WireGuard 安裝了 2 天就被阻断了,不是说很难被识别吗?
willsun · 2022-05-09 13:07:03 +08:00 via iPhone · 33110 次点击这是一个创建于 930 天前的主题,其中的信息可能已经有所发展或是发生改变。
WireGuard 安裝了 2 天就被阻断了,不是说很难被识别吗?服务器上的 trojan 倒是一直没被阻断,看样子 wireguard 没有想的那么不容易被识别。
第 1 条附言 · 2022-05-09 14:45:36 +08:00
WireGuard VPN 的特点
WireGuard 作为最新开发的 VPN 协议,比目前主流的 VPN 技术有明显优势,被称为下一代 VPN 。WireGuard 有如下特点:
优点:
* 更轻便:以 Linux 内核模块的形式运行,资源占用小。
* 更高效:相比目前主流的 IPSec 、OpenVPN 等 VPN 协议,WireGuard 的效率要更高。
* 更快速:比目前主流的 VPN 协议,连接速度要更快。
* 更安全:使用了更先进的加密技术。
* 更易搭建:部署难度相对更低。
* 更隐蔽:以 UDP 协议进行数据传输,比 TCP 协议更低调。
* 不易被封锁:TCP 阻断对 WireGuard 无效,IP 被墙的情况下仍然可用。
* 更省电:不使用时不进行数据传输,移动端更省电。
不足:
* 处于研发初期,各种功能及支持有待完善。
* 由于使用 UDP 协议,BBR 、锐速等 TCP 网络加速工具,对 WireGuard 无效。
* 部分运营商可能会对 UDP 协议进行 QOS 限速,WireGuard 会受到一定影响。
* 客户端分流功能较弱,对 GFWList 的支持不足。
轻信网上的了
WireGuard 作为最新开发的 VPN 协议,比目前主流的 VPN 技术有明显优势,被称为下一代 VPN 。WireGuard 有如下特点:
优点:
* 更轻便:以 Linux 内核模块的形式运行,资源占用小。
* 更高效:相比目前主流的 IPSec 、OpenVPN 等 VPN 协议,WireGuard 的效率要更高。
* 更快速:比目前主流的 VPN 协议,连接速度要更快。
* 更安全:使用了更先进的加密技术。
* 更易搭建:部署难度相对更低。
* 更隐蔽:以 UDP 协议进行数据传输,比 TCP 协议更低调。
* 不易被封锁:TCP 阻断对 WireGuard 无效,IP 被墙的情况下仍然可用。
* 更省电:不使用时不进行数据传输,移动端更省电。
不足:
* 处于研发初期,各种功能及支持有待完善。
* 由于使用 UDP 协议,BBR 、锐速等 TCP 网络加速工具,对 WireGuard 无效。
* 部分运营商可能会对 UDP 协议进行 QOS 限速,WireGuard 会受到一定影响。
* 客户端分流功能较弱,对 GFWList 的支持不足。
轻信网上的了
 |
1
steveshi 2022-05-09 13:10:31 +08:00  5
WireGuard 特征很明显
|
 |
2
villivateur 2022-05-09 13:13:15 +08:00 via Android 1
wireguard 很容易被识别,你之前应该理解错了。
wireguard 是 VPN ,只是用来提供加密隧道而已,不能实现伪装 |
 |
3
sleeepyy 2022-05-09 13:15:46 +08:00 1
wireguard 在设计时就没有考虑混淆,不知道 OP 是从哪里听说“很难被识别”的?
而且 wireguard 直连 海外本身就几乎属于 worst practice 了,海外线路 UDP 经常被干扰到不怎么可用。你可以考虑在自己建立 tcp 信道之上使用 wireguard |
 |
4
forgetandnew 2022-05-09 13:15:59 +08:00 via iPhone 1
用的好好的
|
 |
5
superhack 2022-05-09 13:18:42 +08:00 1
一句 iptables 就能识别
|
 |
6
Kinnice 2022-05-09 13:19:11 +08:00 1
"不是说很难被识别吗" 谁说的?
这协议刚出来,各大防火墙就可以精准识别了 |
 |
7
BeautifulSoap 2022-05-09 13:19:22 +08:00 1
你听谁说的 WireGuard 很难识别的,建议把那人 @出来我们来鞭尸下
WireGuard 的协议特征非常明显,想识别阻断比 ss 还轻松简单 |
 |
8
est 2022-05-09 13:24:02 +08:00 1
话说有啥 wireguard 混淆握手的办法吗? eBPF ?
|
 |
9
deplivesb 2022-05-09 13:24:38 +08:00 1
WireGuard 啥时候也没说过很难被识别
|
 |
10
hash 2022-05-09 13:29:04 +08:00 1
要永远明白除了 ss trojan 这一类特色协议外,其他协议都是默认只考虑安全不考虑突破封锁的
|
 |
11
yanqiyu 2022-05-09 13:33:01 +08:00 1
WireGuard 不是为了反审查而提出的协议(它解决的问题是简化组网),要防识别建议套一层 udp2raw 之类的混淆
不过我个人一直使用 WireGuard 过墙跑大流量没有被干掉,估计我没有遇到类似的针对性识别? |
 |
12
a8Fy37XzWf70G0yW 2022-05-09 13:39:21 +08:00 15
看到這,我把我在臺灣家中搭建 wireguard 伺服器的經驗分享給 PO 主吧,以下是一些安全措施。我去年七月搭建的現在還能用。每天傳數量有 500G 左右。
1.禁止入方向的 ping 。 -A INPUT -p icmp --icmp-type echo-request -j DROP 2.禁止伺服器回覆 icmp port unreachable 和 host unreachable 訊息。 -A OUTPUT -p icmp --icmp-type port-unreachable -j DROP -A OUTPUT -p icmp --icmp-type host-unreachable -j DROP 3.禁止伺服器回覆 no listen port 的 tcp reset 訊息(標誌位爲 rst,ack ) -A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP 4.儘量不要直接採用 ssh 直接連線管理伺服器。 5.將 port 置於 16384-16389 之間是較好的選擇。 |
|
13
a8Fy37XzWf70G0yW 2022-05-09 13:41:46 +08:00 1
6.萬萬不可使用默認 PORT ,否則 30 秒內連接就會被阻斷。
|
 |
14
IDAEngine 2022-05-09 13:45:26 +08:00 1
默认端口秒封,改下端口流量小一点基本无问题
|
 |
15
BeliefanX 2022-05-09 13:54:21 +08:00 1
wiregurad 做内网穿透很香,但是科学上网就算了。。。
|
 |
16
photon006 2022-05-09 13:54:48 +08:00
我搭在 oracle 云上的 wg 也是被封,用 udp2raw 模拟成 tcp 就解决了。
|
 |
17
Tink 2022-05-09 14:06:16 +08:00 1
wireguard 很容易识别,只是 vpn ,不是混淆工具,如果要用来扶墙,需要配合其他的东西
|
 |
18
leloext 2022-05-09 14:11:25 +08:00
大流量的 udp 是个很明亮的灯塔
|
 |
19
swulling 2022-05-09 14:14:59 +08:00
1. 没有专门做过混淆设计的协议特征都非常明显。
2. 绝大部分 VPN 协议设计目标都是安全性而不是反封锁,也就是不会做混淆设计。 3. 请使用专门做过混淆设计的协议作为信道。 |
 |
20
docx 2022-05-09 14:15:21 +08:00 via iPhone 1
作为传统 VPN ,WireGuard 从设计之初就不是为绕墙伪装而生的
|
 |
21
syjbmwpower 2022-05-09 15:10:46 +08:00
楼主显然对 wireguard 缺少必要的认知
|
 |
22
leavic 2022-05-09 15:12:39 +08:00
wireguard 是个商用路由器都能识别,你看不起 gfw 呢
|
 |
23
daveh 2022-05-09 15:21:53 +08:00 via iPhone
套一个 udp2raw 继续用。
|
 |
24
IvanLi127 2022-05-09 15:23:35 +08:00
我记得当时网上有人说,大概意思是刚出来的比较小众没人管。楼主是不是记偏了
|
 |
25
my3157 2022-05-09 18:50:04 +08:00
换高位端口会稍微好点, 我之前用 < 1024 的端口, 最快小十分钟就封了
|
 |
26
disk 2022-05-09 20:02:50 +08:00
少看营销号和 CSDN 。
WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different circumstances. Initially released for the Linux kernel, it is now cross-platform (Windows, macOS, BSD, iOS, Android) and widely deployable. It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry. |
 |
27
hdp5252 2022-05-09 20:38:07 +08:00 via Android
<a href="https://imgtu.com/i/OJtvKU"><img src="https://s1.ax1x.com/2022/05/09/OJtvKU.jpg" alt="OJtvKU.jpg" border="0" /></a>
我有 openvpn 黑科技。 |
|
28
a8Fy37XzWf70G0yW 2022-05-09 22:25:10 +08:00
@hdp5252 盲猜 tls-crypt-v2
|
|
29
hdp5252 2022-05-09 22:36:37 +08:00 via Android
@viberconnection 哈哈 错了 你说的这个没有用过
|
 |
30
ChrisFreeMan 2022-05-10 10:28:30 +08:00
外行问一句,IPsec VPN 怎么样
|
 |
31
cloverzrg2 2022-05-10 11:08:03 +08:00
VPN 特征都明显,不像 ss 、v2ray 这类专门设计为翻墙的代理
|
 |
32
ragnaroks 2022-05-10 11:39:42 +08:00
wireguard (包括但不限于 zerotier )之类的基于 UDP 的工具,需要将流量特征伪装为 sourcs 引擎的流量,就是维尔福的那个。
|
 |
33
sbilly 2022-05-10 14:55:49 +08:00
gossip 协议没有混淆功能
|
 |
34
humbass 2022-10-19 17:31:54 +08:00
我用 wg 一直没问题,倒是 tls 老早就封了。新的协议 hy 也不错。
|
Select Language