V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linbenyi
V2EX  ›  宽带症候群

家庭宽带 私设 web 被检测 魔都电信被停宽带

  •  
  •   linbenyi · 2019-10-13 11:13:29 +08:00 via iPad · 131794 次点击
    这是一个创建于 1869 天前的主题,其中的信息可能已经有所发展或是发生改变。
    10 月 11 日,被停宽带,但未收到任何通知。
    10 月 13 日,一万号,存在违规,表示电话不可解,告知去营业厅可解。
    10 月 13 日,去地方营业厅。存在私设 web 服务器,告知需要各区一级营业厅可解。
    10 月 13 日,随驱车 20km,去区域一级营业厅。告知上级通知未下。等领导指示,四十分钟后,告知等地方营厅通知,会有专人上门检查整改,并签订整改协议书,请,回家等消息。
    第 1 条附言  ·  2019-10-16 14:40:24 +08:00
    在等待电信运营商发落的同时,本人也展开了相关法律的学习。
    私设 web 服务导致,可能触犯协议或法规相关条款,进行明晰。
    但是具体的细则判定标准肯定不能在这类方向性的文件里面找到。
    具体情况可能还是扑朔迷离。
    《中国电信股份有限公司上海分公司业务服务协议》
    https://service.sh.189.cn/service/jsp/fault/fwxy.jsp
    《关于防范打击通讯信息诈骗专项行动延期有关工作的通知》
    http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c4770041/content.html
    《中华人民共和国反恐怖主义法》
    http://www.gov.cn/zhengce/2015-12/28/content_5029899.htm
    第 2 条附言  ·  2019-10-17 14:48:57 +08:00
    10 月 17 日 楼主像一个幽怨的小家碧玉,既想着恢复宽带,又不愿意自己再去多问。
    不过,但今天已经忍不了。随再往营业厅询问。顺便吐槽下营业厅的电话是万年不通的。
    营业厅一改一周前的一问三不知。很快就把区域局的相关负责人的电话给了我。
    还故作神秘的小声的问“我最近来问这个的人很多,到底是什么违规啊?”
    我耸耸肩又清了清嗓子回答他“私设 web 服务器”。

    10 月 17 日 来到的区域局,被两位区域局的工程师招待。出示身份证后,他们打印了签字的材料。
    告知我签字后一个工作日便可恢复。如若再犯将被永久封禁处理。
    一份告知“断网”,一份承诺“永不再犯”。随嘱咐我立即关停相关服务,开通过后会立即做检查。由于工作在身,签完便离去了。

    我注意到,电脑屏幕上显示有一张名单,分别包括“域名:端口”“设备号”“户主姓名”等等。但并没有联系方式。
    虽然两位工程师没有明确回答我探查到我私设 web 的具体方法,但仅从屏幕其中我找到可能的两个结论:
    1.如此看来本想着会主动联系我这一点从现实层面就是不可能的了。
    2.域名为我未备案的 威联通 .com 域名。端口为我开的非标准低端口。如此一来明确了。主要针对未备案的 DDNS 人群的事实。

    另外技术人员向我提供了一定要使用服务的“暂时合规的途径”
    1.申请固定 IP 地址。
    2.域名有备案。

    另外还有询问相关规定的参照,回答是“此规定下文时间是 2017 年,本次是首次对违规宽带进行查封”。
    第 3 条附言  ·  2019-10-19 20:31:04 +08:00
    10 月 18 日,自此家庭宽带又重新开通了。光猫的宽带灯又亮了起来。
    十分感谢献计献策的 V2er 的陪伴,一起开脑洞,一起讨论解决的途径,一次尝试探索政策的迷雾。
    无疑本次题主我的过失是重大的。在违反宽带服务的条例,想着方便分享文件就私自开设 web 服务。在这难熬一周期间我也做了深刻的反省。
    对于未来的应对对策,我也想了很多,毕竟拉专线来家里固定 IP 实在是消受不起。我想也没有家庭会这么做的。

    1.所有 NAS 的相关端口都不在光猫做转发。
    2.由于部分应用任然是难以割舍的。我已将威联通的.com 域名转换为了.cn 域名。实名认证过的花生壳照旧。
    3.要开端口的应用也会用 FRP 穿透放到我的主机上面。到时候解析的域名也会放过去。不知道有没有带宽 /价格相对划算的主机商。哪怕限制流量也可以比如哲西那样的。

    在私设这一尺度上 V2er 讨论非常热烈,真的不希望各位再做非常不利的揣测,毕竟这也不符合事实。很多事情遇到就遇到了,大家走一步看一步吧。
    432 条回复    2024-06-10 23:01:41 +08:00
    1  2  3  4  5  
    ravanelli
        201
    ravanelli  
       2019-10-15 20:04:38 +08:00 via Android
    @txydhr 并不是用手机直接 dns 解析,访问只用 ip,用国外的 ddns,去控制台里看 ip
    lydasia
        202
    lydasia  
       2019-10-15 20:16:00 +08:00
    @txydhr 折腾了半天,我现在还是把我暴露在公网的 web 都关了,用隧道访问,不管它解析,证书还是 sni ;所以前面有个人说了,政策说的是“网页弹出”,意思就是基于 http 基础服务的没问题,网页的,不行;可能是文下来了,上海电信先负责“研发”一下侦测系统吧。。
    txydhr
        203
    txydhr  
       2019-10-15 20:17:58 +08:00 via iPad   ❤️ 1
    ravanelli
        204
    ravanelli  
       2019-10-15 20:18:47 +08:00 via Android
    @justs0o 结合客户经理要求取消域名绑定和咨询到的政策应该是说绑了域名又开 http 不行,不绑域名可以
    jiangyang123
        205
    jiangyang123  
       2019-10-15 20:19:29 +08:00
    目前只能先关掉了,如果设备有防火墙的话,可以考虑开白名单 ip
    ravanelli
        206
    ravanelli  
       2019-10-15 20:26:57 +08:00 via Android
    @txydhr 里面说 ddns 有备案就可以?我用的花生壳查了下有备案的
    Zyugalev
        207
    Zyugalev  
       2019-10-15 20:33:59 +08:00
    看下云南普洱封号那事,应该是有关联的
    Zyugalev
        208
    Zyugalev  
       2019-10-15 20:36:21 +08:00   ❤️ 1
    上海电信给出的宽带封停通知单上也说的是:打击通讯信息诈骗工作
    近期应该是有此专项行动
    Unknowncheats
        209
    Unknowncheats  
       2019-10-15 20:44:04 +08:00 via Android
    @txydhr 其實都是一個 vpn 能解決
    Jirajine
        210
    Jirajine  
       2019-10-15 21:16:45 +08:00 via Android
    @Redmi2020 意思是绑定 ddns (无论是否备案)的 Web 服务(即使是 nas 和 luci )都会被禁止吗?

    如果绑定了域名,直接手动查询域名用 IP 访问就没问题?

    或者没绑定域名,但随便写了个域名在 hosts,用这个域名访问是否可以?

    如果绑了 ddns,并通过域名使用非 Web 服务( openVPN,socks,ssv2 等代理,ftp,或基于 http 协议的 api )是否可以?

    以上全部指高位非常用端口
    txydhr
        211
    txydhr  
       2019-10-15 21:23:47 +08:00
    @Jirajine 关键是绑定了域名他就可以通过输网址的方式打开网页,哪怕是 403,所以感觉只要有域名指向你家 ip,而你家又开了 web 就 gg。
    Jirajine
        212
    Jirajine  
       2019-10-15 21:33:21 +08:00 via Android
    @txydhr 1 会被封应该是确定的,我列 2 和 3 的用意是:
    如果 2 可以 3 不行那就得嗅探你的流量发现的
    如果 2 不行 3 可以那就是 ns 反查家宽 IP 段发现的

