新封锁方式的猜测

2013-06-20 23:06:11 +08:00
 bigeagle
今天开始大批VPS被墙,这一批被墙得很有特色:

1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
4. 被封的VPS又99%都在用startssl的证书

楼主觉得很奇怪,所以提出两条阴谋论:
1. 测试新的方案,例如上线新硬防
2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
3429 次点击
所在节点    程序员
4 条回复
siyanmao
2013-06-20 23:41:19 +08:00
这种封源IP的办法很早就有了,封端口就用这种方法。我一直怀疑部分出口线路上已经部署上了这种硬防,隐蔽,效率高,可靠性好,可以远程更新配置(,或许还可以给规则配置老化时间?)。但是对设备的具体类型/型号不太清楚。这种要求绝对是商品设备,自己攒要出事的。
黑洞路由毕竟还是麻烦,要广播路由表,要配置路由器,要有专用光纤/链路,路由条数太多(当年方校长的论文里提到大概是10^5量级)
估计和CA没什么关系,有用自签名被干掉的,也犯不着和CA作对。
est
2013-06-21 00:19:48 +08:00
关于第二点,你们太天真了。墙早就有伪造ttl响应的能力了。不信你们去电信省级骨干网去ping
pubby
2013-06-21 00:23:57 +08:00
真的被墙了?

昨天一批vps连不上,过了十几小时全恢复了。
fqrouter2
2013-06-21 00:27:55 +08:00
@siyanmao 我很天真的认为封端口是思科路由器自带的功能。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/73069

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX