这是一个创建于 1866 天前的主题,其中的信息可能已经有所发展或是发生改变。
10 月 11 日,被停宽带,但未收到任何通知。
10 月 13 日,一万号,存在违规,表示电话不可解,告知去营业厅可解。
10 月 13 日,去地方营业厅。存在私设 web 服务器,告知需要各区一级营业厅可解。
10 月 13 日,随驱车 20km,去区域一级营业厅。告知上级通知未下。等领导指示,四十分钟后,告知等地方营厅通知,会有专人上门检查整改,并签订整改协议书,请,回家等消息。
10 月 13 日,一万号,存在违规,表示电话不可解,告知去营业厅可解。
10 月 13 日,去地方营业厅。存在私设 web 服务器,告知需要各区一级营业厅可解。
10 月 13 日,随驱车 20km,去区域一级营业厅。告知上级通知未下。等领导指示,四十分钟后,告知等地方营厅通知,会有专人上门检查整改,并签订整改协议书,请,回家等消息。
第 1 条附言 · 2019-10-16 14:40:24 +08:00
在等待电信运营商发落的同时,本人也展开了相关法律的学习。
私设 web 服务导致,可能触犯协议或法规相关条款,进行明晰。
但是具体的细则判定标准肯定不能在这类方向性的文件里面找到。
具体情况可能还是扑朔迷离。
《中国电信股份有限公司上海分公司业务服务协议》
https://service.sh.189.cn/service/jsp/fault/fwxy.jsp
《关于防范打击通讯信息诈骗专项行动延期有关工作的通知》
http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c4770041/content.html
《中华人民共和国反恐怖主义法》
http://www.gov.cn/zhengce/2015-12/28/content_5029899.htm
私设 web 服务导致,可能触犯协议或法规相关条款,进行明晰。
但是具体的细则判定标准肯定不能在这类方向性的文件里面找到。
具体情况可能还是扑朔迷离。
《中国电信股份有限公司上海分公司业务服务协议》
https://service.sh.189.cn/service/jsp/fault/fwxy.jsp
《关于防范打击通讯信息诈骗专项行动延期有关工作的通知》
http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c4770041/content.html
《中华人民共和国反恐怖主义法》
http://www.gov.cn/zhengce/2015-12/28/content_5029899.htm
第 2 条附言 · 2019-10-17 14:48:57 +08:00
10 月 17 日 楼主像一个幽怨的小家碧玉,既想着恢复宽带,又不愿意自己再去多问。
不过,但今天已经忍不了。随再往营业厅询问。顺便吐槽下营业厅的电话是万年不通的。
营业厅一改一周前的一问三不知。很快就把区域局的相关负责人的电话给了我。
还故作神秘的小声的问“我最近来问这个的人很多,到底是什么违规啊?”
我耸耸肩又清了清嗓子回答他“私设 web 服务器”。
10 月 17 日 来到的区域局,被两位区域局的工程师招待。出示身份证后,他们打印了签字的材料。
告知我签字后一个工作日便可恢复。如若再犯将被永久封禁处理。
一份告知“断网”,一份承诺“永不再犯”。随嘱咐我立即关停相关服务,开通过后会立即做检查。由于工作在身,签完便离去了。
我注意到,电脑屏幕上显示有一张名单,分别包括“域名:端口”“设备号”“户主姓名”等等。但并没有联系方式。
虽然两位工程师没有明确回答我探查到我私设 web 的具体方法,但仅从屏幕其中我找到可能的两个结论:
1.如此看来本想着会主动联系我这一点从现实层面就是不可能的了。
2.域名为我未备案的 威联通 .com 域名。端口为我开的非标准低端口。如此一来明确了。主要针对未备案的 DDNS 人群的事实。
另外技术人员向我提供了一定要使用服务的“暂时合规的途径”
1.申请固定 IP 地址。
2.域名有备案。
另外还有询问相关规定的参照,回答是“此规定下文时间是 2017 年,本次是首次对违规宽带进行查封”。
不过,但今天已经忍不了。随再往营业厅询问。顺便吐槽下营业厅的电话是万年不通的。
营业厅一改一周前的一问三不知。很快就把区域局的相关负责人的电话给了我。
还故作神秘的小声的问“我最近来问这个的人很多,到底是什么违规啊?”
我耸耸肩又清了清嗓子回答他“私设 web 服务器”。
10 月 17 日 来到的区域局,被两位区域局的工程师招待。出示身份证后,他们打印了签字的材料。
告知我签字后一个工作日便可恢复。如若再犯将被永久封禁处理。
一份告知“断网”,一份承诺“永不再犯”。随嘱咐我立即关停相关服务,开通过后会立即做检查。由于工作在身,签完便离去了。
我注意到,电脑屏幕上显示有一张名单,分别包括“域名:端口”“设备号”“户主姓名”等等。但并没有联系方式。
虽然两位工程师没有明确回答我探查到我私设 web 的具体方法,但仅从屏幕其中我找到可能的两个结论:
1.如此看来本想着会主动联系我这一点从现实层面就是不可能的了。
2.域名为我未备案的 威联通 .com 域名。端口为我开的非标准低端口。如此一来明确了。主要针对未备案的 DDNS 人群的事实。
另外技术人员向我提供了一定要使用服务的“暂时合规的途径”
1.申请固定 IP 地址。
2.域名有备案。
另外还有询问相关规定的参照,回答是“此规定下文时间是 2017 年,本次是首次对违规宽带进行查封”。
第 3 条附言 · 2019-10-19 20:31:04 +08:00
10 月 18 日,自此家庭宽带又重新开通了。光猫的宽带灯又亮了起来。
十分感谢献计献策的 V2er 的陪伴,一起开脑洞,一起讨论解决的途径,一次尝试探索政策的迷雾。
无疑本次题主我的过失是重大的。在违反宽带服务的条例,想着方便分享文件就私自开设 web 服务。在这难熬一周期间我也做了深刻的反省。
对于未来的应对对策,我也想了很多,毕竟拉专线来家里固定 IP 实在是消受不起。我想也没有家庭会这么做的。
1.所有 NAS 的相关端口都不在光猫做转发。
2.由于部分应用任然是难以割舍的。我已将威联通的.com 域名转换为了.cn 域名。实名认证过的花生壳照旧。
3.要开端口的应用也会用 FRP 穿透放到我的主机上面。到时候解析的域名也会放过去。不知道有没有带宽 /价格相对划算的主机商。哪怕限制流量也可以比如哲西那样的。
在私设这一尺度上 V2er 讨论非常热烈,真的不希望各位再做非常不利的揣测,毕竟这也不符合事实。很多事情遇到就遇到了,大家走一步看一步吧。
十分感谢献计献策的 V2er 的陪伴,一起开脑洞,一起讨论解决的途径,一次尝试探索政策的迷雾。
无疑本次题主我的过失是重大的。在违反宽带服务的条例,想着方便分享文件就私自开设 web 服务。在这难熬一周期间我也做了深刻的反省。
对于未来的应对对策,我也想了很多,毕竟拉专线来家里固定 IP 实在是消受不起。我想也没有家庭会这么做的。
1.所有 NAS 的相关端口都不在光猫做转发。
2.由于部分应用任然是难以割舍的。我已将威联通的.com 域名转换为了.cn 域名。实名认证过的花生壳照旧。
3.要开端口的应用也会用 FRP 穿透放到我的主机上面。到时候解析的域名也会放过去。不知道有没有带宽 /价格相对划算的主机商。哪怕限制流量也可以比如哲西那样的。
在私设这一尺度上 V2er 讨论非常热烈,真的不希望各位再做非常不利的揣测,毕竟这也不符合事实。很多事情遇到就遇到了,大家走一步看一步吧。
 |
201
ravanelli 2019-10-15 20:04:38 +08:00 via Android
@txydhr 并不是用手机直接 dns 解析,访问只用 ip,用国外的 ddns,去控制台里看 ip
|
 |
202
lydasia 2019-10-15 20:16:00 +08:00
@txydhr 折腾了半天,我现在还是把我暴露在公网的 web 都关了,用隧道访问,不管它解析,证书还是 sni ;所以前面有个人说了,政策说的是“网页弹出”,意思就是基于 http 基础服务的没问题,网页的,不行;可能是文下来了,上海电信先负责“研发”一下侦测系统吧。。
|
 |
203
txydhr 2019-10-15 20:17:58 +08:00 via iPad  1
|
|
204
ravanelli 2019-10-15 20:18:47 +08:00 via Android
@justs0o 结合客户经理要求取消域名绑定和咨询到的政策应该是说绑了域名又开 http 不行,不绑域名可以
|
 |
205
jiangyang123 2019-10-15 20:19:29 +08:00
目前只能先关掉了,如果设备有防火墙的话,可以考虑开白名单 ip
|
 |
207
Zyugalev 2019-10-15 20:33:59 +08:00
看下云南普洱封号那事,应该是有关联的
|
|
208
Zyugalev 2019-10-15 20:36:21 +08:00 1
上海电信给出的宽带封停通知单上也说的是:打击通讯信息诈骗工作
近期应该是有此专项行动 |
 |
209
Unknowncheats 2019-10-15 20:44:04 +08:00 via Android
@txydhr 其實都是一個 vpn 能解決
|
 |
210
Jirajine 2019-10-15 21:16:45 +08:00 via Android
@Redmi2020 意思是绑定 ddns (无论是否备案)的 Web 服务(即使是 nas 和 luci )都会被禁止吗?
如果绑定了域名,直接手动查询域名用 IP 访问就没问题? 或者没绑定域名,但随便写了个域名在 hosts,用这个域名访问是否可以? 如果绑了 ddns,并通过域名使用非 Web 服务( openVPN,socks,ssv2 等代理,ftp,或基于 http 协议的 api )是否可以? 以上全部指高位非常用端口 |
|
211
txydhr 2019-10-15 21:23:47 +08:00
@Jirajine 关键是绑定了域名他就可以通过输网址的方式打开网页,哪怕是 403,所以感觉只要有域名指向你家 ip,而你家又开了 web 就 gg。
|
|
212
Jirajine 2019-10-15 21:33:21 +08:00 via Android
@txydhr 1 会被封应该是确定的,我列 2 和 3 的用意是:
如果 2 可以 3 不行那就得嗅探你的流量发现的 如果 2 不行 3 可以那就是 ns 反查家宽 IP 段发现的 输网址是不能直接打开的,因为是高位端口。所以他还得查日志或端口扫描。 而且除非你用 ISP 的 DNS,否则他得知域名就表明他进行了反查。 并且如果他反查得知域名了,是否会放过非 Web 服务? |
|
213
txydhr 2019-10-15 21:39:05 +08:00
@Jirajine 非 web 服务目前没事,web 通过域名无论哪个端口都不行,
如何防止被查到的只是为了打游击而已,本质上还是不行 |
|
215
Jirajine 2019-10-15 22:01:04 +08:00 via Android
|
|
218
txydhr 2019-10-15 23:26:42 +08:00
|
 |
219
ftr 2019-10-16 02:04:21 +08:00 via iPhone 3
随便说几句
假设我们排除电信会去调取各家 dns 二级域名数据来扫描。也假设电信不会使用爬虫去爬其他地方指向你 web 的 link。 那么电信只能从不加密的明文 http 包中来发现是否绑定域名。请关闭所有明文 http 访问。 如果所有 web 服务开启 ssl 则可以有效避免被中间人窥探到域名接入。 再退一步,如果电信对你做全端口扫描发现了 https 服务以及所有提供 https 服务的端口号,那么你应该对 https://你的 ip:所有端口 / 的主机做 403 or 404 强制返回。 以上说法仅为了技术交流。切勿用于任何违法中华人民共和国法律的用途 |
 |
220
zhucegeqiu 2019-10-16 07:04:23 +08:00 via iPhone
我现在是高位端口,caddy 反代,只能 https 访问,阿里云的域名,实名但没备案,dnspod 的解析,暂时还没被封
|
 |
222
tankren 2019-10-16 08:29:20 +08:00
我以前都是用 pfsense 的 HAproxy 反代 https,但是自从前段时间封了 443 端口已经不能从外网访问了。。应该无影响,什么都打不开
|
 |
223
justs0o 2019-10-16 09:28:15 +08:00
|
 |
224
cwbsw 2019-10-16 09:47:23 +08:00 1
其实要限制这个直接把公网 IP 取消不就完了,为什么要这么折腾。
|
 |
226
wwbfred 2019-10-16 10:05:18 +08:00
DDNS 封个卵.怎么知道你用了 DDNS 了?
是监控所有提供 DDNS 服务的域名,还是检测所有的 DNS 请求? |
 |
227
learningman 2019-10-16 10:11:06 +08:00 via Android
@aru 返回空白页面也说明该端口有服务器的兄弟。。。
|
 |
228
burndown 2019-10-16 10:16:53 +08:00 1
想了个办法,路由器上开 ssh 服务,然后通过 ssh tunnel 中转,应该能访问内网的 web 服务
|
|
229
txydhr 2019-10-16 10:37:27 +08:00 via iPad
@wwbfred 电信用中间设备监测流量不是很简单的事情么,以前不就是这么插广告的么。https 虽然不能看到内容但是主机头还是暴露的。
|
|
230
txydhr 2019-10-16 10:39:12 +08:00 via iPad
@burndown 除了直接 web 暴露,其他任何方法都可以。当然其他任何方法以后都不能只靠浏览器输个网址了,不方便。
|
|
231
wwbfred 2019-10-16 11:35:18 +08:00
@txydhr 原理简单,但不可行.实属大炮打蚊子,没人会这么搞.
1.要分析所有的 sni 是需要算力的. 2.检测到了 sni 就就是使用了 ddns 么?很明显不对.你拿不到完整的 url,就需要记录一段时间内的访问情况,建模做出判断.这个时间段可能会以周或是月为单位,还会存在误判. 3.即使为了一个小小的 ddns,这些硬件都部属到位了,破解方式也不要太简单,随便一个代理就搞定了. 4.与其搞得这么复杂,不如直接扫家宽端口,根据返回的数据判断端口服务的类型. |
 |
232
linbenyi OP @wwbfred 不巧我手贱注册了花生壳。但我估计不是这个原因。
@burndown ssh 中转是什么需要特殊客户端吗? @txydhr 检测流量万一我闲置一个月不就检测不到吗?事实也是闲置中。 @learningman 还是被扫 NAT 表的预防方式我比较甘心去。 @justs0o 什么公司? @zhucegeqiu 反向代理到哪里阿里云代到自家主机? @ftr 流量特征 https 也无法藏的吧。 @Zyugalev 一身冷汗啊,汗啊。 @ravanelli 难道我千错万错用了花生壳。那花生壳不警示我家中不可用 web 也是坏了良心。😔 @lydasia 明智之举 |
 |
234
xiazhiisgood 2019-10-16 11:54:25 +08:00 via iPhone
@linbenyi 做了个内网的应用,可是外网也可以通过 ipv6 访问到这个应用(我也不想暴露的),请问这样算违规吗?
|
 |
236
alphatoad 2019-10-16 12:07:37 +08:00 via iPhone
思路:
目前的讨论都是建立在局域网可信的情况下讨论的。 有无可能,电信光猫是不可信的 spyware,会主动上报可疑路由表? |
|
237
txydhr 2019-10-16 12:40:26 +08:00 via iPhone
@linbenyi 你注册了花生壳闲置 但是他可以用呀 通过花生壳的域名不就打开了你家的 web 页面了么 https 也就证书错误 又不是打不开
|
|
238
Zyugalev 2019-10-16 12:47:27 +08:00
@alphatoad 有可能,越是新型的“智能”天翼网关问题越大。
其实不放心的人可以自制光猫,前段时间本版不是有个哥们儿通过 SPF+接入软路由,配置以后也能拨号成功么? |
|
240
Zyugalev 2019-10-16 13:27:51 +08:00
@txydhr 根据 hlz0812 那哥们儿的说法,目前的光猫桥接模式是软桥接模式,也是可以监控流量的,只有好几年前的古老光猫才是硬桥接模式
我觉得长期关注本版的人应该没几个会用光猫当路由吧?大部分都是走桥接的 |
|
241
cwbsw 2019-10-16 13:36:46 +08:00
@Zyugalev
是的,而且可以用 ebtables 过滤二层包。并且桥接之后 HWNAT 失效,这可能是一些千兆用户桥接之后跑不满千兆的原因。 |
|
242
ravanelli 2019-10-16 14:50:08 +08:00
@cwbsw 桥接后跑不满千兆纯粹是路由性能不行
我之前用 d2550,百卓桥接后跑 600m 认为是降速了,后来换了 j1900 就跑满了 |
|
243
justs0o 2019-10-16 14:50:46 +08:00
@wwbfred https://www.greatbit.com/ 电信就是用这个设备监控,7 层流量你访问了啥,做了啥,全部都知道,误报率贼低
|
|
244
linbenyi OP |
 |
246
cmobiooo 2019-10-16 15:02:35 +08:00
我这就去把群辉的 ddns 关了……可怕……
|
|
247
zhucegeqiu 2019-10-16 15:02:44 +08:00
@burndown #228 可行是可行,但是麻烦,还要开个 ssh,本质和挂个 vpn 一样了
|
|
250
cwbsw 2019-10-16 15:15:44 +08:00 1
|
|
251
ravanelli 2019-10-16 15:34:31 +08:00
@linbenyi myqnapcloud.cn 还是 com ?我查了 cn 有备案 com 没有
|
|
252
linbenyi OP |
|
254
burndown 2019-10-16 16:04:28 +08:00
@zhucegeqiu 记得把 ssh 修改成非标准口,开启证书登录。
|
|
259
txydhr 2019-10-16 17:14:36 +08:00 via iPad
@Zyugalev 流量监测是个 isp 都可以在离开你家路由器以后任意节点部署,不必太纠结猫不猫的问题,以前 http 时代,运营商收集的数据不要太多,后来谷歌之类的网站部署 https 目的就是为了端掉 isp 的这锅饭。当然 https 运营商虽然看不见内容了,但是你访问了什么网站,什么端口还是清楚的。
|
|
260
wwbfred 2019-10-16 17:16:44 +08:00
有个问题,web 服务的定义是什么?
ssh/dns 之类的算 web 服务么?还有其他各种非 http/https 服务,怎么界定? 还是说监听了就算 web 服务? |
|
261
txydhr 2019-10-16 17:17:30 +08:00 via iPad
@ravanelli 上面有人不是说用花生壳被查了么?不知道指的是自己没备案的域名 cname 到花生壳的域名来访问,还是直接用花生壳的域名访问,按道理花生壳域名是备案过的,不会被查呀。
|
|
262
txydhr 2019-10-16 17:21:59 +08:00 via iPad
@wwbfred 不算
web 就是狭义的用浏览器打开网页,只要服务器响应浏览器的请求就算,不管 404,403,证书错误,还是无限 loading,因为这些只能证明你主目录打不开。 |
|
264
txydhr 2019-10-16 17:25:28 +08:00 via iPad
@ravanelli 好奇,运营商是如何找到那个你使用的那一个域名的。目测是中间设备抓取的,毕竟运营商本来上网记录里就查得到你访问了什么网站,包括 https。
|
|
265
ravanelli 2019-10-16 17:29:34 +08:00
@txydhr 我觉得运营商在 dns 上做个记录就行了,比如你在外面上网,那边网络里的 dns 设置的上级 dns 是电信的,你一访问你的域名,电信 dns 上就获取了你的域名和你家 ip 的解析记录,dns 上设置下解析到的 IP 是自己家宽 IP 段的,就记录下来
|
 |
267
fantasylidong 2019-10-16 18:51:52 +08:00 via Android
@ljy2345 你这都算小的,我不算下载一天上传 500G
|
 |
268
fruitscandy 2019-10-16 18:54:03 +08:00
@justs0o 信风的设备只拿来做过试点,真正用的不是信风的
|
|
269
txydhr 2019-10-16 19:39:03 +08:00 via iPad
@ravanelli 如果用已备案主域名 cname 到那个未备案的第三方 ddns,未备案域名只在 dns 里用,证书里也没有,不知道会不会查出来。如果被查,证明运营商还会通过 dns 记录来抓。
|
|
270
Zyugalev 2019-10-16 19:57:11 +08:00
@txydhr 是的,运营商的设备还有很多可以做的
但是光猫这一端毕竟是可以自己控制的范围,一般能自己控制的我认为就要控制好 尤其是目前这种“智能”SDN 网关,对用户来说完全不可控,就是运行在家里的一个黑盒子 |
 |
271
carney 2019-10-16 20:03:44 +08:00
IP 一直变化的,做 ddns 的域名能备案吗?
|
|
272
carney 2019-10-16 20:04:57 +08:00
真要是备案就可以用,那就备下也无妨
|
|
273
txydhr 2019-10-16 20:41:04 +08:00 via iPad
@carney 顶级域名可以靠买 vps 备案在阿里云什么的。个人理解备案是备案主域名和其对应的 ip,二级域名指向的 ip 没有备案的说法。
二级域名在别家使用不知道还需不需要在另备案,网上都没查到准数。主机商有的说建议,有的说必须,有的说需要但实际使用又不管。 如果二级域名指向第二家服务商也需要在第二家那里把主域名备案,那么备案域名指向家宽其实也是不合法的。 |
 |
275
est 2019-10-16 21:38:36 +08:00
非 80 443 端口 也会影响吗?
|
|
276
txydhr 2019-10-16 22:25:55 +08:00
@carney 二级域名不用备案,直接指向你主域名备案所在主机商的任意 ip 都没有问题。问题是指向你备案所在以外的主机商行不行,查不到准确说法。
|
 |
277
orangeff 2019-10-16 22:39:17 +08:00
目前只是上海电信有具体的行动吗?我家里可挂着群晖啊
|
 |
279
stille 2019-10-16 23:05:07 +08:00
不知道我这种方式可行么? 还是说也会被扫到?
- 路由器插件 aliddns-备案域名的二级域名 ip.xxx.com - 国外注册的域名 yyy.com 设置 CNAME 到 ip.xxx.com - 使用 yyy.com:5000 访问群晖等服务 这样也会被查么? |
 |
282
mytsing520 2019-10-17 00:23:52 +08:00
|
|
283
txydhr 2019-10-17 00:48:53 +08:00
@mytsing520 但是不少主机商,顶级域名别处备案过了,二级域名就不管了。估计国家没明确政策,大的主机商树大招风,而且怕到时候严格起来,导致你服务中断,所以建议你在他们那儿也接入备案。百度云,腾讯云我就没在他们那儿新增接入,cdn 都是可以用的。
|
|
284
mytsing520 2019-10-17 01:07:34 +08:00
@txydhr
腾讯云是有这个政策的,我这边经常遇到,估计你所在地的管局没太多精力管这事 |
|
285
txydhr 2019-10-17 01:39:49 +08:00 via iPhone
@mytsing520 有政策但是实际可用
|
 |
286
blaxmirror 2019-10-17 10:24:04 +08:00
@stille 我的情况稍微有点类似,被查了,仅供参考:
群晖使用它提供的二级域名绑 ddns 服务 godaddy 上购买的域名,使用 dnspod cname 到上面的二级域名 使用购买的域名来访问 结果是,只有购买的域名被扫到了。 唯一问题是我看到也有人说自己用群晖的 ddns 也被查了,所以机制尚且不明 顺便跟进一下,今天电信的人上门查看整改情况,然后他们竟然是用家里的电脑去 ping 域名... |
|
287
zhucegeqiu 2019-10-17 10:28:40 +08:00
@blaxmirror #286 被查的理由是啥?域名 ping 不通就算整改完成?
|
|
288
stille 2019-10-17 10:34:48 +08:00
@blaxmirror 那这个就有点坑了...比如我知道了你的群晖自带 DDNS 域名,拿个未备案或者国外域名做个 CNAME 到你域名,那你不是一点办法都没? 除了换 DDNS 的二级域名..但是你自己又不知道.
话说回来,主要还是看电信的政策问题,到底是完全 100%不允许有 http 或 https 协议存在,还是说备案就解决... 在说了标准备案也必须是主域名备案到云服务商的服务器上,是不允许备案或者指向到家庭服务器上. |
|
289
stille 2019-10-17 10:38:30 +08:00
@blaxmirror 在就是我也不是太懂技术性方面的东西,到底电信是如何知道你的 IP 被其他域名给指向的了? 也就是你刚才回帖所说的 "结果是,只有购买的域名被扫到了。" 电信是如何反向扫到的?
|
 |
290
bluefountain 2019-10-17 10:55:26 +08:00
@wwbfred 直接记录 http 头的请求不行?如果请求域名等于 quickconnect 或者 3322,又带着端口号并且 ip 存活,就记录不不就完了?长城本来就有这功能啊。
|
|
291
bluefountain 2019-10-17 10:58:55 +08:00
@stille 我是 ddns 到 3322,然后用已备案的域名 cname 到 3322,避免用 3322 访问
|
|
292
stille 2019-10-17 11:03:52 +08:00
@bluefountain 我之前是用已备案域名 www 和 @直接 DDNS,用了好几年,前几个月收到腾讯云电话说我备案的域名没指向备案服务器,之类的,要我修改解析...
所以后来我才把 DDNS 改到备案域名的二级域名,在去国外注册个域名 CNAME 到这个二级域名的. |
|
293
blaxmirror 2019-10-17 11:07:46 +08:00
@zhucegeqiu 跟楼主一样,认为我私自假设 web 服务器;是的,ping 不通他就认为整改完成了,但因为我当时不在家所以没有询问细节,家人拍下了电信在电脑上的操作记录
@stille 我其实比较怀疑 dnspod,但又不太能解释为什么二级域名没在名单上;至于为什么盯上我,我感觉 PT 大流量应该是个比较大的原因,猜测 大流量+未备案域名访问 这两样都对上了的话,就该警告信了 |
|
294
wwbfred 2019-10-17 11:14:27 +08:00
|
|
295
stille 2019-10-17 11:15:57 +08:00
@blaxmirror 是啊,虽然我不太懂核心技术这块,但是要大批量的通过 IP 在去扫端口,在去反向扫域名解析,绝对不是简单的操作的,所以我猜测是否是被封的用户触发了电信那的机制,被标注了,在单独去扫的.
|
|
297
txydhr 2019-10-17 11:55:19 +08:00 via iPhone
@blaxmirror 可能他用了群晖的 ddns 域名来访问?
我是有备案的二级域名 cname 到群晖的 ddns 域名来做 dns 的。但是我从来不用群晖的域名来访问,尽管用群晖的域名也能打开。我自用都是输入自己的备案域名。 另外上门的人水平参差不齐,不一定有代表性。 |
|
299
bluefountain 2019-10-17 13:01:05 +08:00
@stille 那就不要把解析和主机域名商放在一家。我是 godaddy 域名 阿里云主机 dnspod 解析 二级域名 cname
|
 |
300
delpo 2019-10-17 14:08:50 +08:00
可不可以这样:
用 nginx 当反代,请求 url 设置成子目录,然后根目录返回 444(相当于不响应请求) 这样即使端口扫描也只能检测出 tls 协议和域名,web 服务基本上是不会被扫出来的 有没有大佬试试可不可行,毕竟我这里没有这么严 |
Select Language