Cloudflare Radar 更新,显示平均有 9%的 TCP 连接会触发 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlphaTauriHonda
V2EX    宽带症候群

Cloudflare Radar 更新,显示平均有 9%的 TCP 连接会触发

  •  6      
  •   AlphaTauriHonda 2024-09-23 08:16:48 +08:00 4450 次点击
    这是一个创建于 382 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天注意到 Cloudflare Radar 更新了 TCP RST 和 Timeout 的数据,于是我就找了整个内和几个有代表性的 ASN ,来和美国宽带对比。

    整个内: https://radar.cloudflare.com/security-and-attacks/cn?dateRange=52w
    电信: https://radar.cloudflare.com/security-and-attacks/as4134?dateRange=52w
    联通: https://radar.cloudflare.com/security-and-attacks/as4837?dateRange=52w
    移动: https://radar.cloudflare.com/security-and-attacks/as9808?dateRange=52w
    教育: https://radar.cloudflare.com/security-and-attacks/as4538?dateRange=52w
    科技: https://radar.cloudflare.com/security-and-attacks/as7497?dateRange=52w
    上海电信: https://radar.cloudflare.com/security-and-attacks/as4812?dateRange=52w
    上海联通: https://radar.cloudflare.com/security-and-attacks/as17621?dateRange=52w
    上海移动: https://radar.cloudflare.com/security-and-attacks/as24400?dateRange=52w

    美国: https://radar.cloudflare.com/security-and-attacks/us?dateRange=52w
    Verizon: https://radar.cloudflare.com/security-and-attacks/as6167?dateRange=52w
    https://radar.cloudflare.com/security-and-attacks/as701?dateRange=52w
    AT&T: https://radar.cloudflare.com/security-and-attacks/as7018?dateRange=52w
    RCN: https://radar.cloudflare.com/security-and-attacks/as6079?dateRange=52w

    Cloudflare Blog 上的文章很值得一读,作者是 Luke Valenta 。
    Luke ( https://lukevalenta.com/about )的见解: https://blog.cloudflare.com/tcp-resets-timeouts/ https://blog.cloudflare.com/connection-tampering/
    Cloudflare Research:
    https://files.research.cloudflare.com/publication/SundaraRaman2023.pdf

    说说我对这些数据的看法。整个内大约有 9%的 TCP 连接会在 Post PSH 阶段被 RST/Timeout ,然而 Post PSH 数据是被移动拉高的。电信和联通都在 5%左右,也就是大约 5%的 TCP 连接会因为 SNI 被 RST/Timeout 。这 5%中也有一部分是地方性的干扰或阻断,比如上海的电信和联通只有 3%的连接会触发 RST/Timeout ,同样教育网和科技网也在 2.5%左右。
    移动是绝对的中,AS9808 有 17.5%的 Post PSH RST/Timeout ,上海移动有 14.3%,山东移动 AS24444 有 16.8%,广东移动 AS56040 有 15.4%,北京移动 AS56048 有 11.6%,浙江移动 AS56041 有 18.7%,辽宁移动 AS56044 有 16.5%。
    然而最让我吃惊的是江苏移动和河南移动。AS56046 近期有 50%的 Post PSH ,AS24445 近期有 38.6%。江苏移动有一半的 TCP 连接触发了 SNI RST/Timeout ,并且有 80%的 TCP 连接被 RST/Timeout 。
    也就是说,江苏移动只有 20%的 TCP 连接是正常的,What the hell is going on?
    美国宽带的 Post PSH 数据大约在 0.5%上下,总共 RST/Timeout 大约是 10%,Verizon 的 Celluar Data ( AS6167 )会高一些,在 20%左右。

    SNI RST/Timeout 只出现在没有被 DNS 污染或 DNS 污染失败的目标上,理论上这种 tampered TCP connections 不常见,但是 Cloudflare Radar 的数据表示阻断率不低。
  • TCP
  • rst
  • 移动
    17 条回复    2024-09-25 20:50:22 +08:00
    la0wei
        1
    la0wei  
       2024-09-23 09:44:37 +08:00
    江苏移动宽带用起来就是这样,感觉被拿来做实验场
    AlphaTauriHonda
        2
    AlphaTauriHonda  
    OP
       2024-09-23 09:53:33 +08:00 via iPhone
    @la0wei 只有 20%的放行,吓人。
    说明江苏千万不能用移动。
    c978R77Le1z2f8u9
        3
    c978R77Le1z2f8u9  
       2024-09-23 10:18:04 +08:00
    @la0wei 当年江苏移动的运维来处理了几次网络不稳定,直接跟我说,你办电信吧,我自己家用的是 x 套餐挺不错的
    villivateur
        4
    villivateur  
       2024-09-23 10:28:28 +08:00
    这个数据是不是只能代表 cloudflare 的访问情况?最近似乎 CF 的链路被针对性劣化,其他的服务商可能还好。
    june4
        5
    june4  
       2024-09-23 10:31:25 +08:00
    更可怕的是没听说江苏移动的人说有这种情况,网络遥遥 x 领先实体基本已经彻底脱钩了
    XIU2
        6
    XIU2  
       2024-09-23 10:40:31 +08:00
    @villivateur 最早在 2022 年 5 月 24 日左右,我这边联通就遇到了针对 Cloudflare CDN IP 的 HTTPS 干扰(只要与 CF 的 IP 建立 HTTPS 连接,就有概率被阻断,IP 的 443 端口就会超时 3 分钟整),和 Steam 、Github 的 SNI 干扰比较类似(但他们两个这个是根据域名来超时 IP 的,不在乎是什么 IP 。而 Cloudflare 这个是针对其 CDN IP 的,暂时称为 IP 干扰吧)。

    而在此之前,其实就已经有人陆续在我项目反应该问题了(可能有半年了?),只不过之前我这边联通一直没遇到过,我遇到之后自己简单检查并可以稳定复现确认问题后,就发了个 Issues 已经累计了两百多条讨论,很多人也表示遇到了。

    另外,后来我也观测到 AWS CloudFront CDN 、Gcore CDN 、Fastly CDN 也出现了类似情况,不过相对较轻?时有时无的样子。
    la0wei
        7
    la0wei  
       2024-09-23 10:55:49 +08:00
    @AlphaTauriHonda 我有南京移动,目前吃灰中。家里还有个电信,基本使用电信

    @AlexPUBLIC 移动在国内大差不差,出国就非常看脸,或者线路,差异极大。电信即使不太行,还能有点速度,移动直接纯文字网页打开半天,或者连不上。

    @villivateur 根据我之前使用移动的经验,不止 cloudflare 被干扰,我都是买 vps 自建,线路热门冷门都碰过

    @june4 需要科学的人还是少,而且移动也不是赶尽杀绝,需要特定的线路或者机场才能有比较好体验,而且之前 cloudflare 确实很给力
    LisaSue
        8
    LisaSue  
       2024-09-23 17:15:44 +08:00
    @june4 可能江苏移动挂梯子用的比较多,剩下的用户不挂梯子也只是因为某些原因才会访问这些网站?
    BlueSkyXN
        9
    BlueSkyXN  
       2024-09-23 20:29:06 +08:00
    倒车是这样的,这么量化的数据第一次见
    BlueSkyXN
        10
    BlueSkyXN  
       2024-09-23 20:34:43 +08:00
    看了下 IPV6 的 ASN ,墙比 IPV4 低 参考 https://i0.wp.com/gateway.pinata.cloud/ipfs/QmfNcrJinsiM3Xdbvhg7J5LEyvNX5e77bkP6r4aByQXi4z
    JensenQian
        11
    JensenQian  
       2024-09-23 20:54:20 +08:00
    我就在江苏移动,cf 上的网站确实很多都打不开,你不挂梯子的情况下,包括隔壁论坛就是
    不过爬墙速度我的感觉确实比电信快很多,你 cmi 机子,晚高峰都能油管十几 二十万
    我 cf+rn 的圣何塞 自选下,晚高峰都有七八万油管
    这个 tcp 阻断高的原因我感觉是很多 cf 上的网站打不开,不过我都爬墙了我随便他们去了

    ipv6 的话 ss 裸奔都没事,而且漏风的,我这油管的 cdn 都能连上,play 商店的界面都能打开
    JensenQian
        12
    JensenQian  
       2024-09-23 21:08:11 +08:00
    @AlphaTauriHonda #2
    这个倒是反过来,江苏的话这么说吧,移动机子你买对了,其实爬墙速度很快的,联通我不知道,我之前租房子的小区就是电信,亚洲直连的机子难买,而且速度除了当时买的瓦工 cn2 ,普通的欧美线路机子,那基本上没速度,联通这边小区很少有我这里
    怎么说呢,这玩意就和敏感期一样的,一堆人机子被墙了,你的没被墙就速度快了
    不过这边宽带便宜,1000M 一个月就 20 块钱,搞个备用的也没事
    不过装宽带自带猫很垃圾的,自己得换猫,而且得把 ipv6 给开出来,没公网 v4

    爬墙速度的话我现在用的一台 linode 和 aws 香港的月抛,和 vir 东京 8.8 一年的 iij 线路,晚高峰都挺好的
    JensenQian
        13
    JensenQian  
       2024-09-23 21:10:34 +08:00
    @JensenQian #12 价格便宜很多,会玩确实值得选
    江苏这边宽带的话尽量先联通,据说还能开公网 ip ,不过覆盖太少了,价格也便宜,我这 19 块钱的网卡,还能 20 块钱加一条千兆,移动 20 块钱一个月千兆,你的自己会折腾,开公网 v6 ,还有买机子这线路得挑对了,欧美很多机子线路很炸,得玩 cf 优选什么的,不过一般都是买亚太附近的
    AlphaTauriHonda
        14
    AlphaTauriHonda  
    OP
       2024-09-24 00:52:34 +08:00 via iPhone
    谢谢大家的收藏和感谢,数了一下有 33 个,比回复还多。

    @june4 应该是有的,用江苏移动的人发现各种网站在江苏被。

    @XIU2 有道理,这种阻断在 Cloudflare Radar 上应该是 Post SYN RST/Timeout ,可以解释为什么 CN 的 Post SYN 非常高。

    @villivateur 这种情况应该是普遍的。因为是的行为,不管什么 IP 都会有 SNI RST 和 tampered TCP connections

    @BlueSkyXN Cloudflare Radar 的数据非常好,可以观察内的情况。

    @JensenQian 应该说江苏移动不适合不开代理访问墙外,只适合会用代理的人。
    NekoTMG
        15
    NekoTMG  
       2024-09-24 11:38:52 +08:00
    头像该换成 Visa cash RB 了
    Immunize
        16
    Immunize  
       2024-09-24 12:07:11 +08:00
    江苏的反诈有 RST 机制,而其他省份的反诈只有 DNS 污染。
    neiltroyer849
        17
    neiltroyer849  
       2024-09-25 20:50:22 +08:00
    很全的数据!感谢 OP !
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     5590 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 33ms UTC 06:37 PVG 14:37 LAX 23:37 JFK 02:37
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86