V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
brMu
V2EX  ›  宽带症候群

针对家宽私设 web 被停宽带,个人提供 2 个反制方法供讨论

  •  
  •   brMu · 2019-10-17 13:53:43 +08:00 · 18817 次点击
    这是一个创建于 1855 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前来看,运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的,也即是 http 或 https 服务,而其它服务并不会被限制,比如 BT,未知服务,利用这一点,我想到的方案:

    1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?

    2.https tls1.3,这个方法可能不行。
    首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。

    tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
    不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。

    另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
    第 1 条附言  ·  2019-10-17 22:58:09 +08:00
    个人只是用来做群晖管理的,担心因此被封宽带,并非真的搞 web 服务。
    补充大佬的 2 个方案:
    VPN
    IP 白名单
    第 2 条附言  ·  2019-11-20 11:19:54 +08:00
    补充:
    ZeroTier
    78 条回复    2019-10-27 22:14:45 +08:00
    lydasia
        1
    lydasia  
       2019-10-17 14:02:40 +08:00 via Android
    现在已经关了公网 web,一律 vpn 回去内网访问。。
    azh7138m
        2
    azh7138m  
       2019-10-17 14:39:27 +08:00   ❤️ 1
    不介意速度可以套个 CF CDN
    然后 drop 掉所有非 CF 的流量
    wazon
        3
    wazon  
       2019-10-17 14:40:29 +08:00
    VPN 是一种办法,但很多地区 VPN 的端口也不太通畅
    无论如何,已知的非 Web 的解决方案都大大增加了控制家中设备的麻烦程度
    顺便一提,现在工信部的文件长什么样都不知道,把家中设备的 Web 控制界面说成是“私设 Web”其实还是不妥
    mythabc
        4
    mythabc  
       2019-10-17 14:42:32 +08:00
    可是,私人架设 VPN 也是违法的。
    mythabc
        5
    mythabc  
       2019-10-17 14:44:21 +08:00
    感觉 NAS/监控的用户应该挺多的,这个规定究竟属于哪个部门管的大家一起写投诉应该有点用?
    Laynooor
        6
    Laynooor  
       2019-10-17 14:56:43 +08:00
    检测 web 应该会留下访问记录?看看 log 里有哪些可疑 IP 然后 Block 掉,或许能解决?
    Laynooor
        7
    Laynooor  
       2019-10-17 14:58:26 +08:00
    或者设置本地运营商的 IP 解析到 cf,其他的 IP 正常直连
    txydhr
        8
    txydhr  
       2019-10-17 15:08:15 +08:00
    如果 frp 的话就要另外付钱购买主机,用国内主机流量费用可不低,用国外主机就有访问速度问题。
    txydhr
        9
    txydhr  
       2019-10-17 15:09:13 +08:00
    @mythabc 这个政策和推广物联网自相矛盾。
    txydhr
        10
    txydhr  
       2019-10-17 15:10:24 +08:00
    反制方法只是为了打游击,违规还是违规
    政策刚出,我们都不知道什么样是合法的,什么是不合法的
    jiangyang123
        11
    jiangyang123  
       2019-10-17 15:14:55 +08:00
    其实只是为了封那些搞诈骗的,或者说放网页的

    结果在中国你知道的,政策下来只会一刀切解决
    txydhr
        12
    txydhr  
       2019-10-17 15:20:44 +08:00   ❤️ 2
    @jiangyang123 紧急时刻先一刀切,即使麻烦些,其实我也是能理解的,诈骗的真的应该全都下地狱。
    先看事情发展吧,毕竟换个位置想想,短时间内工信部也想不出更好的办法,不管从技术上还是可实施的方面。上面给的压力肯定也不小,配合公安部还是第一要务。
    怕就怕这个变成长期政策,也不改了,也没有合法使用的方法。
    txydhr
        13
    txydhr  
       2019-10-17 15:22:35 +08:00
    @jiangyang123 你想想,打开的主页是路由器登录页面,后面二三级目录有什么根本不知道,也无从查起。
    ys0290
        14
    ys0290  
       2019-10-17 15:24:12 +08:00 via iPhone   ❤️ 7
    汇报:有一批犯罪网站没有备案,或者架设在自己家里
    领导:家里的网谁会用来架设网站?清查!
    执行:全网家宽有 web 流量的一律封禁

    这是我的内心戏
    mxT52CRuqR6o5
        15
    mxT52CRuqR6o5  
       2019-10-17 15:24:50 +08:00 via Android
    @azh7138m cf 回源能自定义端口吗?
    sphawkcn
        16
    sphawkcn  
       2019-10-17 15:40:28 +08:00
    从商业利益的角度来说,各网络服务商也是有动力对家宽各种可能的 web 服务进行大力封禁的,如果能有一份文件提供政策上的支持,那就更有动力了。

    在大力封禁下,其中有一部分用户会乖乖的回到商用宽带,或者各种云服务商那里,即使回到云服务商那里,对网络服务商也是有益的,毕竟云服务商也是要用他们的网络的。
    jiangyang123
        17
    jiangyang123  
       2019-10-17 15:50:36 +08:00
    @txydhr #12
    @ys0290 #14 如果以后长期这样,真的就让人烦扰了
    azh7138m
        18
    azh7138m  
       2019-10-17 16:02:38 +08:00
    @mxT52CRuqR6o5 呃,ipv6 现在是封了端口吗。。。封了那就不行了
    moxuanyuan
        19
    moxuanyuan  
       2019-10-17 16:08:40 +08:00
    本身家宽 80 和 443 端口是用不了的,我用别的端口也不行?我现在的情况是, HK 的黑群 80 端口反代回大陆黑群上的 gitea 的 3000 端口,来实现访问 gitea
    alphatoad
        20
    alphatoad  
       2019-10-17 16:13:43 +08:00 via iPhone
    Encrypted sni 目前没有普及开来,这不是一个好的解决方案
    我怀疑运营商会在 dns 上做检测,比如布隆过滤器
    justs0o
        21
    justs0o  
       2019-10-17 16:26:56 +08:00
    @azh7138m @Laynooor 你套 CF 不需要回源?回源直接镜像流量分析,除非你走隧道回源
    @mythabc 私自假设国际信道违法,国内没说

    在现有的运营商的硬件设备下,识别各种流量都是 so easy
    justs0o
        22
    justs0o  
       2019-10-17 16:31:24 +08:00
    唯一方法就是:
    1.固定 IP +域名备案
    2.备案域名+动态 IP 是否可行,待考证
    txydhr
        23
    txydhr  
       2019-10-17 16:44:15 +08:00   ❤️ 1
    @justs0o 如果能够明确备案二级域名绑定动态家庭宽带合法,我是欢迎的
    txydhr
        24
    txydhr  
       2019-10-17 16:44:45 +08:00
    @sphawkcn 商用宽带和家庭宽带一样的
    jedihy
        25
    jedihy  
       2019-10-17 16:48:19 +08:00 via iPhone   ❤️ 2
    你反制啥啊,你办的时候签了协议的呀
    leavic
        26
    leavic  
       2019-10-17 16:56:48 +08:00
    @txydhr 物联网跟 web 有毛关系啊
    sphawkcn
        27
    sphawkcn  
       2019-10-17 17:48:42 +08:00
    @txydhr #24 不一样,家用宽带备不了案,商用宽带和云服务商可以备案。这个政策如果严格执行,那就只能商业宽带或者云服务商。
    laoyur
        28
    laoyur  
       2019-10-17 18:07:15 +08:00   ❤️ 2
    搞不懂那些用家宽搞 ZP 的是怎么想的

    国外域名、ddns、仅 https、非标端口、服务不放在根目录,且访问根目录直接阻断连接,这样可行不?
    jiangyang123
        29
    jiangyang123  
       2019-10-17 18:18:59 +08:00
    @moxuanyuan #19 我觉得你这样不行
    jiangyang123
        30
    jiangyang123  
       2019-10-17 18:20:55 +08:00
    最好群晖防火墙白名单,只允许反代的那台机子访问
    est
        31
    est  
       2019-10-17 18:23:44 +08:00
    直接 ip 白名单吧。或者像我一样敲门。
    ferock
        32
    ferock  
       2019-10-17 18:47:16 +08:00
    静观其变
    rekulas
        33
    rekulas  
       2019-10-17 19:09:07 +08:00
    dns 解析用国外服务 https 怎么泄漏域名
    justs0o
        34
    justs0o  
       2019-10-17 20:17:18 +08:00
    @rekulas 最终的数据回源还是的用电信网络,电信直接镜像骨干流量,在结合 dpi 设备,基本就可以抓到你。
    hlz0812
        35
    hlz0812  
       2019-10-17 20:20:23 +08:00 via Android
    @txydhr 国内主机买个 nat 的呗,一般也就 30 一个月
    txydhr
        36
    txydhr  
       2019-10-18 00:50:17 +08:00
    @rekulas https 域名是暴露的,只是内容看不见
    falcon05
        37
    falcon05  
       2019-10-18 02:33:06 +08:00 via iPhone
    即便走反代也不行啊,即便你只允许反代的服务器连接,运营商还是可以从流量识别 http,还不如走 frp 或者 ssh 隧道靠谱。
    lqf96
        38
    lqf96  
       2019-10-18 03:14:14 +08:00
    我觉得 http over webrtc 可以解决问题,p2p connection 并不会暴露域名,所以只要设一个境外的 stun broker 就好了...问题是不知道有没有人搞出这么一个库来...
    Junn
        39
    Junn  
       2019-10-18 08:05:27 +08:00 via iPhone
    我 nas 上搞那么多 web 服务,没见停啊。无非 80 和 443 不让用

    非要 80 的话,外面再弄个反代应该也没问题吧!
    linbenyi
        40
    linbenyi  
       2019-10-18 11:43:59 +08:00
    @Junn 所以你未牵扯未备案 DDNS。我也觉得没啥问题。
    @lqf96 Webrtc 是跑在什么上面的呀?
    @hlz0812 求推荐
    @rekulas 估计会的。
    @est 如何敲门?
    @jedihy 具体下文是 2017 年。我们老用户对于服务协议也不敏感的。
    @justs0o 对于运营商。动态(家用)固定(公司)价格差十倍不止。你觉得呢?
    @alphatoad 布隆过滤器是什么? BES 设备吗?
    @moxuanyuan 这个...好像蛮简单巧妙的。
    @sphawkcn 哎,连普通玩游戏都要开加速器。对于普通家庭用户,带宽上去了也是毫无感觉的。
    @mythabc www.miit.gov.cn 没什么好反应的。只要荷包够鼓,开个公司,拉个专线。自然是一路畅通。
    alphatoad
        41
    alphatoad  
       2019-10-18 12:03:00 +08:00
    @linbenyi 布隆过滤器是一种算法,用于快速过滤可疑邮件。我个人认为可以用来过滤可疑 DNS 请求
    xfelix
        42
    xfelix  
       2019-10-18 12:06:34 +08:00
    @mxT52CRuqR6o5 不行,只能 http 和 https,除非付费用 argo 服务。
    aliuwr
        43
    aliuwr  
       2019-10-18 12:08:00 +08:00
    如果是包检测的方式,只要有 dest port 80/443 的流量就认为违规,那么 IP 白名单,反代和敲门都是没用的。
    只能是 frp 之类的中转和 VPN 访问了。
    xfelix
        44
    xfelix  
       2019-10-18 12:23:04 +08:00
    就像前面有人说的电信的 inbound 80 和 443 本来就是封掉的。
    电信不大可能通过端口扫描的方式来发现你开的 web 服务。如果是的话很简单加个端口扫描源地址自动入黑名单的防火墙过滤策略就行。
    电信绝大多数的可能性是在他们局端的设备上看到了访问的地址和端口。因为某些‘未知’的原因,比如大流量,敏感词等(纯属猜测),然后自动触发了警告。于是实施人工的精确打击。 这种情况下你开设的 web 服务是面向全世界的话,没什么很好的办法,除非你把服务器移到境外。如果只是个人家庭远程访问和管理,完全可以通过白名单方式把可以访问的源缩小范围。
    我觉得没做亏心事,没必要过分紧张。
    exiaohao
        45
    exiaohao  
       2019-10-18 12:51:37 +08:00   ❤️ 1
    家里有公网 IP,云端一台 vRouter。怼一个 GRE,两头 bgp 宣告地址,路由自动发
    外部访问通过云端 IDC IP 反回家,云端备个案开个 ocserv 开开心心 AnyCxxxx
    此方案在 阿里云 /青云+浙江 /上海电信 /联通 测试通过

