Xray-core
Xray-core copied to clipboard
XTLS
中国大规模地封锁基于TLS的翻墙服务器 [请强烈考虑实施 uTLS ]
If more than 5 clients are simultaneously connected for a few hours (any devices, such as Windows, Android, iOS) the GFW will block the Public ipv4 address.
如果超过 5 个客户端同时连接几个小时(任何设备,例如 Windows、Android、iOS),GFW 将阻止公共 ipv4 地址。
Please implement more nondetectable elements into the protocol. 请在协议中实现更多不可检测的元素。
请强烈考虑实施 uTLS, 指纹可能被检测到。: https://github.com/refraction-networking/utls Please strongly consider implementing uTLS, the fingerprint is probably detected. : https://github.com/refraction-networking/utls https://github.com/refraction-networking/utls
"中国大规模地封锁基于TLS的翻墙服务器": https://github.com/net4people/bbs/issues/129
"自北京时间2022年10月3日起,超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan,Xray,V2Ray TLS+Websocket,VLESS,以及gRPC。我们还未收到任何naiveproxy被封锁的消息。
下面是我们总结的关于这次封锁的一些信息,以其我们的一些推测和分析
封锁先是针对翻墙服务的端口。如果用户在端口被封后,改换了端口,那么整个服务器都会被封锁。需要指出,封锁似乎只是基于端口或IP地址,与翻墙服务有关的域名似乎并没有被加入到GFW的DNS或SNI黑名单中。
尽管大多数用户报告443端口被封,一部分使用非443端口的用户也报告了封锁。尽管大多数用户的服务器在流行的VPS提供商那里(比如),但至少有一位用户位于欧洲的家中的服务器也被封锁了。
在一些案例中(并非全部案例中),封锁是动态的:用户通过浏览器还是可以直接访问翻墙端口,但同一个端口,用翻墙软件就连不通。
所有以上的信息都指向GFW已经可以精准的识别并封锁这些翻墙协议,而并非简单地封锁所有的443端口,或封锁所有的流行机房。
基于以上信息,我们推测(但还未进行实证性的测量),这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个https://github.com/net4people/bbs/issues/54,这篇总结,以及这篇博文都是关于TLS指纹的,也许会有帮助。
下一步,我们将调查GFW是否真的使用了客户端发出的TLS指纹来识别这些协议。与此同时,如果您有任何翻墙服务器被封锁,或者有任何可以证实或反驳我们的推测的例子,我们都欢迎您或公开地或私下地与我们分享。因为这会帮助我们快速定位许多问题的根源。我们私下的联系方式可见GFW Report的页脚。"
我有一个想法,使用 uTLS 滚轮概念,为什么每次发送新数据包时不让指纹生成一个新指纹? (连接时)这将使流量每秒看起来完全随机。 https://github.com/refraction-networking/utls#roller
如果是这样“如果超过 5 个客户端同时连接几个小时(任何设备,例如 Windows、Android、iOS),GFW 将阻止公共 ipv4 地址。”,那你协议如何 都不管用,它只是怀疑就干了你,类似于要白名单管理了。这样的话自己搭自己小范围内用可能 更安心
说到底还是流量大和热门VPS商家的IP段原因,有些大佬说备机都基本不连的也被墙了。墙不需要知道你用什么协议,加密程度如何,只要你流量大和经常连接某些优质线路的IP段,就可以把你加入可疑名单了,加入名单之后下次就可疑触发被墙,一旦被墙之后换端口,就同于是代理服务器,所以撞墙之后一定不要从443换其他端口,套个CF的CDN苟活一下。我位于CC机房的辣鸡VPS也被墙了,套了CDN之后,今天居然解封了,能直连。
我搭建的是纯vmess,没加任何多余的东西,两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶,都只有我自己用。以前没被封禁过,但在10.3号、10.9号和最近几天接连被封禁,换ip也很快被封。今天尝试了NaiveProxy,速度确实快,稳定性还有待观察。
我搭建的是纯vmess,没加任何多余的东西,两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶,都只有我自己用。以前没被封禁过,但在10.3号、10.9号和最近几天接连被封禁,换ip也很快被封。今天尝试了NaiveProxy,速度确实快,稳定性还有待观察。
我也是一样的情况,Digital Ocean莫名被封,没有其他用户,自己用的流量也不大,只是日常的上网。 不过,traceroute一下,发现最终无法连接的那一条好像不是在骨干网上,是在digital ocean那一侧。已经提交了SR,等待客服回复原因...
这张图里说的是真是假呀,好像这帐号是四小时前才注册的,我也是telegram群上看到这张截图的。
,,,
我同时看到另有一人看过后说,"根据内鬼的说法,是aes硬件加速单元有坑 tls1.0时用rc4算法加密,所以没特征 所以麻痹的tls1.2的强特征就是aes带来的 这他妈怎么避免?好像绕不过去. 其实现在这批内鬼给出来的信息已经相当充足了,足够自圆其说了 先是透露tls1.0 tls1.1没有特征,又透露出来AES有指纹,又透露出来sm4国密算法没特征。 .”。 我也是很尊重他人隐私的,只是这消息很有必要让人分析下。且来源也都是匿 名的。 但可能 sm4国密算法,也是个套路,如果 是用真中有假的话,引到国密算法上,要是这国密算法是个套路,那,,, 所以我是不可能 推荐人用什么国密算法的。 完毕。
@evolutionboy 应该是真的。这很好的解释了 Trojans 这两天也不行了。
这样看来 我只在x86软路由上用可能也是我这次9台小鸡一个没挂的原因吧
@evolutionboy 也有用户报告说,电脑能连,手机就是不能。我记得 Nginx 和 Xray 都可以指定加密方法的吧?有除外AES和国密的常用加密方法(参数)吗?
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
你牛逼,GFW给你开绿灯
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
你牛逼,GFW给你开绿灯
可以反向发展,封锁是基于你的流量特征异常,那你就伪装成正常流量跑,比如某些大站的CDN,某些测速网站的CDN这样 由于使用习惯,很少有对源IP和目的IP长时间长链接大流量跑吧 如果有这种习惯,那怎么伪装,应该还是会被淦 就大部分日常使用来说,这流量都是起起伏伏 所以尽可能伪装成大站流量跑,还是比较靠谱,尤其是伪装成测速站
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
你牛逼,GFW给你开绿灯
大多数被封端口/IP的反馈,都没有什么有效信息。与其说是反馈,不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低,很可能不了解 V2Ray / Xray 这类工具的一些常识性知识(比如禁止 Server 端访问 CN )。 从 GoAgent、SS、SSR 到 Vmess、TLS,被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
你牛逼,GFW给你开绿灯
大多数被封端口/IP的反馈,都没有什么有效信息。与其说是反馈,不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低,很可能不了解 V2Ray / Xray 这类工具的一些常识性知识(比如禁止 Server 端访问 CN )。 从 GoAgent、SS、SSR 到 Vmess、TLS,被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。
问一下,你的这些vps有手机端用户吗?目前很多人都反应说电脑连没事,安卓的v2rayng或者苹果的shadowrocket连完就要寄
我觉得就是你们配置/用法有问题。 我自己的卢森堡,圣何塞,新加坡,首尔等多个VPS,全部都是传统的VLESS + XTLS + WS + GRPC配置,没有一个被封的。
你牛逼,GFW给你开绿灯
大多数被封端口/IP的反馈,都没有什么有效信息。与其说是反馈,不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低,很可能不了解 V2Ray / Xray 这类工具的一些常识性知识(比如禁止 Server 端访问 CN )。 从 GoAgent、SS、SSR 到 Vmess、TLS,被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。
问一下,你的这些vps有手机端用户吗?目前很多人都反应说电脑连没事,安卓的v2rayng或者苹果的shadowrocket连完就要寄
当然有了,V2RayNG、SagerNet、Matsuri,我全部都用(除了iPhone)。 你说的那些人以前有,现在有,将来仍然会有。
我毛子的线路已经快5年了,自从配置开出来到现在,一直没挂过,最开始sr裸奔仨月,四年前改直接前置sr后置web,三年前改前置sr后接tr再接web再接v2,两年前把尾巴上的v2加了grpc 美西俩个,有一个被鈤了半年放出来了,另一个一直没出过事 美西那个是四年前被鈤的,后面一起跟毛子线路一样时间点改过配置之后再也没被鈤过 港港线路是三年前加的,开出来就跟毛子线路一样做配置
客户端ios 安卓 windows linux routeros啥都有 app 基本上能用的都测了,不能用的也测了(那肯定连不上) 现在是直连ojbk,cdn中转ojbk 唯一的就是grpc套cdn非443,原理上少了前置sr和tr两层,用的备用8443 直连443=sr=tr/trwbst=v2=grpc=web 直连8443=v2=grpc=web
带宽速度上(大流,下载,视频缓冲) 直连 trwbst>v2wbst>sr>grpc 套cdn trwbst>v2wbst>grpc 反应速度上(小流,网页,api查询) 直连 grpc>sr>tr/trwbst/v2wbst 套cdn gprc>=trwbst>v2wbst
mux可以酌情开,对小流有明显提升,尤其是安卓客户端,很多不开mux速度死慢 大流不能太频繁新增操作,比如短时间内多次启动测速-中断测速-快速再跑测速,会导致链路阻塞断流
另外我所有线路都没禁cn,其实正常情况下,不太清楚禁不禁有多大好处,还没接触到相关资料依据
说到底还是流量大和热门VPS商家的IP段原因,有些大佬说备机都基本不连的也被墙了。墙不需要知道你用什么协议,加密程度如何,只要你流量大和经常连接某些优质线路的IP段,就可以把你加入可疑名单了,加入名单之后下次就可疑触发被墙,一旦被墙之后换端口,就同于是代理服务器,所以撞墙之后一定不要从443换其他端口,套个CF的CDN苟活一下。我位于CC机房的辣鸡VPS也被墙了,套了CDN之后,今天居然解封了,能直连。
确实,我一开始端口被封了,换了端口之后能用,然后 ip 就被封了,到现在还不能连上。
今天试着架tuic,手贱用QQ的代理测试测通了没有,然后发现域名被封了,Xray也跟着躺枪(用的同一套证书)。 对,就是域名(或者说证书)。 双端换IP,只要TLS带SNI,秒封。 IP直接裸连正常,换域名后正常。
我这环境是电信,我发现电信这激霸玩意儿发现你大流量之后先拉高延迟,再拉低带宽,基本上油管4K60fps就是个门限,也就是单线程超过50Mbps(短时间瞬发似乎问题不大)一定时间,可能超过10秒就开始搞事情了,最惨不忍睹的是延迟翻三倍,带宽拉到最大2Mbps,而且tcp丢包拉到65%,udp丢包拉到45% 但是只要你在这个门限以内,比如你各种调优限制死你最大突发就45Mbps而且小于10秒(10秒只是个推测值),那基本上就一路畅通
