ipv6 的证书检测技术是怎样的?

2019-02-15 15:41:09 +08:00
 Coioidea

众所周知,目前 wall 已经开始对 ipv6 的网站进行阻拦。而且我所在的网络环境年底开始不断出现大量正常连接被 rst 等情况,有些引用了 youtube 视频的网页甚至直接 time out。 如果仅从流量分析,能否分析出证书?是直接 ip 进行 block 还是证书检测?

另外各位用上 ipv6 的觉得有实用价值吗?

4512 次点击
所在节点    宽带症候群
13 条回复
montoyaf
2019-02-15 16:41:46 +08:00
首先,IPSsec 并没有成为 IPv6 标配。再者,Google IPv6 段在省级主干网就被路由指空丢弃,不超时才怪。
redsonic
2019-02-15 16:54:05 +08:00
没发现对证书套用过什么规则,主要还是路由黑洞和 SNI 触发 RST。

ipv6 对 99%的终端用户没有任何价值,上了 ipv6 以后溯源追踪更容易,v6 的防火墙规则、路由规则、负载均衡,设备更新,最糟糕的情况下增加一倍工作量和资源投入,双栈状况长期存在下去用户其实要交 ipv6 税。
xxq2112
2019-02-15 16:59:56 +08:00
404 永遠都是 404,一定有特殊照顧

出了省網就丟


但只要不相干就正常
frylkrttj
2019-02-15 17:38:33 +08:00
怕是得到了 google 的帮助
cwek
2019-02-15 19:35:30 +08:00
现在最简单的是 SNI。这个要等 ESNI 标准化才能防住。

服务器证书检测传说有用过,不过说存在效能问题(需要缓存住整个 TCP 及上面的 TLS 会话)。
montoyaf
2019-02-15 20:03:03 +08:00
@cwek 我还是不希望 esni 成事实,真要普及 esni 了,路由黑洞会成主流,现在的 sni block 好歹还能本地自签证书解决
yexm0
2019-02-15 21:01:13 +08:00
@montoyaf http/3 协议啊
zanzhz1101
2019-02-16 08:05:09 +08:00
@montoyaf #6 可是现在已经是整段黑洞了吧
montoyaf
2019-02-16 09:31:44 +08:00
@zanzhz1101 说是整段吧,有几十个漏网之鱼。而且在很多属于 Google IP 段但没有部署服务的 IP 是通的,可能还是根据域名封相关有用的 IP。
msg7086
2019-02-17 11:37:39 +08:00
@montoyaf #5 路由黑洞主流但是黑洞以外的机器可以用来做 ESNI 代理了,其实也还算好。
LGA1150
2019-03-05 12:52:29 +08:00
超时肯定是封了 IP 了
封 SNI 的话试试我的 https://github.com/LGA1150/netfilter-spooftcp
Coioidea
2019-03-09 17:17:45 +08:00
@LGA1150 不太懂具体的这个操作
scientist2009
2019-03-14 21:14:26 +08:00
@xxq2112 什么工具

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/535359

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX