V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iflyime
V2EX  ›  宽带症候群

一些关于 SNI 阻断的问题

  •  
  •   iflyime · 73 天前 · 2410 次点击
    这是一个创建于 73 天前的主题,其中的信息可能已经有所发展或是发生改变。

    坐标 SNI 阻断大省,前几天发现同一个服务器上的域名先后被 SNI 阻断了,然后分别测试了移动数据、宽带和电信数据、宽带对于域名 SNI 阻断的情况,因为这几天测试移动的时候有点找不到规律(笑),所以可能还需要再测试几天。目前先说下电信数据、宽带对于域名 SNI 阻断的情况,个人测试的情况是目前数据对于域名的阻断是严于宽带对域名的阻断的,而且会阻断解析到同一个 IP 上的所有域名(至少我个人解析到同一 IP 的域名先后全部被阻断了)。然后接下来分别测试了一下绕过 SNI 阻断的办法:

    1. 套 CDN ,用的是 Cloudflare 的 CDN ,有一定的效果,但是目前还是时不时的会被阻断。

    2. HTTP/3+DOH+DNS 解析添加 HTTPS 类型的解析,直接走 QUIC 协议,目前还没有被阻断。

    3. 直接在域名后面加上根域名 . 然后访问,比如需要访问的域名是 example.com ,直接访问 example.com. 这个地址可以绕过阻断,就是目前什么原理这个还不清楚。

    第 1 条附言  ·  71 天前
    今天看了下,另外的服务器上的一些域名也没能幸免于难,全部被 SNI 阻断了,而且移动阻断的更彻底,宽带数据访问全部阻断,目前先全部套上 CDN 了,怀疑可能是服务器 IP 不干净!?
    另外有人知道第三种绕过的方法是什么原理吗,虽然有时候也会被阻断,但是大部分时候可以直接绕过。
    16 条回复    2024-10-24 10:40:31 +08:00
    JensenQian
        1
    JensenQian  
       73 天前
    你都能来 这里了
    直接加进代理就完事了
    国内直连,国外代理
    完事
    iflyime
        2
    iflyime  
    OP
       73 天前
    @JensenQian 主要是还是想探讨了解一下如何应对单纯的 SNI 阻断这个问题,听说 ECH 也可以绕过 SNI 阻断,但是目前好像没在 Chrome 上找到可以开启的地方!?
    admin13579
        3
    admin13579  
       73 天前 via Android
    目前用的应对方法是域前置,把发送的 sni 伪造成一个白名单里的合法域名,或者直接发送空 sni 。不过这种不适用很多套了 CDN 的网站
    Quic 也可以,因为墙目前技术上还做不到嗅探 quic 的 sni ,ech 直接把 sni 加密了当然也可以,但未来有像 esni 一样被一刀切的风险
    另外如果是自建 https 服务且仅自己一人使用的话(意味着客户端和服务端控制权都在自己手上),那还有一个方法是在双端的防火墙上都写一条简单的命令:丢弃所有接收到的 rst 包。这样虽然还是会触发阻断,但因为阻断用的 RST 包都被你丢了,所以可以顶着阻断强行继续连接
    spartacussoft
        4
    spartacussoft  
       73 天前
    原理方法: https://rentry.co/Your_State_is_Not_Mine_zh_CN
    实现就五花八门了,效果也参差不齐;
    /spartacus-soft/spartacus 实现整体效果较好;
    SpiritYa
        5
    SpiritYa  
       73 天前
    之前刚好打了一个支持 ech 的 nginx docker 镜像,文档中也有关于 Chrome 如何使用 ech 的步骤,可以参考一下: https://www.v2ex.com/t/1058196
    frencis107
        6
    frencis107  
       73 天前
    找反诈中心提交域名核实后就能解,福建的联系泉州反诈中心
    iflyime
        7
    iflyime  
    OP
       73 天前
    @admin13579 你说的这些也都了解过,但是我所希望的更多是在非本地客户端操作或者以最小的代价/最简便的操作从而绕过阻断。
    iflyime
        8
    iflyime  
    OP
       73 天前
    @SpiritYa 现在套 Cloudflare 的 CDN 之后开启 HTTP/3 会自动启用 ECH ,以及现在 Chrome 和 Firefox 好像是默认开启的 ECH ,但是需要配置 DOH ,同时需要关闭系统的代理服务。
    iflyime
        9
    iflyime  
    OP
       73 天前
    @frencis107 你说的好像也是一种办法,但是我好像没有找到地方提交,以及这个不需要域名备案吗,Emmm……
    miaomiao888
        10
    miaomiao888  
       73 天前
    @spartacussoft 所有同类工具都是 free ,只有到了你这。。。
    另外以中国的法律来说,这种工具拿去牟利判刑的时候性质可就不一样了。
    frencis107
        11
    frencis107  
       73 天前   ❤️ 1
    @iflyime 不用备案。如果是福建,找泉州反诈中心公众号,然后留言域名和站点作用,会有人回

    其他省可以联系当地反诈中心公众号/社交媒体账号试下
    cyp0633
        12
    cyp0633  
       73 天前
    @iflyime 我的看法是 ECH 解决的是隐私而不是封锁,因为审查者可以把它一封了之
    至于法不责众的事情,那就看人的魄力了
    ddczl
        13
    ddczl  
       73 天前
    我当前用国内直连,国外代理
    iflyime
        14
    iflyime  
    OP
       71 天前
    @cyp0633 依照之前 ESNI 的后续来看,ECH 被封锁只是时间问题,但是加密 Client Hello 的确是一个绕过 SNI 阻断的思路。
    iflyime
        15
    iflyime  
    OP
       71 天前
    @ddczl 代理也可以,但是我们这个阻断应该只是省级的阻断,而且阻断其实并没有那么的严格,找一些方法不用代理还是可以绕过去的。
    baobao1270
        16
    baobao1270  
       65 天前
    @iflyime
    @admin13579
    ECH 确实可以通过「设置白名单域名」绕过阻断
    但是要 CDN 支持
    Cloudflare 定死 ECH SNI 必须为 cloudflare-ech[.]com 不可以为空也不可以修改,所以无解
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2749 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 03:50 · PVG 11:50 · LAX 19:50 · JFK 22:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.