Hosts: Google 似乎遭到了端口封锁

Created on 31 Jul 2017  ·  47Comments  ·  Source: kelthuzadx/hosts

ISP 广东电信。其实这个Google hosts中国的IP地址早就失效了。但是我通过试验,将最后一个数字改成别的,ping通了Google但是无法连接上。请问是为什么呢?最后还是连上了,但是更换了别的IP,因为最近Google Play在大陆似乎(不稳定的)解封网页版,然后你懂的。

Most helpful comment

直接检测域名行不通,我有个绝妙的设计GFW的方法,直接白名单制度,怎么样?

All 47 comments

更新。IP ping不通了。似乎这个 IP 段全部GG。

咩 TG有惊喜

@lrinQVQ 今天还是把TG的放出来了么?不怕被封吗?

这tg是tg还是彼tg

今天就是放出来看看会不会死

看来你们是被CP盯了,我是不是要弃关喵~

@wolfan CP是啥?

不用2333还没被干扰也没有死好像

@lrinQVQ 可是最新的hosts文件已经不管用了55555

@123ysys The Communist Party

@lrinQVQ Google翻译倒是正常。其它反正我这还是用不了。

谷歌翻译本来就是可以正常用的。

@lrinQVQ 要是死了怎么办?再找一个还要多久?话说我们自己能不能找得到啊,求方法

欸我记得我分享过办法来着233 TG群会有最快更新~

tg上不去啊

@guqikay tg的验证码是要短信的,要不自己搭后反代,hosts是收不到的。

有没有老哥跟我一样上不了youtube

墙已经升级,现在是根据https握手时候的证书来阻断访问。上一秒Google IP的443端口还open,握手后马上就filtered了,几乎IP秒杀。Chrome配合hosts文件,还勉强OK,因为它使用的协议接近支持0-RTT,没有那么多的握手。

@zhaym 我记得https证书阻断已经用过了。这次再次这样尝试,我觉得怕是要出事,强行维稳了。

无状态 TCP 协议连接重置 [编辑] 原理:防火长城会监控特定 IP 地址的所有数据包,若发现匹配的黑名单动作(例如 TLS 加密连接的握手),其会直接在 TCP 连接握手的第二步即 SYN-ACK 之后伪装成对方向连接两端的计算机发送 RST 数据包(RESET)重置连接,使用户无法正常连接至服务器。 这种方法和特定 IP 地址端口封锁时直接丢弃数据包不一样,因为是直接切断双方连接因此封锁成本很低,故对于 Google 的多项(强制)加密服务例如 Google 文档、Google 网上论坛、Google+ 和 Google 个人资料等的 TLS 加密连接都是采取这种方法予以封锁。 从 2015 年初开始,RST 重置已被实时动态黑洞路由取代。[30] 对加密连接的干扰 [编辑] 在连接握手时,因为身份认证证书信息(即服务器的公钥)是明文传输的,防火长城会阻断特定证书的加密连接,方法和无状态 TCP 连接重置一样,都是先发现匹配的黑名单证书,之后通过伪装成对方向连接两端的计算机发送 RST 数据包(RESET)干扰两者间正常的 TCP 连接,进而打断与特定 IP 地址之间的 TLS 加密连接(HTTPS 的 443 端口)握手,或者干脆直接将握手的数据包丢弃导致握手失败,从而导致 TLS 连接失败。但由于 TLS 加密技术本身的特点,这并不意味着与网站传输的内容可被破译。[31] Tor 项目的研究人员则发现防火长城会对各种基于 TLS 加密技术的连接进行刺探 [32],刺探的类型有两种: “垃圾二进制探针”,即用随机的二进制数据刺探加密连接,任何从中国大陆境内访问境外的 443 端口的连接都会在几乎实时的情况下被刺探 [33],目的是在用户创建加密连接前嗅探出他们可能所使用的反审查工具,暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。 针对 Tor,当中国的一个 Tor 客户端与境外的网桥中继创建连接时,探针会以 15 分钟周期尝试与 Tor 进行 SSL 协商和重协商,但目的不是创建 TCP 连接。 切断 OpenVPN 的连接,防火长城会针对 OpenVPN 服务器回送证书完成握手创建有效加密连接时干扰连接,在使用 TCP 协议模式时握手会被连接重置,而使用 UDP 协议时含有服务器认证证书的数据包会被故意丢弃,使 OpenVPN 无法创建有效加密连接而连接失败。
https://zh.wikipedia.org/wiki/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E

GFW说不定是直接检测域名,,,,

直接检测域名行不通,我有个绝妙的设计GFW的方法,直接白名单制度,怎么样?

