这是一个创建于 4159 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天开始大批VPS被墙,这一批被墙得很有特色:
1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
4. 被封的VPS又99%都在用startssl的证书
楼主觉得很奇怪,所以提出两条阴谋论:
1. 测试新的方案,例如上线新硬防
2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
4. 被封的VPS又99%都在用startssl的证书
楼主觉得很奇怪,所以提出两条阴谋论:
1. 测试新的方案,例如上线新硬防
2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
 |
1
siyanmao 2013-06-20 23:41:19 +08:00
这种封源IP的办法很早就有了,封端口就用这种方法。我一直怀疑部分出口线路上已经部署上了这种硬防,隐蔽,效率高,可靠性好,可以远程更新配置(,或许还可以给规则配置老化时间?)。但是对设备的具体类型/型号不太清楚。这种要求绝对是商品设备,自己攒要出事的。
黑洞路由毕竟还是麻烦,要广播路由表,要配置路由器,要有专用光纤/链路,路由条数太多(当年方校长的论文里提到大概是10^5量级) 估计和CA没什么关系,有用自签名被干掉的,也犯不着和CA作对。 |
 |
2
est 2013-06-21 00:19:48 +08:00
关于第二点,你们太天真了。墙早就有伪造ttl响应的能力了。不信你们去电信省级骨干网去ping
|
 |
3
pubby 2013-06-21 00:23:57 +08:00
真的被墙了?
昨天一批vps连不上,过了十几小时全恢复了。 |
Select Language