关于最近(01月24日后) GFW 大规模封禁 代理服务器IP 的一些猜测

本文最后更新于 2018年4月8日 20:24 可能会因为没有更新而失效。如已失效或需要修正,请留言!

以下言论均为本人猜测,无实际证据,仅供参考,请勿严究!


最新:2月24日(当天我的镜像域名被墙)开会决定了 2月26日到2月28日 将在北京举办第十九届中央委员会第三次全体会议

最新:新年初三(2月18日),GFW解封了大部分(不清楚是否是全部) 大年三十 封禁的IP,很值得怀疑偶~

最新:大年三十,GFW全体成员也没有迟到,在这喜庆的时刻给大家送来了一波大礼:封 I P ~?

在2018年01月24日后,大量搭建代理的服务器 IP 被 GFW 封锁,也就是被墙(国内超时、国外正常)可以通过 超级Ping 检测。

我也被墙了 十几个IP,目前正蛋疼中。


通过网友反馈、讨论的情况来看,此次IP大规模被墙事件,与上次差不多,各主流代理软件都受到了影响(Shadowsocks、ShadowsocksR、V2ray、蓝灯等),但是!比上次规模更大,更精准!

上次是 2017年10月09日 开始的,当时是临近 十九大开会,而这次则是 什么修宪法(不是很了解,说错了请告诉我),也就是俗称的敏感时期,如果按照这个趋势,那么接下来的三月,还会有个 两会召开,到时候可能又是一波大规模封锁代理服务器IP,大家要有心理准备。

由此次事件和上次可以看出,GFW还是有能力识别各主流代理软件,不过依然存在误杀或者漏掉这种情况。目前被封禁的IP只占所有代理服务器中的一部分,但是!相比上一次规模更大,更精确!

通过对比两次大规模封锁IP的事件可以得出:

  • GFW 每一次大规模封禁都是一个 封锁算法实践机会,每一次大规模实践都会 使其封锁算法更完善、更准确。
  • 以后 GFW 大规模封锁代理IP的事情肯定少不了,并且一次比一次严重。
  • 上次和此次的封禁事件中,发现有一些人的服务器没有搭建代理,依然被封IP,说明准确率还是有待提高。
  • 目前因为各种原因,使用SS SSR代理的人最多,所以目前墙主要针对 SS SSR代理封锁(当然也因为基数大,所以显得 SS SSR代理被封IP的情况多)。

通过网友反馈的数据来看,可以大胆猜测:

GFW 一出招就是大量IP被封,并不是因为出招的时候才开始检测特征封禁的,而是在出招前就在 实时的收集数据,列出可疑的IP(当发现这个 IP 的行为特征很可疑,但是却吃不准到底是不是代理服务器,那么就会持续收集数据,如果该 IP 的可疑行为特征越多,那么判断该 IP 是代理服务器的准确率就越高),然后一出招就全给封了。

可以看到这两次大规模封锁事件都是 一开始瞬间封了大量IP,然后后面就是慢慢封了(比如我两次都是一开头封了一堆IP,往后就较少再出现被封IP的情况)。

举个例子:假设一个警察,要抓一个小偷,没有具体证据,但是经常都发现他的行为很可疑,当发现可疑行为的次数越高,那么这个人是小偷的概率就越高(抓对人的准确性越高,当然在没有确凿证据前,永远都存在这个人不是小偷的可能性)。


另外,此次大规模封锁事件中,根据网友反馈,热门IDC被封锁的情况更多。

起初,我以为是因为热门IDC买的人多,搭建代理的人也多,基数大,搭建代理被封的IP也自然越多,但是最近感觉可能有所不同:

  • 我觉得 GFW 在前面说的 收集可疑行为特征 的时候,发现一些IP段(热门IDC)出现可疑行为特征的IP及次数更多,于是就划重点监测。

所以目前可能有三条路:

  1. 更换 门槛更高 的代理软件(如 V2ray ,但是不保证不会被墙,因为此次依然有 V2ray 代理IP被墙)。
  2. 更换 小众 的代理软件(如 BrookGoflyway 等,小众代理不会被墙针对性封锁,相对会安全一些)。
  3. 肉翻。

另外,有的人认为墙直接封 IP段,实际是不对的,我找了一些 热门IDC 的被墙IP段,扫段了一下并不是所有 IP 都被墙的,但是不保证墙会对热门IDC的 IP段 重点关注(主要还是 热门IDC 买的人多,搭建代理的人也多,被墙的IP也多,所以显得 热门IDC 更容易被墙一样)。

关于 IP 被封

最近有少数人被墙的 IP 解封了(当然也有又封了的),暂时不清楚什么鬼,不过可以尝试把被封 IP 的服务器上面的代理软件关闭,或许有小几率解封。

另外,这种大规模封禁 IP 的情况,往往过个一年半载就会陆续解封(否则一直封下去就成白名单了)。

很多人路由追踪后发现,路由追踪是在最后一跳(你服务器的IP处)超时的,并没有被出口处拦截。这是因为此次大规模封禁的 IP 是回程拦截,也就是:你路由追踪到最后一个节点(你服务器IP处),服务器会返回路由追踪信息到你本地,而在经过 GFW 的时候,GFW 发现这个IP存在于黑名单中,于是阻断。

所以就是说,你可以向服务器发送数据,但是服务器无法把数据发送给你。如果你不停的发送 SSR等代理软件的请求,而 SSR等代理服务端收到后 会返回数据给你,结果被 GFW 拦截。依此看,如果你不再发送 SSR 等代理软件的请求 到代理服务器(或者SSR等代理服务端关闭,也就是不再向你发送回复数据。),那么有几率解封还是有可能的。

关于 IP被封后又解封的说明

最近不少人反应,因为做代理而被GFW封禁的IP解封了,所以我初步猜测如下:

当 GFW 多次检测判断你这个 IP 是代理服务器的概率满足条件后,就会封禁 IP。而 IP 封禁后,为了避免封太多IP,所以会定期检测一下这个 IP 上面是否还有代理运行,如果没有了,那么就可能会解封 IP,但是 IP 解封了还不要高兴得太早,IP 解封后的一段时间内,GFW还会定期检查,如果你又搭建的代理继续使用(继续使用上次导致被封的代理软件),那么还有很大几率被封IP,这次被封IP,怕是解封时间会延长了。

所以,如果你的IP被解封后,建议该服务器要么不做代理了,要么更换其他的代理软件试试,例如 V2ray、Brook、Goflyway等,当然无论继续使用什么代理,都会有几率再次被封IP的,所以大家请谨慎选择。

转载请超链接注明:月下博客 » 关于最近(01月24日后) GFW 大规模封禁 代理服务器IP 的一些猜测
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

留言评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

Captcha Code