以下为个人测试结果,如有错误,欢迎纠错。
首先并非网传的仅备案那么玄乎,经测试,机制为 ip 黑名单,直接阻断,可以通过换 ip 解决。
以一个刚注册的域名为例,源站香港加 cloudflare free cdn ,阻断 源站上海不加 cdn ,不阻断。 由于 cloud flare 大部分 ip 已上黑名单,所以才会有网传的白名单这种结论。
解决方案 1 。中转 2.ipv6
1
villivateur 2022-05-11 17:03:41 +08:00
改下排版吧,趁还来得及
|
2
Chism 2022-05-11 20:07:56 +08:00
我的博客在华为云 HK ,泉州也无法访问
|
3
V1Eerie 2022-05-11 20:16:27 +08:00 via Android 3
sni 阻断是已经运用的成熟技术,目前在泉州地区存在针对未备案域名的阻断即所谓的白名单
|
4
ruixue 2022-05-11 20:42:48 +08:00 3
“源站上海不加 cdn ,不阻断”
?? 源站在上海说明 ip 在国内且域名有备案,怎么能得出不存在 sni 阻断的结论的 而且,“cloudflare 大部分 ip 已上黑名单”已经够可怕了好吧,全球多少网站都在用 cloudflare ,这一下子也相当于墙了海量的网站,触目惊心 |
5
xyjincan 2022-05-11 20:45:18 +08:00 via Android
有没有服务器测试让大家见识一下
|
6
wske 2022-05-11 21:05:53 +08:00 via Android
你做了什么测试,测试方法是什么应该说清楚。
上来就摆结论,说服力不够。 |
7
smileawei 2022-05-11 21:12:43 +08:00 1
如果是 sni 阻断。那是不是伪造成和 www.qq.com 这类的站点就可以绕过。当然证书你可以选择自签名
|
9
a8Fy37XzWf70G0yW 2022-05-11 22:21:08 +08:00 1
@geekvcn 仁兄,我上網搜尋了才知:TLS1.3 和 TLS1.3 ESNI 是不同的意思,ESNI 只是一個可選標準而已。
|
10
geekvcn 2022-05-11 23:54:34 +08:00 via Android
@viberconnection 你用什么搜索引擎能搜出这种结果? TLS1.3 强制采用 ECHDE 握手算法,你说的 ESNI 是 TLS1.3 没出来前,给 TLS1.2 打的补丁,需要浏览器支持,当时是火狐的方案,现在早就被 ECH 替代了。
|
11
Buges 2022-05-12 01:46:03 +08:00 via Android 2
@geekvcn ESNI 虽然过时了,但继任的 ECH 也只是 tls1.3 的可选扩展而已。用现代浏览器打开 https://www.cloudflare.com/cdn-cgi/trace
你会看到 tls=TLSv1.3 sni=plaintext |
14
ruixue 2022-05-12 10:53:09 +08:00
@danhuang 国内的机房对未备案的域名都有监测阻断机制,如果要做测试,国内 ip 的参考价值不大,更何况大家担心的是访问国外的互联网而不是访问国内,所以理应都用国外的 ip 做对照测试
|
15
z919126592 2022-05-12 11:06:44 +08:00 via iPhone
上海当然不阻断,只有境外阻断。可以随便找个境外 IP 解析测试。
另外经过我三天以来的连续测试,连续的请求中说有部分会漏掉而可以达到部分请求不被阻断正常连接,可能是过滤设备性能不够用。 |
16
z919126592 2022-05-12 11:09:07 +08:00 via iPhone
@smileawei 是的
|
17
takeshima 2022-05-12 14:21:05 +08:00
@geekvcn TLS 1.3 没有强制 ECH ,cloudflare 都才支持 ECH 没多久,Google 早就支持 TLS 1.3 了 ,你看你访问 google 能绕开 SNI 阻断吗?
|
18
LnTrx 2022-05-12 17:14:42 +08:00
> 由于 cloud flare 大部分 ip 已上黑名单
小部分是哪些? |
20
swiftg 2022-05-13 08:43:49 +08:00 via iPhone
楼主都没搞懂墙在哪里,源站在上海的话流量都不经过墙,墙怎么给你阻断?
|
21
swiftg 2022-05-13 08:51:41 +08:00 via iPhone
都不需要自己注册域名和买服务器,随便找一个有 https 网页服务的海外 ip ,比如 cf 的 ip ,curl 命令加上任意白名单外的域名,看看有没有被 sni 阻断
|
22
AII 2022-05-14 13:26:54 +08:00
|
23
butanediol2d 2022-05-16 13:29:32 +08:00
|
24
swiftg 2022-05-16 18:29:46 +08:00 via iPhone
@butanediol2d 国内 IP 肯定没墙啊,还用测么?墙只存在于流量出入境的地方,就像国内省和省之间没有边境检查站一样。拿国内 IP 去测试墙非蠢即坏
|