坐标洞 28
三天用手机挂着家宽跑流量消失,大概 1T 多 手机挂家宽伪装 http https 家宽内 nas 映射打开外网端口 DDNS 域名动态自更新 双宽,多个公网 ip 入口 单入口最差上行 70mbps ,最高 400mbps 总上行最高接近 800mbps
年前停宽,投诉后记录查询 初四提交反馈,非正常停用,继续查 初五回复业务使用异常停宽,需营业厅核实 初六营业厅查询,支撑平台回复需要解绑 ddns 并备案 初七关停家宽内所有 web 对外内容 初八打开对外 web 入口,取消明文,取消非指定入口请求一切应答,取消一切入口 web 可显示内容(无 200 404 403 503 530 301 302),只留下 tcp 延迟,关闭 imcp 初九装维上门拍照,回复后台查到有在提供 web 内容,需要备案才解封。询问专线最低费用,万多/年
初十,阿里年费 99 购入 ECS ,已有 10 年域名,根域名 www 提交备案,网页内容为网速和延迟测试
十四,无新进展,未解封,备案审核中
1
Zeaxion OP 根据和运营商拉扯,得知封宽有几点要求
1,大流量上传,突发和长期总量 2,有任何内容显示 http/https 端口,包括 curl header200 浏览器访问 3,未备案域名解析 4,被人投诉,上层指明关注,近期专项整治 等 |
2
cr3bit 275 天前 via iPhone
主要问题不是大流量,是 http
流量可以刚,http 你这是地鼠露头等着被锤 |
3
tediorelee 275 天前
OP 这上传量大概多少啊
|
4
hi2hi 275 天前
主要是 web 服务,这个严格些
|
5
LYwyc2 275 天前
没给你收回公网 ip 都已经算大人大的了
|
6
xdeng 275 天前
没遵守合约
|
7
Pteromyini 275 天前
你这个纯粹的自找的...
|
8
jmxct520 275 天前
家宽用 http ,楼主嫌弃公网 IP 不爽吗,移动专线可以找我,价格和家宽相差不大 200-500 元不等
|
13
acbot 275 天前
2# 4# 5# 7# 懂行的大佬不少!
一句话形容 OP 行为:初生牛犊不怕虎! |
14
lisonfan 275 天前 via iPhone
怕了怕了,还是套一层 CF Tunnels 稳一点
|
15
herozzm 275 天前
就算有备案,家宽也不会给你开通网页服务的,你也真行,上门核查了还给看到,就是作死
|
17
kwater 274 天前
备案本质是你登记通管局你在什么 ISP 有业务。
每个备案是独立的 解析到阿里云 ECS 就是在阿里云填表 ,申请 。 如果你解析到了联通,没有在联通备案,那是不允许的,联通不解决也要被通管局处罚。 |
18
caola 274 天前
我用内网浏览不大的 WEB 一般用 VPS 来中转一下(不放心数据放在 VPS 或云),
流量大的(文件服务器)就不使用中转,但通过下载页面传参并校验,校验不通过的一率返回 TCP RESET 报文( golang 写的微型文件服务器) |
19
Zeaxion OP @herozzm 我这个是异常大流量自动标记后触发探针,探针顺着弹出页面,不过问题不大,本来就是副宽,能解就解了,解不开就拆线咯。再说我主线上单 ip 就有 400mbps 上行,你说香不香
|
21
kwater 274 天前 1
没有包装走隧道( wg 、tun ),裸着 http/https ?
如果是的话,协议特征这么明显且有量,在数据中台你是裸奔的 |
22
morpheuszero2023 274 天前
NAS 一直对外开着 HTTP ,HTTPS ,webdav ( HTTP/HTTPS ),使用频率很低,流量也很低。用很久了,没人查。
|
23
morpheuszero2023 274 天前
我申请公网 IP 时给的理由就是 NAS 外部访问...他们当时就上门拍照了,然后给我开了。
|
24
s1e42NxZVE484pwH 274 天前 via iPhone
那这么说 NAS 也不能暴露到公网使用了?
|
26
SuperArilo 274 天前
同为 028 但是联通。
家里只对外开放过 Minecrraft ,有 DDNS 但域名是自己备案过的。 没有开放过任何 web 服务,自己做 web 开发,windows 防火墙从没放行过开发用的 java.exe 还有 node.js 。 |
27
deerpine 274 天前 via Android
免流大佬
|
28
hronro 274 天前 via Android
楼主怎么开的这种宽带,分享一下?
