-
Notifications
You must be signed in to change notification settings - Fork 4k
This issue was moved to a discussion.
You can continue the conversation there. Go to discussion →
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Cloudflare CDN 似乎被故意 干扰 / 阻断
了?标准的超时 3 分钟(刚测完速的 IP 就 443 端口超时了
#217
Comments
据说是GFW专门针对优选ip的手段,使用优选ip访问非cloudflare域名就会触发,猜测是常用的优选ip段可能有一个sni白名单。 如果是要中转梯子,解决方法其实也简单,不套tls不发sni,用80/8080等http端口连接cloudflare就行了。 |
我也遇到同样的情况,四川联通。 |
@wy580477 自从几个月前时间 Cloudflare 节点与国内联通的某条线路出问题后,常见的 104 172 这两个 IP 段里(且它们也是默认分配 IP 的范围)大部分 IP 在我这边联通就几乎不可用了(延迟高、丢包高)。。。 不过我一直以来都用的是自选 IP(我只是用来加速访问使用 Cloudflare CDN 的网站),所以没啥感觉,直到最近(大概半个月内吧),才遇到我 1L 描述的情况。 因此我很怀疑,前者的情况也和墙脱不了干系。。。 总之,目前的情况就是,我这边 Cloudflare CDN 可用性大幅降低了(不管是默认还是自选)。 |
@chenyaofo 就像我说的:一旦访问很快就超时了(但不是立马超时,会延迟几秒,所以刚开始能打开一两个网页的样子)。 |
四川电信,现象完全一样 |
楼上给个测试ip |
workers.dev已经确认是被干扰了, 现在有人的改用pages,有的人用自己的域名,设置路由指向worker |
workers很早就确认干扰了,目前cf的ip干扰现象还没发现 |
确实有干扰 |
跟楼主的阻断时间重合,将来不能嵌套cf了吗? |
这个原理是什么? |
sni阻断原理是根据tls握手时候的明文sni(域名)进行tcp阻断。绕过去方法有两个:
|
可以理解为把vless or vmess中的tls改为quic协议对吗? |
梯子中转不能用quic过cf,cf不支持quic回源。cf中转梯子可以用vmess ws无tls协议。 梯子直连情况下遇到sni阻断,可以改成quic协议绕过去。 |
Vless+ws过cf也可以把? |
vless没有tls,就是明文流量。 |
一个小时后又可以了………… |
没用的,只要连接时使用域名,http是可以探测到url的 |
哪有什么办法?昨晚到今天又稳定了 |
搜索了一下,针对SNI泄露域名的问题,后来有ESNI(Encrypted SNI)来解决,但有ESNI协议的包直接被GFW屏蔽了,最新的解决方案应该是ECH(Encrypted Client Hello, TLS 1.3协议的一个扩展)。 |
这两天稳定了 |
终于有人提这个了。我是联通移动双卡,今年4.15前后开始联通网突然出现CF CDN被严重丢包断流的情况。不是墙,就是运营商搞的。目前已知全国大部分联通网和少部分电信网有这个问题。移动网完全正常。 |
这段时间vless+ws+tls用cf优选节点中转一直被阻断,于是我按大佬提到的方式改为vmess+ws直接连cf的80端口中转,然后发现所有的cf优选节点都能用了,尽管cf的优选节点ping不通,但是还是能连上,速度也很快,就不知道vmess+ws不套tls有什么风险? |
不套tls意味着GFW可以知道你用了某种加密协议,理论上vmess加密后应该看起来是随机的数据,GFW不知道你想通过梯子访问的最终目的地。如果GFW想通过某种猜测来封禁的话,是可以采取“我不认识的就是翻墙,除非你主动向我报备”的策略的。 |
这两天稳定了……… |
是不是意味着我用VMESS+WS套上CF,服务器IP被隐藏了不会被墙,但是域名有可能被墙对吗? |
是的。 |
实际情况是,很多这样的节点都是『不小心』泄露出来的,比如我写的『SNI代理但没有校验主机名』 |
好吧。。。果然不加密放上网默认就是共享。。。 |
你可以做个实验,用国外VPS开个socks代理,不鉴权,就默认1080端口 这么做了之后,很大概率的是,三天内你的服务器IP会出现在各大免费代理网站 |
又开始阻断了5月6日开始。又是碰某个cfcdn的网页或者app 就直接断3分钟 |
开启cdn就访问不了,关了才能用自己搭建的节点 |
公司专线就没事, 家里电信宽带 测完ip就不能用了 糟心啊 |
目前好像只要访问cf的cdn服务就会阻断 |
上海电信又在作妖,ss+v2ray plugin在上海电信下用不了,google one vpn 也连不上了 |
google one vpn看了一下,似乎是2153/UDP和443/UDP,可能是自家协议(至于你说是不是用的QUIC,这难讲),但是据我了解呢,443/UDP运营商很多都block,而且只要是UDP也有干扰 SS+V2Plugin不知道你外层(V2插件)用的是什么插件(毕竟从第三人看来,他只能看到你的外层协议,WS就看到WS,WS+TLS就只看到TLS,除非主动探测),如果是用WS+TLS过CF CDN的话,阻断的可能性比较高,但这和协议无关,主要还是目标IP是CF的IP的问题 |
ss只有域名没上cdn,应该是ws,没有tls,只用来打游戏或连google one vpn,我的操作是,pixel点开vpn
,连的过程中点开ss,最终是vpn 连接成功,ss关掉。
昨晚ss 能ping 通但无法访问外网,于是我就换了个没上cdn 的vless ws tls 成功了,刚才试了下ss 可以访问外网了,但vpn
连不上,换了之前能用的vless 也连不上了,所以怀疑是运营商针对google one vpn 做了什么。
在另一个地方的联通网络下都正常。
…On Sat, May 13, 2023, 10:46 AM MFWT ***@***.***> wrote:
上海电信又在作妖,ss+v2ray plugin在上海电信下用不了,google one vpn 也连不上了
google one
vpn看了一下,似乎是2153/UDP和443/UDP,可能是自家协议(至于你说是不是用的QUIC,这难讲),但是据我了解呢,443/UDP运营商很多都block,而且只要是UDP也有干扰
SS+V2Plugin不知道你外层(V2插件)用的是什么插件(毕竟从第三人看来,他只能看到你的外层协议,WS就看到WS,WS+TLS就只看到TLS,除非主动探测),如果是用WS+TLS过CF
CDN的话,阻断的可能性比较高,但这和协议无关,主要还是目标IP是CF的IP的问题
—
Reply to this email directly, view it on GitHub
<#217 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/AB5B7HBUIRZXMS4SOWIG5X3XF3YXXANCNFSM5WXU624Q>
.
You are receiving this because you are subscribed to this thread.Message
ID: ***@***.***>
|
google one vpn毕竟还是VPN,单单是UDP这个就足够你喝一壶了 |
对没错,现在我无法访问一些屏蔽云服务机房的服务了,比如chatGPT ,好烦,或许我该试试cf warp了
…On Sat, May 13, 2023, 11:03 AM MFWT ***@***.***> wrote:
google one vpn毕竟还是VPN,单单是UDP这个就足够你喝一壶了
—
Reply to this email directly, view it on GitHub
<#217 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/AB5B7HEQ26DREXH7JFPR2UDXF32ZVANCNFSM5WXU624Q>
.
You are receiving this because you are subscribed to this thread.Message
ID: ***@***.***>
|
CF WARP 也有概率不行,不过显然比Google VPN(出口就是Google机房)要好那么一点 |
AWS非tls仅http也断流…请问你们都只有cf断流吗 |
从昨天开始 cf cdn tls 被随机阻断,无法完成握手 |
宽带断线重拨试试。 |
晚上移动这种情况特别频繁,现在有什么好办法解决么? |
正常访问 plex.tv 然后就所有访问CF的网站都被阻断了 这啥情况啊 |
大概率运营商搞鬼 |
世界加钱可及 |
电信表示有些时候v6也会阻断 |
云南联通表示也遇到了, 域名加www 一会儿访问不到 换成 不加的又行了, 来来回回 反反复复 我还以为我的问题呢 |
成都电信5月13日开始,感受到gfw发疯的威力了,做的vless+ws+tls的节点全部用不了,换ip挂上直接又用不了,各方打听后是gfw发威精准识别tls。。。。这是6月提前禁言了? |
懂了,被扫了。。。 |
你们的遇到的不是错觉,3 天前 Cloudflare CDN 就发现了来自中国的流量有所下降(显然是异常/罕见的明显下降,否则也不会引起 Cloudflare 官方关注),最后调查结果是:该问题和 Cloudflare 网络无关,并且可能会继续下去。 |
我说说我的看法,我还是相信TLS连接到CF IP段的,都会遭到一定程度的干扰。实话实说,GFW怎么可能不知道CF IP段是多少,把本项目的ip.txt拉下来导入到那边的软件就可以重点监控了 对于确实是用CF的大公司的网站,SNI白名单也没有我们想象中的那么难(你想想,PAC文件不是一个道理?只是一个白名单一个黑名单罢了),这部分网站跳过就行了 对于一些非常小众的域名后缀(特别是便宜那些),我感觉GFW还会额外关照,毕竟还会有什么正经大公司用那么奇怪的域名呢:egfitoltihgg114514.top?是生怕客户找到了你的网站吗? 平时,这种可能性可能小一点,但是现在是五月十五号,距离下个月四号也就两周多一点,很难让人不怀疑GFW那边正在进行『相对激进的流量屏蔽方法』的相关试验,在他们看来,现在就是『宁可错杀一千,不可放过一个』的时候了 我还是建议,多备几个协议,多备几条线路,我们的辛苦时期要来了 |
企业网段可解,看 @pressdot 的 https://github.com/pressdot/Cloudflare_IP 如果知道怎么绕过域名限制 |
@rabbit2123 治标不治本,这种 IP 段用的人多了,按照以往的经验,要么被 Cloudflare 发现并限制域名,要么就会被加到墙的干扰阻断黑名单里了(当初就是这样一点一点加 IP 段的)。。。无非就是延长一会儿死亡时间罢了~ 只要代理套 CDN 的情况还存在,这种问题就不会停止,慢慢的所有国外 CDN 都会 G 了(目前已知 Cloudflare CDN、AWS CloudFront CDN、Gcore CDN、Fastly CDN 都出现了干扰阻断现象,即常见的 CDN 已经废了一半了)。 建议大家使用 新协议、冷门协议、冷门 IDC 去做代理,代理套 CDN 这条路已经能看到尽头了。。。 |
This issue was moved to a discussion.
You can continue the conversation there. Go to discussion →
以前一直看到有人说 Cloudflare CDN 的 IP 被干扰阻断,但是我联通一直没遇到,不过最近我这边也出现了类似的情况。
而且我这次很确定是 运营商/墙 干的,干扰的很厉害。
同一个 IP,不访问时一切正常(ICMP、TCP 通顺),一旦 HTTPS 访问很快就 443 端口 TCP 超时了(但不是立马超时,会给你预留几秒,ICMP、TCP 80 通顺),而且还是标准的 3 分钟整,太规律了就显得太假了。
这让我想到了 Steam、Github 的 SNI 干扰(不过这个是根据域名来超时 IP 的,不在乎是什么 IP。而 Cloudflare 这个是针对其CDN IP 的,暂时称为 IP 干扰吧),也是一但访问可能就会超时 3 分钟整,都是只局限于单个宽带用户(即只有你超时,其他人哪怕是邻居也完全不受影响)。
因此大家可能会遇到,测速完成后,延迟正常、下载速度也挺快,但是拿去使用却用不了(或者 IP 的 443 端口超时了),就是因为在下载测速阶段(HTTPS 访问)触发了上面说的 IP 阻断情况,导致该 IP 刚测速完就 G 了。。。
有时候刚用 CloudflareST 测完速(有下载速度就代表 IP 可用),得到的 IP 就 443 端口超时 3 分钟了,非常规律。
看来距离 Cloudflare "自愿" 退出中国不远了,我已经完全改用 IPv6 了,应该会多撑一段时间,且用且珍惜。
目前已知 Cloudflare CDN、AWS CloudFront CDN、Gcore CDN、Fastly CDN 都出现了同样的干扰阻断现象(仅 IPv4)。
有遇见类似情况的没有?可以讨论交流下。
The text was updated successfully, but these errors were encountered: