分享一次被墙

应该是 433 端口被封了

昨天是墙是历史新高，挂了老多

我套了 cdn 目前还好

感觉不是墙进化了, 而是采用的最最原始的手段. 才不管你什么协议, 未备案的大流量统统给你封了

还是走 cdn 比较稳。

我的瓦工 ss 已经 2 年了，一直很稳定。。。

@jimmy980352 全封了

@EastLord 请问套的什么 cdn 呢 cloudflare 感觉贼慢

@xuangoer666 我用的 cloudfront ，然后通过工具自选 ip https://github.com/XIU2/CloudflareSpeedTest

用一键包安装的吗?

@leavic 对 x-ui

@xuangoer666 脚本地址发来看看？

@leavic github com/vaxilu/x-ui
这是原项目

你面板的 http 端口是怎么处理的？

@leavic 面板的 http 是随便找了个端口，80 和 443 有伪装网站

7 台全部正常

@xuangoer666 这不就是最强的特征吗？我要是没猜错的话你面板的登录页面是默认没改过的吧。
一台机器有 80/443 端口和另一个 http 端口，那个 http 端口还跑着 x-ui 的登录页面，不墙你墙谁啊。

@Cavolo 请问有什么伪装手段呢？

@leavic 面板登录界面背景是随机的呀也不能自己改。如果不这么弄，把面板放 80 443 不更明显

@xuangoer666 首先保证 ip 干净没有前科，其次 tls 现在看来是必须的，但是 ws 大可不必。然后 trojan ，vless 这两个里面选就差不多了

@Cavolo 我甚至不做回落

自建的昨天挂了，今天早上换了个端口，下午又挂了，晚上又换了个。之前光是 kcp ，现在加了 dtls

@cue 祝你好运

昨天早上 443 端口 gg 了，原因不明。。。怀疑是宁可错杀，也不放过 QAQ

@IvanLi127 祝你好运 别像我先被墙端口，然后又墙 ip😡

看来不是个例啊，我的 帮瓦工昨天早上 11 点半左右 443 端口也被封了
目前套 cf cdn 先顶着
看来是宁可错杀不错过了，毕竟快 20 大了

bwg 有换 ip 服务的，不过收费。

@joesonw 貌似 60 一次 多换几次 ip 都比服务器贵了。。。据说过了敏感期会自动解封。打算再等等。

既然是伪装网站，为啥不用 443 端口？

自建代理在 443 端口，长期使用，最开始用 vless+xtls ，限速后换用 trojan+xtls ，现在用 naiveproxy ，目前问题不大

@showgood163 听说伪装到 443 容易被识别，然后就用 443 伪装一个用来 ftp 的网站，数据走 39000 （ 39000 那一段貌似是 ftp 用的）。

谢谢指点

@xuangoer666 我还有个别的端口做内网穿透，还没掉，都不敢动了。听到 op 这情况，我更不敢动了。


@showgood163 #29 vless+xtls+443 已挂的我哭着路过，真实网站都保不住

@IvanLi127 先避避风头吧，最好想办法留个备用。

@xuangoer666

https://www.v2ex.com/t/884527 这个帖里确实有人说 443 端容易被干

我在用 vless 和 trojan 的时候都是没伪装的，用到后期确实会被限速或者断连，让人很不爽

naiveproxy 能自带伪装，还能复用 443 端，应该问题没那么大了吧。。

@IvanLi127

有伪装还保不住实属蛋疼了

用下来还是 trojan 最稳

2 个日本的 ORACLE VPS ，一个就是用了 XUI ，一个没用。 2 个都是默认设置，没搞什么复杂的混绕之类。XUI 那个昨天 11 点左右封了（和上几楼的人同一时间）。另外一个不是 XUI 的没封（但好像也不是很稳定）。

@showgood163 naiveproxy 主要是用的人少，虽然客户端是复用了 chrome 的网络栈，但并没有隐匿到哪儿去

搞个机场吧

昨天 老多人都挂了

@SekiBetu

我看到你在 net4people 里有回复

对于“封锁与 client hello 指纹有关”的分析结果，你怎么看？

对于“naiveproxy 并没有隐匿到哪儿去”，你能具体的从技术角度解释一下吗？

@showgood163 现阶段主要是针对 tls(无法识别)，443 基本都是 https 标配，用的多封的多；其它端口也有被封的。
tg 有人换端口后，除了 22 端口以外全封了。。。

现在都是用 tls+443 来伪装，有没有用 80 端口流量编码成明文流量伪装的工具

@makelove 熵太低

暂时还是 Trojan+GRPC+NGINX ，没被墙，如果被墙的话就准备在路由器上部署 naiveproxy 然后用 V2RAY 中转成传统 Vmess 节点了，这样子既解决了 naiveproxy 的客户端少的兼容性问题（还是 Clash 用着舒服），在过墙这一段也达到了所谓“最强”伪装吧。

但是因为现在用 Trojan 也没有被墙，所以不是很有动力去折腾这个部署。

@qingmuhy0
楼上这位朋友好，我是刚把服务器换了 ip ，协议也换成 trojan+grpc+tls 的，只用了 1 天就又被封了。

@keleo030 可能换的 ip 有前科?

