这不是在吓你——但如果你 4 月突然发现手边的科学上网软件断断续续、或者某个机场节点一夜全倒,你不是一个人。
4 月 11 日,Vision Times 曝光了一份中国电信业内部通知,内容直指要求三大电信运营商配合升级"封锁所有境外网络访问"的系统。几乎同一时间,NodeSeek、V2EX、Hacker News 上开始出现大量用户反馈:原本稳定用了两三年的 Shadowsocks、V2Ray、Trojan 节点,在 4 月中下旬集中出事。
这不是单次事件,是一场预谋已久的大清洗。
今天我用资安角度拆解:这波在抓什么?老牌协议为什么撑不住?你现在用的方式还能撑多久?
这波为什么跟以前不一样?
过去几年 GFW 的升级大概可以分成三个阶段:
阶段 1(2010-2016):黑名单为主
封特定 IP、封特定域名。你只要换个 IP、换个端口,通常就能继续用。
阶段 2(2016-2022):主动探测
GFW 会主动对你的服务器发几个"试探性"的请求,如果行为模式像某个已知科学上网协议,就封掉。这逼得圈子开发出 Shadowsocks AEAD、V2Ray mux、Trojan 等"更像 HTTPS"的协议。
阶段 3(2023 起):ML 流量指纹识别
这是 2026 年这波清洗的核心技术。GFW 不再只看"单次连接长什么样",而是用机器学习模型分析整条流的时序特征——你什么时候传多少数据、数据包大小的分布、连接的开关节奏。
每一种科学上网协议,用久了都会留下流量指纹——就像一个人的走路姿势,再怎么掩饰也有独特节奏。过去这个信息对 GFW 没用(数据量太大、算不动),现在有了足够的 GPU 和训练数据,它学会了。
结果就是:你用的是什么协议,对 GFW 已经不是秘密。
为什么 Shadowsocks、V2Ray、Trojan 这波集中倒?
这三个是过去十年中文科学上网圈最主流的三个技术。它们有个共同点:协议格式公开、实现稳定、用户量大。
这三个特征平常是优点,在 ML 检测面前却变成致命弱点:
1. 实现稳定 = 指纹稳定
如果一个协议的行为几年都没变,那它的流量特征就是固定的。ML 模型只要训练一次,就能识别几乎所有变体。
2. 用户量大 = 训练数据多
中国 GFW 不缺数据——它每天看着全国的流量,拿去训练自己的检测模型。用的人越多,模型学得越好。
3. 协议公开 = 研究者能帮忙训练
中国的学术单位有公开论文讨论"Shadowsocks 流量识别""V2Ray WebSocket 伪装检测"。这些研究成果最后都成了 GFW 的弹药。
为什么有些协议(暂时)还能撑?
你可能听过 Reality、uTLS、ECH、XHTTP 这些比较新的名词。它们还能用的原因可以归纳成三点:
1. 更彻底的 TLS 伪装
Reality 这类技术不是"伪装成 HTTPS",而是直接借用真实网站的 TLS 证书和指纹——当 GFW 要探测时,它实际上被路由到 Apple.com、Microsoft.com、Kakao.com 这种真实网站。要封它,GFW 就得连带封这些合法服务——政治成本太高。
2. 流量行为更接近真实浏览
XHTTP 等新一代传输层会把科学上网流量拆成"上行 + 下行"两个独立连接,时序特征更接近真实网页浏览。ML 模型要从几十万条合法 HTTPS 流里抓出异常,需要更多训练数据。
3. 持续演化
新协议的实现还在变化、还在优化。ML 模型今天学会的指纹,明天可能就不一样了。这是"跑赢"而不是"打赢"——不是永远安全,是比别的慢被抓。
但这里我要讲清楚一个重点:任何公开协议的寿命都是有限的。 用得越多、越久,越会被 ML 学会。今天 Reality 还撑得住,不代表明年还撑得住。这是一场没有终点的猫抓老鼠。
相关延伸:Claude Opus 4.7 发布:最强 AI 模型来了,但在大陆怎么用?
用户自保 Checklist:你现在该做什么
以下不是危言耸听,是这波清洗期真正会影响你的具体建议。
✓ 第一件事:换掉单点 VPN 方案
如果你只有一个节点、一个协议、一个 IP——在 2026 年这种环境下绝对不够。单点失效你就断线,而这一波的失效率很高。
正确做法:至少有 2-3 个不同路线的备援(比如主要用 A 方案,另外装 B 方案备用)。
✓ 第二件事:小心免费 VPN / 不知名机场
大清洗期间是免费 VPN 最危险的时候。为什么?
节点大量阵亡:免费 VPN 自己的基础设施最弱,这波死掉最多
钓鱼冒牌激增:有人看准用户找新工具的焦虑,做假 VPN 收账号/信用卡
数据泄漏风险:免费 VPN 背后商业模式大多是卖数据,现在卖得更狠
你的隐私值多少钱?免费的最贵。 详见 免费 VPN 有哪些风险。
✓ 第三件事:账号维护低调
很多人科学上网用 Google、ChatGPT、Claude 账号,最近出事的用户反馈中,"被平台风控封号"的比例上升。原因:
某些节点 IP 被服务商拉黑
频繁切换节点国家触发风控
付款信息和 IP 不一致被标记
建议:固定用一个方案,别一直跳节点;海外账号用海外 email + 海外手机号。
✓ 第四件事:重要数据本地备份
如果你靠科学上网访问 Google Drive、iCloud、海外云端,现在就开始把重要数据下载本地。不是说这些会死,是你连不上的那几天会很痛苦。
✓ 第五件事:别在这时候折腾自建
有些朋友看情况不对就想自己搭机场——现在是最坏的时机。
自建节点对 GFW 来说很好检测(单一 IP、单一用户特征、TLS 指纹固定),新手自建的节点可能 24 小时内就被封。除非你有时间长期研究、持续维护,不然这个坑很深。
这波会持续多久?
诚实讲:不会结束。
2026 年 4 月不是 GFW 最后一次升级——它是升级常态化的开始。过去几年是"每隔一段时间升级一次",现在是"持续不断地调整封锁规则"。你今天用的方式明天可能就不行,这是新常态。
所以真正的自保策略不是"找一个永远能用的软件"(不存在),而是:
保持信息敏感:追着看 NodeSeek、V2EX、我们这种持续追踪 GFW 的来源
多方案备援:一个方案不够,两个都不算多
用付费而非免费:免费服务没资源应对这种高强度清洗
选有在持续演化的软件:不是"稳定使用十年"那种老牌,是"会跟着 GFW 迭代"那种
(广告时间)
小鹿这个饭碗说老实话,就是靠推我们自家 APP 在吃的。但这篇文章我写得 80% 都是干货,结论也不是"快去买 Sunset",是"多备几个方案"。
Sunset Browser 是我们自己做的科学上网 APP,针对中国网络环境特别优化——这波清洗期间我们自己也在加紧迭代连接技术。打开 APP 一键连线,不用设置、不用研究。iOS 直接 App Store 搜"Sunset"下载。
好啦,广告结束,我们继续。
FAQ:这波你最常问的问题
Q:我用了三年都没事的节点突然连不上了,是怎么回事?
很可能是节点 IP 被这波清洗波及。第一步:联系你的服务商确认节点状态。第二步:如果对方也不知道,这个节点大概率已死,换服务商。
Q:我的 Shadowsocks 节点还能用,为什么?
几种可能:① 用了 ML 检测还没学会的变体(比如 SS + v2ray-plugin + 某些特殊路径);② 节点 IP 在"低风险 IP 池"(某些云服务商 IP 不好封);③ 单纯还没被巡查到。
但你要做好心理准备——还没死不代表不会死。
Q:VPN 跟机场有什么差?
简单讲:VPN APP 是成品(一键连),机场是节点订阅(需要你自己搭配客户端)。这波清洗对两者都有影响,差别是 APP 通常有客服会帮你处理、机场主要靠自己解决。
Q:商业 VPN(NordVPN、Surfshark)在中国能用吗?
国际商业 VPN 主攻全球市场,针对中国 GFW 环境的特化优化深度各家不一,稳定度需看用户当下实测反馈。清洗期间 GFW 持续调整规则,任何单一方案都建议搭配备援。各家实测比较详见 2026 中国 VPN 推荐。
Q:科学上网违法吗?会不会被抓?
个人使用目前执法上仍是灰色地带,但这波清洗伴随"抓自建""抓贩售"的新闻也变多。个人用户用公开商业 VPN 风险相对低,但绝不要:① 自建后贩售给他人;② 在公开论坛炫耀翻墙行为。详见 科学上网违法吗。
Q:如果我要离开中国一段时间,需要做什么?
把重要账号的双因素验证改到海外手机号 / Google Authenticator(不要只依赖中国手机号);把重要文件下载本地;先在中国境内测试一次备援方案能不能用。
总结
2026 年 4 月的这波清洗不是单次事件,是 GFW 进入 ML 检测时代的正式宣告。老牌协议(SS、V2Ray、Trojan)用户要心理有准备——不是今天失效,就是这一两年内。
自保的正确姿势是:
- 多方案备援,不把鸡蛋放一个篮子
- 拒绝免费 VPN 诱惑,这是最贵的省钱
- 选会持续演化的软件,不是十年没变过的老牌
- 账号维护低调,IP 固定、不乱跳国家
- 数据本地备份,不要 all-in 云端
这不是结束,是新常态的开始。
延伸阅读:
- 免费 VPN 安全吗?为什么免费的最贵
- 2026 中国科学上网 VPN 推荐
- 科学上网违法吗?法律风险一次说清
- 中资 VPN 有风险吗?如何判断 VPN 背景