从2024年7月16日开始,网络上陆续出现 自己的hysteria2服务器被封了 等报告。(包括本网站在内)
在此事发生之后,经某(相关词在这发不出来,用某代替)tg群一群大佬的研究后发现,这是hysteria2部分特征与普通的,基于quic-go构建的应用程序流量行为有所区别所致。 1.真正的,市面上可见的,已经投入公众用户的,基于quic-go构建的程序。不会出现单个IP地址、单个SNI长时间大流量传输的情况。普遍的特征是单个IP地址对应单个SNI的小流量传输,或者单个IP地址对应多个SNI的大流量传输。 2.真正的,市面上可见的,已经投入公众用户的,基于quic-go构建的程序。访问IP地址:端口时,是会出现一定的返回内容的,而且返回的内容会根据请求内容的不同有所变化,而不是一味返回404或者一直都是一个特定的提示。 3.真正的,市面上可见的,已经投入公众用户的,基于quic-go构建的程序。出现客户端到单个IP地址长时间、大流量传输的时候,一般是不会在握手包携带任何SNI信息的。 所以基于上述分析结果,目前我们作为普通用户可以做的事情是: 1.尽可能让hysteria客户端不带SNI去握手,如果无法避免的情况下,SNI不要乱填。例如在电脑上使用nekoray时,可以在编辑服务器配置的时候勾上 不发送服务器名称指示(SNI) 2.hysteria服务端伪装设置要尽可能模拟一个web服务器的行为,对于不同的URL访问请求尽可能返回不同的回应。 3.不要使用太旧的客户端连接,因为在quic-go v0.44以后,客户端与服务器端交互行为有很大区别。服务端和客户端的版本要尽可能保持一致。 |
没用,想封你还需要理由么! |
hysteria特征特异性太明显了,尤其是垃圾vps突然爆出大量访问很容易被track。reality Tls vision也有不少问题,但是偷跑tls风险能被均摊,如果封杀1000会导致自损800,国内也有不少甚至政府条线用cloudflare,最终还得自己的客户端做好鉴权保持最新版本。 |
自建用的好好的,那些被封的估计都是rbq ip吧 |
跑hysteria被gcp识别为ddos流量了,估计是谷歌也检测到hysteria流量和普通的quic流量不一样 |
我的也是被GCP封了几个账号 |