阿里云未备案网站的封锁策略是？

听过 防火墙 吗。。。在 网络出口 处的防火墙直接阻断端口 80 流量。
其他端口不封。

那你直接 ip ：端口访问得了，最保险
至于封锁政策，会变化的…

我见过直接阻断任何端口流量的，只要是域名解析过来的

是
没有问题
不会

1 、 443 端口封不了
2 、其他端口都不封
3 、改 hosts 如果还是 80 端口的话也会被封

检测方式大概是，防火墙会看你 80 端口的 http 数据包，如果出现未备案域名的话就会封。这个封锁是有缓存的，所以会过一段时间以后封，不是立马生效

这是很久以前发现的，不知道现在改了没有，如果现在阿里云改了封锁策略的话轻喷。。

8080 端口上的 HTTP 也会被封。今年 4 到 6 月的测试结果。

@xfspace 阻断某个域名 80 端口的全部流量这个是可以理解的，按目前的表现来看，应该就是我说的，是事后处理吧。

@lolicon 同意封锁策略会变化这个说法，主要是不清楚阿里云对工信部的态度如何。是敷衍了事呢，还是积极配合。如果是敷衍了事的话，那封锁策略应该就不会太严格，也就做做样子给工信部看。如果是积极配合的话，估计也就你说的 ip 访问最靠谱。我自己部署的服务，有个程序要求安装在根路径下，不能是子路径，所以有办法实现二级域名访问是最好的。

@HentaiMew 哈？这么严格，所以只能 ip 访问了？那个站被工信部重点盯上了吧？

@oott123 言简意赅，赞。想了解下你是否这样操作过哈？

@qinix 谢谢你这么详细的回答哈，就是不知道阿里云发现你执意不备案的话（工信部没介入的情况下，比如工信部下通知），会否直接拔网线。不过想想拔网线貌似也不太可能，不然的话，我只用 ip 访问，别人一个未备案的域名指过来，那不是被坑了？

@billlee 测试过的答案靠谱，我自己搜索了下，也有看到 8080 端口会被封的说法。

@yanw 没备案的域名只是访问不了而已…不会拔网线吧

流量监测，一定会封的。

@oott123 访问量大了以后会的， 8080 都会封锁

API 的 443 端口目前近一周了，还没被封锁，请求量大概是每天十万吧，网站的访问不多，同 443 未被封

@qinix 脑洞而已哈，并无依据。

@alect 测试过？

@pupboss 有理有据，我打算实践一下 https 访问。

只要是 http 都可能被封,最靠谱的是走 https ，然后不开那个什么功能来着

@des 不开啥？拜托想起来，哈哈。是 tls sni extension 这个吗？

@yanw 但是我的域名正在备案...长期这么搞恐怕不行。对了，用 ip+端口的方式访问，这个是确定的没有问题，因为我身边就有这么干的，半年多了

@pupboss 谢谢告知， ssl 先用着。后面再考虑备案或直接用 ip 访问。

443 用了几个月了，都没事。但是阿里云客服的说法是使用域名都要备案

@yanw 对，是这个

@yanw SNI 怎么禁用

@virusdefender 今晚花了不少时间“禁用”了这个“ SNI ”。

你可以通过 nginx -V 可以查看 SNI 是否禁用，如果 SNI 开启了，那就自己编译一个 Nginx （我用的是 Nginx ， Apache 应该也是类似的）。编译 Nginx 的时候通过 --with-openssl 参数指定一个低版本的 OpenSSL 库（ 0.9.8f 之前的 OpenSSL 库都不支持 SNI ， 0.9.8f 支持，不过需要在参数中指定 enable-tlsext ）。指定一个不支持 SNI 的 OpenSSL 库，编译出来的 Nginx 也就不支持 SNI 了。

我尝试过指定 no-tlsext 来编译 OpenSSL 失败了，不知道是原本就没有这个选项（网上看到有，也有可能在老版本支持），还是我操作的方式不对。最终还是采用了上面的方案。

还没研究是否有安全隐患。

@yanw 我搜索的结果也是这样，使用老版本的 openssl ，但是怕还有类似心脏出血的漏洞

@virusdefender 我看维基百科说 Heartbleed 影响的版本是 1.0.x （某几个版本），我私自认为 0.9.8 是安全的了。

@virusdefender 对了，请教一下你 80 端口怎么处理？重定向应该做不到吧？所以你的网站只能用 https 访问而不能用 http 访问咯？

@yanw
1. SNI 头并不是明文传送的，而是在生成 dh 对之后，加密传输的，证书并不是用来加密的，证书与加密没什么关系，证书只是健全
2.SNI 是客户端发送给服务器的，你需要在所有客户端禁用 SNI

暴露域名的是证书而不是 SNI

@typcn 受教。 app 禁用 SNI 头可以理解，但浏览器应该控制不了吧。按你说的证书已经暴露域名，那么想隐藏域名完全不可能咯？只是阿里云暂时没管这种情况，可以这么理解吗？

@yanw 没管也不好管，因为有各种泛域名，多域名之类的证书

@yanw 是的 80 自己封掉了

两个必要条件: 1 未备案的域名 2 80 端口

我来说下吧，阿里云的策略就是分析所有 http 协议的包，只要是里面包含未备案的域名，就会拦截。
所以，结果就是甭管你是不是 80 、 8080 端口，就算你是（ 8888 ）端口的 http 服务，也会被拦截掉，而用 ip 地址访问就没关系。