ihciah
关于进一步改进的方向和建议
作者与我的想法不谋而合,我刚有一个类似的想法想实现一下,结果查了一下发现已经由您实现了,不过我想提一下我和您的想法中不同的地方。您采用一些白名单的网站做tls伪装,比如apple.com,那当我们从浏览器访问这个地址时会显示apple的官网,但是apple这些大公司都是有自己的服务器集群的,它们的ip也都比较固定,如果gfw发现一个搬瓦工或是digitalocean的ip上有apple的网页,这本身也是一种很强的特征,所以我的想法是在外面加一层socks5做伪装,socks5是明文协议,如果访问的时候不包含黑名单中的ip和域名的话gfw是不会封锁的,所以这样一来在gfw看来我们只是在通过一个ip做中转访问一个白名单的网址,我觉得会比“一个小众ip上 /有大公司的官网”特征会更弱一点儿。
作者与我的想法不谋而合,我刚有一个类似的想法想实现一下,结果查了一下发现已经由您实现了,不过我想提一下我和您的想法中不同的地方。您采用一些白名单的网站做tls伪装,比如apple.com,那当我们从浏览器访问这个地址时会显示apple的官网,但是apple这些大公司都是有自己的服务器集群的,它们的ip也都比较固定,如果gfw发现一个搬瓦工或是digitalocean的ip上有apple的网页,这本身也是一种很强的特征,所以我的想法是在外面加一层socks5做伪装,socks5是明文协议,如果访问的时候不包含黑名单中的ip和域名的话gfw是不会封锁的,所以这样一来在gfw看来我们只是在通过一个ip做中转访问一个白名单的网址,我觉得会比“一个小众ip上 /有大公司的官网”特征会更弱一点儿。
But could "using clear text socks5 to proxy a foreign white-listed company's server" also be a characteristic and gets reviewed manually by human censorer? Cuz it's relatively rare to happen these days as people either do direct connections or use sth other than socks (ipsec/wireguard...etc). And what about masquerading the server as a cdn for the company? This can explain the characteristics in your issue.
作者与我的想法不谋而合,我刚有一个类似的想法想实现一下,结果查了一下发现已经由您实现了,不过我想提一下我和您的想法中不同的地方。您采用一些白名单的网站做tls伪装,比如apple.com,那当我们从浏览器访问这个地址时会显示apple的官网,但是apple这些大公司都是有自己的服务器集群的,它们的ip也都比较固定,如果gfw发现一个搬瓦工或是digitalocean的ip上有apple的网页,这本身也是一种很强的特征,所以我的想法是在外面加一层socks5做伪装,socks5是明文协议,如果访问的时候不包含黑名单中的ip和域名的话gfw是不会封锁的,所以这样一来在gfw看来我们只是在通过一个ip做中转访问一个白名单的网址,我觉得会比“一个小众ip上 /有大公司的官网”特征会更弱一点儿。
But could "using clear text socks5 to proxy a foreign white-listed company's server" also be a characteristic and gets reviewed manually by human censorer? Cuz it's relatively rare to happen these days as people either do direct connections or use sth other than socks (ipsec/wireguard...etc). And what about masquerading the server as a cdn for the company? This can explain the characteristics in your issue.
"And what about masquerading the server as a cdn for the company?"其实这个做法的关键就在于大部分公司的cdn服务商是固定的,它们可能是特定的几家服务商或特定的ip段,我们一般很难拿到这些ip,这样做的话就是在一个很小众的ip上出现了一个很著名的网站,而这个网站又几乎只有你自己在用。 我提出的想法当然只是一种推测,毕竟没人知道gfw的封锁机制,因为我之前确实用socks5进行过游戏代理和p2p下载代理,所以我们可以先用socks5的协议头让gfw看起来我们在进行一个合法的访问(比如我提到的游戏加速或p2p下载),建立连接后再在后续流量中封装真正的代理协议,应该具有一定可行性,欢迎讨论。
