各位技术人士对昨日新上线的"TCP旁路阻断"有何应对之法?


#1

墙上又要加砖,改host方法和工具已经挡不住针对性的封锁了


#2

我对此感到同样好奇,显而易见,这对我们的线上活动极其重要。


#3

我也听说了这件事。
下图所示信息的真假尚不确定——


#4

我观测到的现象是(在抵挡住 DNS 干扰的前提下)直接访问 https://zh.wikipedia.org 会被连接重置,但访问 https://en.wikipedia.org 不受影响(但因为这两个域名对应的是同一组 IP 地址和同一张数字证书,因此用浏览器先访问 https://en.wikipedia.org 后马上访问 https://zh.wikipedia.org 不会被阻断)。推测是针对明文的 SNI 进行的攻击。

pixiv 在 8 月 25 日反而尚未受到影响。

所以,请首先从称呼这种攻击为“针对明文 SNI 的 TCP 连接重置”开始(可以简称为 SNI 封锁)。

一个国际标准草案正通过改进 TLS 解决这个问题。


“科学上机”系列之 DNS 篇
“科学上机”系列之 DNS 篇
“科学上机”系列之 DNS 篇