    随便怎么扫家里的 IP 一点事没有
    顺便还能做些别的事 (阿里云 500M 内网到香港这种事我肯定是不知道的 斜眼笑
    optional
        46
    optional  
       2019-10-18 14:08:58 +08:00
    就是当初协议是一张纸对吧。。。。
    hlz0812
        47
    hlz0812  
       2019-10-18 14:15:31 +08:00 via Android
    @linbenyi 自己谷歌搜国内 nat vps 就可以,但一般是江苏的,如果你在内陆,访问速度也一般
    txydhr
        48
    txydhr  
       2019-10-18 14:20:06 +08:00
    @xfelix 关键是你自己要用手机,要用公司网络呀,这些都是常规 IP
    txydhr
        49
    txydhr  
       2019-10-18 14:22:38 +08:00
    @xfelix 我也觉得 dpi 设备看到了端口号和主机名,这些设备全世界运营商都有,本来就存在。
    txydhr
        50
    txydhr  
       2019-10-18 14:24:11 +08:00
    @xfelix 但是现在搞得人心惶惶的问题是,电信直接停你家宽带,且不可恢复。
    LGA1150
        51
    LGA1150  
       2019-10-18 14:30:48 +08:00 via Android
    https+quic+alt-svc 头
    justs0o
        52
    justs0o  
       2019-10-18 17:00:36 +08:00
    根据宽带接入服务协议,第六条
    六、协议的中止、解除与终止
    (一)甲方有下列情形之一,乙方可以中止本协议(暂停提供服务):
    1、提供不真实的客户信息资料;
    2、未经乙方同意,擅自在已装的通信线路上装、移(室内移机除外)各种终端设备及
    复用设备或转让租用权的;或将宽带以任何方式提供给第三方使用或用作于其他运营商的
    违规互联;
    3、擅自改变客户类型及使用性质的;或擅自改变宽带安装地址的;
    4、利用乙方提供的拨号宽带网络开设 WEB 服务的;
    burndown
        53
    burndown  
       2019-10-18 17:13:18 +08:00
    @exiaohao 你这有详细方案没? BGP 是啥作用?很有兴趣啊
    lookas2001
        54
    lookas2001  
       2019-10-18 18:12:13 +08:00 via Android
    @burndown 这是自建了一个 vpn 吧,vpn 回家( vpn 的最初用途)
    但是,为什么要 bgp 什么的,打通家中网络以及云的内网吗?
    xuanzc880
        55
    xuanzc880  
       2019-10-18 21:37:23 +08:00
    好好看看啊用户协议,私设 web 服务被封有问题么?你在国外的 vps 上跑 bt 不也会被封么,要想跑 web 买商用宽带呀.
    kennylam777
        56
    kennylam777  
       2019-10-18 22:55:48 +08:00
    不介意域名會動的話, 可以用免費版的 argo tunnel, 但境外線路嘛......還是用 VPN 回內網吧
    ech0x
        57
    ech0x  
       2019-10-18 23:01:07 +08:00 via iPhone
    @exiaohao 不是,伪造 as 是违法的吧。
    exiaohao
        58
    exiaohao  
       2019-10-18 23:35:45 +08:00 via iPhone
    @burndown 对,实现自己的全球大内网,然后各种边缘网关帮你当地出网…在国内连上有内网 DNS 国际线+CN2,出国连美 /港的接入点同理可以回国

    @ech0x 我有 2 个 ASN,还有私有 AS 段可以用,具体请看 rfc
    lqf96
        59
    lqf96  
       2019-10-19 01:30:41 +08:00
    @linbenyi sctp over dtls,google 在实验基于 quic 的 webrtc
    @exiaohao 哇,其实可以搞一个 sd-wan,然后自己做自己的 isp,美滋滋
    txydhr
        60
    txydhr  
       2019-10-19 09:43:34 +08:00 via iPhone
    @xuanzc880 错了,你在国外 vps 上用 bt 下载没有版权纠纷的东西是绝对没有问题的。
    kokomo
        61
    kokomo  
       2019-10-19 10:48:04 +08:00 via Android
    @exiaohao
    这方案听起来就高大上!
    有没有手把手部署方案教!
    感谢!
    Semesse
        62
    Semesse  
       2019-10-19 10:57:43 +08:00 via Android
    家里搭 v2 的服务端然后 web 服务白名单 v2 吧,客户端配路由
    xuanzc880
        63
    xuanzc880  
       2019-10-19 18:26:06 +08:00
    @txydhr 核心不是用户有没有违反用户协议么,vps 协议写了不能下版权文件,你违反了被封没问题吧,ISP 的用户协议写了不能私设 web 服务,你违反了也是被 ban 这也没问题吧.
    而且很多时候这些都是民不举官不究,你个人用用,违反一些用户协议人家也懒得找你,不管是哪个公司都这样,哪怕微软,Adobe 等,个人用盗版人家根本不管,除非你跳的太厉害,就像之前 v 站被封的那个人,不就是流量超标才被封的么,他后面补充了说似乎用了 2T 的流量.
    wanguorui123
        64
    wanguorui123  
       2019-10-19 18:28:24 +08:00
    远程桌面回家
    rekulas
        65
    rekulas  
       2019-10-19 18:28:58 +08:00
    @txydhr 你可能对 https 有误解,仔细看看 https 原理你就明白了
    就比如封 google 都是封的 host 而不是封域名,知道为什么么,因为正常情况下没人知道你在访问什么域名,只知道你访问了哪台 host
    ljy2345
        66
    ljy2345  
       2019-10-19 19:09:16 +08:00
    我来给个建议,用 v2ray+ws+tls 或者 ss,目前我是 v2ray+腾讯云 cdn
    ech0x
        67
    ech0x  
       2019-10-19 22:57:27 +08:00 via iPhone
    @exiaohao 大佬大佬……私有 as 在公网广播会被 isp 拦的吧。
    @kokomo 你得先有 asn 再说……
    justs0o
        68
    justs0o  
       2019-10-20 13:02:29 +08:00 via iPhone
    @ljy2345 文不对题,你用这个可以访问家里 nas?你用这个家宽不需要开 wrb 服务?
    ljy2345
        69
    ljy2345  
       2019-10-20 16:10:39 +08:00
    @justs0o #68 可以,我现在换成 cloudflare 在国外速度很快
    justs0o
        70
    justs0o  
       2019-10-20 17:59:57 +08:00
    @ljy2345 那你如何躲避电信的 WEB 服务探测?
    exiaohao
        71
    exiaohao  
       2019-10-20 20:57:16 +08:00
    @ech0x ISP 自己也是用私有的做城域或者省域网的,又不是个个省市都跟上海电信 /深圳电信啥的一样自己的 ASN 往外甩。再说这私有 AS 号和地址人家运营商哪那么容易收。另外 ASN 用私有的搭来自己玩够了,不必先有 ASN。

    @kokomo 其实方案很土,只是互相广播地址让它们自动收路由了三层互通,同时保证有冗余,用 OSPF 也一样的。
    laevatein
        72
    laevatein  
       2019-10-21 09:07:28 +08:00
    我也被发文了 之前 DDNS 两个,一个群晖的 synology.me 一个威联通的 myqnapcloud.cn ,对外网页只有群晖和威联通的管理界面。9 月之前挂过 PT 流量较大,所以估测和流量、未备案域名( synology.me)还有对外网页都有关系,应该是同时满足三个条件比较容易被查。现在解决方案是开远程桌面端口,其他全关;另外路由器上挂了个 SS 服务器,在外网用 SS 连回路由器然后局域网访问。
    lijixi
        73
    lijixi  
       2019-10-22 15:57:15 +08:00
    这个问题很好解决。家里计算机架设$$-$erver,客户端直接连回去就 OK。完全免受 VPN 链接被封的干扰。
    galenzhao
        74
    galenzhao  
       2019-10-22 18:18:25 +08:00
    还有个方式,
    做个 wildcard domain,
    然后 subdomain 起的非常奇怪,
    default server 直接 return empty body 带奇怪 statuscode,
    然后对于 match 正确的 subdomain,校验 UA,不正确同上处理,

    这样就比较方便想 hass、synologycam 这些,需要 app 后台一直 refresh 数据的 app 用了,
    理论上他只能监测到有 https 服务,但打不开任何内容,
    ljy2345
        75
    ljy2345  
       2019-10-22 19:19:19 +08:00
    @justs0o #70 你设置个 ip 白名单就可以了
    myqoo
        76
    myqoo  
       2019-10-22 19:57:10 +08:00
    早几年前,可以把首页放 github pages,动态接口通过 flash socket 连家里服务。现在 flash 没落不行了, 不过 webrtc 没问题,配合 sw 美滋滋。。。
    justs0o
        77
    justs0o  
       2019-10-22 20:43:00 +08:00
    @ljy2345 那如何防止流量镜像分析呢?
    ljy2345
        78
    ljy2345  
       2019-10-27 22:14:45 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4599 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 01:06 · PVG 09:06 · LAX 17:06 · JFK 20:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.