目前的情况
除国内的网站加载较为缓慢之外,其余那些封锁措施较为轻微的网站可以直接访问
例如:V2EX Discord E-Hentai ExHentai
封锁措施较为严格的网站会直接显示:ERR_CONNECTION_RESET
例如:Pixiv
预期之外的情况
部分正常网站开始无法访问
例如:Github以及Steam
均显示ERR_CONNECTION_TIMED_OUT
此时在 Chrome 设置中关闭使用安全 DNS 则恢复正常,以上两个网站可以正常加载访问.
预期目标
能够以牺牲一部分访问和加载速度为前提,换取更高的访问能力
问题来了:该如何对以上问题进行排查和解决?
希望获得解答
另外
测试以上内容时,网关和客户端均无任何代理设置,且在 Windows 网络适配器中关闭 ipv6 协议仍能得到以上结果
12 条回复 • 2025-09-24 03:26:20 +08:00
 |
2
tes286 1 天前
https://www.cloudflare.com/zh-cn/learning/ssl/what-is-encrypted-sni/
大概是 esni 发力了。esni 需要 https 类型 dns 记录,国内的 local-dns 大概会过滤掉。只是 sni 阻断的网站当然就能联通了。 不过这个方法不太稳定,也支持有限(目前仅观察到 cloudflare 大量部署了 esni ,也就是只能连到 cloudflare 上的网站,并且网站所有者没关掉这个功能),且需客户端支持。 观察 https://<domain>/cdn-cgi/trace 中的 sni 字段,一般是 sni=plaintext 或者 sni=encrypted ,分别对应 esni 是否启用。 |
 |
3
JustBeFree OP |
 |
4
Lentin 1 天前 via iPhone
@JustBeFree 因为 github 被单独写了 ip 策略 esni 起不到作用,gfw 没有全量覆盖 cloudflare 的 cdn ip 地址,x.com 同理也是被针对 ip 封锁
|
|
5
JustBeFree OP @Lentin 这个结论有任何依据吗?Github 和 Steam 在使用 cloudflare 的 DOH 之前能够访问,使用之后反而不能访问了,GFW 没有任何理由去阻断能够正常访问的网站的 CDN ip 地址吧.
|
|
6
Lentin 21 小时 41 分钟前 via iPhone
@JustBeFree 看看 doh 获取的 ip 是多少?手动 curl 构建请求看看查了一下 github 没有启用 ech 。esni 是废案了
|
|
7
JustBeFree OP @Lentin wireshark 抓包看了,ip 是 cloudflare 数据中心的广播 ip,v4 和 v6 都是,都是可以连通的,但现在 steam 又可以访问了,github 依然无法访问.非常奇怪.而且刚刚看了一下 https://e-hentai.org/cdn-cgi/trace,能够访问应该靠的是 http3,sni 那里是 plaintext,说明 ech 没有成功启用.
|
 |
8
bollld607 18 小时 7 分钟前 via Android
Github 和 Steam 的访问异常是 GFW 的间歇性干扰,是针对 IP 的,你用哪款 DNS 都没用,参见:
https://v2ex.com/t/758568 https://v2ex.com/t/824179 |
|
9
JustBeFree OP @bollld607 参考我提供的内容,关掉安全 DNS 立马可以正常访问且速度相当快,这与间歇性干扰的特征不符合.
|
 |
10
taikobo 10 小时 6 分钟前 via Android
这个逻辑推理一下就行了
不使用 doh 时,返回的 IP 没有被墙 使用 doh 返回的 IP 被墙了呗 墙的具体原理不清楚,大概方法不就那几种,dns 污染,ip 封锁,端口封锁,特定条件 tcp rst 之类的 |
|
11
taikobo 10 小时 1 分钟前 via Android
另外你的路由器如果有 cache ,但是不 cache type65 只 cache A 和 AAAA 记录的话,会导致首次访问使用 ech 后续访问不使用 ech
|
|
12
taikobo 9 小时 58 分钟前 via Android
Dnsmasq 2.88 还是 2.86 之后可以用 --cache-rr option 来制定 cache 类型
|
Select Language