# 假墙攻击方法大全及解决方案
### **宝塔站长群:** [**https://tg.HostCLi.com**](https://tg.hostcli.com)
如果自己没有技术能力判断,请发给客服免费协助排查: [@GfwVipBOT](https://t.me/GfwVipBOT)
想看结果论的请直接看文末: [防御假墙攻击的方法>>](#how)
GfwVip经过大量实践,结论是IP越多效果越好,方案:[购买服务器+购买额外的IP](https://my.nextcli.com/)(推荐大于100个IP)+[DNS解析轮询](https://docs.gfwvip.com/lunxun)。
{% hint style="info" %}
#### 以下均为 GfwVip.com 团队实践 假墙攻击&假墙防御 & GFW真墙域名\&GfwVip穿墙技术 所得到的一手技术实践;
{% endhint %}
### 什么是假墙攻击?
* 假墙攻击是2021年3月左右出现的一种攻击技术,主要是利用、触发GFW的临时封禁策略,致使境外IP被GFW临时封禁半个小时到数个小时不等,之后自行解封(或人工干预解封?)。如果持续解析到境外IP,就会被持续墙IP长达数小时乃至数日,SEO排名较好的网站,排名急剧下降付诸东流。
* 该攻击方法主要被一伙广告联盟的人(烈马团队),利用来敲诈勒索、或强迫有流量的网站、国内搜索引擎中有SEO排名流量的站点接入他们的广告JS;(注:JS本身除了可以任意添加更多广告、获取用户隐私,还能直接将访问网站的用户劫持跳转去其他网站,这是所有中小广告联盟的惯用伎俩)。
* 敲诈勒索手段主要是通过被攻击网站域名的统计中的来源refer、或主动联系站长等方式,告知被攻击者即将被关闭网站,如需解封请联系勒索人的Telegram账号;留其他联系方式的基本可以判定不是源头攻击方。
### 假墙与真墙的区别:
国外IP服务器无法通过GFW返回数据给国内用户,只是封禁时间较短,不是长期封禁;
全国各地检测结果 参考:[https://xvideos.com](https://www.boce.com/http/bdf896521d6fcb94bb023a0f1b7194c1.html)
**假墙与移动墙的区别:**
移动墙只是中国移动线路墙了域名,而域名被GFW墙/假墙,是国内三网运营商均被GFW拦截,致使境外IP服务器无法通过GFW返回数据给终端用户;
### 假墙的具体技术表现
从2021年4月开始,GfwVip.com 的客户持续遭遇假墙攻击,我们使用假墙攻击、自行搭建各种防御措施等,尝试了多种方法实践,发现假墙攻击具有以下特点:
* 可以不直接访问被攻击服务器,即服务器上 并未出现 日志、流量、并发 等统计异常;GfwVip团队实测 阿里云、腾讯云 香港服务器的官方统计数据无异常波动。
* 可能夹杂DDOS、CC攻击,导致只具备基础防御的服务器被攻击至断网;阿里云、腾讯云等服务器的保护机制均为**断网24小时**。
### 假墙/真强测试示例:
#### 发起假墙攻击后多久可以墙掉境外IP?
* GfwVip团队实测:从发起假墙攻击,且使用国内DNS解析商的情况下,触发GFW临时封禁,致使全国所有地区、节点封禁目标境外IP,最快只需要3~4分钟;该测试使用 **DNSPOD域名解析** + **boce.com 每分钟一次全国范围的http监测**;
* 域名解析的IP较多,或使用了拥有较多IP的CDN服务,GfwVip团队实践:一个域名解析有50多个IP,大约30分钟~1小时内即可利用假墙将其所有IP在中国大陆地区全部封禁,无法通过GFW返回数据给访客用户;
#### 假墙攻击会持续多久?
* 如果不持续攻击,单次GFW封禁周期大约2~4小时,之后会自动解除封禁;本测试数据使用 **阿里云云拨测** 国内节点 每分钟一次监测;
### 怎么判断是否被真墙或假墙攻击?
点击链接查看
{% content-ref url="gfw-china-mobile-firewall-hijack-pollute" %}
[gfw-china-mobile-firewall-hijack-pollute](https://docs.gfwvip.com/gfw-china-mobile-firewall-hijack-pollute)
{% endcontent-ref %}
⚠️ 如果自己没有技术能力判断,请发给客服免费协助排查: [@GfwVipBOT](https://t.me/GfwVipBOT)
### GFW真墙屏蔽 与 假墙攻击的区别
网站解析到任意境外IP后,马上使用 [boce](https://www.boce.com/http) 或 [17ce](https://www.17ce.com/) get 全国节点,进行多次测速,始终是无法访问,返回 000 状态,基本就是GFW真墙屏蔽;
网站解析到任意境外IP后,马上使用 [boce](https://www.boce.com/http) 或 [17ce](https://www.17ce.com/) get 全国节点,进行多次测速,新的境外IP返回 200 状态,之后持续检测 **会在 200状态、000状态码之间变化**,或者 **持续为200状态码**,则可能是被假墙攻击触发了GFW临时封禁了该境外IP。
### 防御假墙攻击的方法
#### 1、\[推荐方案] 域名使用DNS轮询解析+多IP
GfwVip经过大量实践,目前客户采取较多的方案是:[购买我们的服务器+购买额外的IP](https://my.nextcli.com/)+[DNS解析轮询](https://docs.gfwvip.com/lunxun)。
如果IP在60个上下,GfwVip团队实践发现约30分钟左右即可在全国所有运营商中全部墙完60个IP;最快4分钟在全国范围墙掉IP,所以建议采购100个以上的IP+策略来实现轮询解析,可以实现15分钟轮换解析到1个新IP;
**2、使用国内服务器IP**
GFW设计的初衷是为了 ***拦截境外IP*** 的网站及内容,国内到国内的线路访问不走GFW;
使用国内服务器需要域名备案,且防御成本较贵。
#### 3、被假墙攻击的域名套上CDN
业内不存在抗假墙CDN,只有上更多的IP硬抗的CDN,费率及机房成本很高;不如直接[购买服务器+购买额外的IP](https://my.nextcli.com/)+[DNS解析轮询](https://docs.gfwvip.com/lunxun),成本相对可控且更便宜;
### **宝塔站长群:** [**https://tg.HostCLi.com**](https://tg.hostcli.com)
End.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.gfwvip.com/jiaqiang.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.