Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
关于泉州网络的一些分析:
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
💻 💻 关注频道:@onesees
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
又反转了
上一篇事件概述
以下是群友投稿的博客原文
“泉州白名单”事件最终结论:
- 没有故意丢包
- 没有SNI阻断
- 没有域名白名单
刚刚看到在花新闻频道又有人在说泉州“白名单”,说会在泉州出口对“非国内认证”的后缀域名进行SNI RST,而且还弄出来一张所谓的证据图,我就特地买了一台泉州电信的服务器来看看真假。
观点一:“如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速,……所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。”
鉴定为:扯淡
证据:投稿者证明“限速”的方法是测ping,他举的例子“ip.sb” 这个域名的后缀".sb"经查询确实不在中国允许备案的后缀中,而且该网站的SSL证书是Cloudflare签发的免费证书。然而,由图一所示,第一行指令的结果表明ping根本没有丢包,第二行指令的结果表明TLS连接完全可以正常进行,完全没有被SNI阻断。至于为什么他的截图里不行?有两种可能:1. 解析出来的CDN IP恰好属于被阻断的IP(在各个地区不一样),只需刷新DNS缓存再重新解析即可;2. 测试服务器之前多次访问套CF网站导致触发了所谓“3分钟阻断”。无论哪种可能,都跟泉州“白名单”毫无关系。
观点二:“这个网站( ip.sb )的SSL证书应该也不是大型机构的SSL证书。”
鉴定为:扯淡
证据:不好意思有点想笑,你说Cloudflare不是大型机构是吧,那谁是?CNNIC吗哈哈哈……建议说之前先好好查查资料。
观点三:“虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。”
鉴定为:扯淡
证据:图二即为我用泉州电信VPS访问一个典型的机场面板网站的结果,该网站套了cf(从图里返回内容就能看出来),而TLS没有受到任何干扰。
该投稿还有很多奇怪的地方,比如ss基于ws,和用ping来检测sni rst……
最后,建议大家别相信v2ex和loc之类网站上发的帖子,因为是个人就能发帖,还不如自己买台机器试试。另外造谣/传谣的可以洗洗睡了。
Source: Ariel‘s Blog
#IT #网络
💻 💻 关注频道:@onesees
上一篇事件概述
以下是群友投稿的博客原文
“泉州白名单”事件最终结论:
- 没有故意丢包
- 没有SNI阻断
- 没有域名白名单
刚刚看到在花新闻频道又有人在说泉州“白名单”,说会在泉州出口对“非国内认证”的后缀域名进行SNI RST,而且还弄出来一张所谓的证据图,我就特地买了一台泉州电信的服务器来看看真假。
观点一:“如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速,……所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。”
鉴定为:扯淡
证据:投稿者证明“限速”的方法是测ping,他举的例子“ip.sb” 这个域名的后缀".sb"经查询确实不在中国允许备案的后缀中,而且该网站的SSL证书是Cloudflare签发的免费证书。然而,由图一所示,第一行指令的结果表明ping根本没有丢包,第二行指令的结果表明TLS连接完全可以正常进行,完全没有被SNI阻断。至于为什么他的截图里不行?有两种可能:1. 解析出来的CDN IP恰好属于被阻断的IP(在各个地区不一样),只需刷新DNS缓存再重新解析即可;2. 测试服务器之前多次访问套CF网站导致触发了所谓“3分钟阻断”。无论哪种可能,都跟泉州“白名单”毫无关系。
观点二:“这个网站( ip.sb )的SSL证书应该也不是大型机构的SSL证书。”
鉴定为:扯淡
证据:不好意思有点想笑,你说Cloudflare不是大型机构是吧,那谁是?CNNIC吗哈哈哈……建议说之前先好好查查资料。
观点三:“虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。”
鉴定为:扯淡
证据:图二即为我用泉州电信VPS访问一个典型的机场面板网站的结果,该网站套了cf(从图里返回内容就能看出来),而TLS没有受到任何干扰。
该投稿还有很多奇怪的地方,比如ss基于ws,和用ping来检测sni rst……
最后,建议大家别相信v2ex和loc之类网站上发的帖子,因为是个人就能发帖,还不如自己买台机器试试。另外造谣/传谣的可以洗洗睡了。
Source: Ariel‘s Blog
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM