不用找新 IP 了,GFW 可以直接检测证书了 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a2z
V2EX    Google

不用找新 IP 了,GFW 可以直接检测证书了

  •  1      
  •   a2z 2014-06-13 20:35:10 +08:00 7341 次点击
    这是一个创建于 4140 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据这个帖子http://v2ex.com/t/117354 里面的

    2.将IP复制到浏览器栏检查HTTPS证书,显示支持「*.google.com」。不到5分钟,该IP的443端口无法连接。

    说明gfw已经具备了先通过监听获取https证书(证书在握手阶段是明文传输的),解析出证书里的域名之后自动屏蔽对应IP的能力,出现一个新IP,就会自动封一个。
  • 证书
  • GFW
  • 析出
    25 条回复    2014-06-16 19:34:39 +08:00
    pfitseng
        1
    pfitseng  
       2014-06-13 20:37:29 +08:00
    不得不赞一下GFW的思路。。。
    infinte
        2
    infinte  
       2014-06-13 20:39:48 +08:00   1
    不是。AS15169 里有 N 多 ip 都一直正常,证书是 google.com
    inspiron530s
        3
    inspiron530s  
       2014-06-13 20:40:05 +08:00   1
    楼主的这种说法不靠谱,我这里从未公开过的 GGC IP 使用完全正常。
    a2z
        4
    a2z  
    OP
       2014-06-13 20:42:46 +08:00
    @infinte
    @inspiron530s

    我觉得做到这一点对于gfw应该不难……
    O21
        5
    O21  
       2014-06-13 20:43:21 +08:00   2
    我觉得gfw在国企里面 是效率最高的, 战斗力爆表 第二个 就是工信部。。
    bobopu
        6
    bobopu  
       2014-06-13 20:43:56 +08:00 via Android
    我怎么听着这么可怕,天网的感觉。
    inspiron530s
        7
    inspiron530s  
       2014-06-13 20:48:19 +08:00
    @a2z 若 GFW 具备检测 *.appspot.com 这个证书的能力,那么以 GAE 为平台的 FQ 工具早就废掉了。
    licell
        8
    licell  
       2014-06-13 21:01:06 +08:00
    可能不是证书问题吧,据说只要是国外有名点的IP,连接一段时间后就会被干扰,速度变慢或者“抽风”
    cnitu
        9
    cnitu  
       2014-06-13 21:13:48 +08:00
    南京这里突然可以直接访问谷歌搜索、邮箱等服务了
    Shieffan
        10
    Shieffan  
       2014-06-13 21:25:37 +08:00 via iPhone   1
    显然楼主的论据不足以支撑楼主的结论。
    不过我也认为gfw要想封禁指定域名的ssl连接应该是轻而易举的,tls的sni以及明文传输的证书给gfw留了一个大洞,至于gfw为什么没这样做,我觉得他们是认为没必要。
    a2z
        11
    a2z  
    OP
       2014-06-13 21:26:37 +08:00   1
    @inspiron530s

    ssl在握手阶段特征是很明显的,加上证书也是明文传输,我觉得gfw对于这个早有预案,可能这个功能没有部署到全部节点而已,或者没有全部打开。

    我的意思是,即使现在还没发生,这个在技术上是没有问题的,要防患于未然。
    cheny95
        12
    cheny95  
       2014-06-13 21:28:27 +08:00
    光纤接入的 直接用 ipv6.google.com 访问吧..无视GFW
    kepler1go
        13
    kepler1go  
       2014-06-13 21:32:50 +08:00   1
    @cheny95 这个不错 thx
    cheny95
        14
    cheny95  
       2014-06-13 21:35:30 +08:00
    @kepler1go 如果是路由器接入的话,要在路由开启...本渣渣路由器没有ipv6功能,直接插网线进去了
    inspiron530s
        15
    inspiron530s  
       2014-06-13 21:37:14 +08:00   1
    @a2z 对这一点表示支持,个人认为 GFW 目前还没有足够的计算能力来从庞大的国际流量中检测特定 SSL 证书
    dajiangyou
        16
    dajiangyou  
       2014-06-13 21:39:29 +08:00
    @cheny95 要搞死的话估计也快了,反正 http://www.youtube.com/ 已经挂了


    @O21 工信部个渣渣,全国投诉移动霸王条款私自毁约理都不理
    l0wkey
        17
    l0wkey  
       2014-06-13 21:45:20 +08:00   1
    https://d.gfwtalk.com/gfw_essay1.pdf
    coolkid1900
        18
    coolkid1900  
       2014-06-13 21:50:30 +08:00
    我这边几个美国ip活的好好的,*.google.com,google.com,*.googleusercontents.com和accounts.google.com都有……不过我感觉也活不了太长时间……
    zdf
        19
    zdf  
       2014-06-13 21:50:35 +08:00
    @cheny95 ipv6.google.com 我这里似乎没用。路由也开启了ipv6。还需要其他设置?
    superbear
        20
    superbear  
       2014-06-13 22:11:24 +08:00
    心思没花在开发国产系统了,来这里封端口倒挺快的。。
    tyhunter
        21
    tyhunter  
       2014-06-13 22:12:25 +08:00
    www.google.com.hk正常,image.google.com.hk之类的全挂
    l0wkey
        22
    l0wkey  
       2014-06-13 23:01:52 +08:00
    @zdf 需要运营商支持 IPv6
    GPU
        23
    GPU  
       2014-06-14 18:21:28 +08:00
    @inspiron530s 最近听见很多GGC 。其实是什么东西
    xinhugo
        24
    xinhugo  
       2014-06-14 20:11:36 +08:00
    @GPU GGC = Google Global Cache

    我在 V2EX 发帖提及此词汇时,原意、缩写都会写出来,搜索一下就能看到。

    例如: https://www.google.com/search?q=site:v2ex.com/t%20GGC
    gaia
        25
    gaia  
       2014-06-16 19:34:39 +08:00
    怪不得我扫描出来的几个IP,一放到GoAgent里面,几分钟后就不能用了。好几次都这样,当时甚至怀疑自己是不是被盯上了。。。。原来GFW是通过这个方式检测并封禁IP的。用智慧做反智的事情人真TMD会折腾,可惜折腾到底还是变成灰。。。。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     954 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 25ms UTC 19:21 PVG 03:21 LAX 12:21 JFK 15:21
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86