看图说话 之 墙又高了 之 套路云躺枪

yousihai

今天忽然发现原来能连上的梯子连不上了，但是访问上面的网站，连ssh都一切正常。检查日志全部都是奇怪的错误，例如连接直接EOF
反复检查两端的报文发现高强果然又让我们更加爱国了。

证据及说明如下：
（不接受反驳说我的网络有问题，我的网络很好，你没有遇到只是因为高强不是全国统一的，就像很多人反应套路云https随机屏蔽但是不少人从没有遇到一样，我这边也只有公司网有问题，4G和家里都正常，我们公司网没有墙中墙，不用怀疑）


图1
本地发出多次tls握手测试，前面几次一律为没有servername的tls握手，服务器均无应答。



图2
最后一次握手使用带servername的tls，成功建立连接。



图3
来自服务端，只正确接收到最后一次带有servername的握手，其他的只有连接没有报文内容，已被成功爱国。

目前依然只发现有套路云有此问题，其他IDC还没有这种神奇的拦截方式。

PS：servername extension是可选的，tls没有标准要求必须发送此extension，虽然主流浏览器在访问https时几乎都会发送servername（只要你是通过域名访问的），但是依然存在直接通过ip访问和非https用途的tls，这类情况下没有servername（例如anyconnect）
PS2：高强目前会随机性拦截套路云的带servername的tls握手，我之前论证过：https://www.91ai.net/thread-443494-1-1.html，现在不带servername的tls握手直接发不出去了，带servername又会被随机阻断，套路云tls已死

mrw79

著名的Hosts

ghyghoo8

yousihai 发表于 2019-2-12 12:15
不能算漏洞，不过SNI确实是已知缺陷，所以tls1.3中引入了encrypted sni，不过部署起来有点麻烦就是了…… ...

然而这对移动无效

yousihai

h2o 发表于 2019-2-12 11:52
TNS也叫漏洞的话，我请那位作者重新设计一下TLS协议吧，名字帮你想好了，叫TNS2.0或者SSL4.0吧！:l ...

不能算漏洞，不过SNI确实是已知缺陷，所以tls1.3中引入了encrypted sni，不过部署起来有点麻烦就是了……

ghyghoo8

阿里云国际官网也有这个问题

勺七宝

昨天在屋里是移动网络，只要切到阿里云的HK或者SG，必定断网一会，过一会自动恢复，其他节点没问题。最近套路云确实被重点关照了，如果持续下去准备弃坑。
昨天晚上还专门搜了下论坛有没帖子说最近这问题，感谢楼主的干活分析。

soasurs

总结来说：线路这么好，这么便宜，能让你舒舒服服用吗？

cici9911

tls确实被针对了

我的小鸡挂了个野鸡站用的lets encrypt就被墙了

gaoji.me

我的新加坡443也间歇性屏蔽了

plyu007

很正常的，只会越来越高