节点狗关于这两天大家都在讨论的运营商网络问题,这次的情况,其实更像是全国范围、多运营商联合参与的代理流量识别和干扰升级,绝不仅仅是单纯的江苏移动、北京移动在搞事,也不是说什么“443 端口或 TLS 协议被全面封锁”。
平时正常的 HTTPS 443 网页访问大多还是正常,真正容易中招的,是那些带有明显代理特征的连接。比如长连接、特定的 TLS 指纹、WebSocket、探针流量,还有 VLESS、AnyTLS、Reality、Snell 这些相对容易被分类的协议。而且,阻断的表现形式也不一定是直接连不上,很多时候是故意给你丢包、握手异常、连接中断、长连接被拉闸,甚至某些端口直接给你来个短时间的“黑洞”待遇。
外面传的所谓“白名单阻断 443”,其实并不准确,感觉更像是黑名单或者特征命中后的定向干扰。说“TLS 不能用”也不严谨,准确地说应该是“TLS 叠加了某些代理特征”后,更容易被识别和干扰。TCP 本身毫无问题,出问题的是带有特定特征的 TCP 流量。至于 UDP,也不是什么“暂时完全可用”,仅仅是因为目前 UDP 的流量规模相对较小,还没成为最主要的分类打击对象罢了。要是以后 UDP 代理流量变大了,一样会被拉闸。
有人发现 Shadowsocks 类流量目前相对更稳,主要原因是它没有明显的 TLS 外壳,在现阶段可能还被归类为“未分类流量”或者属于低优先级打击目标。WireGuard 也差不多,目前出了问题往往不是因为协议本身被封,更多是因为节点 IP 被太多人白嫖共用,导致 IP 直接被拉黑。所以,Shadowsocks(SS) 和 WireGuard 并非绝对安全,只是在这个阶段,相比于 VLESS、AnyTLS、WebSocket、Reality 这些特征更明显的方案,风险稍微低一点而已。
从实际的网络环境反馈来看,这次的问题并不一定表现为传统意义上的“彻底断网故障”,而更像是在某些特定网络场景下的定向干扰。特别是那些带公网 IP 的商宽、企业宽带或者跨境业务线路,在使用常见的管理端口、远程连接端口或者 HTTPS 端口时,很可能会遇到连接异常、丢包或者直接被阻断。相比之下,普通的家宽或者内网环境,受到的影响可能就没那么明显,这也是为什么大家体感差异会这么大。这说明啥?说明咱们不能简单地把问题归咎于某一家运营商或者某一个地区,它更多地是跟你的接入类型、有没有公网 IP、端口用途、流量特征以及使用规模挂钩。对于企业侧网络来说,远程桌面、SSH、HTTPS 这些本来就是正常的业务需求,一旦被规则误伤或者被策略性干扰,那影响可比普通个人用户大多了。
关于波及的运营商范围,值得重点关注的点在于,真不是移动一家在干活,移动、联通、电信都有参与或者受到影响。不同地区、不同接入类型的表现也不一样:北京那边可能更严一点;江苏、福建、广东这些地方只是大家讨论得比较多;家宽、商宽、IDC、校园网、企业专线受到的影响也是分层的。商宽、IDC、带公网 IP 的企业宽带,那是重点照顾对象,更容易被精确识别和处理。家宽很多都在内网、NAT 或者复杂的接入环境下,设备没法像商宽那样直接部署规则,所以家宽用户的痛感往往没那么强。
真正面临严峻考验的其实不是普通个人用户,而是商宽、企业客户、机场主以及大规模共用 IP 的服务。你个人小规模用用 SS 或者 WireGuard,一般不太容易被直接针对;但如果一个 IP 被几百、几千人共用,或者一个机场长期跑大量的代理流量,那分分钟被识别、拉黑或者进行端口干扰。说白了,封不封你不光看你用啥协议,还得看你的 IP 使用规模、流量特征、连接模式和接入类型。
至于“回程阻断、IP 连坐、整段屏蔽”这些说法,我觉着这个风险是真实存在的。未来可能不会只封你一个 IP,而是直接把 IDC 的整个 IP 段、ASN,甚至某些出海资源给你连锅端了。别以为用 CN2 这种昂贵线路就能当做稳定的通道,运营商虽然想卖高质量线路赚钱,但以后大概率是不允许这些线路被大规模拿来翻墙的。CN2 以后估计只能老老实实做正常建站和企业业务,别指望用来稳定绕墙了。
DNS/SNI 干扰这事儿根本不是什么新闻,早就存在了。网传的说什么“福建、江苏、河南等省新部署系统”,这说法很不严谨。很多干扰机制早就成了全国性、跨省份、跨运营商的常态,根本不是某一个省说了算的。所谓的“回程阻断”,也更像是全国层面的统筹策略,别动不动就只看江苏或福建。
关于 IPv6,它现在看着还挺稳,但这绝对不是因为 IPv6 天然就有多安全,纯粹是因为相关的审查设备和规则还没完全部署到 IPv6 栈上。等人家设备升级了、规则适配了、经费也到位了,IPv6 迟早也会被纳入同样的识别和干扰体系里。所以,IPv6 也就是个阶段性的“喘息窗口”,绝不是长期保险。
还有人扯什么“保密月”的原因,这种说法只能说是盲目乐观了。基于政策和实际的举措来看,此次并非短期的专项行动,而是未来长期趋严的一个大趋势。也就是说,别指望过阵子风头过去就能恢复如初,以后跨网的门槛只会越来越高。
一句话总结:
这次是全国运营商层面上,对代理流量的识别和干扰门槛全面提高了。重点打击对象是商宽、公网 IP、IDC、大规模机场、长连接、特定 TLS 指纹、WebSocket、探针,以及 VLESS、AnyTLS、Reality、Snell 等特征明显的流量。SS 和 WireGuard 目前稍微占点便宜,但主要死穴还是在于 IP 被多人共用后的识别、拉黑和端口干扰。未来,这道墙的门槛会肉眼可见地提高,CN2、SD-WAN、商宽、IDC,甚至是整段的 IP 和 ASN,都将面临更强的审查和“连坐”风险,大家可以参考一下北边邻居俄罗斯🇷🇺的情况。
