通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
› DigitalOcean - SSD Cloud Servers
这是一个创建于 773 天前的主题,其中的信息可能已经有所发展或是发生改变。
大概一个月以前买了一个搬瓦工的 cn2gt 洛杉矶 用来搞魔法。
vmess+tls+伪装网站
端口是 39000 那一段
昨天下午发现用了 tls 的魔法全部是 context deadline exceeded 。没用 tls 的则正常访问,排查后没找到原因。(服务器时间准确) 今天早上服务器完全被墙。
一个月里一共只用了 6g 流量。(和另外两个朋友一起用)。
感觉自己没什么纰漏啊,墙已经进化了那么多了吗?
 |
1
jimmy980352 2022-10-04 18:42:43 +08:00
应该是 433 端口被封了
|
 |
2
HH6633 2022-10-04 18:43:17 +08:00 via Android  3
昨天是墙是历史新高,挂了老多
|
 |
3
EastLord 2022-10-04 18:53:27 +08:00 1
我套了 cdn 目前还好
|
 |
4
mineralsalt 2022-10-04 18:54:03 +08:00 5
感觉不是墙进化了, 而是采用的最最原始的手段. 才不管你什么协议, 未备案的大流量统统给你封了
|
 |
5
greatbody 2022-10-04 18:54:23 +08:00 via Android
还是走 cdn 比较稳。
|
 |
6
SenLief 2022-10-04 18:57:52 +08:00 via iPhone
我的瓦工 ss 已经 2 年了,一直很稳定。。。
|
 |
7
xuangoer666 OP @jimmy980352 全封了
|
|
8
xuangoer666 OP @EastLord 请问套的什么 cdn 呢 cloudflare 感觉贼慢
|
|
9
EastLord 2022-10-04 19:16:43 +08:00
@xuangoer666 我用的 cloudfront ,然后通过工具自选 ip https://github.com/XIU2/CloudflareSpeedTest
|
 |
10
leavic 2022-10-04 19:18:51 +08:00
用一键包安装的吗?
|
|
11
xuangoer666 OP @leavic 对 x-ui
|
|
12
leavic 2022-10-04 19:23:05 +08:00
@xuangoer666 脚本地址发来看看?
|
|
13
xuangoer666 OP @leavic github com/vaxilu/x-ui
这是原项目 |
|
14
leavic 2022-10-04 19:58:05 +08:00
你面板的 http 端口是怎么处理的?
|
|
15
xuangoer666 OP @leavic 面板的 http 是随便找了个端口,80 和 443 有伪装网站
|
 |
16
Cavolo 2022-10-04 20:04:52 +08:00
7 台全部正常
|
|
17
leavic 2022-10-04 20:09:28 +08:00
@xuangoer666 这不就是最强的特征吗?我要是没猜错的话你面板的登录页面是默认没改过的吧。
一台机器有 80/443 端口和另一个 http 端口,那个 http 端口还跑着 x-ui 的登录页面,不墙你墙谁啊。 |
|
18
xuangoer666 OP @Cavolo 请问有什么伪装手段呢?
|
|
19
xuangoer666 OP @leavic 面板登录界面背景是随机的呀也不能自己改。如果不这么弄,把面板放 80 443 不更明显
|
|
20
Cavolo 2022-10-04 20:19:41 +08:00 via iPhone 1
@xuangoer666 首先保证 ip 干净没有前科,其次 tls 现在看来是必须的,但是 ws 大可不必。然后 trojan ,vless 这两个里面选就差不多了
|
 |
22
cue 2022-10-04 20:30:31 +08:00
自建的昨天挂了,今天早上换了个端口,下午又挂了,晚上又换了个。之前光是 kcp ,现在加了 dtls
|
|
23
xuangoer666 OP @cue 祝你好运
|
 |
24
IvanLi127 2022-10-04 21:53:14 +08:00 via Android
昨天早上 443 端口 gg 了,原因不明。。。怀疑是宁可错杀,也不放过 QAQ
|
|
25
xuangoer666 OP @IvanLi127 祝你好运 别像我先被墙端口,然后又墙 ip😡
|
 |
26
fuxkcsdn 2022-10-04 22:02:32 +08:00
看来不是个例啊,我的 帮瓦工昨天早上 11 点半左右 443 端口也被封了
目前套 cf cdn 先顶着 看来是宁可错杀不错过了,毕竟快 20 大了 |
 |
27
joesonw 2022-10-04 22:05:01 +08:00 via iPhone
bwg 有换 ip 服务的,不过收费。
|
|
28
xuangoer666 OP @joesonw 貌似 60 一次 多换几次 ip 都比服务器贵了。。。据说过了敏感期会自动解封。打算再等等。
|
 |
29
showgood163 2022-10-04 22:13:31 +08:00
既然是伪装网站,为啥不用 443 端口?
