V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a2z
V2EX  ›  Google

不用找新 IP 了,GFW 可以直接检测证书了

  •  1
     
  •   a2z · 2014-06-13 20:35:10 +08:00 · 6853 次点击
    这是一个创建于 3817 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据这个帖子http://v2ex.com/t/117354 里面的

    2.将IP复制到浏览器栏检查HTTPS证书,显示支持「*.google.com」。不到5分钟,该IP的443端口无法连接。

    说明gfw已经具备了先通过监听获取https证书(证书在握手阶段是明文传输的),解析出证书里的域名之后自动屏蔽对应IP的能力,出现一个新IP,就会自动封一个。
    25 条回复    2014-06-16 19:34:39 +08:00
    pfitseng
        1
    pfitseng  
       2014-06-13 20:37:29 +08:00
    不得不赞一下GFW的思路。。。
    infinte
        2
    infinte  
       2014-06-13 20:39:48 +08:00   ❤️ 1
    不是。AS15169 里有 N 多 ip 都一直正常,证书是 google.com
    inspiron530s
        3
    inspiron530s  
       2014-06-13 20:40:05 +08:00   ❤️ 1
    楼主的这种说法不靠谱,我这里从未公开过的 GGC IP 使用完全正常。
    a2z
        4
    a2z  
    OP
       2014-06-13 20:42:46 +08:00
    @infinte
    @inspiron530s

    我觉得做到这一点对于gfw应该不难……
    O21
        5
    O21  
       2014-06-13 20:43:21 +08:00   ❤️ 2
    我觉得gfw在国企里面 是效率最高的, 战斗力爆表 第二个 就是工信部。。
    bobopu
        6
    bobopu  
       2014-06-13 20:43:56 +08:00 via Android
    我怎么听着这么可怕,天网的感觉。
    inspiron530s
        7
    inspiron530s  
       2014-06-13 20:48:19 +08:00
    @a2z 若 GFW 具备检测 *.appspot.com 这个证书的能力,那么以 GAE 为平台的 FQ 工具早就废掉了。
    licell
        8
    licell  
       2014-06-13 21:01:06 +08:00
    可能不是证书问题吧,据说只要是国外有名点的IP,连接一段时间后就会被干扰,速度变慢或者“抽风”
    cnitu
        9
    cnitu  
       2014-06-13 21:13:48 +08:00
    南京这里突然可以直接访问谷歌搜索、邮箱等服务了
    Shieffan
        10
    Shieffan  
       2014-06-13 21:25:37 +08:00 via iPhone   ❤️ 1
    显然楼主的论据不足以支撑楼主的结论。
    不过我也认为gfw要想封禁指定域名的ssl连接应该是轻而易举的,tls的sni以及明文传输的证书给gfw留了一个大洞,至于gfw为什么没这样做,我觉得他们是认为没必要。
    a2z
        11
    a2z  
    OP
       2014-06-13 21:26:37 +08:00   ❤️ 1
    @inspiron530s

    ssl在握手阶段特征是很明显的,加上证书也是明文传输,我觉得gfw对于这个早有预案,可能这个功能没有部署到全部节点而已,或者没有全部打开。

    我的意思是,即使现在还没发生,这个在技术上是没有问题的,要防患于未然。
    cheny95
        12
    cheny95  
       2014-06-13 21:28:27 +08:00
    光纤接入的 直接用 ipv6.google.com 访问吧..无视GFW
    kepler1go
        13
    kepler1go  
       2014-06-13 21:32:50 +08:00   ❤️ 1
    @cheny95 这个不错 thx
    cheny95
        14
    cheny95  
       2014-06-13 21:35:30 +08:00
    @kepler1go 如果是路由器接入的话,要在路由开启...本屌渣渣路由器没有ipv6功能,直接插网线进去了
    inspiron530s
        15
    inspiron530s  
       2014-06-13 21:37:14 +08:00   ❤️ 1
    @a2z 对这一点表示支持,个人认为 GFW 目前还没有足够的计算能力来从庞大的国际流量中检测特定 SSL 证书
    dajiangyou
        16
    dajiangyou  
       2014-06-13 21:39:29 +08:00
    @cheny95 要搞死的话估计也快了,反正 http://www.youtube.com/ 已经挂了


    @O21 工信部个渣渣,全国投诉移动霸王条款私自毁约理都不理
    l0wkey
        17
    l0wkey  
       2014-06-13 21:45:20 +08:00   ❤️ 1
    coolkid1900
        18
    coolkid1900  
       2014-06-13 21:50:30 +08:00
    我这边几个美国ip活的好好的,*.google.com,google.com,*.googleusercontents.com和accounts.google.com都有……不过我感觉也活不了太长时间……
    zdf
        19
    zdf  
       2014-06-13 21:50:35 +08:00
    @cheny95 ipv6.google.com 我这里似乎没用。路由也开启了ipv6。还需要其他设置?
    superbear
        20
    superbear  
       2014-06-13 22:11:24 +08:00
    心思没花在开发国产系统了,来这里封端口倒挺快的。。
    tyhunter
        21
    tyhunter  
       2014-06-13 22:12:25 +08:00
    www.google.com.hk正常,image.google.com.hk之类的全挂
    l0wkey
        22
    l0wkey  
       2014-06-13 23:01:52 +08:00
    @zdf 需要运营商支持 IPv6
    GPU
        23
    GPU  
       2014-06-14 18:21:28 +08:00
    @inspiron530s 最近听见很多GGC 。其实是什么东西
    xinhugo
        24
    xinhugo  
       2014-06-14 20:11:36 +08:00
    @GPU GGC = Google Global Cache

    我在 V2EX 发帖提及此词汇时,原意、缩写都会写出来,搜索一下就能看到。

    例如: https://www.google.com/search?q=site:v2ex.com/t%20GGC
    gaia
        25
    gaia  
       2014-06-16 19:34:39 +08:00
    怪不得我扫描出来的几个IP,一放到GoAgent里面,几分钟后就不能用了。好几次都这样,当时甚至怀疑自己是不是被盯上了。。。。原来GFW是通过这个方式检测并封禁IP的。用智慧做反智的事情——人真TMD会折腾,可惜折腾到底还是变成灰。。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1305 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:29 · PVG 01:29 · LAX 09:29 · JFK 12:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.