- 欢迎加入官方Discord和Telegram群组!
- 我们正在删除政治内容页面,还您一个干净的H萌娘,净化社区的同时也可以让您认真学习和讨论性知识(?
- 不知道接下来该看什么?可以去查阅本站的优质条目
- 如果您在H萌娘上发现某些内容错误/空缺,请勇于修正/添加!编辑H萌娘其实很容易!(由于遭到破坏,自动确认用户外的编辑现在会先审核 )
- 有任何意见、建议、求助都可以在 讨论版 提出!
Help:如何访问H萌娘
- 在使用这些措施时请注意安全,以免账号、密码等个人信息泄露,并请特别提防钓鱼应用及代理节点,如果因使用这些措施导致自身利益受损本站概不负责。
- 在使用这些措施时请注意安全,以免账号、密码等个人信息泄露,并请特别提防钓鱼应用及代理节点,如果因使用这些措施导致自身利益受损本站概不负责。
2018年6月之后[1],旧H萌娘在中国大陆地区网际网路由于被GFW封锁而无法直接访问。
截至当前(2023年1月17日),本站尚未被封锁,但有极大概率在未来被封锁,因此本文是为未来准备,面向当前直接访问的读者。同时,本文中许多方法是通用的,对本站外的站点也可能适用。
远程代理(推荐)[编辑源代码]
通过至少一台境外服务器作为中转,并且在流量穿过GFW时进行加密/混淆,可以绕过GFW的检查以连接。 即使未被封锁,我们仍然推荐使用远程代理,原因是:
- 可以避免被意识到访问H萌娘;
- 可以隐藏自己的真实IP地址。
加密/混淆有许多协议,我们建议使用公开的、大量使用的协议以避免协议中可能存在的漏洞,如VMess、Shadowsocks、Trojan、WireGuard。
同时也建议使用开源的、大量使用的客户端,如V2Ray、Clash(需要注意其部分客户端是闭源的)、Shadowsocks、Trojan、WireGuard。
远程代理需要服务器节点,可以通过购买境外服务器自行建立,也可以购买现成的服务(也就是俗称的“机场”),或者在网上能搜集到一些公开的节点。
我们希望读者知道:
- 不要暴露自己的危险个人信息,如境内邮箱;
- 任何线上金钱交易都是易追踪的;
- 尽管本站进行了强制性加密(超文本传输安全协议,HTTPS),服务器节点仍然可以知道您访问了H萌娘。并且如果访问中浏览器出现证书错误等提示,或者页面停留在明文版而未跳转至加密版(即地址栏不以
https://
开头),说明连接极有可能已经受到了干扰,请停止访问,不要添加例外,以免传输的数据被窃听。
直接连接[编辑源代码]
使用直接连接方法前需要先调查GFW使用了何种检测/封锁方式,然后才能对症下药。有时是同时使用了多种检测/封锁方式,需要按照顺序检查并应用相应的对策。
DNS污染[编辑源代码]
浏览器在建立连接前,需要先将域名解析为IP地址,这是通过查询DNS服务器完成的,因此GFW可以返回一个错误的结果。
以Windows系统为例,在命令提示符中运行如下代码可以得到解析的IP地址:
nslookup hmoegirl.cyou
可以到如ip138等网站查询这一IP地址的归属,如果查到的是如Facebook等与H萌娘毫无关系的归属(当前H萌娘IP地址的归属是Cloudflare),说明遭到了DNS污染。
下面介绍DNS污染的解决方法。
修改hosts[编辑源代码]
通过修改系统中的hosts文件,可以直接告诉系统使用什么IP地址进行连接。
在此之前,需要先知道H萌娘的IP地址,可以在未被封锁的时候(也就是现在)记下这一IP地址,也可以通过其他工具查询,如观察[1]的境外结果。
然后用文字编辑器(如系统自带的Notepad,需要以管理员权限运行)在Hosts文件中加入:
自己查IP hmoegirl.cyou www.hmoegirl.cyou
关于Hosts文件的位置请参见: Hosts文件#平台差异
加密DNS协议[编辑源代码]
传统的UDP DNS是未加密的,因此很容易被修改。现在已经发展出了很多加密DNS协议,如DNS-over-HTTPS(DoH)、DNS-over-TLS(DoT)等。
新的系统或浏览器已经支持这些协议,可以自行修改这些设置。
加密DNS协议同样需要境外DNS服务器,这些DNS服务器有许多已经被封锁,因此本站不提供具体可用的加密DNS服务器。
可以自行搜索测试可用的加密DNS服务器。
SNI RST[编辑源代码]
在现在流行的TLS协议中,建立连接过程的client hello没有被加密,其中的server_name字段就是域名,易被识别,然后GFW会发出TCP RST以结束连接。
SNI RST最显著的表现是浏览器会提示类似于“无法建立安全连接”的错误。
如果您懂得如何抓包,可以观察到在客户端发出client hello后马上收到TCP RST(而不是正常的TLS错误)。
进一步地,可以往其他非正常境外IP地址发送client hello也会出现TCP RST。
下面介绍SNI RST的解决方法。
ECH(推荐)[编辑源代码]
为了解决TLS握手未加密的问题,互联网工程任务组(IETF)先是提出了Encrypted Server Name Indication (ESNI),然后又提出了Encrypted Client Hello (ECH) 作为TLS的一个新扩展。
目前,ECH尚未大规模应用,但本站的CDN提供商Cloudflare已经支持ECH,新的浏览器也开始支持,但可能需要手动开启,同时需要配合上文提到的境外DoH使用。请自行搜索自己浏览器的设置方法。
域前置[编辑源代码]
修改server_name为其他内容可以规避检测,但对于H萌娘,这受到了CDN提供商Cloudflare的一些限制。尽管有一些解决办法,但暂不公开以作为后备方法。
需要注意,许多域前置程序为实现起来简单直接忽略了对TLS证书的检查,这存在很大的安全隐患。应使用会检查TLS证书的程序。
HTTP/3[编辑源代码]
由于RST是基于TCP的(包括检测亦可能如此),而HTTP/3是基于UDP的,因此HTTP/3能避开目前的封锁。当前HTTP/3尚未大规模应用,但本站的CDN提供商Cloudflare已经支持HTTP/3,新的浏览器也开始支持,然而一般的浏览器并不倾向于直接使用,因此可以考虑强制HTTP/3。
TCB desync[编辑源代码]
通过修改TCP可以干扰GFW的检测。
TCPioneer / GhosTCP和phantomsocks实现了这一方法(亦使用了上文的一些其他方法)。
此外User:Izumi_Chino的[2]对hmoegirl.cyou进行了预配置。
需要注意:
- 修改TCP需要下到IP层操作,因为会涉及权限极高的内核模式程序,在使用前需要确认这些程序是否可信,同时也要提防可能的恶意程序利用这些程序;
- 原则上,可以知晓你正在使用这一技术,并仍可知晓你正在访问H萌娘。
IP层的封锁[编辑源代码]
如果(TCP甚至ICMP)ping不通本站,那么极有可能说明遭到了路由黑洞等IP层的封锁。IP层的封锁可能只是针对443端口的。
由于本站目前使用的Cloudflare CDN的任意免费版IP都可以作为edge IP,因此可以用其他Cloudflare CDN IP来替换。(似乎有些奇怪的问题,暂不明确)
最彻底的翻墙方法[编辑源代码]
- 搬到没有网络审查国家,远离审查制度。肉身出走说话就是硬气,
但不过国外对under14的内容审查比中国大陆严格很多 - 使用卫星网络进行国际联网(銥星等)按字节收费,还需另购地面接收器
- 买张中国大陆以外地区的手机卡(港澳都行,别问我为什么没有台,问就是+886要实名)但是会走三大运营商的基站,没准平子会从基站偷你数据包
其他方法[编辑源代码]
注释[编辑源代码]
- ↑ hmoegirl.com is 100% blocked in China. en.greatfire.org.