不用找新 IP 了,GFW 可以直接检测证书了

2014-06-13 20:35:10 +08:00
 a2z
根据这个帖子http://v2ex.com/t/117354 里面的

2.将IP复制到浏览器栏检查HTTPS证书,显示支持「*.google.com」。不到5分钟,该IP的443端口无法连接。

说明gfw已经具备了先通过监听获取https证书(证书在握手阶段是明文传输的),解析出证书里的域名之后自动屏蔽对应IP的能力,出现一个新IP,就会自动封一个。
6902 次点击
所在节点    Google
25 条回复
pfitseng
2014-06-13 20:37:29 +08:00
不得不赞一下GFW的思路。。。
infinte
2014-06-13 20:39:48 +08:00
不是。AS15169 里有 N 多 ip 都一直正常,证书是 google.com
inspiron530s
2014-06-13 20:40:05 +08:00
楼主的这种说法不靠谱,我这里从未公开过的 GGC IP 使用完全正常。
a2z
2014-06-13 20:42:46 +08:00
@infinte
@inspiron530s

我觉得做到这一点对于gfw应该不难……
O21
2014-06-13 20:43:21 +08:00
我觉得gfw在国企里面 是效率最高的, 战斗力爆表 第二个 就是工信部。。
bobopu
2014-06-13 20:43:56 +08:00
我怎么听着这么可怕,天网的感觉。
inspiron530s
2014-06-13 20:48:19 +08:00
@a2z 若 GFW 具备检测 *.appspot.com 这个证书的能力,那么以 GAE 为平台的 FQ 工具早就废掉了。
licell
2014-06-13 21:01:06 +08:00
可能不是证书问题吧,据说只要是国外有名点的IP,连接一段时间后就会被干扰,速度变慢或者“抽风”
cnitu
2014-06-13 21:13:48 +08:00
南京这里突然可以直接访问谷歌搜索、邮箱等服务了
Shieffan
2014-06-13 21:25:37 +08:00
显然楼主的论据不足以支撑楼主的结论。
不过我也认为gfw要想封禁指定域名的ssl连接应该是轻而易举的,tls的sni以及明文传输的证书给gfw留了一个大洞,至于gfw为什么没这样做,我觉得他们是认为没必要。
a2z
2014-06-13 21:26:37 +08:00
@inspiron530s

ssl在握手阶段特征是很明显的,加上证书也是明文传输,我觉得gfw对于这个早有预案,可能这个功能没有部署到全部节点而已,或者没有全部打开。

我的意思是,即使现在还没发生,这个在技术上是没有问题的,要防患于未然。
cheny95
2014-06-13 21:28:27 +08:00
光纤接入的 直接用 ipv6.google.com 访问吧..无视GFW
kepler1go
2014-06-13 21:32:50 +08:00
@cheny95 这个不错 thx
cheny95
2014-06-13 21:35:30 +08:00
@kepler1go 如果是路由器接入的话,要在路由开启...本屌渣渣路由器没有ipv6功能,直接插网线进去了
inspiron530s
2014-06-13 21:37:14 +08:00
@a2z 对这一点表示支持,个人认为 GFW 目前还没有足够的计算能力来从庞大的国际流量中检测特定 SSL 证书
dajiangyou
2014-06-13 21:39:29 +08:00
@cheny95 要搞死的话估计也快了,反正 http://www.youtube.com/ 已经挂了


@O21 工信部个渣渣,全国投诉移动霸王条款私自毁约理都不理
l0wkey
2014-06-13 21:45:20 +08:00
coolkid1900
2014-06-13 21:50:30 +08:00
我这边几个美国ip活的好好的,*.google.com,google.com,*.googleusercontents.com和accounts.google.com都有……不过我感觉也活不了太长时间……
zdf
2014-06-13 21:50:35 +08:00
@cheny95 ipv6.google.com 我这里似乎没用。路由也开启了ipv6。还需要其他设置?
superbear
2014-06-13 22:11:24 +08:00
心思没花在开发国产系统了,来这里封端口倒挺快的。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/117383

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX