共匪大规模地封锁基于TLS的翻墙服务器
转发自 https://github.com/net4people/bbs/issues/129#issuecomment-1266617327
自北京时间2022年10月3日起,超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan,Xray,V2Ray TLS+Websocket,VLESS,以及gRPC。我们还未收到任何naiveproxy被封锁的消息。
下面是我们总结的关于这次封锁的一些信息,以其我们的一些推测和分析
封锁先是针对翻墙服务的端口。如果用户在端口被封后,改换了端口,那么整个服务器都会被封锁。需要指出,封锁似乎只是基于端口或IP地址,与翻墙服务有关的域名似乎并没有被加入到GFW的DNS或SNI黑名单中。
尽管大多数用户报告443端口被封,一部分使用非443端口的用户也报告了封锁。尽管大多数用户的服务器在流行的VPS提供商那里(比如),但至少有一位用户位于欧洲的家中的服务器也被封锁了。
在一些案例中(并非全部案例中),封锁是动态的:用户通过浏览器还是可以直接访问翻墙端口,但同一个端口,用翻墙软件就连不通。
所有以上的信息都指向GFW已经可以精准的识别并封锁这些翻墙协议,而并非简单地封锁所有的443端口,或封锁所有的流行机房。
基于以上信息,我们推测(但还未进行实证性的测量),这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个论文阅读小组,这篇总结,以及这篇博文都是关于TLS指纹的,也许会有帮助。
下一步,我们将调查GFW是否真的使用了客户端发出的TLS指纹来识别这些协议。与此同时,如果您有任何翻墙服务器被封锁,或者有任何可以证实或反驳我们的推测的例子,我们都欢迎您或公开地或私下地与我们分享。因为这会帮助我们快速定位许多问题的根源。我们私下的联系方式可见GFW Report的页脚。
自北京时间2022年10月3日起,超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan,Xray,V2Ray TLS+Websocket,VLESS,以及gRPC。我们还未收到任何naiveproxy被封锁的消息。
下面是我们总结的关于这次封锁的一些信息,以其我们的一些推测和分析
封锁先是针对翻墙服务的端口。如果用户在端口被封后,改换了端口,那么整个服务器都会被封锁。需要指出,封锁似乎只是基于端口或IP地址,与翻墙服务有关的域名似乎并没有被加入到GFW的DNS或SNI黑名单中。
尽管大多数用户报告443端口被封,一部分使用非443端口的用户也报告了封锁。尽管大多数用户的服务器在流行的VPS提供商那里(比如),但至少有一位用户位于欧洲的家中的服务器也被封锁了。
在一些案例中(并非全部案例中),封锁是动态的:用户通过浏览器还是可以直接访问翻墙端口,但同一个端口,用翻墙软件就连不通。
所有以上的信息都指向GFW已经可以精准的识别并封锁这些翻墙协议,而并非简单地封锁所有的443端口,或封锁所有的流行机房。
基于以上信息,我们推测(但还未进行实证性的测量),这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个论文阅读小组,这篇总结,以及这篇博文都是关于TLS指纹的,也许会有帮助。
下一步,我们将调查GFW是否真的使用了客户端发出的TLS指纹来识别这些协议。与此同时,如果您有任何翻墙服务器被封锁,或者有任何可以证实或反驳我们的推测的例子,我们都欢迎您或公开地或私下地与我们分享。因为这会帮助我们快速定位许多问题的根源。我们私下的联系方式可见GFW Report的页脚。
41 个评论
我用的是自己搭建的,vmess + ws + tls,希望不会被封......要是请喝茶就麻烦了
对党国更简单的办法是看见不认识的服务器就主动用流行翻墙协议试探连接一下
然后去把该协议屏蔽掉(没准还有一堆服刑人员手工测试)
这种时候葱油应该召集亲朋好友多翻墙,给党国加重工作负担
然后去把该协议屏蔽掉(没准还有一堆服刑人员手工测试)
这种时候葱油应该召集亲朋好友多翻墙,给党国加重工作负担
cdn戴套吧
GFW一直在升级。VPN服务也要更新升级才行。
>>对党国更简单的办法是看见不认识的服务器就主动用流行翻墙协议试探连接一下然后去把该协议屏蔽掉(没准还有...
主动探测没这么简单,设计正确的协议(比如后来的ss),当你不知道他的服务器密码的时候,给他发个数据包,他的服务器不会响应任何东西,直接drop,这你就探测不出来他是真的翻墙服务器还是一台普通的服务器了。早期的ss看到你发了错误的数据包会作出响应,因此探测者就知道这个服务器是ss服务器。
>>主动探测没这么简单,设计正确的协议(比如后来的ss),当你不知道他的服务器密码的时候,给他发个数据包...
专业
但是你的意思是不是说,现在到ss协议也经过好几次迭代了,跟早期ss区别很大了?
>>但是你的意思是不是说,现在到ss协议也经过好几次迭代了,跟早期ss区别很大了?