    输网址是不能直接打开的,因为是高位端口。所以他还得查日志或端口扫描。
    而且除非你用 ISP 的 DNS,否则他得知域名就表明他进行了反查。
    并且如果他反查得知域名了,是否会放过非 Web 服务?
    txydhr
        213
    txydhr  
       2019-10-15 21:39:05 +08:00
    @Jirajine 非 web 服务目前没事,web 通过域名无论哪个端口都不行,
    如何防止被查到的只是为了打游击而已,本质上还是不行
    cwbsw
        214
    cwbsw  
       2019-10-15 21:57:35 +08:00
    @Jirajine
    用户自己怎么做 IP 反解,不做反解怎么从 IP 查域名?
    Jirajine
        215
    Jirajine  
       2019-10-15 22:01:04 +08:00 via Android
    @txydhr @cwbsw
    总而言之,在有私用 Web 服务的情况下,是不允许 IP 绑了域名(即使不通过域名访问),还是不允许头里有域名的 http 流量(即使域名不存在,是写到 hosts 里的)
    cwbsw
        216
    cwbsw  
       2019-10-15 22:04:45 +08:00
    @Jirajine
    为域名添加正向解析记录又不会自动为 IP 添加反向解析记录。
    alfawei
        217
    alfawei  
       2019-10-15 22:37:58 +08:00 via Android
    @txydhr 我的也是 地址上海浦东电信,我遇到了 4 次 然后我换了 5000 端口 没有了
    txydhr
        218
    txydhr  
       2019-10-15 23:26:42 +08:00
    @Jirajine
    @cwbsw
    不知道啊,感觉是从访问流量和 dns 记录来分析,可能会访问下域名进行验证。不过如果这种方法的话,岂不是任何人都可以随便搞个域名指向你
    另外也不知道备案域名可不可以,还是所有域名通杀
    ftr
        219
    ftr  
       2019-10-16 02:04:21 +08:00 via iPhone   ❤️ 3
    随便说几句

    假设我们排除电信会去调取各家 dns 二级域名数据来扫描。也假设电信不会使用爬虫去爬其他地方指向你 web 的 link。

    那么电信只能从不加密的明文 http 包中来发现是否绑定域名。请关闭所有明文 http 访问。

    如果所有 web 服务开启 ssl 则可以有效避免被中间人窥探到域名接入。

    再退一步,如果电信对你做全端口扫描发现了 https 服务以及所有提供 https 服务的端口号,那么你应该对 https://你的 ip:所有端口 / 的主机做 403 or 404 强制返回。

    以上说法仅为了技术交流。切勿用于任何违法中华人民共和国法律的用途
    zhucegeqiu
        220
    zhucegeqiu  
       2019-10-16 07:04:23 +08:00 via iPhone
    我现在是高位端口,caddy 反代,只能 https 访问,阿里云的域名,实名但没备案,dnspod 的解析,暂时还没被封
    txydhr
        221
    txydhr  
       2019-10-16 08:26:03 +08:00 via iPhone
    @ftr 403 也算的,https 不能隐藏主机名
    tankren
        222
    tankren  
       2019-10-16 08:29:20 +08:00
    我以前都是用 pfsense 的 HAproxy 反代 https,但是自从前段时间封了 443 端口已经不能从外网访问了。。应该无影响,什么都打不开
    justs0o
        223
    justs0o  
       2019-10-16 09:28:15 +08:00
    cwbsw
        224
    cwbsw  
       2019-10-16 09:47:23 +08:00   ❤️ 1
    其实要限制这个直接把公网 IP 取消不就完了,为什么要这么折腾。
    alphatoad
        225
    alphatoad  
       2019-10-16 09:51:34 +08:00
    @ftr ssl 是可以看到 sni 的,encrypted sni 目前不成气候
    wwbfred
        226
    wwbfred  
       2019-10-16 10:05:18 +08:00
    DDNS 封个卵.怎么知道你用了 DDNS 了?
    是监控所有提供 DDNS 服务的域名,还是检测所有的 DNS 请求?
    learningman
        227
    learningman  
       2019-10-16 10:11:06 +08:00 via Android
    @aru 返回空白页面也说明该端口有服务器的兄弟。。。
    burndown
        228
    burndown  
       2019-10-16 10:16:53 +08:00   ❤️ 1
    想了个办法,路由器上开 ssh 服务,然后通过 ssh tunnel 中转,应该能访问内网的 web 服务
    txydhr
        229
    txydhr  
       2019-10-16 10:37:27 +08:00 via iPad
    @wwbfred 电信用中间设备监测流量不是很简单的事情么,以前不就是这么插广告的么。https 虽然不能看到内容但是主机头还是暴露的。
    txydhr
        230
    txydhr  
       2019-10-16 10:39:12 +08:00 via iPad
    @burndown 除了直接 web 暴露,其他任何方法都可以。当然其他任何方法以后都不能只靠浏览器输个网址了,不方便。
    wwbfred
        231
    wwbfred  
       2019-10-16 11:35:18 +08:00
    @txydhr 原理简单,但不可行.实属大炮打蚊子,没人会这么搞.
    1.要分析所有的 sni 是需要算力的.
    2.检测到了 sni 就就是使用了 ddns 么?很明显不对.你拿不到完整的 url,就需要记录一段时间内的访问情况,建模做出判断.这个时间段可能会以周或是月为单位,还会存在误判.
    3.即使为了一个小小的 ddns,这些硬件都部属到位了,破解方式也不要太简单,随便一个代理就搞定了.
    4.与其搞得这么复杂,不如直接扫家宽端口,根据返回的数据判断端口服务的类型.
    linbenyi
        232
    linbenyi  
    OP
       2019-10-16 11:44:33 +08:00
    @wwbfred 不巧我手贱注册了花生壳。但我估计不是这个原因。
    @burndown ssh 中转是什么需要特殊客户端吗?
    @txydhr 检测流量万一我闲置一个月不就检测不到吗?事实也是闲置中。
    @learningman 还是被扫 NAT 表的预防方式我比较甘心去。
    @justs0o 什么公司?
    @zhucegeqiu 反向代理到哪里阿里云代到自家主机?
    @ftr 流量特征 https 也无法藏的吧。
    @Zyugalev 一身冷汗啊,汗啊。
    @ravanelli 难道我千错万错用了花生壳。那花生壳不警示我家中不可用 web 也是坏了良心。😔
    @lydasia 明智之举
    linbenyi
        233
    linbenyi  
    OP
       2019-10-16 11:49:21 +08:00
    @DCLangX 所以你去签那啥协议了吗?已经?还是和我一样被骗回家放置 play?
    xiazhiisgood
        234
    xiazhiisgood  
       2019-10-16 11:54:25 +08:00 via iPhone
    @linbenyi 做了个内网的应用,可是外网也可以通过 ipv6 访问到这个应用(我也不想暴露的),请问这样算违规吗?
    ravanelli
        235
    ravanelli  
       2019-10-16 11:56:41 +08:00
    @linbenyi 除了花生壳有绑其他域名吗?比如自己买的这种,没有的话看来是有备案也封
    alphatoad
        236
    alphatoad  
       2019-10-16 12:07:37 +08:00 via iPhone
    思路:
    目前的讨论都是建立在局域网可信的情况下讨论的。
    有无可能,电信光猫是不可信的 spyware,会主动上报可疑路由表?
    txydhr
        237
    txydhr  
       2019-10-16 12:40:26 +08:00 via iPhone
    @linbenyi 你注册了花生壳闲置 但是他可以用呀 通过花生壳的域名不就打开了你家的 web 页面了么 https 也就证书错误 又不是打不开
    Zyugalev
        238
    Zyugalev  
       2019-10-16 12:47:27 +08:00
    @alphatoad 有可能,越是新型的“智能”天翼网关问题越大。
    其实不放心的人可以自制光猫,前段时间本版不是有个哥们儿通过 SPF+接入软路由,配置以后也能拨号成功么?
    txydhr
        239
    txydhr  
       2019-10-16 12:55:45 +08:00 via iPhone
    @Zyugalev 如果你拿光猫当路由,你设置的 nat 电信肯定看得到啊
    Zyugalev
        240
    Zyugalev  
       2019-10-16 13:27:51 +08:00
    @txydhr 根据 hlz0812 那哥们儿的说法,目前的光猫桥接模式是软桥接模式,也是可以监控流量的,只有好几年前的古老光猫才是硬桥接模式
    我觉得长期关注本版的人应该没几个会用光猫当路由吧?大部分都是走桥接的
    cwbsw
        241
    cwbsw  
       2019-10-16 13:36:46 +08:00
    @Zyugalev
    是的,而且可以用 ebtables 过滤二层包。并且桥接之后 HWNAT 失效,这可能是一些千兆用户桥接之后跑不满千兆的原因。
    ravanelli
        242
    ravanelli  
       2019-10-16 14:50:08 +08:00
    @cwbsw 桥接后跑不满千兆纯粹是路由性能不行
    我之前用 d2550,百卓桥接后跑 600m 认为是降速了,后来换了 j1900 就跑满了
    justs0o
        243
    justs0o  
       2019-10-16 14:50:46 +08:00
    @wwbfred https://www.greatbit.com/ 电信就是用这个设备监控,7 层流量你访问了啥,做了啥,全部都知道,误报率贼低
    linbenyi
        244
    linbenyi  
    OP
       2019-10-16 14:57:43 +08:00
    @xiazhiisgood 我也想知道啊。
    @ravanelli 有的威联通 myQnapcloud,备案楼上说没有主机商何来备案?
    @alphatoad 光猫本身就是运营商的财产,没有 SPY 一说。
    @txydhr 是的。我说的使用 web 闲置。不光包括花生壳。
    @Zyugalev 相关参数运营商不提供的。你自己的光猫怎么联网? 光猫是网关啊,如何桥接?
    @cwbsw 不知道了,大家都是桥接上网的吗?
    linbenyi
        245
    linbenyi  
    OP
       2019-10-16 15:00:28 +08:00
    @justs0o 哦,高科技公司啊。
    cmobiooo
        246
    cmobiooo  
       2019-10-16 15:02:35 +08:00
    我这就去把群辉的 ddns 关了……可怕……
    zhucegeqiu
        247
    zhucegeqiu  
       2019-10-16 15:02:44 +08:00
    @burndown #228 可行是可行,但是麻烦,还要开个 ssh,本质和挂个 vpn 一样了
    Zyugalev
        248
    Zyugalev  
       2019-10-16 15:03:02 +08:00
    sicifus
        249
    sicifus  
       2019-10-16 15:12:08 +08:00
    @burndown #228 测试成功,感谢提示。
    cwbsw
        250
    cwbsw  
       2019-10-16 15:15:44 +08:00   ❤️ 1
    @wwbfred
    4.与其搞得这么复杂,不如直接扫家宽端口,根据返回的数据判断端口服务的类型.

