本站将不再提供免翻镜像域名,有能力的请访问:[doub.io],该域名永不更换。[直连访问方法]
投稿文章 | 广告投放 | Telegram 群组 / 公告频道 / 使用教程

关于最近(01月24日后) GFW 大规模封禁 代理服务器IP 的一些猜测

随心随想 Toyo 304评论
文章目录
[显示]
本文最后更新于 2018年4月8日 20:24 可能会因为没有更新而失效。如已失效或需要修正,请留言!

以下言论均为本人猜测,无实际证据,仅供参考,请勿严究!


最新:2月24日(当天我的镜像域名被墙)开会决定了 2月26日到2月28日 将在北京举办第十九届中央委员会第三次全体会议

最新:新年初三(2月18日),GFW解封了大部分(不清楚是否是全部) 大年三十 封禁的IP,很值得怀疑偶~

最新:大年三十,GFW全体成员也没有迟到,在这喜庆的时刻给大家送来了一波大礼:封 I P ~🙈

在2018年01月24日后,大量搭建代理的服务器 IP 被 GFW 封锁,也就是被墙(国内超时、国外正常)可以通过 超级Ping 检测。

我也被墙了 十几个IP,目前正蛋疼中。


通过网友反馈、讨论的情况来看,此次IP大规模被墙事件,与上次差不多,各主流代理软件都受到了影响(Shadowsocks、ShadowsocksR、V2ray、蓝灯等),但是!比上次规模更大,更精准!

上次是 2017年10月09日 开始的,当时是临近 十九大开会,而这次则是 什么修宪法(不是很了解,说错了请告诉我),也就是俗称的敏感时期,如果按照这个趋势,那么接下来的三月,还会有个 两会召开,到时候可能又是一波大规模封锁代理服务器IP,大家要有心理准备。

由此次事件和上次可以看出,GFW还是有能力识别各主流代理软件,不过依然存在误杀或者漏掉这种情况。目前被封禁的IP只占所有代理服务器中的一部分,但是!相比上一次规模更大,更精确!

通过对比两次大规模封锁IP的事件可以得出:

  • GFW 每一次大规模封禁都是一个 封锁算法实践机会,每一次大规模实践都会 使其封锁算法更完善、更准确。
  • 以后 GFW 大规模封锁代理IP的事情肯定少不了,并且一次比一次严重。
  • 上次和此次的封禁事件中,发现有一些人的服务器没有搭建代理,依然被封IP,说明准确率还是有待提高。
  • 目前因为各种原因,使用SS SSR代理的人最多,所以目前墙主要针对 SS SSR代理封锁(当然也因为基数大,所以显得 SS SSR代理被封IP的情况多)。

通过网友反馈的数据来看,可以大胆猜测:

GFW 一出招就是大量IP被封,并不是因为出招的时候才开始检测特征封禁的,而是在出招前就在 实时的收集数据,列出可疑的IP(当发现这个 IP 的行为特征很可疑,但是却吃不准到底是不是代理服务器,那么就会持续收集数据,如果该 IP 的可疑行为特征越多,那么判断该 IP 是代理服务器的准确率就越高),然后一出招就全给封了。

可以看到这两次大规模封锁事件都是 一开始瞬间封了大量IP,然后后面就是慢慢封了(比如我两次都是一开头封了一堆IP,往后就较少再出现被封IP的情况)。

举个例子:假设一个警察,要抓一个小偷,没有具体证据,但是经常都发现他的行为很可疑,当发现可疑行为的次数越高,那么这个人是小偷的概率就越高(抓对人的准确性越高,当然在没有确凿证据前,永远都存在这个人不是小偷的可能性)。


另外,此次大规模封锁事件中,根据网友反馈,热门IDC被封锁的情况更多。

起初,我以为是因为热门IDC买的人多,搭建代理的人也多,基数大,搭建代理被封的IP也自然越多,但是最近感觉可能有所不同:

  • 我觉得 GFW 在前面说的 收集可疑行为特征 的时候,发现一些IP段(热门IDC)出现可疑行为特征的IP及次数更多,于是就划重点监测。

所以目前可能有三条路:

  1. 更换 门槛更高 的代理软件(如 V2ray ,但是不保证不会被墙,因为此次依然有 V2ray 代理IP被墙)。
  2. 更换 小众 的代理软件(如 BrookGoflyway 等,小众代理不会被墙针对性封锁,相对会安全一些)。
  3. 肉翻。

另外,有的人认为墙直接封 IP段,实际是不对的,我找了一些 热门IDC 的被墙IP段,扫段了一下并不是所有 IP 都被墙的,但是不保证墙会对热门IDC的 IP段 重点关注(主要还是 热门IDC 买的人多,搭建代理的人也多,被墙的IP也多,所以显得 热门IDC 更容易被墙一样)。

关于 IP 被封

最近有少数人被墙的 IP 解封了(当然也有又封了的),暂时不清楚什么鬼,不过可以尝试把被封 IP 的服务器上面的代理软件关闭,或许有小几率解封。

另外,这种大规模封禁 IP 的情况,往往过个一年半载就会陆续解封(否则一直封下去就成白名单了)。

很多人路由追踪后发现,路由追踪是在最后一跳(你服务器的IP处)超时的,并没有被出口处拦截。这是因为此次大规模封禁的 IP 是回程拦截,也就是:你路由追踪到最后一个节点(你服务器IP处),服务器会返回路由追踪信息到你本地,而在经过 GFW 的时候,GFW 发现这个IP存在于黑名单中,于是阻断。

所以就是说,你可以向服务器发送数据,但是服务器无法把数据发送给你。如果你不停的发送 SSR等代理软件的请求,而 SSR等代理服务端收到后 会返回数据给你,结果被 GFW 拦截。依此看,如果你不再发送 SSR 等代理软件的请求 到代理服务器(或者SSR等代理服务端关闭,也就是不再向你发送回复数据。),那么有几率解封还是有可能的。

关于 IP被封后又解封的说明

最近不少人反应,因为做代理而被GFW封禁的IP解封了,所以我初步猜测如下:

当 GFW 多次检测判断你这个 IP 是代理服务器的概率满足条件后,就会封禁 IP。而 IP 封禁后,为了避免封太多IP,所以会定期检测一下这个 IP 上面是否还有代理运行,如果没有了,那么就可能会解封 IP,但是 IP 解封了还不要高兴得太早,IP 解封后的一段时间内,GFW还会定期检查,如果你又搭建的代理继续使用(继续使用上次导致被封的代理软件),那么还有很大几率被封IP,这次被封IP,怕是解封时间会延长了。

所以,如果你的IP被解封后,建议该服务器要么不做代理了,要么更换其他的代理软件试试,例如 V2ray、Brook、Goflyway等,当然无论继续使用什么代理,都会有几率再次被封IP的,所以大家请谨慎选择。

转载请超链接注明:逗比根据地 » 关于最近(01月24日后) GFW 大规模封禁 代理服务器IP 的一些猜测
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

