看来GFW自去年9月19日起采用的CA证书检测之外,又发明了一种方法类似,但占用资源少的全新方法!
这种方法叫做:SNI检测
由于维基百科虽然使用独立IP,但是如果直接动用封IP未免消耗资源太大,GFW不会干这种傻事。
维基百科是配置了几个数据中心的,相当于使用了SNI。
怎么呢?
CA证书检测是通过探测安全证书的方式来切断通信的。
那么,我猜测,这种方法的原理大概是这样:既然你的数据都要弄到数据中心去处理,那么我只需要发现有相关域名到了你的数据中心去处理,我直接弄点小动作,让系统误以为TLS配置错误,不安全,不就行了?(维基百科使用了HSTS)
同时,再配合https连接重置,就可以彻底轰掉Hosts。
不过,这种方法并不绝对完美:因为他无法让被封禁的网站完全无法使用hosts。
维基百科只封锁了中文、日文、吴语、粤语、维吾尔文、中文维基新闻(Https情况下)
那么,只需要访问未被封锁的其他语言维基百科,其他的网站就可以了。
但是,针对全站封锁的网站(Tumblr、Pixiv)等,就等于是废渣了
在去年启用CA证书检测的时候,就有人预言:hosts即将成为历史。
现在,真的是历史了。
现在我也陷入了窘境:我的自搭DNS被人DDOS,由于没有买防DDOS,直接崩溃,给我留的言是:赶紧关闭你的SNI代理服务,不然你就等着你付的钱全部成为废渣吧。
没办法,妥协了。
这种方法叫做:SNI检测
由于维基百科虽然使用独立IP,但是如果直接动用封IP未免消耗资源太大,GFW不会干这种傻事。
维基百科是配置了几个数据中心的,相当于使用了SNI。
怎么呢?
CA证书检测是通过探测安全证书的方式来切断通信的。
那么,我猜测,这种方法的原理大概是这样:既然你的数据都要弄到数据中心去处理,那么我只需要发现有相关域名到了你的数据中心去处理,我直接弄点小动作,让系统误以为TLS配置错误,不安全,不就行了?(维基百科使用了HSTS)
同时,再配合https连接重置,就可以彻底轰掉Hosts。
不过,这种方法并不绝对完美:因为他无法让被封禁的网站完全无法使用hosts。
维基百科只封锁了中文、日文、吴语、粤语、维吾尔文、中文维基新闻(Https情况下)
那么,只需要访问未被封锁的其他语言维基百科,其他的网站就可以了。
但是,针对全站封锁的网站(Tumblr、Pixiv)等,就等于是废渣了
在去年启用CA证书检测的时候,就有人预言:hosts即将成为历史。
现在,真的是历史了。
现在我也陷入了窘境:我的自搭DNS被人DDOS,由于没有买防DDOS,直接崩溃,给我留的言是:赶紧关闭你的SNI代理服务,不然你就等着你付的钱全部成为废渣吧。
没办法,妥协了。
