中国大规模地封锁基于TLS的翻墙服务器 [请强烈考虑实施 uTLS ]

[josephw1122]

If more than 5 clients are simultaneously connected for a few hours (any devices, such as Windows, Android, iOS) the GFW will block the Public ipv4 address.

如果超过 5 个客户端同时连接几个小时（任何设备，例如 Windows、Android、iOS），GFW 将阻止公共 ipv4 地址。

Please implement more nondetectable elements into the protocol. 请在协议中实现更多不可检测的元素。

[josephw1122]

请强烈考虑实施 uTLS, 指纹可能被检测到。: https://github.com/refraction-networking/utls Please strongly consider implementing uTLS, the fingerprint is probably detected. : https://github.com/refraction-networking/utls https://github.com/refraction-networking/utls

"中国大规模地封锁基于TLS的翻墙服务器": https://github.com/net4people/bbs/issues/129

"自北京时间2022年10月3日起，超过一百名用户报告他们至少有一台基于TLS的翻墙服务器被封锁了。被封锁的服务器使用的协议包括了trojan，Xray，V2Ray TLS+Websocket，VLESS，以及gRPC。我们还未收到任何naiveproxy被封锁的消息。

下面是我们总结的关于这次封锁的一些信息，以其我们的一些推测和分析

封锁先是针对翻墙服务的端口。如果用户在端口被封后，改换了端口，那么整个服务器都会被封锁。需要指出，封锁似乎只是基于端口或IP地址，与翻墙服务有关的域名似乎并没有被加入到GFW的DNS或SNI黑名单中。

尽管大多数用户报告443端口被封，一部分使用非443端口的用户也报告了封锁。尽管大多数用户的服务器在流行的VPS提供商那里（比如），但至少有一位用户位于欧洲的家中的服务器也被封锁了。

在一些案例中（并非全部案例中），封锁是动态的：用户通过浏览器还是可以直接访问翻墙端口，但同一个端口，用翻墙软件就连不通。

所有以上的信息都指向GFW已经可以精准的识别并封锁这些翻墙协议，而并非简单地封锁所有的443端口，或封锁所有的流行机房。

基于以上信息，我们推测（但还未进行实证性的测量），这些封锁可能与翻墙软件客户端发出的Clienthello指纹相关。开发者们或许可以考虑采用uTLS。这个https://github.com/net4people/bbs/issues/54，这篇总结，以及这篇博文都是关于TLS指纹的，也许会有帮助。

下一步，我们将调查GFW是否真的使用了客户端发出的TLS指纹来识别这些协议。与此同时，如果您有任何翻墙服务器被封锁，或者有任何可以证实或反驳我们的推测的例子，我们都欢迎您或公开地或私下地与我们分享。因为这会帮助我们快速定位许多问题的根源。我们私下的联系方式可见GFW Report的页脚。"

[josephw1122]

我有一个想法，使用 uTLS 滚轮概念，为什么每次发送新数据包时不让指纹生成一个新指纹？ （连接时）这将使流量每秒看起来完全随机。 https://github.com/refraction-networking/utls#roller

[ZhuangJiayu]

老哥你有认真看之前的讨论帖吗？首先uTLS并不能解决问题，其次xray-core早就支持uTLS了

[josephw1122]

目前哪些客户端（如 Android、iOS 和 Windows）支持 uTLS？

[gzlboy]

最近ip好容易被封，新开服务器没两天，xray服务就不能用了@@

[ZhuangJiayu]

目前哪些客户端（如 Android、iOS 和 Windows）支持 uTLS？

自定义配置

[SekiBetu]

uTLS的未来已经明确，并不能躲避指纹检测，短期内自己试试吧，长期内可以考虑浏览器转发功能

[hedsbj]

如果是这样“如果超过 5 个客户端同时连接几个小时（任何设备，例如 Windows、Android、iOS），GFW 将阻止公共 ipv4 地址。”，那你协议如何 都不管用，它只是怀疑就干了你，类似于要白名单管理了。这样的话自己搭自己小范围内用可能 更安心

[windguider]

最近ip好容易被封，新开服务器没两天，xray服务就不能用了@@

你用的手机客户端是哪个

[phyzhenli]

最近ip好容易被封，新开服务器没两天，xray服务就不能用了@@

我也...很快就没了

[zxbiao]

说到底还是流量大和热门VPS商家的IP段原因，有些大佬说备机都基本不连的也被墙了。墙不需要知道你用什么协议，加密程度如何，只要你流量大和经常连接某些优质线路的IP段，就可以把你加入可疑名单了，加入名单之后下次就可疑触发被墙，一旦被墙之后换端口，就同于是代理服务器，所以撞墙之后一定不要从443换其他端口，套个CF的CDN苟活一下。我位于CC机房的辣鸡VPS也被墙了，套了CDN之后，今天居然解封了，能直连。

[phyzhenli]

我搭建的是纯vmess，没加任何多余的东西，两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶，都只有我自己用。以前没被封禁过，但在10.3号、10.9号和最近几天接连被封禁，换ip也很快被封。今天尝试了NaiveProxy，速度确实快，稳定性还有待观察。

[hunter-xue]

我搭建的是纯vmess，没加任何多余的东西，两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶，都只有我自己用。以前没被封禁过，但在10.3号、10.9号和最近几天接连被封禁，换ip也很快被封。今天尝试了NaiveProxy，速度确实快，稳定性还有待观察。

我也是一样的情况，Digital Ocean莫名被封，没有其他用户，自己用的流量也不大，只是日常的上网。 不过，traceroute一下，发现最终无法连接的那一条好像不是在骨干网上，是在digital ocean那一侧。已经提交了SR，等待客服回复原因...

[evolutionboy]

这张图里说的是真是假呀，好像这帐号是四小时前才注册的，我也是telegram群上看到这张截图的。 ，，，

我同时看到另有一人看过后说，"根据内鬼的说法，是aes硬件加速单元有坑 tls1.0时用rc4算法加密，所以没特征 所以麻痹的tls1.2的强特征就是aes带来的 这他妈怎么避免？好像绕不过去. 其实现在这批内鬼给出来的信息已经相当充足了，足够自圆其说了 先是透露tls1.0 tls1.1没有特征，又透露出来AES有指纹，又透露出来sm4国密算法没特征。 .”。 我也是很尊重他人隐私的，只是这消息很有必要让人分析下。且来源也都是匿 名的。 但可能 sm4国密算法，也是个套路，如果 是用真中有假的话，引到国密算法上，要是这国密算法是个套路，那，，， 所以我是不可能 推荐人用什么国密算法的。 完毕。

[betaxab]

@evolutionboy 应该是真的。这很好的解释了 Trojans 这两天也不行了。

[bbcbbk]

@evolutionboy 应该是真的。这很好的解释了 Trojans 这两天也不行了。

这样看来 我只在x86软路由上用可能也是我这次9台小鸡一个没挂的原因吧

[ghost]

@evolutionboy 也有用户报告说，电脑能连，手机就是不能。我记得 Nginx 和 Xray 都可以指定加密方法的吧？有除外AES和国密的常用加密方法（参数）吗？

[XgHao]

uTls 服务端配了后 客户端还需要配置吗

[chika0801]

uTls 服务端配了后 客户端还需要配置吗

只改客户端配置

[mclovin-2k]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

[qiangliu8183]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

你牛逼，GFW给你开绿灯

[ChainZeaxion]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

你牛逼，GFW给你开绿灯

可以反向发展，封锁是基于你的流量特征异常，那你就伪装成正常流量跑，比如某些大站的CDN，某些测速网站的CDN这样 由于使用习惯，很少有对源IP和目的IP长时间长链接大流量跑吧 如果有这种习惯，那怎么伪装，应该还是会被淦 就大部分日常使用来说，这流量都是起起伏伏 所以尽可能伪装成大站流量跑，还是比较靠谱，尤其是伪装成测速站

[mclovin-2k]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

你牛逼，GFW给你开绿灯

大多数被封端口/IP的反馈，都没有什么有效信息。与其说是反馈，不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低，很可能不了解 V2Ray / Xray 这类工具的一些常识性知识（比如禁止 Server 端访问 CN ）。 从 GoAgent、SS、SSR 到 Vmess、TLS，被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。

[littlemingone]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

你牛逼，GFW给你开绿灯

大多数被封端口/IP的反馈，都没有什么有效信息。与其说是反馈，不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低，很可能不了解 V2Ray / Xray 这类工具的一些常识性知识（比如禁止 Server 端访问 CN ）。 从 GoAgent、SS、SSR 到 Vmess、TLS，被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。

问一下，你的这些vps有手机端用户吗？目前很多人都反应说电脑连没事，安卓的v2rayng或者苹果的shadowrocket连完就要寄

[mclovin-2k]

我觉得就是你们配置/用法有问题。 我自己的卢森堡，圣何塞，新加坡，首尔等多个VPS，全部都是传统的VLESS + XTLS + WS + GRPC配置，没有一个被封的。

你牛逼，GFW给你开绿灯

大多数被封端口/IP的反馈，都没有什么有效信息。与其说是反馈，不如说是臆测/抱怨。 我只能认为这些人的技术水平偏低，很可能不了解 V2Ray / Xray 这类工具的一些常识性知识（比如禁止 Server 端访问 CN ）。 从 GoAgent、SS、SSR 到 Vmess、TLS，被封/不能用的抱怨从未停止过。 我并不觉得现在的抱怨和以前的抱怨有什么区别。

问一下，你的这些vps有手机端用户吗？目前很多人都反应说电脑连没事，安卓的v2rayng或者苹果的shadowrocket连完就要寄

当然有了，V2RayNG、SagerNet、Matsuri，我全部都用（除了iPhone）。 你说的那些人以前有，现在有，将来仍然会有。

[ChainZeaxion]

我毛子的线路已经快5年了，自从配置开出来到现在，一直没挂过，最开始sr裸奔仨月，四年前改直接前置sr后置web，三年前改前置sr后接tr再接web再接v2，两年前把尾巴上的v2加了grpc 美西俩个，有一个被鈤了半年放出来了，另一个一直没出过事 美西那个是四年前被鈤的，后面一起跟毛子线路一样时间点改过配置之后再也没被鈤过 港港线路是三年前加的，开出来就跟毛子线路一样做配置

客户端ios 安卓 windows linux routeros啥都有 app 基本上能用的都测了，不能用的也测了（那肯定连不上） 现在是直连ojbk，cdn中转ojbk 唯一的就是grpc套cdn非443，原理上少了前置sr和tr两层，用的备用8443 直连443=sr=tr/trwbst=v2=grpc=web 直连8443=v2=grpc=web

带宽速度上（大流，下载，视频缓冲） 直连 trwbst>v2wbst>sr>grpc 套cdn trwbst>v2wbst>grpc 反应速度上（小流，网页，api查询） 直连 grpc>sr>tr/trwbst/v2wbst 套cdn gprc>=trwbst>v2wbst

mux可以酌情开，对小流有明显提升，尤其是安卓客户端，很多不开mux速度死慢 大流不能太频繁新增操作，比如短时间内多次启动测速-中断测速-快速再跑测速，会导致链路阻塞断流

另外我所有线路都没禁cn，其实正常情况下，不太清楚禁不禁有多大好处，还没接触到相关资料依据

[wanglongbiao]

说到底还是流量大和热门VPS商家的IP段原因，有些大佬说备机都基本不连的也被墙了。墙不需要知道你用什么协议，加密程度如何，只要你流量大和经常连接某些优质线路的IP段，就可以把你加入可疑名单了，加入名单之后下次就可疑触发被墙，一旦被墙之后换端口，就同于是代理服务器，所以撞墙之后一定不要从443换其他端口，套个CF的CDN苟活一下。我位于CC机房的辣鸡VPS也被墙了，套了CDN之后，今天居然解封了，能直连。

