这是一个创建于 407 天前的主题,其中的信息可能已经有所发展或是发生改变。
坐标 SNI 阻断大省,前几天发现同一个服务器上的域名先后被 SNI 阻断了,然后分别测试了移动数据、宽带和电信数据、宽带对于域名 SNI 阻断的情况,因为这几天测试移动的时候有点找不到规律(笑),所以可能还需要再测试几天。目前先说下电信数据、宽带对于域名 SNI 阻断的情况,个人测试的情况是目前数据对于域名的阻断是严于宽带对域名的阻断的,而且会阻断解析到同一个 IP 上的所有域名(至少我个人解析到同一 IP 的域名先后全部被阻断了)。然后接下来分别测试了一下绕过 SNI 阻断的办法:
1. 套 CDN 用的是 Cloudflare 的 CDN ,有一定的效果,但是目前还是时不时的会被阻断。
2. HTTP/3+DOH+DNS 解析添加 HTTPS 类型的解析,直接走 QUIC 协议,目前还没有被阻断。
3. 直接在域名后面加上根域名 . 然后访问,比如需要访问的域名是 example.com ,直接访问 example.com. 这个地址可以绕过阻断,就是目前什么原理这个还不清楚。
第 1 条附言 2024-10-17 21:16:06 +08:00
今天看了下,另外的服务器上的一些域名也没能幸免于难,全部被 SNI 阻断了,而且移动阻断的更彻底,宽带数据访问全部阻断,目前先全部套上 CDN 了,怀疑可能是服务器 IP 不干净!?
另外有人知道第三种绕过的方法是什么原理吗,虽然有时候也会被阻断,但是大部分时候可以直接绕过。
另外有人知道第三种绕过的方法是什么原理吗,虽然有时候也会被阻断,但是大部分时候可以直接绕过。
 | 1 JensenQian 2024-10-15 16:55:13 +08:00 你都能来 这里了 直接加进代理就完事了 国内直连,国外代理 完事 |
 | 2 iflyime OP @JensenQian 主要是还是想探讨了解一下如何应对单纯的 SNI 阻断这个问题,听说 ECH 也可以绕过 SNI 阻断,但是目前好像没在 Chrome 上找到可以开启的地方!? |
 | 3 admin13579 2024-10-15 17:15:45 +08:00 via Android 目前用的应对方法是域前置,把发送的 sni 伪造成一个白名单里的合法域名,或者直接发送空 sni 。不过这种不适用很多套了 CDN 的网站 Quic 也可以,因为墙目前技术上还做不到嗅探 quic 的 sni ,ech 直接把 sni 加密了当然也可以,但未来有像 esni 一样被一刀切的风险 另外如果是自建 https 服务且仅自己一人使用的话(意味着客户端和服务端控制权都在自己手上),那还有一个方法是在双端的防火墙上都写一条简单的命令:丢弃所有接收到的 rst 包。这样虽然还是会触发阻断,但因为阻断用的 RST 包都被你丢了,所以可以顶着阻断强行继续连接 |
 | 4 spartacussoft 2024-10-15 17:22:34 +08:00 原理方法: https://rentry.co/Your_State_is_Not_Mine_zh_CN 实现就五花八门了,效果也参差不齐; /spartacus-soft/spartacus 实现整体效果较好; |
 | 5 SpiritYa 2024-10-15 17:25:26 +08:00 之前刚好打了一个支持 ech 的 nginx docker 镜像,文档中也有关于 Chrome 如何使用 ech 的步骤,可以参考一下: t/1058196 |
 | 6 qwertooo 2024-10-15 17:39:10 +08:00 找反诈中心提交域名核实后就能解,福建的联系泉州反诈中心 |
| 7 iflyime OP @admin13579 你说的这些也都了解过,但是我所希望的更多是在非本地客户端操作或者以最小的代价/最简便的操作从而绕过阻断。 |
| 8 iflyime OP @SpiritYa 现在套 Cloudflare 的 CDN 之后开启 HTTP/3 会自动启用 ECH ,以及现在 Chrome 和 Firefox 好像是默认开启的 ECH ,但是需要配置 DOH ,同时需要关闭系统的代理服务。 |
| 9 iflyime OP @frencis107 你说的好像也是一种办法,但是我好像没有找到地方提交,以及这个不需要域名备案吗,Emmm…… |
 | 10 miaomiao888 2024-10-15 20:11:03 +08:00 @spartacussoft 所有同类工具都是 free ,只有到了你这。。。 另外以中国的法律来说,这种工具拿去牟利判刑的时候性质可就不一样了。 |
| 11 qwertooo 2024-10-15 21:51:52 +08:00  1 |
 | 12 cyp0633 2024-10-16 00:18:21 +08:00 @iflyime 我的看法是 ECH 解决的是隐私而不是封锁,因为审查者可以把它一封了之 至于法不责众的事情,那就看人的魄力了 |
 | 13 ddczl 2024-10-16 11:40:26 +08:00 我当前用国内直连,国外代理 |
| 14 iflyime OP @cyp0633 依照之前 ESNI 的后续来看,ECH 被封锁只是时间问题,但是加密 Client Hello 的确是一个绕过 SNI 阻断的思路。 |
| 15 iflyime OP @ddczl 代理也可以,但是我们这个阻断应该只是省级的阻断,而且阻断其实并没有那么的严格,找一些方法不用代理还是可以绕过去的。 |
 | 16 baobao1270 2024-10-24 10:40:31 +08:00 @iflyime @admin13579 ECH 确实可以通过「设置白名单域名」绕过阻断 但是要 CDN 支持 Cloudflare 定死 ECH SNI 必须为 cloudflare-ech[.]com 不可以为空也不可以修改,所以无解 |
Select Language