[discussion] 近期大范围的服务器封锁及对策

[showgood163]

信息源是： https://github.com/net4people/bbs/issues/129

大规模封锁现象指： 自北京时间2022年10月3日起，超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan，Xray，V2Ray TLS+Websocket，VLESS，以及gRPC。我们还未收到任何naiveproxy被封锁的消息。

当前“结论”： 基于以上信息，我们推测（但还未进行实证性的测量），这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个论文阅读小组，这篇总结，以及这篇博文都是关于TLS指纹的，也许会有帮助。

请问xray这边是否需要做针对性的调整？

[HSK077]

只封了443端口，使用移动宽带，暂时改用8443正常 安装方法：Xray手动安装教程 被封前夕有大流量跑4k，测速

[chika0801]

信息源是： net4people/bbs#129

大规模封锁现象指： 自北京时间2022年10月3日起，超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan，Xray，V2Ray TLS+Websocket，VLESS，以及gRPC。我们还未收到任何naiveproxy被封锁的消息。

当前“结论”： 基于以上信息，我们推测（但还未进行实证性的测量），这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个https://github.com/net4people/bbs/issues/54，[这篇总结](https://gfw.report/blog/v2ray_weaknesses/zh/#%E7%8B%AC%E7%89%B9%E7%9A%84tls-clienthello%E6%8C%87%E7%BA%B9)，以及[这篇博文](https://zhufan.net/2022/06/18/tls%E6%8F%A1%E6%89%8B%E6%8C%87%E7%BA%B9%E6%A3%80%E6%B5%8B%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E6%B5%81%E9%87%8F/)都是关于TLS指纹的，也许会有帮助。

请问xray这边是否需要做针对性的调整？

换udp类的2个 hy或tuic

[yang05051]

只封了443端口，使用移动宽带，暂时改用8443正常 安装方法：Xray手动安装教程 被封前夕有大流量跑4k，测速

现在也会封8443端口了

[HSK077]

只封了443端口，使用移动宽带，暂时改用8443正常 安装方法：Xray手动安装教程 被封前夕有大流量跑4k，测速

现在也会封8443端口了

我又换成50000了 我要试下楼上建议的tuic协议

[danhacker725]

你的预判已经被预判到了 xray在21年就已经支持utls v1.4.2版本 https://github.com/XTLS/Xray-core/releases?q=utls&expanded=true

[javeil]

3台主机全部封锁443端口 A主机Vless+xtls B主机trojan+xtls C主机trojan+ xtls, AB主机为一个供应商，C为另外一个，所有主机22端口可直接登录，443端口503，C主机直接更换为VMESS随机端口可正常使用，AB更改为VMESS不行，B主机更换IP后trojan或vless依然不行，改为vmess随机端口正常

[SkywalkerDarren]

非443端口被封2个，一个是vless+xtls，一个是vless+ws，换端口后修复。

[SheepChef]

被封后，把vmess+tls+ws的域名打开了CloudFlare CDN的代理。原端口恢复正常访问。

[javeil]

3台主机全部封锁443端口 A主机Vless+xtls B主机trojan+xtls C主机trojan+ xtls, AB主机为一个供应商，C为另外一个，所有主机22端口可直接登录，443端口503，C主机直接更换为VMESS随机端口可正常使用，AB更改为VMESS不行，B主机更换IP后trojan或vless依然不行，改为vmess随机端口正常

经过实验重新配置为vless+tls+ws 域名开启cloudflare CDN，tls完全加密，443可访问，问题修复

[SheepChef]

3台主机全部封锁443端口 A主机Vless+xtls B主机trojan+xtls C主机trojan+ xtls, AB主机为一个供应商，C为另外一个，所有主机22端口可直接登录，443端口503，C主机直接更换为VMESS随机端口可正常使用，AB更改为VMESS不行，B主机更换IP后trojan或vless依然不行，改为vmess随机端口正常

经过实验重新配置为vless+tls+ws 域名开启cloudflare CDN，tls完全加密，443可访问，问题修复

GFW 针对Cloudflare 并不敢大规模应用封锁。许多合法的政府官方网站也运行在上面，而且Cloudflare的服务器遍布世界各地，IP段太多容易误封，因此只敢针对SNI进行过滤。此种方法确实对V2ray可行。

[taanng]

10.3 被ban 443

[yiceho]

腾讯和AWS的，hysteria UDP高位端口都被封了。

[chika0801]

腾讯和AWS的，hysteria高位端口都被封了。

aws你开hy跑得动？我在东京试过不行

[yiceho]

腾讯和AWS的，歇斯底里高位端口都被封了。

aws你开hy跑得动？我在东京试过不行

可以啊，新加坡能跑满

[chika0801]

腾讯和AWS的，歇斯底里高位端口都被封了。

aws你开hy跑得动？我在东京试过不行

可以啊，新加坡能跑满

谢谢回复

[frank-pian]

套CDN肯定没问题，但是降速也是明显的，本来CN2的线路套了CDN，不知道绕到哪去了

[SheepChef]

3台主机全部封锁443端口 A主机Vless+xtls B主机trojan+xtls C主机trojan+ xtls, AB主机为一个供应商，C为另外一个，所有主机22端口可直接登录，443端口503，C主机直接更换为VMESS随机端口可正常使用，AB更改为VMESS不行，B主机更换IP后trojan或vless依然不行，改为vmess随机端口正常

经过实验重新配置为vless+tls+ws 域名开启cloudflare CDN，tls完全加密，443可访问，问题修复

提醒一下，使用CF代理非HTML内容违反了其TOS（用户服务协议），在账户层面上有违规封号的风险。

[javeil]

3台主机全部封锁443端口 A主机Vless+xtls B主机trojan+xtls C主机trojan+ xtls, AB主机为一个供应商，C为另外一个，所有主机22端口可直接登录，443端口503，C主机直接更换为VMESS随机端口可正常使用，AB更改为VMESS不行，B主机更换IP后trojan或vless依然不行，改为vmess随机端口正常

经过实验重新配置为vless+tls+ws 域名开启cloudflare CDN，tls完全加密，443可访问，问题修复

提醒一下，使用CF代理非HTML内容违反了其TOS（用户服务协议），在账户层面上有违规封号的风险。

也是无奈之举，cn2 gia的线路被迫走cdn😂

[cross-hello]

Tls over Tls could be detected. https://github.com/net4people/bbs/issues/129#issuecomment-1268210545

[lizkes]

赞成使用uTls，这两天已经被封两次了

[azzvx]

难怪这几天Xray速度暴增。我这里Xray+WS+TLS(Nginx)+Nginx网站镜像+IPv6，一直很稳。

[arminaghebati]

در تاریخ پنجشنبه 6 اکتبر 2022،‏ 17:27 Chou Linxi @.***> نوشت:

难怪这几天Xray速度暴增。我这里Xray+WS+TLS(Nginx)+Nginx网站镜像+IPv6，一直很稳。

— Reply to this email directly, view it on GitHub https://github.com/XTLS/Xray-core/issues/1237#issuecomment-1270100202, or unsubscribe https://github.com/notifications/unsubscribe-auth/A3OJEPZZWBWZJYGLFFCGJXTWB3LFHANCNFSM6AAAAAAQ4ZHZCE . You are receiving this because you are subscribed to this thread.Message ID: @.***>

[zbluekuma]

请问xray如何配置uTLs，客户端和服务器端的xray版本都是1.6.0 目前使用的协议是：vless+ws+tls 在客户端的xray配置文件中，我找到了tlssetting，然后增加了如下一句，不知对否： "tlsSettings": { "fingerprint": "chrome" } 另外给各位提供一下uTLs的其他配置选项 "" // 不伪造，默认值 "chrome" "firefox" "safari" "randomized" // 随机生成的，不是三选一

[chika0801]

请问xray如何配置uTLs，客户端和服务器端的xray版本都是1.6.0 目前使用的协议是：vless+ws+tls 在客户端的xray配置文件中，我找到了tlssetting，然后增加了如下一句，不知对否： "tlsSettings": { "fingerprint": "chrome" } 另外给各位提供一下uTLs的其他配置选项 "" // 不伪造，默认值 "chrome" "firefox" "safari" "randomized" // 随机生成的，不是三选一