自建代理在 443 端口,长期使用,最开始用 vless+xtls ,限速后换用 trojan+xtls ,现在用 naiveproxy ,目前问题不大 |
|
30
xuangoer666 OP |
|
31
IvanLi127 2022-10-04 22:23:30 +08:00 via Android
@xuangoer666 我还有个别的端口做内网穿透,还没掉,都不敢动了。听到 op 这情况,我更不敢动了。
@showgood163 #29 vless+xtls+443 已挂的我哭着路过,真实网站都保不住 |
|
32
xuangoer666 OP @IvanLi127 先避避风头吧,最好想办法留个备用。
|
|
33
showgood163 2022-10-04 22:37:02 +08:00
@xuangoer666
https://www.v2ex.com/t/884527 这个帖里确实有人说 443 端容易被干 我在用 vless 和 trojan 的时候都是没伪装的,用到后期确实会被限速或者断连,让人很不爽 naiveproxy 能自带伪装,还能复用 443 端,应该问题没那么大了吧。。 |
|
34
showgood163 2022-10-04 22:39:54 +08:00
|
 |
35
jfdnet 2022-10-04 23:06:34 +08:00
用下来还是 trojan 最稳
|
 |
36
allpass 2022-10-05 00:11:26 +08:00
2 个日本的 ORACLE VPS ,一个就是用了 XUI ,一个没用。 2 个都是默认设置,没搞什么复杂的混绕之类。XUI 那个昨天 11 点左右封了(和上几楼的人同一时间)。另外一个不是 XUI 的没封(但好像也不是很稳定)。
|
 |
37
SekiBetu 2022-10-05 00:16:37 +08:00
@showgood163 naiveproxy 主要是用的人少,虽然客户端是复用了 chrome 的网络栈,但并没有隐匿到哪儿去
|
 |
38
moliniao 2022-10-05 00:25:56 +08:00
搞个机场吧
|
 |
39
niantoudeyisi 2022-10-05 00:38:48 +08:00 via Android
昨天 老多人都挂了
|
|
40
showgood163 2022-10-05 01:12:33 +08:00
@SekiBetu
我看到你在 net4people 里有回复 对于“封锁与 client hello 指纹有关”的分析结果,你怎么看? 对于“naiveproxy 并没有隐匿到哪儿去”,你能具体的从技术角度解释一下吗? |
 |
41
a9k1n9 2022-10-05 07:43:05 +08:00 via Android 1
@showgood163 现阶段主要是针对 tls(无法识别),443 基本都是 https 标配,用的多封的多;其它端口也有被封的。
tg 有人换端口后,除了 22 端口以外全封了。。。 |
 |
42
makelove 2022-10-05 07:52:27 +08:00
现在都是用 tls+443 来伪装,有没有用 80 端口流量编码成明文流量伪装的工具
|
 |
44
qingmuhy0 2022-10-05 10:27:05 +08:00 2
暂时还是 Trojan+GRPC+NGINX ,没被墙,如果被墙的话就准备在路由器上部署 naiveproxy 然后用 V2RAY 中转成传统 Vmess 节点了,这样子既解决了 naiveproxy 的客户端少的兼容性问题(还是 Clash 用着舒服),在过墙这一段也达到了所谓“最强”伪装吧。
但是因为现在用 Trojan 也没有被墙,所以不是很有动力去折腾这个部署。 |
 |
45
keleo030 2022-10-05 10:49:35 +08:00
@qingmuhy0
楼上这位朋友好,我是刚把服务器换了 ip ,协议也换成 trojan+grpc+tls 的,只用了 1 天就又被封了。 |
|
46
xuangoer666 OP @keleo030 可能换的 ip 有前科?
|
 |
47
Wishprophet 2022-10-05 11:37:27 +08:00
有一次把服务器的订阅微信分享给别人,马上 ip 就被封了
|
 |
48
ShunYea 2022-10-05 11:45:36 +08:00 via Android
@xuangoer666 我的其中一台昨天也刚换到 naive ,据说目前最安全的方式,先用一段时间观望一下。
|
 |
50
Marionic0723 2022-10-05 12:31:35 +08:00
我却恰恰相反,OPENVPN 直球连接,居然不阻断了,看 YouTube 4K ,居然毛事没有,一个月少说 300G 流量,我还求他给我封了,套 cdn 中转。经常有国内的肉鸡来爆破 SSH 。
|
|
51
qingmuhy0 2022-10-05 12:43:06 +08:00 via iPhone
@keleo030 所以有时候真的很难让人琢磨,有可能是分 IP 段的吧,毕竟全过滤可能算力不够……协议这种东西,出问题再换理论更好的吧。能用就先用着。
|
 |
52
123abcdf11345 2022-10-05 13:55:49 +08:00
[Large scale blocking of TLS-based censorship circumvention tools in China ]( https://github.com/net4people/bbs/issues/129) 10 月 3 号开始 tls 就被大规模阻断了,不过我的自建还没被封,vmess+tls ,80 和 443 有正常网站,端口是 6000 多
|
|
53
SekiBetu 2022-10-05 15:07:21 +08:00 1
@showgood163 naive 作者,也就是那个 gfw report ,认为是 tls 指纹暴露了客户端,所以他认为 naive 不会被检测到,但我认为是 tls over tls 这种奇葩的一般人不会去使用的方式暴露了,tls over tls 肯定会产生很多的特征
|
|
54
showgood163 2022-10-05 15:42:59 +08:00 via Android
@SekiBetu
说的不对请指正 naive 作者是 gfw report ?明面上看不是一个人啊。。 tls over tls 这种方式应该是 vless vmess 在用,naiveproxy 应该没在用。 然而,对于墙来说,双层 tls 中的外层只是能检测,但不能解密;隔着两层 tls 检测特征是不是难了点 |
|
55
SekiBetu 2022-10-05 17:08:59 +08:00 1
@showgood163 正常人会用双层 tls 吗,检测出来就直接封了
|
|
56
xuangoer666 OP @SekiBetu 感觉有道理,我就是用了 tls 的端口先被墙,没用的没被墙。然后换了一个端口继续 tls 然后 IP 就被墙了。
|
|
57
qingmuhy0 2022-10-05 22:44:45 +08:00 1
|
 |
58
idssc 2022-10-05 23:49:48 +08:00
防火墙只暴露 80 ,443 ,sshd 端口,管理界面走 localhost 或者路径反代,协议 tls 就行。你们只是画蛇添足被封了
|
|
59
showgood163 2022-10-06 00:09:39 +08:00 via Android
@qingmuhy0 是的。我之前不知道 tls on tls 能被这样检测到。
|
 |
60
Reboot93 2022-10-06 16:46:36 +08:00 via Android
同机房,也是 443 被封了,也是 x-ui ,不过我 x-ui 面板设置的走 nginx 反代套了 https
|
|
61
Reboot93 2022-10-06 16:47:55 +08:00 via Android
不过有台国内云服务器可以正常访问 443 ,用它跑的中转也能通
|
|
62
xuangoer666 OP @Reboot93 请问是哪的服务器?
|
 |
63
wxxxcxx 2022-10-06 21:02:22 +08:00
我的手动搭建的 trojan-go 有伪装站,也被封了 443 了😭
|
 |
64
everyx 2022-10-06 21:21:09 +08:00
感觉是随机阻断,时不时就连不通 囧
|
|
65
xuangoer666 OP 感觉就是 57 说的 tls on tls 很容易被识别
|
|
66
Reboot93 2022-10-07 01:03:28 +08:00 via Android
@xuangoer666 腾讯云上海
|
 |
67
krixaar 2022-10-07 10:24:26 +08:00
感觉就是随机阻断,我就 Lightsail 的 IP 被断了,换个地址的事儿,其它的没任何问题。
vless 、vmess 、trojan 都有,想看哪个先被干掉,结果是 Lightsail 东京的断了,感觉还不是检测而是地址段误伤。 |
|
68
xuangoer666 OP 有一说一,腾讯云轻量还挺稳的,跟搬瓦工那台的是一样的协议,至今仍然坚挺。网速也不错。
|
 |
69
AnroZ 2022-10-07 11:34:29 +08:00
今早也发现我的服务器除了 22 ,其它端口都被封了( 80 ,443 ,...,都挂了)。赖得换 IP 了,用 ssh 代理用一段时间试试,看看 22 端口会不会也被封掉。
|
 |
70
suweny9 2022-10-07 13:03:21 +08:00
最近被封端口绝大多数都是用了 tls 的?,今天看了大神分析。目前,代理服务 tls 的服务端指纹 JARM 特征已经是非常明显了,要规避这一问题,可以使用 nginx 反代到代理端口,从而将服务端的指纹变成 Nginx 的指纹进行伪装,另外,客户端 TLS 握手的特征不知道有没有暴露特征,也不知道该如何优化。
|
 |
71
slwl 2022-10-08 07:39:29 +08:00
同 xui ,443 被封了,有没有什么解决方案呢
|
 |
72
HFX3389 2022-10-08 21:13:52 +08:00
@suweny9
@qingmuhy0 @Cavolo @showgood163 这有一个项目 https://github.com/salesforce/jarm 可以获取 JARM 的特征然后在一些网络资产搜索引擎甚至丢 Google 上搜索可以搜到很多相同的 JARM ,我找过一个 trojan 服务端的 JARM 一搜,有大量的 IP 都在用而且直接访问 IP(80 端口)就可以看到一个常见的“管理平台”或者一看就知道是搭的假站(主页是模板、电话号码和邮箱都没改),改为 HTTPS 立马域名就出来了,看到这些网站和 IP 都可以直接 ban 了,一句话都不用多说的... |
|
74
qingmuhy0 2022-10-09 09:06:45 +08:00
@HFX3389 我的主页是内容充实的博客,而且前置是 nginx ,我自己查过 jarm ,都是 nginx ,没啥区别度。除了 tls with tls 暂时不好解决外,我感觉我暂时的配置是完美的。
|
|
75
xuangoer666 OP @qingmuhy0 vless 协议貌似有一个选项可以自动识别 tls 内容,不使用 tls 。(即使伪装再好流量太大估计也不行)。
|
|
76
qingmuhy0 2022-10-10 17:14:10 +08:00
@xuangoer666 其实问题都不大,我用的是 AWS 家的轻量,IP 地址是可以随意切换的。
|
 |
77
sqybi 2022-10-20 15:33:10 +08:00
虽然看起来很像 TLS on TLS 的问题,但迷惑的是我有两台完全不用的服务器也被封了端口,理论上应该一点流量都没有,切过去第一次连接就直接挂了,换端口才行
|
|
78
xuangoer666 OP 10 月 19 日晚,一台几乎没有流量,使用 vless 开启 xtls 的腾讯新加坡轻量被墙端口。由此 jarm 或是问题根源。
|
 |
79
a88 2022-10-29 17:49:03 +08:00 via Android
两个港鸡被封只能 cf 潜水苟活了
|
Select Language