Trung Quốc là một trong những thị trường khó khăn nhất để làm việc với lưu lượng truy cập. Tường lửa Lớn (GFW) không chỉ chặn các trang web mà còn cả các giao thức và mẫu kết nối. Hầu hết các proxy tiêu chuẩn ở đây đơn giản là không hoạt động. Nếu bạn đang chạy các chiến dịch quảng cáo cho khán giả Trung Quốc, quản lý tài khoản trên Weibo, WeChat, Douyin hoặc theo dõi các thị trường trực tuyến của Trung Quốc — bài viết này sẽ cho bạn biết cái gì thực sự hoạt động sau tường lửa và cách thiết lập nó đúng cách.
Tường lửa Lớn hoạt động như thế nào và tại sao proxy thông thường không giúp ích
Tường lửa Lớn của Trung Quốc (Great Firewall, GFW) là một hệ thống lọc internet của nhà nước, hoạt động ở cấp độ nhà cung cấp dịch vụ internet trên toàn quốc. Đây không chỉ là một danh sách các trang web bị chặn. GFW phân tích lưu lượng truy cập theo thời gian thực, xác định loại kết nối và chặn nó nếu nó có vẻ "đáng ngờ".
Hầu hết mọi người nghĩ: "Tôi sẽ đặt một proxy thông thường — và mọi thứ sẽ hoạt động". Điều này không đúng. Proxy HTTP thông thường hoặc thậm chí SOCKS5 tiêu chuẩn cũng bị GFW nhận diện trong vài giây. Hệ thống sử dụng công nghệ DPI (Deep Packet Inspection) — kiểm tra gói sâu. Nó không chỉ nhìn thấy địa chỉ đích mà còn cả chữ ký giao thức, mẫu lưu lượng, tần suất yêu cầu và thậm chí là các đặc điểm hành vi của kết nối.
Nếu bạn làm việc với Facebook Ads, Google Ads hoặc Instagram từ Trung Quốc hoặc cho khán giả Trung Quốc — bạn không chỉ cần proxy, mà cần proxy với giao thức đúng và IP từ vị trí địa lý cần thiết. Nếu không, bạn sẽ nhận được hoặc là chặn kết nối ngay lập tức, hoặc là cấm tài khoản quảng cáo vì hoạt động đáng ngờ.
⚠️ Quan trọng cần hiểu:
GFW không phải là một danh sách chặn tĩnh. Hệ thống liên tục được cập nhật. Giao thức hoạt động cách đây một tháng có thể đã bị chặn hôm nay. Chính vì vậy, việc chọn loại proxy và giao thức đúng là cực kỳ quan trọng.
GFW chặn cái gì: giao thức và chữ ký
Để chọn công cụ hoạt động, cần hiểu rõ hệ thống có khả năng nhận diện và chặn cái gì. GFW hoạt động theo nhiều hướng cùng một lúc.
Chặn theo địa chỉ IP
Phương pháp đơn giản nhất là chặn các địa chỉ IP cụ thể và các dải địa chỉ. Các IP của các nhà cung cấp đám mây lớn như AWS, Google Cloud, DigitalOcean, Vultr thường bị ảnh hưởng. Nếu proxy của bạn nằm trên một trong những máy chủ này — có khả năng cao rằng IP của nó đã nằm trong danh sách đen của GFW. Chính vì vậy, các proxy từ trung tâm dữ liệu với IP "sạch" hoạt động ở Trung Quốc kém hơn nhiều so với proxy cư trú.
Chặn theo chữ ký giao thức
GFW có khả năng nhận diện chữ ký của OpenVPN, SOCKS5 tiêu chuẩn không có obfuscation, L2TP, PPTP và một số giao thức khác. Khi hệ thống thấy handshake đặc trưng — kết nối sẽ bị cắt đứt. Điều này không xảy ra ngay lập tức: đôi khi GFW cho phép một vài gói, phân tích lưu lượng và chỉ sau đó mới chặn. Điều này được gọi là "thăm dò chủ động" (Active Probing).
Phân tích hành vi lưu lượng
Ngay cả khi giao thức được mã hóa, GFW vẫn phân tích mẫu: kích thước gói, tần suất kết nối, thời gian phản hồi. Nếu lưu lượng có vẻ "không giống con người" — ví dụ, các yêu cầu quá đều đặn với các khoảng thời gian giống nhau — đó là tín hiệu để chặn. Đối với các nhà tiếp thị và chuyên gia SMM, điều này có nghĩa là các công cụ tự động cần được cấu hình với độ trễ và ngẫu nhiên hóa.
