看图说话 之 墙又高了 之 套路云躺枪

yousihai

今天忽然发现原来能连上的梯子连不上了，但是访问上面的网站，连ssh都一切正常。检查日志全部都是奇怪的错误，例如连接直接EOF
反复检查两端的报文发现高强果然又让我们更加爱国了。

证据及说明如下：
（不接受反驳说我的网络有问题，我的网络很好，你没有遇到只是因为高强不是全国统一的，就像很多人反应套路云https随机屏蔽但是不少人从没有遇到一样，我这边也只有公司网有问题，4G和家里都正常，我们公司网没有墙中墙，不用怀疑）


图1
本地发出多次tls握手测试，前面几次一律为没有servername的tls握手，服务器均无应答。



图2
最后一次握手使用带servername的tls，成功建立连接。



图3
来自服务端，只正确接收到最后一次带有servername的握手，其他的只有连接没有报文内容，已被成功爱国。

目前依然只发现有套路云有此问题，其他IDC还没有这种神奇的拦截方式。

PS：servername extension是可选的，tls没有标准要求必须发送此extension，虽然主流浏览器在访问https时几乎都会发送servername（只要你是通过域名访问的），但是依然存在直接通过ip访问和非https用途的tls，这类情况下没有servername（例如anyconnect）
PS2：高强目前会随机性拦截套路云的带servername的tls握手，我之前论证过：https://www.91ai.net/thread-443494-1-1.html，现在不带servername的tls握手直接发不出去了，带servername又会被随机阻断，套路云tls已死

mrw79

著名的Hosts

周润发

楼主辛苦了 写了这么多

xltz

高强厉害了

yousihai

mrw79 发表于 2019-2-12 11:21
著名的Hosts

高强可以通过servername来判断你连接的https的域名是什么，然后加以阻断，不过我这个是普通域名，并不在黑名单之列，并且无servername的握手根本就没法判断。

viccy520

为啥要封杀

Lous

不懂，所有小鸡表示情绪稳定

plyu007

很正常的，只会越来越高

gaoji.me

我的新加坡443也间歇性屏蔽了

cici9911

tls确实被针对了

我的小鸡挂了个野鸡站用的lets encrypt就被墙了