cloudflare把gfw捅了个大洞。cloudflare新的类似域前置的加密sni技术ECH,搭配上dns over https(DoH),使用最新版本的谷歌浏览器或Edge浏览器,即可以免vpn代理直接直连翻墙使用cloudflare cdn或者支持ECH的cdn的网站。
使用非常简单,chrome内核的浏览器,例如chrome和edge,更新到最新版本然后配置安全dns就可以了。最新版本的chrome默认开启ECH(且无法关闭),只需要找到一个可用的DoH服务,修复dns污染,即可以直连翻墙。firefox也可以通过设置开启ECH和DoH来直连翻墙。
唯一的麻烦是首先gfw封锁了大量DoH服务,前几个月封掉了大量DoH,cloudflare DoH靠换域名才重新可用。目前还有漏网之鱼的墙内可用DoH服务。推荐自己搭建DoH服务器使用。
其次ECH虽然相对ESNI改进了许多,但特征仍然非常明显,虽然gfw没有墙掉ECH,但隔壁俄罗斯毛子曾试图封锁ECH。而且DoH虽然使用443端口,但其流量特征也是比较明显。
最后,我建议敏感操作仍然要使用vpn,甚至tor。