这是一个创建于 254 天前的主题,其中的信息可能已经有所发展或是发生改变。
香港服务器,用 vless+ws 伪装成普通 https 过墙,深圳打工一直在用非常稳定,不管是住处电信宽带还是联通和电信手机网络,高峰期延迟稳定 50ms 以内,体验非常爽。
过年回老家河南,第二天发现 443 端口直接被封了,所有正常网页也打不开了。交叉对比发现是老家的移动宽带封的。彼时其它端口还能访问,于是切换成了其它端口的 ss ,想着临时用几天。
结果过了两天,这个端口也不行了,再一看完蛋了,不管哪个网络环境哪个端口统统连不上。返深也不行了。线上全球 ping 了一下彻底死心,除了港台和国外,国内全部节点都是红的。
最后无奈套了个 cf 的壳,算是抢救了一把,现在延迟变成了 300ms ,肉眼可见的卡顿感,体验很不爽。
只能感慨一下,我大河南局域网建设工作遥遥领先啊
过年回老家河南,第二天发现 443 端口直接被封了,所有正常网页也打不开了。交叉对比发现是老家的移动宽带封的。彼时其它端口还能访问,于是切换成了其它端口的 ss ,想着临时用几天。
结果过了两天,这个端口也不行了,再一看完蛋了,不管哪个网络环境哪个端口统统连不上。返深也不行了。线上全球 ping 了一下彻底死心,除了港台和国外,国内全部节点都是红的。
最后无奈套了个 cf 的壳,算是抢救了一把,现在延迟变成了 300ms ,肉眼可见的卡顿感,体验很不爽。
只能感慨一下,我大河南局域网建设工作遥遥领先啊
第 1 条附言 254 天前
综合大家的讨论,总结了一下:
- vless原理上应该是安全的,特征就是普通https流量,应该没有被识别出来;
- 河南移动墙中墙,对未知的境外https流量,直接封443端口;
- 我的问题是,443被封后,我抱着侥幸心理(因为之前也时不时偶尔用一下,感觉临时用用还算安全)切到了非常用端口的ss协议,导致被识别而封了ip;
后续研究下#7和#9提到的reality,以后ss是彻底不敢用了。
 | 1 yzqn 254 天前 via iPhone 我也遇到到了,一番搜索后发现荷兰是墙中墙,无语了 |
 | 2 hdp5252 254 天前 via Android 河南移动墙中墙,挂 cf 的域名都打不开,本来没有封。 可是你改用了 ss ,彻底被识别了,不封你封谁 |
 | 3 YGHMXFAL 254 天前 via Android  2 这不很正常,河南/福建/江苏这仨省接近白名单了 |
 | 4 slowmist 254 天前 1 |
 | 5 mertas 254 天前 我瞎猜,会不会用的人变少了,所以更加精准了 |
 | 6 Mar5 254 天前 我也遇到类似的,浙江用了 1 年多好好的 hy2 洛杉矶节点,年前去“湖建”厦门玩,第二天端口就被封了。 |
 | 7 huyudong1991 254 天前 via Android vless reality 保平安 |
 | 8 ysxb1145 254 天前 via Android 2 河南移动因为宁陵那个事变成了墙中墙 plus ,想改变就搬家,福建也是白名单,江苏 DNS 劫持,不要去这几个地方买房子 |
 | 9 tiezlk443 254 天前 via Android reality 吧,ws 流量一大就嘎,不走 cdn 还是 1reality 最好 |
 | 10 kiritoyui 254 天前 我这机场跑路,oracle 搞了一个 ss2022 ,用了快一个月了,奇迹啊 |
 | 11 abccccabc 254 天前 河南是一个农业大省,你不搞农业搞这高科技玩意,怎么会允许呢? |
 | 12 TellMeWHY 254 天前 感觉是官方的爬虫给检测出来了,现在国内访问任何 URL 必有爬虫摸过去检测流量或内容 用 IP 白名单挡一下吧,家宽的 IP 段就那么几个,多维护几次就好了 如果带 CF 套套的话,CF 免费版也支持 3 条 URL 防火墙规则和 IP 白名单 注册 1 美元以下的年抛域名,即使被封换一个域名成本也低 |
 | 13 d4fg4 254 天前 via Android ss2022 |
 | 14 yianing 254 天前 ws+tls 都是我两年前就弃用的了/div> |
 | 15 wdv2ly OP |
 | 16 HeyWeGo 254 天前 via Android ss 必 |
 | 17 isnullstring 254 天前 @TellMeWHY #12 +1 ,墙很早就这个功能 正常的 HTTP 请求到服务器之前会有特殊的检测包发到服务器,如果没有 HTTP 异常那就是假的 web |
 | 18 MacsedProtoss 254 天前 via iPhone ss 一定跪的 你的 vless+ws+tls 的不一定要卡在 443 啊 你为啥其他端口用 ss 而不是其他端口用 vless+ws+tls 呢? |
 | 19 by 254 天前 via Android 1 洼中洼是这样的 |
 | 20 AlexRoot 254 天前 ss 裸跑,作为备用方案,不敢大流量使用。因为感觉一旦大流量就容易被 ban 。 |
 | 21 234ygg 254 天前 搞那么复杂其实完全没用,墙和运营商早就合作用各位家里的光猫的分布式算力去探测你 vps 了 |
 | 22 humbass 254 天前 via Android ws 走亚马逊 CDN ,那叫一个爽。 |
 | 23 RoccoShi 254 天前 ss 有流量一般都是秒封 IP, 其他 vmess 之类的被检测到了一般都只封个端口 |
| 24 wdv2ly OP @MacsedProtoss 因为非 443 端口就是最大的特征啊。这套就是为了伪装成普通的 https 请求,改端口就暴露了。 |
| 25 wdv2ly OP @isnullstring 没懂。就算他主动探测,它的 http 请求也能正常返回一个网页,那它怎么知道这个是假的 web 呢? |
| 26 MacsedProtoss 254 天前 via iPhone @wdv2ly 事实不完全是这样的 实际上现在体感有一个 IP-端口二元组的基于流量的拦截 就算你是 443 流量过大也会封锁二元组一段时间 而且本来现在的 tls 只要设置得当能给到外面的 metadata 是很少的 本来也不一定能判断 443 端口的流量是否是 https 同理 你觉得对于识别翻墙来说是其他端口跑非 https 流量的特征明显 还是其他端口跑 https 的特征明显? |
 | 27 wu67 254 天前 考虑 vmess zero 加密 + tls. 个人怀疑 vless+tls 有其他的特征. |
 | 28 huihuilang 254 天前 via Android 深圳 50ms 延迟也高了,能压到 10 左右。 换专线吧,一劳永逸。虽然贵了点 |
 | 29 rqYzyAced2NbD8fw 254 天前 河南人,都是神,磨灭不破的传闻 |
| 30 TellMeWHY 254 天前 我觉得用 443 端口没错 可以先用 NGINX 反代 v2ray 的 WS 为一个子目录路径(譬如 https://x.x.x.x/v2ray 这样子,只将该路径加 IP 白名单) 正常的根目录放一个博客之类的网站,域名和端口平时就有正常的 https 流量了,GFW 主动探测域名和 IP 也不怕 由于 HTTPS 加密,GFW 无法直接检测完整 URL 路径,再加上白名单,应该会保险一点吧 |
 | 31 kome 254 天前 我直接套的 CF CDN, 用 CF 的 WAF 添加了两条规则, 只放行了一个路径, 根目录以及其他目录全部拒绝访问. 自己直接就 SNI+IP 访问. |
| 32 wdv2ly OP @TellMeWHY #30 我现在就是这么部署的(除了加 ip 白名单)。从我的经历,我怀疑它没有检测出特征,但是移动的骚操作可能是不知名境外 ip 的 https 流量直接封端口,这种就完全没办法了。 |
 | 33 zhouweiluan 254 天前 所以我都用机场代理链到自己的落地 IP ,没有后顾之忧了,而且机场线路优化的也好。 |
 | 34 Folder 254 天前 一直在用 naive, 没啥问题. |
 | 35 hronro 253 天前 via iPhone 切 SS 导致 IP 被封?和 SS 应该没啥关系吧,我一直用 SS ,也没遇到什么问题。网上流传的 SS 被精准识别,应该都是谣言。 |
 | 36 a9k1n9 253 天前 河南 sni 阻断很严重,目前只有备案域名+正规服务器或者 reality 能解。 |
 | 37 dufldylan1 253 天前 ipv6 ? |
| 38 wdv2ly OP |
 | 41 565656 253 天前 湖北都能直接访问 v2 |
 | 43 wtdd 253 天前 1 众所周知,移动本来就墙中墙啊,地区之前微调肯定有,但区别远没有运营商之间区别明显, 出门老实用电信联通,移动手机还好,宽带就更多一层墙,都是极低端用户也没人会反抗的。 |
 | 44 zhangsimon 250 天前 我也是回老家后发现 clash 用不了了 测速节点都有速度,但就上不了外面网站 现在从老家返城了,怎么还连不了?求教怎么办 |
| 45 zhangsimon 250 天前 @wdv2ly 小白求教下怎么恢复访问 俺也是回了趟老家,发现都用不了了,用的 clash X 客户端。该怎么操作 |
| 46 wdv2ly OP @zhangsimon #44 先找个聚合 ping 网站看一下机器还能不能访问,如果都不能访问,就是 ip 被墙了。这种没办法,只能换 ip ,或者套一个 cf 挽救一下。如果不是 ip 被墙,就换个端口试试。 |
| 47 zhangsimon 249 天前 @wdv2ly 服务不是我自己搭建 别人给我的是一个托管配置文件 url ,我以往都是只需在 clash X 里添加配置文件的 url ,然后选择合适的节点九能科学上网了。所以不清楚你说的 ping 和换 ip 怎么操作 我看配置文件的更新时间停留在了 1 月 28 日 今天临时开了一个全局 VPN ,试着重新添加一下托管的配置文件,发现却只会提示:下载失败 我直接用浏览器访问那个 url ,能 download 一个 ymal 文件 我试着把文件放入到 clashX 的配置文件夹后 设置配置里倒是出现了今天下载的文件名 不过切换过去时会报错,该怎办 https://imgfans.com/_v1bEi [img]https://imgfans.com/_v1bEi[/img] |
| 48 wdv2ly OP @zhangsimon #47 那个托管配置 url 应该是订阅链接,需要转换成 clash 配置才能用,直接下载可能不行。 你这个看起来是用的机场吧,如果是付费的,直接找维护方帮你解决就行了。 |
| 49 zhangsimon 249 天前 @wdv2ly 嗯,url 是个订阅链接。很早之前一个好心人给我的 现在找不到他了 |
 | 50 Int100 223 天前 via iPhone 用 Cisco SSL VPN ,省心. |
Select Language