳定经营3年已经算是很长寿了。

/images/2024/demystifying-the-vpn-app-transocks/app_store_version_histroy.png

然后便是Google Play 页面右侧 App Support Address 栏的那个中国地址:Tianfu Avenue 866, Huayang Street, Hi-Tech Zone, Cheng Du, Sichuan,China。 以及公司名 Chengdu Fobwifi Networks Technology LLC 中的 Chengdu

/images/2024/demystifying-the-vpn-app-transocks/google_play_app_support.png

在 Google Play 页面与 iOS APP Store 页面分别找到了两个官网地址: https://www.transocks.com/https://transocks.org/

打开后,页面一致。其中 www.transocks.com 已被 GFW 屏蔽,屏蔽方式 DNS 投毒。

/images/2024/demystifying-the-vpn-app-transocks/webpage.png

官网网页

附手查询两域名 wohis,可以发现 transocks.com 注册于2014年8月,transocks.org 注册于2019年7月。

$ whois transocks.com
    Domain Name: TRANSOCKS.COM
    Registry Domain ID: 1871026402_DOMAIN_COM-VRSN
    Registrar WHOIS Server: grs-whois.hichina.com
    Registrar URL: http://www.net.cn
    Updated Date: 2022-08-04T02:08:37Z
    Creation Date: 2014-08-14T07:10:34Z
    Registry Expiry Date: 2027-08-14T07:10:34Z
    Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
    Registrar IANA ID: 420
    Registrar Abuse Contact Email: [email protected]
    Registrar Abuse Contact Phone: +86.95187
    Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
    Name Server: DAHLIA.NS.CLOUDFLARE.COM
    Name Server: SETH.NS.CLOUDFLARE.COM
    DNSSEC: unsigned
    URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-03-12T15:16:30Z <<<

...

Domain Name: transocks.com
Registry Domain ID: 1871026402_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://www.net.cn
Updated Date: 2022-08-04T02:08:37Z
Creation Date: 2014-08-14T07:10:34Z
Registrar Registration Expiration Date: 2027-08-14T07:10:34Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Reseller:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant City:
Registrant State/Province: si chuan
Registrant Country: CN
Registrant Email:https://whois.aliyun.com/whois/whoisForm
Registry Registrant ID: Not Available From Registry
Name Server: DAHLIA.NS.CLOUDFLARE.COM
Name Server: SETH.NS.CLOUDFLARE.COM
DNSSEC: unsigned
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +86.95187
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>>Last update of WHOIS database: 2024-03-12T15:16:41Z <<<
$ whois transocks.org
Domain Name: transocks.org
Registry Domain ID: 1962315ed0334b13a32069a155ee1aa1-LROR
Registrar WHOIS Server: http://whois.namesilo.com
Registrar URL: http://www.namesilo.com
Updated Date: 2024-03-09T05:24:13Z
Creation Date: 2019-07-30T18:25:14Z
Registry Expiry Date: 2025-07-30T18:25:14Z
Registrar: Namesilo, LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: See PrivacyGuardian.org
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: AZ
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registry Admin ID: REDACTED FOR PRIVACY
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Phone Ext: REDACTED FOR PRIVACY
Admin Fax: REDACTED FOR PRIVACY
Admin Fax Ext: REDACTED FOR PRIVACY
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registry Tech ID: REDACTED FOR PRIVACY
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Phone Ext: REDACTED FOR PRIVACY
Tech Fax: REDACTED FOR PRIVACY
Tech Fax Ext: REDACTED FOR PRIVACY
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: ns1.dnsowl.com
Name Server: ns2.dnsowl.com
Name Server: ns3.dnsowl.com
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2024-03-12T15:25:18Z <<<

查询互联网档案馆,www.transocks.com 最早的存档是2017年4月13日的存档

/images/2024/demystifying-the-vpn-app-transocks/web.archive.org_www.transocks.com.png

