flyzy博客
大致分析推理的
结论:
这些屏蔽 是 Cloudflare 从路由层 主动屏蔽的, 不是G-F-W触发屏蔽的
测试了 从BGP路由层面主动屏蔽的,而且看IP结尾也能看出来 都是.1 结尾
高墙是自动化无序的 不可能按特定规则只屏蔽.1 豁免其它
我扫描了一下Cloudflare IP段上 反向解析的域名
Cloudflare现在把免费用户,按一些条件触发,给域名打 tag (大概这些 但是不是绝对)
1. 有一定访问流量
2. 黑名单违法关键词触发的域名
3. 涉及违反 – 中国法律的内容的域名,(不仅仅是中国,其它的也有 对应的IP池是其它数字结尾)
都自动解析和分配到被大陆屏蔽的IP段上了,就是在中国大陆无法直接访问
同一域名,换账户,新接入,可能临时分配的随机IP,触发上面那几个条件,但是一段时间还是会解析到这个屏蔽大陆的IP池
主要涉及的IP有
104.21.16.1
104.21.28.1
104.21.32.1
104.21.64.1
104.21.80.1
104.21.96.1
104.21.112.1复制代码
这些被屏蔽的IP段,特征都是以 .1 结尾 不同国家对应不同结尾
大致是这样
不清楚是为了提升业绩和获取更多付费用户 还是和中国执法机构合作推出的
(看最后 如果是和网信办合作的 那么域名名单就是网信办推送的,这个可能性不大 因为企业合规性问题 审计过不了)
貌似BC那些站群是重灾区
7月8日补充下
官方的员工回答参考
https://community.cloudflare.com/t/issue-with-new-cloudflare-ips/758361
利好CDN的公司 【笑哭】
后续
问题分析 https://www.idctoutiao.com/i/7695.html
由论坛用户 @vancouver 提供
批量检测 https://www.idctoutiao.com/i/7786.html
可以批量检测Cloudflare账户下的域名 是否被解析到.1的IP池
迁移工具 https://www.idctoutiao.com/i/7784.html
注册新账户 把旧帐户的域名和解析记录,批量迁移到新账户
看概率会分配新IP,但是可能一段时间触发规则 又被解析到.1的IP池
广东省网友说:还好不做国内用户
湖南省网友说:我两个账号
一个账号是yandex邮箱 10个域名被分到.1了9个 唯一一个没被分上去的是我真的在用的(那9个都是开了cdn但是没有实际使用的)
一个账号是gmail邮箱 4个域名全部没事(4个域名都是在用的)
我咋感觉是闲置的域名反而更容易触发呢
我刚才还特地把一个闲置域名打开了CDN(早就NS在cloudflare 但是只用DNS 从来没有开过CDN)
然后发现也是.1 域名是test.usercontent.top 你可以查解析记录和作站历史 从未建站
山东省网友说:很像是想逼退一些非法用户,这类很伤IP池的,封完了就歇菜了
湖南省网友说:已阅
海南省网友说:估计要Enterprise Plan付费版才能解决这个问题
云南省网友说:我很早注意到这个现象,是不是合作不知道,但是你说的没错,这种无法访问是路由层面的直接无法到达而不是被高墙的封锁,路由追踪发现ping数据包已经出墙,在距离节点倒数几跳那里失联,属于cf侧的限制行为。被cf有意为之做了空路由。但不是所有的域名都被绑定到这些空路由ip上面,很早注册的账号绑定的域名就没事,猜测cf可能有一种风控机制,对可疑账号分配空路由ip至于目的那就不知道了。
福建省网友说:这个不是风控,风控不会仅针对特定类域名特定国家
数据包是Cloudflare丢弃的,和高墙无关
这个也不是空路由,空路由是IP直接无法访问 直接进黑洞
但是他这个.1的 IP 除中国大陆外 全部可以正常访问的 更像是 access rules 排除CN 如果是CN或者特定CN ASN 直接drop了,粒度也比较粗 整个CN
甘肃省网友说:我觉得这个风控属于账号层面的,无关地区和特定域名。因为不是所有账号绑定域名都会被分配到这些大陆无法访问的ip。可能有什么触发条件。
海南省网友说:有什么解决方法
浙江省网友说:挂了个探针也被分配到这个段上了
青海省网友说:现在套优选ip可以绕过,但不排除以后cf会限制。
海南省网友说:恐怕解决不了,**的钱赚得太容易,CF愿意深度合作给他们开后门,名声早垮了,又不是光在中国被打击
吉林省网友说:回程呢,有可能单向屏蔽,这样出国路由跟踪只有最后一跳不显示,但回国方向就是被墙。这两天刚遇到,日本公共WiFi的IP被单向墙了
青海省网友说:估计就是为了养ip段,因为cloudflare的tos太松了,很多ip都被霍霍了,采取软限制。
安徽省网友说:还好不做国内用户
山西省网友说:我两个账号
一个账号是yandex邮箱 10个域名被分到.1了9个 唯一一个没被分上去的是我真的在用的(那9个都是开了cdn但是没有实际使用的)
一个账号是gmail邮箱 4个域名全部没事(4个域名都是在用的)
我咋感觉是闲置的域名反而更容易触发呢
我刚才还特地把一个闲置域名打开了CDN(早就NS在cloudflare 但是只用DNS 从来没有开过CDN)
然后发现也是.1 域名是test.usercontent.top 你可以查解析记录和作站历史 从未建站
湖北省网友说:几个外站的ip全是.1
湖南省网友说:不错,很久没在这里看到有价值的帖子了。我之前也注意到了这个现象。
陕西省网友说:感觉像对于一些劣质用户进行限制。
甘肃省网友说:新发现, .1 这种的, 用手机 4G 可以打开, 4G 走的是 IPV6
想想有没啥办法解决,让都走 IPv6 来解决
山东省网友说:通过ipv6 是可以访问 ,v6还是正常
黑龙江省网友说:25美元买一个月的pro就解析到正常ip了
福建省网友说:你们都是怎么解决?
广东省网友说:前几天还纳闷怎么解析到奇怪的IP了,今天上论坛看到我不是一个人
现在一个内容多一点的网站正常,内容少一点的解析异常。看起来像是针对劣质网站。
青海省网友说:买了Pro 就能分配到非.1IP地址吗?
浙江省网友说:已经开始解封辣
