 |
trilV2EX 第 476674 号会员,加入于 2020-03-15 00:40:31 +08:00今日活跃度排名 15890 |
| 小米服务框架是准备专门用来发官方广告了? 全球工单系统 • tril • 2020-08-16 21:58:22 PM • 最后回复来自 tril | 22 |
tril 最近回复了
@tibbersvs 目前看起来我的上传还是未限速状态,从不限速到限速、限速到不限速之间都未发生重新拨号。如果部分用户又出现限速的话,考虑限速是否存在某种触发条件。
跑 PCDN 的建议自己去退宽带,不管怎么策略改都不会放过 PCDN 的。跑 PT/BT 的可以尝试关掉几天试试,没跑 PT/BT 的可以想办法屏蔽一下局域网内各视频客户端和网站的 PCDN 域名,防止干扰测试。如果不限速了,再把关掉的服务重新打开,看看会不会重新限速。先尝试找出稳定的触发方式。
另外问问你之前有去报障吗?也许和是否报障也有关系?
我也会尝试测测有没有什么触发方法,如果有进展再做补充。
跑 PCDN 的建议自己去退宽带,不管怎么策略改都不会放过 PCDN 的。跑 PT/BT 的可以尝试关掉几天试试,没跑 PT/BT 的可以想办法屏蔽一下局域网内各视频客户端和网站的 PCDN 域名,防止干扰测试。如果不限速了,再把关掉的服务重新打开,看看会不会重新限速。先尝试找出稳定的触发方式。
另外问问你之前有去报障吗?也许和是否报障也有关系?
我也会尝试测测有没有什么触发方法,如果有进展再做补充。
2024 年 11 月 25 日 22 点 22 分:
目前网内/外和境内/外的快速测试结果均已恢复正常。不确定和报障是否存在因果关系,也不确定之后是否还会重新实施限速。
暂未进行长时间测试,不能排除电信并未撤销限速策略,而是将限速策略改得更隐蔽的可能性,例如“只对持续超过几分钟的上传连接进行限速”。
我愿意相信这次对精品网的无差别限速有可能是事故而非故意为之,但希望上海电信不要再设计出这种限制不了滥用用户,只能限制普通用户的劣质规则了。
上海电信作为一线城市的运营商,本应起到模范作用,为全国其他城市的运营商探索出一条管控违规流量的最佳实践。结果上海电信不选择对违规流量针对性压制之类的精准管控方案,而是选择使用拉黑账号、暗地限速甚至是白名单这种最省事、效果极差、漏洞极大、误伤范围极大、对用户产生困扰最多的方案,实在是丢上海的脸。
这次的限速方案甚至不如上海电信祖传的达量限速有效。达量限速至少能让每条宽带的违规流量降到 30M ,而这种白名单方案,PCDN 厂商只需要推送个小更新就能让用户绕过限速继续满速滥用,反倒是普通用户遇到正常用途被限速只能看着满速的测速结果一直被困扰下去,直到发现问题所在带着积攒的怨气去发起投诉。
目前网内/外和境内/外的快速测试结果均已恢复正常。不确定和报障是否存在因果关系,也不确定之后是否还会重新实施限速。
暂未进行长时间测试,不能排除电信并未撤销限速策略,而是将限速策略改得更隐蔽的可能性,例如“只对持续超过几分钟的上传连接进行限速”。
我愿意相信这次对精品网的无差别限速有可能是事故而非故意为之,但希望上海电信不要再设计出这种限制不了滥用用户,只能限制普通用户的劣质规则了。
上海电信作为一线城市的运营商,本应起到模范作用,为全国其他城市的运营商探索出一条管控违规流量的最佳实践。结果上海电信不选择对违规流量针对性压制之类的精准管控方案,而是选择使用拉黑账号、暗地限速甚至是白名单这种最省事、效果极差、漏洞极大、误伤范围极大、对用户产生困扰最多的方案,实在是丢上海的脸。
这次的限速方案甚至不如上海电信祖传的达量限速有效。达量限速至少能让每条宽带的违规流量降到 30M ,而这种白名单方案,PCDN 厂商只需要推送个小更新就能让用户绕过限速继续满速滥用,反倒是普通用户遇到正常用途被限速只能看着满速的测速结果一直被困扰下去,直到发现问题所在带着积攒的怨气去发起投诉。
@WizardLeo 如果你用的是 https 代理回家,你把家里的 https 代理的域名改成“speedtest.你的域名”就能避免限速,reality 不是必须的。“关键词”和“443 端口 https”是两个条件,满足任意一点就可以避免限速,不需要同时满足。
@WizardLeo 是,不过伪装成 https 的梯子其实并不用担心限速,reality 的特性暂时利用不上。因为 443 端口 https 本身就不限速,自己的子域名随便添加个 speedtest 前缀也不限速,绝大部分用户都可以轻松满足这两点。只有用非 https 梯子的用户遇到了大麻烦。
@tibbersvs “所以只要用 443 端口连回去就可以畅享了吗” 是,但这不现实吧……
@AlphaTauriHonda 你列的这些全是标准 https 测速网站,前面提到过,https+443/tcp 不会被限速。
speedtest.net 比较特殊,它的测速节点域名和网站域名不一致,测速节点的端口 8080 不在白名单范围内,所以我进一步筛选了一些节点进行测试。筛选节点的要求:
1 、域名里没有 speedtest. 关键词。
2 、使用的是自有域名,而非以 prod.hosts.ooklaserver.net 结尾。
3 、直接打开测速域名,查看证书,证书里的包含的所有域名也必须满足 1 和 2 。
ID=37390 ,Hong Kong - HGC 環電( ookla-speedtest-central.hgconair.hgc.com.hk ),未限速。
ID=27628 ,Kochi - Den Networks Ltd ( kochi1.denbroadband.in ),被限速。
ID=2054 ,Singapore - ViewQwest ( speedtest10.vqbn.com ),未限速。
ID=18549 ,Lauf a.d. Pegnitz - Bisping & Bisping GmbH & Co. KG ( ookla.bisping.de ),被限速。
ID=48463 ,Tokyo - IPA CyberLab 400G ( speed.udx.icscoe.jp ),被限速。
三条规则筛除了绝大部分节点,导致测速结果数量很有限。除了两个带 speedtest 关键词但不带 speedtest. 关键词的节点没有被限速比较奇怪,其他几个节点测试结果均符合预期。
对于这两个节点的特殊现象我也通过自建测速网站重新进行了测试:
在 8443 端口上,speedtestabc.yyy.zzz 和 speedtest-sg.yyy.zzz 这种域名不在白名单里,如之前所述,只有 speedtest. 作为关键词才能匹配到白名单规则。
但在 8080 端口上,这种域名可以进入白名单,只要有 speedtest 作为关键词就可以匹配到白名单规则。
运营商对不同目标端口设置了不同的 sni/host 白名单规则,也有可能这是为 speedtest 的测速节点专门设置的白名单规则?( speedtest.net 的测试节点都在 8080 端口上)
@AlphaTauriHonda 你列的这些全是标准 https 测速网站,前面提到过,https+443/tcp 不会被限速。
speedtest.net 比较特殊,它的测速节点域名和网站域名不一致,测速节点的端口 8080 不在白名单范围内,所以我进一步筛选了一些节点进行测试。筛选节点的要求:
1 、域名里没有 speedtest. 关键词。
2 、使用的是自有域名,而非以 prod.hosts.ooklaserver.net 结尾。
3 、直接打开测速域名,查看证书,证书里的包含的所有域名也必须满足 1 和 2 。
ID=37390 ,Hong Kong - HGC 環電( ookla-speedtest-central.hgconair.hgc.com.hk ),未限速。
ID=27628 ,Kochi - Den Networks Ltd ( kochi1.denbroadband.in ),被限速。
ID=2054 ,Singapore - ViewQwest ( speedtest10.vqbn.com ),未限速。
ID=18549 ,Lauf a.d. Pegnitz - Bisping & Bisping GmbH & Co. KG ( ookla.bisping.de ),被限速。
ID=48463 ,Tokyo - IPA CyberLab 400G ( speed.udx.icscoe.jp ),被限速。
三条规则筛除了绝大部分节点,导致测速结果数量很有限。除了两个带 speedtest 关键词但不带 speedtest. 关键词的节点没有被限速比较奇怪,其他几个节点测试结果均符合预期。
