| https://github.com/net4people/bbs/issues/129
中国大规模地封锁基于TLS的上网代理服务器 自北京时间2022年10月3日起,超过一百名用户报告他们至少有一台基于TLS的上网代理服务器被封锁了。被封锁的服务器使用的协议包括了trojan,Xray,V2Ray TLS+Websocket,VLESS,以及gRPC。我们还未收到任何naiveproxy被封锁的消息。 下面是我们总结的关于这次封锁的一些信息,以其我们的一些推测和分析 封锁先是针对上网代理服务的端口。如果用户在端口被封后,改换了端口,那么整个服务器都会被封锁。需要指出,封锁似乎只是基于端口或IP地址,与上网代理服务有关的域名似乎并没有被加入到高墙的DNS或SNI黑名单中。 尽管大多数用户报告443端口被封,一部分使用非443端口的用户也报告了封锁。尽管大多数用户的服务器在流行的VPS提供商那里(比如),但至少有一位用户位于欧洲的家中的服务器也被封锁了。 在一些案例中(并非全部案例中),封锁是动态的:用户通过浏览器还是可以直接访问上网代理端口,但同一个端口,用上网代理软件就连不通。 所有以上的信息都指向高墙已经可以精准的识别并封锁这些上网代理协议,而并非简单地封锁所有的443端口,或封锁所有的流行机房。 基于以上信息,我们推测(但还未进行实证性的测量),这些封锁可能与上网代理软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个论文阅读小组,这篇总结,以及这篇博文都是关于TLS指纹的,也许会有帮助。 下一步,我们将调查高墙是否真的使用了客户端发出的TLS指纹来识别这些协议。与此同时,如果您有任何上网代理服务器被封锁,或者有任何可以证实或反驳我们的推测的例子,我们都欢迎您或公开地或私下地与我们分享。因为这会帮助我们快速定位许多问题的根源。我们私下的联系方式可见高墙 Report的页脚。 |
| 晶哥马上到~ |