V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
echohanyu
V2EX  ›  macOS

请问 OS X 下怎么屏蔽特定端口网址 https?

  •  
  •   echohanyu · 2016-03-11 09:56:22 +08:00 · 2642 次点击
    这是一个创建于 3181 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 www.baidu.com 在 443 端口上屏蔽?

    9 条回复    2016-03-14 17:32:11 +08:00
    shiji
        1
    shiji  
       2016-03-11 10:26:18 +08:00
    只能针对 IP ,不能针对网址吧
    DreaMQ
        2
    DreaMQ  
       2016-03-11 10:32:11 +08:00
    -p tcp -m string --string "baidu.com" --algo bm --to 65535 -j REJECT
    yeyeye
        3
    yeyeye  
       2016-03-11 10:44:03 +08:00
    @shiji 支持 SNI 的会发送明文信息的域名,我想可以屏蔽哟
    echohanyu
        4
    echohanyu  
    OP
       2016-03-11 12:50:44 +08:00
    @shiji
    我也是只搜到了屏蔽 IP 的方法。。。
    @DreaMQ
    谢谢我去试试
    @yeyeye 谢谢回复
    wkdhf233
        5
    wkdhf233  
       2016-03-11 12:55:05 +08:00   ❤️ 1
    Proxifier 把所有发往 443 的数据劫持到 SNIProxy 上,然后 SNIProxy 配置里单独把百度的给拒绝掉应该可以
    话说百度应该不存在跟别人共享 IP 的情况吧。。直接根据 IP 屏蔽其实也差不多?
    shiji
        6
    shiji  
       2016-03-11 13:09:12 +08:00 via Android   ❤️ 1
    @echohanyu 我找到了一篇绕过 sni 屏蔽的论文。 https://hal.inria.fr/hal-01202712/document 但是没找到现成的屏蔽方案。按理来说只要把带 sni 的那个数据包扔了就行
    shiji
        7
    shiji  
       2016-03-13 02:27:28 +08:00
    @echohanyu
    @yeyeye
    我刚刚发现,即使服务器/浏览器不支持 SNI , 在你访问 HTTPS 网站的时候,高级的防火墙都能抠出来 vhost 的域名。 有 SNI 的情况下可以扣 SNI , 没有 SNI 就解析服务器返回给你的公钥,里面是有公钥的域名信息的。
    yeyeye
        8
    yeyeye  
       2016-03-13 03:43:47 +08:00
    @shiji 你访问的那个域名 还是证书里所有的域名,如果是所有的域名则无意义。
    chztv
        9
    chztv  
       2016-03-14 17:32:11 +08:00
    Surge Mac 版可以。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1406 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:33 · PVG 01:33 · LAX 09:33 · JFK 12:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.