另外，你开 IP 白名单，防止了主动探测，但这不是正好证明这个服务器不是正常的 apple 服务器么，哪个正常的服务器会开白名单啊……
既然都触发主动探测了，肯定是流量上触发了什么机制了，算作可疑服务器被盯上了。如果主动探测看不出异常，也许就临时放过了，但既然主动探测无法访问，那即便你这个服务器是真实的 apple 的服务器，直接给你拦截了也没问题，毕竟“绝大多数国内的用户都无法正常访问”嘛，直接封 IP 受影响的用户也不多。

@iqoo #17 GFW 主动探测的话，你服务器开 IP 白名单没用。
GFW 存在于你本地 IP 到你服务器 IP 中间的一个中间路由节点，完全可以假装是你，然后以你的 IP 的名义向你的服务端发起 TCP 请求，然后拦截服务端的响应的 ACK ，毕竟所有入口 / 出口流量都要经过 GFW ，而 TCP 的源地址又是可以随意指定的。

和官方证书的明显不同：证书颁发机构不是可信的颁发机构。正常的证书是由公共可信的 DigiCert 根的 Apple Public 中间证书签发的，而你的证书则是一个由不是公共可信的根证书颁发机构颁发的证书。
如果你用的是 TLS1.2 的话，那中间人完全能知道你连接的这个地址证书不正常。
而如果你用了 TLS1.3 ，那 Server Certificate 包是加密的，中间人没办法直接知道证书是否正常，但是你拦不住人家主动探测。如果你的流量特征不太正常（比如大流量），就把你的 IP 和 SNI 记下来，然后主动探测访问一下，就知道证书是否正常了。

另外，即便你能搞到受公共可信 CA 颁发的 apple.com 的证书也不行，因为 apple.com 的 DNS 记录里有 CAA 记录的，不允许其他 CA 颁发这个域名的证书（君子协议，正规可信的 CA 都会遵守），所以你的 CA 不一样肯定有问题。

从零开始搭建，想了解 Linux 的构成的话，还是建议用 LFS ，一切的开始。
楼上说的 Gentoo 是我日常用的，基本上过程也是从零开始，只不过是从一个已有的文件系统开始，然后自己挑选想用的软件，所有软件都是编译安装（包管理器负责下载编译脚本，下载源码进行编译安装），少数比较大型的软件或者非开源软件，可以选择安装已编译好的 bin 包。系统安装基本就是从官网下载一个文件系统的压缩包，解压到空硬盘分区，然后 chroot 到这个硬盘分区上进行系统软件的安装，比如 shell 、文本编辑器之类的。

@dcsuibian #20 > 我还从没见过实际代码中用正则、加号、减号作为行首的情况

如果是懒癌的话，应该这种情况很常见吧？举个正则的例子：
/xxx/.test(variable) && callFunc();
就是用正则判断一个字符串是否匹配，然后调一个函数，当然是可以改成 if 语句的，但是这样更简洁。
+ 和 - 到确实是不多，- 能想到的也是行首这个 负数与一个变量的判断，比如
-5 === variable || callFunc ();
但是交换一下等号两边，也是可以避免，也不会带来复杂性提升。
至于 + 号，见过有人用这个放在变量前来转数据类型的，但我是不这么用的

手机挂代理的话，两种模式，直接手动配 HTTP 代理，部分软件不认，装软件走 VPN 模式的代理，部分软件会识别并拒绝启动。（当然要是你用的软件不存在这些情况的话，那就没啥区别了）
用软路由的一个比较重要的点就是防止软件检测到你开了代理，或者部分国产软件会扫描你的代理信息。另外就是设备无需配置，新设备连上 WiFi 、插上网线就能用，规则都可以自己定。
从上面你的描述来看，除了性能问题是否能跑满带宽这个我设备不一样无法评价以外，其他的基本都是你用的系统、配置之类的问题，我这边是自己装的 Linux 然后完全自己配的，不存在你所列举的这些问题。

注：iOS 快捷指令的自动化，无法自动执行 到达位置 的任务，此类任务会在触发时弹出通知，还需要手动点一下通知才会执行。
https://support.apple.com/en-gb/guide/shortcuts/apd602971e63/ios

@Masoud2023 #28 自己动手搜一下，很难吗？又不是啥高深的技术，伸手要的话，给你个关键词 IP address spoofing

@xuanbg #24 TCP 三次握手仅仅依赖于 SYN 同步的序号。TCP 序号预测攻击，通过某种方式预测出你服务器响应的序号，然后给服务器发伪造的 ACK 即可。
另外，如我上面所说，如果在骨干网上控制了网络路由的中间节点，比如国际、省级出入口，那么就不需要预测那么麻烦了，直接在中间路由上抓响应包就行。
还有一点是，部分软件会监听 UDP 端口，如果有漏洞的话……

