逗比云还是逃不过被墙的命运,既然如此那以后逗比云也就一直用被墙的旧域名 [softs.wtf] 算了。
投稿文章 | 广告合作 | Telegram 群组 / 公告频道 / 使用教程
广告

关于目前 GFW(墙) 的封锁方式TCP封锁(阻断)猜想

随心随想 Toyo 153评论
本文最后更新于 2018年10月14日 15:26 可能会因为没有更新而失效。如已失效或需要修正,请留言!

对于翻墙界来说,今年真不是个顺利年。从年初的 SSR 停更并删除项目,到后来的数次大规模封禁代理服务器,甚至发展到现在已经成为日常了(GFW 2.0),几乎每天都有人的代理服务器被墙,经常听到各个群组讨论,也是。。哎!

因本文文字较多,请配合网页右下角↘宽屏阅读 按钮(位于中间)观看,效果最佳(看不到请翻滚网页)。

好了,说正题。


简单说明

自从今年初开始,墙的封锁方式就从 全部协议封锁 改为了 TCP封锁(阻断),该封锁方式主要特征为:

  • Ping IP正常连通(ICMP协议),而 TCPing IP连接超时无回应(TCP协议)。

脑洞:这也挺好的,因为相比以前,现在可以更准确的判断服务器被墙,而不是网络、服务器问题了。 :lol:

以前你发现代理账号连不上了,你会去 Ping ,然后发现 Ping不通,接着你会怀疑是不是网络问题、服务器问题等,然后验证半天后发现:的确是被墙了。😲

而现在,你只需要 Ping IP 一下,TCPing IP 一下,就能肯定是被墙了。😥

基本上你测试你的服务器 IP 出现这种情况,99%的几率就是被墙了。剩下的 1% 就是防火墙没开放端口之类的配置问题。

TCP封锁(阻断) 简单解释:

当你的海外服务器 IP 被TCP封锁(阻断)后,你依然可以正常的向海外代理服务器发送数据(客户端连接服务端),但是海外代理服务器上的代理服务端在向你返回数据的时候,肯定是要经过墙的,而墙发现发送者IP(代理服务器)在黑名单中,于是就会阻断、拦截,这样你的客户端就收不到来自服务端的返回数据了(SSR上表现为:超时或空连)。

而目前的代理软件基本都是使用 TCP 协议传输的,而TCP协议要传输数据,则先要进行握手环节,而握手自然要有来有回,所以当墙对海外代理服务器回程TCP阻断的时候,就会导致代理客户端与服务端无法完成握手,自然也无法使用代理了。

我认为GFW的封IP原理大概是:

墙是通过分析流量特征,通过各种方法、证据来判断该链接为代理的可能性,当可能性达到不同的程度时,墙做出不同的处理。假设:

首先: 墙现在都是实时扫描检测的,检测到一个链接是代理的可能性低于10%,那么就无视。
其次: 检测到一个链接是代理的可能性高于10%,则将IP的相关信息(及收集的证据、特征等)记录到数据库中,当下次再发现这个链接时,继续去收集证据判断是否为代理,最后是代理的几率降低,则无视,是代理的几率增加,则进一步关注。
最后: 当检测到一个链接是代理的可能性高于50%的时候,可能就会考虑单独封一个端口(代理端口),这时候如果你换个端口继续做代理,那么往往很快就会所有端口被封,这就是因为墙根据你这个IP链接以往的几率判断,认为你这个IP链接是代理的可能性进一步增加,例如到了80%,所以就给你TCP所有端口封禁了。

其实,GFW之所以单独封一个端口,可能原因就是吃不准到底是不是代理,如果你很快就换了端口继续做代理,那么GFW就认为很大概率是代理,于是就可以封禁了。


如何补救?

点击展开 查看更多


如何解封?

点击展开 查看更多


如何避免被墙?

点击展开 查看更多


最后,本文你只需要关注的重点为:

  1. Goflyway、V2ray 等软件可以复活被墙IP 。
  2. 被墙IP有解封时间概念。
  3. 被墙IP的服务器,请关闭代理软件并不理服务器一段时间,有几率解封IP
  4. 被墙IP解封后,如果还要做代理,请更换代理软件,否则短时间内可能还会被墙。
  5. 墙可能会定期对被墙IP的服务器主动探测代理,所以必须关闭代理软件
  6. 日本 美国等热门地区服务器被墙几率更高,建议避开日本 美国热门地区

以上均为个人猜测(猜测+实验),不保证准确性,仅供参考。如发现不准确,请与 GFW 相关部门联系。

———— 本文章由 逗比根据地 战略合作伙伴 GFW 提供实验数据 :shock:

转载请超链接注明:逗比根据地 » 关于目前 GFW(墙) 的封锁方式TCP封锁(阻断)猜想
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

赞 (2401)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(153)个小伙伴在吐槽
  1. 宽屏,就是舒服,,,现在才发现可以,慢喜欢这套模板的,老板 窝买不、
    那个男人2018-10-18 16:22 (2小时前)回复
  2. tele的群没有lema
    11112018-10-13 22:15 (5天前)回复
  3. 大佬,借宝地提供一些信息,希望对其它墙友也有借鉴意义。坐标南方,过去一年,历经SSR被丢包,封锁,到转成v2ray+nginx+cdn。即使现在使用v2ray+nginx,已经伪装为一个完善的网站,依然发现有明显的丢包,翻墙经常中断,速度慢。之后猜测是DNS导致浏览记录泄露,再加上流量分析,墙开始丢包。用dnscrypto,情况先是有所改善,后来又恢复到和以前一样的丢包状态。最近用了stubby,将所有DNS强制使用DNS OVER TLS,发现翻墙顺畅快速,无丢包现象。由此似乎表明,墙其实会通过监控用户的DNS数据包,判断浏览网站的记录,并根据同时进行的TLS流量,判断存在TLS翻墙的行为,进而持续丢包,干扰等等。所以,强烈建议各种全面启用DNS over TLS, 这已经不仅仅是保护隐私的需要,也是隐藏VPS的需要了。
    西瓜2018-10-12 08:22 (6天前)回复
    • DNS over TLS 不会太慢吗,原生ss-win的DNS是TCP查询的,只要在pac列表里的网址DNS都不会被污染,也不会被记录。
      david2018-10-12 15:04 (6天前)回复
      • DOT的速度确实反应会稍慢,所以建议再加上DNS缓存软件。我的感觉是,只要系统有任何软件,有DNS解析请求,系统对外通信中有通过DNS端口非加密通信,则墙就会把这部分记录下来,作为访问网络的记录。如果用机器学习的方法分析,是可以认为DNS流量涉及的被墙网站,与翻墙行为存在高度关联。所以虽然SSR或者v2ray内部访问不通过DNS,然而浏览器或者其它应用软件有DNS解析的请求,这个特征还是相当明显的。一个典型的例子就是,在DNS全部加密之前,每次翻墙,我都明显能感觉到丢包加剧,延时增加。而且这个反应相当快速,几乎在30秒之内就能看到。而DNS全部加密以后,以上现象只有在大流量时才会出现丢包,且时延也还好。
        西瓜2018-10-13 22:01 (5天前)回复
        • 使用ss-win,浏览器的dns请求也会被加密tcp查询的啊,不是通过53端口udp查询的,墙没法记录的。
          david2018-10-15 00:12 (4天前)回复
  4. 我之前在服务器安装了ssr,但只是实验一下,就放在那里了。结果昨天发现网站登不上,还以为是装的https的问题。。。。实际上用代理访问正常。也是醉了。
    小错2018-09-27 13:03 回复
  5. 大佬,我昨天ss的端口也被tcp了,不过只是一个端口,其他端口没事,就感觉巨神奇。正常其实ss是基本不会被tcp来着,两三个月了第一次被摩擦,特来告知
    sevens2018-09-26 17:45 回复
    • 这种情况,如果你换个端口继续做代理,那么很快就会所以端口被封禁(我有两个美国服务器,前几个月一直都是这样,用一段时间代理端口被封,换个端口后所有端口被封,关闭代理软件一段时间后又解封了,然后循环往复)。
      Toyo2018-09-26 18:37 回复
  6. 一个域名解析多个IP,可以避免被墙。我现在一个域名解析了两个IP,到目前为止,没有被墙过。(自用的)
    Mozer2018-09-22 08:50 回复
  7. 搬瓦工上有一个用了好几年的vps,是ovz的,年头上封过几次,后来没多久就解封了一直用到现在。前几天又买了个kvm的vps,可以走cn2线路,用了2天就被封了,免费换了一次ip后用了2天又被封了,我怀疑这cn2线路是不是特别容易被封啊?
    fish2018-09-20 19:03 回复
    • 首先 日本和美国地区被墙几率高于其他地区服务器,然后在此基础上热门IDC的被墙几率会更高。
      Toyo2018-09-20 22:16 回复
  8. tcping是通的,ping也是通的,但是不挂代理ssh上不去,搭的网站17ce上测试国内都get不到东西。有谁知道是什么情况?
    土偶2018-09-08 01:40 回复
    • SSH端口能 TCPing 通吗?80 443端口能 TCPing 通吗?
      Toyo2018-09-08 12:52 回复
      • 又试了一下,tcping 不管啥端口都不通了,看来是没救了。
        土偶2018-09-10 11:44 回复
  9. 请问一下梯子在连接后可以正常访问youtube等网站,数分钟后断线,重启客户端可再次连线,同服务器上的brook,ss,v2ray等软件均有此故障,应该如何解决?
    nekochyan2018-09-07 16:52 回复
    • 我的和你是同样症状,移动网络
      palesaint2018-09-15 22:59 回复
  10. 打算用ss坚持一段时间,如果被封,就入机场等解封, 祝我好运吧
    woo2018-09-06 22:31 回复
  11. 前俩天ssh的端口被封了,不知道为啥,服务还可以正常用......
    x-men2018-09-04 16:05 回复
  12. 我美国的PT盒子的ip被TCP阻断了...主机商不支持换ip,一大堆数据难受。
    iloft2018-08-29 09:47 回复
  13. 请大佬写一个V2ray的科普文吧,这个搭建起来有点难度。
    麻花2018-08-28 20:42 回复
    • 不算太难,之前用一键脚本的,看一小时白话文教程也可以自己搭建
      woo2018-09-06 22:53 回复
  14. 使用V2ray的Shadowsocks协议,和直接使用原版Shadowsocks或者ShadowsocksR,被墙的概率是不是一样的
    2018-08-28 19:53 回复
    • 一样的,甚至还不如,如果你要用SS或SSR,那么请通过 SS SSR服务端使用,不要用其他软件带的 SS SSR功能,因为这些软件加入 SS SSR功能只是为了吸引使用 SS SSR的人来使用,实际上他们更专注于开发自己的代理协议,附带的 SS SSR等都比较古老。
      Toyo2018-08-28 20:45 回复
  15. 发现个问题,浙江联通和移动使用原版ss和r都能稳定使用。 电信用了两三天就被墙了
    xsdianeht2018-08-26 14:17 回复
  16. 遇到一个情况,ssh连不上,tcpping连ssh的端口连不上,但是Goflyway可以用。我思量了一下,前几天用ssh直接传过2个exe文件。。。
    aWonderWorld2018-08-24 16:05 回复
  17. 疫苗事件那会被封,今天发现SSH又可以连上去了,今年第三次被封一个月,然后解封的,说下我的操作,前几天先不关,每天连一次(试过偶尔抽风,有一天两天上不去的),几天都连不上,基本是封了,服务器关机,先用几天免费的,半个月或一个月之后再试一下,就有可能可以连上去了,我用的是Goflyway
    Sloan2018-08-24 09:25 回复
  18. 封不封的看人品。我和几个朋友用原版的SS-libev ,用了一年多,四个服务器没有一个被封的
    反反复复2018-08-23 13:22 回复
    • 多开几个不同IP段、不同机房的服务器搞负载均衡,并且用不同端口、不同加密协议,被墙的几率会大大降低
      lalala2018-09-09 02:46 回复
  19. 哇 讲的好详细 我能以你的文章为模版做一个视频给大家说说这个吗
    Coco2018-08-23 12:33 回复
    • 视频还是算了吧。。。普通话不好,也没做视频语音兴趣。
      Toyo2018-08-23 13:08 回复
      • 他说他做视频,征求你的同意
        xxx2018-08-31 19:43 回复
        • 偶,才发现看错了。。。那可以,只要视频里提到是本站写的就行~
          Toyo2018-08-31 20:00 回复
          • 没事!咱最喜欢有口音的人了,普通话太标准反而觉得乏味(相对于有口音的),而且那也是你独一无二的特色
            0x02018-09-10 00:52 回复
  20. 三个星期前我的一台日本的被tcp阻断,然后今天放出来了,感觉tcp阻断的时间应该不长。马上换成v2ray了,试试这次会不会能长久一些
    (·8·)2018-08-21 13:24 回复
  21. 大佬以后会写V2RAY的一键脚本吗
    kylin2018-08-20 21:19 回复
  22. 问一下大佬,是不是目前小白买那些国外大品牌的VPN是最保险的,自己搭梯子会被各种封ip,折腾下来钱也花不少~~
    一窍不通2018-08-20 10:44 回复
    • 对海外商业VPN不了解,所以不做推荐。
      Toyo2018-08-20 16:11 回复
  23. 新情况 香港gigsgigscloud 配置好了brook 刚开始没有问题 用手机端连接之后 或者说是服务建好了几分钟后 端口就closed 了,但是有开放了22端口
    www2018-08-19 19:40 回复
    • 远程ssh的时候记得用跳板,不然被墙的很快
      JohnConnot2018-09-02 10:55 回复
  24. Goflyway似乎可以被流量侦测了,,我有很多服务器,一上Goflyway就被墙
