这是一个创建于 2479 天前的主题,其中的信息可能已经有所发展或是发生改变。
众所周知,目前 wall 已经开始对 ipv6 的网站进行阻拦。而且我所在的网络环境年底开始不断出现大量正常连接被 rst 等情况,有些引用了 youtube 视频的网页甚至直接 time out。 如果仅从流量分析,能否分析出证书?是直接 ip 进行 block 还是证书检测?
另外各位用上 ipv6 的觉得有实用价值吗?
 | 1 montoyaf 2019-02-15 16:41:46 +08:00 via iPhone 首先,IPSsec 并没有成为 IPv6 标配。再者,Google IPv6 段在省级主干网就被路由指空丢弃,不超时才怪。 |
 | 2 redsonic 2019-02-15 16:54:05 +08:00 没发现对证书套用过什么规则,主要还是路由黑洞和 SNI 触发 RST。 ipv6 对 99%的终端用户没有任何价值,上了 ipv6 以后溯源追踪更容易,v6 的防火墙规则、路由规则、负载均衡,设备更新,最糟糕的情况下增加一倍工作量和资源投入,双栈状况长期存在下去用户其实要交 ipv6 税。 |
 | 3 xxq2112 2019-02-15 16:59:56 +08:00 404 永都是 404,一定有特殊照  出了省就  但只要不相干就正常 |
 | 4 frylkrttj 2019-02-15 17:38:33 +08:00 怕是得到了 google 的帮助 |
 | 5 cwek 2019-02-15 19:35:30 +08:00 现在最简单的是 SNI。这个要等 ESNI 标准化才能防住。 服务器证书检测传说有用过,不过说存在效能问题(需要缓存住整个 TCP 及上面的 TLS 会话)。 |
| 6 montoyaf 2019-02-15 20:03:03 +08:00 via iPhone @cwek 我还是不希望 esni 成事实,真要普及 esni 了,路由黑洞会成主流,现在的 sni block 好歹还能本地自签证书解决 |
 | 8 zanzhz1101 2019-02-16 08:05:09 +08:00 @montoyaf #6 可是现在已经是整段黑洞了吧 |
| 9 montoyaf 2019-02-16 09:31:44 +08:00 via iPhone @zanzhz1101 说是整段吧,有几十个漏网之鱼。而且在很多属于 Google IP 段但没有部署服务的 IP 是通的,可能还是根据域名封相关有用的 IP。 |
 | 11 LGA1150 2019-03-05 12:52:29 +08:00 via Android 超时肯定是封了 IP 了 封 SNI 的话试试我的 https://github.com/LGA1150/netfilter-spooftcp |
 | 13 scientist2009 2019-03-14 21:14:26 +08:00 via Android @xxq2112 什么工具 |
Select Language