tttt
-
inferior 内容已隐藏内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。 -
NullPointer 这个帖我看过,现在已经找不到了,八成是被 v2ex 删掉了。
不过,文中所述的攻击方式可能不太对。如果 gfw 屏蔽的是域名,那么就不会影响到 cloudflare 的官网。所以它这个攻击方式,我感觉影响到的是 ip,也就是说,还是 reset 那一套。
而且据我所知,dns 污染是比较严重的举措。一般被 dns 污染的网站,都是被长期屏蔽的。要被长期屏蔽的网站,gfw 一般会有人工审查。
不过我也是猜的,我没真正遇到这个攻击。
-
Iratsume 都市传说
-
inferior 内容已隐藏内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。 -
NullPointer @inferior #131398 gfw 的这种屏蔽显然是自动化操作,并不判断对象是谁。攻击者通过发送敏感词来触发屏蔽。关键是 gfw 屏蔽的是 ip 还是域名。
这个帖子里说:
2 月初该团伙的一个攻击目标便将自己的域名 cname 解析到了 cf 的官网。导致所有中国用户一天无法打开 cf 官网。
我通过搜索找到了这个帖子其中讲到他在不停尝试更换 ip 来躲避攻击。
如果他是域名被屏蔽,那么这个时候更换 ip 是徒劳无用的。而他更换解析目标从而可以缓解攻击来看,实际上 gfw 屏蔽的是解析目标。而且是临时屏蔽。那 v2ex 这个帖子里所述的攻击方式在我来看应该是不对的。攻击者应该并不需要准备境外服务器,而是用境内的肉鸡给攻击目标发敏感词,就足够了。gfw 看到好多境内客户端往这个 ip 上发敏感词,就阻断了这个 ip 与境内的通信。
当被攻击目标修改了域名指向,比如指向了 cloudflare 的 IP,那么攻击者含有敏感词的请求就会被发到 cloudflare 的 ip 上。变成实质上攻击 cloudflare。
这种攻击的成本是需要一直不停用许多肉鸡发敏感词。一旦停止,gfw 就不再阻断了。 -
Iratsume @NullPointer #131422 喔,原来是这样
DNS 污染 / 检测 SNI / 路由黑洞 中只有最后一项是对 IP 的,或者是 路由黑洞有什么存在的必要吗? 中的 「基于检测 IP 的 reset」
给将军团队提供一个新方案:
和发送大量明文敏感词类似,之前有人提到 用特定 servername 发起 HTTPS 连接也会让客户端与目标 IP 的连接维持中断几分钟。
Oct 3, 2017
e2889e: 这么干是有bug的,嘿嘿嘿 curl https://www.google.com -H "Host: www.apple.com" --resolve 'www.google.com:443:23.218.213.175' --insecure --verbose
e2889e: 我是说,如果是针对sni,那么,大量没有被墙的网站 也会被墙
dou4cc: 你可以试试用黑名单里的servername碰瓷,我等你报平安~
SeaHoH: 感觉可以做个脚本来攻击这个系统
dou4cc: 这个系统不会有这种bug的,servername拉黑的话也只针对发起请求的ip,否则那么多扫描器,整个网络不要坏掉了?
这个系统看起来仍然有这种 bug , 从 2017 至今
-
Iratsume SeaHoH: 感觉可以做个脚本来攻击这个系统
SeaHoH: 可惜不敢,肯定被抓……
这个帐是记在那的。
不要老侥幸,运气好不出事,哪一天你出了事那就倒大霉。
-
NullPointer 可以反向利用这个漏洞来进行加速:
从境外很多终端发送含有敏感词的请求到境内的网站上,就可以利用 GFW 将这些网站锁在墙内,让墙外访问不到。例如可以让 CGTN、
中国政府网(有跨境cdn所以此攻击无效)等被 GFW 屏蔽掉。这也利用了 GFW 的双向屏蔽特性。
-
libgen 天堂应该是图书馆的模样。一个阅读诗歌的人要比不读诗歌的人更难被战胜。创造是一种拯救。创造拯救了创造者本身。 利用GFW漏洞进行勒索的恶行正在蔓延
越来越多的信息表明有人正以屏蔽网站为要挟勒索大中型境外华文站点。
攻击者通过向目标网站提交大量包含违禁词的http明文请求、将被墙域名解析到目标网站所用IP等方式触发GFW的封锁机制。
攻击者要求网站以低廉的价格给他们投放广告,如果拒绝则进行上述的栽赃嫁祸。
更为糟糕的是越来越多的人正照猫画虎,当你有一把锤子看什么都像钉子。
那些选择托管于境外呕心沥血成长起来的网站现在要面临新的挑战。
针对 Cloudflare 官网的封锁正在解除,多地用户反馈已可以直连网站
此前一条发表于HostLoc论坛上稍显调侃的内容似乎并非杜撰,而是道出了此次事件的真相。
发帖者声称自己网站遭受利用GFW漏洞进行勒索的攻击,在防御无果的情况下将域名解析到了CF的官网,结果连cloudflare网站一并被墙。
如果是真实的,将印证利用高墙勒索的技术手法行之有效。它的成本是低廉的,造成的损失却是巨大的,而现在没有一个网站是安全的。
-
Iratsume 就可以利用 GFW 将这些网站锁在墙内,让墙外访问不到
捉不到 RESET 的
curl -v https://ao3.org --connect-to ::www.gov.cn
or
curl -v http://dw.com --connect-to ::www.gov.cn
中国和中国外的 vps 都正常
curl -v https://ao3.org --connect-to ::fastly.net
and
curl -v http://dw.com --connect-to ::1.1.1.1
仅中国的测试机会收到 RESET
-
NullPointer 内容已隐藏内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。 -
Iratsume 确实。
nali 182.131.26.231 182.131.26.231 [四川省成都市 电信]
curl https://twitter.com --connect-to ::182.131.26.231 -v
用特定 SNI 是这样的
* TLSv1.3 (OUT), TLS handshake, Client hello (1): * OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to twitter.com:443 * Closing connection 0 curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to twitter.com:443
tshark:
Capturing on 'ens3' 1 0.000000000 x → 182.131.26.231 TCP 74 34220 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=3441818677 TSecr=0 WS=128 2 0.287222997 182.131.26.231 → x TCP 74 443 → 34220 [SYN, ACK] Seq=0 Ack=1 Win=4380 Len=0 MSS=1460 TSval=1088020212 TSecr=3441818677 SACK_PERM=1 3 0.287304158 x → 182.131.26.231 TCP 66 34220 → 443 [ACK] Seq=1 Ack=1 Win=64240 Len=0 TSval=3441818964 TSecr=1088020212 4 0.293815959 x → 182.131.26.231 TLSv1 583 Client Hello 5 1.098692003 x → 182.131.26.231 TCP 583 [TCP Retransmission] 34220 → 443 [PSH, ACK] Seq=1 Ack=1 Win=64240 Len=517 TSval=3441819776 TSecr=1088020212 6 1.355147840 182.131.26.231 → x TCP 54 443 → 34220 [RST, ACK] Seq=1 Ack=518 Win=4207 Len=0 7 1.355233191 182.131.26.231 → x TCP 54 443 → 34220 [RST, ACK] Seq=1 Ack=518 Win=4207 Len=0 8 1.355242867 182.131.26.231 → x TCP 54 443 → 34220 [RST, ACK] Seq=1 Ack=518 Win=4207 Len=0
-
inferior 内容已隐藏内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。 -
Iratsume @inferior #131601 这个只是对 IP 的,和 DPI 无关。
cloudflare官网解析到的ip即使被屏蔽之后也一直没有变(但这个可能性感觉很小)
被屏蔽是单方面的,如果不向他们报告(或者媒体发文)也只有中国用户知道。
给某个域名分配的节点 IP 不会变,除非有 toggle DNS - Proxied 开关。
比如
e-hentai.org
从 11 May 2019 到 15 February 2021 的 IP 都是104.20.27.25 104.20.26.25
精准屏蔽方法+1