香港服务器,用 vless+ws 伪装成普通 https 过墙,深圳打工一直在用非常稳定,不管是住处电信宽带还是联通和电信手机网络,高峰期延迟稳定 50ms 以内,体验非常爽。
过年回老家河南,第二天发现 443 端口直接被封了,所有正常网页也打不开了。交叉对比发现是老家的移动宽带封的。彼时其它端口还能访问,于是切换成了其它端口的 ss ,想着临时用几天。
结果过了两天,这个端口也不行了,再一看完蛋了,不管哪个网络环境哪个端口统统连不上。返深也不行了。线上全球 ping 了一下彻底死心,除了港台和国外,国内全部节点都是红的。
最后无奈套了个 cf 的壳,算是抢救了一把,现在延迟变成了 300ms ,肉眼可见的卡顿感,体验很不爽。
只能感慨一下,我大河南局域网建设工作遥遥领先啊
过年回老家河南,第二天发现 443 端口直接被封了,所有正常网页也打不开了。交叉对比发现是老家的移动宽带封的。彼时其它端口还能访问,于是切换成了其它端口的 ss ,想着临时用几天。
结果过了两天,这个端口也不行了,再一看完蛋了,不管哪个网络环境哪个端口统统连不上。返深也不行了。线上全球 ping 了一下彻底死心,除了港台和国外,国内全部节点都是红的。
最后无奈套了个 cf 的壳,算是抢救了一把,现在延迟变成了 300ms ,肉眼可见的卡顿感,体验很不爽。
只能感慨一下,我大河南局域网建设工作遥遥领先啊
第 1 条附言 · 18 天前
综合大家的讨论,总结了一下:
- vless原理上应该是安全的,特征就是普通https流量,应该没有被识别出来;
- 河南移动墙中墙,对未知的境外https流量,直接封443端口;
- 我的问题是,443被封后,我抱着侥幸心理(因为之前也时不时偶尔用一下,感觉临时用用还算安全)切到了非常用端口的ss协议,导致被识别而封了ip;
后续研究下#7和#9提到的reality,以后ss是彻底不敢用了。
 |
1
yzqn 18 天前 via iPhone
我也遇到到了,一番搜索后发现荷兰是墙中墙,无语了
|
 |
2
hdp5252 18 天前 via Android
河南移动墙中墙,挂 cf 的域名都打不开,本来没有封。
可是你改用了 ss ,彻底被识别了,不封你封谁 |
 |
3
YGHMXFAL 18 天前 via Android  2
这不很正常,河南/福建/江苏这仨省接近白名单了
|
 |
4
slowmist 18 天前 1
🀄️🀄️🀄️
|
 |
5
mertas 18 天前
我瞎猜,会不会用的人变少了,所以更加精准了
|
 |
6
bigshawn 18 天前
我也遇到类似的,浙江用了 1 年多好好的 hy2 洛杉矶节点,年前去“湖建”厦门玩,第二天端口就被封了。
|
 |
7
huyudong1991 18 天前 via Android
vless reality 保平安
|
 |
8
ysxb1145 18 天前 via Android 1
河南移动因为宁陵那个事变成了墙中墙 plus ,想改变就搬家,福建也是白名单,江苏 DNS 劫持,不要去这几个地方买房子
|
 |
9
tiezlk443 18 天前 via Android
reality 吧,ws 流量一大就嘎,不走 cdn 还是 1reality 最好
|
 |
10
kiritoyui 18 天前
我这机场跑路,oracle 搞了一个 ss2022 ,用了快一个月了,奇迹啊
|
 |
11
abccccabc 18 天前
河南是一个农业大省,你不搞农业搞这高科技玩意,怎么会允许呢?
|
 |
12
TellMeWHY 18 天前
感觉是官方的爬虫给检测出来了,现在国内访问任何 URL 必有爬虫摸过去检测流量或内容
用 IP 白名单挡一下吧,家宽的 IP 段就那么几个,多维护几次就好了 如果带 CF 套套的话,CF 免费版也支持 3 条 URL 防火墙规则和 IP 白名单 注册 1 美元以下的年抛域名,即使被封换一个域名成本也低 |
 |
13
d4fg4 18 天前 via Android
ss2022
|
 |
14
yianing 18 天前
ws+tls 都是我两年前就弃用的了
|
 |
15
wdv2ly OP |
 |
16
HeyWeGo 18 天前 via Android
ss 必
|
 |
17
isnullstring 18 天前
@TellMeWHY #12 +1 ,墙很早就这个功能
正常的 HTTP 请求到服务器之前会有特殊的检测包发到服务器,如果没有 HTTP 异常那就是假的 web |
 |
18
MacsedProtoss 18 天前 via iPhone
ss 一定跪的
你的 vless+ws+tls 的不一定要卡在 443 啊 你为啥其他端口用 ss 而不是其他端口用 vless+ws+tls 呢? |
 |
19
by 18 天前 via Android 1
洼中洼是这样的
|
 |
20
AlexRoot 18 天前
ss 裸跑,作为备用方案,不敢大流量使用。因为感觉一旦大流量就容易被 ban 。
|
 |
21
234ygg 18 天前
搞那么复杂其实完全没用,墙和运营商早就合作用各位家里的光猫的分布式算力去探测你 vps 了
|
 |
22
humbass 18 天前 via Android
ws 走亚马逊 CDN ,那叫一个爽。
|
 |
23
RoccoShi 18 天前
ss 有流量一般都是秒封 IP, 其他 vmess 之类的被检测到了一般都只封个端口
|
|
24
wdv2ly OP @MacsedProtoss 因为非 443 端口就是最大的特征啊。这套就是为了伪装成普通的 https 请求,改端口就暴露了。
|
|
25
wdv2ly OP @isnullstring 没懂。就算他主动探测,它的 http 请求也能正常返回一个网页,那它怎么知道这个是假的 web 呢?
|
|
26
MacsedProtoss 18 天前 via iPhone
@wdv2ly 事实不完全是这样的
实际上现在体感有一个 IP-端口二元组的基于流量的拦截 就算你是 443 流量过大也会封锁二元组一段时间 而且本来现在的 tls 只要设置得当能给到外面的 metadata 是很少的 本来也不一定能判断 443 端口的流量是否是 https 同理 你觉得对于识别翻墙来说是其他端口跑非 https 流量的特征明显 还是其他端口跑 https 的特征明显? |
 |
27
wu67 18 天前
考虑 vmess zero 加密 + tls. 个人怀疑 vless+tls 有其他的特征.
|
 |
28
huihuilang 18 天前 via Android
深圳 50ms 延迟也高了,能压到 10 左右。
换专线吧,一劳永逸。虽然贵了点 |
 |
29
LanhuaMa 18 天前
河南人,都是神,磨灭不破的传闻
|
|
30
TellMeWHY 18 天前
我觉得用 443 端口没错
可以先用 NGINX 反代 v2ray 的 WS 为一个子目录路径(譬如 https://x.x.x.x/v2ray 这样子,只将该路径加 IP 白名单) 正常的根目录放一个博客之类的网站,域名和端口平时就有正常的 https 流量了,GFW 主动探测域名和 IP 也不怕 由于 HTTPS 加密,GFW 无法直接检测完整 URL 路径,再加上白名单,应该会保险一点吧 |
 |
31
kome 18 天前
我直接套的 CF CDN, 用 CF 的 WAF 添加了两条规则, 只放行了一个路径, 根目录以及其他目录全部拒绝访问. 自己直接就 SNI+IP 访问.
|
|
32
wdv2ly OP @TellMeWHY #30 我现在就是这么部署的(除了加 ip 白名单)。从我的经历,我怀疑它没有检测出特征,但是移动的骚操作可能是不知名境外 ip 的 https 流量直接封端口,这种就完全没办法了。
|
 |
33
zhouweiluan 18 天前
所以我都用机场代理链到自己的落地 IP ,没有后顾之忧了,而且机场线路优化的也好。
|
 |
34
Avafly 18 天前
一直在用 naive, 没啥问题.
|
 |
35
hronro 18 天前 via iPhone
切 SS 导致 IP 被封?和 SS 应该没啥关系吧,我一直用 SS ,也没遇到什么问题。网上流传的 SS 被精准识别,应该都是谣言。
|
 |
36
a9k1n9 17 天前
河南 sni 阻断很严重,目前只有备案域名+正规服务器或者 reality 能解。
|
 |
37
dufldylan1 17 天前
ipv6 ?
|
|
38
wdv2ly OP |
 |
41
565656 17 天前
湖北都能直接访问 v2
|
 |
43
wtdd 17 天前 1
众所周知,移动本来就墙中墙啊,地区之前微调肯定有,但区别远没有运营商之间区别明显,
出门老实用电信联通,移动手机还好,宽带就更多一层墙,都是极低端用户也没人会反抗的。 |
 |
44
zhangsimon 14 天前
我也是回老家后发现 clash 用不了了
测速节点都有速度,但就上不了外面网站 现在从老家返城了,怎么还连不了?求教怎么办😰 |
|
45
zhangsimon 14 天前
@wdv2ly 小白求教下怎么恢复访问😭 俺也是回了趟老家,发现都用不了了,用的 clash X 客户端。该怎么操作😰
|
|
46
wdv2ly OP @zhangsimon #44 先找个聚合 ping 网站看一下机器还能不能访问,如果都不能访问,就是 ip 被墙了。这种没办法,只能换 ip ,或者套一个 cf 挽救一下。如果不是 ip 被墙,就换个端口试试。
|
|
47
zhangsimon 13 天前
@wdv2ly 服务不是我自己搭建😭 别人给我的是一个托管配置文件 url ,我以往都是只需在 clash X 里添加配置文件的 url ,然后选择合适的节点九能科学上网了。所以不清楚你说的 ping 和换 ip 怎么操作😭
我看配置文件的更新时间停留在了 1 月 28 日 今天临时开了一个全局 VPN ,试着重新添加一下托管的配置文件,发现却只会提示:下载失败☹️ 我直接用浏览器访问那个 url ,能 download 一个 ymal 文件 我试着把文件放入到 clashX 的配置文件夹后 设置配置里倒是出现了今天下载的文件名 不过切换过去时会报错,该怎办😭 https://imgfans.com/_v1bEi [img]https://imgfans.com/_v1bEi[/img] |
|
48
wdv2ly OP @zhangsimon #47 那个托管配置 url 应该是订阅链接,需要转换成 clash 配置才能用,直接下载可能不行。 你这个看起来是用的机场吧,如果是付费的,直接找维护方帮你解决就行了。
|
|
49
zhangsimon 13 天前
@wdv2ly 嗯,url 是个订阅链接。很早之前一个好心人给我的🫣 现在找不到他了 😭
|
Select Language