全球主机交流论坛

标题: https受限的抓包记录来了 [打印本页]
作者: yousihai    时间: 2018-4-17 10:28
标题: https受限的抓包记录来了
本帖最后由 yousihai 于 2018-4-17 11:19 编辑

之前好几个大佬表示https被限制是无j之谈,上次正好要抓包的时候忽然限制就解除了……今天再次被限制,顺利抓包。
请注意:下图两次抓包不是同一次访问,本地忘了抓,后来又访问了一次网站,补抓了一个包,所以顺序和远程的对不上是正常的。
汇总一下:

本地:

远程:

443端口+http协议:

443端口+https协议,直接ip访问(无sni):

443端口+https协议,域名访问(有sni):


另外同一时间打开国内https,国外非套路云的https均秒开。

更新:现已恢复正常,做不了实验了。
作者: huayixin    时间: 2018-4-17 10:30
看不懂 不过 为大佬 点赞
作者: 蓝浩    时间: 2018-4-17 10:31
看不懂,顶一下
作者: logic90    时间: 2018-4-17 10:33
支持楼主,这种有理有据的探讨才是干货,。。。之前看有人自己没遇到这种情况,就随便喷别人小白,感觉太不专业了。。。
作者: yousihai    时间: 2018-4-17 10:33
在本地的抓包中有几个continuation data是来自另一个我在之前建立的tls连接的报文,侧面说明我之前是能连上这个网站的,不存在配置问题。并且已经建立的连接不会受到高Q的干扰而中断。

结论就是https连接被阻止了,但不是打断,能连接,但发不出tls握手
作者: yousihai    时间: 2018-4-17 10:36
反映到浏览器就是chrome会卡在正在建立安全连接,firefox会卡在tls握手,等待很久后超时。
作者: 风铃    时间: 2018-4-17 10:38


我这里基本所有的https都在抽风
作者: yousihai    时间: 2018-4-17 10:42
风铃 发表于 2018-4-17 10:38
我这里基本所有的https都在抽风

你这个不一样,是reset了,不是超时
作者: cmse    时间: 2018-4-17 10:42
yousihai 发表于 2018-4-17 10:36
反映到浏览器就是chrome会卡在正在建立安全连接,firefox会卡在tls握手,等待很久后超时。 ...

是不是说明,墙把https屏蔽了可能是把443端口屏蔽?。但无法干扰。
作者: yousihai    时间: 2018-4-17 10:45
被我这种限制是这样的:



顺便,这个看地区,我换个网络访问是可以的。
作者: 金关村村长    时间: 2018-4-17 10:45
可怕 整个 443 端口 被弄了?
作者: zrj766    时间: 2018-4-17 10:46
联通都这样还是电信也这样?这两天好像联通用户反应比较强烈,电信的没怎么说。
作者: yousihai    时间: 2018-4-17 10:48
本帖最后由 yousihai 于 2018-4-17 10:49 编辑
cmse 发表于 2018-4-17 10:42
是不是说明,墙把https屏蔽了可能是把443端口屏蔽?。但无法干扰。


现在Q不一样了,以前都是直接reset的
另外我多台套路云都是同时被干扰,同时解决,除了443其他没毛病

zrj766 发表于 2018-4-17 10:46
联通都这样还是电信也这样?这两天好像联通用户反应比较强烈,电信的没怎么说。 ...

ZJ电信企业宽带。
作者: poctopus    时间: 2018-4-17 10:49
看来443端口和对应的ip被重点关注了。
作者: loony    时间: 2018-4-17 10:50
yousihai 发表于 2018-4-17 10:48
现在Q不一样了,以前都是直接reset的
另外我多台套路云都是同时被干扰,同时解决,除了443其他没毛病

PS我阿里云也是这样~只要流量稍微跑多点就干扰。
作者: cmse    时间: 2018-4-17 10:51
yousihai 发表于 2018-4-17 10:48
现在Q不一样了,以前都是直接reset的
另外我多台套路云都是同时被干扰,同时解决,除了443其他没毛病

如果不是用https协议,直接用http协议放在443端口,是否也会被干扰。如果不会,那说明是针对443端口https协议。
作者: yousihai    时间: 2018-4-17 10:58
cmse 发表于 2018-4-17 10:51
如果不是用https协议,直接用http协议放在443端口,是否也会被干扰。如果不会,那说明是针对443端口https ...

Sounds interesting.



我又改成https后,依然打不开。证明被限制的是https协议。
作者: hobo6019    时间: 2018-4-17 10:59
是不是因为大幅度传播的v2ray+https
作者: VMCloud    时间: 2018-4-17 11:01
你的第一张图 说的建立连接有问题,hello包都没发送到,server hello都没,怎么说是链接成功呢


再说一个网站不可能只有一个文件资源,连接的时候会有多个hello包
作者: leaveoff    时间: 2018-4-17 11:01
这个一直有啊,现在有解决方法吗?
作者: yousihai    时间: 2018-4-17 11:03


去掉sni,直接用ip访问,则可以打开。以上证明sni协议被限制。
作者: yousihai    时间: 2018-4-17 11:04
VMCloud 发表于 2018-4-17 11:01
你的第一张图 说的建立连接有问题,hello包都没发送到,server hello都没,怎么说是链接成功呢


tls连接是基于tcp的,tcp连接成功就算连接成功,tls只是握手。
tls连接属于应用层连接。

首先网页都没打开,浏览器怎么知道应该发起多少连接?肯定要先打开网页,解析html后才能发起多个连接。
作者: plyu007    时间: 2018-4-17 11:05
zrj766 发表于 2018-4-17 10:46
联通都这样还是电信也这样?这两天好像联通用户反应比较强烈,电信的没怎么说。 ...


现在走80端口,如果不混淆,广东联通识别为境外流量,会强制丢包,恶心得1b,改走高位端口,暂时没问题,感觉常用的端口都在搞了些什么
作者: VMCloud    时间: 2018-4-17 11:05
yousihai 发表于 2018-4-17 11:04
tls连接是基于tcp的,tcp连接成功就算连接成功,tls只是握手。
tls连接属于应用层连接。 ...

你再看下着色规则 tcp reset是什么颜色
作者: yousihai    时间: 2018-4-17 11:06
VMCloud 发表于 2018-4-17 11:05
你再看下着色规则 tcp reset是什么颜色

红色谢谢。wireshark默认就是红色。而且reset包会被标记为RST。
作者: VMCloud    时间: 2018-4-17 11:07
yousihai 发表于 2018-4-17 11:06
红色谢谢。wireshark默认就是红色。而且reset包会被标记为RST。


你开心就好
作者: yousihai    时间: 2018-4-17 11:10
VMCloud 发表于 2018-4-17 11:07
你开心就好

请了解浏览器是怎么访问网站后再来发言。
作者: yousihai    时间: 2018-4-17 11:13
VMCloud 发表于 2018-4-17 11:07
你开心就好



就给你抓个reset包看看好了~
作者: cmse    时间: 2018-4-17 11:16
hobo6019 发表于 2018-4-17 10:59
是不是因为大幅度传播的v2ray+https

应该是这个问题。因此必须换成其他端口。不然会被干扰。
作者: diocat    时间: 2018-4-17 11:19
顶一波,我也是这种情况,vu日本机房。
使用域名和ip访问https的时候,这两种数据包会有什么不同?

一开始我以为是中间人攻击,后来发现即使在host里强改非证书里的域名,一样不通,结论是只要带域名访问https,就一定不行。


加点东西

十分鄙视一些 自己没遇到 就说别人白痴的人,相关人士不要对号入座谢谢。
作者: yousihai    时间: 2018-4-17 11:20
diocat 发表于 2018-4-17 11:19
顶一波,我也是这种情况,vu日本机房。
使用域名和ip访问https的时候,这两种数据包会有什么不同?

使用域名访问时,现代浏览器会带一个sni extension其中明文发送了你访问的域名。使用ip访问则不会有。
使用xp的ie访问时,无论是否使用域名都不会发送sni(因为不支持……)
作者: cmse    时间: 2018-4-17 11:25
说明墙更加精准了。sni 原来是明文发送。不过以后可能伪装sni。看v2什么时间开发出这个功能。
作者: yousihai    时间: 2018-4-17 11:27
cmse 发表于 2018-4-17 11:25
说明墙更加精准了。sni 原来是明文发送。不过以后可能伪装sni。看v2什么时间开发出这个功能。 ...


sni的作用是让服务器知道应该使用哪个证书,没有了sni就无法实现单ip多https网站。所以现代浏览器必然会发送sni的。
原来tls1.3提议了加密sni,但是由于加密后会导致企业防火墙无法监管员工,所以该提议已经被否决了

当然了,自定义客户端随便改,v2如果自己处理证书,不发sni也没问题。
作者: ghyghoo8    时间: 2018-4-17 11:31
阿里的显示reset,然后刷新一下就是正在连线,超时
作者: yangxiaozhi    时间: 2018-4-17 11:41
提示: 作者被禁止或删除 内容自动屏蔽
作者: zrj766    时间: 2018-4-17 11:45
plyu007 发表于 2018-4-17 11:05
现在走80端口,如果不混淆,广东联通识别为境外流量,会强制丢包,恶心得1b,改走高位端口,暂时没问题, ...

蛋疼啊,主要是做站,上了https用户打不开这算是搞什么。。。
作者: yousihai    时间: 2018-4-17 11:50
yangxiaozhi 发表于 2018-4-17 11:41
显然他们没有意识到我大天朝的大炮威力。

没事儿,万一真有这个功能天朝可以直接屏蔽tls1.3……
作者: plyu007    时间: 2018-4-17 11:52
zrj766 发表于 2018-4-17 11:45
蛋疼啊,主要是做站,上了https用户打不开这算是搞什么。。。

我反正觉得现在已经开始疯了……哪天真出个白名单,真心不会觉得意外
作者: yangxiaozhi    时间: 2018-4-17 12:07
提示: 作者被禁止或删除 内容自动屏蔽
作者: diocat    时间: 2018-4-17 12:22
yangxiaozhi 发表于 2018-4-17 12:07
我们的决定权也是很重要滴,对吧?

只有renda有
作者: yousihai    时间: 2018-4-17 12:24
yangxiaozhi 发表于 2018-4-17 12:07
我们的决定权也是很重要滴,对吧?

他们决定怎么做,我们决定哭着接受还是笑着接受。
作者: 墨迹    时间: 2018-4-17 12:25
我之前也遇到过,ip可以打开https,换成域名就一直卡住,时有时无,当时查了半天也不知道咋回事
作者: diocat    时间: 2018-4-17 12:26
yousihai 发表于 2018-4-17 11:20
使用域名访问时,现代浏览器会带一个sni extension其中明文发送了你访问的域名。使用ip访问则不会有。
使 ...

感谢解答!
作者: yangxiaozhi    时间: 2018-4-17 12:46
提示: 作者被禁止或删除 内容自动屏蔽
作者: yangxiaozhi    时间: 2018-4-17 13:03
提示: 作者被禁止或删除 内容自动屏蔽
作者: dengyigod    时间: 2018-4-17 13:08
自从有人这么说,我就一直在尝试我的套路云HK/SGP, 每天不同时段都试过了, 没有被影响.
我觉得可能是不是要看你的IP历史清白不清白,比如iIP前主人拿去开过机场,就会被重点关照
像我这几个IP,都是正经作站快2年了, 就比较不受影响
作者: yousihai    时间: 2018-4-17 13:25
dengyigod 发表于 2018-4-17 13:08
自从有人这么说,我就一直在尝试我的套路云HK/SGP, 每天不同时段都试过了, 没有被影响.
我觉得可能是不是要 ...


这个看网络的,在我做测试的时候,我同时从手机访问(也是电信),和套路云国内版访问,都可以正常打开。
你不受影响只能说明可能你的网络并不在某墙的“高墙 insider”段。
作者: zhujiwiki    时间: 2018-4-17 13:25
我这联通有影响,电信没
作者: dengyigod    时间: 2018-4-17 13:30
yousihai 发表于 2018-4-17 13:25
这个看网络的,在我做测试的时候,我同时从手机访问(也是电信),和套路云国内版访问,都可以正常打开。 ...

测不到也没有办法了,只能等有客户反应了再要他网络测试.
套路晕这种低价CN2太招风,不用又没有其他好的选择
作者: ngeel    时间: 2018-4-17 13:38
为了安全,最好少用套路云,出了墙,套路云本身就有很多监控。
作者: ddnpc    时间: 2018-4-17 13:42
提示: 作者被禁止或删除 内容自动屏蔽
作者: yousihai    时间: 2018-4-17 15:04
ddnpc 发表于 2018-4-17 13:42
什么证书?

免费的收费的都有,和证书无关,client hello发不出,证书交换根本就没开始
作者: leaveoff    时间: 2018-4-17 15:16
对的,套路云的机子经常这样,,,不知道楼主有没有解决方法
作者: baymin    时间: 2018-4-17 16:14
zrj766 发表于 2018-4-17 10:46
联通都这样还是电信也这样?这两天好像联通用户反应比较强烈,电信的没怎么说。 ...

联通的问题比较多,公司电信同时段没问题
作者: yousihai    时间: 2018-4-18 11:00
hobo6019 发表于 2018-4-17 10:59
是不是因为大幅度传播的v2ray+https

其实封sni的做法很愚蠢,因为无论是v2还是酸酸r都可以轻而易举的配置成不使用sni,而正常的网页浏览反而没办法禁用sni
作者: leaveoff    时间: 2018-4-18 11:14
大佬,这个问题有解决方法了吗
作者: yousihai    时间: 2018-4-18 11:17
leaveoff 发表于 2018-4-18 11:14
大佬,这个问题有解决方法了吗


北岸回国内~
这破SNI是用户浏览器决定的,你又控制不了的,倒是梯子好办,我已经去掉了梯子的sni了,从此不再受到https干扰~~
作者: leaveoff    时间: 2018-4-18 11:18
yousihai 发表于 2018-4-18 11:17
北岸回国内~
这破SNI是用户浏览器决定的,你又控制不了的,倒是梯子好办,我已经去掉了梯子的sni了,从此 ...

如果不使用SNI,一个IP一个SSL,是不是能解决这个问题?
作者: yousihai    时间: 2018-4-18 11:24
leaveoff 发表于 2018-4-18 11:18
如果不使用SNI,一个IP一个SSL,是不是能解决这个问题?


不能,浏览器并不知道你的ip上有几个网站,他们总是会发送sni的,而且目前来说并没有哪个浏览器提供了关闭选项。
作者: leaveoff    时间: 2018-4-18 11:27
yousihai 发表于 2018-4-18 11:24
不能,浏览器并不知道你的ip上有几个网站,他们总是会发送sni的,而且目前来说并没有哪个浏览器提供了关 ...

梯子的SNI是怎么去掉的?
作者: yousihai    时间: 2018-4-18 11:39
leaveoff 发表于 2018-4-18 11:27
梯子的SNI是怎么去掉的?

酸酸r最简单了,混淆不写域名就行了,v2自己想吧
作者: asdqwe876    时间: 2018-4-18 11:51
别理那些人,总有些人自以为是
作者: lgc    时间: 2018-4-18 23:09
本帖最后由 lgc 于 2018-4-18 23:12 编辑



这是中奖了吗
作者: 小新    时间: 2018-4-19 00:30
楼主是联通吗?

这边有联通遇到完全一样的情况。
作者: zccyun    时间: 2018-4-19 00:37
现在是否封取决于出国网关走哪个。总连通率肯定不行了
作者: tony601818    时间: 2018-4-19 02:09
厉害了,直接掐HTTPS,怕不是遇到了Bug
作者: sm1314    时间: 2018-4-19 08:24
yousihai 发表于 2018-4-18 11:39
酸酸r最简单了,混淆不写域名就行了,v2自己想吧

大佬,v2是把域名改成ip,然后允许不安全访问吗?
作者: stelics    时间: 2018-4-19 08:27
同样遇到了,很**,为这个决策者默哀1秒
作者: yousihai    时间: 2018-4-19 09:19
lgc 发表于 2018-4-18 23:09
这是中奖了吗

你这个也是Reset了,而且看上去是高强的reset,正常的reset包很少有一次性发一堆的,而高强的reset包正好是这个特性。

楼主是联通吗?

这边有联通遇到完全一样的情况。

ZJ电信
作者: legend_xin    时间: 2018-4-20 12:10
厉害了我的锅
作者: 慕斯草莓    时间: 2018-4-20 14:31
看不懂,顶一下
作者: openos    时间: 2018-4-25 20:01
这几天怎么样?
我最近几天好像没有听说有人访问不了的.
作者: yousihai    时间: 2018-4-25 20:36
openos 发表于 2018-4-25 20:01
这几天怎么样?
我最近几天好像没有听说有人访问不了的.

这几天一直很正常,似乎试验暂告一段落了
作者: openos    时间: 2018-4-25 20:47
yousihai 发表于 2018-4-25 20:36
这几天一直很正常,似乎试验暂告一段落了

谢谢老大,我赶快切换回去.
作者: xhqpp    时间: 2021-12-28 07:06
你这个是典型的sni阻断 跟github被干扰时一样
作者: yousihai    时间: 2021-12-28 13:53
xhqpp 发表于 2021-12-28 07:06
你这个是典型的sni阻断 跟github被干扰时一样

没错这个就是sni阻断,但是问题是这个帖子是2018年发的,那时候sni阻断十分罕见,而且套路云的sni阻断和别的不一样,他是阻断一切域名



欢迎光临 全球主机交流论坛 (https://loc.193.gs/) Powered by Discuz! X3.4