一些关于 SNI 阻断的问题

71 天前
 iflyime

坐标 SNI 阻断大省,前几天发现同一个服务器上的域名先后被 SNI 阻断了,然后分别测试了移动数据、宽带和电信数据、宽带对于域名 SNI 阻断的情况,因为这几天测试移动的时候有点找不到规律(笑),所以可能还需要再测试几天。目前先说下电信数据、宽带对于域名 SNI 阻断的情况,个人测试的情况是目前数据对于域名的阻断是严于宽带对域名的阻断的,而且会阻断解析到同一个 IP 上的所有域名(至少我个人解析到同一 IP 的域名先后全部被阻断了)。然后接下来分别测试了一下绕过 SNI 阻断的办法:

1. 套 CDN ,用的是 Cloudflare 的 CDN ,有一定的效果,但是目前还是时不时的会被阻断。

2. HTTP/3+DOH+DNS 解析添加 HTTPS 类型的解析,直接走 QUIC 协议,目前还没有被阻断。

3. 直接在域名后面加上根域名 . 然后访问,比如需要访问的域名是 example.com ,直接访问 example.com. 这个地址可以绕过阻断,就是目前什么原理这个还不清楚。

2389 次点击
所在节点    宽带症候群
16 条回复
JensenQian
71 天前
你都能来 这里了
直接加进代理就完事了
国内直连,国外代理
完事
iflyime
71 天前
@JensenQian 主要是还是想探讨了解一下如何应对单纯的 SNI 阻断这个问题,听说 ECH 也可以绕过 SNI 阻断,但是目前好像没在 Chrome 上找到可以开启的地方!?
admin13579
71 天前
目前用的应对方法是域前置,把发送的 sni 伪造成一个白名单里的合法域名,或者直接发送空 sni 。不过这种不适用很多套了 CDN 的网站
Quic 也可以,因为墙目前技术上还做不到嗅探 quic 的 sni ,ech 直接把 sni 加密了当然也可以,但未来有像 esni 一样被一刀切的风险
另外如果是自建 https 服务且仅自己一人使用的话(意味着客户端和服务端控制权都在自己手上),那还有一个方法是在双端的防火墙上都写一条简单的命令:丢弃所有接收到的 rst 包。这样虽然还是会触发阻断,但因为阻断用的 RST 包都被你丢了,所以可以顶着阻断强行继续连接
spartacussoft
71 天前
原理方法: https://rentry.co/Your_State_is_Not_Mine_zh_CN
实现就五花八门了,效果也参差不齐;
/spartacus-soft/spartacus 实现整体效果较好;
SpiritYa
71 天前
之前刚好打了一个支持 ech 的 nginx docker 镜像,文档中也有关于 Chrome 如何使用 ech 的步骤,可以参考一下: https://www.v2ex.com/t/1058196
frencis107
71 天前
找反诈中心提交域名核实后就能解,福建的联系泉州反诈中心
iflyime
71 天前
@admin13579 你说的这些也都了解过,但是我所希望的更多是在非本地客户端操作或者以最小的代价/最简便的操作从而绕过阻断。
iflyime
71 天前
@SpiritYa 现在套 Cloudflare 的 CDN 之后开启 HTTP/3 会自动启用 ECH ,以及现在 Chrome 和 Firefox 好像是默认开启的 ECH ,但是需要配置 DOH ,同时需要关闭系统的代理服务。
iflyime
71 天前
@frencis107 你说的好像也是一种办法,但是我好像没有找到地方提交,以及这个不需要域名备案吗,Emmm……
miaomiao888
71 天前
@spartacussoft 所有同类工具都是 free ,只有到了你这。。。
另外以中国的法律来说,这种工具拿去牟利判刑的时候性质可就不一样了。
frencis107
71 天前
@iflyime 不用备案。如果是福建,找泉州反诈中心公众号,然后留言域名和站点作用,会有人回

其他省可以联系当地反诈中心公众号/社交媒体账号试下
cyp0633
71 天前
@iflyime 我的看法是 ECH 解决的是隐私而不是封锁,因为审查者可以把它一封了之
至于法不责众的事情,那就看人的魄力了
ddczl
70 天前
我当前用国内直连,国外代理
iflyime
69 天前
@cyp0633 依照之前 ESNI 的后续来看,ECH 被封锁只是时间问题,但是加密 Client Hello 的确是一个绕过 SNI 阻断的思路。
iflyime
69 天前
@ddczl 代理也可以,但是我们这个阻断应该只是省级的阻断,而且阻断其实并没有那么的严格,找一些方法不用代理还是可以绕过去的。
baobao1270
62 天前
@iflyime
@admin13579
ECH 确实可以通过「设置白名单域名」绕过阻断
但是要 CDN 支持
Cloudflare 定死 ECH SNI 必须为 cloudflare-ech[.]com 不可以为空也不可以修改,所以无解

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1080531

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX