V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
YGBlvcAK
V2EX  ›  宽带症候群

分享一个家宽开 webdav 防审查的方案

  •  
  •   YGBlvcAK · 2023-03-13 14:53:57 +08:00 · 3369 次点击
    这是一个创建于 650 天前的主题,其中的信息可能已经有所发展或是发生改变。

    个人推荐的回家方案是 ss+aead ,无特征就是无证据,当然你非要说无证据也可以办你,当我没说

    再说回来,此方案就是纯玩,来对抗一下审查,开放了 web ,但又抓不到证据,或者说无法截图你的 webdav 界面

    核心原理就是 webdav 使用二级目录,不要用一级目录,这样就算抓到了 sni ,也无法通过域名来打开网站,因为一级目录为空,而二级目录是随机的一个长串,是无法通过抓包来获取到的

    实现方式是用 caddy+自带的 webdav 插件,配置如下:

    www.abc.com:777 {
    encode gzip
    tls www.abc.com.cer www.abc.com.key {
    	protocols tls1.3
    	}
    	@mypath {
    		not path_regexp ^/qwert
    	}
    	handle @mypath {
    		abort	
    	}
    
    	basicauth /qwert/* {
    		user hashed_password
    	}
    
    	redir /qwert /qwert/
    	webdav /qwert/* {
    		root /webdav
    		prefix /qwert
    	}
    }
    

    最后的效果就是,只有访问 https://www 点 abc 点 com:777/qwert 才会有返回,其它全部为空,而 qwert 是抓不到的,除非证书劫持,所以也就截取不了你开放的 web 界面了。当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧

    16 条回复    2023-03-26 15:52:13 +08:00
    guazila
        1
    guazila  
       2023-03-13 17:16:36 +08:00 via Android
    还有一种办法,用 cf 的 tunnel 。完全不暴露端口,只有出站。就是国内连接有时候会被阻断。
    Damn
        2
    Damn  
       2023-03-13 19:11:26 +08:00
    “当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧”
    -----------------------
    那么多被叫去签悔过书的有哪个给了证据的么。。
    lookStupiToForce
        3
    lookStupiToForce  
       2023-03-13 19:22:49 +08:00
    那我当你没说了🤣🤣🤣
    YGBlvcAK
        4
    YGBlvcAK  
    OP
       2023-03-13 19:27:42 +08:00 via Android
    @Damn 当我没说,请走开!
    wtks1
        5
    wtks1  
       2023-03-14 00:06:33 +08:00 via Android
    根据历史经验,运营商是不会给你出示证据的,他们只会直接电话通知,拒不整改的直接封宽带,也有工作人员上门让你签保证书的
    sunnysab
        6
    sunnysab  
       2023-03-14 09:43:39 +08:00
    HTTP 、TLS 这种,因为协议中直接包含了域名,就怕说是检测到了域名绑定 IP (论坛看的,不一定准). 而 Wireguard 、一些 TCP 协议就什么特征都没有。

    不过记得现在 RDP 也基于 TLS 了,好像没人管?
    ---
    抓包看了一下,RDP 外面包了一层 TPKT 协议,不是裸的 TLS.
    lisxour
        7
    lisxour  
       2023-03-14 10:19:50 +08:00
    不就是隐藏 url 嘛。。。
    YGBlvcAK
        8
    YGBlvcAK  
    OP
       2023-03-14 11:29:44 +08:00
    @wtks1 既然封了,那肯定是有判断标准的,不知道他们内部的判断标准是什么,只要有域名解析就算?
    @sunnysab wg rdp 都是有明显特征的,无特征可以用 ss+aead
    @lisxour 是的,让他们无论怎么探测也找不到真正的 web 界面
    ButcherHu
        9
    ButcherHu  
       2023-03-14 12:11:18 +08:00
    感觉 tls 没事啊,openvpn 跟 ss 之类的 vpn 或者代理软件裸跑都没事,城域网不可能搞深度包检测的吧,wg 被封可能是 udp 阻断逻辑不一样,感觉是跑 http 服务就会被针对
    fengyaochen
        10
    fengyaochen  
       2023-03-15 06:57:55 +08:00 via iPhone
    webdav 加个密码不就好了,没密码进不去就是空白
    hubaq
        11
    hubaq  
       2023-03-15 09:46:02 +08:00
    自己去装个 Panabit NTM ,可以验证你的猜想
    czwstc
        12
    czwstc  
       2023-03-15 13:53:41 +08:00
    我觉得 https+ basic auth 应该也可以。
    YGBlvcAK
        13
    YGBlvcAK  
    OP
       2023-03-15 17:13:53 +08:00
    @fengyaochen 有密码登录框的
    @czwstc 有密码登录框,我的这种方式无论怎么访问都是全白,除非写对了二级目录
    @hubaq 很简单的理论,不需要这么麻烦去验证
    @ButcherHu http 被针对是因为上级反诈的要求,所以其他协议都安全,至少目前是这样吧,ss+aead 是隐藏所有协议
    hubaq
        14
    hubaq  
       2023-03-15 17:33:47 +08:00
    @YGBlvcAK 人向流量有 http 协议,这不就是最明显的证据么?
    noahzh
        15
    noahzh  
       2023-03-16 09:13:07 +08:00
    现在都是流量分析,都知道你开了 http 服务,只要上面不查,或者你流量太大了,否则没有人管你,你别搞的一个家用宽带流量分析像诈骗网站就行。
    yijiangchengming
        16
    yijiangchengming  
       2023-03-26 15:52:13 +08:00 via Android
    我是高端口套腾讯 CDN ,只允许腾讯回源访问。其他探测一律显示端口关闭。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   903 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:15 · PVG 06:15 · LAX 14:15 · JFK 17:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.