Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
关于泉州网络的一些分析:
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
💻 💻 关注频道:@onesees
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
又反转了
上一篇事件概述
以下是群友投稿的博客原文
“泉州白名单”事件最终结论:
- 没有故意丢包
- 没有SNI阻断
- 没有域名白名单
刚刚看到在花新闻频道又有人在说泉州“白名单”,说会在泉州出口对“非国内认证”的后缀域名进行SNI RST,而且还弄出来一张所谓的证据图,我就特地买了一台泉州电信的服务器来看看真假。
观点一:“如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速,……所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。”
鉴定为:扯淡
证据:投稿者证明“限速”的方法是测ping,他举的例子“ip.sb” 这个域名的后缀".sb"经查询确实不在中国允许备案的后缀中,而且该网站的SSL证书是Cloudflare签发的免费证书。然而,由图一所示,第一行指令的结果表明ping根本没有丢包,第二行指令的结果表明TLS连接完全可以正常进行,完全没有被SNI阻断。至于为什么他的截图里不行?有两种可能:1. 解析出来的CDN IP恰好属于被阻断的IP(在各个地区不一样),只需刷新DNS缓存再重新解析即可;2. 测试服务器之前多次访问套CF网站导致触发了所谓“3分钟阻断”。无论哪种可能,都跟泉州“白名单”毫无关系。
观点二:“这个网站( ip.sb )的SSL证书应该也不是大型机构的SSL证书。”
鉴定为:扯淡
证据:不好意思有点想笑,你说Cloudflare不是大型机构是吧,那谁是?CNNIC吗哈哈哈……建议说之前先好好查查资料。
观点三:“虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。”
鉴定为:扯淡
证据:图二即为我用泉州电信VPS访问一个典型的机场面板网站的结果,该网站套了cf(从图里返回内容就能看出来),而TLS没有受到任何干扰。
该投稿还有很多奇怪的地方,比如ss基于ws,和用ping来检测sni rst……
最后,建议大家别相信v2ex和loc之类网站上发的帖子,因为是个人就能发帖,还不如自己买台机器试试。另外造谣/传谣的可以洗洗睡了。
Source: Ariel‘s Blog
#IT #网络
💻 💻 关注频道:@onesees
上一篇事件概述
以下是群友投稿的博客原文
“泉州白名单”事件最终结论:
- 没有故意丢包
- 没有SNI阻断
- 没有域名白名单
刚刚看到在花新闻频道又有人在说泉州“白名单”,说会在泉州出口对“非国内认证”的后缀域名进行SNI RST,而且还弄出来一张所谓的证据图,我就特地买了一台泉州电信的服务器来看看真假。
观点一:“如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速,……所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。”
鉴定为:扯淡
证据:投稿者证明“限速”的方法是测ping,他举的例子“ip.sb” 这个域名的后缀".sb"经查询确实不在中国允许备案的后缀中,而且该网站的SSL证书是Cloudflare签发的免费证书。然而,由图一所示,第一行指令的结果表明ping根本没有丢包,第二行指令的结果表明TLS连接完全可以正常进行,完全没有被SNI阻断。至于为什么他的截图里不行?有两种可能:1. 解析出来的CDN IP恰好属于被阻断的IP(在各个地区不一样),只需刷新DNS缓存再重新解析即可;2. 测试服务器之前多次访问套CF网站导致触发了所谓“3分钟阻断”。无论哪种可能,都跟泉州“白名单”毫无关系。
观点二:“这个网站( ip.sb )的SSL证书应该也不是大型机构的SSL证书。”
鉴定为:扯淡
证据:不好意思有点想笑,你说Cloudflare不是大型机构是吧,那谁是?CNNIC吗哈哈哈……建议说之前先好好查查资料。
观点三:“虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。”
鉴定为:扯淡
证据:图二即为我用泉州电信VPS访问一个典型的机场面板网站的结果,该网站套了cf(从图里返回内容就能看出来),而TLS没有受到任何干扰。
该投稿还有很多奇怪的地方,比如ss基于ws,和用ping来检测sni rst……
最后,建议大家别相信v2ex和loc之类网站上发的帖子,因为是个人就能发帖,还不如自己买台机器试试。另外造谣/传谣的可以洗洗睡了。
Source: Ariel‘s Blog
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
作为一位出生起至今在泉州的本地人,有幸使用过单品类不下于三条的泉州地区三大运营商家宽。我想对前面几条关于泉州白名单话题做一份比较有意思解释:
泉州的白名单其实很简单,这无关域名和证书的猜测。对于家庭宽带来说,只要你访问了绑定境外IP且未经过备案白名单的域名就无法被解析,与端口、协议无关。不管是80的HTTP还是带有SSL的443,这与协议和端口的猜测无关。只要你绑定的落地IP不属于境内,均会遭到阻断。特征就是你可以Ping得通,但是连接后会出现连接被重置(白名单仅限于域名,使用IP接入不会受到影响)。
以上仅限于家宽层面,然后我再来解释一下为什么楼上买了电信的VPS服务器可以正常接入到CloudFlare网站,这个问题也很好解释,商业网络和民间使用网络是不一样的,从线路上就被区分了。
泉州白名单事情其实从2020年之后就有的,前期是移动被发现存在墙中墙情况,表现即为Steam无法正常登录,使用相关加速软件依然无法登录。
长期折磨后更换了电信,泉州电信在当时很长一段时间一直都是试点区,一个月用非常便宜的套餐价格就能拥有非常优质的千兆网络,南电信北联通定律还是生效的。但是好景不长,直到有一天发现电信也出现了和移动一样的问题,但是没有移动那么严重,表现特征就是使用加速器网卡接入到运营商后Steam很容易出现验证错误然后掉线无法再登录(图标目录后缀加“-UDP”和“- TCP”无解)。
最后最后的希望和压力来到了联通,联通的无白名单情况挺到了2021年末也结束了。
至此大泉州范围正式进入了白名单环境。
注意是大泉州范围,但也仅限于泉州范围。泉州里的部分发展不太好的县市区的部分网络可能存在特殊情况,取决于是否遵守这个白名单策略。有的地方较早期的家庭网络会不受白名单控制,新的也有但比较少了,个别情况无法代表完整的情况,新拉的宽带99.9%会受到这个白名单规则控制。除此之外,商业用途(比如酒店、服务器网络)的宽带90%不受域名白名单规则控制。IP直接接入也不会受到域名白名单规则控制。
from:@TestFlightCN
#IT #网络
💻 💻 关注频道:@onesees
泉州的白名单其实很简单,这无关域名和证书的猜测。对于家庭宽带来说,只要你访问了绑定境外IP且未经过备案白名单的域名就无法被解析,与端口、协议无关。不管是80的HTTP还是带有SSL的443,这与协议和端口的猜测无关。只要你绑定的落地IP不属于境内,均会遭到阻断。特征就是你可以Ping得通,但是连接后会出现连接被重置(白名单仅限于域名,使用IP接入不会受到影响)。
以上仅限于家宽层面,然后我再来解释一下为什么楼上买了电信的VPS服务器可以正常接入到CloudFlare网站,这个问题也很好解释,商业网络和民间使用网络是不一样的,从线路上就被区分了。
泉州白名单事情其实从2020年之后就有的,前期是移动被发现存在墙中墙情况,表现即为Steam无法正常登录,使用相关加速软件依然无法登录。
长期折磨后更换了电信,泉州电信在当时很长一段时间一直都是试点区,一个月用非常便宜的套餐价格就能拥有非常优质的千兆网络,南电信北联通定律还是生效的。但是好景不长,直到有一天发现电信也出现了和移动一样的问题,但是没有移动那么严重,表现特征就是使用加速器网卡接入到运营商后Steam很容易出现验证错误然后掉线无法再登录(图标目录后缀加“-UDP”和“- TCP”无解)。
最后最后的希望和压力来到了联通,联通的无白名单情况挺到了2021年末也结束了。
至此大泉州范围正式进入了白名单环境。
注意是大泉州范围,但也仅限于泉州范围。泉州里的部分发展不太好的县市区的部分网络可能存在特殊情况,取决于是否遵守这个白名单策略。有的地方较早期的家庭网络会不受白名单控制,新的也有但比较少了,个别情况无法代表完整的情况,新拉的宽带99.9%会受到这个白名单规则控制。除此之外,商业用途(比如酒店、服务器网络)的宽带90%不受域名白名单规则控制。IP直接接入也不会受到域名白名单规则控制。
from:@TestFlightCN
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
AdGuard发布了基于Manifest V3的广告拦截器
Manifest V3 是谷歌于 2018 年提出的新一代浏览器扩展标准,在 2023 年初(4个月后)即将部署至最新的 Chrome 浏览器,原先基于 Manifest V2 的浏览器插件将停止运行。根据 AdGuard 今天发表的博客: https://adguard.com/en/blog/adguard-mv3.html ,基于 Manifest V3 的广告屏蔽类扩展将迎来以下变化:
1. 规则条数的限制:Manifest V3 规定浏览器单个插件加载的规则条数不得超过 30,000 条,整个浏览器所安装的全部屏蔽类插件(例如 AdGuard, uBlock Origin, Adblock Plus 等)不得超过 330,000 条。其中单个插件的规则里最多有 1000 个使用正则匹配书写的规则,对于用户自己设定的规则,也有不得超过 5000 条的限制(可以参考的是:AdGuard 官方的中文规则集就有 25,000+ 条)
2. 声明性规则(Declarative rules)的变化:在 Manifest V2 中,网络请求会先经过浏览器插件的处理,再将结果交由浏览器,而在 Manifest V3 中,浏览器插件只能向浏览器声明使用到的规则,而网络请求的处理会交给浏览器,浏览器插件甚至无法得到拦截的日志和统计数据,这将严重限制插件屏蔽广告的能力
3. 规则语法的变化:原先使用一行规则即可完成的操作如今却需要将其转换为 json 格式,例如:
在 Manifest V2 中的规则: ||example.com^$script
在 Manifest V3 中需要写成如下形式:
4. 规则集的变化:在 Manifest V2 中,所有插件内置的规则集都可以在不更新插件的情况下独立更新,而在 Manifest V3 中,所有的规则集都被写入了插件内的 manifest.json 文件,只有当插件更新时规则才会得到更新。这会导致一个严重的问题:网站会一直变化,而规则集的更新速度赶不上网站的更新速度,因为在 Manifest V3 中更新规则集就需要更新插件,而开发者在提交插件至 Chrome 应用商店后还需要等待其被审核通过才能让用户得到更新
5. 插件运行后台的变化:在 Manifest V3 中,除正在浏览的标签页外,对于其他标签页而言,插件将进入一种 “休眠状态”,这会导致部分已加载的规则失效,而当再次切换到这些标签页时,插件则需要 1.5-2s 的时间重新加载规则,这可能会导致广告位置出现 “闪烁”
from:@TestFlightCN
#IT #广告插件
💻 💻 关注频道:@onesees
Manifest V3 是谷歌于 2018 年提出的新一代浏览器扩展标准,在 2023 年初(4个月后)即将部署至最新的 Chrome 浏览器,原先基于 Manifest V2 的浏览器插件将停止运行。根据 AdGuard 今天发表的博客: https://adguard.com/en/blog/adguard-mv3.html ,基于 Manifest V3 的广告屏蔽类扩展将迎来以下变化:
1. 规则条数的限制:Manifest V3 规定浏览器单个插件加载的规则条数不得超过 30,000 条,整个浏览器所安装的全部屏蔽类插件(例如 AdGuard, uBlock Origin, Adblock Plus 等)不得超过 330,000 条。其中单个插件的规则里最多有 1000 个使用正则匹配书写的规则,对于用户自己设定的规则,也有不得超过 5000 条的限制(可以参考的是:AdGuard 官方的中文规则集就有 25,000+ 条)
2. 声明性规则(Declarative rules)的变化:在 Manifest V2 中,网络请求会先经过浏览器插件的处理,再将结果交由浏览器,而在 Manifest V3 中,浏览器插件只能向浏览器声明使用到的规则,而网络请求的处理会交给浏览器,浏览器插件甚至无法得到拦截的日志和统计数据,这将严重限制插件屏蔽广告的能力
3. 规则语法的变化:原先使用一行规则即可完成的操作如今却需要将其转换为 json 格式,例如:
在 Manifest V2 中的规则: ||example.com^$script
在 Manifest V3 中需要写成如下形式:
{
"id": 1,
"action": {
"type": "block"
},
"condition": {
"urlFilter": "||example.com^",
"resourceTypes": [
"script"
],
"isUrlFilterCaseSensitive": false
}
}
这将导致现在所有的热门规则失效,因为他们需要将格式转换为 Manifest V3 的标准格式,并且对于个人而言创建一条自己的规则将变得更困难4. 规则集的变化:在 Manifest V2 中,所有插件内置的规则集都可以在不更新插件的情况下独立更新,而在 Manifest V3 中,所有的规则集都被写入了插件内的 manifest.json 文件,只有当插件更新时规则才会得到更新。这会导致一个严重的问题:网站会一直变化,而规则集的更新速度赶不上网站的更新速度,因为在 Manifest V3 中更新规则集就需要更新插件,而开发者在提交插件至 Chrome 应用商店后还需要等待其被审核通过才能让用户得到更新
5. 插件运行后台的变化:在 Manifest V3 中,除正在浏览的标签页外,对于其他标签页而言,插件将进入一种 “休眠状态”,这会导致部分已加载的规则失效,而当再次切换到这些标签页时,插件则需要 1.5-2s 的时间重新加载规则,这可能会导致广告位置出现 “闪烁”
from:@TestFlightCN
#IT #广告插件
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1
一览
AdGuard发布了基于Manifest V3的广告拦截器 Manifest V3 是谷歌于 2018 年提出的新一代浏览器扩展标准,在 2023 年初(4个月后)即将部署至最新的 Chrome 浏览器,原先基于 Manifest V2 的浏览器插件将停止运行。根据 AdGuard 今天发表的博客: https://adguard.com/en/blog/adguard-mv3.html ,基于 Manifest V3 的广告屏蔽类扩展将迎来以下变化: 1. 规则条数的限制:Manifest V3 …
🙃Chromium下的广告过滤扩展已成过去(2023 年初),你只能选择
✅使用Firefox浏览器下的广告过滤扩展,建议使用国际版(由于火狐在国内的公司新提供广告过滤扩展而屡败官司,所以大陆和香港IP无法安装广告过滤扩展。如果想安装广告过滤扩展可以代理Firefox的流量来安装,方法自寻)
✅使用AdGuard Windows版接管所有软件的网络流量并过滤,广告过滤并不局限于浏览器,你的QQ以及其他软件也能过滤(前提是有对应的规则,没有就自己学自己写)
AdGuard发布了基于Manifest V3的广告拦截器
SRC:@TestFlightCN
#IT #广告插件
💻 💻 关注频道:@onesees
✅使用Firefox浏览器下的广告过滤扩展,建议使用国际版(由于火狐在国内的公司新提供广告过滤扩展而屡败官司,所以大陆和香港IP无法安装广告过滤扩展。如果想安装广告过滤扩展可以代理Firefox的流量来安装,方法自寻)
✅使用AdGuard Windows版接管所有软件的网络流量并过滤,广告过滤并不局限于浏览器,你的QQ以及其他软件也能过滤(前提是有对应的规则,没有就自己学自己写)
AdGuard发布了基于Manifest V3的广告拦截器
SRC:@TestFlightCN
#IT #广告插件
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1