首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
宝塔
V2EX  ›  宽带症候群

针对家宽私设 web 被停宽带,个人提供 2 个反制方法供讨论

  •  
  •   brMu · 35 天前 · 7145 次点击
    这是一个创建于 35 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前来看,运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的,也即是 http 或 https 服务,而其它服务并不会被限制,比如 BT,未知服务,利用这一点,我想到的方案:

    1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?

    2.https tls1.3,这个方法可能不行。
    首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。

    tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
    不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。

    另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
    第 1 条附言  ·  35 天前
    个人只是用来做群晖管理的,担心因此被封宽带,并非真的搞 web 服务。
    补充大佬的 2 个方案:
    VPN
    IP 白名单
    第 2 条附言  ·  1 天前
    补充:
    ZeroTier
    78 回复  |  直到 2019-10-27 22:14:45 +08:00
        1
    lydasia   35 天前 via Android
    现在已经关了公网 web,一律 vpn 回去内网访问。。
        2
    azh7138m   35 天前   ♥ 1
    不介意速度可以套个 CF CDN
    然后 drop 掉所有非 CF 的流量
        3
    wazon   35 天前
    VPN 是一种办法,但很多地区 VPN 的端口也不太通畅
    无论如何,已知的非 Web 的解决方案都大大增加了控制家中设备的麻烦程度
    顺便一提,现在工信部的文件长什么样都不知道,把家中设备的 Web 控制界面说成是“私设 Web”其实还是不妥
        4
    mythabc   35 天前
    可是,私人架设 VPN 也是违法的。
        5
    mythabc   35 天前
    感觉 NAS/监控的用户应该挺多的,这个规定究竟属于哪个部门管的大家一起写投诉应该有点用?
        6
    Laynooor   35 天前
    检测 web 应该会留下访问记录?看看 log 里有哪些可疑 IP 然后 Block 掉,或许能解决?
        7
    Laynooor   35 天前
    或者设置本地运营商的 IP 解析到 cf,其他的 IP 正常直连
        8
    txydhr   35 天前
    如果 frp 的话就要另外付钱购买主机,用国内主机流量费用可不低,用国外主机就有访问速度问题。
        9
    txydhr   35 天前
    @mythabc 这个政策和推广物联网自相矛盾。
        10
    txydhr   35 天前
    反制方法只是为了打游击,违规还是违规
    政策刚出,我们都不知道什么样是合法的,什么是不合法的
        11
    jiangyang123   35 天前
    其实只是为了封那些搞诈骗的,或者说放网页的

    结果在中国你知道的,政策下来只会一刀切解决
        12
    txydhr   35 天前   ♥ 1
    @jiangyang123 紧急时刻先一刀切,即使麻烦些,其实我也是能理解的,诈骗的真的应该全都下地狱。
    先看事情发展吧,毕竟换个位置想想,短时间内工信部也想不出更好的办法,不管从技术上还是可实施的方面。上面给的压力肯定也不小,配合公安部还是第一要务。
    怕就怕这个变成长期政策,也不改了,也没有合法使用的方法。
        13
    txydhr   35 天前
    @jiangyang123 你想想,打开的主页是路由器登录页面,后面二三级目录有什么根本不知道,也无从查起。
        14
    ys0290   35 天前 via iPhone   ♥ 6
    汇报:有一批犯罪网站没有备案,或者架设在自己家里
    领导:家里的网谁会用来架设网站?清查!
    执行:全网家宽有 web 流量的一律封禁

    这是我的内心戏
        15
    mxT52CRuqR6o5   35 天前 via Android
    @azh7138m cf 回源能自定义端口吗?
        16
    sphawkcn   35 天前
    从商业利益的角度来说,各网络服务商也是有动力对家宽各种可能的 web 服务进行大力封禁的,如果能有一份文件提供政策上的支持,那就更有动力了。

    在大力封禁下,其中有一部分用户会乖乖的回到商用宽带,或者各种云服务商那里,即使回到云服务商那里,对网络服务商也是有益的,毕竟云服务商也是要用他们的网络的。
        17
    jiangyang123   35 天前
    @txydhr #12
    @ys0290 #14 如果以后长期这样,真的就让人烦扰了
        18
    azh7138m   35 天前
    @mxT52CRuqR6o5 呃,ipv6 现在是封了端口吗。。。封了那就不行了
        19
    moxuanyuan   35 天前
    本身家宽 80 和 443 端口是用不了的,我用别的端口也不行?我现在的情况是, HK 的黑群 80 端口反代回大陆黑群上的 gitea 的 3000 端口,来实现访问 gitea
        20
    alphatoad   35 天前 via iPhone
    Encrypted sni 目前没有普及开来,这不是一个好的解决方案
    我怀疑运营商会在 dns 上做检测,比如布隆过滤器
        21
    justs0o   35 天前
    @azh7138m @Laynooor 你套 CF 不需要回源?回源直接镜像流量分析,除非你走隧道回源
    @mythabc 私自假设国际信道违法,国内没说

    在现有的运营商的硬件设备下,识别各种流量都是 so easy
        22
    justs0o   35 天前
    唯一方法就是:
    1.固定 IP +域名备案
    2.备案域名+动态 IP 是否可行,待考证
        23
    txydhr   35 天前   ♥ 1
    @justs0o 如果能够明确备案二级域名绑定动态家庭宽带合法,我是欢迎的
        24
    txydhr   35 天前
    @sphawkcn 商用宽带和家庭宽带一样的
        25
    jedihy   35 天前 via iPhone   ♥ 2
    你反制啥啊,你办的时候签了协议的呀
        26
    leavic   35 天前
    @txydhr 物联网跟 web 有毛关系啊
        27
    sphawkcn   35 天前
    @txydhr #24 不一样,家用宽带备不了案,商用宽带和云服务商可以备案。这个政策如果严格执行,那就只能商业宽带或者云服务商。
        28
    laoyur   35 天前   ♥ 2
    搞不懂那些用家宽搞 ZP 的是怎么想的

    国外域名、ddns、仅 https、非标端口、服务不放在根目录,且访问根目录直接阻断连接,这样可行不?
        29
    jiangyang123   35 天前
    @moxuanyuan #19 我觉得你这样不行
        30
    jiangyang123   35 天前
    最好群晖防火墙白名单,只允许反代的那台机子访问
        31
    est   35 天前
    直接 ip 白名单吧。或者像我一样敲门。
        32
    ferock   35 天前
    静观其变
        33
    rekulas   35 天前
    dns 解析用国外服务 https 怎么泄漏域名
        34
    justs0o   35 天前
    @rekulas 最终的数据回源还是的用电信网络,电信直接镜像骨干流量,在结合 dpi 设备,基本就可以抓到你。
        35
    hlz0812   35 天前 via Android
    @txydhr 国内主机买个 nat 的呗,一般也就 30 一个月
        36
    txydhr   35 天前
    @rekulas https 域名是暴露的,只是内容看不见
        37
    falcon05   35 天前 via iPhone
    即便走反代也不行啊,即便你只允许反代的服务器连接,运营商还是可以从流量识别 http,还不如走 frp 或者 ssh 隧道靠谱。
        38
    lqf96   35 天前
    我觉得 http over webrtc 可以解决问题,p2p connection 并不会暴露域名,所以只要设一个境外的 stun broker 就好了...问题是不知道有没有人搞出这么一个库来...
        39
    Junn   34 天前 via iPhone
    我 nas 上搞那么多 web 服务,没见停啊。无非 80 和 443 不让用

