Help:如何访问H萌娘

• 在使用这些措施时请注意安全，以免账号、密码等个人信息泄露，并请特别提防钓鱼应用及代理节点，如果因使用这些措施导致自身利益受损本站概不负责。

2018年6月之后^[1]，旧H萌娘在中国大陆地区网际网路由于被GFW封锁而无法直接访问。
截至当前（2023年1月17日），本站尚未被封锁，但有极大概率在未来被封锁，因此本文是为未来准备，面向当前直接访问的读者。同时，本文中许多方法是通用的，对本站外的站点也可能适用。

远程代理（推荐）[编辑源代码]

通过至少一台境外服务器作为中转，并且在流量穿过GFW时进行加密/混淆，可以绕过GFW的检查以连接。 即使未被封锁，我们仍然推荐使用远程代理，原因是：

• 可以避免被意识到访问H萌娘；
• 可以隐藏自己的真实IP地址。

加密/混淆有许多协议，我们建议使用公开的、大量使用的协议以避免协议中可能存在的漏洞，如VMess、Shadowsocks、Trojan、WireGuard。 同时也建议使用开源的、大量使用的客户端，如V2Ray、Clash（需要注意其部分客户端是闭源的）、Shadowsocks、Trojan、WireGuard。
远程代理需要服务器节点，可以通过购买境外服务器自行建立，也可以购买现成的服务（也就是俗称的“机场”），或者在网上能搜集到一些公开的节点。 我们希望读者知道：

• 不要暴露自己的危险个人信息，如境内邮箱；
• 任何线上金钱交易都是易追踪的；
• 尽管本站进行了强制性加密（超文本传输安全协议，HTTPS），服务器节点仍然可以知道您访问了H萌娘。并且如果访问中浏览器出现证书错误等提示，或者页面停留在明文版而未跳转至加密版（即地址栏不以https://开头），说明连接极有可能已经受到了干扰，请停止访问，不要添加例外，以免传输的数据被窃听。

当您在访问经过超文本传输安全协议加密的页面时，地址栏中应当出现一个锁形图标。

直接连接[编辑源代码]

使用直接连接方法前需要先调查GFW使用了何种检测/封锁方式，然后才能对症下药。有时是同时使用了多种检测/封锁方式，需要按照顺序检查并应用相应的对策。

DNS污染[编辑源代码]

浏览器在建立连接前，需要先将域名解析为IP地址，这是通过查询DNS服务器完成的，因此GFW可以返回一个错误的结果。
以Windows系统为例，在命令提示符中运行如下代码可以得到解析的IP地址：

nslookup hmoegirl.cyou

可以到如ip138等网站查询这一IP地址的归属，如果查到的是如Facebook等与H萌娘毫无关系的归属（当前H萌娘IP地址的归属是Cloudflare），说明遭到了DNS污染。
下面介绍DNS污染的解决方法。

修改hosts[编辑源代码]

通过修改系统中的hosts文件，可以直接告诉系统使用什么IP地址进行连接。
在此之前，需要先知道H萌娘的IP地址，可以在未被封锁的时候（也就是现在）记下这一IP地址，也可以通过其他工具查询，如观察[1]的境外结果。 然后用文字编辑器（如系统自带的Notepad，需要以管理员权限运行）在Hosts文件中加入：

自己查IP hmoegirl.cyou www.hmoegirl.cyou

关于Hosts文件的位置请参见: Hosts文件#平台差异

加密DNS协议[编辑源代码]

传统的UDP DNS是未加密的，因此很容易被修改。现在已经发展出了很多加密DNS协议，如DNS-over-HTTPS（DoH）、DNS-over-TLS（DoT）等。 新的系统或浏览器已经支持这些协议，可以自行修改这些设置。
加密DNS协议同样需要境外DNS服务器，这些DNS服务器有许多已经被封锁，因此本站不提供具体可用的加密DNS服务器。 可以自行搜索测试可用的加密DNS服务器。

SNI RST[编辑源代码]

在现在流行的TLS协议中，建立连接过程的client hello没有被加密，其中的server_name字段就是域名，易被识别，然后GFW会发出TCP RST以结束连接。 SNI RST最显著的表现是浏览器会提示类似于“无法建立安全连接”的错误。 如果您懂得如何抓包，可以观察到在客户端发出client hello后马上收到TCP RST（而不是正常的TLS错误）。 进一步地，可以往其他非正常境外IP地址发送client hello也会出现TCP RST。
下面介绍SNI RST的解决方法。

ECH（推荐）[编辑源代码]

为了解决TLS握手未加密的问题，互联网工程任务组（IETF）先是提出了Encrypted Server Name Indication (ESNI)，然后又提出了Encrypted Client Hello (ECH) 作为TLS的一个新扩展。
目前，ECH尚未大规模应用，但本站的CDN提供商Cloudflare已经支持ECH，新的浏览器也开始支持，但可能需要手动开启，同时需要配合上文提到的境外DoH使用。请自行搜索自己浏览器的设置方法。

域前置[编辑源代码]

修改server_name为其他内容可以规避检测，但对于H萌娘，这受到了CDN提供商Cloudflare的一些限制。尽管有一些解决办法，但暂不公开以作为后备方法。
需要注意，许多域前置程序为实现起来简单直接忽略了对TLS证书的检查，这存在很大的安全隐患。应使用会检查TLS证书的程序。

HTTP/3[编辑源代码]

由于RST是基于TCP的（包括检测亦可能如此），而HTTP/3是基于UDP的，因此HTTP/3能避开目前的封锁。当前HTTP/3尚未大规模应用，但本站的CDN提供商Cloudflare已经支持HTTP/3，新的浏览器也开始支持，然而一般的浏览器并不倾向于直接使用，因此可以考虑强制HTTP/3。

TCB desync[编辑源代码]

通过修改TCP可以干扰GFW的检测。 TCPioneer / GhosTCP和phantomsocks实现了这一方法（亦使用了上文的一些其他方法）。
此外User:Izumi_Chino的[2]对hmoegirl.cyou进行了预配置。 需要注意：

• 修改TCP需要下到IP层操作，因为会涉及权限极高的内核模式程序，在使用前需要确认这些程序是否可信，同时也要提防可能的恶意程序利用这些程序；
• 原则上，可以知晓你正在使用这一技术，并仍可知晓你正在访问H萌娘。

IP层的封锁[编辑源代码]

如果（TCP甚至ICMP）ping不通本站，那么极有可能说明遭到了路由黑洞等IP层的封锁。IP层的封锁可能只是针对443端口的。
由于本站目前使用的Cloudflare CDN的任意免费版IP都可以作为edge IP，因此可以用其他Cloudflare CDN IP来替换。（似乎有些奇怪的问题，暂不明确）

最彻底的翻墙方法[编辑源代码]

• 搬到没有网络审查国家，远离审查制度。肉身出走说话就是硬气，但不过国外对under14的内容审查比中国大陆严格很多
• 使用卫星网络进行国际联网（銥星等）按字节收费，还需另购地面接收器
• 买张中国大陆以外地区的手机卡（港澳都行，别问我为什么没有台，问就是+886要实名）但是会走三大运营商的基站，没准平子会从基站偷你数据包

其他方法[编辑源代码]

• 可以在Telegram相关频道和群组中学习科学上网的方法。
• 其他方法可参见如何访问维基百科中的连接方法。

注释[编辑源代码]