# 假墙攻击方法大全及解决方案
### **宝塔站长群:** [**https://tg.HostCLi.com**](https://tg.hostcli.com)
如果自己没有技术能力判断,请发给客服免费协助排查: [@GfwVipBOT](https://t.me/GfwVipBOT)
想看结果论的请直接看文末: [防御假墙攻击的方法>>](#how)
GfwVip经过大量实践,结论是IP越多效果越好,方案:[购买服务器+购买额外的IP](https://my.nextcli.com/)(推荐大于100个IP)+[DNS解析轮询](https://docs.gfwvip.com/lunxun)。
{% hint style="info" %}
#### 以下均为 GfwVip.com 团队实践 假墙攻击&假墙防御 & GFW真墙域名\&GfwVip穿墙技术 所得到的一手技术实践;
{% endhint %}
### 什么是假墙攻击?
* 假墙攻击是2021年3月左右出现的一种攻击技术,主要是利用、触发GFW的临时封禁策略,致使境外IP被GFW临时封禁半个小时到数个小时不等,之后自行解封(或人工干预解封?)。如果持续解析到境外IP,就会被持续墙IP长达数小时乃至数日,SEO排名较好的网站,排名急剧下降付诸东流。
* 该攻击方法主要被一伙广告联盟的人(烈马团队),利用来敲诈勒索、或强迫有流量的网站、国内搜索引擎中有SEO排名流量的站点接入他们的广告JS;(注:JS本身除了可以任意添加更多广告、获取用户隐私,还能直接将访问网站的用户劫持跳转去其他网站,这是所有中小广告联盟的惯用伎俩)。
* 敲诈勒索手段主要是通过被攻击网站域名的统计中的来源refer、或主动联系站长等方式,告知被攻击者即将被关闭网站,如需解封请联系勒索人的Telegram账号;留其他联系方式的基本可以判定不是源头攻击方。
### 假墙与真墙的区别:
国外IP服务器无法通过GFW返回数据给国内用户,只是封禁时间较短,不是长期封禁;
全国各地检测结果 参考:[https://xvideos.com](https://www.boce.com/http/bdf896521d6fcb94bb023a0f1b7194c1.html)
**假墙与移动墙的区别:**
移动墙只是中国移动线路墙了域名,而域名被GFW墙/假墙,是国内三网运营商均被GFW拦截,致使境外IP服务器无法通过GFW返回数据给终端用户;
### 假墙的具体技术表现
从2021年4月开始,GfwVip.com 的客户持续遭遇假墙攻击,我们使用假墙攻击、自行搭建各种防御措施等,尝试了多种方法实践,发现假墙攻击具有以下特点:
* 可以不直接访问被攻击服务器,即服务器上 并未出现 日志、流量、并发 等统计异常;GfwVip团队实测 阿里云、腾讯云 香港服务器的官方统计数据无异常波动。
* 可能夹杂DDOS、CC攻击,导致只具备基础防御的服务器被攻击至断网;阿里云、腾讯云等服务器的保护机制均为**断网24小时**。
### 假墙/真强测试示例:
#### 发起假墙攻击后多久可以墙掉境外IP?
* GfwVip团队实测:从发起假墙攻击,且使用国内DNS解析商的情况下,触发GFW临时封禁,致使全国所有地区、节点封禁目标境外IP,最快只需要3~4分钟;该测试使用 **DNSPOD域名解析** + **boce.com 每分钟一次全国范围的http监测**;
* 域名解析的IP较多,或使用了拥有较多IP的CDN服务,GfwVip团队实践:一个域名解析有50多个IP,大约30分钟~1小时内即可利用假墙将其所有IP在中国大陆地区全部封禁,无法通过GFW返回数据给访客用户;
#### 假墙攻击会持续多久?
* 如果不持续攻击,单次GFW封禁周期大约2~4小时,之后会自动解除封禁;本测试数据使用 **阿里云云拨测** 国内节点 每分钟一次监测;
### 怎么判断是否被真墙或假墙攻击?
点击链接查看
{% content-ref url="gfw-china-mobile-firewall-hijack-pollute" %}
[gfw-china-mobile-firewall-hijack-pollute](https://docs.gfwvip.com/gfw-china-mobile-firewall-hijack-pollute)
{% endcontent-ref %}
⚠️ 如果自己没有技术能力判断,请发给客服免费协助排查: [@GfwVipBOT](https://t.me/GfwVipBOT)
### GFW真墙屏蔽 与 假墙攻击的区别
网站解析到任意境外IP后,马上使用 [boce](https://www.boce.com/http) 或 [17ce](https://www.17ce.com/) get 全国节点,进行多次测速,始终是无法访问,返回 000 状态,基本就是GFW真墙屏蔽;
网站解析到任意境外IP后,马上使用 [boce](https://www.boce.com/http) 或 [17ce](https://www.17ce.com/) get 全国节点,进行多次测速,新的境外IP返回 200 状态,之后持续检测 **会在 200状态、000状态码之间变化**,或者 **持续为200状态码**,则可能是被假墙攻击触发了GFW临时封禁了该境外IP。
### 防御假墙攻击的方法
#### 1、\[推荐方案] 域名使用DNS轮询解析+多IP
GfwVip经过大量实践,目前客户采取较多的方案是:[购买我们的服务器+购买额外的IP](https://my.nextcli.com/)+[DNS解析轮询](https://docs.gfwvip.com/lunxun)。
如果IP在60个上下,GfwVip团队实践发现约30分钟左右即可在全国所有运营商中全部墙完60个IP;最快4分钟在全国范围墙掉IP,所以建议采购100个以上的IP+策略来实现轮询解析,可以实现15分钟轮换解析到1个新IP;
**2、使用国内服务器IP**
GFW设计的初衷是为了 ***拦截境外IP*** 的网站及内容,国内到国内的线路访问不走GFW;
使用国内服务器需要域名备案,且防御成本较贵。
#### 3、被假墙攻击的域名套上CDN
业内不存在抗假墙CDN,只有上更多的IP硬抗的CDN,费率及机房成本很高;不如直接[购买服务器+购买额外的IP](https://my.nextcli.com/)+[DNS解析轮询](https://docs.gfwvip.com/lunxun),成本相对可控且更便宜;
### **宝塔站长群:** [**https://tg.HostCLi.com**](https://tg.hostcli.com)
End.