2025年黑色星期五VPS活动

今年的黑五到目前为止还没有特别出众的活动，和往年相比更显冷清，可能与服务器产品成本上升有关。

今年没有出现 ClawCloud 这样的黑马，也没有 OVH KS-LE-A 这样特别抢手的机器。优化线路上主要服务商已缺席黑五多年。下面是一些适合建站的主机商活动：

Hetzner
部分服务器免设置费，免费使用 Storage Share 一个月。
最便宜的独服 AX41-NVME 37.30 欧元/月起，AMD Ryzen™ 5 3600 处理器，两块高速 512 GB NVMe SSD 和 64 GB DDR4 内存，1 Gbit/s 带宽无限流量。KYC审核严格，注册时不能挂梯子，需要真实资料，非欧盟用户免税。

另外可以白嫖云主机40欧（不是独服）
1、通过referral link注册可以得到20欧
2、再登录Hetzner Cloud 的 USACE 输入LTT24优惠码，再获得20欧。如果不行试试 LTT25

Netcup
Netcup终场活动所有类型的优惠产品均上线，最值得关注的是其Root server，具有高性能独占CPU，高配置非常适合建站，黑五提供折扣价格、磁盘容量翻倍、免设置费，以及首月免费等优惠。支付可使用优惠券。
RS 1000 G12 Pro 4核8G内存 512GB 磁盘 3个月合约 8.24eur/mo 首月免费
RS 2000 G12 Pro 8核16G内存 1TB 磁盘 2个月合约 14.08eur/mo 首月免费

OVHcloud
购买独服最高可享 20% 折扣，另有限量版KS、SYS、Rise系列服务器。该服务商品质尚可，但对中国用户无法提供稳定服务，重要业务不建议托管在这里。

NameCheap
域名折扣，使用 MATRIXTLD25 优惠码可享首年折扣，如com域名低至$7.48/yr。

Scaleway
法国知名的云计算和网络托管公司。Dedibox 专用服务器合约套餐最高可享25%折扣，特定 Dedibox 服务器可享15%折扣，VPS套餐优惠7折。

欢迎在评论区补充你认为值得推荐的活动，也欢迎加入群组进行讨论。

[消息等级 Level C2 · 简要]

GCP和AWS现在可以通过私有网络进行连接

谷歌和亚马逊云服务 (AWS)已共同宣布达成一项重要合作，共同提供托管式、私有且安全的按需跨云连接解决方​​案。这项新产品结合了AWS的Interconnect–multicloud与谷歌云的Cross-Cloud Interconnect服务。通过MACsec加密，确保数据安全，并提供固有的弹性架构。

采用集成式多云策略能够避免在一个云服务商发生服务中断时全面停机，用户现在可以很方便地使用第二个云进行灾难恢复。它也可以用于部署跨云企业级服务。

Google 按小时收取 Cloud Interconnect 连接和 VLAN 连接的费用。虚拟私有云 (VPC) 网络通过 Cloud Interconnect 连接进行的数据传输流量享有折扣价格。数据传输价格取决于传输量和 Cloud Interconnect 连接的位置。与此同时，AWS也会收取通过其网络设备的连接费用。

该服务将首先在北弗吉尼亚、俄勒冈、伦敦和法兰克福等重点地区推出。

[消息等级 Level C2 · 简要]

Let's Encrypt 宣布 TLS 证书有效期减半

免费证书颁发机构 Let's Encrypt 今日宣布到2028年，其公信 TLS 证书有效期将从90天减半至45天。与此同时，Let's Encrypt 将同步推出 DNS-PERSIST-01 持久验证 —— 只需一次性在 DNS设置 TXT记录，往后续期可直接复用，无须再自动修改 DNS。

过渡流程如下：
· 2026年5月13日起，tlsserver 配置先行签发 45 天证书；
· 2027 年 2 月 10 日，默认 classic 配置改为 64 天；
· 2028 年 2 月 16 日全面改为 45 天，并把域名授权重用期由 30 天缩短至 7 小时。

自动续期用户通常无需更改设置，但应确保续期计划兼容更短生命周期。建议启用ACME Renewal Information。

[消息等级 Level C2 · 简要]

搬瓦工在洛杉矶推出复合优化线路计划

搬瓦工今天发布洛杉矶 DC5 SLA (USCA_5)电商版系列产品。不同于DC6的三网CN2GIA，该机房使用三大运营商各自优化线路：

中国电信 CN2 GIA/CTGNet AS4809/AS23764
中国联通 Premium AS10099
中国移动 CMIN2 AS58807
同时优化了与 Apple、Google、Facebook、字节跳动网络的连接

这是一个全新的名为 E-Commerce+SLA 的产品线，该计划对服务水平进行了保证。提供优质的中国网络连接，并享有99.99% 的服务级别协议保障。

其中最低配置为：双核，1GB内存，20GB 磁盘，1000 GB/月流量，2.5Gbps带宽。每两周免费更改一次 IP。更多配置见评论区。

价格为$65.89 USD/季度（Quarterly）；$125.99 USD/半年（Semi-Annually）；$239.99 USD/年（Annually）。当前没有优惠码可用。

查看该计划：https://bwh81.net/aff.php?aff=47294&pid=164

[消息等级 Level C2 · 简要]

阿里云CDN服务ESA免费套餐活动

阿里云当前可以 领取 ESA免费套餐，套餐支持 0 元购买和续费，包含不限量流量和请求数。免费套餐不支持优选节点、智能路由优化和多级缓存，无法提供源站防护和实时日志，峰值带宽和单请求速率均受到限制，免费版无法对站点性能提供任何承诺。

选择免费套餐首次下单有效期可选最长为1年，之后可通过手动点击续费（设置续费规则）不断增加续订年限。阿里云还推出了邀请他人获得奖品的活动（本帖链接不含Aff）。

[消息等级 Level C2 · 简要]

评测公正性引发的信任危机：DigVPS 与 NodeSeek 社区之间的冲突

一场关于评测网站与社区治理边界的纷争在本周爆发。新兴的服务器评测平台 DigVPS 在受到 NodeSeek 论坛用户广泛质疑后被贴上“失信 Affman”标签并最终封禁账号。引发了人们对评测网站透明度与论坛权力边界的讨论，同时它也凸显了以“数据驱动”为卖点的第三方评测网站与依赖“用户体验”的社区舆论之间的矛盾。

冲突的导火索在于 DigVPS 近期对服务商 BitsFlow 的收录与推广。大量 NS 论坛用户质疑 DigVPS 的评分缺乏公正性，它实际上和服务商的给予金钱数量之间呈正相关。

NodeSeek 管理团队在接受本频道咨询时表示，封禁并非针对单一行为，而是源于社区用户的集体反弹。NS 指出，DigVPS 在推广由于过往历史而备受争议的商家时，并未进行任何风险提示，且存在“故意装作不知情”的嫌疑。NS 方面强调，多位用户反馈实际体验与 DigVPS 的高评级存在巨大落差，结合 DMIT 被撤销评分和索要测试机器的风波，有理由认为 DigVPS 提供的信息有“误导小白用户”的倾向。

DigVPS 负责人坚决否认了“刻意淡化黑历史”的指控。他在回应中辩护称，该平台坚持“数据驱动”的原则，既然商家已经进行了迁移整合，平台只需客观展示服务器的各项性能数据。他认为，对于没有 SLA（服务等级协议）保证的现状，商家已做说明，评测方无需进行额外的美化或吐槽，应交由用户自行判断。

DigVPS 负责人对本频道表示，NS 的处罚显得“非常刻意”。他指出，相比于其他入驻商户在出现问题时拥有较长的整改与确认窗口，NS 在未与他进行任何事实求证的情况下便迅速打上负面标签，“是非常不合理的”。一些从事 Aff 推广活动的人士向本频道表达了对 VPS 论坛管理员权限边界的担忧，由于 NodeSeek 处于 VPS 社区的顶部，他们都避免公开讨论此事。

NodeSeek 确认封禁发生在标签事件之后。根据本频道看到的一张截图显示 DigVPS 在某个群组中回复用户时称 NS 是“友商”，这可能加剧了 NodeSeek 对 DigVPS 的负面观感。NS 管理员解释称，社区对 Affman（推广者）历来保持宽容，但 DigVPS 在面对用户质疑时，采取了“不需要解释”的对抗态度，并将矛头转向攻击提出问题的用户，这种处理方式激化了矛盾，最终导致封禁。NS 管理员同时表达了对谨慎使用权限和对多数正常推荐行为的支持。

显然，VPS 社区倾向于认为评测不仅仅是测试数据，更应包含对商家信誉的综合评价。随着 VPS 市场的竞争加剧，如何在商业推广利益与社区信任之间找到平衡点，将是所有第三方评测网站和VPS社区共同面临的挑战。

[消息等级 Level C · 一般]

错误的正则表达式导致大量科学上网服务瘫痪

2025年12月16日凌晨，由于开源项目 v2fly/domain-list-community 合并了一个包含错误的正则表达式，下游规则仓库同步了该错误。随后错误进一步蔓延，造成 Passwall、v2rayN 等依赖自动更新 Geosite 规则的客户端发生崩溃或分流失效，直接影响了大量终端用户。一位了解此事的开发人员向本频道提供了如下关键信息：

2025.12.15 22:38 源头仓库 v2fly/domain-list-community 合并了编号为 PR #2695 的提交。该提交包含了一个错误的正则表达式。

2025.12.16 06:15 著名的规则整合仓库 Loyalsoldier/v2ray-rules-dat 自动执行了上游同步脚本，将该错误规则吸纳并发布。

2025.12.16 上午 “灾难”开始爆发。开启了“自动更新 Geosite”功能的客户端在拉取最新规则后，立即遭遇解析错误，导致服务崩溃或网络中断。

预计受影响的代理工具包括 Passwall, Passwall2, luci-app-xray, v2rayN, mosdns, dae 等。

虽然v2fly 社区已积极修复，防止错误进一步扩散。但由于代理工具错误导致断网，用户必须手动删除 geosite:geolocation-!cn geosite:cn 等分流规则来修复网络。少数走直连更新的用户只需要再次更新并重启就能恢复。一些代理工具（如Xray）已经打了补丁避免未来此类事件再次发生。

[消息等级 Level B · #重要 ]

DMIT推出2025年圣诞节特别优惠活动

DMIT圣诞活动购买符合条件的洛杉矶（LAX）产品可享循环优惠和账户金返还。具体优惠包括：

LAX Pro & EB 机型
任意常规计划（不含特价机）可享10%循环折扣和首次5%账户金返还（点击优惠码可复制）
优惠码：2025-XMAS-LAX-PRO-EB-10-OFF-RECURRING
年付（不含特价机）可享15%循环折扣和12个月10%账户金返还
优惠码：2025-XMAS-LAX-PRO-EB-ANNUALLY-STARTER-AND-HIGHER-15OFF-RECURRING

LAX Pro 美国洛杉矶三网GIA回程 达量限速不限流量
STARTER 2C2G 3TB https://www.dmit.io/aff.php?aff=3439&pid=56
MINI 4C4G 5TB https://www.dmit.io/aff.php?aff=3439&pid=58
MICRO 4C4G 7TB https://www.dmit.io/aff.php?aff=3439&pid=81
MEDIUM 6C8G 14TB https://www.dmit.io/aff.php?aff=3439&pid=82
LARGE 8C16G 25TB https://www.dmit.io/aff.php?aff=3439&pid=61
GIANT 12C24G 50TB https://www.dmit.io/aff.php?aff=3439&pid=98

LAX EB CMIN2/AS9929 回程 达量限速不限流量
该系列移动通过CMIN2 、电信联通通过AS9929回程
STARTER 2C2G 5TB https://www.dmit.io/aff.php?aff=3439&pid=191
MINI 4C4G 10TB https://www.dmit.io/aff.php?aff=3439&pid=192
MICRO 4C4G 14TB https://www.dmit.io/aff.php?aff=3439&pid=193
MEDIUM 6C8G 30TB https://www.dmit.io/aff.php?aff=3439&pid=194
LARGE 8C16G 50TB https://www.dmit.io/aff.php?aff=3439&pid=195
GIANT 12C24G 100TB https://www.dmit.io/aff.php?aff=3439&pid=196

LAX T1 机型 到国内线路不优化
- 年付计划（不含WEE & TINY)
可享20%循环折扣和12个月10%账户金返还
优惠码：2025-XMAS-LAX-T1-ANNUALLY-EXCL-WEE-TINY-20OFF-RECURRING
- 任意计划（不含WEE)
可享10%循环折扣和首次5%账户金返还
优惠码：2025-XMAS-LAX-T1-10-OFF-RECURRING

STARTER 2C2G 4TB https://www.dmit.io/aff.php?aff=3439&pid=117
MINI 2C2G 8TB https://www.dmit.io/aff.php?aff=3439&pid=118
MICRO 4C4G 16TB https://www.dmit.io/aff.php?aff=3439&pid=119
AN5 2C4G 4TB https://www.dmit.io/aff.php?aff=3439&pid=234
AN5 4C8G 8TB https://www.dmit.io/aff.php?aff=3439&pid=235
AN5 8C16G 12TB https://www.dmit.io/aff.php?aff=3439&pid=236