配了,可能没用的

你实在要试,开xray前置 vless tcp tls方式，客户端加参数，比如在v2rayn ng里用，只能用自定义配置的方式

[crmmc]

2022.10.05， 2022.10.07 vless+xtls回落vmess回落trojan端口456被封，更换 vless+tls回落 2345端口被封，vmess http伪装正常，naiveproxy正常 要是xray默认配置tls指纹伪装可能会好很多，两次被封都是因为使用v2rayng长时间看ytb逛twitter，逛着逛着就被封了，v2rayng不能在图形化界面选择客户端tls指纹模拟，只能导入自定义配置

[AxIauk]

服务器：vless+xtls ， 客户端：android，win电脑，linux电脑用透明代理， 习惯：google主页，手机套件及相关服务，油管。 2022.10.03封443，2022.10.06改端口再被封。2022.10.07 使用xray改成shadowsocks，2022-blake3-aes128-gcm测试中，linux电脑上因不会修改透明代理配置暂未启用。

[HSK077]

套CDN肯定没问题，但是降速也是明显的，本来CN2的线路套了CDN，不知道绕到哪去了

不点亮小云朵使用自选/优选ip也是可以的，效果等同套CDN

[frank-pian]

套CDN肯定没问题，但是降速也是明显的，本来CN2的线路套了CDN，不知道绕到哪去了

不点亮小云朵使用自选/优选ip也是可以的，效果等同套CDN

请问使用CF优选IP速度怎么样？能达到CN2 GIA速度百分之多少？我用的搬瓦匠CN2东京机房，正考虑用CDN保护一下

[Frank997]

2022.10.08 切换到 vless+ws+cloudflare cdn， 上网一小时，被封了俩端口

[Frank997]

服务器：vless+xtls ， 客户端：android，win电脑，linux电脑用透明代理， 习惯：google主页，手机套件及相关服务，油管。 2022.10.03封443，2022.10.06改端口再被封。2022.10.07 使用xray改成shadowsocks，2022-blake3-aes128-gcm测试中，linux电脑上因不会修改透明代理配置暂未启用。

问下现在你的ss被封了吗？

[chika0801]

https://github.com/net4people/bbs/issues/129#issuecomment-1272267254

早说了换hysteria tuic吧

[BI7PRK]

我注意到一个现象，请各位留意一下。这种情况是否真的存在：

端口被block，换端口恢复正常。在路由跑也很稳定。只要用手机v2rayNG连接后就会再次被卡端口。如果真的如此，那就移动设备被盯着了。--Mi12

[AxIauk]

服务器：vless+xtls ， 客户端：android，win电脑，linux电脑用透明代理， 习惯：google主页，手机套件及相关服务，油管。 2022.10.03封443，2022.10.06改端口再被封。2022.10.07 使用xray改成shadowsocks，2022-blake3-aes128-gcm测试中，linux电脑上因不会修改透明代理配置暂未启用。

问下现在你的ss被封了吗？

目前没有，出问题再来汇报。

[HSK077]

套CDN肯定没问题，但是降速也是明显的，本来CN2的线路套了CDN，不知道绕到哪去了

不点亮小云朵使用自选/优选ip也是可以的，效果等同套CDN

请问使用CF优选IP速度怎么样？能达到CN2 GIA速度百分之多少？我用的搬瓦匠CN2东京机房，正考虑用CDN保护一下

我没有CN2机器，普通的RN洛杉矶，看4K没问题的

[YC2048]

服务器：vless+xtls ， 客户端：android，win电脑，linux电脑用透明代理， 习惯：google主页，手机套件及相关服务，油管。 2022.10.03封443，2022.10.06改端口再被封。2022.10.07 使用xray改成shadowsocks，2022-blake3-aes128-gcm测试中，linux电脑上因不会修改透明代理配置暂未启用。

我和你经历也很相似，我就自己用的小水管，先是443被封之后改用ss，结果第二天下午1点左右不到10分钟的时间里所有端口被端掉，这是我第一次亲眼看我ip是怎么被干的，全国测试只有一个海南节点完全可用，还有一些是高丢包，大部分节点都是完全挂，然而换了个IP就睡了一觉，第三天起来又是整个ip被端，现在暂时down掉了原来那条机子，完全换了厂商、机子和IP位置希望可以用的久一点。

[est]

而且Cloudflare的服务器遍布世界各地，IP段太多容易误封

当年你们也是这样说 google 家的啦。。。

[Frank997]

我注意到一个现象，请各位留意一下。这种情况是否真的存在：

端口被block，换端口恢复正常。在路由跑也很稳定。只要用手机v2rayNG连接后就会再次被卡端口。如果真的如此，那就移动设备被盯着了。--Mi12

我今天被封的两个端口，在被封之前不久，都使用v2rayNG连接过，我留意一下，换个新端口，但不使用v2rayNG，看看还会不会被封

[ZqinKing]

oracle vless+xtls+nginx 443端口将近一年了，依旧坚挺，没掉过。

[AxIauk]

别试了，xray + ss2022 也挂了。第三次居然直接封IP了。

[Frank997]

别试了，xray + ss2022 也挂了。第三次居然直接封IP了。

我目前还是用的vless+xray，换了个端口，暂时还存活

[Frank997]

oracle vless+xtls+nginx 443端口将近一年了，依旧坚挺，没掉过。

我的配置和你的一样，一直没问题，但前几天就被封了

[zzl81cn]

只封了443端口，使用移动宽带，暂时改用8443正常 安装方法：Xray手动安装教程 被封前夕有大流量跑4k，测速

管用，昨天路上用了下v2rayNG，不能真跟这个有关系吧，看来得寻摸个机场做备选了。

[superchun]

目前情况，服务器能ping通，ping.pe 所有端口都挂了……

[Fangliding]

@superchun GG

[aawwsslll]

前几天vless + xlts被封443端口，vmess + http暂时没被封，其实我前两年一直都是是vmess + http没被封过。

[yuhan6665]

我在实验版本中增加了最简单的 tls 握手长度混淆 https://github.com/XTLS/Xray-core/pull/1235 大家可以试试 https://github.com/XTLS/Xray-core/actions/runs/3212748729

[Frank997]

我注意到一个现象，请各位留意一下。这种情况是否真的存在： 端口被block，换端口恢复正常。在路由跑也很稳定。只要用手机v2rayNG连接后就会再次被卡端口。如果真的如此，那就移动设备被盯着了。--Mi12

我今天被封的两个端口，在被封之前不久，都使用v2rayNG连接过，我留意一下，换个新端口，但不使用v2rayNG，看看还会不会被封

换新端口后没用v2rayNG，使用了一天，依然存活，但不确定是不是偶然现象。 目前换到naiveproxy了，看还会不会被封。

[BI7PRK]

我注意到一个现象，请各位留意一下。这种情况是否真的存在： 端口被block，换端口恢复正常。在路由跑也很稳定。只要用手机v2rayNG连接后就会再次被卡端口。如果真的如此，那就移动设备被盯着了。--Mi12

我今天被封的两个端口，在被封之前不久，都使用v2rayNG连接过，我留意一下，换个新端口，但不使用v2rayNG，看看还会不会被封

换新端口后没用v2rayNG，使用了一天，依然存活，但不确定是不是偶然现象。 目前换到naiveproxy了，看还会不会被封。

是的，反正我没开 v2rayNG 就稳定存活。

[zbluekuma]

xray用vless+ws+tls端口封了3次，昨天开始我换用ss+kcptun了，目前正常。

[SkywalkerDarren]

我注意到一个现象，请各位留意一下。这种情况是否真的存在： 端口被block，换端口恢复正常。在路由跑也很稳定。只要用手机v2rayNG连接后就会再次被卡端口。如果真的如此，那就移动设备被盯着了。--Mi12

我今天被封的两个端口，在被封之前不久，都使用v2rayNG连接过，我留意一下，换个新端口，但不使用v2rayNG，看看还会不会被封

换新端口后没用v2rayNG，使用了一天，依然存活，但不确定是不是偶然现象。 目前换到naiveproxy了，看还会不会被封。

是的，反正我没开 v2rayNG 就稳定存活。

已过4天 自从换端口后 v2rayNG常开 稳定存活 --谷歌亲儿子