DNS-spoofing và làm đầy bộ nhớ cache
Đối với các miền bị chặn (Google, Facebook, Instagram, YouTube và hàng ngàn miền khác), GFW trả về các phản hồi DNS không chính xác. Ngay cả khi bạn có một proxy hoạt động, nhưng các yêu cầu DNS đi qua các máy chủ Trung Quốc — bạn sẽ nhận được IP không chính xác và không thể kết nối. Điều này cần được xem xét khi cấu hình.
Các loại proxy nào hoạt động ở Trung Quốc
Không phải tất cả các proxy đều hữu ích như nhau sau Tường lửa Lớn. Chúng ta sẽ phân tích từng loại từ góc độ khả năng áp dụng thực tế.
| Loại proxy | Hoạt động ở Trung Quốc | Rủi ro bị chặn | Phù hợp cho |
|---|---|---|---|
| Proxy cư trú | ✅ Có | Thấp | Tài khoản, quảng cáo, SMM |
| Proxy di động | ✅ Có | Rất thấp | Nuôi tài khoản, TikTok |
| Proxy từ trung tâm dữ liệu | ⚠️ Một phần | Cao | Phân tích (với sự cẩn thận) |
| Proxy miễn phí | ❌ Không | Tối đa | Không cho bất cứ điều gì |
Proxy cư trú — lựa chọn tối ưu cho hầu hết các nhiệm vụ
Proxy cư trú sử dụng địa chỉ IP của người dùng thực từ các quốc gia khác nhau. Đối với GFW, lưu lượng này trông giống như người dùng thông thường, không phải là máy chủ hay VPN. Nếu bạn cần IP với vị trí địa lý bên ngoài Trung Quốc (ví dụ, Mỹ hoặc Hồng Kông) để làm việc với Facebook, Google hoặc Instagram — proxy cư trú sẽ có rủi ro bị chặn tối thiểu.
Lợi thế chính: xoay vòng IP. Mỗi yêu cầu có thể đi qua một địa chỉ IP mới, điều này làm cho mẫu lưu lượng giống như hành vi của người dùng thực tế nhất có thể.
Proxy di động — cho nuôi và tài khoản
Proxy di động hoạt động thông qua các SIM thực tế của các nhà mạng. Địa chỉ IP của các mạng di động (3G/4G/5G) là một loại riêng biệt mà GFW lịch sử chặn ít hơn, vì một IP di động có thể phục vụ hàng ngàn người dùng thực. Chặn một IP như vậy sẽ có nghĩa là ngắt kết nối toàn bộ khu vực khỏi internet.
Đối với các nhà tiếp thị, những người nuôi tài khoản TikTok Ads hoặc làm việc với Douyin — proxy di động với vị trí địa lý ở quốc gia cần thiết sẽ mang lại kết quả tốt nhất về độ tin cậy của tài khoản.
Proxy từ trung tâm dữ liệu — với sự cẩn thận
Proxy từ trung tâm dữ liệu nhanh hơn và rẻ hơn, nhưng GFW tích cực chặn các dải IP của các nhà cung cấp lớn. Nếu bạn cần một proxy từ trung tâm dữ liệu để làm việc với Trung Quốc — hãy chọn các nhà cung cấp có IP từ Hồng Kông, Đài Loan hoặc Singapore: những vị trí địa lý này lịch sử có kết nối tốt hơn với các mạng Trung Quốc.
Các giao thức vượt qua tường lửa vào năm 2024
Việc chọn giao thức là yếu tố quan trọng thứ hai sau loại proxy. Ngay cả một IP cư trú tốt cũng không giúp ích nếu giao thức kết nối bị GFW nhận diện ngay lập tức.
SOCKS5 với obfuscation — lựa chọn hiệu quả
SOCKS5 tiêu chuẩn không có bảo vệ bổ sung được GFW nhận diện khá tốt. Tuy nhiên, SOCKS5 kết hợp với obfuscation lưu lượng (khi kết nối được che giấu dưới dạng HTTPS thông thường) — là lựa chọn tốt hơn nhiều. Hầu hết các nhà cung cấp proxy chất lượng hỗ trợ SOCKS5 qua TLS, điều này làm cho lưu lượng gần như không thể phân biệt với việc lướt web thông thường.
Trong các trình duyệt chống phát hiện (Dolphin Anty, AdsPower, GoLogin), khi cấu hình proxy, luôn chọn SOCKS5, không phải HTTP — điều này cung cấp một cấp độ bảo vệ bổ sung khỏi việc nhận diện.
