这是一个创建于 600 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景: 我需要访问一个国外的网站,网站是 https 的。在 chrome 浏览器中直接访问,请求被 rst 了。通过 dig 命令查 DNS 解析,发现 ip 是正确的,也可以 ping 通。
操作: 我为 chrome 配置了 DoH ,服务商为 cloudflare ( https://dns.Cloudflare.com/dns-query ),这个时候访问正常了
求教: 这玩意儿的拦截是在哪里做的? (想不明白 dig 命令看 ip 是正确的,怎么浏览器加了个 DoH 就可以访问了)
 | 1 israinbow 2024-03-01 20:04:39 +08:00 via Android 你的 chrome 和你的 dog 用的是同一个 dns 么? |
 | 2 renfei 2024-03-01 21:03:46 +08:00  2 HTTPS 握手时,会暴露 SNI 也就是域名,当发现在黑名单里的域名,立即阻断,就是连接被重置 |
 | 3 cnbatch 2024-03-01 21:13:35 +08:00 是哪个网站? 建议把网址发出来,大家可以直接分析原因 |
 | 4 busier 2024-03-01 22:47:34 +08:00 via iPhone SNI 阻断啊 你有没有想过,不 DNS 解析了,直接在 hosts 表里面固定域名和 IP 对应关系后能不能访问? |
 | 5 miaomiao888 2024-03-02 01:50:24 +08:00 不发网址,最讨厌猜问题了。 有些 IP 虽然 443 进了黑洞但如果用传统的 ICMP 协议去 PING 其实是通的,需要用 TCPING 443 端口才有可能发现有没进黑洞。 你的问题可能解析的 IP 都是对的,但可能没用 DOH 时解析的 IP 进了黑洞而 DOH 解析的刚好没有。 |
 | 6 jinliming2 2024-03-02 05:40:58 +08:00 via iPhone 有没有一种可能,dig 用的系统 DNS 解析,返回的 IP 被 SNI 墙,ICMP 能通,TLS SNI 不通。 浏览器配置 DoH 之后,强制走了 DoH 来解析,Cloudflare 的 DNS 因为隐私问题所以不支持 EDNS Client Subnet ,解析到的 IP 和你 dig 的不一样,解析到一个没被墙的 IP ? |
 | 7 fzh2055 OP 一个视频网站 www.zbkyy.com ,DNS 用得 8.8.8.8 ,dig 查出来 2 个 ip 和配置 DoH 后能够正常访问的网站 ip 一致。对了,俺是华数的网 有点不懂这玩意儿是哪里做的拦截,怎么配个 DoH 访问就 OK 了? @miaomiao888 @jinliming2 @israinbow @cnbatch |
| 10 miaomiao888 2024-03-04 08:03:51 +08:00 1 chrome 上配置 DOH 似乎会同时使用 Encrypted ClientHello 加密 TLS 访问网站,这个功能目前是可以绕过 SNI 阻断。 |
 | 11 cleanery 2024-03-04 09:39:48 +08:00 不仅是 DoH 的功劳, 而是 ECS 被启用了 https://developers.cloudflare.com/1.1.1.1/faq/#does-1.1.1.1-send-edns-client-subnet-header |
| 12 fzh2055 OP |
Select Language