互联网档案馆中 http://www.transocks.com/ 最早的(2017年4月13日)存档

根据互联网档案馆的信息,回国VPN「穿梭」至少已经持续运营了7年时间。 如果假设运营开始于 transocks.com 注册时间,那便是已经持续运营了10年时间。

另外,根据 BLOCKY 的数据,www.transocks.com 被 GFW 屏蔽时间不早于2017年11月14日不晚于2018年3月15日

更进一步

将上文中找到的公司名称以及地址输入到天眼查等企业查询工具中查询,找到了「成都飞欧比网络科技有限公司」这个国内公司实体。

/images/2024/demystifying-the-vpn-app-transocks/tianyancha_index.png

天眼查页面

/images/2024/demystifying-the-vpn-app-transocks/qcc_index.png

企查查页面

成都飞欧比网络科技有限公司,成立于2016年,位于四川省成都市,企业注册资本1000万人民币。

主营产品:穿梭(Transocks)是一款 VPN(虚拟专用网络)服务软件,专门帮海外华人解决浏览中国网站时遇到的访问限制问题。

统一社会信用代码:91510100MA61XDA32R,组织机构代码:MA61XDA3-2,工商注册号:510110000065211

工商信息

/images/2024/demystifying-the-vpn-app-transocks/tianyancha_2.png

股东信息

许可证编号:B1-20200386,许可证业务种类:国内互联网虚拟专用网业务

电信许可

许可证编号:川B2-20180414,许可证业务种类:信息服务业务(仅限互联网信息服务)

电信许可

/images/2024/demystifying-the-vpn-app-transocks/qcc_5.png

软件违规

/images/2024/demystifying-the-vpn-app-transocks/qcc_6.png

四川省和重庆市通信管理局联合通报侵害用户权益的APP(2023年第十一期)(1/2)

/images/2024/demystifying-the-vpn-app-transocks/qcc_7.png

四川省和重庆市通信管理局联合通报侵害用户权益的APP(2023年第十一期)(2/2)

/images/2024/demystifying-the-vpn-app-transocks/qcc_8.png

四川省通信管理局关于下架侵害用户权益APP的通报(2023年第9批)(1/2)

/images/2024/demystifying-the-vpn-app-transocks/qcc_9.png

四川省通信管理局关于下架侵害用户权益APP的通报(2023年第9批)(2/2)

打开该公司登记的官网,可以看出国内官网网页内容与之前的网页一致。

/images/2024/demystifying-the-vpn-app-transocks/www.transocks.com.cn.png

国内公司官网:https://www.transocks.com.cn/

/images/2024/demystifying-the-vpn-app-transocks/ICP.png

ICP备案查询:蜀ICP备18024647号

$ whois transocks.com.cn
Domain Name: transocks.com.cn
ROID: 20180704s10011s89656998-cn
Domain Status: clientTransferProhibited
Registrant: 成都飞欧比网络科技有限公司
Registrant Contact Email: [email protected]
Sponsoring Registrar: 阿里云计算有限公司(万网)
Name Server: vip3.alidns.com
Name Server: vip4.alidns.com
Registration Time: 2018-07-04 15:42:05
Expiration Time: 2027-07-04 15:42:05
DNSSEC: unsigned

结语

当你在 Android 系统启动 VPN 应用时,应该看见过这样的警告确认:「“<xxxx>”想要设置一个VPN连接,以便监控网络流量。除非您信任该来源,否则请勿接受此请求。」。

“Shadowsocks”想要设置一个VPN连接,以便监控网络流量。除非您信任该来源,否则请勿接受此请求。

当你连接上VPN,此时点击状态栏上的钥匙,也可以看到这样的警告:「您已连接到“<xxxx>”(该应用能够监控您的网络活动,其中包括收发电子邮件、使用应用和浏览网站)。」

您已连接到“Shadowsocks”(该应用能够监控您的网络活动,其中包括收发电子邮件、使用应用和浏览网站)。