MENU

浅析GFW的封禁手段

September 1, 2018 • 随笔

6月份的时候,我的个人博客域名imwyc.com无法正常访问,于是我一次接触到域名污染或叫做DNS污染的概念。但几个月过去了,仍旧没有任何解决方案。所以将域名更换为iwyc.cn,期间,还要将所有子域名进行更换,十分麻烦。下面,我对GFW封尽手段做简单的总结,附上我的一些经验。

0. 停止解析(国内)

如果域名指向的服务器在国内,检测到违规内容会直接通过云服务商停止解析,甚至直接隔离主机外网(点名腾讯云)。

1. 域名污染

又称为DNS污染,通过劫持DNS将域名指往不正确的IP地址。如果域名被防火墙盯上,通常均会遭受此劫,被解析到无法被访问的IP,从而达到封禁效果。如下图:

如何预防?

  • 使用SSL,尽量避免敏感词
  • 使用多个域名,隔离风险。例如我博客的域名为iwyc.cn,图床则使用img.imwyc.top,防止一窝端

已被污染如何解决?

  • 设置本地HOST文件,将域名指向到准确IP,但只对本地有效
  • 经验表明,如果使用国内的DNS服务(例如DNSPOD),则海内外均被污染;若使用海外的DNS服务(例如CLOUDFLARE),则只有国内被污染,可以通过海外代理访问。但此举会丧失大量不会翻墙的访客。
  • 尚无完美的解决方案,当务之急是申请新的域名吧!

!> 已备案域名并不能防止污染,被污染后也不影响备案。

2. IP封禁

将域名指向的IP地址封禁,是最原始又是最直接的方式。但这一利器用的越来越少,因为在CDN大规模普及的今天,封IP容易滥杀无辜;并且IPV4地址数量有限,容易躺枪。但如果没有绑定域名,例如各类代理工具,则还是通过封禁IP。知名服务商的IP地址,例如Google/Twitter等,也均被封禁。

如何预防?

  • 使用动态IP的服务器,例如AWS/AZURE/GCP等大厂均为免费动态IP。大部分服务商也可以申请更换IP
  • 如果是建站,可以套CDN,例如免费的CLOUDFLARE CDN,隐藏自己的源站IP

已被封IP如何解决?

  • 更换IP
  • 如果是网站,则可以通过CDN访问,见上文所述

3. TCP阻断

TCP阻断即封禁该IP地址的部分或全部端口的TCP协议,这是伴随着2017年年末某某大会而诞生的新型封禁手法,并且已经被GFW熟练运用。TCP阻断现在常用于代理服务器的封禁,例如SS(R)。具体表现为,可以PING通(通过ICMP协议),却无法连接(TCP协议被阻断)。iOS的小火箭与Windows端的SSTAP均可以批量检测TCP可用性。

如何预防?

因为TCP阻断目前主要针对各类代理软件,例如SSR等。预防它就需要使用更加科学的科学上网,合理设置加密与混淆,尝试brook/V2Ray等,但任何一种代理工具都存在封禁的可能。

已被TCP阻断如何解决?

  • 更换IP,因为此技术针对的是IP地址的端口
  • 关闭违规代理,或许存在解封可能
最后编辑于: October 13, 2018
Archives Tip
QR Code for this page
Tipping QR Code