求助网站拦截原理

2024-03-01 18:20:31 +08:00
 fzh2055

背景: 我需要访问一个国外的网站,网站是 https 的。在 chrome 浏览器中直接访问,请求被 rst 了。通过 dig 命令查 DNS 解析,发现 ip 是正确的,也可以 ping 通。

操作: 我为 chrome 配置了 DoH ,服务商为 cloudflare ( https://dns.Cloudflare.com/dns-query ),这个时候访问正常了

求教: 这玩意儿的拦截是在哪里做的? (想不明白 dig 命令看 ip 是正确的,怎么浏览器加了个 DoH 就可以访问了)

2439 次点击
所在节点    程序员
12 条回复
israinbow
2024-03-01 20:04:39 +08:00
你的 chrome 和你的 dog 用的是同一个 dns 么?
renfei
2024-03-01 21:03:46 +08:00
HTTPS 握手时,会暴露 SNI 也就是域名,当发现在黑名单里的域名,立即阻断,就是连接被重置
cnbatch
2024-03-01 21:13:35 +08:00
是哪个网站?
建议把网址发出来,大家可以直接分析原因
busier
2024-03-01 22:47:34 +08:00
SNI 阻断啊

你有没有想过,不 DNS 解析了,直接在 hosts 表里面固定域名和 IP 对应关系后能不能访问?
miaomiao888
2024-03-02 01:50:24 +08:00
不发网址,最讨厌猜问题了。

有些 IP 虽然 443 进了黑洞但如果用传统的 ICMP 协议去 PING 其实是通的,需要用 TCPING 443 端口才有可能发现有没进黑洞。
你的问题可能解析的 IP 都是对的,但可能没用 DOH 时解析的 IP 进了黑洞而 DOH 解析的刚好没有。
jinliming2
2024-03-02 05:40:58 +08:00
有没有一种可能,dig 用的系统 DNS 解析,返回的 IP 被 SNI 墙,ICMP 能通,TLS SNI 不通。
浏览器配置 DoH 之后,强制走了 DoH 来解析,Cloudflare 的 DNS 因为隐私问题所以不支持 EDNS Client Subnet ,解析到的 IP 和你 dig 的不一样,解析到一个没被墙的 IP ?
fzh2055
2024-03-03 21:50:45 +08:00
一个视频网站 www.zbkyy.com ,DNS 用得 8.8.8.8 ,dig 查出来 2 个 ip 和配置 DoH 后能够正常访问的网站 ip 一致。对了,俺是华数的网

有点不懂这玩意儿是哪里做的拦截,怎么配个 DoH 访问就 OK 了?

@miaomiao888
@jinliming2
@israinbow
@cnbatch
fzh2055
2024-03-03 22:02:53 +08:00
@renfei 用了 DoH 就可以绕过?
fzh2055
2024-03-03 22:03:50 +08:00
@busier 试过的,不行,挺奇怪的
miaomiao888
2024-03-04 08:03:51 +08:00
chrome 上配置 DOH 似乎会同时使用 Encrypted ClientHello 加密 TLS 访问网站,这个功能目前是可以绕过 SNI 阻断。
cleanery
2024-03-04 09:39:48 +08:00
不仅是 DoH 的功劳, 而是 ECS 被启用了
https://developers.cloudflare.com/1.1.1.1/faq/#does-1.1.1.1-send-edns-client-subnet-header
fzh2055
2024-03-04 16:12:20 +08:00
感谢各位,是 SNI 的原因,与 chrome 版本也有关系。同时开启 DoH 和 ECH 后可以访问

@renfei
@miaomiao888

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1019888

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX