(2023H1) Reports of blocking after using NaiveProxy

[guol-fnst]

My naiveproyx client was blocked, as well as my domain.
location: jiangsu mobile

[openips]

My naiveproyx client was blocked, as well as my domain.
location: jiangsu mobile

are yoy sure？

[guol-fnst]

Sure
It works fine for about 1 months.

However China Telecom doesn't block my domain, which is strange.

[2378]

been recognized by GFW ?

都知道移动是墙中墙，减少网间结算费用而已，北岸站都有被墙的先例，除非你机房走的CMI线路

[openips]

本来移动的国际出口就不行 用移动手机流量试试就知道了 没封 一切正常

[guol-fnst]

都试过了，不行

[tournet]

遇到同样问题，失效，重装安装最新版重新配置，用了3分钟，又失效。

[tournet]

遇到同样问题，失效，重装安装最新版重新配置，用了3分钟，又失效。

大流量过的ip，之后连接就会阻断。我尝试抓过包得知的，并且确认线路正常。

3分钟，大流量？

[ArcCal]

几分钟就会被强，请看日志：

[0301/003608.737008:INFO:naive_proxy_delegate.cc(86)] Padding capability of https://www.example.com:443 detected
[0301/003639.696404:INFO:naive_connection.cc(273)] Connection 6 to client.dropbox.com:443
[0301/003639.846331:INFO:naive_connection.cc(273)] Connection 7 to api.dropboxapi.com:443
[0301/003639.858170:INFO:naive_connection.cc(273)] Connection 8 to api.dropboxapi.com:443
[0301/003649.700114:INFO:naive_proxy.cc(192)] Connection 5 closed: OK
[0301/003649.700157:INFO:naive_proxy.cc(192)] Connection 6 closed: OK
[0301/003649.700175:INFO:naive_proxy.cc(192)] Connection 7 closed: OK
[0301/003649.700190:INFO:naive_proxy.cc(192)] Connection 8 closed: OK
[0301/003649.703566:INFO:naive_connection.cc(273)] Connection 9 to client.dropbox.com:443
[0301/003649.705633:INFO:naive_connection.cc(273)] Connection 10 to client.dropbox.com:443
[0301/003649.705890:INFO:naive_connection.cc(273)] Connection 11 to api.dropboxapi.com:443
[0301/003649.707501:INFO:naive_connection.cc(273)] Connection 12 to api.dropboxapi.com:443
[0301/003700.083086:INFO:naive_proxy.cc(192)] Connection 10 closed: ERR_PROXY_CONNECTION_FAILED
[0301/003700.085051:INFO:naive_proxy.cc(192)] Connection 9 closed: ERR_PROXY_CONNECTION_FAILED
[0301/003700.085106:INFO:naive_proxy.cc(192)] Connection 4 closed: ERR_PROXY_CONNECTION_FAILED
[0301/003700.085123:INFO:naive_proxy.cc(192)] Connection 3 closed: ERR_PROXY_CONNECTION_FAILED
[0301/003700.335058:INFO:naive_proxy.cc(192)] Connection 2 closed: ERR_PROXY_CONNECTION_FAILED
[0301/003701.047055:INFO:naive_connection.cc(273)] Connection 13 to dns.nextdns.io:443
[0301/003701.235556:INFO:naive_connection.cc(273)] Connection 14 to dns.nextdns.io:443
[0301/003701.239836:INFO:naive_connection.cc(273)] Connection 15 to dns.nextdns.io:443
[0301/003701.243923:INFO:naive_connection.cc(273)] Connection 16 to dns.nextdns.io:443
[0301/003701.247669:INFO:naive_connection.cc(273)] Connection 17 to dns.nextdns.io:443
[0301/003701.251273:INFO:naive_connection.cc(273)] Connection 18 to dns.nextdns.io:443
[0301/003716.058211:INFO:naive_connection.cc(273)] Connection 19 to t8.dropbox.com:443

[2378]

@triggered96
人均十几台机器的mjj懂多一点
三分钟，大流量？163出口一炸就Qos，这是标准操作，

However China Telecom doesn't block my domain

楼主自己都说电信没事，他这情况摆明就是移动搞鬼。

[guol-fnst]

手机一样不行
移动把域名直接封了，没啥用
没在电信环境下跑过naiveproxy，所以不会被电信屏蔽

[2378]

搞清楚自己网络环境，别拿功夫网说事，有影响但没那么神

[ayanami-desu]

不要总想着搞个大新闻

[phyzhenli]

我的手机4G是移动，不行；学校是教育网，可以；宿舍wifi是电信，也不行。很奇怪，搞得我头都秃了...