有一次把服务器的订阅微信分享给别人，马上 ip 就被封了

@xuangoer666 我的其中一台昨天也刚换到 naive ，据说目前最安全的方式，先用一段时间观望一下。

@keleo030 我也是换了 ip,隔天就被封了，协议啥的都没动

我却恰恰相反，OPENVPN 直球连接，居然不阻断了，看 YouTube 4K ，居然毛事没有，一个月少说 300G 流量，我还求他给我封了，套 cdn 中转。经常有国内的肉鸡来爆破 SSH 。

@keleo030 所以有时候真的很难让人琢磨，有可能是分 IP 段的吧，毕竟全过滤可能算力不够……协议这种东西，出问题再换理论更好的吧。能用就先用着。

[Large scale blocking of TLS-based censorship circumvention tools in China ]( https://github.com/net4people/bbs/issues/129) 10 月 3 号开始 tls 就被大规模阻断了，不过我的自建还没被封，vmess+tls ，80 和 443 有正常网站，端口是 6000 多

@showgood163 naive 作者，也就是那个 gfw report ，认为是 tls 指纹暴露了客户端，所以他认为 naive 不会被检测到，但我认为是 tls over tls 这种奇葩的一般人不会去使用的方式暴露了，tls over tls 肯定会产生很多的特征

@SekiBetu

说的不对请指正

naive 作者是 gfw report ？明面上看不是一个人啊。。

tls over tls 这种方式应该是 vless vmess 在用，naiveproxy 应该没在用。
然而，对于墙来说，双层 tls 中的外层只是能检测，但不能解密；隔着两层 tls 检测特征是不是难了点

@showgood163 正常人会用双层 tls 吗，检测出来就直接封了

@SekiBetu 感觉有道理，我就是用了 tls 的端口先被墙，没用的没被墙。然后换了一个端口继续 tls 然后 IP 就被墙了。

@showgood163 http://blog.zorinaq.com/my-experience-with-the-great-firewall-of-china/
只要對比數據包大小即可輕鬆檢測出。

防火墙只暴露 80 ，443 ，sshd 端口，管理界面走 localhost 或者路径反代，协议 tls 就行。你们只是画蛇添足被封了

@qingmuhy0 是的。我之前不知道 tls on tls 能被这样检测到。

同机房，也是 443 被封了，也是 x-ui ，不过我 x-ui 面板设置的走 nginx 反代套了 https

不过有台国内云服务器可以正常访问 443 ，用它跑的中转也能通

@Reboot93 请问是哪的服务器?

我的手动搭建的 trojan-go 有伪装站，也被封了 443 了😭

感觉是随机阻断，时不时就连不通 囧

感觉就是 57 说的 tls on tls 很容易被识别

@xuangoer666 腾讯云上海

感觉就是随机阻断，我就 Lightsail 的 IP 被断了，换个地址的事儿，其它的没任何问题。
vless 、vmess 、trojan 都有，想看哪个先被干掉，结果是 Lightsail 东京的断了，感觉还不是检测而是地址段误伤。

有一说一，腾讯云轻量还挺稳的，跟搬瓦工那台的是一样的协议，至今仍然坚挺。网速也不错。

今早也发现我的服务器除了 22 ，其它端口都被封了（ 80 ，443 ，...，都挂了）。赖得换 IP 了，用 ssh 代理用一段时间试试，看看 22 端口会不会也被封掉。

最近被封端口绝大多数都是用了 tls 的？，今天看了大神分析。目前，代理服务 tls 的服务端指纹 JARM 特征已经是非常明显了，要规避这一问题，可以使用 nginx 反代到代理端口，从而将服务端的指纹变成 Nginx 的指纹进行伪装，另外，客户端 TLS 握手的特征不知道有没有暴露特征，也不知道该如何优化。

同 xui ，443 被封了，有没有什么解决方案呢

@suweny9
@qingmuhy0
@Cavolo
@showgood163
这有一个项目 https://github.com/salesforce/jarm 可以获取 JARM 的特征然后在一些网络资产搜索引擎甚至丢 Google 上搜索可以搜到很多相同的 JARM ，我找过一个 trojan 服务端的 JARM 一搜，有大量的 IP 都在用而且直接访问 IP(80 端口)就可以看到一个常见的“管理平台”或者一看就知道是搭的假站（主页是模板、电话号码和邮箱都没改），改为 HTTPS 立马域名就出来了，看到这些网站和 IP 都可以直接 ban 了，一句话都不用多说的...

@HFX3389 trojan-web 😂

@HFX3389 我的主页是内容充实的博客，而且前置是 nginx ，我自己查过 jarm ，都是 nginx ，没啥区别度。除了 tls with tls 暂时不好解决外，我感觉我暂时的配置是完美的。

@qingmuhy0 vless 协议貌似有一个选项可以自动识别 tls 内容，不使用 tls 。（即使伪装再好流量太大估计也不行）。

@xuangoer666 其实问题都不大，我用的是 AWS 家的轻量，IP 地址是可以随意切换的。

虽然看起来很像 TLS on TLS 的问题，但迷惑的是我有两台完全不用的服务器也被封了端口，理论上应该一点流量都没有，切过去第一次连接就直接挂了，换端口才行

10 月 19 日晚，一台几乎没有流量，使用 vless 开启 xtls 的腾讯新加坡轻量被墙端口。由此 jarm 或是问题根源。

两个港鸡被封只能 cf 潜水苟活了