这是一个创建于 98 天前的主题,其中的信息可能已经有所发展或是发生改变。
能否配置 caddy 或 nginx 进行 ua 过滤,白名单机制只允许常见几种浏览器 ua 进行访问,其他不带 ua 或者 ua 不正确的直接屏蔽?运营商的扫描应该不会跟浏览器 ua 完全一样吧,按照防 ddos 和扫描的思路不知道效果咋样
 |
1
yyzh 98 天前 via Android  2
运营商都是查你流量的.不需要搞什么主动访问
|
 |
2
ztstillwater 98 天前 via iPhone
v2 的用户里面也可能有运营商的员工,他们能看到帖子的内容,回去就更新扫描协议
|
 |
3
yxmyxmyyy OP @ztstillwater ua 必须携带自定义值,其他全部屏蔽如何呢
|
 |
4
Int100 98 天前 via iPhone
别折腾什么屏蔽了,传输全部加密即可.
|
 |
5
fuzzsh 98 天前 via Android
别被探出 http code 就行,tcp stream 不管的
|
 |
6
totoro625 98 天前
nginx:
listen default_server http 端口,return 444 https 端口,ssl_reject_handshake on |
 |
7
busier 98 天前 via iPhone
没用
就好比电话线监听 我听就行了 根本不用与你主动对话 |
 |
8
vmebeh 98 天前 via iPhone
vpn 连回来
整个敲门机制,暗号不对的都封了 |
 |
11
dream7758522 98 天前 via Android
你是不是认为电信是拿一台设备,不停的扫描用户的 http 端口?
电信是直接把你的网络流量镜像到分析设备,直接分析协议,特征匹配啊。只要分析出有入站 http,https 行为就判断你非法开网站啊。 |
 |
12
coolloves 98 天前
直接把域名访问干掉就行了吧
|
 |
13
ASmartPig 98 天前 via Android
那不叫扫描,叫流量分析,哪个 wireshark 听个包就知道了
|
 |
14
kevinhwang 98 天前 via Android
可以思考,gfw 为什么封你端口?这是他最小代价。只要你配置恰当,运营商只能分析出你是 ssl/tls ,但可以用最小代价解决你。
|
 |
15
PrinceofInj 98 天前
直接开放 HTTP 端口就是为了直接访问方便,你这加上各种限制,还不如回到 VPN 的路子上。
|
 |
16
whileFalse 98 天前
直接在公网 IP 上开个翻墙 Server 解决一切问题。
|
|
17
yxmyxmyyy OP @yyzh https://ex.noerr.eu.org/t/1128249?p=2#reply123 讲不通,如果是查流量,为何所有域名都在同一时间被查出来?运营商肯定是从别的途径知道的,而不是纯靠流量分析
|
 |
18
Suzutan 98 天前 via iPhone
非标准端口做 ddns 自用的话应该都是不管的吧
|
 |
19
feixiangde110 96 天前 via Android
@yxmyxmyyy 直接在公网 dns 缓存里查一下哪些野鸡域名解析到自有(家宽) ip 上,再查一下 bars 的 log 看看是哪个宽带账号。然后讲究一点的做个流量分享抓出来你对外了哪些端口,不讲究给你拉闸发整改告知就完了。
|
Select Language