Help:如何访问H萌娘

H萌娘,万物皆可H的百科全书!
(重定向自Help:如何访问hmoe
跳到导航 跳到搜索
Icon-info.png
  • 在使用这些措施时请注意安全,以免账号、密码等个人信息泄露,并请特别提防钓鱼应用及代理节点,如果因使用这些措施导致自身利益受损本站概不负责。
  • 在使用这些措施时请注意安全,以免账号、密码等个人信息泄露,并请特别提防钓鱼应用及代理节点,如果因使用这些措施导致自身利益受损本站概不负责。
Across the Great Wall, we can reach every corner in the world.
——中国大陆的第一封电子邮件

2018年6月之后[1],旧H萌娘在中国大陆地区网际网路由于被GFW封锁而无法直接访问。
截至当前(2023年1月17日),本站尚未被封锁,但有极大概率在未来被封锁,因此本文是为未来准备,面向当前直接访问的读者。同时,本文中许多方法是通用的,对本站外的站点也可能适用。

远程代理(推荐)[编辑源代码]

通过至少一台境外服务器作为中转,并且在流量穿过GFW时进行加密/混淆,可以绕过GFW的检查以连接。 即使未被封锁,我们仍然推荐使用远程代理,原因是:

  • 可以避免被意识到访问H萌娘;
  • 可以隐藏自己的真实IP地址。

加密/混淆有许多协议,我们建议使用公开的、大量使用的协议以避免协议中可能存在的漏洞,如VMess、Shadowsocks、Trojan、WireGuard。 同时也建议使用开源的、大量使用的客户端,如V2Ray、Clash(需要注意其部分客户端是闭源的)、Shadowsocks、Trojan、WireGuard。
远程代理需要服务器节点,可以通过购买境外服务器自行建立,也可以购买现成的服务(也就是俗称的“机场”),或者在网上能搜集到一些公开的节点。 我们希望读者知道:

  • 不要暴露自己的危险个人信息,如境内邮箱;
  • 任何线上金钱交易都是易追踪的;
  • 尽管本站进行了强制性加密(超文本传输安全协议,HTTPS),服务器节点仍然可以知道您访问了H萌娘。并且如果访问中浏览器出现证书错误等提示,或者页面停留在明文版而未跳转至加密版(即地址栏不以https://开头),说明连接极有可能已经受到了干扰请停止访问,不要添加例外,以免传输的数据被窃听。
当您在访问经过超文本传输安全协议加密的页面时,地址栏中应当出现一个锁形图标。

直接连接[编辑源代码]

使用直接连接方法前需要先调查GFW使用了何种检测/封锁方式,然后才能对症下药。有时是同时使用了多种检测/封锁方式,需要按照顺序检查并应用相应的对策。

DNS污染[编辑源代码]

浏览器在建立连接前,需要先将域名解析为IP地址,这是通过查询DNS服务器完成的,因此GFW可以返回一个错误的结果。
以Windows系统为例,在命令提示符中运行如下代码可以得到解析的IP地址:

nslookup hmoegirl.cyou

可以到如ip138等网站查询这一IP地址的归属,如果查到的是如Facebook等与H萌娘毫无关系的归属(当前H萌娘IP地址的归属是Cloudflare),说明遭到了DNS污染。
下面介绍DNS污染的解决方法。

修改hosts[编辑源代码]

通过修改系统中的hosts文件,可以直接告诉系统使用什么IP地址进行连接。
在此之前,需要先知道H萌娘的IP地址,可以在未被封锁的时候(也就是现在)记下这一IP地址,也可以通过其他工具查询,如观察[1]的境外结果。 然后用文字编辑器(如系统自带的Notepad,需要以管理员权限运行)在Hosts文件中加入:

自己查IP hmoegirl.cyou www.hmoegirl.cyou

关于Hosts文件的位置请参见: Hosts文件#平台差异

加密DNS协议[编辑源代码]

传统的UDP DNS是未加密的,因此很容易被修改。现在已经发展出了很多加密DNS协议,如DNS-over-HTTPS(DoH)、DNS-over-TLS(DoT)等。 新的系统或浏览器已经支持这些协议,可以自行修改这些设置。
加密DNS协议同样需要境外DNS服务器,这些DNS服务器有许多已经被封锁,因此本站不提供具体可用的加密DNS服务器。 可以自行搜索测试可用的加密DNS服务器。

SNI RST[编辑源代码]

在现在流行的TLS协议中,建立连接过程的client hello没有被加密,其中的server_name字段就是域名,易被识别,然后GFW会发出TCP RST以结束连接。 SNI RST最显著的表现是浏览器会提示类似于“无法建立安全连接”的错误。 如果您懂得如何抓包,可以观察到在客户端发出client hello后马上收到TCP RST(而不是正常的TLS错误)。 进一步地,可以往其他非正常境外IP地址发送client hello也会出现TCP RST。
下面介绍SNI RST的解决方法。

ECH(推荐)[编辑源代码]

为了解决TLS握手未加密的问题,互联网工程任务组(IETF)先是提出了Encrypted Server Name Indication (ESNI),然后又提出了Encrypted Client Hello (ECH) 作为TLS的一个新扩展。
目前,ECH尚未大规模应用,但本站的CDN提供商Cloudflare已经支持ECH,新的浏览器也开始支持,但可能需要手动开启,同时需要配合上文提到的境外DoH使用。请自行搜索自己浏览器的设置方法。

域前置[编辑源代码]

修改server_name为其他内容可以规避检测,但对于H萌娘,这受到了CDN提供商Cloudflare的一些限制。尽管有一些解决办法,但暂不公开以作为后备方法。
需要注意,许多域前置程序为实现起来简单直接忽略了对TLS证书的检查,这存在很大的安全隐患。应使用会检查TLS证书的程序。

HTTP/3[编辑源代码]

由于RST是基于TCP的(包括检测亦可能如此),而HTTP/3是基于UDP的,因此HTTP/3能避开目前的封锁。当前HTTP/3尚未大规模应用,但本站的CDN提供商Cloudflare已经支持HTTP/3,新的浏览器也开始支持,然而一般的浏览器并不倾向于直接使用,因此可以考虑强制HTTP/3。

TCB desync[编辑源代码]

通过修改TCP可以干扰GFW的检测。 TCPioneer / GhosTCPphantomsocks实现了这一方法(亦使用了上文的一些其他方法)。
此外User:Izumi_Chino[2]对hmoegirl.cyou进行了预配置。 需要注意:

  • 修改TCP需要下到IP层操作,因为会涉及权限极高的内核模式程序,在使用前需要确认这些程序是否可信,同时也要提防可能的恶意程序利用这些程序;
  • 原则上,可以知晓你正在使用这一技术,并仍可知晓你正在访问H萌娘。

IP层的封锁[编辑源代码]

如果(TCP甚至ICMP)ping不通本站,那么极有可能说明遭到了路由黑洞等IP层的封锁。IP层的封锁可能只是针对443端口的。
由于本站目前使用的Cloudflare CDN的任意免费版IP都可以作为edge IP,因此可以用其他Cloudflare CDN IP来替换。(似乎有些奇怪的问题,暂不明确)

最彻底的翻墙方法[编辑源代码]

  • 搬到没有网络审查国家,远离审查制度。肉身出走说话就是硬气,但不过国外对under14的内容审查比中国大陆严格很多
  • 使用卫星网络进行国际联网(銥星等)按字节收费,还需另购地面接收器
  • 买张中国大陆以外地区的手机卡(港澳都行,别问我为什么没有台,问就是+886要实名但是会走三大运营商的基站,没准平子会从基站偷你数据包

其他方法[编辑源代码]

注释[编辑源代码]