目前的情况
除国内的网站加载较为缓慢之外,其余那些封锁措施较为轻微的网站可以直接访问
例如:V2EX Discord E-Hentai ExHentai
封锁措施较为严格的网站会直接显示:ERR_CONNECTION_RESET
例如:Pixiv
预期之外的情况
部分正常网站开始无法访问
例如:Github以及Steam
均显示ERR_CONNECTION_TIMED_OUT
此时在 Chrome 设置中关闭使用安全 DNS 则恢复正常,以上两个网站可以正常加载访问.
预期目标
能够以牺牲一部分访问和加载速度为前提,换取更高的访问能力
问题来了:该如何对以上问题进行排查和解决?
希望获得解答
另外
测试以上内容时,网关和客户端均无任何代理设置,且在 Windows 网络适配器中关闭 ipv6 协议仍能得到以上结果
16 条回复 2025-09-26 02:16:43 +08:00
 | 1 Lentin 22 天前 |
 | 2 tes286 22 天前 https://www.cloudflare.com/zh-cn/learning/ssl/what-is-encrypted-sni/ 大概是 esni 发力了。esni 需要 https 类型 dns 记录,国内的 local-dns 大概会过滤掉。只是 sni 阻断的网站当然就能联通了。 不过这个方法不太稳定,也支持有限(目前仅观察到 cloudflare 大量部署了 esni ,也就是只能连到 cloudflare 上的网站,并且网站所有者没关掉这个功能),且需客户端支持。 观察 https://<domain>/cdn-cgi/trace 中的 sni 字段,一般是 sni=plaintext 或者 sni=encrypted ,分别对应 esni 是否启用。 |
 | 3 JustBeFree OP |
| 4 Lentin 22 天前 via iPhone @JustBeFree 因为 github 被单独写了 ip 策略 esni 起不到作用,gfw 没有全量覆盖 cloudflare 的 cdn ip 地址,x.com 同理也是被针对 ip 封锁 |
| 5 JustBeFree/strong> OP @Lentin 这个结论有任何依据吗?Github 和 Steam 在使用 cloudflare 的 DOH 之前能够访问,使用之后反而不能访问了,GFW 没有任何理由去阻断能够正常访问的网站的 CDN ip 地址吧. |
| 6 Lentin 21 天前 via iPhone @JustBeFree 看看 doh 获取的 ip 是多少?手动 curl 构建请求看看查了一下 github 没有启用 ech 。esni 是废案了 |
| 7 JustBeFree OP @Lentin wireshark 抓包看了,ip 是 cloudflare 数据中心的广播 ip,v4 和 v6 都是,都是可以连通的,但现在 steam 又可以访问了,github 依然无法访问.非常奇怪.而且刚刚看了一下 https://e-hentai.org/cdn-cgi/trace,能够访问应该靠的是 http3,sni 那里是 plaintext,说明 ech 没有成功启用. |
 | 8 bollld607 21 天前 via Android Github 和 Steam 的访问异常是 GFW 的间歇性干扰,是针对 IP 的,你用哪款 DNS 都没用,参见: https://v2ex.com/t/758568 https://v2ex.com/t/824179 |
| 9 JustBeFree OP @bollld607 参考我提供的内容,关掉安全 DNS 立马可以正常访问且速度相当快,这与间歇性干扰的特征不符合. |
 | 10 taikobo 20 天前 via Android 这个逻辑推理一下就行了 不使用 doh 时,返回的 IP 没有被墙 使用 doh 返回的 IP 被墙了呗 墙的具体原理不清楚,大概方法不就那几种,dns 污染,ip 封锁,端口封锁,特定条件 tcp rst 之类的 |
| 11 taikobo 20 天前 via Android 另外你的路由器如果有 cache ,但是不 cache type65 只 cache A 和 AAAA 记录的话,会导致首次访问使用 ech 后续访问不使用 ech |
| 12 taikobo 20 天前 via Android Dnsmasq 2.88 还是 2.86 之后可以用 --cache-rr option 来制定 cache 类型 |
| 13 JustBeFree OP @taikobo 并不是,用 nslookup 查询后发现就是超时了,昨天晚上测试的时候 steam 和 github 都能随机成功加载了,但是仍然会有很大概率超时. 另外我的路由器也只是一个具有简单功能的路由器,ech 经过测试每次都是能正常触发启用的 |
| 14 taikobo 20 天前 via Android 你是说 doh 超时?那这个和你主楼的描述完全不一致 你主楼说的是别的网站正常访问,就特定网站不稳定或者访问不了 要是 doh 超时应该是所有网站都不稳定,原因就是 doh 本身被阻断了,或者 doh 自身域名 dns 被污染 |
| 15 taikobo 20 天前 via Android  1 不走代理直连是投机行为,不保证可用,浪费时间折腾自己,劝你别折腾了。。。 |
 | 16 383394544 18 天前 via iPhone 唉 |
Select Language