CloudFlare 分配的IP 为.1结尾，在中国大陆被屏蔽的问题分析

IDCLAYER

大致分析推理的

结论：
这些屏蔽 是 Cloudflare 从路由层 主动屏蔽的， 不是G-F-W触发屏蔽的

测试了 从BGP路由层面主动屏蔽的，而且看IP结尾也能看出来  都是.1 结尾
高墙是自动化无序的 不可能按特定规则只屏蔽.1 豁免其它

我扫描了一下Cloudflare IP段上 反向解析的域名

Cloudflare现在把免费用户，按一些条件触发，给域名打 tag （大概这些 但是不是绝对）

1. 有一定访问流量
2. 黑名单违法关键词触发的域名
3. 涉及违反 - 中国法律的内容的域名，（不仅仅是中国，其它的也有 对应的IP池是其它数字结尾）


都自动解析和分配到被大陆屏蔽的IP段上了，就是在中国大陆无法直接访问
同一域名，换账户，新接入，可能临时分配的随机IP，触发上面那几个条件，但是一段时间还是会解析到这个屏蔽大陆的IP池


主要涉及的IP有

1. 104.21.16.1
   
2. 104.21.28.1
   
3. 104.21.32.1
   
4. 104.21.64.1
   
5. 104.21.80.1
   
6. 104.21.96.1
   
7. 104.21.112.1

复制代码

这些被屏蔽的IP段，特征都是以 .1 结尾     不同国家对应不同结尾


大致是这样
不清楚是为了提升业绩和获取更多付费用户 还是和中国执法机构合作推出的
（看最后 如果是和网信办合作的 那么域名名单就是网信办推送的，这个可能性不大 因为企业合规性问题 审计过不了）

貌似BC那些站群是重灾区


7月8日 补充下

官方的员工回答参考
https://community.cloudflare.com/t/issue-with-new-cloudflare-ips/758361

I believe you are able to use Bring Your Own IPs to Cloudflare to overcome this issue I must say it is an Enterprise-only feature.
意思是 需要升级企业套餐 并且广播自己的IP段 来解决该问题  否则没其它办法

利好CDN的公司 【笑哭】


7月10日补充 后续

问题分析  https://www.idctoutiao.com/i/7695.html

由论坛用户 @vancouver 提供
批量检测  https://www.idctoutiao.com/i/7786.html
可以批量检测Cloudflare账户下的域名 是否被解析到.1的IP池

迁移工具  https://www.idctoutiao.com/i/7784.html
注册新账户 把旧帐户的域名和解析记录，批量迁移到新账户
看概率会分配新IP，但是可能一段时间触发规则 又被解析到.1的IP池

dengdeng

还好不做国内用户

龟龟酱

我两个账号
一个账号是yandex邮箱 10个域名被分到.1了9个 唯一一个没被分上去的是我真的在用的（那9个都是开了cdn但是没有实际使用的）
一个账号是gmail邮箱 4个域名全部没事（4个域名都是在用的）
我咋感觉是闲置的域名反而更容易触发呢

我刚才还特地把一个闲置域名打开了CDN（早就NS在cloudflare 但是只用DNS 从来没有开过CDN）
然后发现也是.1 域名是test.usercontent.top 你可以查解析记录和作站历史 从未建站

IDCLAYER

生死看淡 发表于 2025-7-7 17:38
估计要Enterprise Plan付费版才能解决这个问题

很像是想逼退一些非法用户，这类很伤IP池的，封完了就歇菜了

b66667777

已阅

生死看淡

估计要Enterprise Plan付费版才能解决这个问题

叼爆小朋友

我很早注意到这个现象，是不是合作不知道，但是你说的没错，这种无法访问是路由层面的直接无法到达而不是被高墙的封锁，路由追踪发现ping数据包已经出墙，在距离节点倒数几跳那里失联，属于cf侧的限制行为。被cf有意为之做了空路由。但不是所有的域名都被绑定到这些空路由ip上面，很早注册的账号绑定的域名就没事，猜测cf可能有一种风控机制，对可疑账号分配空路由ip至于目的那就不知道了。

IDCLAYER

叼爆小朋友 发表于 2025-7-7 17:38
我很早注意到这个现象，是不是合作不知道，但是你说的没错，这种无法访问是路由层面的直接无法到达而不是被 ...

这个不是风控，风控不会仅针对特定类域名特定国家
数据包是Cloudflare丢弃的，和高墙无关

这个也不是空路由，空路由是IP直接无法访问 直接进黑洞
但是他这个.1的 IP 除中国大陆外 全部可以正常访问的  更像是 access rules  排除CN 如果是CN或者特定CN ASN 直接drop了，粒度也比较粗 整个CN

叼爆小朋友

IDCLAYER 发表于 2025-7-7 17:46
这个不是风控，风控不会仅针对特定类域名特定国家
数据包是Cloudflare丢弃的，和高墙无关

我觉得这个风控属于账号层面的，无关地区和特定域名。因为不是所有账号绑定域名都会被分配到这些大陆无法访问的ip。可能有什么触发条件。

Toools

有什么解决方法

WuZihan

挂了个探针也被分配到这个段上了

叼爆小朋友

Toools 发表于 2025-7-7 18:18
有什么解决方法

现在套优选ip可以绕过，但不排除以后cf会限制。