一种基本可以保证在SNI白名单模式前提下,阻断所有REALITY连接的方法猜想,并且对白名单内的不造成太多额外伤害 #15
Description
这仅是一种猜想,可能也有我疏忽的点,导致这种猜想并不现实
这种猜想实现的几大主要前提:不计成本(成本和代价在这里并不同义,成本仅仅指设备等经济成本,附带伤害认为是代价而不是成本),阻断白名单以外的SNI,阻断加密SNI的行为
猜想的具体实施方案是解析每个连接的SNI,先把白名单以外的阻断,加密的也阻断
之后,将流量强制指向一个确定为对应SNI真实服务器的IP,或者指向审查者自行部署的真实端口转发服务器的IP,对应真实服务器的可用IP(之一)可以通过权威DNS直接查询,DNS不会主动回报REALITY之类的“端口转发服务器”IP。如果需要指向多个IP,可以选择多地或者多服务商,甚至可以选择在国外进行一次查询
预计可能造成的附带伤害,不包括前提中已经提到的
1,本地改Hosts文件(比如优选IP之类)会没用,但如果能保证真的白名单流量不被乱阻断也应该不太需要改hosts
2,暂时没有想到,欢迎补充
(之前考虑过,如果指向单一服务器IP可能会把正常访问变成DDoS,不过后来想到了在多个DNS查询并针对用户地区做一些不同的重定向策略可以缓解这一点,)
(还有一种可能是服务商在自己的真的服务器上面部署REALITY,但是都白名单了,大服务商也应该不会这么做,只有非白名单的时候偷自己有可能)
实际可行性,未知,在这里曾经有过收到目标网站真证书的零星报告
(补充,根据下方对应的讨论,似乎发现该方案相比IP白名单的一些优点?比如那些瞎改了hosts的人也能访问上,不用担心因为改hosts,但是优选IP不在名单内导致正常访问被阻断?,当然缺点就是成本高)