看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
我工防火墙又一里程碑成就: 加密HTTPS被封
查看未名空间今日新帖
最新回复:2020年8月11日 21点57分 PT
共 (18) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
T
TomsnReuters
3 年多
楼主 (未名空间)
该阻止措施已于7月底就位,并通过中国的长城防火墙实施。这是墙再次加高的节奏!
主要结论
GFW通过丢弃从客户端到服务器的数据包来阻止ESNI连接。
封锁可以从GFW内外双向触发。
0xffce扩展标识是触发封堵的必要条件。
封锁可以发生在1到65535的所有端口上。
一旦GFW阻断了一个连接,残留的审查就会继续阻断与(原IP,目标IP,目标端口)三
元组相关的所有TCP流量,持续120或180秒。
我们已经发现了6种可以部署于客户端和4种可以部署于服务端的规避策略。
阅读全文:https://10beasts.net/china-is-now-blocking-all-encrypted-https-
traffic-using-tls-1-3-and-esni/
T
TomsnReuters
3 年多
2 楼
北邮还是蓝翔的杰作?
T
TomsnReuters
3 年多
3 楼
马工将军能否解读一下,是所有的https网都要封了?
F
FoodGod
3 年多
4 楼
现在不基本都是https了么。如果所有https都封,那基本就全封死了。
【 在 TomsnReuters (汤生撸透射) 的大作中提到: 】
: 马工将军能否解读一下,是所有的https网都要封了?
t
tmbb2010
3 年多
5 楼
在国家大型计算机面前、https的tls加密就如破纸一样。
不堪一击。除非密钥长度再来几番。
T
TomsnReuters
3 年多
6 楼
gfw原来是俺东北人民的贡献啊
t
terryfox
3 年多
7 楼
是TLS1.3里面加密访问域名的选项被封
用这么原始的办法翻墙,是行不通的
y
ysd
3 年多
8 楼
【 在 FoodGod (饭中淹) 的大作中提到: 】
: 现在不基本都是https了么。如果所有https都封,那基本就全封死了。
旧版的https还能用,最新版的被完全封了
https和http的区别是加密。旧版的https在最开始建立连接的时候有一小点信息是不加密的(主要是你要访问的服务器的域名)。新版把这个部分也加密了。
旧版的域名不加密,所以GFW还是可以看到你要上的是不是一个反动网站的域名,然后
据此来决定要不要封你。
新版连域名也加密了,GFW就不知道你想上的网站到底是哪个,于是就干脆全都封了。
TG这么做的目的就是阻止浏览器和网站升级到新版协议
对于浏览器开发商(MS,Google, apple, firefox)如果还想浏览器在天朝能用,就不能把新版协议设成default
对于网站来说,如果想让天朝的人看,就必须得继续支持老版协议
结果就是天朝的人将永远用老协议,GFW永远都能看到你要去的域名
f
furoci
3 年多
9 楼
什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
server而已
其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说明你自己就是个非正常人
【 在 ysd (ysd) 的大作中提到: 】
: 旧版的https还能用,最新版的被完全封了
: https和http的区别是加密。旧版的https在最开始建立连接的时候有一小点信息是不加
: 密的(主要是你要访问的服务器的域名)。新版把这个部分也加密了。
: 旧版的域名不加密,所以GFW还是可以看到你要上的是不是一个反动网站的域名,然后
: 据此来决定要不要封你。
: 新版连域名也加密了,GFW就不知道你想上的网站到底是哪个,于是就干脆全都封了。
z
ziyu1234
3 年多
10 楼
扯蛋,封的不只是地址池,凡是彻底加密看不到的,都封
【 在 furoci 的大作中提到: 】
:
:什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
:
:TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
:server而已
:
:其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说
明你自己就是个非正常人
:
:
:
:
:【 在 ysd (ysd) 的大作中提到: 】
x
xinchong
3 年多
11 楼
尼玛 轮子们不断的试图突破土鳖的火墙,为了啥啊?
看见 esni 人家就把你drop了 还有什么法子?
y
ysd
3 年多
12 楼
【 在 furoci (伊千枝) 的大作中提到: 】
: 什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
: TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
: server而已
: 其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说明
: 你自己就是个非正常人
狗屁不通,就别上来丢人了
先搞明白ESNI是啥,还相当于呢
f
furoci
3 年多
13 楼
你屁都不懂,少说几句
比如你从中国不通过ESNI用TLS1.3加密访问citi.com,没问题
但是你从中国通过ESNI用TLS1.3加密访问citi.com,封!
你妈,这ESNI就相当于改进版的固定IP的加密proxy
【 在 ziyu1234 (没豪车的小将都是阿Q) 的大作中提到: 】
: 扯蛋,封的不只是地址池,凡是彻底加密看不到的,都封
: :
: :什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
: :
: :TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
: :server而已
: :
: :其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说
: 明你自己就是个非正常人
: :
: ...................
i
iDemocracy
3 年多
14 楼
兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。
【 在 xinchong (文革余孽) 的大作中提到: 】
: 尼玛 轮子们不断的试图突破土鳖的火墙,为了啥啊?
: 看见 esni 人家就把你drop了 还有什么法子?
f
furoci
3 年多
15 楼
你妈,是封通过ESNI的加密访问,一帮傻逼以为是封加密的访问
【 在 iDemocracy (DEMO) 的大作中提到: 】
: 兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。
h
houstonrocke
3 年多
16 楼
里程碑个球! 理论上任何东西都可以封的,因为软件路由都是国内的,当然可以做到
。
x
xinchong
3 年多
17 楼
用https访问,不会封,因为gwf看见你要去哪
但有轮子加密了sni,gwf就drop你没商量
【 在 furoci (伊千枝) 的大作中提到: 】
: 你屁都不懂,少说几句
: 比如你从中国不通过ESNI用TLS1.3加密访问citi.com,没问题
: 但是你从中国通过ESNI用TLS1.3加密访问citi.com,封!
: 你妈,这ESNI就相当于改进版的固定IP的加密proxy
x
xinchong
3 年多
18 楼
那么说监狱都比你们瘟疫国的屁民过得幸福啊
【 在 iDemocracy (DEMO) 的大作中提到: 】
: 兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。
请输入帖子链接
收藏帖子
该阻止措施已于7月底就位,并通过中国的长城防火墙实施。这是墙再次加高的节奏!
主要结论
GFW通过丢弃从客户端到服务器的数据包来阻止ESNI连接。
封锁可以从GFW内外双向触发。
0xffce扩展标识是触发封堵的必要条件。
封锁可以发生在1到65535的所有端口上。
一旦GFW阻断了一个连接,残留的审查就会继续阻断与(原IP,目标IP,目标端口)三
元组相关的所有TCP流量,持续120或180秒。
我们已经发现了6种可以部署于客户端和4种可以部署于服务端的规避策略。
阅读全文:https://10beasts.net/china-is-now-blocking-all-encrypted-https-
traffic-using-tls-1-3-and-esni/
北邮还是蓝翔的杰作?
马工将军能否解读一下,是所有的https网都要封了?
现在不基本都是https了么。如果所有https都封,那基本就全封死了。
【 在 TomsnReuters (汤生撸透射) 的大作中提到: 】
: 马工将军能否解读一下,是所有的https网都要封了?
在国家大型计算机面前、https的tls加密就如破纸一样。
不堪一击。除非密钥长度再来几番。
gfw原来是俺东北人民的贡献啊
是TLS1.3里面加密访问域名的选项被封
用这么原始的办法翻墙,是行不通的
【 在 FoodGod (饭中淹) 的大作中提到: 】
: 现在不基本都是https了么。如果所有https都封,那基本就全封死了。
旧版的https还能用,最新版的被完全封了
https和http的区别是加密。旧版的https在最开始建立连接的时候有一小点信息是不加密的(主要是你要访问的服务器的域名)。新版把这个部分也加密了。
旧版的域名不加密,所以GFW还是可以看到你要上的是不是一个反动网站的域名,然后
据此来决定要不要封你。
新版连域名也加密了,GFW就不知道你想上的网站到底是哪个,于是就干脆全都封了。
TG这么做的目的就是阻止浏览器和网站升级到新版协议
对于浏览器开发商(MS,Google, apple, firefox)如果还想浏览器在天朝能用,就不能把新版协议设成default
对于网站来说,如果想让天朝的人看,就必须得继续支持老版协议
结果就是天朝的人将永远用老协议,GFW永远都能看到你要去的域名
什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
server而已
其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说明你自己就是个非正常人
【 在 ysd (ysd) 的大作中提到: 】
: 旧版的https还能用,最新版的被完全封了
: https和http的区别是加密。旧版的https在最开始建立连接的时候有一小点信息是不加
: 密的(主要是你要访问的服务器的域名)。新版把这个部分也加密了。
: 旧版的域名不加密,所以GFW还是可以看到你要上的是不是一个反动网站的域名,然后
: 据此来决定要不要封你。
: 新版连域名也加密了,GFW就不知道你想上的网站到底是哪个,于是就干脆全都封了。
扯蛋,封的不只是地址池,凡是彻底加密看不到的,都封
【 在 furoci 的大作中提到: 】
:
:什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
:
:TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
:server而已
:
:其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说
明你自己就是个非正常人
:
:
:
:
:【 在 ysd (ysd) 的大作中提到: 】
尼玛 轮子们不断的试图突破土鳖的火墙,为了啥啊?
看见 esni 人家就把你drop了 还有什么法子?
【 在 furoci (伊千枝) 的大作中提到: 】
: 什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
: TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
: server而已
: 其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说明
: 你自己就是个非正常人
狗屁不通,就别上来丢人了
先搞明白ESNI是啥,还相当于呢
你屁都不懂,少说几句
比如你从中国不通过ESNI用TLS1.3加密访问citi.com,没问题
但是你从中国通过ESNI用TLS1.3加密访问citi.com,封!
你妈,这ESNI就相当于改进版的固定IP的加密proxy
【 在 ziyu1234 (没豪车的小将都是阿Q) 的大作中提到: 】
: 扯蛋,封的不只是地址池,凡是彻底加密看不到的,都封
: :
: :什么全封了,全封个屁,只是封了境外加密地址服务器ESNI而已
: :
: :TLS1.3时代的ESNI,相当于古代的proxy server,也就是说,党妈封了proxy name
: :server而已
: :
: :其实全他妈神经病,正常情况下浏览没有一个浏览器是启动ESNI的,你启动ESNI,说
: 明你自己就是个非正常人
: :
: ...................
兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。
【 在 xinchong (文革余孽) 的大作中提到: 】
: 尼玛 轮子们不断的试图突破土鳖的火墙,为了啥啊?
: 看见 esni 人家就把你drop了 还有什么法子?
你妈,是封通过ESNI的加密访问,一帮傻逼以为是封加密的访问
【 在 iDemocracy (DEMO) 的大作中提到: 】
: 兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。
里程碑个球! 理论上任何东西都可以封的,因为软件路由都是国内的,当然可以做到
。
用https访问,不会封,因为gwf看见你要去哪
但有轮子加密了sni,gwf就drop你没商量
【 在 furoci (伊千枝) 的大作中提到: 】
: 你屁都不懂,少说几句
: 比如你从中国不通过ESNI用TLS1.3加密访问citi.com,没问题
: 但是你从中国通过ESNI用TLS1.3加密访问citi.com,封!
: 你妈,这ESNI就相当于改进版的固定IP的加密proxy
那么说监狱都比你们瘟疫国的屁民过得幸福啊
【 在 iDemocracy (DEMO) 的大作中提到: 】
: 兄弟你有所不知,你们监狱不需要翻墙,直接上外网,可正常老百姓没这个福利啊。