全球主机交流论坛

标题: 墙已经可精准识别ss/ssr流量特征 [打印本页]

作者: taojson 时间: 2018-1-30 16:59
标题: 墙已经可精准识别ss/ssr流量特征
本帖最后由 taojson 于 2018-2-11 17:23 编辑

先说明：我所在地区目前没事，也就是说墙应该是在进行试点工作或逐渐部署。

事件如下：
   我朋友是在另一个省，也是ss/ssr多年的老手。今天跟我说他的多个ss在早上突然不可用。但ip和端口都正常，通过其它协议都是可以直接访问的。多台服务器都是一样情况。
   为确认是否为服务器被黑，把多台服务器都重装了，情况还是一样。
   他将他的ss信息给我，我于本地连接使用，一切正常。我将我本地可使用的ss给他，他那出现一样的不可访问情况。

   为确认是否为他所使用的网络（公司）本身有问题，于中午时间，通过手机流量，测试了移动、联通、电信的网络，全部出现一样的情况。
为确认是否为的电脑有问题，借用了多个手机、笔记本，在移动、联通、电信网络都进行了测试，全部一样。

我在他的电脑和服务器上抓包分析。
发现：在与ss服务端进行tcp握手确认的阶段，被reset.
为了确认是否真为tcp链接被reset，先后测试了近二十多个ss服务，测试了多个加密和混淆组合，包括自建的，网上分享的，还是两个收费的，都被reset.

联系与朋友同市但不同区的另一人，配合测试，全部不可使用。
联系与朋友同省但不同市的另一人，配合测试。全部都可使用。

----------------------------------------------------
上述描述重点：
   1.服务器ip和端口，在国内是可正常访问的。
   2.非ss协议，就算用同一个端口，都是可正常使用的
   3.只要是ss/ssr协议(哪怕是第一次用)，立刻reset


=====================
补充：
   ss的无流量特征，我也不怎么相信墙能在建议tcp连接时就reset.

   所以我又重新试了几次，发现以下规律（但不是每次都重现）
   1.新开的一台vps，手工安装的ssr,ssr源码为原版，第一次请求，连接建立成功了，但是立马就断
   2.之后，ssr客户端不断的重试，与服务端的连接决大多数都被reset
   3.偶尔服务端能接到请求数据，服务端日志会刷connect reset 或unsupported addrtype，刷哪种错不固定。

总的感觉是，墙能识别，识别后开始开扰tcp连接，开扰tcp连接的同时还修改数据

===================
说要抓包数据的，不是我舍不得，抓包数据我原封不动上传吧，我这的地址就暴露了，
我把我信息从包数据里移除吧，可能你们会觉得我数据造假。
===================
反正我这还正常，出事的朋友是江西人。
==================
各家自扫门前雪，晚上老子还吃鸡

===========================================================
2018-02-10恢复正常，应该是墙的一波测试完美结束

作者: Sulf1ron 时间: 2018-1-30 17:00
卧槽

作者: 安之若素 时间: 2018-1-30 17:00
日经贴~~~字数补丁

作者: 兔斯基 时间: 2018-1-30 17:00
提示: 作者被禁止或删除内容自动屏蔽

作者: westyl 时间: 2018-1-30 17:00
666走一波

作者: info 时间: 2018-1-30 17:01
443走一波。。。

作者: laokof4n 时间: 2018-1-30 17:03
提示: 作者被禁止或删除内容自动屏蔽

作者: yousihai 时间: 2018-1-30 17:04
酸酸r的http_simple或者http_post混淆，前几个报文和正常的http协议是完全一致的，反而是常用的tls的首包是不同的，墙从首包是没法看出来什么特征的，更不用说tcp握手阶段就能识别。
tcp都没握手，一个字节都没法送，墙怎么就能知道你是酸酸了？

作者: 非凡 时间: 2018-1-30 17:04
无图无真相。

作者: liusu 时间: 2018-1-30 17:05
提示: 作者被禁止或删除内容自动屏蔽

作者: zgangang 时间: 2018-1-30 17:06
坐等大牛福尔摩斯

作者: 贾超 时间: 2018-1-30 17:06
怎么办呢？是不是关机就好了？

作者: 流河旱树 时间: 2018-1-30 17:06
请来识别我谢谢

作者: william 时间: 2018-1-30 17:06
换端口各种换呗

作者: yangxiaozhi 时间: 2018-1-30 17:07
提示: 作者被禁止或删除内容自动屏蔽

作者: 梅长苏 时间: 2018-1-30 17:07
tdpdump试试

作者: taojson 时间: 2018-1-30 17:08
本帖最后由 taojson 于 2018-1-30 17:09 编辑

yousihai 发表于 2018-1-30 17:04
酸酸r的http_simple或者http_post混淆，前几个报文和正常的http协议是完全一致的，反而是常用的tls的首包是 ...

我也知道这一点啊。
从用ssr的第一天，一直听到宣传就是流量无特征。
我从午饭后，一直帮着测到现在，实际情况就是被reset了。

到底墙是大数据统计预测出来的，还是密码学分析出来的，鬼知道。

作者: yousihai 时间: 2018-1-30 17:10

taojson 发表于 2018-1-30 17:08
我也知道这一点啊。
从用ssr的第一天，一直听到宣传就是流量无特征。
我从午饭后，一直帮着测到现在，实 ...

估计还是上面说的主动探测，肯定是发现了酸酸和酸酸r在响应报文时的缺陷。

作者: plyu007 时间: 2018-1-30 17:12
是，最近我也遇到这样的情况（广州电信）。但比较奇怪的是，跑KCP倒问题

PS，同样配置，联通是OK的，但也不敢一定是被识别，因为打开一些常规的国外网站，也是失败，不知道是不是电信内容出现了问题，现在还在观望

作者: 小小泥娃 时间: 2018-1-30 17:12
火钳留名

作者: kyotrue 时间: 2018-1-30 17:15
看来是试点，以后只有自己制作协议了

作者: yousihai 时间: 2018-1-30 17:15

taojson 发表于 2018-1-30 17:08
我也知道这一点啊。
从用ssr的第一天，一直听到宣传就是流量无特征。
我从午饭后，一直帮着测到现在，实 ...

你应该在服务器上抓包，看看是不是收到了来自奇怪ip的特别报文

作者: 冻猫 时间: 2018-1-30 17:15

plyu007 发表于 2018-1-30 17:12
是，最近我也遇到这样的情况（广州电信）。但比较奇怪的是，跑KCP倒问题

PS，同样配置，联通是OK的，但也 ...

我也有朋友广州的，也是说不能用

作者: xunmeng 时间: 2018-1-30 17:16
测试了多少协议？

作者: plyu007 时间: 2018-1-30 17:18

冻猫发表于 2018-1-30 17:15
我也有朋友广州的，也是说不能用

更倾向是电信内部问题，现在不开混淆，暂时还是OK的……

作者: ddnpc 时间: 2018-1-30 17:20
提示: 作者被禁止或删除内容自动屏蔽

作者: my49cn 时间: 2018-1-30 17:21
好像是封了端口（8989和默认），ss没有那么容易封

作者: ajun59420 时间: 2018-1-30 17:25

plyu007 发表于 2018-1-30 17:12
是，最近我也遇到这样的情况（广州电信）。但比较奇怪的是，跑KCP倒问题

PS，同样配置，联通是OK的，但也 ...

大东莞表示正常

作者: 贾正京 时间: 2018-1-30 17:26
能透露下哪个省市吗？

作者: small_5 时间: 2018-1-30 17:26
SS N久以前我这边是连接重置了，但是ssr这边协议混淆这么多，也不是所有的都能被识别吧

作者: yousihai 时间: 2018-1-30 17:27
楼主去抓个报文，然后发上来让我们看看呗

作者: zerahhah 时间: 2018-1-30 17:32
如果是真的，应该有很多有也会有这种情况吧

作者: nuke 时间: 2018-1-30 17:33
哪个省市，说出来让同地的网友试试

作者: greensnow 时间: 2018-1-30 17:34

yangxiaozhi 发表于 2018-1-30 17:07
它不可以去嗅探？
别以为墙只是在那里被动地阻拦，难道没听过github被攻击事件？必要时候只要我D想搞事分 ...

我也發現墻的確是會主動探測的，曾經ssh端口在我鏈接了之後，出現了不明ip的鏈接，然後不久ssh端口就被墻了

作者: xiuuscv 时间: 2018-1-30 17:35
等我也出现楼主朋友这种奇怪现象的时候我就相信

作者: intel00000 时间: 2018-1-30 17:43
ss连接重置很正常

作者: doruison 时间: 2018-1-30 17:55

taojson 发表于 2018-1-30 17:08
我也知道这一点啊。
从用ssr的第一天，一直听到宣传就是流量无特征。
我从午饭后，一直帮着测到现在，实 ...

