V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Moonkin
V2EX  ›  宽带症候群

应对 sni 阻断,可以不带 sni 吗?

  •  
  •   Moonkin · 327 天前 · 6986 次点击
    这是一个创建于 327 天前的主题,其中的信息可能已经有所发展或是发生改变。
    泉州河南 sni 阻断,虽然我没经历过也不知道具体情况。。据说一些小众域名,.top ,.xyz 会被阻断。
    有人尝试过直接用 ip 地址没问题。
    那不带 sni 是否也可以?或者 sni 写上 www.baidu.com 。。。
    22 条回复    2024-01-12 10:50:51 +08:00
    yyzh
        1
    yyzh  
       327 天前
    esni 嘛.墙检测识别不到的连接外国的加密流量然后一刀切就行.简单.
    Moonkin
        2
    Moonkin  
    OP
       327 天前
    @yyzh 墙可以不允许用户使用 esni 。。但是没办法阻止错误的 sni 。。
    wonderfulcxm
        3
    wonderfulcxm  
       327 天前 via iPhone
    @yyzh esni 在墙内可以用吗?墙会拦截,运营商拦截不?
    Moonkin
        4
    Moonkin  
    OP
       327 天前
    @wonderfulcxm esni ,ech 都是草稿,还没有正式 RFC ,,虽然有些网站支持吧。。
    wonderfulcxm
        5
    wonderfulcxm  
       327 天前 via iPhone   ❤️ 1
    @Moonkin 哦好吧。我找个机会搭个试试。

    sni 可以伪装的,不良林讲过两期利用域前置 cdn ,伪装 sni 的方法,油管可以找到,一个是利用 v2ray 新增的 meek 协议,也就是洋葱浏览器使用的协议,还在一期使用 ws ,但我都试过极其的慢。
    0o0O0o0O0o
        6
    0o0O0o0O0o  
       327 天前 via iPhone
    esni 不让用。

    伪造 sni ,看 https://github.com/XTLS/REALITY
    coolcoffee
        7
    coolcoffee  
       327 天前
    不认识的加密流量,间歇性干扰导致你怀疑人生。
    Moonkin
        8
    Moonkin  
    OP
       327 天前 via Android
    @coolcoffee 只改 sni 这一个字段,本身还是明文,只是内容是错误的
    Moonkin
        9
    Moonkin  
    OP
       327 天前 via Android
    @0o0O0o0O0o reality 似乎是先假握手,再真握手,,,真握手需要填充握手包。。不用自己域名是方便。。
    Stoney
        10
    Stoney  
       327 天前 via iPhone   ❤️ 1
    Reality 协议可以,用 Microsoft.com 域名都可以
    tool2d
        11
    tool2d  
       327 天前
    @Moonkin "只改 sni 这一个字段,本身还是明文,只是内容是错误的"

    只有大公司的少数服务器支持忽略 sni 。

    大部分小公司,一个服务器 IP 对应几个域名,都要靠识别 sni 来跳转对应域名。
    vcn8yjOogEL
        12
    vcn8yjOogEL  
       327 天前
    伪造 SNI 就是那些 TLS 代理做的事, Reality 还支持伪造成别人的 SNI

    伪装直连不可能, Google 这类大厂的 IP 段全都黑名单了, 而且 SNI 不对就算能通也连不上
    qwvy2g
        13
    qwvy2g  
       327 天前   ❤️ 3
    河南这边手机数据和宽带执行严格程度不同,河南联通手机数据似乎是严格白名单,试了几个不是那么热门网站的域名,不在 sni 白名单内直接阻断,但是像美国微软美国亚马逊这种网站又能访问。河南联通家用宽带就没有那么严格,速度和以前差不多。河南电信手机数据一开始能连接,但是速度跑不起来偶尔会断流。河南电信家宽也差不多,也是速度跑不动+断流,哪怕是 gia 。至于河南移动,试了一下家宽,能连上去完全跑不起来哪怕是 cmi 断流比电信现象小一些。以上所有的光猫替换成非运营商的+改桥接。不知道路由模式是不是也是这样。
    yumusb
        14
    yumusb  
       327 天前
    你不用 tls 不就完了。
    gledos
        15
    gledos  
       327 天前   ❤️ 1
    有一种策略叫做域前置,原理:这是一种发送虚假 SNI 给服务器的方案,由于 SNI 本身属于扩展协议,所以不正确的 SNI 或者没有 SNI ,可能会触发服务器的兼容性功能,从而返回默认的或通用的证书,允许连接建立。(属于一种向前兼容)

    2016 年开始,IM 软件 Signal 、Telegram 使用了域前置规避审查,来解决被部分地区封锁的问题。

    2018 年 4 月 14 日,由于俄罗斯大规模封禁 Google 和 Amazon 云的 IP ,尝试禁止这些软件,所以 Google 和 Amazon 禁用了域前置,云运营商给出的理由是「安全问题」。

    所以域前置的作用有限,主要还是看网站是否支持域前置吧,有的厂商已经迫于压力,禁止了不正确的 SNI 连接。
    Moonkin
        16
    Moonkin  
    OP
       327 天前   ❤️ 1
    @gledos 这不是同一件事情啦。。我说的不是用假 sni 去直连 google ,而是用假 sni 直连 vps 。阻断 sni 导致无法链接 vps ,因为 vps 的域名是便宜的小众域名,不在白名单。换成假 sni ,vps 里面运行的代理不检测 sni 。想着这样就可以避开 sni 阻断了。
    Moonkin
        17
    Moonkin  
    OP
       327 天前
    @yumusb 不用 tls 的话,能用的不多了。。udp 可以,因为没人查。自定义协议感觉会被疯狂干扰,比如 shadowsocks
    admin13579
        18
    admin13579  
       327 天前 via Android
    目前确认的是 esni 会被无差别阻断
    无 sni ,伪造的(明文) sni 和 ech 不会阻断

    另外还有个比较偏门的方法,如果具体的阻断方式是仅发送 rst 包(而不是丢包),而你的使用需求又是远程连接自己的 vps 而不是访问别人的网站(意味着服务端和客户端的控制权都在你手上),那也可以尝试让你的客户端和服务端都丢弃所有收到的的 rst 包,不接收 rst 包的话,就可以无视阻断强行继续连接。不过可能会产生一个问题就是一刀切丢弃所有 rst 包可能导致一些本该结束的 tcp 进程无法被及时杀死,导致拥堵。
    AkinoKaedeChan
        19
    AkinoKaedeChan  
       326 天前
    不带 SNI 可以,倒不如说在实际应用 SNI 之前都是这样的。
    ECH 还在草案阶段。
    LnTrx
        20
    LnTrx  
       325 天前
    IP 地址本身就可以申请证书
    xwybss
        21
    xwybss  
       322 天前
    可以不要 sni ,甚至偷用别人的 sni ,有个东西叫域前置,原则上配合 hosts 可以直连世界上大多数网站。
    不过规则非常复杂,不如直接翻墙
    drvDPqg5nO7kZWhv
        22
    drvDPqg5nO7kZWhv  
       318 天前
    应对 sni 阻断,目前估计就只有我有技术可以到达工程应用级别的突破吧。
    比如 https://main.wsproxy.workers.dev/cdn-cgi/trace ,我在突破阻断的同时,能让 cf 拿到 sni;
    所有 sni 阻断的域名我都能一次连接里突破,而不需要任何复杂的前置大量计算。
    既然免费域名的 cf 都能白嫖了,接下来你们懂的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5194 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 09:44 · PVG 17:44 · LAX 01:44 · JFK 04:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.