V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bigeagle
V2EX  ›  程序员

新封锁方式的猜测

  •  
  •   bigeagle · 2013-06-20 23:06:11 +08:00 · 3438 次点击
    这是一个创建于 4178 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天开始大批VPS被墙,这一批被墙得很有特色:

    1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
    2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
    3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
    4. 被封的VPS又99%都在用startssl的证书

    楼主觉得很奇怪,所以提出两条阴谋论:
    1. 测试新的方案,例如上线新硬防
    2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
    4 条回复    1970-01-01 08:00:00 +08:00
    siyanmao
        1
    siyanmao  
       2013-06-20 23:41:19 +08:00
    这种封源IP的办法很早就有了,封端口就用这种方法。我一直怀疑部分出口线路上已经部署上了这种硬防,隐蔽,效率高,可靠性好,可以远程更新配置(,或许还可以给规则配置老化时间?)。但是对设备的具体类型/型号不太清楚。这种要求绝对是商品设备,自己攒要出事的。
    黑洞路由毕竟还是麻烦,要广播路由表,要配置路由器,要有专用光纤/链路,路由条数太多(当年方校长的论文里提到大概是10^5量级)
    估计和CA没什么关系,有用自签名被干掉的,也犯不着和CA作对。
    est
        2
    est  
       2013-06-21 00:19:48 +08:00
    关于第二点,你们太天真了。墙早就有伪造ttl响应的能力了。不信你们去电信省级骨干网去ping
    pubby
        3
    pubby  
       2013-06-21 00:23:57 +08:00
    真的被墙了?

    昨天一批vps连不上,过了十几小时全恢复了。
    fqrouter2
        4
    fqrouter2  
       2013-06-21 00:27:55 +08:00 via Android
    @siyanmao 我很天真的认为封端口是思科路由器自带的功能。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 20:43 · PVG 04:43 · LAX 12:43 · JFK 15:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.