    个人用途的话,可以防火墙丢掉白名单之外的 IP 访问请求。
    ravanelli
        251
    ravanelli  
       2019-10-16 15:34:31 +08:00
    @linbenyi myqnapcloud.cn 还是 com ?我查了 cn 有备案 com 没有
    linbenyi
        252
    linbenyi  
    OP
       2019-10-16 15:44:02 +08:00
    @ravanelli 这都被你查的那么清楚了。似乎威联通有区分的,是.com 不过不打紧了。备不备案我都没机会开了。
    @cwbsw 白名单能是正解。但经不住 NAT 表邪路天机。
    @Zyugalev 哇这么邪乎,真的自己搞啊。
    ravanelli
        253
    ravanelli  
       2019-10-16 15:47:34 +08:00
    @linbenyi 所以还是威联通的锅喽?用花生壳的松一口气。目前已知的案例都是用了未备案的域名
    burndown
        254
    burndown  
       2019-10-16 16:04:28 +08:00
    @zhucegeqiu 记得把 ssh 修改成非标准口,开启证书登录。
    burndown
        255
    burndown  
       2019-10-16 16:04:51 +08:00
    @sicifus 别用 22 口,用证书登录,取消密码登陆。
    linbenyi
        256
    linbenyi  
    OP
       2019-10-16 16:16:00 +08:00
    @ravanelli 我觉得是端口扫描或者 NAT 表泄露的锅,不过未验证罢了。
    txydhr
        257
    txydhr  
       2019-10-16 17:01:34 +08:00 via iPad
    @cwbsw 白名单不现实,手机,公共 wifi,随时都要连回家。
    ravanelli
        258
    ravanelli  
       2019-10-16 17:08:45 +08:00
    @linbenyi 扫到端口并不代表绑了域名呀,目前的案例都是绑未备案域名+开 web,希望可以放过有备案的
    txydhr
        259
    txydhr  
       2019-10-16 17:14:36 +08:00 via iPad
    @Zyugalev 流量监测是个 isp 都可以在离开你家路由器以后任意节点部署,不必太纠结猫不猫的问题,以前 http 时代,运营商收集的数据不要太多,后来谷歌之类的网站部署 https 目的就是为了端掉 isp 的这锅饭。当然 https 运营商虽然看不见内容了,但是你访问了什么网站,什么端口还是清楚的。
    wwbfred
        260
    wwbfred  
       2019-10-16 17:16:44 +08:00
    有个问题,web 服务的定义是什么?
    ssh/dns 之类的算 web 服务么?还有其他各种非 http/https 服务,怎么界定?
    还是说监听了就算 web 服务?
    txydhr
        261
    txydhr  
       2019-10-16 17:17:30 +08:00 via iPad
    @ravanelli 上面有人不是说用花生壳被查了么?不知道指的是自己没备案的域名 cname 到花生壳的域名来访问,还是直接用花生壳的域名访问,按道理花生壳域名是备案过的,不会被查呀。
    txydhr
        262
    txydhr  
       2019-10-16 17:21:59 +08:00 via iPad
    @wwbfred 不算
    web 就是狭义的用浏览器打开网页,只要服务器响应浏览器的请求就算,不管 404,403,证书错误,还是无限 loading,因为这些只能证明你主目录打不开。
    ravanelli
        263
    ravanelli  
       2019-10-16 17:24:25 +08:00
    @txydhr 他已经回复了,还绑了 qnap 的一个未备案的 ddns 域名
    txydhr
        264
    txydhr  
       2019-10-16 17:25:28 +08:00 via iPad
    @ravanelli 好奇,运营商是如何找到那个你使用的那一个域名的。目测是中间设备抓取的,毕竟运营商本来上网记录里就查得到你访问了什么网站,包括 https。
    ravanelli
        265
    ravanelli  
       2019-10-16 17:29:34 +08:00
    @txydhr 我觉得运营商在 dns 上做个记录就行了,比如你在外面上网,那边网络里的 dns 设置的上级 dns 是电信的,你一访问你的域名,电信 dns 上就获取了你的域名和你家 ip 的解析记录,dns 上设置下解析到的 IP 是自己家宽 IP 段的,就记录下来
    txydhr
        266
    txydhr  
       2019-10-16 18:35:04 +08:00
    @ravanelli dns 数据量太大 感觉还是检测流量靠谱 本来运营商就可以记录网站访问记录
    fantasylidong
        267
    fantasylidong  
       2019-10-16 18:51:52 +08:00 via Android
    @ljy2345 你这都算小的,我不算下载一天上传 500G
    fruitscandy
        268
    fruitscandy  
       2019-10-16 18:54:03 +08:00
    @justs0o 信风的设备只拿来做过试点,真正用的不是信风的
    txydhr
        269
    txydhr  
       2019-10-16 19:39:03 +08:00 via iPad
    @ravanelli 如果用已备案主域名 cname 到那个未备案的第三方 ddns,未备案域名只在 dns 里用,证书里也没有,不知道会不会查出来。如果被查,证明运营商还会通过 dns 记录来抓。
    Zyugalev
        270
    Zyugalev  
       2019-10-16 19:57:11 +08:00
    @txydhr 是的,运营商的设备还有很多可以做的
    但是光猫这一端毕竟是可以自己控制的范围,一般能自己控制的我认为就要控制好
    尤其是目前这种“智能”SDN 网关,对用户来说完全不可控,就是运行在家里的一个黑盒子
    carney
        271
    carney  
       2019-10-16 20:03:44 +08:00
    IP 一直变化的,做 ddns 的域名能备案吗?
    carney
        272
    carney  
       2019-10-16 20:04:57 +08:00
    真要是备案就可以用,那就备下也无妨
    txydhr
        273
    txydhr  
       2019-10-16 20:41:04 +08:00 via iPad
    @carney 顶级域名可以靠买 vps 备案在阿里云什么的。个人理解备案是备案主域名和其对应的 ip,二级域名指向的 ip 没有备案的说法。