赞 (398)or打赏
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(304)个小伙伴在吐槽
  1. 昨天22号开始搞事情了 又换了新科技 在网上查了下 干扰tcp连接, 能ping通(icmp连接不干扰),tcp应用挂起(因为连接被阻断) DOUBI能否研究下... #FUCKGFW
    richx662018-05-23 21:14 (4天前)回复
    • 这种问题,我无法解决啊,毕竟是防火墙直接阻断TCP,不清楚UDP是否干扰,否则可以用UDP协议来翻墙,虽然感觉墙肯定也能想到。。。不过还有伪装成ICMP协议的代理隧道软件,不过因为协议局限性速度太慢了。。。
      Toyo2018-05-24 15:17 (4天前)回复
      • 大佬啊,我用你脚本搭建的ssr,就有时用一下,但是今天发现连接不上了我扫了一下我服务器端口发现22端口被关闭了,xshell也连不上了,ping的话可以ping通,我这边连不上,问了IDC厂家他们说可以连的上,我还给他们说我22端口问题,他们说解决了,但是我就是连不上啊,这个怎么办?
        memege2018-05-24 22:38 (3天前)回复
  2. 用ss不要开混淆,不要伪装站点,只开一个ss访问端口,不要开别的服务,减少访问IP数量,安全用过了三月。感觉ss这货就没特征,如果自作聪明用混淆把自己伪装成https站点会被直接干掉!另外就是多ip同时访问多端口,也会被干掉。——只是自己的一点猜测,抛砖引玉。
    jaqueline2018-04-09 15:32 回复
  3. 美国的一个IP已经解封了,决定多观望几天,考虑一下,感觉最近不会使用SSR,即使继续SSR,也会换一个协议和自定义混淆了
    Sloan2018-04-09 00:11 回复
  4. 两台vir都已经解封了……
    koswo2018-04-08 00:10 回复
  5. 突然就解封了 :neutral:
    嗷大喵2018-04-07 17:37 回复
  6. 我的两个VPS也复活了
    小敏2018-04-06 23:28 回复
  7. 今天两个vir的小鸡复活了……一月份被墙的
    sodaer2018-04-06 16:24 回复
  8. 新情况反映: 教育网 IPv6 北京的国际出口被 Qos https://www.v2ex.com/t/440687
    ransask2018-04-06 12:53 回复
  9. ssr无法连接,但是ping的话能ping通,SSH也能连得上 VPS是俄罗斯新西伯利亚的…… 不像是因为商家Openvz超售的鬼……
    koswo2018-04-04 00:18 回复
    • SSR 账号无法链接,让别人(其他网络 其他设备)试过吗?
      SSR PC客户端服务器连接统计提示什么?[错误/超时/空连]
      Toyo2018-04-04 11:33 回复
      • 没有测试PC端,我两台安卓设备一样的设置连上之后时断时续 但是看VPS的日志貌似是混淆出错了不是墙的锅…… tcprelay.py:1097 can not parse header when handling
        koswo2018-04-04 18:35 回复
      • PC提示超时
        koswo2018-04-04 19:12 回复
        • 超时意味着 客户端向服务端发送建立链接的信息,客户端没有在规定时间内收到服务端返回的握手数据,这可能是因为:
          1. 客户端 IP 或 端口错误。
          2. 客户端无法链接到服务端(服务器)。
          3. 服务端 没有运行或者其他位置问题(例如假死)。
          4. 服务器 防火墙没有开放 SSR服务端的端口放行规则。
          
          等等问题都会导致客户端提示超时。
          Toyo2018-04-05 14:58 回复
          • 1应该没有问题,设置一直没动过 2的话ping和SSH完全正常 4的话从来没改过······
            koswo2018-04-05 23:28 回复
            • 2. ping 是ICMP协议,SSH是只能证明SSH端口连接通顺,你要证明 SSR端口通顺,就需要用到 TCPing
              Toyo2018-04-06 17:35 回复
              • 受教了…… 不过我重装完半天又挂了……时断时续…… 放弃折腾……
                koswo2018-04-06 23:53 回复
              • 找到问题所在了,使用tls1.2_ticket_auth时无法使用,换成plain就正常了……这可能是什么问题……
                koswo2018-04-12 00:59 回复
                • 无法判断,我并不懂网络方面编程方面的问题,只能解决一些简单的问题。
                  不过也有可能是因为 被干扰导致的。
                  Toyo2018-04-12 01:06 回复
          • 重装了VPS,已经恢复正常
            koswo2018-04-06 11:15 回复
            • SSR android版有一个Bug,导致tls1.2_ticket_auth不能和auth_chain_*同时使用,建议换SSRR客户端
              null2018-05-13 13:12 回复
1 2 3 4