Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
关于泉州网络的一些分析:
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
💻 💻 关注频道:@onesees
我想把问题分成两个部分:
1.泉州的网络和其他地区有区别吗?
2.泉州的网络到底做了些什么?
针对第一个问题:泉州的网络的网络和其他地区有没有区别?
是有的。可以查看图一,之所以选择图一,是因为图一的域名正好符合一些原因。 (但是主要针对诈骗,不是机场)
针对第二个问题:泉州的网络到底有什么不同?
我这里结合V2EX的帖子,和我自己的测试,发现泉州的网络有一套选择的系统。
简而言之可以总结是:
1.SNI阻断或者限速只针对于经过出口的域名。
2.域名的TLD都是小众的TLD(并不在中国允许申请的TLD名单内,这可能是谣言的来源) 虽然.xyz在中国允许申请的名单内,但是因为成本太低,所以被泉州终点盯防
3.网站的SSL证书一般都是免费SSL证书或自签
4.一般是限速,但是如果网站把域名部署在CDN上就会被SNI阻断。
个人估计泉州的网络是做了一个风险评估的分级,风险评估的策略一般是这样的:首先检查网站的域名,如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速。(为什么要这样做,因为知名的TLD如.com价格都比较贵,替换成本较高,SSL证书也是一样。初步认为这应该是针对诈骗,例如网上赌场,之后我会解释原因)。为什么有些网站会被SNI阻断呢,原因是因为网站的管理者将这个网站的域名部署进了CDN,泉州的网关无法对CDN进行限速,原因是如果对CDN进行限速,所以部署在这个CDN上的网站都会被限速,所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。(关于什么是LTD,什么是TLS,什么是SNI我会把博客的地址放在下方)。为什么我会说泉州的网络比较特殊呢?因为最近一个用来给机场提供的主机识别IP地址的域名被泉州进行了DNS污染。为什么会被DNS污染,相信各位看到这个网址就明白了。这个网站的TLD是比较小众的。这个网站的SSL证书应该也不是大型机构的SSL证书。但是这个网站之前据说是被限速。(因为没有部署加速)但是最近被DNS污染了,说明泉州的网络管理更加严格。为什么我说机场是被误伤了呢,因为机场的域名一直容易被污染,所以机场使用的域名一般都是便宜的小众域名(方便迁移,SSL证书也是一样)。所以被误伤了,但是有网友发现,基于域名的Vemess协议出现了限速,而基于IP地址的SS没有出现限速,如果是针对机场的话,为什么不给SS限速呢。虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。最后如何解决:首先因为泉州的限速是只针对经过泉州出口,所以选用带有中转加速的机场就可以了。
什么是TLD: https://zhuanlan.zhihu.com/p/376142877
什么是TLS: https://toutyrater.github.io/advanced/tls.html
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
什么是SNI: https://www.cloudflare.com/zh-cn/learning/ssl/what-is-sni/
测试域名:ip.sp
中国允许申请的TLD名单:https://domain.miit.gov.cn/
#IT #网络
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM