ipv6 的证书检测技术是怎样的?

2019-02-15 15:41:09 +08:00
Coioidea  Coioidea

众所周知,目前 wall 已经开始对 ipv6 的网站进行阻拦。而且我所在的网络环境年底开始不断出现大量正常连接被 rst 等情况,有些引用了 youtube 视频的网页甚至直接 time out。 如果仅从流量分析,能否分析出证书?是直接 ip 进行 block 还是证书检测?

另外各位用上 ipv6 的觉得有实用价值吗?

4588 次点击
所在节点   宽带症候群  宽带症候群
13 条回复
montoyaf
montoyaf
2019-02-15 16:41:46 +08:00
首先,IPSsec 并没有成为 IPv6 标配。再者,Google IPv6 段在省级主干网就被路由指空丢弃,不超时才怪。
redsonic
redsonic
2019-02-15 16:54:05 +08:00
没发现对证书套用过什么规则,主要还是路由黑洞和 SNI 触发 RST。

ipv6 对 99%的终端用户没有任何价值,上了 ipv6 以后溯源追踪更容易,v6 的防火墙规则、路由规则、负载均衡,设备更新,最糟糕的情况下增加一倍工作量和资源投入,双栈状况长期存在下去用户其实要交 ipv6 税。
xxq2112
xxq2112
2019-02-15 16:59:56 +08:00
404 永遠都是 404,一定有特殊照顧

出了省網就丟


但只要不相干就正常
frylkrttj
frylkrttj
2019-02-15 17:38:33 +08:00
怕是得到了 google 的帮助
cwek
cwek
2019-02-15 19:35:30 +08:00
现在最简单的是 SNI。这个要等 ESNI 标准化才能防住。

服务器证书检测传说有用过,不过说存在效能问题(需要缓存住整个 TCP 及上面的 TLS 会话)。
montoyaf
2019-02-15 20:03:03 +08:00
@cwek 我还是不希望 esni 成事实,真要普及 esni 了,路由黑洞会成主流,现在的 sni block 好歹还能本地自签证书解决
yexm0
2019-02-15 21:01:13 +08:00
@montoyaf http/3 协议啊
zanzhz1101
2019-02-16 08:05:09 +08:00
@montoyaf #6 可是现在已经是整段黑洞了吧
montoyaf
2019-02-16 09:31:44 +08:00
@zanzhz1101 说是整段吧,有几十个漏网之鱼。而且在很多属于 Google IP 段但没有部署服务的 IP 是通的,可能还是根据域名封相关有用的 IP。
msg7086
2019-02-17 11:37:39 +08:00
@montoyaf #5 路由黑洞主流但是黑洞以外的机器可以用来做 ESNI 代理了,其实也还算好。
LGA1150
2019-03-05 12:52:29 +08:00
超时肯定是封了 IP 了
封 SNI 的话试试我的 https://github.com/LGA1150/netfilter-spooftcp
Coioidea
2019-03-09 17:17:45 +08:00
@LGA1150 不太懂具体的这个操作
scientist2009
2019-03-14 21:14:26 +08:00
@xxq2112 什么工具

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/535359

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX