V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
xuangoer666
V2EX  ›  VPS

分享一次被墙

  •  1
     
  •   xuangoer666 · 2022-10-04 18:09:16 +08:00 via Android · 23126 次点击
    这是一个创建于 810 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大概一个月以前买了一个搬瓦工的 cn2gt 洛杉矶 用来搞魔法。

    vmess+tls+伪装网站

    端口是 39000 那一段

    昨天下午发现用了 tls 的魔法全部是 context deadline exceeded 。没用 tls 的则正常访问,排查后没找到原因。(服务器时间准确) 今天早上服务器完全被墙。

    一个月里一共只用了 6g 流量。(和另外两个朋友一起用)。

    感觉自己没什么纰漏啊,墙已经进化了那么多了吗?

    79 条回复    2022-10-29 17:49:03 +08:00
    jimmy980352
        1
    jimmy980352  
       2022-10-04 18:42:43 +08:00
    应该是 433 端口被封了
    HH6633
        2
    HH6633  
       2022-10-04 18:43:17 +08:00 via Android   ❤️ 3
    昨天是墙是历史新高,挂了老多
    EastLord
        3
    EastLord  
       2022-10-04 18:53:27 +08:00   ❤️ 1
    我套了 cdn 目前还好
    mineralsalt
        4
    mineralsalt  
       2022-10-04 18:54:03 +08:00   ❤️ 5
    感觉不是墙进化了, 而是采用的最最原始的手段. 才不管你什么协议, 未备案的大流量统统给你封了
    greatbody
        5
    greatbody  
       2022-10-04 18:54:23 +08:00 via Android
    还是走 cdn 比较稳。
    SenLief
        6
    SenLief  
       2022-10-04 18:57:52 +08:00 via iPhone
    我的瓦工 ss 已经 2 年了,一直很稳定。。。
    xuangoer666
        7
    xuangoer666  
    OP
       2022-10-04 19:13:03 +08:00 via Android
    @jimmy980352 全封了
    xuangoer666
        8
    xuangoer666  
    OP
       2022-10-04 19:14:13 +08:00 via Android
    @EastLord 请问套的什么 cdn 呢 cloudflare 感觉贼慢
    EastLord
        9
    EastLord  
       2022-10-04 19:16:43 +08:00
    @xuangoer666 我用的 cloudfront ,然后通过工具自选 ip https://github.com/XIU2/CloudflareSpeedTest
    leavic
        10
    leavic  
       2022-10-04 19:18:51 +08:00
    用一键包安装的吗?
    xuangoer666
        11
    xuangoer666  
    OP
       2022-10-04 19:20:52 +08:00 via Android
    @leavic 对 x-ui
    leavic
        12
    leavic  
       2022-10-04 19:23:05 +08:00
    @xuangoer666 脚本地址发来看看?
    xuangoer666
        13
    xuangoer666  
    OP
       2022-10-04 19:26:24 +08:00 via Android
    @leavic github com/vaxilu/x-ui
    这是原项目
    leavic
        14
    leavic  
       2022-10-04 19:58:05 +08:00
    你面板的 http 端口是怎么处理的?
    xuangoer666
        15
    xuangoer666  
    OP
       2022-10-04 20:02:47 +08:00 via Android
    @leavic 面板的 http 是随便找了个端口,80 和 443 有伪装网站
    Cavolo
        16
    Cavolo  
       2022-10-04 20:04:52 +08:00
    7 台全部正常
    leavic
        17
    leavic  
       2022-10-04 20:09:28 +08:00
    @xuangoer666 这不就是最强的特征吗?我要是没猜错的话你面板的登录页面是默认没改过的吧。
    一台机器有 80/443 端口和另一个 http 端口,那个 http 端口还跑着 x-ui 的登录页面,不墙你墙谁啊。
    xuangoer666
        18
    xuangoer666  
    OP
       2022-10-04 20:12:17 +08:00 via Android
    @Cavolo 请问有什么伪装手段呢?
    xuangoer666
        19
    xuangoer666  
    OP
       2022-10-04 20:15:24 +08:00 via Android
    @leavic 面板登录界面背景是随机的呀也不能自己改。如果不这么弄,把面板放 80 443 不更明显
    Cavolo
        20
    Cavolo  
       2022-10-04 20:19:41 +08:00 via iPhone   ❤️ 1
    @xuangoer666 首先保证 ip 干净没有前科,其次 tls 现在看来是必须的,但是 ws 大可不必。然后 trojan ,vless 这两个里面选就差不多了
    Cavolo
        21
    Cavolo  
       2022-10-04 20:20:01 +08:00 via iPhone
    @Cavolo 我甚至不做回落
    cue
        22
    cue  
       2022-10-04 20:30:31 +08:00
    自建的昨天挂了,今天早上换了个端口,下午又挂了,晚上又换了个。之前光是 kcp ,现在加了 dtls
    xuangoer666
        23
    xuangoer666  
    OP
       2022-10-04 20:36:21 +08:00 via Android
    @cue 祝你好运
    IvanLi127
        24
    IvanLi127  
       2022-10-04 21:53:14 +08:00 via Android
    昨天早上 443 端口 gg 了,原因不明。。。怀疑是宁可错杀,也不放过 QAQ
    xuangoer666
        25
    xuangoer666  
    OP
       2022-10-04 21:58:08 +08:00 via Android
    @IvanLi127 祝你好运 别像我先被墙端口,然后又墙 ip😡
    fuxkcsdn
        26
    fuxkcsdn  
       2022-10-04 22:02:32 +08:00
    看来不是个例啊,我的 帮瓦工昨天早上 11 点半左右 443 端口也被封了
    目前套 cf cdn 先顶着
    看来是宁可错杀不错过了,毕竟快 20 大了
    joesonw
        27
    joesonw  
       2022-10-04 22:05:01 +08:00 via iPhone
    bwg 有换 ip 服务的,不过收费。
    xuangoer666
        28
    xuangoer666  
    OP
       2022-10-04 22:09:03 +08:00 via Android
    @joesonw 貌似 60 一次 多换几次 ip 都比服务器贵了。。。据说过了敏感期会自动解封。打算再等等。
    showgood163
        29
    showgood163  
       2022-10-04 22:13:31 +08:00
    既然是伪装网站,为啥不用 443 端口?

