部分 Cloudflare 的域名近期在大陆无法访问

老号，同一个账号，一个域正常另一个被解析到.1 了，现在我把有问题的 A 域 cname 到正常的 B 域上，然后 B 再指解析到服务器开小黄云，凑合用。

@villivateur https://www.cloudflare.com/zh-cn/learning/ddos/dns-amplification-ddos-attack/

@383394544 我能理解这个，但是 GFW 并不是一个 DNS 服务器啊

我的已经中招 不知道怎么处理了

实测交钱立即解决……

@Ghonewyn 管理账户 审核日志，慢慢翻。操作是 Purge 用户是你 域是你的域名
Cloudflare Purge 掉域名是精准的一个星期（ 604800 秒），所以你只需去卡着点在删除域名之后等一个星期再加就行，再不行就删了再等一个星期。（ Cloudflare 原文： https://developers.cloudflare.com/dns/zone-setups/removal/）

Cloudflare 的免费 IP 段在大部分地区只有 104.21.0.0/17 ，172.67.128.0/17 ，2606:4700:3030::/44(可能更小/45)，你们说的 104.21.16.1/2606:4700:3030::6815:1001 等 IP 都在这段里，和其他的免费 IP 是一个路由，不存在劣化也没有优化，部分 ISP （已知台湾/匈牙利）因为网络费用问题，即使本地有节点，依旧会绕道其他地区。
Cloudflare Pages 的 IP 段为 172.66.44.0/22 ，2606:4700:310c::/48 ，这段 IP 路由比其他免费 IP 段好，几乎可以等价于付费计划 IP 段，所以自古以来有不 proxy Pages 的说法。
现在强推的 Workers ，即使拥有 Pages 的全部功能，但是 IP 和免费 IP 段是一个池，所以路由不怎么样。
在少数地区（如 EU ，CA ）会对部分域名响应为地区特供的 IP （ 188.114.96.0/23 ，2a06:98c1:3120::/47 ，172.64.80.1 ，2606:4700:130:436c:6f75:6466:6c61:7265 ），其他的地区还是普通的免费 IP 段，对地区有优化。但是众所周知在某些国家/地区也有 IP 墙，所以之前乌克兰喜闻乐见的墙了 188.114.96.3/188.114.97.3 ，优化变成了连不上。
104.21.16.1/2606:4700:3030::6815:1001 等 IP 对任何用户都有可能分配，不管你是什么账号，真要滥用 Cloudflare 会在 dashboard 直接封你域名/封号了，不会给你机会分你几个垃圾 IP 。

综上，Cloudflare 对部分免费套餐分配这 14 个 IP 可能的原因只有这几个：
1.Cloudflare 对于用户流量的优化，某些数据中心天天炸上天，方便负载均衡，但是好巧不巧有些地区墙 IP ，全部挤在一个 IP 是大忌，于是非常不幸的变成了劣化。
2.Cloudflare 经常使用免费用户测试新功能，这只是某个新功能的一部分，反正不保证 SLA ，使劲造就完事了。
3.Cloudflare 对墙 IP 的一种反击，他们在 blog 中不止一次提到过墙 IP 的坏处，分配同样的几个 IP 非常容易被某些地区墙掉，反正免费计划没有 SLA ，他们会帮 Cloudflare 杠的。

@villivateur 你要收到 DST 的回应你本地才会显示，如果 DST 禁 ping 那首先回应根本就不存在，这是一个主动行为，如果没有禁 ping 那数据包是在回应你的途中也就是回程被 GFW 吃了，这是一个被动行为。

GFW 是不是一个 DNS 服务器这件事上，按严谨的定义来说，它不是，但是生活中很多事情都这样，我们对于什么是什么的定义也主要看它的行为，比如说核酶 RNA 曾经被认为是纯信息分子，但是后来发现 RNA 也能催化反应，病毒也曾被认为只是毒素，后来也被发现它是带有遗传信息的颗粒实体复制子，它们外表的行为被人一半误解，实际上实现的功能确实被人类猜对了，如果你把 DNS 服务器的简单解析一下，就是 Client ?A www.google.com -> Server www.google.com A = x.x.x.x -> Client ，GFW 的作用就是中间人，在 Server -> Client 这个过程中劫持了这个响应，然后伪造了虚假的 DNS 数据包，以前 GFW 算力不够，在目标回答后再被动劫持经常会漏包，于是改为了主动劫持，结果还没加判断方向，导致外来请求也会被劫持，现在加了判断方向，只有来自内地的流量出去才会被篡改，来自海外的流量如果国内没有响应则不会被篡，这么说来其实伊朗整个国家都是巨大的流量放大器，而且还是双向的，如果海外来的请求会篡改然后回复，境内的请求也会篡改然后回复。

对于拥有 GFW 的国家来说，整个国家既是对于全世界的放大器，全世界也是对于整个国家的放大器。

举几个例子：

1.1.1.1 = Real dns, outside of the country, will reply
6.6.6.6 = Fake dns, outside of the country, random IP in the world, won't reply

伊朗双向：
Client IR ?A blocked_domain.com -> GFW (e.g. 1.1.1.1) -> Client IR A = 10.10.34.35
(Real dns, will reply, but hijacked PRE-reply)

Client IR ?A blocked_domain.com -> GFW (e.g. 6.6.6.6) -> Client IR A = 10.10.34.35
(Fake dns, won't reply, but still hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. IR DNS) -> Client EU A = 10.10.34.35
(Real dns, will reply, but hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. Random IR IP) -> Client EU A = 10.10.34.35
(Fake dns, won't reply, but still hijacked PRE-reply)

中国单向：
Client CN ?A blocked_domain.com -> GFW (e.g. 1.1.1.1) -> Client CN A = 31.13.106.4
(Real dns, will reply, but hijacked PRE-reply)

Client CN ?A blocked_domain.com -> GFW (e.g. 6.6.6.6) -> Client CN A = 31.13.106.4
(Fake dns, won't reply, but still hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. CN DNS) -> Client CN A = 31.13.106.4
(Real dns, will reply, but hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. Random CN IP) -> Client CN no reply
(Fake dns, won't reply, no hijacked PRE-reply)

无墙，如欧洲：
Client EU ?A blocked_domain.com -> Router (e.g. 1.1.1.1) -> Client EU A = 1.1.1.1
(Real dns, will reply, normal reply)

Client EU ?A blocked_domain.com -> Router (e.g. 6.6.6.6) -> Client EU A = timed out
(Fake dns, won't reply, no reply)

Client EU ?A blocked_domain.com -> GFW (e.g. CN DNS) -> Client EU A = 31.13.106.4
(Real dns, will reply, but hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. IR DNS) -> Client EU A = 10.10.34.35
(Real dns, will reply, but hijacked PRE-reply)

Client EU ?A blocked_domain.com -> GFW (e.g. Random CN IP) -> Client EU A = timed out
(Fake dns, won't reply, no reply)

Client EU ?A blocked_domain.com -> GFW (e.g. Random IR IP) -> Client EU A = 10.10.34.35
(Fake dns, won't reply, but still hijacked PRE-reply)

@jieyitang 真详细！谢谢！

现在正常，blog 解析到 x.x.x.155

上海电信貌似已放出 .1
凌晨都还不通的

gfw 好像开始解封了

联通和电信似乎都正常了

域名被分配到了.1 了，不过还可以正常访问。
感觉免费的就很可能会被分配过去，我从来没有用任何域名+cf 做过代理等滥用的情况，也不是新号

刚刚测试，恢复了

刚才测试，虽然还是 .1 结尾的 IP ，但和之前情况差不多了。

/t/1137482
30 多天前就开始了

@NSAgold traceroute 時在每一跳的路由器發的, 並不代表沒有將

*牆

CF CDN 可以用 2053,2083,2087,2096,8443 端口

@asshell 其实去年底就开始了，现象就是分配的 ip 移动用户全部连不上