Proxy HTTPS — cơ bản nhưng hoạt động
Proxy HTTPS (đường hầm qua phương pháp CONNECT) hoạt động nhờ vào việc toàn bộ lưu lượng trông giống như các kết nối HTTPS được mã hóa thông thường. GFW không thể chặn toàn bộ HTTPS mà không ngắt kết nối một nửa internet Trung Quốc. Nhược điểm: Proxy HTTPS ít linh hoạt hơn SOCKS5 và không hỗ trợ tất cả các loại lưu lượng.
Những gì chắc chắn không hoạt động
| Giao thức | Tình trạng tại Trung Quốc | Lý do bị chặn |
|---|---|---|
| OpenVPN (tiêu chuẩn) | ❌ Bị chặn | Nhận diện qua handshake |
| PPTP / L2TP | ❌ Bị chặn | Giao thức lỗi thời, GFW đã biết |
| WireGuard (không có obfuscation) | ⚠️ Không ổn định | Mẫu UDP bị nhận diện |
| Proxy HTTP (không mã hóa) | ❌ Không đáng tin cậy | Lưu lượng có thể nhìn thấy công khai |
| SOCKS5 không mã hóa | ⚠️ Không ổn định | Bị nhận diện bởi DPI khi phân tích |
Vai trò của vị trí địa lý proxy
Nếu bạn làm việc từ Trung Quốc và muốn truy cập vào các dịch vụ bị chặn — proxy phải nằm ngoài Trung Quốc. Các vị trí địa lý tối ưu: Hồng Kông (độ trễ tối thiểu), Nhật Bản, Singapore, Mỹ. Hồng Kông lịch sử có các kênh kết nối trực tiếp với Trung Quốc đại lục, điều này mang lại độ trễ thấp nhất.
Nếu bạn làm việc từ bên ngoài Trung Quốc và cần một IP Trung Quốc — ví dụ, để theo dõi giá trên Taobao, JD.com hoặc Pinduoduo — bạn cần proxy cư trú với vị trí địa lý ở Trung Quốc. Đây là một nhiệm vụ khác: ở đây quan trọng là IP phải là "thực sự" Trung Quốc, không phải từ trung tâm dữ liệu.
Kịch bản sử dụng: tiếp thị, SMM, thương mại điện tử
Chúng ta sẽ phân tích các tình huống làm việc cụ thể mà các chuyên gia gặp phải khi làm việc với lưu lượng truy cập Trung Quốc.
Kịch bản 1: Nhà tiếp thị chạy quảng cáo cho khán giả Trung Quốc qua Facebook Ads
Nhiệm vụ: quản lý các tài khoản quảng cáo Facebook từ Trung Quốc hoặc tạo tài khoản với vị trí địa lý Trung Quốc. Facebook bị chặn ở Trung Quốc, vì vậy bất kỳ công việc nào với nó đều yêu cầu proxy nằm ngoài GFW.
Giải pháp: proxy cư trú với vị trí địa lý ở Hồng Kông hoặc Mỹ + trình duyệt chống phát hiện (Dolphin Anty hoặc AdsPower). Mỗi tài khoản quảng cáo là một hồ sơ trình duyệt riêng với một proxy riêng. Giao thức kết nối — SOCKS5. Quan trọng: không thay đổi vị trí địa lý của proxy cho một tài khoản — Facebook ghi nhận sự thay đổi quốc gia và có thể yêu cầu xác minh.
Kịch bản 2: Chuyên gia SMM quản lý tài khoản trên Weibo và Douyin
Nhiệm vụ: quản lý các mạng xã hội Trung Quốc từ Nga hoặc châu Âu. Weibo và Douyin (phiên bản Trung Quốc của TikTok) yêu cầu IP Trung Quốc để hoạt động đầy đủ — không có nó, một số chức năng sẽ không khả dụng và tài khoản sẽ trông đáng ngờ.
Giải pháp: proxy cư trú với vị trí địa lý ở Trung Quốc (các tỉnh Quảng Đông, Thượng Hải, Bắc Kinh — là các vị trí địa lý "đáng tin cậy" nhất cho các nền tảng Trung Quốc). Đối với mỗi tài khoản — một hồ sơ riêng trong Multilogin hoặc Octo Browser với IP cố định (sticky) không thay đổi giữa các phiên.
Kịch bản 3: Theo dõi giá trên các thị trường trực tuyến Trung Quốc
Nhiệm vụ: phân tích giá trên Taobao, JD.com, Pinduoduo để so sánh với các thị trường trực tuyến Nga hoặc tìm kiếm hàng hóa để bán lại.
Giải pháp: proxy cư trú xoay vòng với vị trí địa lý ở Trung Quốc. Mỗi yêu cầu đi qua một IP mới — điều này mô phỏng hành vi của nhiều người dùng khác nhau và giảm rủi ro bị chặn. Đối với việc phân tích Taobao, việc xoay vòng là đặc biệt quan trọng, vì nền tảng này bảo vệ một cách tích cực khỏi các yêu cầu tự động.
Kịch bản 4: Làm việc với TikTok Ads trên thị trường Trung Quốc
TikTok Ads (phiên bản quốc tế) và Douyin Ads (phiên bản Trung Quốc) — là những nền tảng khác nhau với các yêu cầu khác nhau. Để làm việc với TikTok Ads từ Trung Quốc, cần một proxy nằm ngoài GFW. Đối với Douyin Ads — ngược lại, cần một IP Trung Quốc. Proxy di động ở đây đặc biệt hiệu quả: TikTok ban đầu được tạo ra như một ứng dụng di động, và các IP di động gây ít nghi ngờ hơn với các thuật toán của nền tảng.
Cấu hình proxy trong trình duyệt chống phát hiện để làm việc với Trung Quốc
Trình duyệt chống phát hiện là công cụ bắt buộc cho bất kỳ ai làm việc với nhiều tài khoản trên các nền tảng Trung Quốc hoặc quốc tế từ Trung Quốc. Chúng ta sẽ phân tích cấu hình từng bước với ví dụ từ các công cụ phổ biến.
Dolphin Anty: cấu hình từng bước
- Mở Dolphin Anty → nhấn “Tạo hồ sơ”
- Trong phần “Proxy”, chọn loại SOCKS5 (không phải HTTP!)
- Nhập thông tin proxy: host, port, login, password
- Nhấn “Kiểm tra proxy” — đảm bảo rằng quốc gia hiển thị là đúng
- Trong phần “Fingerprint”, chọn hệ điều hành phù hợp với khán giả của bạn (đối với các nền tảng Trung Quốc — Android hoặc Windows)
- Đặt ngôn ngữ trình duyệt — tiếng Trung (zh-CN) để làm việc với các nền tảng Trung Quốc
- Đặt múi giờ theo vị trí địa lý của proxy (ví dụ, Asia/Shanghai)
- Lưu hồ sơ và khởi động trình duyệt
AdsPower: các thiết lập chính
- AdsPower → “Hồ sơ mới” → tab “Proxy”
- Loại proxy: SOCKS5, nhập thông tin kết nối
- Bật tùy chọn “Sử dụng proxy cho DNS” — cực kỳ quan trọng để làm việc ở Trung Quốc, để các yêu cầu DNS không bị rò rỉ qua các máy chủ Trung Quốc
- Tab “Trình duyệt”: đặt User-Agent phù hợp với nền tảng của bạn
- Phần “Vị trí địa lý”: chọn “Xác định theo IP proxy” — điều này đồng bộ hóa vị trí địa lý của trình duyệt với vị trí địa lý của proxy
- Khởi động hồ sơ và kiểm tra IP trên trang web ip.sb hoặc whoer.net
Cấu hình cực kỳ quan trọng: DNS qua proxy
Đây là một trong những sai lầm thường gặp khi làm việc với Trung Quốc. Nếu các yêu cầu DNS đi trực tiếp (không qua proxy) — chúng sẽ rơi vào bộ lọc DNS của Trung Quốc, và bạn sẽ nhận được IP không chính xác cho các miền bị chặn. Trong tất cả các trình duyệt chống phát hiện đều có tùy chọn "DNS qua proxy" hoặc "Remote DNS" — nó luôn phải được bật khi làm việc với Trung Quốc.
GoLogin và Multilogin: nguyên tắc chung
Trong GoLogin và Multilogin, logic cũng giống nhau: tạo hồ sơ, thêm proxy SOCKS5, bật "WebRTC: Disabled" (để không làm lộ IP thực qua WebRTC), đồng bộ hóa múi giờ và ngôn ngữ với vị trí địa lý của proxy. Trong Multilogin, bạn cũng có thể cấu hình Canvas fingerprint và WebGL — điều này hữu ích cho việc làm việc với các nền tảng sử dụng fingerprinting (Douyin, Weibo) một cách tích cực.
Những lỗi thường gặp và cách tránh chúng
Ngay cả khi có proxy và trình duyệt chống phát hiện đúng, bạn vẫn có thể mắc phải những sai lầm dẫn đến việc tài khoản hoặc kết nối bị chặn.
