关于GFW封锁的个人见解

[960PRO]

1.早期我们都是通过修改Hosts或DNS翻墙，GFW以DNS抢答与IP封锁废了这招。后来有了DoH（DNS over Https），GFW的DNS污染与抢答宣告失效，且DoH服务器也能使用正常域名（比如https://www.xuexi.org ）让GFW以为是个正常网站。至于IP封锁，越来越多网站使用Cloudflare等CDN让IP无法封锁，Hosts大法复活（Deviantart就可以修改Hosts进入）。即便GFW针对TLS1.2的弱点进行SNI封锁，我们也能用Nginx本地反向代理等抹除SNI的方法突破封锁。更何况TLS1.3正在大规模部署，启用ESNI功能后GFW的SNI封锁也将失效。 2.VPN这条道路也是向伪装与混淆发展，早期PPTP、L2TP、原版OpenVPN因为有强烈协议特征，GFW探测到协议后直接阻断连接（原版OpenVPN在TCP模式下握手包会被Reset，UDP模式下握手包会被丢弃）。SoftEtherVPN（VPNgate）与变体OpenVPN采用了Https伪装，得以坚挺到现在。 3.Socks5代理，早期很多人用SSH建立强加密隧道翻墙，也是因为协议特征死了。Clowwindy发明Shadowsocks拆分Socks5隧道，让GFW到现在都没头疼。Breakwall11改进Shadowsocks，发明ShadowsocksR进行伪Https混淆。但混淆不能乱用，列如SSR填写 https://www.cn.bing.com 域名混淆（GFW：那个国外IP不是必应服务器，肯定在翻墙）。V2ray与SSRoT使用了真Https混淆(用真网站转发翻墙流量)。 4.GFW目前已经不关心协议特征，许多人认为GFW的DPI与协议特征检测从2017年底起就没有升级过，并认为GFW关注流量特征（与国外IP交换过多加密流量就会被GFW怀疑翻墙。商业VPN 例外，商业VPN往往有许多企业使用，GFW不会破坏经济发展）——这能很好的解释为什么RU、FR、UK等冷门地区的翻墙节点被封概率低，而JP、HK、SG、TW、US等热门地区翻墙节点容易被封。也能解释为什么有人的SS用到现在都没事，有人的高伪装V2ray几天就被封。

[ssrlive]

懒得废话, @chinazhaoxc 已屏蔽.

[ssrlive]

五毛、自干五们的各种说辞,其目的并不是伸张社会公义, 他们所关心的仅仅是, 某党的倒行逆施不要受到谴责, 他们洗不白的就要去抹黑, 这是惯用的打烂仗的办法, 把所有的国家说成天下乌鸦一般黑, 他们的目的,不过就是把他们干的那些恶行继续干下去,不要受到别人指责.

[960PRO]

楼主，注意安全啊！这里不宜谈论政治，毕竟我们达不到某大神的安全等级（VeraCrypt加密+前置代理or Tor+社会工程学防范+多虚拟机多身份+系统加固+浏览器防范+软件防范）。为了这里所有人的安全，还是别在这里谈论政治了吧。

[ssrlive]

这个thread成了五毛的表演场. 关了清静.