[zhangbo8418]

好吧，我也遇到了。。。

[gnusir]

江苏电信，443端口用了一天，废了，换了端口测试中。

[openips]

gfw发威了

[humandigits]

也遇到同样的问题，这里汇报一下。

1. 只影响某个城市的电信客户端，日志与ArcCal一致，这里就不贴了。受影响的客户端可以正常浏览服务端的https网页或下载，但是如果频繁试图与服务端建立Naiveproxy链接，客户端再访问这个站点的https网页，浏览器短期内显示证书错误警告或无法连接。
2. 目前如果境外的接入点是电信的网络都出现此问题。如果境外接入点不是电信的暂没有此类问题。
3. 受影响的客户端如果重启的话，会有一段时间可正常使用naiveproxy（大概5分钟之内），但之后会出现阻断。
   妄加猜测一下，可能审查是部署在海外电信的接入机房，由于我非电信的客户端都不走这些线路，而是直连其他海外运营商，暂没有此问题，但也无法控制变量验证是否如此。

[klzgrad]

@humandigits 你的情况看起来比较容易重现。需要补充几个信息：

实施阻断的机制：

• “浏览器短期内显示证书错误警告”请用Wireshark提取一下证书错误时的流量是什么样子。如果阻断方式是丢包的话，应该是直接无法连接，不会有证书握手。

实施阻断的范围：

• 被阻断的服务器，在阻断期间，从其他地址访问，是否存在阻断？
• 发生阻断以后，阻断的时间有多长？
• “海外电信的接入机房”这有具体所指吗？是指被阻断的服务器属于某个数据中心运行商？

触发阻断的因素：

• “正常使用naiveproxy（大概5分钟之内），但之后会出现阻断”：如果使用N（N=1, 2, 3, 4）分钟（N分钟内需要有隧道流量），是否会在第5分钟或什么时候出现阻断？这是想了解阻断是实时的，还是延时的。
• “正常使用naiveproxy（大概5分钟之内），但之后会出现阻断”：如果在5分钟内传输很少的隧道流量，是否会出现阻断？这是想了解阻断的依据与隧道流量的数量和内容是否有关系。
• “正常使用naiveproxy（大概5分钟之内），但之后会出现阻断”：如果在5分钟内正常使用naiveproxy，并同时使用浏览器并行访问站点网页，是否会阻断？这是想了解阻断的依据是单个连接，还是多个连接。

在一些地方局部存在额外的流量检查机制是可能的，例如在一个全是静态文件服务的机房，出现上下行交互特别频繁的流量，因为有局部的先验存在，流量检查机制就可以更准确。在全国性的流量检查机制中无法使用这种先验，就算TLS-in-TLS使用了很简单的padding，也难以杜绝误报。但是在一些局部可能存在这种更严格的检查。现在需要更详细地重现和确认这种局部检查的范围和机制，否则单纯添加一些新的流量混淆模式也不一定解决问题，例如在全是静态文件服务的机房，不管采用任何流量混淆模式，如果不付出流量隐写级别的性能损失，则很难避免识别。

[humandigits]

@klzgrad
谢谢回复，我再补充一些细节，
客户端：
甲城市（某北方城市），有两个不同地点的客户端A和B，电信宽带。
乙城市的客户端C，联通宽带。其他还有几个客户端和C情况类似。

链路：
服务端X, 服务端Y，X和Y在不同国家。
A和B到X 的mtr最后几个ip是 电信骨干网AS4809、福建电信ip、X所在区域的隶属于中国电信IP、X的IP。
A和B到Y的 mtr 经过电信骨干网AS4134、Y所在区域的外国运营商。
C到X经过X所在区域的隶属于中国联通的IP。（ip的地域和运营商信息均是从网上数据库获知）

阻断的影响：
阻断事件在几天前首次出现后持续至今。
只有A和B无法和X进行naiveproxy代理。可以正常浏览X的https网页和下载，用chrome同时打开20个网页访问也是正常的（这两天https完全不受影响，即使在尝试进行代理请求之后）。对代理的阻断是永久的，但会间歇性放过一次小流量代理（包括passwall的可用性检测和浏览一个只有文字的网页，我在后面会解释）。
A/B 的naiveproxy连接Y，C 的naiveproxy连接X和Y都一直正常。
证书错误在阻断事件出现的当天有过两次，现在无法复现。如果我再遇到了试试抓包。目前A/B 到X的https连接正常。

关于“正常使用naiveproxy（大概5分钟之内），但之后会出现阻断”。我又做了几次试验，现在弄明白这是怎么回事，我之前的认识有误。每隔一段时间，对于小流量代理的首次尝试，墙会放行，但是如果 1）再次尝试这种小流量访问 2）尝试代理访问youtube之类的大站点，会立即无法访问。过了一段时间后（时间不定，可能在十几分钟到几十分钟），小流量代理又可以放行首次尝试。这个过程和客户端是否重启无关。

[klzgrad]

阻断策略的协议范围是连接级别的，不是主机级别的。
阻断策略的空间范围局限于特定线路方向，被阻断的主机从其他线路访问无阻断。
阻断策略的时间范围是有限的，可以间歇性地恢复。
阻断策略是实时生效的。
阻断的机制是丢包，不是注入rst。
阻断检测的范围不限于连接的开头，会延伸到连接的后部。

这个像是机房级的防火墙，GFW不具有这种检测范围（受限于算力要求）和策略部署实时性（受限于全国路由扩散时间）。参考：net4people/bbs#239

所以需要再具体刻画一下X是什么性质的服务器：它的物理位置或者网络位置在境内还是境外？它的运营商是境内的还是境外的，还是中国电信自己？

[humandigits]

X的物理位置在境外，也是由境外运营商运营。对于电信客户端 线路是 国内IP - 中国境内电信骨干网 - X当地（境外）的中国电信IP - X。我不太清楚这个境外的中国电信IP物理位置是否真在境外，只是ip查询的结果报告属于X当地的中国电信公司。

[klzgrad]

“X当地（境外）的中国电信IP”这个倒数第二跳的IP可以透露吗，这里希望查证是否是一个境外电信机房的概念。

[humandigits]

@klzgrad 是一个69.194.165.* 的ip。

[TXIuTnVsbA]

目前我用9443端口没啥问题，服务器是良心云，前几个月有因为vless + ws + tls 被封过443端口，现在换了ip之后就不再用vless了，转用这东西，因为443端口是nginx在用，所以只能用9443端口，目前没什么问题。

[klzgrad]

https://github.com/klzgrad/naiveproxy/releases/tag/v114.0.5735.91-4test

我增加了一个比较简单的大包拆小的策略，ClientHello等分成几个小包发送，看看使用效果是否有变化。

@ArcCal @humandigits

[klzgrad]

ERR_SOCKS_CONNECTION_FAILED是指本地的socks5端口收到了不是socks5的协议，用wireshark看一下是谁在产生这种行为，可以让它不要在日志里造成错误

[frankang]

不同城市也不一样。北京多个网络多个平台(win/mac)，用了挺久几乎没出现问题（极少数情况还是会被短暂封，22 ssh连不上，不过此时搭的伪装网页能打开）。
但是在长沙移动测试，看视频流量稍微一大，就秒阻断，要过好一会才能恢复正常。

[ArcCal]

不同城市也不一样。北京多个网络多个平台(win/mac)，用了挺久几乎没出现问题（极少数情况还是会被短暂封，22 ssh连不上，不过此时搭的伪装网页能打开）。 但是在长沙移动测试，看视频流量稍微一大，就秒阻断，要过好一会才能恢复正常。

你是用的大佬新发布的4test测试版吗

[frankang]

不同城市也不一样。北京多个网络多个平台(win/mac)，用了挺久几乎没出现问题（极少数情况还是会被短暂封，22 ssh连不上，不过此时搭的伪装网页能打开）。 但是在长沙移动测试，看视频流量稍微一大，就秒阻断，要过好一会才能恢复正常。

你是用的大佬新发布的4test测试版吗

server用的是去年10月的某个版本编译的，client大概是今年4月的某个版本

[zhqcqupt]

My naiveproyx client was blocked, as well as my domain. location: jiangsu mobile

大佬还有这个问题吗，我的情况比较类似，但是奇葩的是，我笔记本用手机的热点（中国移动的），能正常用（期间访问过奈菲、youtube等），但是我手机就不行

[tudoubocai]

在vps使用caddy搭建了webdav和naiveproxy二合一服务，共用同一域名，同一端口（443 tcp）>> 在客户端，使用webdav客户端（cyberduck firefox或infuse）进行下载或在线播放，和稳定性都很好，但naiveproxy客户端只一会儿就出现类似提示，断流[0316/215200.403004:INFO:naive_proxy.cc(192)]连接16关闭：ERR_HTTP2_PING_FAILED[0316/215200.403101:INFO:naive_proxy.cc(192)]连接14关闭：ERR_HTTP2_PING_FAILED[0316/215200.403124:INFO:naive_proxy.cc(192)]连接15关闭：ERR_HTTP2_PING_FAILED

请问，能教一下，共用443端口，Caddyfile文件怎么配置吗？
我的docker下有个博客，想和naiveproxy共用443，用不同的域名访问。