文章探讨了通过测试海外服务连通性，揭示了中国大陆GFW（Great Firewall）的运作机制。作者使用高并发工具进行测试，意外触发了GFW的封锁，随后研究了封锁的时间规律和特点。研究发现，GFW可能由无状态和有状态两部分组成，前者基于SNI豁免，后者进行深度包检测（DPI）。文章还分析了不同网站的访问情况、SSH的特殊处理以及GFW对不同网络类型的限制。研究结果揭示了GFW的复杂性和针对性，为理解网络审查提供了新的视角。

🚀 **GFW的双重结构**: 研究表明，GFW可能由两部分组成：无状态防火墙和有状态防火墙。无状态防火墙基于SNI进行豁免，例如Steam和GitHub等网站；有状态防火墙则进行DPI，对未被豁免的网站进行阻断。

🌐 **网站分级与访问策略**: 文章将网站分为Tier 1和Tier 2。Tier 1网站（如Steam、GitHub）在被拉黑期间仍可访问，可能与无状态防火墙的豁免有关；Tier 2网站则在被拉黑期间被完全阻断，这可能与有状态防火墙的DPI有关。

🛡️ **SSH的特殊情况**: 测试发现，SSH的连接在被拉黑期间部分被阻断，这表明GFW可能对SSH流量进行特殊处理。只有部分SNI被完全豁免，其他情况则可能导致连接握手成功但数据传输失败。

🚦 **GFW的连接跟踪与限制**: 研究表明，有状态GFW基于五元组进行连接跟踪，并限制来自单一IP的并行处理连接数。此外，从海外反向连接国内在被拉黑期间仍然有效，说明GFW的策略在不同方向上可能有所不同。

🇮🇷 **伊朗网络环境的启示**: 文章将GFW与伊朗的网络审查进行对比，指出伊朗的网络环境更接近白名单模式，宽带的豁免程度最高，而IDC和蜂窝网络则面临高度丢包，这为理解GFW的运作提供了参考。

最近复习了一下 gfw.repot 的论文，手写了一个工具用来检测海外服务的连通性，把线程拉到了 6 万线程，基本上就贴着默认可用端口跑，这样比较快，结果被 GFW 拉清单了，一开始很诧异，大约 90 秒后解封，多次测试后发现时间相对来说非常固定，然后我就开始针对这个机制研究起来，无聊就随便写写。。

被拉黑的这段期间很神奇，用起来就跟伊朗那边的墙一样，从这里一窥合理怀疑墙其实真的分至少两个部分。

1. 国内网站没问题，因为没墙，有省墙的不好说，测试分别使用了东莞电信和东莞移动进行，确认过软路由杠杠的，并没有爆炸，不是残存 TCP 才导致所谓没问题
2. 有些域名有白名单，比如 Steam / GitHub 等网站，如果在你没有被拉黑的时候就能访问，那你被短暂拉黑后也能访问，为了方便理解把它们成为 Tier 1 网站，猜测与无状态 GFW 有关
3. 没有白名单的网站的协议在被拉黑期间通通被阻断了，只能收到握手，但是无法进行数据传输，这里把它们称为 Tier 2 网站，猜测与有状态 GFW 有关

墙有豁免并不出奇，但是让我感到惊讶的是它居然不完全豁免 SSH ，目前只发现有部分 SNI 是被完全豁免的，在拉黑期间测试了 VLESS / Reality / WireGuard / Shadowsocks 和 SSH ，只有偷了其中一些豁免域名的证书的 Reality 能正常工作，否则只能依赖没有墙的国内线路中转。

根据以上发现，判断它们的顺序，很有可能先交给无状态的防火墙处理，然后再交给有状态的防火墙处理，无状态的墙只要满足 SNI 豁免列表，如 Tier 1 里的网站，则此连接会被豁免，且这个无状态的防火墙没有连接数限制。

接下来，如果 Tier 1 豁免列表里没有匹配的规则，则会交给有状态的 Tier 2 防火墙进行 DPI 处理，而这个防火墙很可能有对来自单一 IP 的并行处理限制，一次只能处理某一个数值范围内的连接，超过此数量的连接，如上面的 SSH 例子，一开始握手看似是成功，实际上回程过程中数据会直接被丢弃，而 SSH 默认的配置是在 45 秒钟后如果没有收到客户端的回复，连接断开。

这种设计看上去倒没啥太大的问题，大吞吐用无状态的防火墙，精准打靶用有状态的防火墙。

伊朗那边的墙现在几乎就是白名单，很少一部分 IP 能够相对稳定的翻墙，按伊朗人的说法，只有宽带豁免程度最高，包括但不限于家宽和专线，且所有 IDC 和蜂窝网络，均被无状态防火墙高度丢包，甚至访问伊朗国内的网站也无法幸免。

此外，还在这次的测试中尝试了在被拉黑过程中从海外反向连接国内，发现仍然工作，这意味着有状态的 GFW 是基于五元组的连接跟踪，并且不共享一套策略的同时限制也更加宽松。