V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
willsun
V2EX  ›  云计算

WireGuard 安裝了 2 天就被阻断了,不是说很难被识别吗?

  •  
  •   willsun · 2022-05-09 13:07:03 +08:00 via iPhone · 34179 次点击
    这是一个创建于 965 天前的主题,其中的信息可能已经有所发展或是发生改变。
    WireGuard 安裝了 2 天就被阻断了,不是说很难被识别吗?服务器上的 trojan 倒是一直没被阻断,看样子 wireguard 没有想的那么不容易被识别。
    第 1 条附言  ·  2022-05-09 14:45:36 +08:00
    WireGuard VPN 的特点

    WireGuard 作为最新开发的 VPN 协议,比目前主流的 VPN 技术有明显优势,被称为下一代 VPN 。WireGuard 有如下特点:
    优点:
    * 更轻便:以 Linux 内核模块的形式运行,资源占用小。
    * 更高效:相比目前主流的 IPSec 、OpenVPN 等 VPN 协议,WireGuard 的效率要更高。
    * 更快速:比目前主流的 VPN 协议,连接速度要更快。
    * 更安全:使用了更先进的加密技术。
    * 更易搭建:部署难度相对更低。
    * 更隐蔽:以 UDP 协议进行数据传输,比 TCP 协议更低调。
    * 不易被封锁:TCP 阻断对 WireGuard 无效,IP 被墙的情况下仍然可用。
    * 更省电:不使用时不进行数据传输,移动端更省电。
    不足:
    * 处于研发初期,各种功能及支持有待完善。
    * 由于使用 UDP 协议,BBR 、锐速等 TCP 网络加速工具,对 WireGuard 无效。
    * 部分运营商可能会对 UDP 协议进行 QOS 限速,WireGuard 会受到一定影响。
    * 客户端分流功能较弱,对 GFWList 的支持不足。


    轻信网上的了
    34 条回复    2022-10-19 17:31:54 +08:00
    steveshi
        1
    steveshi  
       2022-05-09 13:10:31 +08:00   ❤️ 5
    WireGuard 特征很明显
    villivateur
        2
    villivateur  
       2022-05-09 13:13:15 +08:00 via Android   ❤️ 1
    wireguard 很容易被识别,你之前应该理解错了。

    wireguard 是 VPN ,只是用来提供加密隧道而已,不能实现伪装
    sleeepyy
        3
    sleeepyy  
       2022-05-09 13:15:46 +08:00   ❤️ 1
    wireguard 在设计时就没有考虑混淆,不知道 OP 是从哪里听说“很难被识别”的?
    而且 wireguard 直连 海外本身就几乎属于 worst practice 了,海外线路 UDP 经常被干扰到不怎么可用。你可以考虑在自己建立 tcp 信道之上使用 wireguard
    forgetandnew
        4
    forgetandnew  
       2022-05-09 13:15:59 +08:00 via iPhone   ❤️ 1
    用的好好的
    superhack
        5
    superhack  
       2022-05-09 13:18:42 +08:00   ❤️ 1
    一句 iptables 就能识别
    Kinnice
        6
    Kinnice  
       2022-05-09 13:19:11 +08:00   ❤️ 1
    "不是说很难被识别吗" 谁说的?
    这协议刚出来,各大防火墙就可以精准识别了
    BeautifulSoap
        7
    BeautifulSoap  
       2022-05-09 13:19:22 +08:00   ❤️ 1
    你听谁说的 WireGuard 很难识别的,建议把那人 @出来我们来鞭尸下

    WireGuard 的协议特征非常明显,想识别阻断比 ss 还轻松简单
    est
        8
    est  
       2022-05-09 13:24:02 +08:00   ❤️ 1
    话说有啥 wireguard 混淆握手的办法吗? eBPF ?
    deplivesb
        9
    deplivesb  
       2022-05-09 13:24:38 +08:00   ❤️ 1
    WireGuard 啥时候也没说过很难被识别
    hash
        10
    hash  
       2022-05-09 13:29:04 +08:00   ❤️ 1
    要永远明白除了 ss trojan 这一类特色协议外,其他协议都是默认只考虑安全不考虑突破封锁的
    yanqiyu
        11
    yanqiyu  
       2022-05-09 13:33:01 +08:00   ❤️ 1
    WireGuard 不是为了反审查而提出的协议(它解决的问题是简化组网),要防识别建议套一层 udp2raw 之类的混淆

    不过我个人一直使用 WireGuard 过墙跑大流量没有被干掉,估计我没有遇到类似的针对性识别?
    a8Fy37XzWf70G0yW
        12
    a8Fy37XzWf70G0yW  
       2022-05-09 13:39:21 +08:00   ❤️ 15
    看到這,我把我在臺灣家中搭建 wireguard 伺服器的經驗分享給 PO 主吧,以下是一些安全措施。我去年七月搭建的現在還能用。每天傳數量有 500G 左右。

    1.禁止入方向的 ping 。
    -A INPUT -p icmp --icmp-type echo-request -j DROP

    2.禁止伺服器回覆 icmp port unreachable 和 host unreachable 訊息。
    -A OUTPUT -p icmp --icmp-type port-unreachable -j DROP
    -A OUTPUT -p icmp --icmp-type host-unreachable -j DROP

    3.禁止伺服器回覆 no listen port 的 tcp reset 訊息(標誌位爲 rst,ack )
    -A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP

    4.儘量不要直接採用 ssh 直接連線管理伺服器。
    5.將 port 置於 16384-16389 之間是較好的選擇。
    a8Fy37XzWf70G0yW
        13
    a8Fy37XzWf70G0yW  
       2022-05-09 13:41:46 +08:00   ❤️ 1
    6.萬萬不可使用默認 PORT ,否則 30 秒內連接就會被阻斷。
    IDAEngine
        14
    IDAEngine  
       2022-05-09 13:45:26 +08:00   ❤️ 1
    默认端口秒封,改下端口流量小一点基本无问题
    BeliefanX
        15
    BeliefanX  
       2022-05-09 13:54:21 +08:00   ❤️ 1
    wiregurad 做内网穿透很香,但是科学上网就算了。。。
    photon006
        16
    photon006  
       2022-05-09 13:54:48 +08:00
    我搭在 oracle 云上的 wg 也是被封,用 udp2raw 模拟成 tcp 就解决了。
    Tink
        17
    Tink  
       2022-05-09 14:06:16 +08:00   ❤️ 1
    wireguard 很容易识别,只是 vpn ,不是混淆工具,如果要用来扶墙,需要配合其他的东西
    leloext
        18
    leloext  
       2022-05-09 14:11:25 +08:00
    大流量的 udp 是个很明亮的灯塔
    swulling
        19
    swulling  
       2022-05-09 14:14:59 +08:00
    1. 没有专门做过混淆设计的协议特征都非常明显。
    2. 绝大部分 VPN 协议设计目标都是安全性而不是反封锁,也就是不会做混淆设计。
    3. 请使用专门做过混淆设计的协议作为信道。
    docx
        20
    docx  
       2022-05-09 14:15:21 +08:00 via iPhone   ❤️ 1
    作为传统 VPN ,WireGuard 从设计之初就不是为绕墙伪装而生的
    syjbmwpower
        21
    syjbmwpower  
       2022-05-09 15:10:46 +08:00
    楼主显然对 wireguard 缺少必要的认知
    leavic
        22
    leavic  
       2022-05-09 15:12:39 +08:00
    wireguard 是个商用路由器都能识别,你看不起 gfw 呢
    daveh
        23
    daveh  
       2022-05-09 15:21:53 +08:00 via iPhone
    套一个 udp2raw 继续用。
    IvanLi127
        24
    IvanLi127  
       2022-05-09 15:23:35 +08:00
    我记得当时网上有人说,大概意思是刚出来的比较小众没人管。楼主是不是记偏了
    my3157
        25
    my3157  
       2022-05-09 18:50:04 +08:00
    换高位端口会稍微好点, 我之前用 < 1024 的端口, 最快小十分钟就封了
    disk
        26
    disk  
       2022-05-09 20:02:50 +08:00
    少看营销号和 CSDN 。
    WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different circumstances. Initially released for the Linux kernel, it is now cross-platform (Windows, macOS, BSD, iOS, Android) and widely deployable. It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry.
    hdp5252
        27
    hdp5252  
       2022-05-09 20:38:07 +08:00 via Android
    <a href="https://imgtu.com/i/OJtvKU"><img src="https://s1.ax1x.com/2022/05/09/OJtvKU.jpg" alt="OJtvKU.jpg" border="0" /></a>
    我有 openvpn 黑科技。
    a8Fy37XzWf70G0yW
        28
    a8Fy37XzWf70G0yW  
       2022-05-09 22:25:10 +08:00
    @hdp5252 盲猜 tls-crypt-v2
    hdp5252
        29
    hdp5252  
       2022-05-09 22:36:37 +08:00 via Android
    @viberconnection 哈哈 错了 你说的这个没有用过
    ChrisFreeMan
        30
    ChrisFreeMan  
       2022-05-10 10:28:30 +08:00
    外行问一句,IPsec VPN 怎么样
    cloverzrg2
        31
    cloverzrg2  
       2022-05-10 11:08:03 +08:00
    VPN 特征都明显,不像 ss 、v2ray 这类专门设计为翻墙的代理
    ragnaroks
        32
    ragnaroks  
       2022-05-10 11:39:42 +08:00
    wireguard (包括但不限于 zerotier )之类的基于 UDP 的工具,需要将流量特征伪装为 sourcs 引擎的流量,就是维尔福的那个。
    sbilly
        33
    sbilly  
       2022-05-10 14:55:49 +08:00
    gossip 协议没有混淆功能
    humbass
        34
    humbass  
       2022-10-19 17:31:54 +08:00
    我用 wg 一直没问题,倒是 tls 老早就封了。新的协议 hy 也不错。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   936 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 19:31 · PVG 03:31 · LAX 11:31 · JFK 14:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.