封锁与审查原理
了解 GFW 如何工作,才能更好地理解为什么有些节点好用、有些不好用。
GFW 是什么?
GFW(Great Firewall,防火长城)是中国大陆的互联网审查系统。它部署在中国互联网的出入口,监控并过滤所有进出境的网络流量。
GFW 的主要封锁方式
1. IP 封锁
最简单粗暴的方式:直接把目标服务器的 IP 地址加入黑名单。
- 被封的对象:Google、YouTube、Twitter 等大型服务的服务器 IP
- 绕过方式:使用未被封锁的代理服务器 IP 中转
- 局限性:代理服务器的 IP 也可能被封
2. DNS 污染
当你查询某个被封锁域名的 IP 时,GFW 拦截 DNS 请求并返回错误的 IP 地址。
- 被封的对象:几乎所有被封锁的境外网站域名
- 绕过方式:使用加密 DNS(DoH/DoT)或让代理客户端接管 DNS 解析
3. 深度包检测(DPI)
这是 GFW 最强大的武器。
DPI(Deep Packet Inspection)可以分析流量的内容特征,识别出各种代理协议的"指纹",即使流量是加密的,也能通过流量的行为模式判断类型。
DPI 能识别什么?
- 流量的协议类型(是否为代理流量)
- 数据包的大小分布、发送间隔等行为特征
- TLS 握手中的客户端指纹(Client Hello 特征)
- 代理协议特有的握手模式
这就是为什么老协议容易被封
早期的代理协议(如 Shadowsocks 原版)流量特征明显,很容易被 DPI 识别和封锁。现代协议(如 VLESS+XTLS-Reality、Hysteria2)通过各种方式混淆流量特征来对抗 DPI。
4. 主动探测(Active Probing)
GFW 不只是被动监听,它还会主动出击。
当 GFW 发现一个可疑的服务器 IP 时,会主动向该服务器发送探测请求,尝试识别它是否是代理服务器。
- 如果服务器"答应"了(返回了代理协议特有的响应),就会被确认并封锁
- 现代协议(如 VLESS+Reality)会对非法请求返回正常网站的响应,骗过主动探测
5. SNI 封锁
当你访问 HTTPS 网站时,TLS 握手中有一个字段叫 SNI(Server Name Indication),明文显示你要访问的域名。
GFW 可以读取 SNI 字段,即使流量是 HTTPS 加密的,也能知道你在访问哪个域名。
- 绕过方式:使用 ESNI/ECH(加密 SNI)或通过代理让 SNI 显示为正常域名
封锁的强度会变化
GFW 的封锁力度并不是一成不变的:
| 时期 | 特点 |
|---|---|
| 平时 | 封锁基本稳定,代理可正常使用 |
| 敏感时期 | 节假日、重大会议前后,封锁明显加强 |
| 重大事件 | 部分地区可能出现大规模断网或全面封锁 |
这就是为什么你的节点有时候突然不能用了,不一定是节点本身的问题,可能是临时加强审查。
小结
| 封锁手段 | 应对方式 |
|---|---|
| IP 封锁 | 使用未被封锁的节点 IP |
| DNS 污染 | 加密 DNS / 代理接管 DNS |
| DPI 流量识别 | 使用现代混淆协议(Reality、Hysteria2) |
| 主动探测 | 节点配置"回落"机制 |
| SNI 封锁 | 使用 CDN 或加密 SNI |