V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
syuraking
V2EX  ›  宽带症候群

近期国内访问 Youtube 异常的分析

  •  
  •   syuraking · 2017-06-17 20:27:02 +08:00 · 14165 次点击
    这是一个创建于 2716 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近由于 YOUTUBE 改了 IP 检测方式,如果 UDP 和 TCP 的 IP 发送不一致,则判定为非法流量
    正好谷歌浏览器的 QUIC 发送方式是 UDP+TCP,你的科学上网一般只转发了 TCP 部分,而 UDP 是直连……

    那么这时候,你就懂了,为什么被判定了

    路由器想看 YOUTUBE,请开启游戏模式(此模式可以转发 UDP 包);
    电脑想看,你想办法转发 UDP 部分;
    安卓手机,请开启 UDP 转发;

    如果你的科学上网不支持 UDP 转发,那么,你可以考虑洗洗睡了。

    本人是以谷歌浏览器为样本,并且所有设定使用默认设定来测试的。
    你觉得你用其它浏览器没问题,或者修改过关闭 QUIC,或者还有其它的,请绕路,不要直接喷人。

    完结……
    132 条回复    2017-06-26 00:30:03 +08:00
    1  2  
    myliyifei
        1
    myliyifei  
       2017-06-17 20:33:34 +08:00 via Android
    google 的 ip 都是黑洞路由 wsmudp 可以发包到达?
    xdqi
        3
    xdqi  
       2017-06-17 20:43:31 +08:00
    IPv6 DIRECT, IPv4 tunnel 还是 403
    xx998
        4
    xx998  
       2017-06-17 20:49:07 +08:00 via Android
    @syuraking 已经被污染了。
    xx998
        5
    xx998  
       2017-06-17 20:50:12 +08:00 via Android
    YouTube 判断非法流量只在部分运营商网络中出现,并非全部。
    zuolan
        6
    zuolan  
       2017-06-17 20:58:53 +08:00
    腾讯云香港 TCP+UDP 转发,手机同样开了 UDP 转发,还是不能看。东京可看。
    Marfal
        7
    Marfal  
       2017-06-17 21:00:50 +08:00
    据说是把 Flag=CN 的 ASN 都给封了。
    Love4Taylor
        8
    Love4Taylor  
       2017-06-17 21:01:13 +08:00
    Linux, Chrome 60, 路由没开 UDP 转发, flags 开了 QUIC, 正常观看.
    Android, Chrome 58, SSR 客户端 没开 UDP 转发, flags 开了 QUIC, 正常观看. Youtube 客户端也正常观看.
    wske
        9
    wske  
       2017-06-17 21:01:30 +08:00
    所有自搭建服务均正常
    wico97
        10
    wico97  
       2017-06-17 21:05:04 +08:00
    请问如何检测 TCP+UDP 转发的 IP 不一致
    liuxu
        11
    liuxu  
       2017-06-17 21:05:06 +08:00
    实际上昨天上午 catnet 被封的时候我关了 quic,并没用

    晚上 catnet 官方不知道用了什么黑科技,开着 quic 也可以看 youtube,但是 youtube live 还是不能看
    yexm0
        12
    yexm0  
       2017-06-17 21:08:06 +08:00 via iPhone
    chrome 默认设置配 ss,一切正常
    dynos01
        13
    dynos01  
       2017-06-17 21:15:26 +08:00 via iPad
    @liuxu 其实 catnet 的 ipv6 可以完美工作
    parametrix
        14
    parametrix  
       2017-06-17 21:17:27 +08:00
    我的观察是这样的:

    1、UDP 连不上 *.googlevideo.com 是可以观看的,所以路由器处直接把相关链接 block 掉或者转发到黑洞也可以解决问题。

    2、UDP 经过转发正确链接到目标也是可以观看的。

    3、不经过转发的 UDP 直连无法观看。

    4、我现在不确定这里起作用的 UDP 链接到底是不是 QUIC,因为 chrome 的 QUIC 监测标签中 QUIC SESSIONS 为空,但是 EVENTS 里边是有搜索结果的。