[消息等级 Level C2 · 简要]

DMIT发布圣诞活动特价优化线路机型

特惠机型采用 AMD EPYC 9004 系列高性能硬体设施，提供优质中国优化线路，是面向个人和微型团队的性价比之选。🎄

LAX.AN4.Pro.WEE 39.90USD/Year （推荐）
1 vCPU 1 GB RAM
20 GB SSD 500Mbps/超量2Mbps无限
500 GB 流量 1 IPv4 & 1 IPv6 /64
https://www.dmit.io/aff.php?aff=3439&pid=183
· 洛杉矶Pro机型使用三网CN2回程优化，去程直连。DMIT对Pro级别的机型保证走优化线路。内地大部分省份延迟在160ms~200ms左右。

LAX.AN4.EB.CORONA 49.90USD/Year
1 vCPU 1 GB RAM
20 GB SSD 2Gbps/超量2Mbps无限
2000 GB 流量 1 IPv4 & 1 IPv6 /64
https://www.dmit.io/aff.php?aff=3439&pid=218
· 移动通过CMIN2 、电信联通通过AS9929回程。CMIN2是移动推出的精品优化网，对标电信的CN2。

特价机不可使用优惠码，由于访问量过大，当前下单需排队，排队期间不要关闭浏览器。

12.23 更新：已售罄

[消息等级 Level C2 · 简要]

DMIT 持续受到 DDoS 攻击

自24日起，DMIT 受到针对其所有前缀的多维度 DDoS 攻击，包括 HKG、TYO 和 LAX。DMIT 已于26日重置受影响客户的传输额度以减少客户损失。而攻击行为在此后数天内仍不断出现，部分用户感知网络丢包率提升，为缓解攻击 DMIT 临时改变了部分产品的去程路由。据了解，本次攻击主要针对的是 DMIT 最新采用的IP段。

DMIT 在回复用户咨询时表示：工作人员与上游供应商一同合作尽量减少 DDoS 带来的网络质量下降，不过由于 DDoS 的攻击方式和特征千变万化，仍然有出现缓解，清洗不彻底以及拦截不及时导致出现丢包以及消耗客户服务的传输额度的情况。

DMIT 于本月22日开启了圣诞节促销活动，该活动销售结果相当成功。近年来，优化线路 IDC 运营商在大型促销活动期间和之后遭受 DDoS 攻击的案例十分普遍。

[消息等级 Level C2 · 简要]

英国手机卡Giffgaff 正大规模封号

来自论坛和手机卡经销商的消息说，英国移动网络运营商giffgaff 正在大规模封号，许多中国用户受影响。封号不会有事先提醒且很难解封。有绑定重要账号的用户应提前换绑手机号。

该运营商服务协议中规定其手机卡仅可在欧盟及指定目的地短暂使用。与此同时其规定“如果您并非出于定期旅行的目的使用我们的服务，我们可能暂停您在欧盟及指定目的地使用我们的服务”。当前，Giffgaff 在42 个国家或地区可用：包括38 个欧盟国家，以及中国、瑞士、土耳其和美国。但是 Giffgaff 在2025年11月已停止向中国邮寄手机卡。

Giffgaff 实体手机卡在中国有大量用户，由于漫游费昂贵，通常不会用来上网，而是被用于接码注册各类外网服务。它也是许多卡商最常推广的手机卡。

1.7 更新：目前看 Giffgaff 虽然加大了封号力度，但并没有之前预估的那么严重。被封号的用户占少数，预计在10%以下。

[消息等级 Level C2 · 简要]

uTLS 新发现漏洞可被GFW利用高效识别代理流量

继指纹泄露漏洞之后，用于模拟真实浏览器指纹的 uTLS 库被发现还存在另外一个严重漏洞。来自 acgdaily 的研究人员发现 uTLS 在模拟 Chrome/Edge 浏览器时 TLS 握手包长度填充（Padding）缺失。

当一个真实浏览器发送的 ClientHello 数据包长度小于 512 字节，浏览器会添加一段“填充（Padding）”数据，将包的大小强行撑到至少 512 字节，这样做的目的是防止部分防火墙和服务器拒绝数据包导致僵化。但 uTLS 在模拟时遗漏了“填充”这一步骤，因此会发送一个在真实 Chrome 环境下“不可能存在”的小包。这让 GFW 仅需根据数据包的大小，就能断定该数据包是伪造的。此 BUG 会导致 uTLS Chrome 120 指纹纯被动识别。uTLS 官方已在最新的 v1.8.2 版本中修复了此漏洞。

