V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
danhuang
V2EX  ›  宽带症候群

关于泉州白名单,有几点纠正一下

  •  
  •   danhuang · 56 天前 · 5777 次点击
    这是一个创建于 56 天前的主题,其中的信息可能已经有所发展或是发生改变。

    以下为个人测试结果,如有错误,欢迎纠错。

    首先并非网传的仅备案那么玄乎,经测试,机制为 ip 黑名单,直接阻断,可以通过换 ip 解决。

    以一个刚注册的域名为例,源站香港加 cloudflare free cdn ,阻断 源站上海不加 cdn ,不阻断。 由于 cloud flare 大部分 ip 已上黑名单,所以才会有网传的白名单这种结论。

    解决方案 1 。中转 2.ipv6

    24 条回复    2022-05-16 18:29:46 +08:00
    villivateur
        1
    villivateur  
       56 天前
    改下排版吧,趁还来得及
    Chism
        2
    Chism  
       56 天前
    我的博客在华为云 HK ,泉州也无法访问
    V1Eerie
        3
    V1Eerie  
       56 天前 via Android   ❤️ 2
    sni 阻断是已经运用的成熟技术,目前在泉州地区存在针对未备案域名的阻断即所谓的白名单
    ruixue
        4
    ruixue  
       56 天前   ❤️ 3
    “源站上海不加 cdn ,不阻断”

    ?? 源站在上海说明 ip 在国内且域名有备案,怎么能得出不存在 sni 阻断的结论的

    而且,“cloudflare 大部分 ip 已上黑名单”已经够可怕了好吧,全球多少网站都在用 cloudflare ,这一下子也相当于墙了海量的网站,触目惊心
    xyjincan
        5
    xyjincan  
       56 天前 via Android
    有没有服务器测试让大家见识一下
    wske
        6
    wske  
       56 天前 via Android
    你做了什么测试,测试方法是什么应该说清楚。
    上来就摆结论,说服力不够。
    smileawei
        7
    smileawei  
       56 天前   ❤️ 1
    如果是 sni 阻断。那是不是伪造成和 www.qq.com 这类的站点就可以绕过。当然证书你可以选择自签名
    geekvcn
        8
    geekvcn  
       56 天前
    @smileawei 脱裤子放屁,sni 阻断直接升级到 TLS1.3 就能避免的东西
    viberconnection
        9
    viberconnection  
       56 天前   ❤️ 1
    @geekvcn 仁兄,我上網搜尋了才知:TLS1.3 和 TLS1.3 ESNI 是不同的意思,ESNI 只是一個可選標準而已。
    geekvcn
        10
    geekvcn  
       56 天前 via Android
    @viberconnection 你用什么搜索引擎能搜出这种结果? TLS1.3 强制采用 ECHDE 握手算法,你说的 ESNI 是 TLS1.3 没出来前,给 TLS1.2 打的补丁,需要浏览器支持,当时是火狐的方案,现在早就被 ECH 替代了。
    Buges
        11
    Buges  
       56 天前 via Android   ❤️ 1
    @geekvcn ESNI 虽然过时了,但继任的 ECH 也只是 tls1.3 的可选扩展而已。用现代浏览器打开 https://www.cloudflare.com/cdn-cgi/trace
    你会看到
    tls=TLSv1.3
    sni=plaintext
    danhuang
        12
    danhuang  
    OP
       56 天前
    @ruixue 域名未备案,仅临时调成上海 IP
    ruixue
        13
    ruixue  
       56 天前
    @danhuang 没备案的域名解析到国内的 ip 时间长了就会阻断了,即使短时间内没有阻断,那也和泉州的墙没啥关系
    ruixue
        14
    ruixue  
       56 天前
    @danhuang 国内的机房对未备案的域名都有监测阻断机制,如果要做测试,国内 ip 的参考价值不大,更何况大家担心的是访问国外的互联网而不是访问国内,所以理应都用国外的 ip 做对照测试
    z919126592
        15
    z919126592  
       56 天前 via iPhone
    上海当然不阻断,只有境外阻断。可以随便找个境外 IP 解析测试。
    另外经过我三天以来的连续测试,连续的请求中说有部分会漏掉而可以达到部分请求不被阻断正常连接,可能是过滤设备性能不够用。
    z919126592
        16
    z919126592  
       56 天前 via iPhone
    @smileawei 是的
    takeshima
        17
    takeshima  
       56 天前
    @geekvcn TLS 1.3 没有强制 ECH ,cloudflare 都才支持 ECH 没多久,Google 早就支持 TLS 1.3 了 ,你看你访问 google 能绕开 SNI 阻断吗?
    LnTrx
        18
    LnTrx  
       55 天前
    > 由于 cloud flare 大部分 ip 已上黑名单

    小部分是哪些?
    smileawei
        19
    smileawei  
       55 天前
    @geekvcn #8 那不如直接不用 tls 伪装的协议得了。
    swiftg
        20
    swiftg  
       55 天前 via iPhone
    楼主都没搞懂墙在哪里,源站在上海的话流量都不经过墙,墙怎么给你阻断?
    swiftg
        21
    swiftg  
       55 天前 via iPhone
    都不需要自己注册域名和买服务器,随便找一个有 https 网页服务的海外 ip ,比如 cf 的 ip ,curl 命令加上任意白名单外的域名,看看有没有被 sni 阻断
    AII
        22
    AII  
       54 天前
    @swiftg 这楼主是当师爷的好材料,装糊涂的天才。拿国内 IP 测墙真的牛批。

    @geekvcn Google 早就启用 TLS 1.3 了,你现在去找个 443 开着的 GWS IP ,用 hosts 解析过去看看能连不能。
    butanediol2d
        23
    butanediol2d  
       52 天前
    @AII #22
    @swiftg #20

    虽然楼主的测试可能不是很严谨,但我觉得国内 IP 这个测试也不是没有用处啊。

    如果国内 IP 没有墙,那对于目前很多人用的国内机中转的翻墙方式来说并无太大影响。
    如果国内 IP 都按白名单来,那才是没有办法了吧。
    swiftg
        24
    swiftg  
       51 天前 via iPhone
    @butanediol2d 国内 IP 肯定没墙啊,还用测么?墙只存在于流量出入境的地方,就像国内省和省之间没有边境检查站一样。拿国内 IP 去测试墙非蠢即坏
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4098 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:39 · PVG 15:39 · LAX 00:39 · JFK 03:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.