    5、说手机开了 TCP+UDP 的朋友们注意一下 DNS,因为手机 SS TCP 是 http+Socks5 代理,支持远端解析网址,但 UDP 转发可不是这样。
    zuolan
        15
    zuolan  
       2017-06-17 21:22:36 +08:00
    @Love4Taylor 节点是哪里?哪家的香港?
    d7101120120
        16
    d7101120120  
       2017-06-17 21:24:53 +08:00
    手里的梯子包括自己搭建的和购买的服务全都正常。。。。不知道算不算我很幸运?
    xx998
        17
    xx998  
       2017-06-17 21:25:43 +08:00 via Android
    @parametrix 我这里测试 YouTube app 看不了直播,但网页端的 YouTube 可以看直播
    miaomiao888
        18
    miaomiao888  
       2017-06-17 21:27:01 +08:00
    然而 IPV6 隧道同样看不了 隧道应该支持 UDP
    Love4Taylor
        19
    Love4Taylor  
       2017-06-17 21:27:41 +08:00
    @zuolan #15 阿里 HKB 47.89
    CHNpeople
        20
    CHNpeople  
       2017-06-17 21:29:36 +08:00
    @xx998 我的手机和网页的直播都能看,唯独视频在网页一直转圈圈,手机只能播放 6 秒
    yexm0
        21
    yexm0  
       2017-06-17 21:31:14 +08:00
    @syuraking 难道你认为这种地址是属于谷歌的 ip 地址???
    akw2312
        22
    akw2312  
       2017-06-17 21:53:36 +08:00 via Android   ❤️ 1
    @yexm0 這個地址就算解析正確也不會是 Google 的 ip
    這種格式的都是 ggc
    CHNpeople
        23
    CHNpeople  
       2017-06-17 22:00:19 +08:00
    @parametrix 大神,能教我弄吗?
    snsd
        24
    snsd  
       2017-06-17 22:00:39 +08:00
    winxp,世界之窗浏览器,2.5.6 版飞机,贵阳移动普通线路,美国 ip。速度不算快,5000 多 k,1080p 刚刚也够看。
    just1
        25
    just1  
       2017-06-17 22:12:56 +08:00
    @syuraking chrome 访问网站自带视频加速用的就是这个地址,如果墙掉,chrome 看不了很多视频。。
    syuraking
        26
    syuraking  
    OP
       2017-06-17 22:14:07 +08:00
    @yexm0 我只是按我这边的情况分析的,也许我这里情况和你们也不太一样吧,至少我这里谷歌 co.jp,FB,getchu,一直是可以直连的……
    hadoop
        27
    hadoop  
       2017-06-17 22:21:34 +08:00
    表示没有遇到任何问题
    alect
        28
    alect  
       2017-06-17 22:41:05 +08:00   ❤️ 1
    额,原来如此,估计就是 quic 协议的问题。。。关了就没问题了。。
    最近 y2b 有的飞机看不了,访问这个网址看看第一行开头的 ip 是不是你本机的真实 ip ……

    https://redirector.googlevideo.com/report_mapping

    如果是飞机的 ip 那应该没问题。。
    21grams
        29
    21grams  
       2017-06-17 22:52:36 +08:00 via Android
    用 edge 也不行啊,感觉不像是 quic 的锅
    sorcerer
        30
    sorcerer  
       2017-06-17 22:53:56 +08:00
    flag 里停用了 quic 还是不行....
    zddewe
        31
    zddewe  
       2017-06-17 23:11:35 +08:00
    v2ex 这些天能不能一些主题不进隐藏的**,之前 google 给一个朋友回复的邮件的贴也不见了,搞得好多 v 友好迷惑,建议擦边的主题迟几天进**吧。 @livid@Livid
    evlos
        32
    evlos  
       2017-06-17 23:19:03 +08:00 via iPhone
    @zuolan 腾讯云香港应该都跪了,换了 6 个 IP 都不行
    buddha
        33
    buddha  
       2017-06-17 23:19:33 +08:00
    @sorcerer @alect flag 里 disable quic 可以了 , 不 disable 前点那个检测网站 ip 是联通的。点了以后是 ss 的。
    路由器里没开 udp 转发。
    fetich
        34
    fetich  
       2017-06-17 23:23:53 +08:00
    @syuraking 你那儿没有 DNS 污染?!
    @yexm0 我这儿解析出来的 IPv6 也是此类,除非显式指定 IPv6 的 DNS 解析服务器地址。
    另求教,我想让我的手机在家庭局域网下也能免翻上被墙的网站,因此在已经获得原生 IPv6 地址的情况下,如何能让家庭局域网内的设备都能得到无污染的解析结果?
    目前的待实行的方案是整个树莓派或者 NUC 之类的小型机,利用 DNSCrypt 获取地址,不知有没有其他更便捷的方案,估计你也是 v4、v6 双栈接入的,不知怎么解决这个问题的?求指教。
    parametrix
        35
    parametrix  
       2017-06-17 23:35:39 +08:00
    有没有人试一下在出口 VPS 处把 UDP 443 端口 OUTPUT DROP 掉?
    buddha
        36
    buddha  
       2017-06-18 00:04:01 +08:00
    @parametrix

    我试了路由器上把 googlevideo.com 解析出来 IP 的所有 udp 包送到黑洞端口,能解决问题。

    dnsmasq 配置
    /jffs/config/fuckgfw.conf:server=/.googlevideo.com/127.0.0.1#1053
    /jffs/config/fuckgfw.conf:ipset=/.googlevideo.com/youtube

    /jffs/opt/sbin/iptables -t nat -A PREROUTING -p tcp -m set --match-set youtube dst -j REDIRECT --to-port 8080 (ss 端口)
    /jffs/opt/sbin/iptables -t nat -A PREROUTING -p udp -m set --match-set youtube dst -j REDIRECT --to-port 8181 (黑洞端口)
    sportfit
        37
    sportfit  
       2017-06-18 00:05:57 +08:00
    感觉是 CHROME 的问题,更新到 59 版本后,就出现这个问题,目前我直接降级删掉 59,重新下载 58 64 位无更新版本,再关掉 QUIC,重新启动 CHROME,马上就解决,正常播放了
    buddha
        38
    buddha  
       2017-06-18 00:07:26 +08:00   ❤️ 1
    @sportfit 不完全只是 chrome 因为如果你路由器上跑 ss 而不开 udp 转发, 那手机,PS4/Xbox 上的 youtube App 也是不能播放视频。
    parametrix
        39
    parametrix  
       2017-06-18 00:24:23 +08:00
    @buddha #36

    我感觉这次的问题可能是 Google 为了防止 ytb 视频下载,而限制了访问视频必须和访问网站同源。实际上我看了 QUIC SESSIONS LOG,UDP 没有污染(有 SESSION 中的证书保证)的情况下直连,返回 403。而不能 UDP 连接到目标( no receive )结果是 `QUIC_SESSION_CLOSED` 反而解决问题。
    im8a
        40
    im8a  
       2017-06-18 00:24:38 +08:00
    @buddha @parametrix @sorcerer @alect
    下面 3 个我都试过了 HKB+斐讯 K2 都不行:
    1. 斐讯 K2 开启 UDP 转发
    2. chrome 关闭 quic
    3. HKB 上安全组 drop 了 udp 443+udp 80

    https://redirector.googlevideo.com/report_mapping 监测还是我本地的 IP
    有没有人有什么见解
    im8a
        41
    im8a  
       2017-06-18 00:45:05 +08:00
    补充一下 貌似 HKB 本身就不能 ytb?
    我刚刚用 SSTap
    终于监测到是我本地 ip 了

    但是依然无法 ytb 是不是 hkb 47.52 本身被 ytb ban 了?
    genics
        42
    genics  
       2017-06-18 00:46:07 +08:00
    @alect 用阿里云就不是~
    genics
        43
    genics  
       2017-06-18 00:48:51 +08:00
    @im8a 我也是 47.52. 关掉 quic 可以看视屏,但是手机 app 只能看几秒.
    AnonymousAccout
        44
    AnonymousAccout  
       2017-06-18 00:55:03 +08:00 via iPhone
    @buddha 请教一下 黑洞端口怎么设置的 只知道黑洞路由 怎么设置黑洞端口呢
    buddha
        45
    buddha  
       2017-06-18 00:57:51 +08:00
    @AnonymousAccout 其实我也是随便一写 就是送到一个没用的端口 你用 -j DROP 或者黑洞路由 道理也是一样的 , 目的就是不让去 googlevideo 的 udp 包到达那里。
    sportfit
        46
    sportfit  
       2017-06-18 01:04:43 +08:00
    @buddha 的确路由没开 UDP 转发,手机类移动端看不了,不过现在路由我开了 UDP 转发,然后 CHROME QUIC 再启用,那就做到了视频必须和访问网站同源,现在可以正常用了,谢谢提醒。
    peng1994
        47
    peng1994  
       2017-06-18 01:06:19 +08:00 via Android
    我前几天用手机 YouTube 速度能达到 50Mbps
    AnonymousAccout
        48
    AnonymousAccout  
       2017-06-18 01:09:40 +08:00 via iPhone
    @buddha 不过阿里云上用 iptables 把 outgoing 的 udp 都 drop 了 还是看不了视频😭
    sportfit
        49
    sportfit  
       2017-06-18 01:13:00 +08:00
    @buddha 从昨天搞到今天,终于如愿以偿 4K 又回来了,激动呃,谢谢。
    parametrix
        50
    parametrix  
       2017-06-18 01:15:03 +08:00
    @im8a #40 你这个情况给我的感觉是 *.googlevideo.com 都没有被转发。。。

    @AnonymousAccout #48 在阿里云上 DROP 完,你本地还是要把 UDP 转发到阿里云上啊,这样相当于黑洞。其实我不该提这茬的,不如直接在本地黑洞来得简单。
    AnonymousAccout
        51
    AnonymousAccout  
       2017-06-18 01:18:48 +08:00 via iPhone
    @parametrix 好吧 了解了 😶
    yexm0
        52
    yexm0  
       2017-06-18 01:53:23 +08:00 via iPhone
    @fetich 提个小建议,不妨尝试一下下面这款软件 :)
    /t/119128
    fetich
        53
    fetich  
       2017-06-18 02:23:05 +08:00
    @yexm0 看说明,好厉害的样子……
    yangxuan8282
        54
    yangxuan8282  
       2017-06-18 02:34:39 +08:00
    手里的几个自建 ss 不开 udp 转发的话都用不了了,怀疑最近攻击者可能租的同 ip 段的机房进行攻击的
    fudanglp
        55
    fudanglp  
       2017-06-18 02:45:35 +08:00
    教育网也出问题了,视频 flv 403,详见 https://github.com/lennylxx/ipv6-hosts/issues/125
    dahounet
        56
    dahounet  
       2017-06-18 05:58:53 +08:00
    47.52. 关掉 quic 依然播放不了
    diskerjtr
        57
    diskerjtr  
       2017-06-18 08:20:53 +08:00
    1.VPS IP 没有被封的 路由器挂游戏模式 用 edge 或者 chrome 关 QUIC ( edge udp 效率高点)

    2.VPS IP 被封的 例如阿里云 47.52 自己做劫持丢给谷歌后,同上述方式。
    syuraking
        58
    syuraking  
    OP
       2017-06-18 08:26:36 +08:00
    @fetich 仅有 3 个网站没墙而已,原因不明,几年都这样,也搞不懂为什么。
    CHNpeople
        59
    CHNpeople  
       2017-06-18 08:28:56 +08:00
    @buddha 大哥,能加下 QQ 289815438 帮我弄下吗?
    CHNpeople
        60
    CHNpeople  
       2017-06-18 08:31:16 +08:00
    @diskerjtr 怎么做劫持...
    stonesnake
        61
    stonesnake  
       2017-06-18 08:33:27 +08:00 via iPhone
    这方法也许对有些人适用但对我没用。我用路由器开 ss,游戏模式,关 quic,都不行。只要是挂阿里香港或者腾讯香港就播放视频失败,但什么配置都不改,换搬瓦工节点就好好的,我感觉主要问题还是出在 vps 上而不是本地。
    pulelt
        62
    pulelt  
       2017-06-18 08:52:27 +08:00
    收费 VIP,一直很稳定
    sorcerer
        63
    sorcerer  
       2017-06-18 08:54:20 +08:00
    @diskerjtr 我应该是第二种情况 所有 googlevideo 的请求都 403 了 请问应该怎么劫持?
    xssxsxk
        64
    xssxsxk  
       2017-06-18 08:55:31 +08:00 via iPhone
    linode jp1 表示正常,估计是 VPS 的问题
    mjay1984
        65
    mjay1984  
       2017-06-18 08:59:48 +08:00 via iPhone
    @diskerjtr 同问如何劫持?
    cigarzh
        66
    cigarzh  
       2017-06-18 09:13:36 +08:00 via Android
    @stonesnake 和你一样
    buddha
        67
    buddha  
       2017-06-18 10:11:20 +08:00
    @sportfit 谢 @parametrix 吧 他给的思路 我只是按他思路做而已。
    @CHNpeople 我不用 qq。 我因为用的 DDWRT 没有现成的 ss 图形界面 ,所以只能自己命令行写 iptables 规则。 如果你用梅林或者其他集成好 ss 的 ROM,只要图形界面打开 UDP 转发就好了 很简单的啊。

    另外我用的是美国 VPS 是可以的(本地路由器重定向了 googlevideo 的 udp 包到假端口), 用阿里云不行的会不会前几天 youtube 瘫掉的时候给用作攻击源 所以给 google 封 ip 了(纯猜想)?
    21grams
        68
    21grams  
       2017-06-18 10:12:51 +08:00
    所以 47.52 究竟要怎么办? 关闭 QUIC 根本不行。
    ixiaohei
        69
    ixiaohei  
       2017-06-18 10:47:07 +08:00
    chrome 49,不知道开 quic 没有,47.88 段,YouTube 可以到 30m,完全不知道你们为什么不能看
    mytsing520
        70
    mytsing520  
       2017-06-18 11:30:09 +08:00
    @Marfal 求解如何封 ASN ?
    linchanx
        71
    linchanx  
       2017-06-18 11:34:07 +08:00 via Android
    @mytsing520 用 bgp 封啊,google 是有自己的 as 的,只要过滤掉来自国内的 as 号的前缀就可以了。在路由器上做很简单的。
    mytsing520
        72
    mytsing520  
       2017-06-18 11:35:46 +08:00
    @linchanx 那,封的是 ASN 还是 IP 呢?况且一个 IP 是可以同时存在好几个 ASN
    Nin
        73
    Nin  
       2017-06-18 11:45:35 +08:00
    如果要自己写规则的很简单
    在 mangle 表建一条 tproxy 规则,截获所有 udp 数据进行 gfwlist 匹配,对匹配的域名进行转发就行了
    linchanx
        74
    linchanx  
       2017-06-18 11:57:10 +08:00 via Android
    @mytsing520 除了 anycast 一个 ip 只能归属于一个 as,封的当然是 ip 了。只不过 bgp 有很强大的路由控制工具,直接把来自某个 as 的前缀全部过滤掉,根本无需知道是哪些前缀。
    mytsing520
        75
    mytsing520  
       2017-06-18 12:20:58 +08:00
    @linchanx 然而,我们到 Google IP 还是走了直连
    akwIX
        76
    akwIX  
       2017-06-18 12:41:44 +08:00 via Android
    @21grams 中转到其他 vps
    oxygenliu
        77
    oxygenliu  
       2017-06-18 15:09:40 +08:00 via iPhone
    必须赞一下楼主的提示! VPS 主机开启 udp 端口,SS 开启 udp relay,现在油管视频秒开
    harwck
        78
    harwck  
       2017-06-18 15:51:08 +08:00
    所以为什么直接在 vps 上 youtube-dl 也是 403 呢?这个应该跟 udp 转发没关系了吧
    syuraking
        79
    syuraking  
    OP
       2017-06-18 16:14:49 +08:00
    @harwck 测试没有问题,下载不会返回 403,直接能下(油猴配合 https://github.com/gantt/downloadyoutube 这个脚本)
    harwck
        80
    harwck  
       2017-06-18 16:16:37 +08:00
    @syuraking #79 不了不了,我都是用 youtube-dl 在服务器上拉 4k 的视频,现在直接下不了了,难受
    trythebest
        81
    trythebest  
       2017-06-18 16:37:31 +08:00 via iPhone
    47.52 路过 表示只能看直播 ,web ios 安卓 路由 全爆炸 感觉与世界隔离...
    21grams
        82
    21grams  
       2017-06-18 17:34:52 +08:00
    @harwck #78 确实如此,直接在 vps 上用 youtube-dl 也是 403,看来是直接被 google 封掉了。
    frozenway
        83
    frozenway  
       2017-06-18 17:45:08 +08:00 via iPhone
    我也是 47.52 的,都看不了
    carrionlee
        84
    carrionlee  
       2017-06-18 17:46:36 +08:00
    一脸懵逼,手机电脑一直正常访问,没有碰到你们的问题
    leungjianjun
        85
    leungjianjun  
       2017-06-18 17:46:44 +08:00 via Android
    我没有问题,每天晚上都看直播,就是到那个点就比较卡。反正听声音,画质差点无所谓
    mattx
        86
    mattx  
       2017-06-18 19:01:08 +08:00
    关闭 quic 以后正常
    7654
        87
    7654  
       2017-06-18 19:33:53 +08:00
    Firefox+foxyproxy+SS libev3.06 TCP only
    自己搭的,正常观看
    Sh888
        88
    Sh888  
       2017-06-18 19:42:04 +08:00
    明显是大炮搞瘫了 youtube,逼着 youtube 封了某些 ip 段。
    lgpqdwjh
        89
    lgpqdwjh  
       2017-06-18 19:58:40 +08:00
    我目前 sz - hk - jp 科学上网 很稳定, 就是稍微贵了点

    260 ¥ + 5$
    poplar50
        90
    poplar50  
       2017-06-18 21:10:26 +08:00 via Android
    自建服务都正常
    fearme
        91
    fearme  
       2017-06-18 23:45:35 +08:00 via iPhone
    @genics 同样阿里云,ios 10.3 YouTube 刚刚看了一个小时电影没任何问题
    douglaslee
        92
    douglaslee  
       2017-06-19 00:48:16 +08:00
    @lgpqdwjh 我也是这种方案。
    forgetandnew
        93
    forgetandnew  
       2017-06-19 02:45:18 +08:00 via iPhone
    只开 TCP 一切正常
    crazycen
        94
    crazycen  
       2017-06-19 08:05:21 +08:00 via iPhone
    一切正常 4 台 vps 都没没问题,只开了 tcp
    ahkxhyl
        95
    ahkxhyl  
       2017-06-19 09:22:41 +08:00
    Devmingwang
        96
    Devmingwang  
       2017-06-19 09:47:37 +08:00 via Android
    国外 ip 都可以访问的。
    香港 pccw 可以,hkbn 可以等等。
    cmhk cmunicom ctelecom 的香港 ip 统统没法看 youtube,阿里云也一样。
    估计是因为某些原因 youtube 主动屏蔽了中国 ip,或者可以说是 as。
    不存在本贴中说的什么检测这一说。
    Devmingwang
        97
    Devmingwang  
       2017-06-19 09:49:22 +08:00 via Android
    @syuraking 你开了 ss 吧?忘记关了?还是 hosts 替换了你忘了?
    如果以上都没有,你会发现换个别的浏览器是没法打开的。
    chrome 给了你一种错觉。
    pluszone
        98
    pluszone  
       2017-06-19 10:19:12 +08:00
    某些人搞直播影响的吧。。
    waltcow
        99
    waltcow  
       2017-06-19 10:36:19 +08:00
    直播风波
    qiang2k
        100
    qiang2k  
       2017-06-19 10:39:40 +08:00
    直播风波+1
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   987 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 91ms · UTC 20:00 · PVG 04:00 · LAX 12:00 · JFK 15:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.