求助网站拦截原理

67 天前
 fzh2055

背景: 我需要访问一个国外的网站,网站是 https 的。在 chrome 浏览器中直接访问,请求被 rst 了。通过 dig 命令查 DNS 解析,发现 ip 是正确的,也可以 ping 通。

操作: 我为 chrome 配置了 DoH ,服务商为 cloudflare ( https://dns.Cloudflare.com/dns-query ),这个时候访问正常了

求教: 这玩意儿的拦截是在哪里做的? (想不明白 dig 命令看 ip 是正确的,怎么浏览器加了个 DoH 就可以访问了)

1618 次点击
所在节点    程序员
12 条回复
israinbow
67 天前
你的 chrome 和你的 dog 用的是同一个 dns 么?
renfei
67 天前
HTTPS 握手时,会暴露 SNI 也就是域名,当发现在黑名单里的域名,立即阻断,就是连接被重置
cnbatch
67 天前
是哪个网站?
建议把网址发出来,大家可以直接分析原因
busier
67 天前
SNI 阻断啊

你有没有想过,不 DNS 解析了,直接在 hosts 表里面固定域名和 IP 对应关系后能不能访问?
miaomiao888
67 天前
不发网址,最讨厌猜问题了。

有些 IP 虽然 443 进了黑洞但如果用传统的 ICMP 协议去 PING 其实是通的,需要用 TCPING 443 端口才有可能发现有没进黑洞。
你的问题可能解析的 IP 都是对的,但可能没用 DOH 时解析的 IP 进了黑洞而 DOH 解析的刚好没有。
jinliming2
67 天前
有没有一种可能,dig 用的系统 DNS 解析,返回的 IP 被 SNI 墙,ICMP 能通,TLS SNI 不通。
浏览器配置 DoH 之后,强制走了 DoH 来解析,Cloudflare 的 DNS 因为隐私问题所以不支持 EDNS Client Subnet ,解析到的 IP 和你 dig 的不一样,解析到一个没被墙的 IP ?
fzh2055
65 天前
一个视频网站 www.zbkyy.com ,DNS 用得 8.8.8.8 ,dig 查出来 2 个 ip 和配置 DoH 后能够正常访问的网站 ip 一致。对了,俺是华数的网

有点不懂这玩意儿是哪里做的拦截,怎么配个 DoH 访问就 OK 了?

@miaomiao888
@jinliming2
@israinbow
@cnbatch
fzh2055
65 天前
@renfei 用了 DoH 就可以绕过?
fzh2055
65 天前
@busier 试过的,不行,挺奇怪的
miaomiao888
65 天前
chrome 上配置 DOH 似乎会同时使用 Encrypted ClientHello 加密 TLS 访问网站,这个功能目前是可以绕过 SNI 阻断。
cleanery
65 天前
不仅是 DoH 的功劳, 而是 ECS 被启用了
https://developers.cloudflare.com/1.1.1.1/faq/#does-1.1.1.1-send-edns-client-subnet-header
fzh2055
64 天前
感谢各位,是 SNI 的原因,与 chrome 版本也有关系。同时开启 DoH 和 ECH 后可以访问

@renfei
@miaomiao888

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1019888

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX