这是一个创建于 2107 天前的主题,其中的信息可能已经有所发展或是发生改变。
众所周知,目前 wall 已经开始对 ipv6 的网站进行阻拦。而且我所在的网络环境年底开始不断出现大量正常连接被 rst 等情况,有些引用了 youtube 视频的网页甚至直接 time out。 如果仅从流量分析,能否分析出证书?是直接 ip 进行 block 还是证书检测?
另外各位用上 ipv6 的觉得有实用价值吗?
 |
1
montoyaf 2019-02-15 16:41:46 +08:00 via iPhone
首先,IPSsec 并没有成为 IPv6 标配。再者,Google IPv6 段在省级主干网就被路由指空丢弃,不超时才怪。
|
 |
2
redsonic 2019-02-15 16:54:05 +08:00
没发现对证书套用过什么规则,主要还是路由黑洞和 SNI 触发 RST。
ipv6 对 99%的终端用户没有任何价值,上了 ipv6 以后溯源追踪更容易,v6 的防火墙规则、路由规则、负载均衡,设备更新,最糟糕的情况下增加一倍工作量和资源投入,双栈状况长期存在下去用户其实要交 ipv6 税。 |
 |
3
xxq2112 2019-02-15 16:59:56 +08:00
404 永遠都是 404,一定有特殊照顧
 出了省網就丟  但只要不相干就正常 |
 |
4
frylkrttj 2019-02-15 17:38:33 +08:00
怕是得到了 google 的帮助
|
 |
5
cwek 2019-02-15 19:35:30 +08:00
现在最简单的是 SNI。这个要等 ESNI 标准化才能防住。
服务器证书检测传说有用过,不过说存在效能问题(需要缓存住整个 TCP 及上面的 TLS 会话)。 |
|
6
montoyaf 2019-02-15 20:03:03 +08:00 via iPhone
@cwek 我还是不希望 esni 成事实,真要普及 esni 了,路由黑洞会成主流,现在的 sni block 好歹还能本地自签证书解决
|
 |
8
zanzhz1101 2019-02-16 08:05:09 +08:00
@montoyaf #6 可是现在已经是整段黑洞了吧
|
|
9
montoyaf 2019-02-16 09:31:44 +08:00 via iPhone
@zanzhz1101 说是整段吧,有几十个漏网之鱼。而且在很多属于 Google IP 段但没有部署服务的 IP 是通的,可能还是根据域名封相关有用的 IP。
|
 |
11
LGA1150 2019-03-05 12:52:29 +08:00 via Android
超时肯定是封了 IP 了
封 SNI 的话试试我的 https://github.com/LGA1150/netfilter-spooftcp |
 |
13
scientist2009 2019-03-14 21:14:26 +08:00 via Android
@xxq2112 什么工具
|
Select Language