全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
楼主: G.K.D

[Windows VPS] Cloudflare 开始部署 ECH 技术(加密 SNI)搭配加密 DNS 等于无蔷?

[复制链接]
 楼主| 发表于 2021-10-14 20:44:40 | 显示全部楼层
滴滴单车 发表于 2021-10-14 20:41
怎么都想着Cloudflare就一定跟蔷死磕到底 其实最简单的解决方案就是Cloudflare对国内IP访问需要检查国内 ...

没毛病~
确实很有可能,毕竟是上市公司。
发表于 2021-10-14 20:53:21 | 显示全部楼层
简单看了下ECH的底层设计。我认为蔷只需要从握手层面阻断就可以了,毕竟ECH的整个Client Hello包都是加密了的,特征太明显了
 楼主| 发表于 2021-10-14 21:07:51 | 显示全部楼层
xinxin8816 发表于 2021-10-14 20:53
简单看了下ECH的底层设计。我认为蔷只需要从握手层面阻断就可以了,毕竟ECH的整个Client Hello包都是加密了 ...

没毛病,不过我觉得还是要取决于 ECH 是否会成为下一个 HTTPS?(推广力度、普及程度)
HTTPS 也是加密了,特征也很明显,只要握手期间阻断就可以了(已重置链接),但是这是重要技术的进步车轮,在当时的环境下不可阻挡(而且那时候蔷才刚刷了没几年存在感)。
当然,ECH 重要程度比不上 HTTPS,所以还是挺悬的。 。。

HTTPS 的出现导致 关键词阻 断 技术被淘汰,那段时间只能依靠 DNS 污 染 + 封 IP 来蔷网站。
但是只要 Hosts 指向正确可用的 IP 就能绕过去(封 IP 只能定期扫描,总会有遗漏/不及时)
直到后来搞出了 SNI 阻 断技术才弥补了这个技术漏洞。

悲观的讲,哪怕 ECH 像 HTTPS 一样普及开了,蔷也总会找到方法去解决的,只是时间问题。
发表于 2021-10-14 21:13:03 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2021-10-14 21:59:59 | 显示全部楼层
只有资本的站,没有小站的互联网
发表于 2021-10-14 22:02:18 | 显示全部楼层
想多了 政府养那么多技术人员不是吃干饭的
发表于 2021-10-14 22:22:30 来自手机 | 显示全部楼层
如果墙把加密sni全屏蔽了,只允许明文sni呢,然后给明文sni过滤
发表于 2021-10-14 22:48:29 | 显示全部楼层
本帖最后由 s920361 于 2021-10-14 22:50 编辑
G.K.D 发表于 2021-10-14 19:47
一般不到最后不会这么干的,因为使用 Cloudflare CDN 的网站太多了,影响太大。
蔷喜欢温水煮青蛙,很少 ...


現在牆內能連github嗎?

一樣的套路也可以用在cf上呀

ECH鏈結沒有特徵,看上去像普通TLS就是最大的特徵,阻止或干擾所有沒有SNI的TLS連線也不是問題
发表于 2021-10-14 23:01:53 | 显示全部楼层
感觉G.f.w总有办法对付的,或许会一刀切加密的sni?
发表于 2021-10-14 23:50:12 | 显示全部楼层
直接封IP就好了,工作量大一点而已,该FQ的还是要F,看不了的还是看不了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 00:23 , Processed in 0.061588 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表