    二级域名在别家使用不知道还需不需要在另备案,网上都没查到准数。主机商有的说建议,有的说必须,有的说需要但实际使用又不管。

    如果二级域名指向第二家服务商也需要在第二家那里把主域名备案,那么备案域名指向家宽其实也是不合法的。
    carney
        274
    carney  
       2019-10-16 21:29:20 +08:00
    @txydhr 谢谢。这个就比较复杂了,域名注册了免费的一级域名,如果涉及到 ip 的话,那动态 ip 是没法备案了。
    est
        275
    est  
       2019-10-16 21:38:36 +08:00
    非 80 443 端口 也会影响吗?
    txydhr
        276
    txydhr  
       2019-10-16 22:25:55 +08:00
    @carney 二级域名不用备案,直接指向你主域名备案所在主机商的任意 ip 都没有问题。问题是指向你备案所在以外的主机商行不行,查不到准确说法。
    orangeff
        277
    orangeff  
       2019-10-16 22:39:17 +08:00
    目前只是上海电信有具体的行动吗?我家里可挂着群晖啊
    txydhr
        278
    txydhr  
       2019-10-16 22:55:12 +08:00
    @orangeff 目前只有上海电信
    stille
        279
    stille  
       2019-10-16 23:05:07 +08:00
    不知道我这种方式可行么? 还是说也会被扫到?

    - 路由器插件 aliddns-备案域名的二级域名 ip.xxx.com
    - 国外注册的域名 yyy.com 设置 CNAME 到 ip.xxx.com
    - 使用 yyy.com:5000 访问群晖等服务

    这样也会被查么?
    orangeff
        280
    orangeff  
       2019-10-16 23:10:43 +08:00
    @txydhr 那上海也太严格了,一直作为试点的了
    txydhr
        281
    txydhr  
       2019-10-16 23:14:13 +08:00 via iPad
    @stille
    mytsing520
        282
    mytsing520  
       2019-10-17 00:23:52 +08:00
    @ravanelli
    根本用不着查 DNS 的记录,不靠谱的数据太多,查起来费时费力;个人认为应该是用了类似位于 IDC 机房出入口的备案检测设备然后分析的数据,这种靠谱的多。

    @txydhr
    实际操作是,在多个服务商购买主机,用同一个顶级域名去服务的话是需要在多个服务商都做备案接入。
    比如在阿里云做了备案,买了台腾讯云的主机,也要在腾讯云做新增接入;托管了一台服务器,那么就要在托管的 ISP 处做新增接入。
    还有 AWS 中国这种异类,北京和宁夏两个机房实际上是不同的接入商,假如买了两个地域的主机,要各自单独做备案接入。
    txydhr
        283
    txydhr  
       2019-10-17 00:48:53 +08:00
    @mytsing520 但是不少主机商,顶级域名别处备案过了,二级域名就不管了。估计国家没明确政策,大的主机商树大招风,而且怕到时候严格起来,导致你服务中断,所以建议你在他们那儿也接入备案。百度云,腾讯云我就没在他们那儿新增接入,cdn 都是可以用的。
    mytsing520
        284
    mytsing520  
       2019-10-17 01:07:34 +08:00
    @txydhr
    腾讯云是有这个政策的,我这边经常遇到,估计你所在地的管局没太多精力管这事
    txydhr
        285
    txydhr  
       2019-10-17 01:39:49 +08:00 via iPhone
    @mytsing520 有政策但是实际可用
    blaxmirror
        286
    blaxmirror  
       2019-10-17 10:24:04 +08:00
    @stille 我的情况稍微有点类似,被查了,仅供参考:
    群晖使用它提供的二级域名绑 ddns 服务
    godaddy 上购买的域名,使用 dnspod cname 到上面的二级域名
    使用购买的域名来访问

    结果是,只有购买的域名被扫到了。
    唯一问题是我看到也有人说自己用群晖的 ddns 也被查了,所以机制尚且不明

    顺便跟进一下,今天电信的人上门查看整改情况,然后他们竟然是用家里的电脑去 ping 域名...
    zhucegeqiu
        287
    zhucegeqiu  
       2019-10-17 10:28:40 +08:00
    @blaxmirror #286 被查的理由是啥?域名 ping 不通就算整改完成?
    stille
        288
    stille  
       2019-10-17 10:34:48 +08:00
    @blaxmirror 那这个就有点坑了...比如我知道了你的群晖自带 DDNS 域名,拿个未备案或者国外域名做个 CNAME 到你域名,那你不是一点办法都没? 除了换 DDNS 的二级域名..但是你自己又不知道.

    话说回来,主要还是看电信的政策问题,到底是完全 100%不允许有 http 或 https 协议存在,还是说备案就解决...

    在说了标准备案也必须是主域名备案到云服务商的服务器上,是不允许备案或者指向到家庭服务器上.
    stille
        289
    stille  
       2019-10-17 10:38:30 +08:00
    @blaxmirror 在就是我也不是太懂技术性方面的东西,到底电信是如何知道你的 IP 被其他域名给指向的了? 也就是你刚才回帖所说的 "结果是,只有购买的域名被扫到了。" 电信是如何反向扫到的?
    bluefountain
        290
    bluefountain  
       2019-10-17 10:55:26 +08:00
    @wwbfred 直接记录 http 头的请求不行?如果请求域名等于 quickconnect 或者 3322,又带着端口号并且 ip 存活,就记录不不就完了?长城本来就有这功能啊。
    bluefountain
        291
    bluefountain  
       2019-10-17 10:58:55 +08:00
    @stille 我是 ddns 到 3322,然后用已备案的域名 cname 到 3322,避免用 3322 访问
    stille
        292
    stille  
       2019-10-17 11:03:52 +08:00
    @bluefountain 我之前是用已备案域名 www 和 @直接 DDNS,用了好几年,前几个月收到腾讯云电话说我备案的域名没指向备案服务器,之类的,要我修改解析...

    所以后来我才把 DDNS 改到备案域名的二级域名,在去国外注册个域名 CNAME 到这个二级域名的.
    blaxmirror
        293
    blaxmirror  
       2019-10-17 11:07:46 +08:00
    @zhucegeqiu 跟楼主一样,认为我私自假设 web 服务器;是的,ping 不通他就认为整改完成了,但因为我当时不在家所以没有询问细节,家人拍下了电信在电脑上的操作记录
    @stille 我其实比较怀疑 dnspod,但又不太能解释为什么二级域名没在名单上;至于为什么盯上我,我感觉 PT 大流量应该是个比较大的原因,猜测 大流量+未备案域名访问 这两样都对上了的话,就该警告信了
    wwbfred
        294
    wwbfred  
       2019-10-17 11:14:27 +08:00
    @bluefountain 我俩说的似乎不是一个问题.
    楼上有人说是从 ddns 入手的,我认为对扫描到的可疑端口进行入侵式检测的效率更高.
    对于电信检测 web 服务的方法,我的观点和你的基本一致.
    stille
        295
    stille  
       2019-10-17 11:15:57 +08:00
    @blaxmirror 是啊,虽然我不太懂核心技术这块,但是要大批量的通过 IP 在去扫端口,在去反向扫域名解析,绝对不是简单的操作的,所以我猜测是否是被封的用户触发了电信那的机制,被标注了,在单独去扫的.
    ferock
        296
    ferock  
       2019-10-17 11:27:04 +08:00
    @stille #295 明显流量太大导致进监管名单了。
    txydhr
        297
    txydhr  
       2019-10-17 11:55:19 +08:00 via iPhone
    @blaxmirror 可能他用了群晖的 ddns 域名来访问?
    我是有备案的二级域名 cname 到群晖的 ddns 域名来做 dns 的。但是我从来不用群晖的域名来访问,尽管用群晖的域名也能打开。我自用都是输入自己的备案域名。
    另外上门的人水平参差不齐,不一定有代表性。
    txydhr
        298
    txydhr  
       2019-10-17 12:28:20 +08:00 via iPhone
    @stille 因为平时楼主就是用自己的域名从外面访问的吧。
    bluefountain
        299
    bluefountain  
       2019-10-17 13:01:05 +08:00
    @stille 那就不要把解析和主机域名商放在一家。我是 godaddy 域名 阿里云主机 dnspod 解析 二级域名 cname
    delpo
        300
    delpo  
       2019-10-17 14:08:50 +08:00
    可不可以这样:
    用 nginx 当反代,请求 url 设置成子目录,然后根目录返回 444(相当于不响应请求)
    这样即使端口扫描也只能检测出 tls 协议和域名,web 服务基本上是不会被扫出来的
    有没有大佬试试可不可行,毕竟我这里没有这么严
    1  2  3  4  5  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1202 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 17:51 · PVG 01:51 · LAX 09:51 · JFK 12:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.