阿里云未备案网站的封锁策略是?

2015-10-31 12:22:21 +08:00
 yanw
看了 http://www.v2ex.com/t/230352 这帖, 443 端口是否封锁各有说法。

昨晚解析了一个二级域名到阿里云,到现在还没被封(没显示 404 或其它什么提示页)。所以 80 端口的封锁应该是事后进行的,而不是第一次访问阿里云的时候检测?

如果我 80 和 443 端口都不使用的话,用其它端口跑 web 服务,不知道有没有问题,有这样操作过的同学吗?因为搭建的都是自用服务,所以不是 80 和 443 端口也没关系,也就地址多输一下端口号。

如果我不做 DNS 解析,改本地 hosts 文件,比如讲 domain.com 指向阿里云的 ip ,那这种情况又会不会被封?

谢谢各位回答。
9177 次点击
所在节点    服务器
29 条回复
virusdefender
2015-10-31 23:40:40 +08:00
@yanw 我搜索的结果也是这样,使用老版本的 openssl ,但是怕还有类似心脏出血的漏洞
yanw
2015-10-31 23:47:28 +08:00
@virusdefender 我看维基百科说 Heartbleed 影响的版本是 1.0.x (某几个版本),我私自认为 0.9.8 是安全的了。
yanw
2015-11-01 00:02:35 +08:00
@virusdefender 对了,请教一下你 80 端口怎么处理?重定向应该做不到吧?所以你的网站只能用 https 访问而不能用 http 访问咯?
typcn
2015-11-01 00:51:07 +08:00
@yanw
1. SNI 头并不是明文传送的,而是在生成 dh 对之后,加密传输的,证书并不是用来加密的,证书与加密没什么关系,证书只是健全
2.SNI 头是客户端发送给服务器的,你需要在所有客户端禁用 SNI

暴露域名的是证书而不是 SNI
yanw
2015-11-01 01:27:58 +08:00
@typcn 受教。 app 禁用 SNI 头可以理解,但浏览器应该控制不了吧。按你说的证书已经暴露域名,那么想隐藏域名完全不可能咯?只是阿里云暂时没管这种情况,可以这么理解吗?
typcn
2015-11-01 01:44:31 +08:00
@yanw 没管也不好管,因为有各种泛域名,多域名之类的证书
virusdefender
2015-11-01 06:43:17 +08:00
@yanw 是的 80 自己封掉了
kzzhr
2015-11-01 20:23:52 +08:00
两个必要条件: 1 未备案的域名 2 80 端口
waitfish
2015-11-17 09:59:09 +08:00
我来说下吧,阿里云的策略就是分析所有 http 协议的包,只要是里面包含未备案的域名,就会拦截。
所以,结果就是甭管你是不是 80 、 8080 端口,就算你是( 8888 )端口的 http 服务,也会被拦截掉,而用 ip 地址访问就没关系。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232481

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX