註冊
登錄
論壇
搜索
幫助
導航
默認風格
默認風格_熄燈
默認風格_農曆新年
私人消息 (0)
公共消息 (0)
系統消息 (0)
好友消息 (0)
帖子消息 (0)
電訊茶室
»
VPN 研究室
» GFW新研制的HTTPS探测技术
返回列表
發帖
雯雯
發短消息
加為好友
雯雯
當前離線
UID
144
帖子
2795
精華
0
積分
1
閱讀權限
10
在線時間
4536 小時
註冊時間
2010-4-28
最後登錄
2016-11-28
新手上路
1
#
跳轉到
»
正序看帖
打印
字體大小:
t
T
發表於 2014-8-1 19:37
|
只看該作者
GFW新研制的HTTPS探测技术
简单地说,GFW升级设置了。这次应该是覆盖了203.208.45/46/47.*中的所有IP(其中45段全部被设IP黑洞),并且针对443端口采 用了特殊的屏蔽手段。体现为IP或许可以ping通,但telnet 443端口大部分情况下超时(不是连接重置)。而80端口则畅通无阻,但可想而知所有的非加密HTTP数据包肯定都会接受GFW的关键词过滤等内容审查, 随之而来的就是小黑屋。
少数时候有HTTPS包可以漏过(低于5%),多次尝试telnet发现偶尔可以建立连接。在开启了SPDY的Chrome上体现为页面很难刷开,但一旦 刷开则该站点就此畅通。应该是因为SPDY的长连接会话机制保障了后续不会有握手包,从而避免了被干扰所致。这从某个侧面也反映了这次的封锁技术是以监视 并干扰SYN/ACK包为主,并不针对所有类型的数据包(估计忙不过来)。
猜测可能是之前Tor项目组检测到的GFW新研制的HTTPS探测技术(或 者是某种类似的技术)投入了使用。(估计)其原理在于发现HTTPS(443端口)的SYN包之后,GFW自身也发HTTPS连接请求去探测该端口可能会 返回什么内容。一旦审查到内容有害,就干扰TCP握手过程,丢弃匹配地址组的SYN/ACK包。并且从测试的表现看来似乎有小黑屋效应,也就是说之后一段 时间都会无法连通443端口,但休息一阵子后第一次连接的成功率很高。
目前看来这个手段的效果还不错,虽然还有漏网之鱼,但至少可以消磨掉绝大部分人的耐性,并让决意翻墙者苦不堪言。但HTTPS探测需要与服务器建立真实有 效的SSL连接,还要处理加解密相关事宜。对于以全体压制为原则的GFW设备而言,计算资源(主要是CPU)的耗用可能会相当大。这一方面可以说明为什么 会有漏网之鱼,另一方面也解释了为什么会有小黑屋机制作辅助。可以预言这种手段短期内还不会投入日常使用,更多可能出现在特殊时期临时高压维稳。
总之,这几个IP段在18大期间很可能会被咬住不放,不过分赃大会之后应该会松口。但一旦该手段被启用,目前通过hosts+HTTPS翻墙的人,应对措施应该只有换别的IP,要不就得耐心点,多刷刷页面了。
真心祈祷大家不要再公布可用的IP地址了,公布一些就少一些啊!
下午开会去了,回来(16时)发现这些IP段已恢复到之前的状况。目前估计有以下的可能:
1.HTTPS探测功能需要GFW去干一些很费CPU的事情,相关人员发现撑不住,最后还是放弃了。
2.为了关键那几天能顶上用场,在搞演习,测试效果.
收藏
分享
Welcome to my TaoBao shop: http://mandymak520.taobao.com/
lookforyou
發短消息
加為好友
lookforyou
當前離線
UID
7980
帖子
744
精華
0
積分
0
閱讀權限
10
在線時間
898 小時
註冊時間
2011-6-18
最後登錄
2021-6-4
新手上路
2
#
發表於 2014-8-16 18:48
|
只看該作者
天朝,一些人花着纳税人的钱反过来折腾纳税人
TOP
返回列表
VoIP研究室(VoIP Lab)
VoIP 研究室
Asterisk
Elastix
FreeSWITCH
OBi
Linksys ATA
Other ATA
Hard/Soft Phone
VOIP Provider/Service
VOIP News
Others
網絡/寬頻及固網討論
VPN 研究室
網絡及寬頻討論
路由器討論 (Router)
MikroTik / RouterOS
DD-WRT
OpenWRT
Gargoyle
pfSense
ClearOS
Others
固網電話討論
流動通訊應用
視像通訊
流動寬頻/流動數據
網絡商討論
手機網絡商
Wi-Fi
手機討論
iPhone/iPad
Android系統
Symbian系統
手機討論
吹水閒聊
吹水茶座
合法集會
Project 0
新手報到
新手報到區
茶室董事廳
公告欄
意見收集站
[收藏此主題]
[關注此主題的新回復]
[通過 QQ、MSN 分享給朋友]