节点狗本文于 2026-03-20 22:47 更新,如有过时或遗漏之处,可在评论区留言补充。
当前防火长城(GFW)演进出的高度自动化、智能化的技术手段。我们可以将这个“流水线”的工作模式拆解为以下几个核心阶段,以便更深入地理解:
阶段一:资源收集(情报获取)
这是整个流水线的源头。安全厂商通过多种渠道,以极高的效率批量收集市面上流通的“订阅链接”(Subscription Links):
- 公开抓取: 使用网络爬虫在全球范围内的公开论坛(如 GitHub、Reddit、V2Ex)、社交媒体(Twitter、Telegram 频道)和专门的代理发布网站上持续抓取。
- 付费/潜伏: 渗透进付费的代理服务群组,或假扮用户购买服务,以获取内部的稳定订阅链接。
- 自动化诱捕: 部署蜜罐服务,诱使分享者将链接提交到特定平台。小道消息是,通过国内社交媒体(微信、QQ、飞书、钉钉等)私聊进行分享、同步的订阅链接也会被自动抓取。
阶段二:自动化解析(去混淆与提取)
收集到的链接通常是经过 Base64 编码的。流水线需要将其解码为机器可读的配置数据:
- 多协议解码: 自动识别并解码 SS (Shadowsocks), SSR, VMess, VLESS, Trojan 等不同协议的链接格式。
- 元数据提取: 从解码后的配置中提取核心信息,包括:
- 远程服务器地址: 可能是域名(例如
server1.example.com)或直接的 IP 地址。 - 端口号。
- 加密协议及密钥/UUID。
- 传输层配置: 如是否使用 WebSocket (WS)、gRPC、TLS 设置等。
- 远程服务器地址: 可能是域名(例如
阶段三:网络侦测与主动连接(深度包检测 – DPI)
这一步是防御方“主动出击”的关键。流水线不再只是被动观察,而是模仿真实用户的合法客户端行为:
- 域名解析: 如果目标是域名,流水线会先通过合法的 DNS 服务器将其解析为具体的 IP 地址。
- 特征匹配与握手: 安全系统会模拟相应的代理协议握手过程。在这一过程中,安全厂商的探测系统会对返回的数据包进行 DPI(Deep Packet Inspection, 深度包检测),寻找已知代理协议的指纹特征。
- TLS 阻断/中间人探测(可选但常见): 如果代理使用了 TLS 加密,安全厂商可能会尝试进行“握手超时”干扰,或者利用已知漏洞/特征来探测 TLS 隧道内部是否封装了代理协议。
阶段四:真实访问测试(端到端验证)
仅仅建立连接是不够的,必须验证该连接是否真正具有“翻墙”能力:
- 发起标准 HTTP/HTTPS 请求: 通过已建立的代理连接,尝试访问特定的“目标网站”(通常是 GFW 封锁的知名网站,如 Google, YouTube, Facebook, Wikipedia)。
- 结果判定:
- 成功: 如果能成功接收到目标网站的响应(如 HTTP 200 OK,且返回内容特征匹配),则判定该节点有效。
- 失败: 如果请求超时(Timeout)、连接重置(Reset)、或返回错误代码(如 GFW 的拦截页面),则判定该节点无效或已被封锁。
阶段五:汇总封禁与情报通报
一旦验证某个节点“成功连通”,它就完成了从“可疑资源”到“确凿证据”的转变:
- 自动化标记: 将该节点的 IP 地址、端口,以及与其关联的 订阅链接来源、所使用的协议 记录下来。
- 提取与汇总: 将这些信息汇入一个集中式的“黑名单数据库”。
- 封禁通报列表: 定期(通常是几分钟到一小时)将汇总的 IP 黑名单推送到防火墙的实时封禁策略中,实现全网阻断。
这种“流水线”模式的对抗性质
这种全自动化的系统标志着网络对抗已经从传统的“基于静态规则的封锁”进入了基于全流量侦测与行为特征分析的自动化动态封锁阶段。
对于代理提供商和用户而言,这意味着:
- 节点的生命周期极短: 一旦节点、订阅在被流水线方式的 GFW 在某个环节成功捕获后,几分钟内其节点入口就可能因通报而失效。
- 订阅链接成为“追踪源”: 订阅链接本身就是通往所有节点的一把钥匙,一旦链接暴露,其包含的所有节点都将面临自动化探测。
- 加密协议的持续演进: 促使新一代协议(如 VLESS with Reality, Trojan-Go, Hysteria2、Tuic、AnyTLS)不断优化其 TLS 指纹,使其看起来更像普通的 HTTPS 流量,以逃避 DPI 检测。
更极端的情况是,不久的将来已经流行了多年的「中转机场」不复存在,用户只能使用线路没那么好的直连节点进行海外网络加速,或者是使用海外 SIM 进行漫游的方案。
是好是坏?拭目以待。
