分享一个家宽开 webdav 防审查的方案

2023-03-13 14:53:57 +08:00
 YGBlvcAK

个人推荐的回家方案是 ss+aead ,无特征就是无证据,当然你非要说无证据也可以办你,当我没说

再说回来,此方案就是纯玩,来对抗一下审查,开放了 web ,但又抓不到证据,或者说无法截图你的 webdav 界面

核心原理就是 webdav 使用二级目录,不要用一级目录,这样就算抓到了 sni ,也无法通过域名来打开网站,因为一级目录为空,而二级目录是随机的一个长串,是无法通过抓包来获取到的

实现方式是用 caddy+自带的 webdav 插件,配置如下:

www.abc.com:777 {
encode gzip
tls www.abc.com.cer www.abc.com.key {
	protocols tls1.3
	}
	@mypath {
		not path_regexp ^/qwert
	}
	handle @mypath {
		abort	
	}

	basicauth /qwert/* {
		user hashed_password
	}

	redir /qwert /qwert/
	webdav /qwert/* {
		root /webdav
		prefix /qwert
	}
}

最后的效果就是,只有访问 https://www 点 abc 点 com:777/qwert 才会有返回,其它全部为空,而 qwert 是抓不到的,除非证书劫持,所以也就截取不了你开放的 web 界面了。当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧

3377 次点击
所在节点    宽带症候群
16 条回复
guazila
2023-03-13 17:16:36 +08:00
还有一种办法,用 cf 的 tunnel 。完全不暴露端口,只有出站。就是国内连接有时候会被阻断。
Damn
2023-03-13 19:11:26 +08:00
“当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧”
-----------------------
那么多被叫去签悔过书的有哪个给了证据的么。。
lookStupiToForce
2023-03-13 19:22:49 +08:00
那我当你没说了🤣🤣🤣
YGBlvcAK
2023-03-13 19:27:42 +08:00
@Damn 当我没说,请走开!
wtks1
2023-03-14 00:06:33 +08:00
根据历史经验,运营商是不会给你出示证据的,他们只会直接电话通知,拒不整改的直接封宽带,也有工作人员上门让你签保证书的
sunnysab
2023-03-14 09:43:39 +08:00
HTTP 、TLS 这种,因为协议中直接包含了域名,就怕说是检测到了域名绑定 IP (论坛看的,不一定准). 而 Wireguard 、一些 TCP 协议就什么特征都没有。

不过记得现在 RDP 也基于 TLS 了,好像没人管?
---
抓包看了一下,RDP 外面包了一层 TPKT 协议,不是裸的 TLS.
lisxour
2023-03-14 10:19:50 +08:00
不就是隐藏 url 嘛。。。
YGBlvcAK
2023-03-14 11:29:44 +08:00
@wtks1 既然封了,那肯定是有判断标准的,不知道他们内部的判断标准是什么,只要有域名解析就算?
@sunnysab wg rdp 都是有明显特征的,无特征可以用 ss+aead
@lisxour 是的,让他们无论怎么探测也找不到真正的 web 界面
ButcherHu
2023-03-14 12:11:18 +08:00
感觉 tls 没事啊,openvpn 跟 ss 之类的 vpn 或者代理软件裸跑都没事,城域网不可能搞深度包检测的吧,wg 被封可能是 udp 阻断逻辑不一样,感觉是跑 http 服务就会被针对
fengyaochen
2023-03-15 06:57:55 +08:00
webdav 加个密码不就好了,没密码进不去就是空白
hubaq
2023-03-15 09:46:02 +08:00
自己去装个 Panabit NTM ,可以验证你的猜想
czwstc
2023-03-15 13:53:41 +08:00
我觉得 https+ basic auth 应该也可以。
YGBlvcAK
2023-03-15 17:13:53 +08:00
@fengyaochen 有密码登录框的
@czwstc 有密码登录框,我的这种方式无论怎么访问都是全白,除非写对了二级目录
@hubaq 很简单的理论,不需要这么麻烦去验证
@ButcherHu http 被针对是因为上级反诈的要求,所以其他协议都安全,至少目前是这样吧,ss+aead 是隐藏所有协议
hubaq
2023-03-15 17:33:47 +08:00
@YGBlvcAK 人向流量有 http 协议,这不就是最明显的证据么?
noahzh
2023-03-16 09:13:07 +08:00
现在都是流量分析,都知道你开了 http 服务,只要上面不查,或者你流量太大了,否则没有人管你,你别搞的一个家用宽带流量分析像诈骗网站就行。
yijiangchengming
2023-03-26 15:52:13 +08:00
我是高端口套腾讯 CDN ,只允许腾讯回源访问。其他探测一律显示端口关闭。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/923605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX