hysteria被封了？以下是应对方法

岱岳之上的天 · 发表于 2024-7-19 12:15:20

从2024年7月16日开始，网络上陆续出现自己的hysteria2服务器被封了等报告。（包括本网站在内）

在此事发生之后，经某（相关词在这发不出来，用某代替）tg群一群大佬的研究后发现，这是hysteria2部分特征与普通的，基于quic-go构建的应用程序流量行为有所区别所致。

1.真正的，市面上可见的，已经投入公众用户的，基于quic-go构建的程序。不会出现单个IP地址、单个SNI长时间大流量传输的情况。普遍的特征是单个IP地址对应单个SNI的小流量传输，或者单个IP地址对应多个SNI的大流量传输。

2.真正的，市面上可见的，已经投入公众用户的，基于quic-go构建的程序。访问IP地址：端口时，是会出现一定的返回内容的，而且返回的内容会根据请求内容的不同有所变化，而不是一味返回404或者一直都是一个特定的提示。

3.真正的，市面上可见的，已经投入公众用户的，基于quic-go构建的程序。出现客户端到单个IP地址长时间、大流量传输的时候，一般是不会在握手包携带任何SNI信息的。

所以基于上述分析结果，目前我们作为普通用户可以做的事情是：

1.尽可能让hysteria客户端不带SNI去握手，如果无法避免的情况下，SNI不要乱填。例如在电脑上使用nekoray时，可以在编辑服务器配置的时候勾上不发送服务器名称指示（SNI）

2.hysteria服务端伪装设置要尽可能模拟一个web服务器的行为，对于不同的URL访问请求尽可能返回不同的回应。

3.不要使用太旧的客户端连接，因为在quic-go v0.44以后，客户端与服务器端交互行为有很大区别。服务端和客户端的版本要尽可能保持一致。

balala · 发表于 2024-7-19 12:16:59

没用，想封你还需要理由么！

azoth07 · 发表于 2024-7-19 12:44:40

hysteria特征特异性太明显了，尤其是垃圾vps突然爆出大量访问很容易被track。reality Tls vision也有不少问题，但是偷跑tls风险能被均摊，如果封杀1000会导致自损800，国内也有不少甚至政府条线用cloudflare，最终还得自己的客户端做好鉴权保持最新版本。

Skywalker · 发表于 2024-7-19 12:47:33

自建用的好好的，那些被封的估计都是rbq ip吧

z836454898 · 发表于 2024-7-19 14:03:34

跑hysteria被gcp识别为ddos流量了，估计是谷歌也检测到hysteria流量和普通的quic流量不一样

ant48 · 发表于 2024-7-19 14:08:21

z836454898 发表于 2024-7-19 14:03
跑hysteria被gcp识别为ddos流量了，估计是谷歌也检测到hysteria流量和普通的quic流量不一样 ...

我的也是被GCP封了几个账号

在7楼 · 发表于 2024-7-19 19:56:50

确定跟SNI有关系吗？hy被封没见过是直接被高墙封的，要不是就是被当地运营商针对udp被qos了，要不就是服务器提供商误判为滥用或受攻击（多倍发包）封机器。
感觉把客户端的up和down设置低点，比啥都有效。个人习惯设成50MB，两个GCP上都跑了hy，至今啥事没有。

yaa · 发表于 2024-7-19 21:22:22

多用hy，很快高墙就会有一整套抑制UDP的成熟系统。

		自动登录	找回密码
密码			注册