关于目前 GFW(墙) 的封锁方式TCP封锁(阻断)猜想

本文最后更新于 2018年10月14日 15:26 可能会因为没有更新而失效。如已失效或需要修正,请留言!

对于翻墙界来说,今年真不是个顺利年。从年初的 SSR 停更并删除项目,到后来的数次大规模封禁代理服务器,甚至发展到现在已经成为日常了(GFW 2.0),几乎每天都有人的代理服务器被墙,经常听到各个群组讨论,也是。。哎!

因本文文字较多,请配合网页右下角↘宽屏阅读 按钮(位于中间)观看,效果最佳(看不到请翻滚网页)。

好了,说正题。


简单说明

自从今年初开始,墙的封锁方式就从 全部协议封锁 改为了 TCP封锁(阻断),该封锁方式主要特征为:

  • Ping IP正常连通(ICMP协议),而 TCPing IP连接超时无回应(TCP协议)。

脑洞:这也挺好的,因为相比以前,现在可以更准确的判断服务器被墙,而不是网络、服务器问题了。 :lol:

以前你发现代理账号连不上了,你会去 Ping ,然后发现 Ping不通,接着你会怀疑是不是网络问题、服务器问题等,然后验证半天后发现:的确是被墙了。?

而现在,你只需要 Ping IP 一下,TCPing IP 一下,就能肯定是被墙了。?

基本上你测试你的服务器 IP 出现这种情况,99%的几率就是被墙了。剩下的 1% 就是防火墙没开放端口之类的配置问题。

TCP封锁(阻断) 简单解释:

当你的海外服务器 IP 被TCP封锁(阻断)后,你依然可以正常的向海外代理服务器发送数据(客户端连接服务端),但是海外代理服务器上的代理服务端在向你返回数据的时候,肯定是要经过墙的,而墙发现发送者IP(代理服务器)在黑名单中,于是就会阻断、拦截,这样你的客户端就收不到来自服务端的返回数据了(SSR上表现为:超时或空连)。

而目前的代理软件基本都是使用 TCP 协议传输的,而TCP协议要传输数据,则先要进行握手环节,而握手自然要有来有回,所以当墙对海外代理服务器回程TCP阻断的时候,就会导致代理客户端与服务端无法完成握手,自然也无法使用代理了。

我认为GFW的封IP原理大概是:

墙是通过分析流量特征,通过各种方法、证据来判断该链接为代理的可能性,当可能性达到不同的程度时,墙做出不同的处理。假设:

首先:墙现在都是实时扫描检测的,检测到一个链接是代理的可能性低于10%,那么就无视。
其次:检测到一个链接是代理的可能性高于10%,则将IP的相关信息(及收集的证据、特征等)记录到数据库中,当下次再发现这个链接时,继续去收集证据判断是否为代理,最后是代理的几率降低,则无视,是代理的几率增加,则进一步关注。
最后:当检测到一个链接是代理的可能性高于50%的时候,可能就会考虑单独封一个端口(代理端口),这时候如果你换个端口继续做代理,那么往往很快就会所有端口被封,这就是因为墙根据你这个IP链接以往的几率判断,认为你这个IP链接是代理的可能性进一步增加,例如到了80%,所以就给你TCP所有端口封禁了。

其实,GFW之所以单独封一个端口,可能原因就是吃不准到底是不是代理,如果你很快就换了端口继续做代理,那么GFW就认为很大概率是代理,于是就可以封禁了。


如何补救?

点击展开 查看更多


如何解封?

点击展开 查看更多


如何避免被墙?

点击展开 查看更多


最后,本文你只需要关注的重点为:

  1. Goflyway、V2ray 等软件可以复活被墙IP 。
  2. 被墙IP有解封时间概念。
  3. 被墙IP的服务器,请关闭代理软件并不理服务器一段时间,有几率解封IP
  4. 被墙IP解封后,如果还要做代理,请更换代理软件,否则短时间内可能还会被墙。
  5. 墙可能会定期对被墙IP的服务器主动探测代理,所以必须关闭代理软件
  6. 日本 美国等热门地区服务器被墙几率更高,建议避开日本 美国热门地区

以上均为个人猜测(猜测+实验),不保证准确性,仅供参考。如发现不准确,请与 GFW 相关部门联系。

———— 本文章由 月下博客 战略合作伙伴 GFW 提供实验数据 :shock:

转载请超链接注明:月下博客 » 关于目前 GFW(墙) 的封锁方式TCP封锁(阻断)猜想
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

留言评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

Captcha Code