vmess + ws + tls + cf 被墙，大佬看下这是什么手段

[forMwish]

配置用的 vmess + ws + tls + nginx + cf

---

目前服务器 443 端口已经基本被墙，从 wireshark 上看无限 TCP Retransmission。
但是有意思的是，偶尔会有 TCP 能通，TLS 失败的情况：

• 使用 wget https://$domain ，从 wireshark 上看，TCP 握手正常，但是当客户端发送 TLS 的 Client Hello 后，会收到一个来自“服务器”的 [RST, ACK] 包
• 使用 tshark 看服务器上，服务器在接受到 Client Hello 后，并没有发送 [RST, ACK] 包；而是回复了 Server Hello 和一个 ACK。但是后面收到一个来自“客户端”的 [RST, ACK] 包

总结 服务器和客户端在 TLS 握手阶段，收到了“中间商”的 RST，导致通信失败

---

cloudflare 上的 443 端口，通过 telnet $ip 443 看是能够正常通信的，但也会在 TLS 握手阶段收到 [RST, ACK] 包

---

问题：

1. 这是 RST 攻击吗？
2. 不让我 tls 握手，是想看我的通信内容？防火墙也八卦？😅
3. 攻击的原理是啥？看到我 TLS 握手，直接 RST 攻击？那我换个其他协议？

另外，有没有和我一样的倒霉蛋，总不能只有我一个人这样吧😭

[VajiraTohar]

卧槽！从配置到问题一模一样！我现在正看着 wireshark 黑底红字 [TCP Retransmission] 哈哈！

记录一下我的发现。首先我的v2ray启动开始就是套了cf，从头到尾没有访问过服务器443。

一开始正常，用了几天以后连不上，一番折腾下有以下发现：

1. 分地区，某省某市还能正常使用，我这里不行，用户就两个人。
2. 随着 v2ray 不能使用，我分到的 cf cdn 也不能访问网页了。
3. 使用浏览器自带的 DoH 设置，配置为国内某 DoH，就能正常访问网页了。
4. 我用 cloudflared 让系统使用 DoH，和上一条同一个 DoH，v2ray 依旧是 TCP Retransmission。

就这么多。DoH 的问题是我偶然发现的，所以顺着这个思路给系统也装了 cloudflared 用 DoH，但这好像并不是问题的根源。

[forMwish]

我后面已经被封，TCP 都无法访问，但是 ssh 还行（不过我 ssh 不是 22 端口，不知道当时 22 端口是否正常），然后现在“出来”了。
希望你运气比我好些😂

[VajiraTohar]

我看2020年的讨论就说vmess已经被识别可以精准阻断了（啊？）

还看到一条发言说是别光从技术方面琢磨，看看自己域名所指向的网站有没有可以承载日常所用魔法所对应的体量，我觉得确实有道理，就挂个只有两三篇的静态博客，然后动不动跑几十MB/s，和裸奔有啥区别……

[qingfengshi]

这是直接断了和cf的连接还是握手包被破解了？感觉两种都很难实现

…

On Fri, Oct 25, 2024 at 5:24 PM forMwish ***@***.***> wrote: 我后面已经被封，TCP 都无法访问，但是 ssh 还行（不过我 ssh 不是 22 端口，不知道当时 22 端口是否正常），然后现在“出来”了。 希望你运气比我好些😂 — Reply to this email directly, view it on GitHub <#3114 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AE34YTBKZCITSINIK2XS4WDZ5IE6NAVCNFSM6AAAAABMLSUQA2VHI2DSMVQWIX3LMV43URDJONRXK43TNFXW4Q3PNVWWK3TUHMYTCMBVGA2TIMY> . You are receiving this because you are subscribed to this thread.Message ID: ***@***.***>

[forMwish]

TLS 的握手前两个步骤是明文，应该好搞吧？我反正是小白。猜测如下：
中间哪层检测到对目标服务器的 ClientHello，然后直接伪装服务器返回一个 [RST, ACK]，导致 TLS 握手挂掉。
我不明白的是，为什么不直接封掉 ip，反而针对 https 下手。。。

[qianbinbin]

@forMwish 你不是套了 CDN 吗，CF 的 IP 就那么多，封的话波及的网站太多了吧

[cumtsd]

我也遇到了，我的是间歇式无法访问，晚上不能访问的概率大些。也看运营商，不知道是怎么回事，有什么好的办法吗

[fqx]

昨天开始也变成这样了。
我没有套CF，V MESS+WS+TLS。
同一台服务器的hysteria2可以正常用。

[cumtsd]

不套cf会直接封端口，多次封端口IP就GG了

[NagisaEfi]

• 用2GB或以上主記憶體的KVM雲伺服器運行V2Ray。如果是OpenVZ雲伺服器，主記憶體則需要至少1GB。
• • Linux / Windows會使用一部分主記憶體做網絡緩衝（network buffer），用來緩衝network sockets。
• 用CN2線路伺服器。
• 打開V2Ray的V2RAY_VMESS_AEAD_FORCED=true。V2Ray官網說2022年以後的V2Ray版本預設打開V2RAY_VMESS_AEAD_FORCED，但經本人測試，如果是Debian / Ubuntu套件管理的V2Ray，此選項預設沒打開。
  
• 一種協議不行嘗試第二種協議。

[qianbinbin]

厚礼谢，vless/ws/tls 几年了没问题，今天突然全国范围内封我 IP
先套个 CDN 苟一下，幸好 CF 还能上
为啥以前不套，主要是速度不理想，而且 CF 的 CDN 某些运营商是没法用的
我还用了网站伪装，看来还是不行

[forMwish]

个人经验，一会能用，一会不能用，离完全不能用就不远了😂

[qianbinbin]

是的，所以还是不直连了😄

[cumtsd]

cdn现在晚上qos严重

[momaek]

套 cf 的时候，可以走 cname 的那种方式嘛？txt 验证过了后，可以 cname 到其他人的 cloudflare 国内好一点的节点...

[qianbinbin]

@momaek 如果是想要好一点的节点，套完后在本地解析指向这些 IP 就可以了吧，但是 CF 的 IP 速度好像都不咋地
如果是第三方的节点，怎么知道他们的节点是安全的呢

[NagisaEfi]

• Use KVM cloud server with 2GB or larger main memory to run V2Ray. For OpenVZ cloud server, the main memory should be at least 1GB.
• • Linux / Windows uses some main memory as network buffer, to buffer network sockets.
• Use server with CN2 network line.
• Set V2RAY_VMESS_AEAD_FORCED=true. V2Ray official websited said that V2Ray builds since 2022 are enforce V2RAY_VMESS_AEAD_FORCED by default, but according to our test, the V2Ray package of Debian / Ubuntu is not enforce V2RAY_VMESS_AEAD_FORCED by default.
  
• Try other protocols.