影响范围 (Chrome 120)：2023.12 - 2026.01
影响范围 (Chrome 默认值)：2023.12 - 2025.05

单独 Padding BUG，域名请求有 25% 的概率被识破，IP 直接连接有 50% 概率被识破。与此前的 ECH BUG 叠加以后的单个数据包识别概率为域名 62.5%， IP 75%。但是由于代理工具会持续产生大量连接，审查系统识别出用户流量的成功率几乎可以达到100%。

如果你在上次ECH BUG修复中更新过客户端那么此漏洞现在不会影响你，未更新的用户建议使用 Firefox 并停用 Chrome 指纹。相关研究报告可在这里阅读。

[消息等级 Level C2 · 简要]

Netcup 开启2026新年促销活动

Netcup 新年活动从1月27日17时持续到1月29日17时(UTC+8)，活动提供廉价的RS系列云主机、Webhosting 共享主机、域名。非欧盟用户注册免税。

第一期主机促销
· RS 2000 G12 Pro | 8C-16G-1TB(+100% NVMe) €14.08/mo
· RS 2000 G12 Ultra | 10C-24G-1TB(+100% NVMe / +2vCore / +50% RAM) €20.32/mo
· RS 4000 G12 Pro | 12C-32G-2TB(+100% NVMe) €26.58/mo
· RS 4000 G12 Ultra | 14C-48G-1TB(+100% NVMe / +2vCore / +50% RAM) €37.2/mo

另外还提供了 .at .ch .io .dev 域名和共享主机Webhosting的小幅优惠。

注意注册信息应当真实不要挂梯子。取消服务必须提前31天通知。该服务商非常执着于“合约”以及追讨他们的“欠款”，因此下单之前请仔细了解你购买服务的合约时长。

活动地址 | 领取 优惠码 可享5欧元优惠和免费使用时长。

另外，如果你正准备注册com域名，可以到 Namesilo 看一下，当前新购$8.99。

[消息等级 Level C2 · 简要]

谷歌云宣布大幅上调CDN互连流量费用

谷歌云（Google Cloud）已通过邮件告知用户：自2026年5月1日起，对谷歌 CDN Interconnect 和对等互连、AI与计算基础设施服务进行价格调整。影响CDN Interconnect、直接对等互连、运营商对等互连数据流量定价。

具体涨价幅度如下：

北美：数据传输价格从原来的0.04美元/GiB上涨至0.08美元/GiB，涨幅达100%
欧洲：从0.05美元/GiB上涨至0.08美元/GiB，涨幅为60%
亚洲：从0.06美元/GiB上涨至0.085美元/GiB，涨幅为42%

CDN Interconnect 主要用于特定服务商（如Cloudflare）之间的数据互连优化，以降低延迟、减少数据传输费用。该变动不影响Network Service Tiers网络传输费用。

谷歌将调价归因于其在全球基础设施方面投入了大量资金。今年许多云服务商都已经或准备提升服务价格。OVH 创始人 Octave Klaba 此前预计在 2026 年 4 月至 9 月期间，某些云产品的价格将上涨约 5% 至 10%，这一进程还可能会进一步加速。

[消息等级 Level C2 · 简要]

全球最大住宅代理网络被摧毁

谷歌公司表示，中国公司 Ipidea 在数以百万计的手机、家用电脑和安卓设备上植入危险软件。该公司提供的 “住宅代理” 在线服务常被犯罪分子和黑客利用。

据华尔街日报消息。谷歌表示其周三利用一项联邦法院的命令，将属于 Ipidea 的数十个域名从互联网上移除。对这些域名的控制使得谷歌得以关闭该公司的公共网站和技术后端，该公司使用十几个品牌名称进行运营。谷歌还采取了措施，从安卓设备中移除了数百个 Ipidea 旗下的应用。谷歌称，该公司运营着至少13个住宅代理品牌，名称包括Ipidea、922 Proxy、Py Proxy和360 Proxy等，所有这些都在周三的行动中被下线。

预计这些行动将使超过900万台Android设备脱离Ipidea的网络。Ipidea 成立于2020年，总部设在中国，拥有数百名员工。其代理网络覆盖全球220个国家，包括数千万台设备。

[消息等级 Level C2 · 简要]

