针对家宽私设 web 被停宽带,个人提供 2 个反制方法供讨论

2019-10-17 13:53:43 +08:00
 brMu
目前来看,运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的,也即是 http 或 https 服务,而其它服务并不会被限制,比如 BT,未知服务,利用这一点,我想到的方案:

1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?

2.https tls1.3,这个方法可能不行。
首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。

tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。

另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
18205 次点击
所在节点    宽带症候群
78 条回复
alphatoad
2019-10-18 12:03:00 +08:00
@linbenyi 布隆过滤器是一种算法,用于快速过滤可疑邮件。我个人认为可以用来过滤可疑 DNS 请求
xfelix
2019-10-18 12:06:34 +08:00
@mxT52CRuqR6o5 不行,只能 http 和 https,除非付费用 argo 服务。
aliuwr
2019-10-18 12:08:00 +08:00
如果是包检测的方式,只要有 dest port 80/443 的流量就认为违规,那么 IP 白名单,反代和敲门都是没用的。
只能是 frp 之类的中转和 VPN 访问了。
xfelix
2019-10-18 12:23:04 +08:00
就像前面有人说的电信的 inbound 80 和 443 本来就是封掉的。
电信不大可能通过端口扫描的方式来发现你开的 web 服务。如果是的话很简单加个端口扫描源地址自动入黑名单的防火墙过滤策略就行。
电信绝大多数的可能性是在他们局端的设备上看到了访问的地址和端口。因为某些‘未知’的原因,比如大流量,敏感词等(纯属猜测),然后自动触发了警告。于是实施人工的精确打击。 这种情况下你开设的 web 服务是面向全世界的话,没什么很好的办法,除非你把服务器移到境外。如果只是个人家庭远程访问和管理,完全可以通过白名单方式把可以访问的源缩小范围。
我觉得没做亏心事,没必要过分紧张。
exiaohao
2019-10-18 12:51:37 +08:00
家里有公网 IP,云端一台 vRouter。怼一个 GRE,两头 bgp 宣告地址,路由自动发
外部访问通过云端 IDC IP 反回家,云端备个案开个 ocserv 开开心心 AnyCxxxx
此方案在 阿里云 /青云+浙江 /上海电信 /联通 测试通过

随便怎么扫家里的 IP 一点事没有
顺便还能做些别的事 (阿里云 500M 内网到香港这种事我肯定是不知道的 斜眼笑
optional
2019-10-18 14:08:58 +08:00
就是当初协议是一张纸对吧。。。。
hlz0812
2019-10-18 14:15:31 +08:00
@linbenyi 自己谷歌搜国内 nat vps 就可以,但一般是江苏的,如果你在内陆,访问速度也一般
txydhr
2019-10-18 14:20:06 +08:00
@xfelix 关键是你自己要用手机,要用公司网络呀,这些都是常规 IP
txydhr
2019-10-18 14:22:38 +08:00
@xfelix 我也觉得 dpi 设备看到了端口号和主机名,这些设备全世界运营商都有,本来就存在。
txydhr
2019-10-18 14:24:11 +08:00
@xfelix 但是现在搞得人心惶惶的问题是,电信直接停你家宽带,且不可恢复。
LGA1150
2019-10-18 14:30:48 +08:00
https+quic+alt-svc 头
justs0o
2019-10-18 17:00:36 +08:00
根据宽带接入服务协议,第六条
六、协议的中止、解除与终止
(一)甲方有下列情形之一,乙方可以中止本协议(暂停提供服务):
1、提供不真实的客户信息资料;
2、未经乙方同意,擅自在已装的通信线路上装、移(室内移机除外)各种终端设备及
复用设备或转让租用权的;或将宽带以任何方式提供给第三方使用或用作于其他运营商的
违规互联;
3、擅自改变客户类型及使用性质的;或擅自改变宽带安装地址的;
4、利用乙方提供的拨号宽带网络开设 WEB 服务的;
burndown
2019-10-18 17:13:18 +08:00
@exiaohao 你这有详细方案没? BGP 是啥作用?很有兴趣啊
lookas2001
2019-10-18 18:12:13 +08:00
@burndown 这是自建了一个 vpn 吧,vpn 回家( vpn 的最初用途)
但是,为什么要 bgp 什么的,打通家中网络以及云的内网吗?
xuanzc880
2019-10-18 21:37:23 +08:00
好好看看啊用户协议,私设 web 服务被封有问题么?你在国外的 vps 上跑 bt 不也会被封么,要想跑 web 买商用宽带呀.
kennylam777
2019-10-18 22:55:48 +08:00
不介意域名會動的話, 可以用免費版的 argo tunnel, 但境外線路嘛......還是用 VPN 回內網吧
ech0x
2019-10-18 23:01:07 +08:00
@exiaohao 不是,伪造 as 是违法的吧。
exiaohao
2019-10-18 23:35:45 +08:00
@burndown 对,实现自己的全球大内网,然后各种边缘网关帮你当地出网…在国内连上有内网 DNS 国际线+CN2,出国连美 /港的接入点同理可以回国

@ech0x 我有 2 个 ASN,还有私有 AS 段可以用,具体请看 rfc
lqf96
2019-10-19 01:30:41 +08:00
@linbenyi sctp over dtls,google 在实验基于 quic 的 webrtc
@exiaohao 哇,其实可以搞一个 sd-wan,然后自己做自己的 isp,美滋滋
txydhr
2019-10-19 09:43:34 +08:00
@xuanzc880 错了,你在国外 vps 上用 bt 下载没有版权纠纷的东西是绝对没有问题的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/610260

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX