Application of Artificial Intelligence (AI) on GFW

角色

估计阿爷怎样判定某个外地IP address有问题？

Fact：
1、判定VPN traffic 比 Proxy traffic容易多
2、监察IP 和 VPN ports量 (如果流量大，小流量不理会)
3、监察某个IP and 某个port 流量大（判定是否Proxy）

Rules：
1、用VPN，如果流量大，而不在白名单里就进行干扰。
2、如果不是VPN，就要check多少大陆IP接同一个server？（阿爷用一个table，就算我们改了香港IP，他们有大陆的IP address，他们可以通过table，找出新的香港IP）

Policy：
1、不用VPN and 用Proxy
2、经常换（天天换）IP and port number
3、VPN尽量不长期连接，需要才连

大家是否有什么高见，可以分享一下吗？

大家看看下面文章:
https://qz.com/1072701/meet-shad ... the-great-firewall/

角色

Planned Tasks:

1. Design script for automatic change mac address
2. Disconnect the internet service for 10 minutes (disable and enable)
3. Send email for the changed ip address

角色

香港的Public用hAP ac^2去更改，而port由两边V2Ray去改动。

tomleehk

Planned Tasks:

1. Design script for automatic change mac address
2. Disconnect the internet service for 10 minutes (disable and enable)
3. Send email for the changed ip address
角色 發表於 2018-6-21 09:12

   
以上方案全部使用中, 不過ip更新頻率只喺每日一次, port位無定期改(因工序比較麻煩)

另外加埋 traffic 用https 掩飾, 因為ss或者v2ray都一定有特徵

除非GFW實行白名單制,否則應該可以維持一段較長時間

角色

V2Ray都有https，还有mux，就是针更换不同的port numbers。

tomleehk

是的..
但從我的觀察, 甚少人在ss或v2ray啟動https作掩飾, 反而大部份人只執行原生基本方案就算

lookforyou

访问的网站基本都是https，所以就不需要掩饰了

tomleehk

访问的网站基本都是https，所以就不需要掩饰了
lookforyou 發表於 2018-6-21 14:39

但可惜由國內client, 經GFW至國外你嘅VPN/proxy server這一段是用你VPN 或者proxy方案包封, 你的方案可能已經令原來traffic失去https嘅特徵而帶住你的VPN 或者proxy方案嘅特徵, 從而有機會令GFW 偵察到

https obfs 嘅目的就是喺國內client做第二重包封成為普通 https packet, 經GFW 送至國外你嘅VPN/proxy server

在每日海量嘅https traffic之中隱藏起來

角色

回復 8# tomleehk

如果用https, 那么port number只有一个，就是443，那么转port已经没有意思。

tomleehk

回復 9# 角色

同意..所以我亦無硏究轉port呢方面嘅自動化
而且要留意因為要額外對packet加封解封,效能難免會下降,針無兩頭利

另外個人認為ISP萬一對某d port進行Qos, 甚至封某d port 嘅 outbound packet 進行封刹, 都一定不會限制 80, 443 呢d port 到, 相反你用其他port就反而有機會突然出現問題

tomleehk

另外單纯喺traffic層面用https掩飾, GFW要分真假亦有方法, 亦可以自動化
只要喺每個懷疑個案, 主動對VPN/proxy server送出偵察嘅https request, 分析server有無正常嘅 response 同 有無有效嘅cert, 無嘅話就知你喺假嘢

ss 嘅https obfs對應方案喺可以俾你建立一隻真正嘅https server去俾番呢d偵察request應有嘅response
簡單嘅講, ss-client嘅packet會自動自覺分流去ss-server做翻牆, 其他嘅就一概分流去https server俾番應有嘅response

所以如果方案只喺單纯喺traffic方面做掩節, 個人認為唔太理想, 仍有改良空間

角色

想问大家，我可以改变RouterOS的WAN interface IP，然后reboot，得出来的IP都是一样，没有改变。我估计是否前面modem接住ISP，Router -> modem, Router IP改了，但是Modem->ISP的MAC address没有改，所以导致就算改了Router的MAC address，得到IP都不能改。

因为我在远方，没有可能把前面的modem都关起来，不知道member是否有高招？

tomleehk

每次router reboot 最好將router WAN 真實使用緊嘅MAC address 連同攞到嘅 ip, 經email send 去 mailbox, 每次都同前一次cross check比較, 先確保真實使用緊嘅WAN MAC address每一次都唔同

唔肯定Router OS能唔能夠讀到真實使用緊嘅MAC address, OpenWRT喺可以讀到

如果你個 script 喺 randomly 産生12個位嘅MAC address, 有可能某 d MAC address喺無效嘅, 因而router 會用用番自身嘅 mac address 去攞ip, 有可能因此無renew ip

我屋企只要reboot router, 根本唔需要reboot modem, router 新嘅WAN MAC address就可以攞到新嘅 ip, 估計其他ISP都應該喺咁

但如果真喺咁特别需要reboot modem, 其實可以借助 digital timer 去set power off/on 嘅schedule, 我而家都喺咁所有network器材每日off/on一次

角色

最近block IP非常厉害，如果有VPN traffic的就block IP。不知道大家是否也遇到这个情况呢？

角色

现在用SSTP port 443看到就block，如果不disableVPN，连IP都block。