早期ss是python写的,后来作者喝茶之后就停止开发了,后来的ss比如ss-libev是c写的,和原来的不一样。原版ss已经废弃了
recoSdest
新注册用户
我用的公司的v2ray,已经挂了 。现在用的翻墙软件,但是速度太慢了 不知道v2以后还能不能用
>>早期ss是python写的,后来作者喝茶之后就停止开发了,后来的ss比如ss-libev是c写的,和...
google的outline也是SS协议,上个月好像被GFW识别了,用一次封一个次,换一个IP封一个IP。
想多了,敏感时期是直接把热门境外服务器按照IP段封锁的。
在中共看来屁民看局域网就够了,上外网的都不是什么好东西,不存在误封。
在中共看来屁民看局域网就够了,上外网的都不是什么好东西,不存在误封。
自己搭的已经挂了,抽时间再试试naive。所以说备用机场的重要性
备用机也挂了,一夜回到vpn时代
备用机也挂了,一夜回到vpn时代
windXforce
黑名单
好多年了 一分享就被封
建议本论坛把 编程随想那个blog 置顶 里面有几个梯子十多年了一直都好用 我就不说是哪一个
不过呢 用起来确实有点麻烦 而且这几年明显越来越不稳定 5年前一个节点可以保持大半年
建议本论坛把 编程随想那个blog 置顶 里面有几个梯子十多年了一直都好用 我就不说是哪一个
不过呢 用起来确实有点麻烦 而且这几年明显越来越不稳定 5年前一个节点可以保持大半年
>>早期ss是python写的,后来作者喝茶之后就停止开发了,后来的ss比如ss-libev是c写的,和...
ss建议使用rust版本. 并保持更新
>>好多年了 一分享就被封 建议本论坛把 编程随想那个blog 置顶 里面有几个梯子十多年了一直都好...
编程随想建议的梯子已经是时代的眼泪了。
梯子这种和GFW赛跑的东西本来就更新迭代多。
这里说的不是节点,是协议
>>只要简单密码交换请求(和之前的握手协议)就可以识别很多协议了
作为穿越GFW的代理协议,那可不光是密码学的加密防破解,还有防主动探测。你不发正确的数据包,他不返回数据。这就和一个普通HTTP服务器没有任何区别。
我也是照着品葱的教程vmess + ws + tls自己搭的,10月3号殉了,现在还没来得及搭新的
>>我也是照着品葱的教程vmess + ws + tls自己搭的,10月3号殉了,现在还没来得及搭新的
v2ray有一个比较活跃的分支xray,安装方法配置基本上是完全兼容的,只是多了一些功能。可以试下里面伪装TLS指纹的功能有没有用。
我看了下,这两天也有很多伊朗人报告各种翻墙软件失效,应该不是巧合
trojan,trojan,trojan,就没见品葱有人用过。目前最安全的协议。另外很多人说以后GFW白名单之类的,我认为是不太可能的,世界工厂不进出口真能饿死7亿人,更别提红色家族的跨国公司的营收了
vless + ws + tls域名在Google所以没有挂?
>>想多了,敏感时期是直接把热门境外服务器按照IP段封锁的。在中共看来屁民看局域网就够了,上外网的都不是...
洋大人可不吃这一套,你敢封我就敢找大使馆敢闹事
>>trojan,trojan,trojan,就没见品葱有人用过。目前最安全的协议。另外很多人说以后GF...trojan是协议,v2ray是平台;技术上trojan和vless没有区别,实际上我的基于v2ray的trojan也被封了,套了cdn才救活
你敢封我就敢找大使馆敢闹事
google都退出大陆好多年了,这个月连翻译都被墙了。
中共封锁互联网一直引发美国政府不满,因为违反了WTO协议,而且不让美国互联网公司赚钱。但是美国到现在也没让中共开放互联网,说白了还是没到撕破脸皮的地步。
中共封支那人的网又不是封洋大人的网,而且长期生活在支那的洋大人多少有点支化。
我一直vless+xtls,用的xray内核,几年没事了。
世界工厂不进出口真能饿死7亿人
全球经济恶化,支那注定饿死几亿人。在这种情况下当然是闭关锁国更能维持中共的统治,搞开放就变成各地造反,军阀割据了。
>>google都退出大陆好多年了,这个月连翻译都被墙了。中共封锁互联网一直引发美国政府不满,因为违反了...
中共不会强迫生活在支那的洋大人必须使用QQ微信和他们本国的亲友交流吧,只能和支人一样看抖音微博玩和平精英王者荣耀
中共不会强迫生活在支那的洋大人必须使用QQ微信和他们本国的亲友交流吧,只能和支人一样看抖音微博玩和平精英王者荣耀
如果真到全面封网那种地步,受不了的洋大人就跑,受的了的就留在支那。这次上海封城就看出来了,封城前跑的洋人,解封后才跑的洋人,一直留在支那的洋人。最后一种是最下贱的,跟支那人没什么区别,基本只用微信、抖音。
而且全面封网的时候,部分机关单位还是可以上外网的,屁民不给上而已。如果洋大人是大使馆、外资办事处,还是可以上外网的,并不冲突。毛时代也有很多老外在支那,一样可以看进口电影,支那人只能看样板戏。现在在朝鲜的外国人也是可以上外网的。
VPNGate 似乎正常,它默认使用的就是 TLS 协议。需要注意的是,只使用 VPNGate 并不安全
可以使用这种方法:https://pincong.rocks/article/45708
可以使用这种方法:https://pincong.rocks/article/45708