这个场景你一定不陌生:上个月还能用的节点,这个月突然连不上了。换个节点,用了两周,又挂了。在论坛找攻略,发现别人的问题和你一模一样。折腾一番之后,终于又能用了——直到下次失效。
这不是你的手机有问题,不是VPN软件的bug,也不是运气差。这是一个可预测的规律,一旦你理解了GFW的工作方式,解决方案就变得非常清晰。
GFW不是一堵静止的墙
很多人把GFW理解为一个屏蔽网站的列表——一个坐在中国和境外互联网之间的过滤器。这部分是对的,但这只是最基础的功能。更精密的层面叫做主动探测加上流量统计分析。
当你连接一个境外节点,GFW会注意到这个连接的流量模式和普通HTTPS访问不一样。正常访问网站的流量有特定的时序、包大小和握手顺序。翻墙流量有不同的模式——不是立即就能判断,但足够触发进一步检测。
发现可疑连接之后,GFW不一定立即封锁。有时候它会继续观察,有时候会主动发送探测——从中国境内向这个疑似节点服务器发起连接请求,确认判断。如果服务器的响应方式证实了它是一个翻墙节点,这个IP就进了黑名单。
机场和共享节点为什么死得更快
ExpressVPN、机场、各种免费订阅——它们都把服务器IP共享给成千上万的用户。这产生了一个从根本上无法回避的问题。
当几万人都在通过同一个IP翻墙,这个IP就变成了一个非常显眼的目标。GFW看到这个流量体量,国内的研究人员持续测试并上报被封的IP,VPN服务商的应对是换新服务器、换IP、推更新。GFW封掉新IP。这个循环无休止地重复。
结果就是:你的节点每隔几周或几个月就被抓进新一轮封锁。服务商推更新,你换节点,能用一段时间——然后再次失效。
这不是某家机场不够好。这是共享IP模式本身决定的结果。
GFW具体在识别什么
TLS指纹。 每个建立TLS连接的应用都会在握手过程中留下指纹。不同的VPN客户端和真实浏览器留下的指纹不同。GFW已经建立了所有主流VPN协议的指纹库——OpenVPN、WireGuard、标准IKEv2——一旦匹配,立即标记。
流量熵分析。 加密的翻墙流量往往非常均匀随机——高熵值。真实的HTTPS流量有更多结构。精密的分析可以在不破解加密的情况下区分两者。
目标IP信誉。 翻墙服务器倾向于部署在特定的云服务商(AWS、DigitalOcean、Vultr等)的特定数据中心。GFW维护着已知的托管IP段名单——这些IP段上的连接会受到更高强度的审查。
真正长期有效的方案
解决方案必须从根本上解决问题:你的流量需要和正常HTTPS流量真正无法区分——不只是加密,不只是混淆,而是真实地完成一个TLS握手,连接到一个真实存在的域名。
这正是Xray Reality协议做的事情,它在原理上和任何商业VPN都不同。
Reality不是把你的流量包在一个VPN协议里,而是用一个真实合法的域名——一个真实存在、有真实证书的网站——来完成TLS握手。你的流量在这个建立好的TLS会话内传输。GFW看到的是一个指向某个境外合法网站的TLS连接——因为从技术上来说,它确实是。
没有VPN指纹可以识别,因为没有VPN握手。深度包检测确认GFW预期看到的结果——一个真实的TLS连接——然后放行。
第二个关键因素:你专属的IP
即使有了最好的协议,共享基础设施仍然有风险。如果一万个人用同一个服务器的IP,无论流量看起来多正常,这个IP迟早会引起注意。
专属服务器——只有你和你指定的人使用——的IP没有任何历史记录,没有大量翻墙流量的特征,没有任何理由让GFW多看一眼。GFW没有办法封锁它,除非封锁所有小型境外服务器——而那会把中国互联网本身的大量基础设施一起封掉。
VPN在中国反复失效的模式不会消失。GFW和商业VPN之间的猫鼠游戏是永久性的,因为共享基础设施从根本上就是可被利用的。自建服务器彻底绕开了这场游戏——因为它根本不参与其中。