    2006bt2018-08-19 13:35 回复
    • 尝试更换其他地区服务器,日本 美国这类热门服务器被墙几率很高。实在不行上 CDN 模式,绝对墙不了你的服务器。。。
      Toyo2018-08-19 15:37 回复
  25. 我只设置白名单,特定的IP段访问。 然后通过这个IP转发SSR。所有的请求都发到这个指定的IP段 这样会不会被封?
    Z2018-08-18 03:53 回复
    • 不清楚墙具体判定代理的标准。
      Toyo2018-08-18 12:18 回复
    • 会被封,我就是这么干的,一个 IP 跑了好几年了,8.18 被封了,伤心。
      Toyo-Alias2018-08-20 10:49 回复
  26. 搬瓦工我买的一年 用了 4个月 就被封了 然后过了一个月又复活了 一直用到现在 还有一个月到期 我是再续费一年呢、??
    AKERS2018-08-17 23:35 回复
  27. 大佬!我使用的是Shadowsocks,现在还是可以浏览720P的油管,没有发现什么异常的情况,就是有时候谷歌会链接不上,ping了下IP可以通,tcping的话就超时。。不懂什么情况,能不能有什么备用防封的方法~~~
    逗哥2018-08-16 16:16 回复
    • 有,更换代理软件为 V2ray Brook Goflyway 等。
      Toyo2018-08-16 19:53 回复
      • Brook 美国ip 谷歌云服务器 ssr被封 brook被封 更换ip用几天又封,绝望了 :???:
        谷歌2018-09-14 09:09 回复
        • 建议避开美国,有效降低被墙几率。
          Toyo2018-09-14 13:22 回复
  28. 这几天我手头一批飞机R的IP失效了,暂不清楚是线路还是服务器跑路,不过我自己一个俄国鸡是线路挂了,一直走的v2的mKCP,这几天开始双向ping和trace不通,从小鸡对国内ip进行trace,部分ip到了TTK的内网就出不去了,部分能成功,看线路走的ct europe,虽然我一直只用来自己上web不视频不大流量,但看起来还是被监测了,小鸡trace hk等墙外的ip都ok。
    omg2018-08-16 13:45 回复
  29. 大佬,我问你一个问题。我有一个日本的服务器,谷歌云买的。用您的方法搭的ssr,前一个礼拜很稳。这个礼拜发现手机连上不能用,但是电脑可以。然后我就ping了一下,发现tcp被阻断了。可是tcp阻断不是都不能用了,怎么pc可以,手机不行。我的手机的iphone 用的potatso lite。谢谢!
    blogwy2018-08-16 12:44 回复
    • TCPing 测试代理端口是否通顺,TCPing 不通,Ping 通才算被墙。
      Toyo2018-08-16 20:03 回复
  30. 大佬能否了解一下WireGuard。
    paleur2018-08-15 20:29 回复
    • VPN 并不适合拿来翻墙,因为VPN的开发目的是保证数据传输安全性,而不是隐秘性,也就是你与海外服务器建立VPN隧道链接的特征特别明显,而 SS V2ray Brook 等软件就是专门为了翻墙而开发的,对于墙来说,看起来和正常流量差不多,需要费很大劲才能大概分辨,而且准确率还很低。
      Toyo2018-08-15 21:49 回复
      • 那您意思是现在都不推荐用ssr来爬梯子了吗?如果用kup+ss 会好点吗?还是直接就干脆用 v2ray 这些新东东呢?谢谢
        屋仔2018-08-16 00:34 回复
        • 总之文章里都写了,避开热门地区,尽量别使用 SS SSR等代理。
          Toyo2018-08-16 10:25 回复
  31. Brook这些有没有像sstap这种可以让其他软件、游戏也能代理的东西
    2018-08-14 21:23 回复
    • Brook 只是代理软件,没有你要的功能。
      Toyo2018-08-15 01:42 回复
      • 可以配合Proxifier实现游戏代理吧
        芒果熊2018-08-17 21:08 回复
  32. 去年搬瓦工us的被屏蔽后就买了hk的,虽然贵,但直到现在一直都没被屏蔽过,而us那个,反反复复被屏蔽了几次了...
    huajian9112018-08-12 18:37 回复
  33. Brook 可以用SSR账号不?
    acamel2018-08-12 14:29 回复
    • 当然不能,这是两种代理软件。
      Toyo2018-08-12 14:43 回复
  34. 所以按现在的状况,要么用原版ss,要么改换这类新兴协议?
    活活2018-08-12 10:04 回复
    • SSR 目前主要原因是 作者不更新了,而墙却在持续更新,此消彼长。。。
      Toyo2018-08-12 14:18 回复
1 2