为什么管局拿不到我们真正的IEPL入口IP

第一章

管局是怎么查我们的？

管局调查VPN厂商，走的是一条阶梯式流程。他们从最简单的一步开始，每一步"走通"了就停下来，不会继续往下挖。理解这个逻辑，才能知道我们的防御为什么有效。

🎣

拿到订阅链接 (Sublink)

通过内鬼、钓鱼客服、网络爬虫、买小号，甚至派"水军"注册账户。
这是最常见的入口，成本极低。

📋

解析订阅，拿到节点列表

把订阅链接解码，看到里面藏着一堆节点域名或IP地址。
用任何sing-box / Clash客户端都能做到。

📁 结案！ ✅

连接节点 → 能翻墙 = 取证完成

找到一个能连上、能打开Google的节点。拍屏截图，写入报告。
大多数情况下，调查到这里就结束了。

🔬

Wireshark抓包 / 追真实IP / 报送通报

深度技术分析，追溯服务器真实架构，上报给上级部门。
几乎从不走到这一步 🚫

🎯 关键洞察：他们走到第3步就结案了 —— 因为KPI只要求"找到能用的节点并取证"，
不要求"挖出整个机房架构"。 这就是我们防御的核心入手点。

第二章

传统厂商的弱点

大多数VPN厂商的节点直接写真实IP，订阅一旦泄露，整条线路就彻底暴露。

🕵️

管局取到订阅

→

📋

解析节点列表

→

⚠️ 真实IP直接暴露

🏢

IEPL真实IP

203.0.113.42

→

💥

报送封锁

线路报废

传统做法的致命缺陷：真IP直接写在订阅里，拿到订阅就等于拿到真IP，一封就全毁。

①

🕵️ 管局买到一个账号，下载订阅链接 → 节点列表里全是真实IP

②

📡 连接其中一个节点，打开谷歌，截图取证 → ✅ 证据到手

③

📝 报告写上："IP地址 203.0.113.42，经核实可访问被封网站，建议封锁"

④

💥 整个IEPL线路报废 —— 所有客户断线，损失无法估量

第三章

我们的双层防御架构

核心思路：让管局在第一层就"成功"，他们满足了，自然不会继续挖到第二层。
真正的IEPL入口IP，从未出现在任何明文里。

管局拿到的订阅里，看到的是这些：

订阅节点列表 (管局可见)

🍯 free-node-1.example.com 蜜罐节点公开免费节点，能翻墙

🍯 free-node-2.example.com 蜜罐节点公开免费节点，能翻墙

🔒 premium.example.net 真IEPL域名只是域名，真IP藏在加密DNS里

当有人查询 premium.example.net 这个域名时：

🕵️

管局 / 陌生人

用自己的DNS去查

→ 返回 🍯 蜜罐IP

或者：查不到(NXDOMAIN)

🛡️

自建DNS服务器

识别请求者身份
智能分流返回

DoH/DoT 加密传输

👤

我们的真实客户

用我们指定的加密DNS查

→ 返回 🚀 真IEPL IP

203.0.113.42 (举例)

两个世界同时发生的事情：

👮 管局的世界

①

拿到订阅，发现里面有 free-node-1/2 (蜜罐) 和 premium.example.net

②

连接蜜罐节点 → 能翻墙 → 截图 ✅

③

用自己的DNS查 premium.example.net → 返回蜜罐IP

④

连接蜜罐IP → 也能用 → 取证完成

⑤

📁 结案 — 他们满意了，走了，永远不知道真IEPL的存在

🚀 真实客户的世界

①

客户端配置里指定了我们的加密DNS服务器 (DoH)

②

查询 premium.example.net → 走加密通道 → 返回真实IEPL IP

③

直连 203.0.113.42 (真IEPL入口) → 500M专线

④

视频秒开，延迟极低，体验完全不受影响

⑤

🚀 稳定运行 — 全程加密，真IP从未暴露

第四章

为什么管局不会更深挖？

我们防御的本质，是利用了对方的组织行为规律，而不是单纯的技术对抗。下面三点解释了为什么这个设计在现实中行得通。

👮

KPI驱动

他们每天要排查几百家VPN服务，绩效指标是"取到能翻墙的节点证据"。蜜罐节点完全满足这个要求，让他们的报告写得漂漂亮亮。

💸

成本不对称

Wireshark深度抓包分析一家，要花几个小时，还需要专业技术人员。 他们没有这个时间和预算来针对每家厂商这样做。

📜

流程思维

调查员是走标准流程的公务员，不是主动攻击的黑客。流程走到"取证成功"节点就终止，不会自发地去做流程之外的深度溯源。

💡 简单说就是这个比喻： 管局查订阅，就像小偷想撬保险箱。我们在门口放了一个装着少量"假钱"的旧钱包（蜜罐节点）。小偷看到钱包，拿走，满足了，就不再管里面真正的保险箱在哪里了。让对方"提前满足"，才是最高效的防御。

第五章

加密DNS是什么？
DoH / DoT 一句话解释

了解这个背景，能帮助理解为什么管局的中间监听完全看不到我们的真实IP解析。

📮

普通DNS（未加密）

📮

👁️

就像寄明信片 —— 路上任何人拿起来都能看到内容。

管局只要架设中间设备，就能看到你在查哪个域名、解析到什么IP。

❌ 真IP全程可被截获

📦

DoH / DoT（加密DNS）

📦🔒

👁️

就像放进上锁的密封快递箱 —— 中途无论谁拿都打不开，只有收件人能解锁。

DNS查询走 HTTPS加密通道，中间无法看到解析内容。

✅ 全程加密，真IP对外不可见

🔑 DNS解析过程全程加密 → 中间没人能偷看查的是什么域名 → 真IP彻底不暴露

📌 术语简注
DoH (DNS-over-HTTPS) — DNS解析请求通过HTTPS加密传输，与普通网页请求完全相同，无法区分或过滤。
DoT (DNS-over-TLS) — DNS解析请求通过TLS加密连接传输，同样无法被中间人监听内容。
两者都能有效防止DNS解析结果被第三方截获。

第六章 · 附加价值

顺带解决了 DDoS攻击问题

自建DNS套在阿里云盾或腾讯云WAF后面，攻击者打过来，先打到大厂的防护层，我们的DNS服务器和真实IEPL入口都在后面，完全安全。

💣

DDoS攻击者

发起大流量攻击

→

🛡️

阿里云盾

腾讯云CDN

✅ 抗T级流量

→

🔒

自建DNS

真IEPL后端

✅ 安全无虞

☁️ 大厂CDN前置

阿里云/腾讯云一年几十块，就能获得T级DDoS防护能力，远超自建防护的性价比。

🔗 真实入口永不暴露

即使CDN前置IP被攻击，切换CDN节点后，真实IEPL入口IP依然没有泄露。

总结

两个世界，各取所需

我们的架构设计了两个平行的"现实"——管局看到的和客户体验到的，完全不同。

👮 管局看到的世界

🍯 订阅里有几个免费/共享节点 → 能连 → 能翻墙

✅ 取证成功，KPI完成，报告提交

🚶 满意离去，认为任务圆满

❓ IEPL真实入口IP？从未出现在视野里

🚀 真实客户的世界

🔒 加密DNS解析 → 拿到真实IEPL入口IP

⚡ 直连500M专线 → 极低延迟，视频秒开

🛡️ 全程加密传输，防监听，防溯源

😌 稳定运行，不受管局查订阅的影响

"我们的核心策略不是藏得更深，
而是让他们提前满足。"

蜜罐节点是专门准备的"诱饵"，让调查流程在到达真IP之前就画上句号。
自建加密DNS是确保真IP永远不出现在明文里的技术保障。
两层配合，构成了稳健的防御体系。

架构全览