另外，容器化也并非完全安全，容器逃逸也是漏洞挖掘的一个方向，容器内运行的程序逃逸到主机来执行代码。之前刷 CTF 的时候有道题就是在 Linux 下用 wine 虚拟化执行的 Windows 程序，要逃逸到主机执行 Linux 下的程序。

总之，没有绝对的安全，只有提升攻击成本，降低攻击的收益，才能提高安全性。

@Masoud2023 #25 简单了解一下网络数据包的结构，数据包里面包含源地址和目的地址，你只要修改一个数据包里的源地址就行了。

@xuanbg #22 要谈安全的话，IP 白名单也不是 100% 安全，如果你其他软件有漏洞，也可能在非白名单 IP 下对你实施攻击。
没有密码都安全得不得了？你最好不要有这种想法。
因为源 IP 是可以伪造的，这个是 DDoS 常用的手段之一，也是 DNS 污染使用的手段之一。但用来单点攻击的话效率太低收益太低，但如果针对性攻击的话，也是存在被利用的可能。
假设你白名单只放行了 2.2.2.2 ，而我在 3.3.3.3 ，我只要伪造一个源地址为 2.2.2.2 的数据包就能过你的防火墙。虽然你的回包会发回给 2.2.2.2 ，我可能收不到，但是如果有其他漏洞的话，一个精心构造的包就可以利用了（甚至于你都没有密码），那实际上也就不关心回包内容了（有可能拿到你主动发过来的反弹 shell ）。
另外，如果攻击者控制了你回包的中间路由链路，比如某地区的出入口链路、或者在你家小区的 ISP ，那么回包的内容也是可以拿到的。

另，我觉得终极安全是让攻击者看不到收益，对你发动攻击的性价比太低，以致于没人愿意攻击你，那才是最安全的。

@jin7 #13 如果在没有其他安全措施的情况下，那么放在 body 里，并且不接受 application/x-www-form-urlencoded 或者 multipart/form-data 作为 body 的话，而是使用类似于 application/json 之类的，可以在一定程度上防 CSRF ，因为即便是 POST ，符合简单请求 simple request 条件的话，也是不会进行 preflight 预检的。

各种技术的综合吧，简单的比如接口加混淆参数，前端代码混淆，这样可以提高门槛。
另外就是服务端做风控，举个例子，比如你访问网站的时候给你下发一个看起来没用的 cookie ，接口提交的时候没有这个 cookie 貌似也可以成功，但服务端已经知道接口请求不正常了，就会“以让你看起来正常的方式”失败，比如还有票，就给你说票没了，或者降低你这个接口的权重，票量充足就成功，票不足的时候优先让给其他用户。如果一直用这样的方式来发请求，就会把账号标记为黑号等。
当然，也不一定是用 cookie ，也可以用行为，比如正常操作抢票的话，会按顺序调用哪几个接口，但到你这里没有这些前序步骤了，也会标记为不正常。

@ahhtree #29 Linux 下对 NTFS 的支持有两个驱动，旧驱动是只读的，新驱动已经合入内核，支持写入。
试试 mount 的时候指定 -t ntfs3 （前提是有安装 ntfs3 内核模块）

头猪 可还行……
试一下改系统时间到那个时间，会复现吗？
试一下改系统时间，提前或延后一小时，看看复现时间会变吗？

@patrickyoung #10
setup.exe 干的事情的确可能比 setup.pkg 多，但是 setup.pkg 是在主机系统执行的，重装成本高，而 setup.exe 是放在虚拟机里执行的呀，只要他别搞虚拟机逃逸，其他的他爱干啥干啥。。。

@alexleee #15 我觉得 HTTP 不算的原因是，HTTP 只是一个传输协议，在这个概念上可以看作是和 TCP 一个层面的东西，它本身不能算 RPC 。（注：不是按 OSI 模型去划分的
而 RPC 字面意思就是调用远程的函数就像调用本地的函数一样，那么至少得有一个“调用本地函数”这样一个动作。
所以，一个算是 传输层 的概念，一个算是 表示层 /应用层 的概念。
所以，我觉得可以基于 HTTP 这个协议来封装成 RPC ，比如写一堆 function ，然后内容就是 fetch xxx ，这可以算作是 RPC 。但至于这个 fetch 下面是 HTTP 还是 TCP UDP ，甚至你愿意的话用 ICMP ping 来传输都没啥问题。
比如 gRPC Web 也是基于 HTTP 的，但重点强调的不是基于 HTTP 传输，而是传输的内容是经过编码的“函数调用”，使用者就像调用本地函数一样。