目前来看,运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的,也即是 http 或 https 服务,而其它服务并不会被限制,比如 BT,未知服务,利用这一点,我想到的方案:
1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?
2.https tls1.3,这个方法可能不行。
首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。
tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。
另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?
2.https tls1.3,这个方法可能不行。
首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。
tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。
另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
1
Select Language