Application of Artificial Intelligence (AI) on GFW
[i=s] 本帖最後由 角色 於 2018-8-15 16:12 編輯 [/i]估计阿爷怎样判定某个外地IP address有问题?
Fact:
1、判定VPN traffic 比 Proxy traffic容易多
2、监察IP 和 VPN ports量 (如果流量大,小流量不理会)
3、监察某个IP and 某个port 流量大(判定是否Proxy)
Rules:
1、用VPN,如果流量大,而不在白名单里就进行干扰。
2、如果不是VPN,就要check多少大陆IP接同一个server?(阿爷用一个table,就算我们改了香港IP,他们有大陆的IP address,他们可以通过table,找出新的香港IP)
Policy:
1、不用VPN and 用Proxy
2、经常换(天天换)IP and port number
3、VPN尽量不长期连接,需要才连
大家是否有什么高见,可以分享一下吗?
大家看看下面文章:
[url]https://qz.com/1072701/meet-shadowsocks-the-underground-tool-that-chinas-coders-use-to-blast-through-the-great-firewall/[/url] [i=s] 本帖最後由 角色 於 2018-6-21 09:38 編輯 [/i]
Planned Tasks:
1. Design script for automatic change mac address
2. Disconnect the internet service for 10 minutes (disable and enable)
3. Send email for the changed ip address [i=s] 本帖最後由 角色 於 2018-6-21 10:01 編輯 [/i]
香港的Public用hAP ac^2去更改,而port由两边V2Ray去改动。 [i=s] 本帖最後由 tomleehk 於 2018-6-21 11:19 編輯 [/i]
[quote]Planned Tasks:
1. Design script for automatic change mac address
2. Disconnect the internet service for 10 minutes (disable and enable)
3. Send email for the changed ip address
[size=2][color=#999999]角色 發表於 2018-6-21 09:12[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45007&ptid=7196][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
以上方案全部使用中, 不過ip更新頻率只喺每日一次, port位無定期改(因工序比較麻煩)
另外加埋 traffic 用https 掩飾, 因為ss或者v2ray都一定有特徵
除非GFW實行白名單制,否則應該可以維持一段較長時間 V2Ray都有https,还有mux,就是针更换不同的port numbers。 是的..
但從我的觀察, 甚少人在ss或v2ray啟動https作掩飾, 反而大部份人只執行原生基本方案就算 访问的网站基本都是https,所以就不需要掩饰了 [i=s] 本帖最後由 tomleehk 於 2018-6-27 11:01 編輯 [/i]
[quote]访问的网站基本都是https,所以就不需要掩饰了
[size=2][color=#999999]lookforyou 發表於 2018-6-21 14:39[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45012&ptid=7196][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
但可惜由國內client, 經GFW至國外你嘅VPN/proxy server這一段是用你VPN 或者proxy方案包封, 你的方案可能已經令原來traffic失去https嘅特徵而帶住你的VPN 或者proxy方案嘅特徵, 從而有機會令GFW 偵察到
https obfs 嘅目的就是喺國內client做第二重包封成為普通 https packet, 經GFW 送至國外你嘅VPN/proxy server
在每日海量嘅https traffic之中隱藏起來 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45013&ptid=7196]8#[/url] [i]tomleehk[/i] [/b]
如果用https, 那么port number只有一个,就是443,那么转port已经没有意思。 [i=s] 本帖最後由 tomleehk 於 2018-6-21 21:32 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45014&ptid=7196]9#[/url] [i]角色[/i] [/b]
同意..所以我亦無硏究轉port呢方面嘅自動化
而且要留意因為要額外對packet加封解封,效能難免會下降,針無兩頭利
另外個人認為ISP萬一對某d port進行Qos, 甚至封某d port 嘅 outbound packet 進行封刹, 都一定不會限制 80, 443 呢d port 到, 相反你用其他port就反而有機會突然出現問題 [i=s] 本帖最後由 tomleehk 於 2018-7-1 14:05 編輯 [/i]
另外單纯喺traffic層面用https掩飾, GFW要分真假亦有方法, 亦可以自動化
只要喺每個懷疑個案, 主動對VPN/proxy server送出偵察嘅https request, 分析server有無正常嘅 response 同 有無有效嘅cert, 無嘅話就知你喺假嘢
ss 嘅https obfs對應方案喺可以俾你建立一隻真正嘅https server去俾番呢d偵察request應有嘅response
簡單嘅講, ss-client嘅packet會自動自覺分流去ss-server做翻牆, 其他嘅就一概分流去https server俾番應有嘅response
所以如果方案只喺單纯喺traffic方面做掩節, 個人認為唔太理想, 仍有改良空間 想问大家,我可以改变RouterOS的WAN interface IP,然后reboot,得出来的IP都是一样,没有改变。我估计是否前面modem接住ISP,Router -> modem, Router IP改了,但是Modem->ISP的MAC address没有改,所以导致就算改了Router的MAC address,得到IP都不能改。
因为我在远方,没有可能把前面的modem都关起来,不知道member是否有高招? [i=s] 本帖最後由 tomleehk 於 2018-6-24 02:14 編輯 [/i]
每次router reboot 最好將router WAN 真實使用緊嘅MAC address 連同攞到嘅 ip, 經email send 去 mailbox, 每次都同前一次cross check比較, 先確保真實使用緊嘅WAN MAC address每一次都唔同
唔肯定Router OS能唔能夠讀到真實使用緊嘅MAC address, OpenWRT喺可以讀到
如果你個 script 喺 randomly 産生12個位嘅MAC address, 有可能某 d MAC address喺無效嘅, 因而router 會用用番自身嘅 mac address 去攞ip, 有可能因此無renew ip
我屋企只要reboot router, 根本唔需要reboot modem, router 新嘅WAN MAC address就可以攞到新嘅 ip, 估計其他ISP都應該喺咁
但如果真喺咁特别需要reboot modem, 其實可以借助 digital timer 去set power off/on 嘅schedule, 我而家都喺咁所有network器材每日off/on一次 最近block IP非常厉害,如果有VPN traffic的就block IP。不知道大家是否也遇到这个情况呢? 现在用SSTP port 443看到就block,如果不disableVPN,连IP都block。 所以凡有特徵或可能有特徵嘅方案我已經放棄 我預備咗兩個server
A proxy server每日自動轉ip,主要翻牆用
B proxy server只能人手轉ip,萬一A server ip 被block, 就經B server 去reboot A server直至 A server 攞到未被block 嘅ip
視乎情況,如果A server每日renew 番嚟嘅ip 太多已先天被block, 可能要取消A server每日自轉ip嘅安排 前天开始,香港的softether在大陆用IP连接已经不可以了。要换成自带的DDNS(vpnazure.net)做hostname先得。 等等,如果在大陆用IP不能连?为什么用自带的DDNS就可以呢?用自己的DDNS resolve出来的IP address不是一样吗?
CHing是否能说详细一点呢?真的不理解为何你说就可以。
(最近大陆block vpn block得非常厉害) 真的没有猜错,他们用Artificial Intelligence 去检查Internet Packets。
[url]https://qz.com/1072701/meet-shadowsocks-the-underground-tool-that-chinas-coders-use-to-blast-through-the-great-firewall/[/url] 现在,如果你用VPN,与它data base无关的,就block IP。
如果没有用VPN,系统就怀疑你用Proxy,那么就block port number。
只要数据量大就。。。。。向你开刀。。。。所以尽量data flow小,不能大,还有不能长期连接。 另外要預備漫遊
萬一server完全被block, 都可以用嚟renew server ip 现在vpn好像没有之前那么紧张,比较容易登入。 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45119&ptid=7196]23#[/url] [i]角色[/i] [/b]
用ss好几年了,每月大概是500G左右的流量,三个朋友一起用,还挺太平的! [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45120&ptid=7196]24#[/url] [i]lookforyou[/i] [/b]
你的ss, 是否fixed IP,还是dynamic IP? 固定的ip,小搬的vps。我还经常没事油管中4k视频 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45123&ptid=7196]26#[/url] [i]lookforyou[/i] [/b]
如果一block IP就大件事了!!! 20美元一年,不行就新换一个vps。不过几年都比较太平,用过三四个vps,没有一个被墙的 那么你说经常看YouTube 4K都没有事?
难度我去香港的traffic长期给阿爷监控着? [i=s] 本帖最後由 lookforyou 於 2018-7-5 08:23 編輯 [/i]
我的几年都没事,一直是ss 现在手里还有两个,一个cn2线路,一个gia ,都在美国洛杉矶。不知道大家被墙的ip是不是还跑了别的翻墙应用
頁:
[1]
2