    自建代理在 443 端口,长期使用,最开始用 vless+xtls ,限速后换用 trojan+xtls ,现在用 naiveproxy ,目前问题不大
    xuangoer666
        30
    xuangoer666  
    OP
       2022-10-04 22:18:06 +08:00 via Android
    @showgood163 听说伪装到 443 容易被识别,然后就用 443 伪装一个用来 ftp 的网站,数据走 39000 ( 39000 那一段貌似是 ftp 用的)。

    谢谢指点
    IvanLi127
        31
    IvanLi127  
       2022-10-04 22:23:30 +08:00 via Android
    @xuangoer666 我还有个别的端口做内网穿透,还没掉,都不敢动了。听到 op 这情况,我更不敢动了。


    @showgood163 #29 vless+xtls+443 已挂的我哭着路过,真实网站都保不住
    xuangoer666
        32
    xuangoer666  
    OP
       2022-10-04 22:27:37 +08:00 via Android
    @IvanLi127 先避避风头吧,最好想办法留个备用。
    showgood163
        33
    showgood163  
       2022-10-04 22:37:02 +08:00
    @xuangoer666

    https://www.v2ex.com/t/884527 这个帖里确实有人说 443 端容易被干

    我在用 vless 和 trojan 的时候都是没伪装的,用到后期确实会被限速或者断连,让人很不爽

    naiveproxy 能自带伪装,还能复用 443 端,应该问题没那么大了吧。。
    showgood163
        34
    showgood163  
       2022-10-04 22:39:54 +08:00
    @IvanLi127

    有伪装还保不住实属蛋疼了
    jfdnet
        35
    jfdnet  
       2022-10-04 23:06:34 +08:00
    用下来还是 trojan 最稳
    allpass
        36
    allpass  
       2022-10-05 00:11:26 +08:00
    2 个日本的 ORACLE VPS ,一个就是用了 XUI ,一个没用。 2 个都是默认设置,没搞什么复杂的混绕之类。XUI 那个昨天 11 点左右封了(和上几楼的人同一时间)。另外一个不是 XUI 的没封(但好像也不是很稳定)。
    SekiBetu
        37
    SekiBetu  
       2022-10-05 00:16:37 +08:00
    @showgood163 naiveproxy 主要是用的人少,虽然客户端是复用了 chrome 的网络栈,但并没有隐匿到哪儿去
    moliniao
        38
    moliniao  
       2022-10-05 00:25:56 +08:00
    搞个机场吧
    niantoudeyisi
        39
    niantoudeyisi  
       2022-10-05 00:38:48 +08:00 via Android
    昨天 老多人都挂了
    showgood163
        40
    showgood163  
       2022-10-05 01:12:33 +08:00
    @SekiBetu

    我看到你在 net4people 里有回复

    对于“封锁与 client hello 指纹有关”的分析结果,你怎么看?

    对于“naiveproxy 并没有隐匿到哪儿去”,你能具体的从技术角度解释一下吗?
    a9k1n9
        41
    a9k1n9  
       2022-10-05 07:43:05 +08:00 via Android   ❤️ 1
    @showgood163 现阶段主要是针对 tls(无法识别),443 基本都是 https 标配,用的多封的多;其它端口也有被封的。
    tg 有人换端口后,除了 22 端口以外全封了。。。
    makelove
        42
    makelove  
       2022-10-05 07:52:27 +08:00
    现在都是用 tls+443 来伪装,有没有用 80 端口流量编码成明文流量伪装的工具
    leonshaw
        43
    leonshaw  
       2022-10-05 08:50:52 +08:00
    @makelove 熵太低
    qingmuhy0
        44
    qingmuhy0  
       2022-10-05 10:27:05 +08:00   ❤️ 2
    暂时还是 Trojan+GRPC+NGINX ,没被墙,如果被墙的话就准备在路由器上部署 naiveproxy 然后用 V2RAY 中转成传统 Vmess 节点了,这样子既解决了 naiveproxy 的客户端少的兼容性问题(还是 Clash 用着舒服),在过墙这一段也达到了所谓“最强”伪装吧。

    但是因为现在用 Trojan 也没有被墙,所以不是很有动力去折腾这个部署。
    keleo030
        45
    keleo030  
       2022-10-05 10:49:35 +08:00
    @qingmuhy0
    楼上这位朋友好,我是刚把服务器换了 ip ,协议也换成 trojan+grpc+tls 的,只用了 1 天就又被封了。
    xuangoer666
        46
    xuangoer666  
    OP
       2022-10-05 11:16:38 +08:00 via Android
    @keleo030 可能换的 ip 有前科?
    Wishprophet
        47
    Wishprophet  
       2022-10-05 11:37:27 +08:00
    有一次把服务器的订阅微信分享给别人,马上 ip 就被封了
    ShunYea
        48
    ShunYea  
       2022-10-05 11:45:36 +08:00 via Android
    @xuangoer666 我的其中一台昨天也刚换到 naive ,据说目前最安全的方式,先用一段时间观望一下。
    cjie975
        49
    cjie975  
       2022-10-05 12:27:47 +08:00
    @keleo030 我也是换了 ip,隔天就被封了,协议啥的都没动
    Marionic0723
        50
    Marionic0723  
       2022-10-05 12:31:35 +08:00
    我却恰恰相反,OPENVPN 直球连接,居然不阻断了,看 YouTube 4K ,居然毛事没有,一个月少说 300G 流量,我还求他给我封了,套 cdn 中转。经常有国内的肉鸡来爆破 SSH 。
    qingmuhy0
        51
    qingmuhy0  
       2022-10-05 12:43:06 +08:00 via iPhone
    @keleo030 所以有时候真的很难让人琢磨,有可能是分 IP 段的吧,毕竟全过滤可能算力不够……协议这种东西,出问题再换理论更好的吧。能用就先用着。
    123abcdf11345
        52
    123abcdf11345  
       2022-10-05 13:55:49 +08:00
    [Large scale blocking of TLS-based censorship circumvention tools in China ]( https://github.com/net4people/bbs/issues/129) 10 月 3 号开始 tls 就被大规模阻断了,不过我的自建还没被封,vmess+tls ,80 和 443 有正常网站,端口是 6000 多
    SekiBetu
        53
    SekiBetu  
       2022-10-05 15:07:21 +08:00   ❤️ 1
    @showgood163 naive 作者,也就是那个 gfw report ,认为是 tls 指纹暴露了客户端,所以他认为 naive 不会被检测到,但我认为是 tls over tls 这种奇葩的一般人不会去使用的方式暴露了,tls over tls 肯定会产生很多的特征
    showgood163
        54
    showgood163  
       2022-10-05 15:42:59 +08:00 via Android
    @SekiBetu

    说的不对请指正

    naive 作者是 gfw report ?明面上看不是一个人啊。。

    tls over tls 这种方式应该是 vless vmess 在用,naiveproxy 应该没在用。
    然而,对于墙来说,双层 tls 中的外层只是能检测,但不能解密;隔着两层 tls 检测特征是不是难了点
    SekiBetu
        55
    SekiBetu  
       2022-10-05 17:08:59 +08:00   ❤️ 1
    @showgood163 正常人会用双层 tls 吗,检测出来就直接封了
    xuangoer666
        56
    xuangoer666  
    OP
       2022-10-05 22:02:57 +08:00 via Android
    @SekiBetu 感觉有道理,我就是用了 tls 的端口先被墙,没用的没被墙。然后换了一个端口继续 tls 然后 IP 就被墙了。
    qingmuhy0
        57
    qingmuhy0  
       2022-10-05 22:44:45 +08:00   ❤️ 1
    idssc
        58
    idssc  
       2022-10-05 23:49:48 +08:00
    防火墙只暴露 80 ,443 ,sshd 端口,管理界面走 localhost 或者路径反代,协议 tls 就行。你们只是画蛇添足被封了
    showgood163
        59
    showgood163  
       2022-10-06 00:09:39 +08:00 via Android
    @qingmuhy0 是的。我之前不知道 tls on tls 能被这样检测到。
    Reboot93
        60
    Reboot93  
       2022-10-06 16:46:36 +08:00 via Android
    同机房,也是 443 被封了,也是 x-ui ,不过我 x-ui 面板设置的走 nginx 反代套了 https
    Reboot93
        61
    Reboot93  
       2022-10-06 16:47:55 +08:00 via Android
    不过有台国内云服务器可以正常访问 443 ,用它跑的中转也能通
    xuangoer666
        62
    xuangoer666  
    OP
       2022-10-06 17:04:27 +08:00 via Android
    @Reboot93 请问是哪的服务器?
    wxxxcxx
        63
    wxxxcxx  
       2022-10-06 21:02:22 +08:00
    我的手动搭建的 trojan-go 有伪装站,也被封了 443 了😭
    everyx
        64
    everyx  
       2022-10-06 21:21:09 +08:00
    感觉是随机阻断,时不时就连不通 囧
    xuangoer666
        65
    xuangoer666  
    OP
       2022-10-06 21:31:13 +08:00 via Android
    感觉就是 57 说的 tls on tls 很容易被识别
    Reboot93
        66
    Reboot93  
       2022-10-07 01:03:28 +08:00 via Android
    @xuangoer666 腾讯云上海
    krixaar
        67
    krixaar  
       2022-10-07 10:24:26 +08:00
    感觉就是随机阻断,我就 Lightsail 的 IP 被断了,换个地址的事儿,其它的没任何问题。
    vless 、vmess 、trojan 都有,想看哪个先被干掉,结果是 Lightsail 东京的断了,感觉还不是检测而是地址段误伤。
    xuangoer666
        68
    xuangoer666  
    OP
       2022-10-07 10:27:06 +08:00 via Android
    有一说一,腾讯云轻量还挺稳的,跟搬瓦工那台的是一样的协议,至今仍然坚挺。网速也不错。
    AnroZ
        69
    AnroZ  
       2022-10-07 11:34:29 +08:00
    今早也发现我的服务器除了 22 ,其它端口都被封了( 80 ,443 ,...,都挂了)。赖得换 IP 了,用 ssh 代理用一段时间试试,看看 22 端口会不会也被封掉。
    suweny9
        70
    suweny9  
       2022-10-07 13:03:21 +08:00
    最近被封端口绝大多数都是用了 tls 的?,今天看了大神分析。目前,代理服务 tls 的服务端指纹 JARM 特征已经是非常明显了,要规避这一问题,可以使用 nginx 反代到代理端口,从而将服务端的指纹变成 Nginx 的指纹进行伪装,另外,客户端 TLS 握手的特征不知道有没有暴露特征,也不知道该如何优化。
    slwl
        71
    slwl  
       2022-10-08 07:39:29 +08:00
    同 xui ,443 被封了,有没有什么解决方案呢
    HFX3389
        72
    HFX3389  
       2022-10-08 21:13:52 +08:00
    @suweny9
    @qingmuhy0
    @Cavolo
    @showgood163
    这有一个项目 https://github.com/salesforce/jarm 可以获取 JARM 的特征然后在一些网络资产搜索引擎甚至丢 Google 上搜索可以搜到很多相同的 JARM ,我找过一个 trojan 服务端的 JARM 一搜,有大量的 IP 都在用而且直接访问 IP(80 端口)就可以看到一个常见的“管理平台”或者一看就知道是搭的假站(主页是模板、电话号码和邮箱都没改),改为 HTTPS 立马域名就出来了,看到这些网站和 IP 都可以直接 ban 了,一句话都不用多说的...
    Cavolo
        73
    Cavolo  
       2022-10-09 00:12:09 +08:00 via iPhone
    @HFX3389 trojan-web 😂
    qingmuhy0
        74
    qingmuhy0  
       2022-10-09 09:06:45 +08:00
    @HFX3389 我的主页是内容充实的博客,而且前置是 nginx ,我自己查过 jarm ,都是 nginx ,没啥区别度。除了 tls with tls 暂时不好解决外,我感觉我暂时的配置是完美的。
    xuangoer666
        75
    xuangoer666  
    OP
       2022-10-10 16:49:48 +08:00 via Android
    @qingmuhy0 vless 协议貌似有一个选项可以自动识别 tls 内容,不使用 tls 。(即使伪装再好流量太大估计也不行)。
    qingmuhy0
        76
    qingmuhy0  
       2022-10-10 17:14:10 +08:00
    @xuangoer666 其实问题都不大,我用的是 AWS 家的轻量,IP 地址是可以随意切换的。
    sqybi
        77
    sqybi  
       2022-10-20 15:33:10 +08:00
    虽然看起来很像 TLS on TLS 的问题,但迷惑的是我有两台完全不用的服务器也被封了端口,理论上应该一点流量都没有,切过去第一次连接就直接挂了,换端口才行
    xuangoer666
        78
    xuangoer666  
    OP
       2022-10-20 17:16:56 +08:00 via Android
    10 月 19 日晚,一台几乎没有流量,使用 vless 开启 xtls 的腾讯新加坡轻量被墙端口。由此 jarm 或是问题根源。
    a88
        79
    a88  
       2022-10-29 17:49:03 +08:00 via Android
    两个港鸡被封只能 cf 潜水苟活了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1531 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:39 · PVG 00:39 · LAX 08:39 · JFK 11:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.