对于这两个节点的特殊现象我也通过自建测速网站重新进行了测试:
在 8443 端口上,speedtestabc.yyy.zzz 和 speedtest-sg.yyy.zzz 这种域名不在白名单里,如之前所述,只有 speedtest. 作为关键词才能匹配到白名单规则。
但在 8080 端口上,这种域名可以进入白名单,只要有 speedtest 作为关键词就可以匹配到白名单规则。
运营商对不同目标端口设置了不同的 sni/host 白名单规则,也有可能这是为 speedtest 的测速节点专门设置的白名单规则?( speedtest.net 的测试节点都在 8080 端口上)
@tril 针对字符串匹配仔细测试了一下
speedtest yyy zzz 可以
speedtest xxx yyy zzz 可以
abcspeedtest yyy zzz 可以
speed xxx yyy zzz 不行
speedtestabc yyy zzz 不行
总结:
speedtest 是关键词,speed 不是。
关键词可以部分匹配某一级域名,但关键词必须在这级域名的结尾,不能在这级域名的开头。
关键词可以在二级域名或者三级域名,更多级域名没试,但我猜应该也可以,只要符合上面的规则即可。
speedtest yyy zzz 可以
speedtest xxx yyy zzz 可以
abcspeedtest yyy zzz 可以
speed xxx yyy zzz 不行
speedtestabc yyy zzz 不行
总结:
speedtest 是关键词,speed 不是。
关键词可以部分匹配某一级域名,但关键词必须在这级域名的结尾,不能在这级域名的开头。
关键词可以在二级域名或者三级域名,更多级域名没试,但我猜应该也可以,只要符合上面的规则即可。
@fengyaochen 我翻看了 1 月和 11 月初的 mtr 记录,确实以前前几跳是 58.32 (或隐藏)、101.95 、101.95 、59.43 ,现在变成了 58.32 (或隐藏)、61.172 、101.95 、59.43 不过不确定这跳改变和限速的相关性。
@luckyfly 你这么一说就奇怪了,我才发现 8 月我也出现过这个“宽带降速详单费用”,6 月至今只有 8 月和 11 月有。难道这个和这次限速无关?
@tril 自建测速网站的过程中发现了第二个疑似白名单规则:443/tcp 端口(也可能是标准端口的 https )。
我还纳闷我删了 favicon 、加了 path 隐藏、用 nginx 反代、开着 https 、域名也没有 speed 关键词的 liberspeed 为什么没被限速,还以为是有什么流量特征识别。结果是因为建站建在 443 端口上,端口改掉立马就被限速 5Mbps 。
同样的,443 端口的梯子未被限速,这可以解释前面为什么我会觉得阿里新加坡没被限速,因为跑在 443 上。
虽然没实测,但我怀疑 80/tcp 或者标准端口 http 可能也在白名单规则里。
我没有备案域名,暂时没法测试关键词和端口这疑似两个白名单规则在国内服务器上是否适用,境外测试结果仅供参考,可能是受其他不可控变量影响。感兴趣的也可以自己试试看能不能复现。
我还纳闷我删了 favicon 、加了 path 隐藏、用 nginx 反代、开着 https 、域名也没有 speed 关键词的 liberspeed 为什么没被限速,还以为是有什么流量特征识别。结果是因为建站建在 443 端口上,端口改掉立马就被限速 5Mbps 。
同样的,443 端口的梯子未被限速,这可以解释前面为什么我会觉得阿里新加坡没被限速,因为跑在 443 上。
虽然没实测,但我怀疑 80/tcp 或者标准端口 http 可能也在白名单规则里。
我没有备案域名,暂时没法测试关键词和端口这疑似两个白名单规则在国内服务器上是否适用,境外测试结果仅供参考,可能是受其他不可控变量影响。感兴趣的也可以自己试试看能不能复现。
@AlphaTauriHonda 测试了一下,这个所谓的“白名单”很可能是在 sni/host 里匹配 speedtest 这个字符串,服务器改用这个域名就能上传超过 5Mbps ,令人忍俊不禁。
Select Language