|
30
caola 274 天前
@SuperArilo #26 我开放的 WEB 类似于对象存储(用于文件服务),访问对应的链接要校验传参 key 值( key 是临时有效的),校验通过就能请求下载文件,不通过那就和 GFW 一样直接强制中断,并返回 TCP Reset (RST) 重置 TCP 连接。
|
31
mytsing520 274 天前
有 Web 特征、上行流量大,就足够实锤了,别的,除了备案,都不重要
|
32
Hyy2001 273 天前
moonlight 远程游戏串流有影响吗,每天上传流量大概 200G 左右
|
33
Zeaxion OP @Hyy2001 首先不要大流量,如果有,一定要有合理解释,上门能正常阐述你流量发生情况爱你演示,其次不能有 web 内容,这关系到封停不会解开,最后不要绑根域名和 www ,基本不会封停
|
35
lsearsea 273 天前 via Android
我 v6 http 服务几年了,webdav,短链,alist ,主要自用,没啥大流量,最多的也就假期 sunshine+moonlight 公网远程游玩,4-5m/s 上传,不过我跑过 pt 被限制到 1.7m/s 上传过,后面停了过段时间就恢复了,被查应该就大上传
|
36
LnTrx 273 天前
还是以前说的,IPv6+https+高位端口+备案域名+私下正常使用 在实践中基本安全,虽然并不严格合规
|
37
Zeaxion OP @LnTrx 只要不是短时间爆发大流量,比如我这个挂了次,晚上睡觉 2-8 点三天,一共 18 个小时,刷了 1.8T 流量,然后就被自动标记,再人工确认加入端扫、同步提交用户用网异常致网安协查
|
38
Zeaxion OP @LnTrx 目前我任然在提供 http 服务,但是通过策略,已经关闭了所有可现实页面,get post head 全丢,只剩 https 还留着 httping 有回复,包括 类 baidu 直连 也做了丢弃任何非验证,至此通过任何外部手段都无法确认已开端口有承载 web 内容,链路承载流量全 tls+算法+协议+password 多层加密,包括出站 udp 只有 dns 请求可能是明的
|
39
MikuM97 272 天前
OP 相当勇敢,帮我们测 ISP 的风控机制,这种流量触发风控,然后探针扫描全端口的机制,之前确实没有在其他地区 ISP 里面发现过,主打一个耳目一新。目前我这边家宽还是 V4+https+5W 以上高位端口+未备案域名,映射了一个群晖的 WEB ,上下行流量都不大,暂时没事,看到 OP 的经历,计划后面还是尝试套一层 Wireguard ,或者转白裙之后使用 QC 。我公司在同运营商有一条专线,没备案只封 80 ,443 都不封,前两年我们未备案的情况下,长期在 443 上面开网站都没事,主打一个佛系管理。不过公司业务比较重要,为了防止幺蛾子,后面还是把备案完善了,解了 80 端口。
|
40
user100saysth 272 天前
@Zeaxion 家宽部署 web 服务,翻车就是时间问题。
都会部 web 服务了,就不会想办法弄个安全点的方式吗? |
41
scguanzhong 272 天前
我串流玩 ps5 一个月上传流量也蛮大的,不知道属不属于被重点监控的
|
43
liutao568 272 天前
2013 年左右解四川电信天翼飞 young 的 zeation-staion 路由是不是楼主的产物
|
44
Zeaxion OP @dode 电信 16 年开始就对 tcp 流量做了优先级策略,能识别到属于大厂服务的流量,那么你正常用就是了,比如 pcdn 这种流量,数据都是强加密,识别到的是未知,优先级都是被降级的,未知流量 带加密 短时间大爆发 长时间大总量 非标大厂协议 非已知大流量提供商(比如直播类、视频类)标准域名和 ip ,符合多个判定条件才会自动触发,手动触发是被投诉……话说谁天天没事给监管部门投诉你家宽带在滥用?
|
45
Dzsss 271 天前
南瓜不结,差不多时间被通知,但是莫名其妙的是通知包含的是别人的域名,上门现场关光猫测确认是弄错了。难道这次是大洞 28 区排查,只要有流量都发通知。有公网 ip 多多少少会干点 web nas 之类的吧,搞得人心惶惶。OP 说一下 get post head 全丢等等细节,都得安排。
|
46
xdzhang 271 天前
我这里宽带从开始到现在都十几二十年了,一直啥都跑也没人来检查啊!
|
47
Zeaxion OP @Dzsss 要自己做策略,反正就是你得自己起个服务,专门用作中转,这个服务可以是代理 可以是 http https 可以是 vpn ,但是入口 ip 域名 直接访问不能有任何页面
然后 http 探测最好是连 httping 都拒绝,代理伪装随意,建议是最好别用 vpn ,容易范围打击被监管部门协扫,个人建议你还是整个年费 99 的挂个页面备案,然后可以起 n2n zerotier 这种打洞反代,这样就稳妥多了,基本上也不怕杠,杠就是主域名备案过,家里解析也没有任何对外 web 打开的,硬要哔哔赖赖可以让对方提抓包数据,然而都是非明文,明文拆包里面也是被协议加密无实际有效内容可以证明你在对外广发服务 |
48
burnhamzhang 269 天前
也是成都电信,已经被封网了,之前联系的家里老人没给我说清楚,昨天直接封网了,就跟我说域名没有备案让我把域名解析停了才能解封
|
49
huangxzying302 267 天前 via Android
@burnhamzhang 我也是,今天成都电信也给我打了电话,喊我关闭域名解析,和端口服务,说搭建服务要去备案。家里一直用的 http 访问,有 10 来个可以 web 显示的登录页面,比如群晖啊,hass ,路由器管理主页等等,用的也是常用的服务端口,甚至还用了 dsm5000 的端口,不知道是不私自开通 web 服务的原因。。。
但是家里群晖访问是刚需,没法全关。 目前把能显示 web 页面的端口全停了,连 upnp 都停了,qb 和 jinlyfin 会自己映射端口,创建 web 页面。 现在只保留了域名解析,保留了 webdav ,改到别的端口号,反正没 web 显示,还有一个就是保留了 wireguard 的端口号,不晓得这样能不能过关。。。 |
50
newtonMiku 267 天前
@Zeaxion 同四川电信,周三给家里打电话说的也是对外提供服务,要备案(公安备案),但是我 ddns 的域名在阿里云和腾讯云都做了备案,目前被收回了公网 ip ,但是暂时不重播号就不会影响,不知道接下来该怎么搞才能重新要回来
话说假如要回来了,不做 web ,那基本就只能 n2n 一类的打洞回去了,然后端口映射的可能就只能做点游戏服务器啥的,感觉好像意义都不是特别大 :< |
51
Zeaxion OP @newtonMiku 我的已经成功复通,公网 IP 也还在
|
52
Zeaxion OP @huangxzying302 不能有任何页面显示,502 503 520 530 404 403 bad request 都不行,扫到就是关停
|
53
newtonMiku 254 天前
@Zeaxion 老哥咋搞的,我这边是要求公安备案,但是公安备案得去线下(我现在在学校这边)
公安备案倒是可以走阿里和腾讯云的固定 ip ,但是肯定没法给电信的做 ICP 和公安备案,也不知道和机房的处理人员商量不开 tcp/web 能不能恢复下发公网 ip 上次大流量导致没了公网 ip 都是走工信部投诉回来的(上次给我转到我当地机房的小哥那去了,然后人家说是帮我向上申请恢复,说能不能恢复都给结果,结果一没回复,二来还是我自己走工信部投诉回来的),这次 web 导致的收 ip 都感觉他不耐烦一样 |
54
Zeaxion OP @newtonMiku 我的建议,花钱买个机儿域名,起个简单页面去备案,然后自己家,所有入口打开能显示页面的,全关了吧,能换就换成 p2p 打洞隧道代理,比什么都稳妥,如果能折腾的会折腾的,等备案了宽带解开了,再研究如何给 http https 加校验,非通过校验直接 drop 就完事儿了,只要你打开的端口,通过 curl 是无内容 head 是无内容 httping 可通 浏览器是啥也看不到,那么基本上就没啥事儿了
|
55
newtonMiku 250 天前
@Zeaxion 明白了,感谢老哥,目前打算暑假回家看看能不能把公安备案搞了,ICP 备案是在封之前就做了的,不过俩域名都给家宽做了 ddns ,日常用的那个做的 ICP ,用 cname 指向的另一个便宜域名,回头看看能不能和电信的问问,把 ip 再要回来,以后就 openvpn 回家了,别的非 web 的倒是应该可以直接映射出来
|
56
Zeaxion OP @newtonMiku 公安备案可以暂时不做,除非你网站是非自用非公益的
|
57
newtonMiku 249 天前
@Zeaxion 网站是自用的,也不涉及对外盈利收费啥的,ICP 也是早就做了的,但是我这边的机房给我回话就是做了公安才能给解,目前家里的已经被转成 100 开头的私网 ip 了
|
58
Zeaxion OP @newtonMiku 哈哈,那你这个可能是被标记为诈骗了,必须要去公安备案记录网站属性,以后你这网站就直接纳入本地网监监管了,公安未备案之前,网站是只要没有被投诉,是不会主动纳入监管的,顶多是什么行动啊啥的群扫,纳入本地监管之后,你的站点就更加要老老实实不要折腾了,免得动不动给你打电话喊你去解释异常
|
59
thwaite 124 天前 via iPhone
我也是四川电信。也有公网 v4 ,也开了几个端口,自己看电影啥的。前几天传了 2.4T 到阿里云盘,被限速到 5M…但是找了一下在线客服,就给我解除了….我后续还有文件传到阿里云…想报备也没受理的地方
|
60
thwaite 124 天前 via iPhone
四川电信最近好像大面积限制上行了
|
61
punch 122 天前 via Android
已被限速到 5M...
|