❌ Lỗi 1: Sử dụng một proxy cho nhiều tài khoản
Nếu một IP được sử dụng cho 5-10 tài khoản — nền tảng sẽ thấy điều này. Quy tắc đơn giản: một tài khoản = một IP duy nhất. Khi sử dụng proxy xoay vòng cho các tài khoản, hãy đảm bảo rằng bạn sử dụng các phiên sticky (IP cố định trong thời gian phiên), không phải xoay vòng hoàn toàn.
❌ Lỗi 2: Thay đổi vị trí địa lý của proxy cho một tài khoản
Hôm nay tài khoản vào từ Hồng Kông, ngày mai — từ Mỹ, ngày kia — từ Đức. Đối với Facebook, Instagram và các nền tảng Trung Quốc, đây là một tín hiệu đỏ. Luôn sử dụng cùng một vị trí địa lý cho một tài khoản cụ thể.
❌ Lỗi 3: Không đồng bộ hóa múi giờ và ngôn ngữ với proxy
Proxy hiển thị Hồng Kông, nhưng trình duyệt cho biết múi giờ — Moscow, và ngôn ngữ — tiếng Nga. Đây là dấu hiệu rõ ràng của việc sử dụng proxy. Luôn đồng bộ hóa múi giờ, ngôn ngữ trình duyệt và tiêu đề Accept-Language với vị trí địa lý của proxy.
❌ Lỗi 4: Sử dụng proxy miễn phí
Proxy miễn phí — là một sự chặn ngay lập tức ở Trung Quốc. IP của chúng đã bị đưa vào danh sách đen của GFW từ lâu, chúng chậm, không ổn định và không an toàn. Tiết kiệm trên proxy, bạn sẽ mất tài khoản, mà giá trị của chúng cao hơn nhiều.
❌ Lỗi 5: Bỏ qua rò rỉ WebRTC
WebRTC — là công nghệ trong trình duyệt có thể tiết lộ IP thực của bạn ngay cả khi sử dụng proxy. Trong các trình duyệt chống phát hiện, WebRTC sẽ tự động bị tắt, nhưng nếu bạn sử dụng Chrome thông thường với proxy — hãy chắc chắn cài đặt tiện ích mở rộng để chặn WebRTC.
Danh sách kiểm tra trước khi bắt đầu làm việc với Trung Quốc
- ✅ Proxy — cư trú hoặc di động (không phải từ trung tâm dữ liệu cho các tài khoản)
- ✅ Giao thức — SOCKS5 (không phải HTTP)
- ✅ DNS đi qua proxy (Remote DNS đã bật)
- ✅ Múi giờ của trình duyệt trùng khớp với vị trí địa lý của proxy
- ✅ Ngôn ngữ của trình duyệt phù hợp với quốc gia của proxy
- ✅ WebRTC đã tắt
- ✅ Một tài khoản = một hồ sơ = một proxy
- ✅ Vị trí địa lý của proxy không thay đổi cho một tài khoản
- ✅ Kiểm tra IP trên whoer.net hoặc browserleaks.com trước khi làm việc
Kết luận
Làm việc với Trung Quốc — là một lĩnh vực riêng biệt trong thế giới proxy và đa tài khoản. Tường lửa Lớn — là một trong những hệ thống lọc internet phức tạp nhất trên thế giới, và không thể vượt qua nó bằng các công cụ tiêu chuẩn. Những điểm chính từ bài viết này:
- Các proxy HTTP tiêu chuẩn và VPN không có obfuscation không hoạt động ở Trung Quốc — GFW nhận diện chúng
- Proxy cư trú với vị trí địa lý đúng — là lựa chọn tối ưu cho các tài khoản và quảng cáo
- Proxy di động mang lại rủi ro bị chặn thấp nhất cho việc nuôi và làm việc với TikTok/Douyin
- Giao thức SOCKS5 — là lựa chọn ưa thích cho các trình duyệt chống phát hiện
- DNS qua proxy — là thiết lập bắt buộc, nếu không mọi thứ khác sẽ trở nên vô dụng
- Đồng bộ hóa múi giờ, ngôn ngữ và vị trí địa lý — là quy tắc cơ bản cho bất kỳ tài khoản nào
Nếu bạn dự định làm việc với lưu lượng truy cập Trung Quốc — bất kể là quảng cáo trên Facebook Ads với vị trí địa lý ở Trung Quốc, quản lý tài khoản trên Weibo và Douyin hoặc theo dõi giá trên Taobao — chúng tôi khuyên bạn nên bắt đầu với proxy cư trú với vị trí địa lý ở Hồng Kông hoặc Trung Quốc đại lục. Điều này sẽ mang lại sự cân bằng tốt nhất giữa độ tin cậy của kết nối, độ tin cậy của tài khoản và rủi ro tối thiểu bị chặn từ GFW.