一种可能绕过防火墙SNI检测的方式
#4006
Replies: 1 comment 1 reply
-
|
https://xtls.github.io/config/outbounds/freedom.html
|
Beta Was this translation helpful? Give feedback.
1 reply
-
|
赞,原来xray已经有这个功能 |
Beta Was this translation helpful? Give feedback.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
-
今天遇到一个国内网站,不方便透露域名,就假设 www.test.com 吧,这个域名备案出了问题。
如果使用
curl https://www.test.com/测试,虽然我指定的是HTTPS,但是服务端(实际应该是防火墙)会返回HTTP明文数据,虽然curl看不到数据,但是抓包可以看到,其中有“网站可能因以下原因之一而导致无法访问:域名未备案、网站过期被系统关闭.”字符串。但当我使用 Chrome 浏览器打开 https://www.test.com/ 时,就一切正常,并没有被阻断或修改数据。通过抓包,发现 Chrome 的 TLS 握手阶段,Client Hello的数据太长,导致被分成两个IP包发出去,而 SNI 正好在第二个IP包里,也就是说第一个包里面没法检测到 SNI,而不知道什么原因防火墙也没检测第二个包,于是就被放行了。
目前不清楚这个 SNI 检测的机制是不是只有机房才这样,如果 GFW 也用了相同的机制,那或许可以通过给将 TLS 的 Client Hello 拆成两个 IP 包,SNI 放在第二个包的方式绕过防火墙 SNI 检测。
Beta Was this translation helpful? Give feedback.
All reactions