众所周知,目前 wall 已经开始对 ipv6 的网站进行阻拦。而且我所在的网络环境年底开始不断出现大量正常连接被 rst 等情况,有些引用了 youtube 视频的网页甚至直接 time out。 如果仅从流量分析,能否分析出证书?是直接 ip 进行 block 还是证书检测?
另外各位用上 ipv6 的觉得有实用价值吗?
This topic created in 2663 days ago, the information mentioned may be changed or developed.
 |
1
montoyaf Feb 15, 2019 via iPhone
首先,IPSsec 并没有成为 IPv6 标配。再者,Google IPv6 段在省级主干网就被路由指空丢弃,不超时才怪。
|
 |
2
redsonic Feb 15, 2019
没发现对证书套用过什么规则,主要还是路由黑洞和 SNI 触发 RST。
ipv6 对 99%的终端用户没有任何价值,上了 ipv6 以后溯源追踪更容易,v6 的防火墙规则、路由规则、负载均衡,设备更新,最糟糕的情况下增加一倍工作量和资源投入,双栈状况长期存在下去用户其实要交 ipv6 税。 |
 |
3
xxq2112 Feb 15, 2019
404 永遠都是 404,一定有特殊照顧
 出了省網就丟  但只要不相干就正常 |
 |
4
frylkrttj Feb 15, 2019
怕是得到了 google 的帮助
|
 |
5
cwek Feb 15, 2019
现在最简单的是 SNI。这个要等 ESNI 标准化才能防住。
服务器证书检测传说有用过,不过说存在效能问题(需要缓存住整个 TCP 及上面的 TLS 会话)。 |
|
6
montoyaf Feb 15, 2019 via iPhone
@cwek 我还是不希望 esni 成事实,真要普及 esni 了,路由黑洞会成主流,现在的 sni block 好歹还能本地自签证书解决
|
 |
8
zanzhz1101 Feb 16, 2019
@montoyaf #6 可是现在已经是整段黑洞了吧
|
|
9
montoyaf Feb 16, 2019 via iPhone
@zanzhz1101 说是整段吧,有几十个漏网之鱼。而且在很多属于 Google IP 段但没有部署服务的 IP 是通的,可能还是根据域名封相关有用的 IP。
|
 |
11
LGA1150 Mar 5, 2019 via Android
超时肯定是封了 IP 了
封 SNI 的话试试我的 https://github.com/LGA1150/netfilter-spooftcp |
 |
13
scientist2009 Mar 14, 2019 via Android
@xxq2112 什么工具
|
Select Language