Cloudflare Radar 更新,显示平均有 9%的 TCP 连接会触发🧱

59 天前
 AlphaTauriHonda
昨天注意到 Cloudflare Radar 更新了 TCP RST 和 Timeout 的数据,于是我就找了整个🧱内和几个有代表性的 ASN ,来和美国宽带对比。

整个🧱内: https://radar.cloudflare.com/security-and-attacks/cn?dateRange=52w
电信: https://radar.cloudflare.com/security-and-attacks/as4134?dateRange=52w
联通: https://radar.cloudflare.com/security-and-attacks/as4837?dateRange=52w
移动: https://radar.cloudflare.com/security-and-attacks/as9808?dateRange=52w
教育: https://radar.cloudflare.com/security-and-attacks/as4538?dateRange=52w
科技: https://radar.cloudflare.com/security-and-attacks/as7497?dateRange=52w
上海电信: https://radar.cloudflare.com/security-and-attacks/as4812?dateRange=52w
上海联通: https://radar.cloudflare.com/security-and-attacks/as17621?dateRange=52w
上海移动: https://radar.cloudflare.com/security-and-attacks/as24400?dateRange=52w

美国: https://radar.cloudflare.com/security-and-attacks/us?dateRange=52w
Verizon: https://radar.cloudflare.com/security-and-attacks/as6167?dateRange=52w
https://radar.cloudflare.com/security-and-attacks/as701?dateRange=52w
AT&T: https://radar.cloudflare.com/security-and-attacks/as7018?dateRange=52w
RCN: https://radar.cloudflare.com/security-and-attacks/as6079?dateRange=52w

Cloudflare Blog 上的文章很值得一读,作者是 Luke Valenta 。
Luke ( https://lukevalenta.com/about )的见解: https://blog.cloudflare.com/tcp-resets-timeouts/ https://blog.cloudflare.com/connection-tampering/
Cloudflare Research:
https://files.research.cloudflare.com/publication/SundaraRaman2023.pdf

说说我对这些数据的看法。整个🧱内大约有 9%的 TCP 连接会在 Post PSH 阶段被 RST/Timeout ,然而 Post PSH 数据是被移动拉高的。电信和联通都在 5%左右,也就是大约 5%的 TCP 连接会因为 SNI 被 RST/Timeout 。这 5%中也有一部分是地方性的干扰或阻断,比如上海的电信和联通只有 3%的连接会触发 RST/Timeout ,同样教育网和科技网也在 2.5%左右。
移动是绝对的🧱中🧱,AS9808 有 17.5%的 Post PSH RST/Timeout ,上海移动有 14.3%,山东移动 AS24444 有 16.8%,广东移动 AS56040 有 15.4%,北京移动 AS56048 有 11.6%,浙江移动 AS56041 有 18.7%,辽宁移动 AS56044 有 16.5%。
然而最让我吃惊的是江苏移动和河南移动。AS56046 近期有 50%的 Post PSH ,AS24445 近期有 38.6%。江苏移动有一半的 TCP 连接触发了 SNI RST/Timeout ,并且有 80%的 TCP 连接被 RST/Timeout 。
也就是说,江苏移动只有 20%的 TCP 连接是正常的,What the hell is going on?
美国宽带的 Post PSH 数据大约在 0.5%上下,总共 RST/Timeout 大约是 10%,Verizon 的 Celluar Data ( AS6167 )会高一些,在 20%左右。

SNI RST/Timeout 只出现在没有被 DNS 污染或 DNS 污染失败的目标上,理论上这种 tampered TCP connections 不常见,但是 Cloudflare Radar 的数据表示阻断率不低。
3380 次点击
所在节点    宽带症候群
17 条回复
la0wei
59 天前
江苏移动宽带用起来就是这样,感觉被拿来做实验场
AlphaTauriHonda
59 天前
@la0wei 只有 20%的放行,吓人。
说明江苏千万不能用移动。
AlexPUBLIC
59 天前
@la0wei 当年江苏移动的运维来处理了几次网络不稳定,直接跟我说,你办电信吧,我自己家用的是 x 套餐挺不错的
villivateur
59 天前
这个数据是不是只能代表 cloudflare 的访问情况?最近似乎 CF 的链路被针对性劣化,其他的服务商可能还好。
june4
59 天前
更可怕的是没听说江苏移动的人说有这种情况,网络遥遥 x 领先实体基本已经彻底脱钩了
XIU2
59 天前
@villivateur 最早在 2022 年 5 月 24 日左右,我这边联通就遇到了针对 Cloudflare CDN IP 的 HTTPS 干扰(只要与 CF 的 IP 建立 HTTPS 连接,就有概率被阻断,IP 的 443 端口就会超时 3 分钟整),和 Steam 、Github 的 SNI 干扰比较类似(但他们两个这个是根据域名来超时 IP 的,不在乎是什么 IP 。而 Cloudflare 这个是针对其 CDN IP 的,暂时称为 IP 干扰吧)。

而在此之前,其实就已经有人陆续在我项目反应该问题了(可能有半年了?),只不过之前我这边联通一直没遇到过,我遇到之后自己简单检查并可以稳定复现确认问题后,就发了个 Issues 已经累计了两百多条讨论,很多人也表示遇到了。

另外,后来我也观测到 AWS CloudFront CDN 、Gcore CDN 、Fastly CDN 也出现了类似情况,不过相对较轻?时有时无的样子。
la0wei
59 天前
@AlphaTauriHonda 我有南京移动,目前吃灰中。家里还有个电信,基本使用电信

@AlexPUBLIC 移动在国内大差不差,出国就非常看脸,或者线路,差异极大。电信即使不太行,还能有点速度,移动直接纯文字网页打开半天,或者连不上。

@villivateur 根据我之前使用移动的经验,不止 cloudflare 被干扰,我都是买 vps 自建,线路热门冷门都碰过

@june4 需要科学的人还是少,而且移动也不是赶尽杀绝,需要特定的线路或者机场才能有比较好体验,而且之前 cloudflare 确实很给力
LisaSue
59 天前
@june4 可能江苏移动挂梯子用的比较多,剩下的用户不挂梯子也只是因为某些原因才会访问这些网站?
BlueSkyXN
59 天前
倒车是这样的,这么量化的数据第一次见
BlueSkyXN
59 天前
JensenQian
59 天前
我就在江苏移动,cf 上的网站确实很多都打不开,你不挂梯子的情况下,包括隔壁论坛就是
不过爬墙速度我的感觉确实比电信快很多,你 cmi 机子,晚高峰都能油管十几 二十万
我 cf+rn 的圣何塞 自选下,晚高峰都有七八万油管
这个 tcp 阻断高的原因我感觉是很多 cf 上的网站打不开,不过我都爬墙了我随便他们去了

ipv6 的话 ss 裸奔都没事,而且漏风的,我这油管的 cdn 都能连上,play 商店的界面都能打开
JensenQian
59 天前
@AlphaTauriHonda #2
这个倒是反过来,江苏的话这么说吧,移动机子你买对了,其实爬墙速度很快的,联通我不知道,我之前租房子的小区就是电信,亚洲直连的机子难买,而且速度除了当时买的瓦工 cn2 ,普通的欧美线路机子,那基本上没速度,联通这边小区很少有我这里
怎么说呢,这玩意就和敏感期一样的,一堆人机子被墙了,你的没被墙就速度快了
不过这边宽带便宜,1000M 一个月就 20 块钱,搞个备用的也没事
不过装宽带自带猫很垃圾的,自己得换猫,而且得把 ipv6 给开出来,没公网 v4

爬墙速度的话我现在用的一台 linode 和 aws 香港的月抛,和 vir 东京 8.8 一年的 iij 线路,晚高峰都挺好的
JensenQian
59 天前
@JensenQian #12 价格便宜很多,会玩确实值得选
江苏这边宽带的话尽量先联通,据说还能开公网 ip ,不过覆盖太少了,价格也便宜,我这 19 块钱的网卡,还能 20 块钱加一条千兆,移动 20 块钱一个月千兆,你的自己会折腾,开公网 v6 ,还有买机子这线路得挑对了,欧美很多机子线路很炸,得玩 cf 优选什么的,不过一般都是买亚太附近的
AlphaTauriHonda
59 天前
谢谢大家的收藏和感谢,数了一下有 33 个,比回复还多。

@june4 应该是有的,用江苏移动的人发现各种网站在江苏被🧱。

@XIU2 有道理,这种阻断在 Cloudflare Radar 上应该是 Post SYN RST/Timeout ,可以解释为什么 CN 的 Post SYN 非常高。

@villivateur 这种情况应该是普遍的。因为是🧱的行为,不管什么 IP 都会有 SNI RST 和 tampered TCP connections

@BlueSkyXN Cloudflare Radar 的数据非常好,可以观察🧱内的情况。

@JensenQian 应该说江苏移动不适合不开代理访问墙外,只适合会用代理的人。
NekoTMG
58 天前
头像该换成 Visa cash RB 了
Immunize
58 天前
江苏的反诈有 RST 机制,而其他省份的反诈只有 DNS 污染。
neiltroyer849
57 天前
很全的数据!感谢 OP !

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1074905

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX