背景: 我需要访问一个国外的网站,网站是 https 的。在 chrome 浏览器中直接访问,请求被 rst 了。通过 dig 命令查 DNS 解析,发现 ip 是正确的,也可以 ping 通。
操作: 我为 chrome 配置了 DoH ,服务商为 cloudflare ( https://dns.Cloudflare.com/dns-query ),这个时候访问正常了
求教: 这玩意儿的拦截是在哪里做的? (想不明白 dig 命令看 ip 是正确的,怎么浏览器加了个 DoH 就可以访问了)
1
israinbow 293 天前 via Android
你的 chrome 和你的 dog 用的是同一个 dns 么?
|
2
renfei 293 天前 2
HTTPS 握手时,会暴露 SNI 也就是域名,当发现在黑名单里的域名,立即阻断,就是连接被重置
|
3
cnbatch 293 天前
是哪个网站?
建议把网址发出来,大家可以直接分析原因 |
4
busier 293 天前 via iPhone
SNI 阻断啊
你有没有想过,不 DNS 解析了,直接在 hosts 表里面固定域名和 IP 对应关系后能不能访问? |
5
miaomiao888 293 天前
不发网址,最讨厌猜问题了。
有些 IP 虽然 443 进了黑洞但如果用传统的 ICMP 协议去 PING 其实是通的,需要用 TCPING 443 端口才有可能发现有没进黑洞。 你的问题可能解析的 IP 都是对的,但可能没用 DOH 时解析的 IP 进了黑洞而 DOH 解析的刚好没有。 |
6
jinliming2 293 天前 via iPhone
有没有一种可能,dig 用的系统 DNS 解析,返回的 IP 被 SNI 墙,ICMP 能通,TLS SNI 不通。
浏览器配置 DoH 之后,强制走了 DoH 来解析,Cloudflare 的 DNS 因为隐私问题所以不支持 EDNS Client Subnet ,解析到的 IP 和你 dig 的不一样,解析到一个没被墙的 IP ? |
7
fzh2055 OP 一个视频网站 www.zbkyy.com ,DNS 用得 8.8.8.8 ,dig 查出来 2 个 ip 和配置 DoH 后能够正常访问的网站 ip 一致。对了,俺是华数的网
有点不懂这玩意儿是哪里做的拦截,怎么配个 DoH 访问就 OK 了? @miaomiao888 @jinliming2 @israinbow @cnbatch |
10
miaomiao888 291 天前 1
chrome 上配置 DOH 似乎会同时使用 Encrypted ClientHello 加密 TLS 访问网站,这个功能目前是可以绕过 SNI 阻断。
|
11
cleanery 291 天前
不仅是 DoH 的功劳, 而是 ECS 被启用了
https://developers.cloudflare.com/1.1.1.1/faq/#does-1.1.1.1-send-edns-client-subnet-header |
12
fzh2055 OP |