实际上无特征就是最大的特征。互联网上，特别是tcp，绝大多数流量都是有特征的，所谓无特征，完全是自以为是的设计。

作者: 咸鱼突刺 时间: 2018-1-30 18:04
大局域网时代

作者: plyu007 时间: 2018-1-30 18:26

ajun59420 发表于 2018-1-30 17:25
大东莞表示正常

同样配置，我有给珠海的电信同时测，也是正常的，个人目前还是倾向内部异常

作者: Freetion 时间: 2018-1-30 18:31
提示: 作者被禁止或删除内容自动屏蔽

作者: pce0835 时间: 2018-1-30 18:32
没碰到过这情况

作者: fangjianliu 时间: 2018-1-30 18:53
墙部署在三大出口，如果能识别理论上在同一个出口出去的都不行。像江苏电信就干过墙speedtest的事，也干过steam连接reset的事，其他省就正常

作者: enta 时间: 2018-1-30 18:54

fangjianliu 发表于 2018-1-30 18:53
墙部署在三大出口，如果能识别理论上在同一个出口出去的都不行。像江苏电信就干过墙speedtest的事，也干过s ...

拿衣服吧，图样图森破

作者: ctmj01 时间: 2018-1-30 19:02
哈哈哈福建一直正常

作者: 120910266 时间: 2018-1-30 19:06
不明觉厉

作者: token 时间: 2018-1-30 19:10
如果单单是酸酸被墙了，反正坛子里大佬多，总会有新科技的

作者: yy6002110043 时间: 2018-1-30 19:12
挂pt的瑟瑟发抖

作者: 马克斯 时间: 2018-1-30 19:12
难道以后只能自学技术破墙了？

作者: 花样撸管冠军 时间: 2018-1-30 19:19
你又用我头像骗人了

作者: 咸鱼突刺 时间: 2018-1-30 19:20
围观学习

作者: lawject 时间: 2018-1-30 20:44
现在能做的也只有见一步走一步咯~~~

作者: lanxuejd 时间: 2018-1-31 00:49
我靠老哥，你别吓我！

作者: shenrui01 时间: 2018-1-31 00:51
我去。我试着用用别的吧==

作者: GeekDuanLian 时间: 2018-1-31 01:23
提示: 作者被禁止或删除内容自动屏蔽

作者: flash 时间: 2018-1-31 03:45
偶自己本机的协议是re4-md5经常被重置，但是搭的一直正常的。

作者: 苏苏苏 时间: 2018-1-31 06:23
同，所在地出现过类似情况，无法使用自己搭建的随机端口的酸酸**，但，用了朋友的8080端口，神奇的能用了，使用的vps地区一致。希望有大佬开辟新的道路，不然怕是只能用某门了哟。

作者: njav 时间: 2018-1-31 06:32
V>

>N 三月是死線....

作者: liusu 时间: 2018-1-31 07:19
提示: 作者被禁止或删除内容自动屏蔽

作者: 左手写爱 时间: 2018-1-31 09:25
马上都要登录月亮了，八路的专家能攻破55的难题，一点都不奇怪

作者: betwinyou 时间: 2018-1-31 10:42
好厉害的高手

作者: sdfyy 时间: 2018-1-31 11:08
这样的话那就没有必要去封ip了

作者: PigRinpoche 时间: 2018-1-31 11:27

梅长苏发表于 2018-1-30 17:07
tdpdump试试

你这头像那对球有五十斤吗

作者: GiGaFotress 时间: 2018-1-31 11:45
干脆走UDP套着吃鸡或者啥游戏壳子走流量谁怕谁

作者: 海哥 时间: 2018-1-31 14:16
很专业啊

作者: 迪士尼 时间: 2018-1-31 14:36
我想知道楼主朋友在哪个地区

作者: cjsas 时间: 2018-2-8 22:44
广州电信确实如此，lz有什么解决方案吗？tls+auth chain a 经常断

作者: tyuexingzhe 时间: 2018-2-23 11:33
江苏省出现了同样的情况，换了好几个混淆和端口，最后导致IP也被封了~~~现在有什么好的搭建方式吗？就剩一台服务器了，封了3台

作者: freedayback 时间: 2018-2-23 12:50
估计用的强度太高了吧，轻度使用应该不会管

欢迎光临全球主机交流论坛 (https://443502.xyz/)