@xtlsoft
大佬别搞事啊,白名单就真的要翻车啦

https://github.com/googlehosts/hosts
白名单遇到透明证书怕也是GG

封个github都满城风雨,白名单还不造反

现实情况是白名单已经在部署了,我知道某些国内的主机商已经被强制上线了白名单系统,我得到的消息是: 此系统(白名单系统)会推广到所有网路服务商。
下面是某国内云厂商的邮件通知:

现收到工信管函(2017)1410号文件通知,为进一步落实《工业和信息化部关于开展互联网基础管理专项行动的通知》(工信部信管函(2016)485号)要求,工信部要求各省管局组织属地接入单位开展自查自纠工作,对发现有未备案先接入的接入单位实施“零容忍”发现一起,处罚一起。

为配合各地通信管理局自查自纠工作,我司将于2017年8月30日14时,针对**机房启用信安系统域名白名单功能:

1)在白名单启用前,接入商已对接入的所有网站进行了检测同步,建立了初期的已备案域名白名单数据库。注意:白名单过滤是针对顶级域名,
已备案顶级域名下的二级域名均可正常访问。但不能保证百分百完整,因此特别重要的用户域名,建议提前联系我们,确认是否已同步在白名单数据库里。

2)在白名单功能启用后,所有不在白名单的网站域名或指定端口,将无法访问。

3)若有存在错误封阻的情况,用户可以联系我们进行白名单查询或人工添加白名单(需提交网站域名、IP及备案号,端口号),
待我司审核并确认已备案后,可予以过白处理。

4)目前信安系统无法识别 域名+端口 的应用,这种会当做未备案不能访问,请额外关注,提前联系我司,
提供(ip,域名,备案号,端口号),待我司确认备案无误,可添加域名予以过白处理。


Productive. Reliable. Fast.

On Wed, Aug 30, 2017 at 2:55 PM, Sharkkkk notifications@github.com wrote:

封个github都满城风雨,白名单还不造反


You are receiving this because you are subscribed to this thread.
Reply to this email directly, view it on GitHub
https://github.com/racaljk/hosts/issues/1326#issuecomment-325900097, or mute
the thread
https://github.com/notifications/unsubscribe-auth/AC9tC_-IC-nyocCMshwEgR_Ps60QzqhUks5sdQd_gaJpZM4OorFB
.

坐等白名单 滑稽 已经处理完毕

项目已经切换至新repo

这个 工信管函〔2017〕1410 理论上只对国内的机器有影响。国内机器必须备案,否则就白名单。


Productive. Reliable. Fast.

On Wed, Aug 30, 2017 at 4:24 PM, oneone1995 notifications@github.com
wrote:

希望您能去查一下工信管函〔2017〕1410号的原文是什么


You are receiving this because you commented.
Reply to this email directly, view it on GitHub
https://github.com/racaljk/hosts/issues/1326#issuecomment-325919774, or mute
the thread
https://github.com/notifications/unsubscribe-auth/AC9tC98e8HpqGOeZ_BEd28zWj40Btpqeks5sdRxNgaJpZM4OorFB
.

= =那就和国外没什么事情了 或者说就全部封锁

谁知道呢,也许会监管升级呢


Productive. Reliable. Fast.

On Wed, Aug 30, 2017 at 5:28 PM, lrin notifications@github.com wrote:

= =那就和国外没什么事情了


You are receiving this because you were mentioned.
Reply to this email directly, view it on GitHub
https://github.com/racaljk/hosts/issues/1326#issuecomment-325936036, or mute
the thread
https://github.com/notifications/unsubscribe-auth/AC9tC6aMdONtScP64WYainb38iHabFOyks5sdSsqgaJpZM4OorFB
.

@nxtreaming 再烦请了解一下域名备案是干嘛的,和白名单有什么关系。

@nxtreaming 同意楼上,域名备案为么会扯上白名单

我不需要了解,朝廷说备案和白名单有关系,就有关系,至于为什么会有关系,you ask me, I ask who??

现收到工信管函(2017)1410号文件通知,为进一步落实《工业和信息化部关于开展互联网基础管理专项行动的通知》(工信部信管函(2016)485号)要求,工信部要求各省管局组织属地接入单位开展自查自纠工作,对发现有未备案先接入的接入单位实施“零容忍”发现一起,处罚一起。
1) 在白名单功能启用后,所有不在白名单的网站域名或指定端口,将被三体人入侵,并将以此为突破口破坏中国联通主干网,届时将出现大面积网络瘫痪,为避免出现恐慌,烦请及时上传备案资料备案。
2) 在白名单启用前,接入商已对接入的所有网站进行了检测同步,建立了初期的已备案域名白名单数据库防止被三体人入侵。
3) 若有存在错误封阻的情况,用户可以联系我们进行白名单查询或人工添加白名单(需提交网站域名、IP及备案号,端口号), 待我司审核并确认已备案后,可予以过白处理。在三体人的威胁下,一切都将小心行事,出现错误封阻在所难免还望见谅。

我不需要了解为啥域名备案会和三体进攻地球扯上关系,朝廷说和三体人入侵有关系,就有关系,至于为什么会有关系,you ask me,but whom should I ask?(当然你也不需要了解为啥这里不是you ask me, I ask who??)

@nxtreaming 我们说的白名单,主要是指对于国外网站的访问的。。国内不备案本来就是不允许上网的,对于未备案域名也是早就会采取停止DNS一类的措施的。。

我觉得我们说的不是一个问题,
之前国内不备案是允许上网的,最近才增加了白名单机制,之前只是封80/443之类的端口,现在封所有端口,之前是黑名单,现在是白名单,我表达的够清楚了吗?如果还是不理解,那就是没有脑子 @DDoSolitary

我们在这个问题纠结什么呢?

@oneone1995 的理解偏题十万八千里,标准没脑子了典型。

所以你在一个翻墙项目下面扯国内服务器的白名单干嘛。。
谁跟你说不备案允许上网的?只是封得不严而已。。

封个github都满城风雨,白名单还不造反

我是跟着 这个回帖回复的。不是没事找事提所谓的白名单。

倒是 @oneone1995 在断章取义,借题发挥。

@nxtreaming 1对信息源真假都不会辨别的人,2你说你跟的那个帖子的白名单请你往上翻翻,3随时炸毛,4到底谁有没有脑子这里所有人都知道不需要你强调,5请不要再回复我

欸,别吵架啊。。我之前说脑子什么的也有错,然而我也删了。。

我机器因为这事被封了,这是我收到的国内某云服务商的邮件,你说还要怎么辨识信息源真假呢?
这事本来没有啥意义,但某人非要借题发挥,摆出一副审判者的姿态。

我是跟着 这个回帖回复的。不是没事找事提所谓的白名单。

然而很显然前面在说的是对于国外服务器的白名单,而你回的所谓白名单正在实施却只是备案制度的强化。。在我看来除了都叫白名单外并没有什么关系,国内服务器进行白名单管理关封锁国外服务器什么事。。

现在备案不是备域名是备服务器吧。

我那一个cn域名没备,挂在coding pages 上还是可以正常访问呐。

对,你说的对。
这两个白名单不是一回事

现在备案不是备域名是备服务器吧。

我那一个cn域名没备,挂在coding pages 上还是可以正常访问呐。

运营商那边一般是放在EIP这环节来检查备案,备案肯定还是域名备案。机器没法备案。
之前是 http://xxxx.com:18443/ 这种非标端口运营商不管,以后可能就不行了

好啦XD 白名单也好不白名单也好 能够处理就好啦

Was this page helpful?
0 / 5 - 0 ratings

Related issues

oilbottle picture oilbottle  ·  3Comments

liuxsen picture liuxsen  ·  5Comments

lishoujun picture lishoujun  ·  3Comments

outsinre picture outsinre  ·  8Comments

iaxax picture iaxax  ·  5Comments