针对家宽私设 web 被停宽带，个人提供 2 个反制方法供讨论

目前来看，运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的，也即是 http 或 https 服务，而其它服务并不会被限制，比如 BT，未知服务，利用这一点，我想到的方案：

1.如果在其它地方有公网 IP，利用内网穿透，frp 或花生壳之类，家宽只要安装客户端即可，不需要对外提供任何 web 服务，这个也算是完美隐藏了，另一个问题是 frp 的流量特征是否要隐藏？

2.https tls1.3，这个方法可能不行。
首先，https 是监控不到你访问的具体内容，但其实 https 还有一个最大的问题，就是会泄漏域名，就是说可以监控到你访问的域名，那他去查这个域名是否备案，或者人工访问这个域名是否能打开，就可以找出家宽的 https 服务了。

tls1.3 一定程度上解决了域名泄漏问题，就是隐藏 sni，即此时只能监控到有 https 访问，但访问的内容和域名都监控不到，那他想要分析，只能尝试用 ip 去访问你的 https 端口，此时访问的是主页，那我把主页设置为空白，他打开的就是一个空白页，那他可能认为你的 https 实际上是无效的，但实际上真实的地址不是主页，而是在二级目录，只有域名加二级目录才能打开，这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你，那也就没折了。

另外一个问题是，目前的 tls1.3 的 sni 并不是强制加密的，只有部分浏览器支持 sni 加密，那这个怎么解决也是个问题。

xuanzc880

2019-10-19 18:26:06 +08:00

@txydhr 核心不是用户有没有违反用户协议么,vps 协议写了不能下版权文件,你违反了被封没问题吧,ISP 的用户协议写了不能私设 web 服务,你违反了也是被 ban 这也没问题吧.
而且很多时候这些都是民不举官不究,你个人用用,违反一些用户协议人家也懒得找你,不管是哪个公司都这样,哪怕微软,Adobe 等,个人用盗版人家根本不管,除非你跳的太厉害,就像之前 v 站被封的那个人,不就是流量超标才被封的么,他后面补充了说似乎用了 2T 的流量.

exiaohao

2019-10-20 20:57:16 +08:00

@ech0x ISP 自己也是用私有的做城域或者省域网的，又不是个个省市都跟上海电信 /深圳电信啥的一样自己的 ASN 往外甩。再说这私有 AS 号和地址人家运营商哪那么容易收。另外 ASN 用私有的搭来自己玩够了，不必先有 ASN。

@kokomo 其实方案很土，只是互相广播地址让它们自动收路由了三层互通，同时保证有冗余，用 OSPF 也一样的。

laevatein

2019-10-21 09:07:28 +08:00

我也被发文了之前 DDNS 两个，一个群晖的 synology.me 一个威联通的 myqnapcloud.cn ，对外网页只有群晖和威联通的管理界面。9 月之前挂过 PT 流量较大，所以估测和流量、未备案域名（ synology.me)还有对外网页都有关系，应该是同时满足三个条件比较容易被查。现在解决方案是开远程桌面端口，其他全关；另外路由器上挂了个 SS 服务器，在外网用 SS 连回路由器然后局域网访问。

galenzhao

2019-10-22 18:18:25 +08:00

还有个方式，
做个 wildcard domain，
然后 subdomain 起的非常奇怪，
default server 直接 return empty body 带奇怪 statuscode，
然后对于 match 正确的 subdomain，校验 UA，不正确同上处理，

这样就比较方便想 hass、synologycam 这些，需要 app 后台一直 refresh 数据的 app 用了，
理论上他只能监测到有 https 服务，但打不开任何内容，

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/610260