CloudCone 大量服务器离线

注册在美国的知名廉价VPS服务商 CloudCone 可能遭到了重大网络安全问题。从早上6时起洛杉矶地区全部机器离线，与此同时用户无法进入CC网站的服务控制面板后台。大量用户开始担忧他们的数据最终是否能够恢复。CloudCone 尚未发布官方声明。

14:30 更新：网站后台可以登陆

[消息等级 Level C2 · 简要]

虚拟机面板漏洞导致多个IDC服务商被入侵

虚拟机WEB控制面板 Virtualizor 上存在一个严重漏洞，该漏洞已被黑客用于植入勒索病毒。根据 Low End Web Deals 频道搜集到 LowEndTalk 上的消息，除 CloudCone 外，使用该面板的商家 HostSlick、OuiHeberg、ColoCrossing 也已被攻破。

以下服务商也使用 Virtualizor 提供服务：Virtono、SolidSEOVPS、Naranjatech、LittleCreek、DediRock、Chunkserv、RareCloud

上述服务商的用户应当立即完整备份自己的数据。

[消息等级 Level C2 · 简要]

新注册 Google Voice 现在需身份认证

Google 虚拟网络电话服务 Google Voice 已更新帮助文档，要求新注册用户进行实名认证。Google 表示，认证是为了维护 Google Voice 的安全性和完整性。此步骤主要用于防止欺诈活动，并确保所有用户都能获得安全的使用体验。

当新用户注册时，系统将要求用户上传有效的身份证件图片并填写地址信息。有一定概率会立即通过，但也可能进入人工审核流程。人工审核需 48-72 小时审结。

Google Voice 暂时未对存量用户下发实名认证要求。Voice 免费版仅对美国和加拿大用户提供服务（外国身份证是否可行未测），而简中用户偏爱 Voice 号码，免费群体非常庞大，多以非正常途径注册。对于这部分有重要账号绑定而又不便认证的用户而言，实名验证是一个危险的变数。

[消息等级 Level C2 · 简要]

中国 IDC 运营商正在关闭对等流量的服务

据业内人士和用户反馈的信息，中国大陆多家 IDC 运营商正在执行属地通管及基础电信运营商的要求。对“流量转发/对等互联/带宽转售”等业务开展自查核清，并对不合规业务限期整改或清退。这类服务常被用于绕过网络管理或提供未获许可的通信服务。

了解此事的人士称，许多机房在实际执行的过程中采用了“一刀切”的做法，他们会关闭所有存在上下行流量对等特征的服务，涉及加密流量时尤其如此。另有个别机房对国际方向链路采取了更严格限制措施，导致部分跨境业务可用性下降。根据VPS信号旗看到的一张内部截图显示，一家运营商的员工告诉客户“上下行一致的业务就是违规业务，无论怎么解释都是无效的”。

现实中上下行流量特征的业务不仅仅是流量转发，例如远程控制主控等。但在监管压力下，IDC都倾向于采用更“全面”的“万无一失”的做法。

[消息等级 Level C2 · 简要]

新的深度指纹检测方法可以轻易识别伪装TLS连接

即连续爆出的两个严重漏洞后，伪装TLS连接工具uTLS现在有一个更大的问题。 [ 1 , 2 ]

新的研究报告了一种同时针对 TLS 客户端与服务器识别方法。它证明仅仅模仿 TLS 握手包的表面特征已经不足以躲避检测。GFW 将可以在更深层维度区分“真浏览器”和“伪装工具”。

新的攻击方法不再仅仅依赖 TLS 握手阶段的明文特征（如 Cipher Suites 列表），而是通过分析 TLS 协议栈在处理非标准、边缘情况或错误注入时的具体行为反应来进行识别。以前工具只需要由 ClientHello 看起来像 Chrome 就能骗过检测。现在，如果它们不能完美模仿 Chrome 在面对网络错误、丢包或恶意注入行为就会被立即识破。 

GFW 可以直接部署规则，对于特征符合“伪造 Chrome”的数据包进行阻断。因为真正的 Chrome 不会出现这种逻辑矛盾，误杀率极低。GFW 可以向客户端发送一个特制的“警告 Alert”或“无效 TLS 版本包”。如果客户端是真正的 Chrome，它可能会忽略或返回特定的 Alert。如果客户端是伪装工具（但底层是 Golang 网络栈），它可能会立即断开连接或返回不同的错误码。

这种方法有可能为流量审查方提供了一套更高级的武器库。对于依赖 uTLS 进行伪装的代理工具提出了强大挑战。

研究报告原文

[消息等级 Level C2 · 简要]