确实，我一开始端口被封了，换了端口之后能用，然后 ip 就被封了，到现在还不能连上。

[azzvx]

今天试着架tuic，手贱用QQ的代理测试测通了没有，然后发现域名被封了，Xray也跟着躺枪（用的同一套证书）。 对，就是域名（或者说证书）。 双端换IP，只要TLS带SNI，秒封。 IP直接裸连正常，换域名后正常。

[ChainZeaxion]

我这环境是电信，我发现电信这激霸玩意儿发现你大流量之后先拉高延迟，再拉低带宽，基本上油管4K60fps就是个门限，也就是单线程超过50Mbps（短时间瞬发似乎问题不大）一定时间，可能超过10秒就开始搞事情了，最惨不忍睹的是延迟翻三倍，带宽拉到最大2Mbps，而且tcp丢包拉到65%，udp丢包拉到45% 但是只要你在这个门限以内，比如你各种调优限制死你最大突发就45Mbps而且小于10秒（10秒只是个推测值），那基本上就一路畅通

[yohototo]

443端口被封了会自动解封吗>_<

[HakunaMatata734]

这种就是被QoS了，如果流量一直高，就会被彻底封了。我被封过好几次

[HaiGe120]

我搭建的是纯vmess，没加任何多余的东西，两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶，都只有我自己用。以前没被封禁过，但在10.3号、10.9号和最近几天接连被封禁，换ip也很快被封。今天尝试了NaiveProxy，速度确实快，稳定性还有待观察。 你好，请问后续有被封锁吗

[phyzhenli]

我搭建的是纯vmess，没加任何多余的东西，两台vps分别位于Digital Ocean的旧金山和谷歌云的洛杉矶，都只有我自己用。以前没被封禁过，但在10.3号、10.9号和最近几天接连被封禁，换ip也很快被封。今天尝试了NaiveProxy，速度确实快，稳定性还有待观察。 你好，请问后续有被封锁吗

最近用了一个月，稳定性非常好，没有被封过。就是某些ip会在某些wifi甚至4G下连不通（ip没问题，因为在别的wifi下可以连），我后来挑了一个在所有wifi和4G下都能连的IP，一直用到现在，没有问题。

[ZqinKing]

说到底还是流量大和热门VPS商家的IP段原因，有些大佬说备机都基本不连的也被墙了。墙不需要知道你用什么协议，加密程度如何，只要你流量大和经常连接某些优质线路的IP段，就可以把你加入可疑名单了，加入名单之后下次就可疑触发被墙，一旦被墙之后换端口，就同于是代理服务器，所以撞墙之后一定不要从443换其他端口，套个CF的CDN苟活一下。我位于CC机房的辣鸡VPS也被墙了，套了CDN之后，今天居然解封了，能直连。

换不换端口没关系，只要放一段时间它就会解封，大概需要二十几天。

[chika0801]

建议关闭这个ISS

[hamedsbt]

The Trojan-Server, in my opinion, should be treated as a regular web server and should serve a web page by default. So Trojan-Server should detect requests generated by Trojan-Client? If it isn't, serve a specified web page (site).

[FisherMS]

最近ip好容易被封，新开服务器没两天，xray服务就不能用了@@ 疯了一样。

[FisherMS]

如果是这样“如果超过 5 个客户端同时连接几个小时（任何设备，例如 Windows、Android、iOS），GFW 将阻止公共 ipv4 地址。”，那你协议如何 都不管用，它只是怀疑就干了你，类似于要白名单管理了。这样的话自己搭自己小范围内用可能 更安心

现在应该就是这样了吧。

[myrisc]

我碰到个神奇的问题，oracle的鸡一个没封，联通的宽带，走的全是vless+xtls,好好的一年多了，稳得很，但是最近入手了buyvm的，开始好好的vless，几天后不行了，开不开tls全都无法翻，感觉不是墙的问题，ip也通端口也通，重装了vps也不行，但是ssr就没问题，头一次碰到这问题，难道buyvm那边封了协议

[Fangliding]

finished