Cert

无代理访问 Youtube x.comBlueSky.app 是什么原理?

  •  
  •   Cert · 7 days ago via Android · 4049 views
    https://www.bilibili.com/video/BV1EBMn6jEt8

    按照这个教学视频,我实测了一下,X.comBlueSky.app 虽然用了 Cloudflare 的 CDN ,但是并没有开启 EncryptionClient Hello ,也就是 ECH 功能。所以无法躲过 GFW 的 DPI 深度包检测,提取 SNI 。

    而 YouTube 和 google.com 是两个网站,就完全没用 Cloudflare 的 CDN 。

    所以我不太明白这个视频博主,是怎么做到无代理用原生中国 IP ,访问这些网站的呢?
    16 replies    2026-07-16 02:36:16 +08:00
    v2gba
        1
    v2gba  
       7 days ago
    host 大法吧...好老的技术了
    实际效果也就只能做个视频里那样 基本没啥用
    takeshima
        2
    takeshima  
       7 days ago via iPhone
    gfw 的漏洞,TLS Client Hello 分片,很多代理软件支持这个,但一般用于代理服务器本身 sni 进小黑屋的情况
    xqzr
        3
    xqzr  
       6 days ago
    IP 没黑洞就有机会
    docx
        4
    docx  
       6 days ago via iPhone
    修改了 TCP 数据包,让 GFW 不能正确识别成黑名单网站,予以放行

    hosts 会识别成反代服务器 IP 的 @v2gba
    lns103
        5
    lns103  
       6 days ago via Android
    可以用假 TCP 包骗过 GFW ,只要 IP 能 ping 通的几乎都可以(个别 IP 比如 pornhub 的不行,任何 sni 都会触发 RST )另外 x 是可以 ech 直接的,自建 DNS 服务,修改解析,返回其它 cf 网站的带 ech 的 type65 就可以直连了。bluesky 并未使用 cf 的 CDN
    Cert
        6
    Cert  
    OP
       6 days ago via Android
    @lns103 原来是这样,感谢科普。想延伸的请教一下,YouTube 它是怎么做到的?是怎么做到用中国原生 IP 登录 YouTube 的?

    据我所知,YouTube 也并没有用 Cloudflare 的 CDN 。
    feunterban
        7
    feunterban  
       6 days ago via iPhone
    @Cert quic 有一定概率可以穿透防火墙
    crc8
        8
    crc8  
       5 days ago
    @feunterban 比如我一直可以用 Chrome quic 登录 V2EX ?
    LGA1150
        9
    LGA1150  
       5 days ago
    YouTube 有 QUIC ,并且有可以直连的 IPv6 地址。当然实际效果只是能打开,由于线路问题,速度无法保证。
    Opportunity
        10
    Opportunity  
       5 days ago
    TCB Desync?
    Cert
        11
    Cert  
    OP
       5 days ago via Android
    @lns103 另外,我实际测试一下 x.com ,没有启用 encryption client hello ,也就是 ECH 功能呢。

    且 Cloudflare 给它分配了一个独立网段的 CDN ,这样真的很容易被 Great Firewall 进行路由黑洞。
    lns103
        12
    lns103  
       4 days ago via Android
    @Cert cf 的 CDN IP 大部分是通用的,ech 也是对所有支持 tls1.3 的 cf 网站启用的,只是根据网站配置是否返回带 ech 字段的 HTTPS 解析而已。h3 不能强制启用
    xwybss
        13
    xwybss  
       4 days ago
    我很久前用过类似的方式,无非是找几个还没被封的 ip ,现在多半只有 ipv6 了,然后域前置伪装域名。方法可行但是 ip 死的太快了,gfw 主动探测一下就直接封锁 ip 了
    Cert
        14
    Cert  
    OP
       3 days ago via Android
    @lns103 明白,感谢。我想请问一下,你说的这种方法是不是要用自签名证书?就是在安全性和 ECH 两者之间,权衡一下,看你想要哪一个,舍弃哪一个。
    Cert
        15
    Cert  
    OP
       3 days ago via Android
    @xwybss 我还想再请教一下,这种比较冷门的幸存 IP (即使是 IPv6 ),一般都是怎么被发现的呢?
    因为 GFW 就是会如你所说主动探测的,基本上中国周边的国家,知名 DNS 返回的 IP ,会被 GFW 被扫一遍,都阵亡了,都被路由黑洞了。
    xwybss
        16
    xwybss  
       3 days ago
    @Cert twitter 现在是接入了 cloudflare ,因此 ip 没被封锁。
    google 系的 ipv6 是有逻辑的,固定的地区前缀+后缀范围,除了 googlevideo.com 的 iP 是固定的,其余任意一个可以连通的带 web 服务的 ip 都可以供所有 google.com 使用,这些逻辑在早期的 google-hosts 之类的项目里面都是有记载的...
    不过现在可能也就只剩一些很小众国家的 google web ip 没封了...
    bluesky 之类流量小的网站则是压根不在 gfw 主动探测的范围内...
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   924 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 66ms · UTC 19:57 · PVG 03:57 · LAX 12:57 · JFK 15:57
    ♥ Do have faith in what you're doing.