V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlphaTauriHonda
V2EX  ›  宽带症候群

Cloudflare Radar 更新,显示平均有 9%的 TCP 连接会触发🧱

  •  6
     
  •   AlphaTauriHonda · 59 天前 · 3378 次点击
    这是一个创建于 59 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天注意到 Cloudflare Radar 更新了 TCP RST 和 Timeout 的数据,于是我就找了整个🧱内和几个有代表性的 ASN ,来和美国宽带对比。

    整个🧱内: https://radar.cloudflare.com/security-and-attacks/cn?dateRange=52w
    电信: https://radar.cloudflare.com/security-and-attacks/as4134?dateRange=52w
    联通: https://radar.cloudflare.com/security-and-attacks/as4837?dateRange=52w
    移动: https://radar.cloudflare.com/security-and-attacks/as9808?dateRange=52w
    教育: https://radar.cloudflare.com/security-and-attacks/as4538?dateRange=52w
    科技: https://radar.cloudflare.com/security-and-attacks/as7497?dateRange=52w
    上海电信: https://radar.cloudflare.com/security-and-attacks/as4812?dateRange=52w
    上海联通: https://radar.cloudflare.com/security-and-attacks/as17621?dateRange=52w
    上海移动: https://radar.cloudflare.com/security-and-attacks/as24400?dateRange=52w

    美国: https://radar.cloudflare.com/security-and-attacks/us?dateRange=52w
    Verizon: https://radar.cloudflare.com/security-and-attacks/as6167?dateRange=52w
    https://radar.cloudflare.com/security-and-attacks/as701?dateRange=52w
    AT&T: https://radar.cloudflare.com/security-and-attacks/as7018?dateRange=52w
    RCN: https://radar.cloudflare.com/security-and-attacks/as6079?dateRange=52w

    Cloudflare Blog 上的文章很值得一读,作者是 Luke Valenta 。
    Luke ( https://lukevalenta.com/about )的见解: https://blog.cloudflare.com/tcp-resets-timeouts/ https://blog.cloudflare.com/connection-tampering/
    Cloudflare Research:
    https://files.research.cloudflare.com/publication/SundaraRaman2023.pdf

    说说我对这些数据的看法。整个🧱内大约有 9%的 TCP 连接会在 Post PSH 阶段被 RST/Timeout ,然而 Post PSH 数据是被移动拉高的。电信和联通都在 5%左右,也就是大约 5%的 TCP 连接会因为 SNI 被 RST/Timeout 。这 5%中也有一部分是地方性的干扰或阻断,比如上海的电信和联通只有 3%的连接会触发 RST/Timeout ,同样教育网和科技网也在 2.5%左右。
    移动是绝对的🧱中🧱,AS9808 有 17.5%的 Post PSH RST/Timeout ,上海移动有 14.3%,山东移动 AS24444 有 16.8%,广东移动 AS56040 有 15.4%,北京移动 AS56048 有 11.6%,浙江移动 AS56041 有 18.7%,辽宁移动 AS56044 有 16.5%。
    然而最让我吃惊的是江苏移动和河南移动。AS56046 近期有 50%的 Post PSH ,AS24445 近期有 38.6%。江苏移动有一半的 TCP 连接触发了 SNI RST/Timeout ,并且有 80%的 TCP 连接被 RST/Timeout 。
    也就是说,江苏移动只有 20%的 TCP 连接是正常的,What the hell is going on?
    美国宽带的 Post PSH 数据大约在 0.5%上下,总共 RST/Timeout 大约是 10%,Verizon 的 Celluar Data ( AS6167 )会高一些,在 20%左右。

    SNI RST/Timeout 只出现在没有被 DNS 污染或 DNS 污染失败的目标上,理论上这种 tampered TCP connections 不常见,但是 Cloudflare Radar 的数据表示阻断率不低。
    17 条回复    2024-09-25 20:50:22 +08:00
    la0wei
        1
    la0wei  
       59 天前
    江苏移动宽带用起来就是这样,感觉被拿来做实验场
    AlphaTauriHonda
        2
    AlphaTauriHonda  
    OP
       59 天前 via iPhone
    @la0wei 只有 20%的放行,吓人。
    说明江苏千万不能用移动。
    AlexPUBLIC
        3
    AlexPUBLIC  
       59 天前
    @la0wei 当年江苏移动的运维来处理了几次网络不稳定,直接跟我说,你办电信吧,我自己家用的是 x 套餐挺不错的
    villivateur
        4
    villivateur  
       59 天前
    这个数据是不是只能代表 cloudflare 的访问情况?最近似乎 CF 的链路被针对性劣化,其他的服务商可能还好。
    june4
        5
    june4  
       59 天前
    更可怕的是没听说江苏移动的人说有这种情况,网络遥遥 x 领先实体基本已经彻底脱钩了
    XIU2
        6
    XIU2  
       59 天前
    @villivateur 最早在 2022 年 5 月 24 日左右,我这边联通就遇到了针对 Cloudflare CDN IP 的 HTTPS 干扰(只要与 CF 的 IP 建立 HTTPS 连接,就有概率被阻断,IP 的 443 端口就会超时 3 分钟整),和 Steam 、Github 的 SNI 干扰比较类似(但他们两个这个是根据域名来超时 IP 的,不在乎是什么 IP 。而 Cloudflare 这个是针对其 CDN IP 的,暂时称为 IP 干扰吧)。

    而在此之前,其实就已经有人陆续在我项目反应该问题了(可能有半年了?),只不过之前我这边联通一直没遇到过,我遇到之后自己简单检查并可以稳定复现确认问题后,就发了个 Issues 已经累计了两百多条讨论,很多人也表示遇到了。

    另外,后来我也观测到 AWS CloudFront CDN 、Gcore CDN 、Fastly CDN 也出现了类似情况,不过相对较轻?时有时无的样子。
    la0wei
        7
    la0wei  
       59 天前
    @AlphaTauriHonda 我有南京移动,目前吃灰中。家里还有个电信,基本使用电信

    @AlexPUBLIC 移动在国内大差不差,出国就非常看脸,或者线路,差异极大。电信即使不太行,还能有点速度,移动直接纯文字网页打开半天,或者连不上。

    @villivateur 根据我之前使用移动的经验,不止 cloudflare 被干扰,我都是买 vps 自建,线路热门冷门都碰过

    @june4 需要科学的人还是少,而且移动也不是赶尽杀绝,需要特定的线路或者机场才能有比较好体验,而且之前 cloudflare 确实很给力
    LisaSue
        8
    LisaSue  
       59 天前
    @june4 可能江苏移动挂梯子用的比较多,剩下的用户不挂梯子也只是因为某些原因才会访问这些网站?
    BlueSkyXN
        9
    BlueSkyXN  
       59 天前
    倒车是这样的,这么量化的数据第一次见
    BlueSkyXN
        10
    BlueSkyXN  
       59 天前
    JensenQian
        11
    JensenQian  
       59 天前
    我就在江苏移动,cf 上的网站确实很多都打不开,你不挂梯子的情况下,包括隔壁论坛就是
    不过爬墙速度我的感觉确实比电信快很多,你 cmi 机子,晚高峰都能油管十几 二十万
    我 cf+rn 的圣何塞 自选下,晚高峰都有七八万油管
    这个 tcp 阻断高的原因我感觉是很多 cf 上的网站打不开,不过我都爬墙了我随便他们去了

    ipv6 的话 ss 裸奔都没事,而且漏风的,我这油管的 cdn 都能连上,play 商店的界面都能打开
    JensenQian
        12
    JensenQian  
       59 天前
    @AlphaTauriHonda #2
    这个倒是反过来,江苏的话这么说吧,移动机子你买对了,其实爬墙速度很快的,联通我不知道,我之前租房子的小区就是电信,亚洲直连的机子难买,而且速度除了当时买的瓦工 cn2 ,普通的欧美线路机子,那基本上没速度,联通这边小区很少有我这里
    怎么说呢,这玩意就和敏感期一样的,一堆人机子被墙了,你的没被墙就速度快了
    不过这边宽带便宜,1000M 一个月就 20 块钱,搞个备用的也没事
    不过装宽带自带猫很垃圾的,自己得换猫,而且得把 ipv6 给开出来,没公网 v4

    爬墙速度的话我现在用的一台 linode 和 aws 香港的月抛,和 vir 东京 8.8 一年的 iij 线路,晚高峰都挺好的
    JensenQian
        13
    JensenQian  
       59 天前
    @JensenQian #12 价格便宜很多,会玩确实值得选
    江苏这边宽带的话尽量先联通,据说还能开公网 ip ,不过覆盖太少了,价格也便宜,我这 19 块钱的网卡,还能 20 块钱加一条千兆,移动 20 块钱一个月千兆,你的自己会折腾,开公网 v6 ,还有买机子这线路得挑对了,欧美很多机子线路很炸,得玩 cf 优选什么的,不过一般都是买亚太附近的
    AlphaTauriHonda
        14
    AlphaTauriHonda  
    OP
       58 天前 via iPhone
    谢谢大家的收藏和感谢,数了一下有 33 个,比回复还多。

    @june4 应该是有的,用江苏移动的人发现各种网站在江苏被🧱。

    @XIU2 有道理,这种阻断在 Cloudflare Radar 上应该是 Post SYN RST/Timeout ,可以解释为什么 CN 的 Post SYN 非常高。

    @villivateur 这种情况应该是普遍的。因为是🧱的行为,不管什么 IP 都会有 SNI RST 和 tampered TCP connections

    @BlueSkyXN Cloudflare Radar 的数据非常好,可以观察🧱内的情况。

    @JensenQian 应该说江苏移动不适合不开代理访问墙外,只适合会用代理的人。
    NekoTMG
        15
    NekoTMG  
       58 天前
    头像该换成 Visa cash RB 了
    Immunize
        16
    Immunize  
       58 天前
    江苏的反诈有 RST 机制,而其他省份的反诈只有 DNS 污染。
    neiltroyer849
        17
    neiltroyer849  
       57 天前
    很全的数据!感谢 OP !
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3085 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:39 · PVG 21:39 · LAX 05:39 · JFK 08:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.