    非要 80 的话,外面再弄个反代应该也没问题吧!
        40
    linbenyi   34 天前
    @Junn 所以你未牵扯未备案 DDNS。我也觉得没啥问题。
    @lqf96 Webrtc 是跑在什么上面的呀?
    @hlz0812 求推荐
    @rekulas 估计会的。
    @est 如何敲门?
    @jedihy 具体下文是 2017 年。我们老用户对于服务协议也不敏感的。
    @justs0o 对于运营商。动态(家用)固定(公司)价格差十倍不止。你觉得呢?
    @alphatoad 布隆过滤器是什么? BES 设备吗?
    @moxuanyuan 这个...好像蛮简单巧妙的。
    @sphawkcn 哎,连普通玩游戏都要开加速器。对于普通家庭用户,带宽上去了也是毫无感觉的。
    @mythabc www.miit.gov.cn 没什么好反应的。只要荷包够鼓,开个公司,拉个专线。自然是一路畅通。
        41
    alphatoad   34 天前
    @linbenyi 布隆过滤器是一种算法,用于快速过滤可疑邮件。我个人认为可以用来过滤可疑 DNS 请求
        42
    xfelix   34 天前
    @mxT52CRuqR6o5 不行,只能 http 和 https,除非付费用 argo 服务。
        43
    aliuwr   34 天前
    如果是包检测的方式,只要有 dest port 80/443 的流量就认为违规,那么 IP 白名单,反代和敲门都是没用的。
    只能是 frp 之类的中转和 VPN 访问了。
        44
    xfelix   34 天前
    就像前面有人说的电信的 inbound 80 和 443 本来就是封掉的。
    电信不大可能通过端口扫描的方式来发现你开的 web 服务。如果是的话很简单加个端口扫描源地址自动入黑名单的防火墙过滤策略就行。
    电信绝大多数的可能性是在他们局端的设备上看到了访问的地址和端口。因为某些‘未知’的原因,比如大流量,敏感词等(纯属猜测),然后自动触发了警告。于是实施人工的精确打击。 这种情况下你开设的 web 服务是面向全世界的话,没什么很好的办法,除非你把服务器移到境外。如果只是个人家庭远程访问和管理,完全可以通过白名单方式把可以访问的源缩小范围。
    我觉得没做亏心事,没必要过分紧张。
        45
    exiaohao   34 天前
    家里有公网 IP,云端一台 vRouter。怼一个 GRE,两头 bgp 宣告地址,路由自动发
    外部访问通过云端 IDC IP 反回家,云端备个案开个 ocserv 开开心心 AnyCxxxx
    此方案在 阿里云 /青云+浙江 /上海电信 /联通 测试通过

    随便怎么扫家里的 IP 一点事没有
    顺便还能做些别的事 (阿里云 500M 内网到香港这种事我肯定是不知道的 斜眼笑
        46
    optional   34 天前
    就是当初协议是一张纸对吧。。。。
        47
    hlz0812   34 天前 via Android
    @linbenyi 自己谷歌搜国内 nat vps 就可以,但一般是江苏的,如果你在内陆,访问速度也一般
        48
    txydhr   34 天前
    @xfelix 关键是你自己要用手机,要用公司网络呀,这些都是常规 IP
        49
    txydhr   34 天前
    @xfelix 我也觉得 dpi 设备看到了端口号和主机名,这些设备全世界运营商都有,本来就存在。
        50
    txydhr   34 天前
    @xfelix 但是现在搞得人心惶惶的问题是,电信直接停你家宽带,且不可恢复。
        51
    LGA1150   34 天前 via Android
    https+quic+alt-svc 头
        52
    justs0o   34 天前
    根据宽带接入服务协议,第六条
    六、协议的中止、解除与终止
    (一)甲方有下列情形之一,乙方可以中止本协议(暂停提供服务):
    1、提供不真实的客户信息资料;
    2、未经乙方同意,擅自在已装的通信线路上装、移(室内移机除外)各种终端设备及
    复用设备或转让租用权的;或将宽带以任何方式提供给第三方使用或用作于其他运营商的
    违规互联;
    3、擅自改变客户类型及使用性质的;或擅自改变宽带安装地址的;
    4、利用乙方提供的拨号宽带网络开设 WEB 服务的;
        53
    burndown   34 天前
    @exiaohao 你这有详细方案没? BGP 是啥作用?很有兴趣啊
        54
    lookas2001   34 天前 via Android
    @burndown 这是自建了一个 vpn 吧,vpn 回家( vpn 的最初用途)
    但是,为什么要 bgp 什么的,打通家中网络以及云的内网吗?
        55
    xuanzc880   34 天前
    好好看看啊用户协议,私设 web 服务被封有问题么?你在国外的 vps 上跑 bt 不也会被封么,要想跑 web 买商用宽带呀.
        56
    kennylam777   34 天前
    不介意域名會動的話, 可以用免費版的 argo tunnel, 但境外線路嘛......還是用 VPN 回內網吧
        57
    ech0x   34 天前 via iPhone
    @exiaohao 不是,伪造 as 是违法的吧。
        58
    exiaohao   34 天前 via iPhone
    @burndown 对,实现自己的全球大内网,然后各种边缘网关帮你当地出网…在国内连上有内网 DNS 国际线+CN2,出国连美 /港的接入点同理可以回国

    @ech0x 我有 2 个 ASN,还有私有 AS 段可以用,具体请看 rfc
        59
    lqf96   34 天前
    @linbenyi sctp over dtls,google 在实验基于 quic 的 webrtc
    @exiaohao 哇,其实可以搞一个 sd-wan,然后自己做自己的 isp,美滋滋
        60
    txydhr   33 天前 via iPhone
    @xuanzc880 错了,你在国外 vps 上用 bt 下载没有版权纠纷的东西是绝对没有问题的。
        61
    kokomo   33 天前 via Android
    @exiaohao
    这方案听起来就高大上!
    有没有手把手部署方案教!
    感谢!
        62
    Semesse   33 天前 via Android
    家里搭 v2 的服务端然后 web 服务白名单 v2 吧,客户端配路由
        63
    xuanzc880   33 天前
    @txydhr 核心不是用户有没有违反用户协议么,vps 协议写了不能下版权文件,你违反了被封没问题吧,ISP 的用户协议写了不能私设 web 服务,你违反了也是被 ban 这也没问题吧.
    而且很多时候这些都是民不举官不究,你个人用用,违反一些用户协议人家也懒得找你,不管是哪个公司都这样,哪怕微软,Adobe 等,个人用盗版人家根本不管,除非你跳的太厉害,就像之前 v 站被封的那个人,不就是流量超标才被封的么,他后面补充了说似乎用了 2T 的流量.
        64
    wanguorui123   33 天前
    远程桌面回家
        65
    rekulas   33 天前
    @txydhr 你可能对 https 有误解,仔细看看 https 原理你就明白了
    就比如封 google 都是封的 host 而不是封域名,知道为什么么,因为正常情况下没人知道你在访问什么域名,只知道你访问了哪台 host
        66
    ljy2345   33 天前
    我来给个建议,用 v2ray+ws+tls 或者 ss,目前我是 v2ray+腾讯云 cdn
        67
    ech0x   33 天前 via iPhone
    @exiaohao 大佬大佬……私有 as 在公网广播会被 isp 拦的吧。
    @kokomo 你得先有 asn 再说……
        68
    justs0o   32 天前 via iPhone
    @ljy2345 文不对题,你用这个可以访问家里 nas?你用这个家宽不需要开 wrb 服务?
        69
    ljy2345   32 天前
    @justs0o #68 可以,我现在换成 cloudflare 在国外速度很快
        70
    justs0o   32 天前
    @ljy2345 那你如何躲避电信的 WEB 服务探测?
        71
    exiaohao   32 天前
    @ech0x ISP 自己也是用私有的做城域或者省域网的,又不是个个省市都跟上海电信 /深圳电信啥的一样自己的 ASN 往外甩。再说这私有 AS 号和地址人家运营商哪那么容易收。另外 ASN 用私有的搭来自己玩够了,不必先有 ASN。

    @kokomo 其实方案很土,只是互相广播地址让它们自动收路由了三层互通,同时保证有冗余,用 OSPF 也一样的。
        72
    laevatein   31 天前
    我也被发文了 之前 DDNS 两个,一个群晖的 synology.me 一个威联通的 myqnapcloud.cn ,对外网页只有群晖和威联通的管理界面。9 月之前挂过 PT 流量较大,所以估测和流量、未备案域名( synology.me)还有对外网页都有关系,应该是同时满足三个条件比较容易被查。现在解决方案是开远程桌面端口,其他全关;另外路由器上挂了个 SS 服务器,在外网用 SS 连回路由器然后局域网访问。
        73
    lijixi   30 天前
    这个问题很好解决。家里计算机架设$$-$erver,客户端直接连回去就 OK。完全免受 VPN 链接被封的干扰。
        74
    galenzhao   30 天前
    还有个方式,
    做个 wildcard domain,
    然后 subdomain 起的非常奇怪,
    default server 直接 return empty body 带奇怪 statuscode,
    然后对于 match 正确的 subdomain,校验 UA,不正确同上处理,

    这样就比较方便想 hass、synologycam 这些,需要 app 后台一直 refresh 数据的 app 用了,
    理论上他只能监测到有 https 服务,但打不开任何内容,
        75
    ljy2345   30 天前
    @justs0o #70 你设置个 ip 白名单就可以了
        76
    myqoo   30 天前
    早几年前,可以把首页放 github pages,动态接口通过 flash socket 连家里服务。现在 flash 没落不行了, 不过 webrtc 没问题,配合 sw 美滋滋。。。
        77
    justs0o   30 天前
    @ljy2345 那如何防止流量镜像分析呢?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1196 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 47ms · UTC 23:23 · PVG 07:23 · LAX 15:23 · JFK 18:23
    ♥ Do have faith in what you're doing.