这是一个创建于 241 天前的主题,其中的信息可能已经有所发展或是发生改变。
能否配置 caddy 或 nginx 进行 ua 过滤,白名单机制只允许常见几种浏览器 ua 进行访问,其他不带 ua 或者 ua 不正确的直接屏蔽?运营商的扫描应该不会跟浏览器 ua 完全一样吧,按照防 ddos 和扫描的思路不知道效果咋样
 | 1 yyzh 241 天前 via Android  2 运营商都是查你流量的.不需要搞什么主动访问 |
 | 2 ztstillwater 241 天前 via iPhone v2 的用户里面也可能有运营商的员工,他们能看到帖子的内容,回去就更新扫描协议 |
 | 3 yxmyxmyyy OP @ztstillwater ua 必须携带自定义值,其他全部屏蔽如何呢 |
 | 4 Int100 241 天前 via iPhone 别折腾什么屏蔽了,传输全部加密即可. |
 | 5 pingdog 241 天前 via Android 别被探出 http code 就行,tcp stream 不管的 |
 | 6 totoro625 241 天前 nginx: listen default_server http 端口,return 444 https 端口,ssl_reject_handshake on |
 | 7 busier 241 天前 via iPhone 没用 就好比电话线监听 我听就行了 根本不用与你主动对话 |
 | 8 vmebeh 241 天前 via iPhone vpn 连回来 整个敲门机制,暗号不对的都封了 |
 | 11 dream7758522 241 天前 via Android 你是不是认为电信是拿一台设备,不停的扫描用户的 http 端口? 电信是直接把你的网络流量镜像到分析设备,直接分析协议,特征匹配啊。只要分析出有入站 http,https 行为就判断你非法开网站啊。 |
 | 12 sparkssssssss 241 天前 直接把域名访问干掉就行了吧 |
 | 13 ASmartPig 241 天前 via Android 那不叫扫描,叫流量分析,哪个 wireshark 听个包就知道了 |
 | 14 kevinhwang 241 天前 via Android 可以思考,gfw 为什么封你端口?这是他最小代价。只要你配置恰当,运营商只能分析出你是 ssl/tls ,但可以用最小代价解决你。 |
 | 15 PrinceofInj 241 天前 直接开放 HTTP 端口就是为了直接访问方便,你这加上各种限制,还不如回到 VPN 的路子上。 |
 | 16 whileFalse 241 天前 直接在公网 IP 上开个翻墙 Server 解决一切问题。 |
| 17 yxmyxmyyy OP @yyzh t/1128249?p=2#reply123 讲不通,如果是查流量,为何所有域名都在同一时间被查出来?运营商肯定是从别的途径知道的,而不是纯靠流量分析 |
 | 18 Suzutan 241 天前 via iPhone 非标准端口做 ddns 自用的话应该都是不管的吧 |
 | 19 feixiangde110 239 天前 via Android @yxmyxmyyy 直接在公网 dns 缓存里查一下哪些野鸡域名解析到自有(家宽) ip 上,再查一下 bars 的 log 看看是哪个宽带账号。然后讲究一点的做个流量分享抓出来你对外了哪些端口,不讲究给你拉闸发整改告知就完了。 |
Select Language