一种可能绕过防火墙SNI检测的方式
#4006
Replies: 3 comments 1 reply
-
|
https://xtls.github.io/config/outbounds/freedom.html
|
Beta Was this translation helpful? Give feedback.
1 reply
-
|
赞,原来xray已经有这个功能 |
Beta Was this translation helpful? Give feedback.
-
|
其实我一直有点犹豫要不要点赞,说出来你可能不信,我练过一阳指,我这个赞要是点下去,你搞不好会死! |
Beta Was this translation helpful? Give feedback.
0 replies
-
|
(Xray中的“分片”功能,便可实现此功能呀) |
Beta Was this translation helpful? Give feedback.
0 replies
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
-
今天遇到一个国内网站,不方便透露域名,就假设 www.test.com 吧,这个域名备案出了问题。
如果使用
curl https://www.test.com/测试,虽然我指定的是HTTPS,但是服务端(实际应该是防火墙)会返回HTTP明文数据,虽然curl看不到数据,但是抓包可以看到,其中有“网站可能因以下原因之一而导致无法访问:域名未备案、网站过期被系统关闭.”字符串。但当我使用 Chrome 浏览器打开 https://www.test.com/ 时,就一切正常,并没有被阻断或修改数据。通过抓包,发现 Chrome 的 TLS 握手阶段,Client Hello的数据太长,导致被分成两个IP包发出去,而 SNI 正好在第二个IP包里,也就是说第一个包里面没法检测到 SNI,而不知道什么原因防火墙也没检测第二个包,于是就被放行了。
目前不清楚这个 SNI 检测的机制是不是只有机房才这样,如果 GFW 也用了相同的机制,那或许可以通过给将 TLS 的 Client Hello 拆成两个 IP 包,SNI 放在第二个包的方式绕过防火墙 SNI 检测。
Beta Was this translation helpful? Give feedback.
All reactions