白名单 sni 自签证书的讨论

2022-05-16 02:47:12 +08:00
 qingmuhy0

先说一下我的情况吧,我是 vmess 的 ws 传输模式,服务端用的自签名的 apple.com 证书,手机上安装了对应的 CA 证书,因此出于安全原因,我没有开允许证书不安全。

然后是我碰到的怪事,白天使用的时候一直都是正常的,但只要一到晚上两三点就会出现自己域名真实有效的 ssl 证书反代的 ws 可以连接,自签的节点出现超时问题,每次我立马想测试是不是中间人中间人攻击的时候又恢复访问了。

虽然有可能是服务器的问题,但实在是太巧合了,每次都是差不多时间段,都是用真实有效证书的节点没问题,自签的节点出现短暂超时。因为我以前假 ssl 验证的 frp 就经常会被阻断!(不过我暂时还没测试用真的 ssl 证书会不会改善)

我的想法是怀疑墙会不会在闲时自动对“不可靠”ssl 进行中间人攻击从而收集信息呢?

各位还有什么可以测试是不是闲时中间人攻击的思路推给我不。比较喜欢折腾研究,最近也刚好有空。

最后,感谢您读到这!

8404 次点击
所在节点    宽带症候群
34 条回复
ZE3kr
2022-05-16 02:59:30 +08:00
看下服务器日志,是不是每天晚上定时自动重启了什么的
qingmuhy0
2022-05-16 07:33:33 +08:00
@ZE3kr 应该不是,如果是的话就不能解释为什么 lets 的签名站不会这样了,不过我也查了进程的信息,结果如下。

root@VM-4-4-ubuntu:~# ps -p 7268
PID TTY TIME CMD
7268 ? 00:00:02 nginx
root@VM-4-4-ubuntu:~# ps -p 7268 -o lstart
STARTED
Thu May 5 16:13:07 2022
root@VM-4-4-ubuntu:~# ps -p 611772
PID TTY TIME CMD
611772 ? 00:11:04 xray-linux-amd6
root@VM-4-4-ubuntu:~# ps -p 611772 -o lstart
STARTED
Mon May 9 14:11:28 2022
root@VM-4-4-ubuntu:~#
ZE3kr
2022-05-16 07:46:02 +08:00
@qingmuhy0 你说的 Lets Encrypt 站是普通的网站还是也是一模一样的 vmess ?这两种还是能识别出来的
qingmuhy0
2022-05-16 07:49:33 +08:00
@ZE3kr 一样都是代理节点,稍微有一点区别就是 letscrypt 的节点用的是 vless ,自签的则用的是 vmess 。
qingmuhy0
2022-05-16 07:52:28 +08:00
@ZE3kr
固定时间断流的:vmess+ws+自签苹果证书(安装了自己的 ca 证书,未开允许不安全)
正常的:vless+grpc+letscrypt 的证书。(自己的 com 域名申请的)

以上都是用的 X-ray 内核。

本来应该和上面信息合一起的,不小心按了回复。
ThirdFlame
2022-05-16 09:12:28 +08:00
127-0-0-1.nhost.00cdn.com 试试这个迅雷的白域名。

开头部分,你按照规则修改下 会发现解析会跟着变。 就可以申请证书了。
yaott2020
2022-05-16 09:24:37 +08:00
@ThirdFlame 那岂不是可以颁发合法证书了?
ThirdFlame
2022-05-16 09:50:49 +08:00
@yaott2020 #7 当然可以签发证书了。 这个域名 绝对白。
whoops
2022-05-16 10:43:33 +08:00
@ThirdFlame 这都被你发现了 太牛了
Love4Taylor
2022-05-16 10:50:32 +08:00
@ThirdFlame 当初 mcdn.bilivideo.cn 也是,但是后来就限制了。估计这个以后也会。
zhengrt
2022-05-16 10:55:33 +08:00
@ThirdFlame 太牛了 谢谢大佬
ThirdFlame
2022-05-16 10:58:07 +08:00
@Love4Taylor #10 是的 bilibili 的一开始也可以随意解析,后来只有 mcdn 节点上线后,解析才生效 ,
不过某雷这个,已经很久了。希望迅雷一直意识不到这个事儿。
qingmuhy0
2022-05-16 13:28:53 +08:00
@ThirdFlame 卧槽,这个流弊,已经用上了,既是真的,应该也会在白名单内。
qingmuhy0
2022-05-16 14:38:11 +08:00
说一下最终解决方案,用了上面大佬提供的 CDN 域名+GRPC+SSL ,配置了访问直接跳转迅雷官网。自我感觉挺完美的。
dndx
2022-05-16 14:46:05 +08:00
@ThirdFlame 这种申请可信证书了后都会显示在 Certificate Transparency 里: https://crt.sh/?q=nhost.00cdn.com 不介意的话的确可以用。
zhengrt
2022-05-16 17:28:10 +08:00
@dndx 今天申请了一堆 会不会被发现啊哈哈哈
dndx
2022-05-16 17:32:23 +08:00
@zhengrt
不介意服务器 IP 曝光就申请呗,只要申请了,记录就永远在那无法消除。就看个人能不能接受了。
sbilly
2022-05-16 17:40:56 +08:00
ThirdFlame
2022-05-16 18:33:02 +08:00
@dndx #15 这个只要申请证书就有记录,关键是这个 ip 随着域名一起暴露 没办法了。 只是给大家借用白名单的思路
ThirdFlame
2022-05-16 18:38:22 +08:00
@sbilly #18 收藏了 以备不时之需

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/853056

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX