#1 - 2022-5-8 23:05
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦 (让我们远离冰冷的房间,亲自推动历史的进程。 ...)
RT
时间大约是三月初,一个侧面讨论:
https://github.com/net4people/bb ... uecomment-822433658
853 端口现在是不论国内外都墙,DoT 彻底报废。
#2 - 2022-5-10 01:24
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦 (让我们远离冰冷的房间,亲自推动历史的进程。 ...)
CloudFlare workers 自昨天起被墙了,一些用 Notion 做个人站点的用户和镜像代理站又没法直接访问了。
下一步是不是把洋人的 DNS 全灭掉啊?
#3 - 2022-5-10 02:36
bennyli
换位思考:
对于相关部门来说,DOT无法监控,风险过大,所以干脆墙掉。(bgm38)
workers没啥商用客户在用,监控风险大于收益,墙掉。(bgm38)

当然,这是坏的。
#3-1 - 2022-5-10 02:53
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
把加密DNS一刀切说明已经疯了,以前域前置还能用的时候我们都说连带成本,现在什么都不顾了,接下来我看要取缔所有外国 DNS 了。
#4 - 2022-5-10 10:17
Hu3rror
DoT 一直都不太行,从很早开始就频繁被干扰。

其实更建议 DNS 分流。让国外的域名走代理解析,让国内的走国内的解析。或者直接使用 Fake IP 的思路(我觉得在大环境下这种方法虽然解决不了污染问题,但起码浏览速度得到保障,有特殊情况再手动添加对应的规则
#5 - 2022-5-10 12:46
石原英里華(常盤るる) (遠致静寧)
我有幸测试了现在大陆个人用DoH、DoT以及少数服务商提供的DNS Crypt服务(IPv4),可以简单设置后运作的方法已经几乎不存在。可以使用的DNS几乎全为Pure IP形式。值得注意的是,我只测试了Adguard、Google、Cloudflare等知名提供商的DNS,大部分可在此表中找到。
唯一可以较为稳定运作的方式,是在路由器端进行全局代理,然后在个人端末使用安全DNS。
#5-1 - 2022-5-10 15:00
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
不是,你都全局代理了那你还怎么在个人端用安全DNS?
#5-2 - 2022-5-10 15:08
石原英里華(常盤るる)
飛龍 说: 不是,你都全局代理了那你还怎么在个人端用安全DNS?
是我的"全局代理"描述错了吗?可能不应该用这个说法。例如我在个人端末开启adguard dns功能(PC),这不是聊胜于无吗?
#5-3 - 2022-5-10 15:21
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
石原英里華 说: 是我的"全局代理"描述错了吗?可能不应该用这个说法。例如我在个人端末开启adguard dns功能(PC),这不是聊胜于无吗?
全局代理下,你的 DNS 不是一并被代理的吗?
#5-4 - 2022-5-10 15:52
石原英里華(常盤るる)
飛龍 说: 全局代理下,你的 DNS 不是一并被代理的吗?
我能看到一个叫“自动劫持DNS”的选项,关闭它后是否会将DNS解析排除在外,我不是很清楚。加上我复合使用多款Adguard产品,具体是哪个环节中用到了被配置的DNS,说起来我不清楚。不过如果的确如描述的那样853号端口被屏蔽,通过代理的方式还能将request发往至对应的解析服务器吗?
#5-5 - 2022-5-10 16:34
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
石原英里華 说: 我能看到一个叫“自动劫持DNS”的选项,关闭它后是否会将DNS解析排除在外,我不是很清楚。加上我复合使用多款Adguard产品,具体是哪个环节中用到了被配置的DNS,说起来我不清楚。不过如果的确如描述...
代理当然走代理的端口,到时候DNS请求也是一并走代理的啊。不,你是真的在提问还是在考我啊?
#5-6 - 2022-5-10 17:31
石原英里華(常盤るる)
飛龍 说: 代理当然走代理的端口,到时候DNS请求也是一并走代理的啊。不,你是真的在提问还是在考我啊?
我查阅了些许相关的说明,除开http(s)等方式,主要受人使用的代理方式均有一项行为,我不清楚这是否是正确的说法,但请让我姑且称它为“封装DNS于请求”。我不是在刻意提问,只是不清楚“自动劫持DNS”这一项功能的用途而已。而例如我在使用的一款端末/通用代理软件Clash Premium,它在下载第三方规则集时似乎不通过代理,但同时使用代理设置的DNS进行连接,例如访问github,我未验证这是出自DNS缓存抑或是一些奇怪的通信方式,不过其妨碍正常浏览的结果是必然的,真是糟糕。
#5-7 - 2022-5-10 18:01
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
石原英里華 说: 我查阅了些许相关的说明,除开http(s)等方式,主要受人使用的代理方式均有一项行为,我不清楚这是否是正确的说法,但请让我姑且称它为“封装DNS于请求”。我不是在刻意提问,只是不清楚“自动劫持DNS”...
我不是很能听懂你说的这段。一般理想状态下,能分应用代理当然最好。但有些软件它确实是无视代理规则的,你只能通过全局代理去强迫它,或者把它封在虚拟机里面。我也不太明白你说的自动劫持DNS是什么意思,自我劫持吗?然后你举例 clash,代理规则是有优先度的。Github 的问题就像楼下说的,已经是基于 SNI 的嗅探了,折腾 DNS 没用了。而且两年前已经开始封锁 ESNI 的TLS 通信,我自己现在用 ECH。
#5-8 - 2022-5-10 19:11
優しい団子
飛龍 说: 我不是很能听懂你说的这段。一般理想状态下,能分应用代理当然最好。但有些软件它确实是无视代理规则的,你只能通过全局代理去强迫它,或者把它封在虚拟机里面。我也不太明白你说的自动劫持 DNS 是什么意思,自...
ECH和前身ESNI不早就一刀切block了吗
#5-9 - 2022-5-10 19:14
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
優しい団子 说: ECH和前身ESNI不早就一刀切block了吗
不,ESNI 被屏蔽,但是 ECH 没有。不过 ECH 的问题在于需要网站自身部署,所以普及面很窄。
#5-10 - 2022-5-10 19:18
優しい団子
飛龍 说: 不,ESNI 被屏蔽,但是 ECH 没有。不过 ECH 的问题在于需要网站自身部署,所以普及面很窄。
多谢指正。如果特征明显且普及面窄的话,显然ECH被block是必然的事
#5-11 - 2022-5-10 19:29
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
優しい団子 说: 多谢指正。如果特征明显且普及面窄的话,显然ECH被block是必然的事
ECH 现在主要是看 CF 会不会被 IP 白名单,域名倒还好因为它 IP 池一共就那些 IP,CF 如果封IP国内的互联网就得瘫痪1/3。现在已经离物理切割光缆差不多了,同志们赶紧造新协议和卫星锅盖啊!
#5-12 - 2022-5-10 19:33
優しい団子
飛龍 说: ECH 现在主要是看 CF 会不会被 IP 白名单,域名倒还好因为它 IP 池一共就那些 IP,CF 如果封 IP 国内的互联网就得瘫痪 1/3。现在已经离物理切割光缆差不多了,同志们赶紧造新协议和卫...
不如直接大规模MITM,迅速接管PKI体系,审计所有加密流量,一步到胃(
#5-13 - 2022-5-10 19:34
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
優しい団子 说: 不如直接大规模MITM,接管PKI体系,一步到胃(
哈萨克斯坦就做过这种事,强迫安装国产数字证书,然后大规模中间人攻击。
#6 - 2022-5-10 12:51
Tkzc ⚥
到达世界最高墙,GFW
太美丽啦 GFW,哎呀这不 CF 吗
还是看一下远处的白名单吧家人们
#7 - 2022-5-10 15:23
缇亚拉 (亡死来招会但人迷爱可然虽我。)
没听说泉州试点白名单吗,大的都在后面呢(bgm25)
#7-1 - 2022-5-10 19:26
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
泉州是针对域名白名单,这样的话以后都得用港澳电话卡才行了。SS类的协议15年就能被嗅探,现在有了AI模型训练后的精度已经大大提升了,再就是还有个微软的 Azure 域前置尚存。不过前段时间有线报说是国有机关正在强制更换国产电脑和国产系统,到时候把 Azure 推了也不是不可能。
#7-2 - 2022-5-10 19:38
c933103
飛龍 说: 泉州是针对域名白名单,这样的话以后都得用港澳电话卡才行了。SS类的协议15年就能被嗅探,现在有了AI模型训练后的精度已经大大提升了,再就是还有个微软的 Azure 域前置尚存。不过前段时间有线报说是国...
港澳電話卡已經在推進全實名制
#7-3 - 2022-5-10 19:45
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
c933103 说: 港澳電話卡已經在推進全實名制
噫!我记得超雪是不是有个 Esim 卡服务?
#7-4 - 2022-5-10 19:48
牛马
温水煮青蛙了属于是,之后bgm都估计会用不了
#7-5 - 2022-5-10 20:06
c933103
飛龍 说: 噫!我记得超雪是不是有个 Esim 卡服务?
那個是有官方發的「增值电信业务经营许可证」的。
#8 - 2022-5-10 16:52
咕咕子❶ (✨️make bangumi great again✨️)
(bgm38) 天天访问github都已经生不如死,没开飞机。但是仅限浏览器访问很困难,为什么我用终端操作项目从来就没卡过?
#8-1 - 2022-5-10 16:53
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
你是不是浏览器自己开了 DoT 或 DoH 这些?
#8-2 - 2022-5-10 17:11
Tkzc ⚥
GitHub 有 SNI 干扰
终端用的 SSH 所以没啥问题
#8-3 - 2022-5-10 19:51
invisible
ssh也卡,我之前换新电脑,用包管理工具scoop(通过git管理配置),死活无法更新,git config里设置http_proxy才解决
#9 - 2022-5-10 19:26
Kindred (个人翻译作 https://mirukk.com/translate_works)
太快了,我要下车(bgm38)
#9-1 - 2022-5-11 02:43
谎雨
有些地方一头雾水,果然还需要多学习(bgm117)
#10 - 2022-5-10 19:53
invisible (毒性非常大,小孩看了会犯错误,会犯很大的错误 ...)
好日子还在后头,快进到大家学古巴人用光盘/磁盘传递内容
#11 - 2022-5-23 13:16
Nagisa_
删除了回复
#12 - 2022-5-24 21:54
鲨鲨酱要蘸吗?
小白问句Dot是干什么的
#12-1 - 2022-5-24 22:18
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
互聯網好比高速公路,你訪問網站就好比把車開到不同的地點,DNS就好比指路牌,幫助你指向正確的地點,中共常年搞DNS投毒,把指路牌污染了,讓你無法訪問到正確地點。但是出於經濟利益,它暫且還不敢全部污染,所以做了個超大列表,根據名單識別是否要污染。然後大家制定了新標準,將DNS加密藏在 TLS 流中,這就是所謂的 DoT,這樣共產黨就看不到你查看的指路牌是它們要放行的還是要封鎖的,就是利用它們不敢一刀切的心理。然而現在已經瘋了,只要是加密的DNS就無差別封鎖,等於是只要有嫌疑就一律封殺。