Category Archives

28 Articles

搭建一个不被审查的串流站点

17   47432 转为繁体

原标题:被害妄想症该如何生存

先看配置:

假设:

审查机关拥有运营商级别的入侵检测设备(比如GFW)

说明:

  1. 全站使用https,关闭SSLv3,关闭弱加密组件
  2. default_server开启80端口,使用自签名证书;真实需要访问的域名(example.com)必须使用有效的证书,或者在本地信任根证书。注意example.com不能开启80端口,且与default_server使用的证书不能相同。不要使用泛域名证书。这是为了防止审查机关通过直连IP查看返回的证书中的Common Name来得到真实域名。这样配置之后,直连IP https://xxx.xxx.xxx.xxx默认是返回自签名证书,无法得到真实example.com。
  3. 选择性开启autoindex,通过cookie鉴别。注意也可以通过HTTP Basic Authenication认证。对匹配文件夹的uri(”/”结尾)做认证,示例中只有带cookie coo=coo的请求才会返回autoindex,否则返回404。
  4. 在location /中禁用目录末尾自动加斜杠,因为如果自动加斜杠,审查机关可以通过暴力猜测出服务器上有哪些目录确实存在(返回了301到末尾加/的url)。方法是if (-d $request_filename)返回404。

使用非443端口转发https流量扶墙(一)

6   39872 转为繁体

试试看见光了多久死hhhhhh

原理

实验表明,我国自主研发的科技火墙型络设备(以下简称GFW)具有以下特征:

  1. 对所有目标端口上的流量存在字符串过滤,如HTTP和明文的邮件消息
  2. 对443端口存在主动探测或举报机制(具体情况不明),表现为具有包括Google、Twitter等的CN在内的证书的ip会在半个月后被墙
  3. 目前,GFW对非443端口上流经的HTTPS流量不存在第2条所述的措施

436919cbgw1etosshjvw6j209s01pweg

 注:也可以是用SNI Proxy来隐藏证书,主动探测一般情况下不会使用SNI扩展来探测443端口的证书。可以使用这篇博客中提到的项目lua_resty_sniproxy。

 

Read More

Incapsula的IPV6垃圾垃圾真垃圾

0   9542 转为繁体

你说你A了一个(日本的)/32,一个(美国的)/44,一个(以色列的)/48,好像都是NTT的线路。点此处有真相

(bgp.he.net上查不到,说明并没有路由,也就是放置play。

用什么不好,偏偏要用以色列的那个,连自己特么官网都是这个IP段。

436919cbjw1es8jrr26zwj20am02m0t0

你知道教育网ping多少嘛?300多ms

所以并没什么egg用。

另外我发现incap的官网ipv4也用的香港那段,哈哈哈哈哈哈

迅雷快鸟(diǎo)路由器版

557   294656 转为繁体

可以在路由器或者同一网络下的任意设备上登陆并心跳,这样就不用开电脑也不用在手机里装奇怪的应用了。

对我有洁癖你来打我呀

436919cbgw1erq704m1h4g205k049nfa有问题请留言。如果你要报告一个问题,请同时注明:

  • 所使用的版本 (Python/Shell)
  • 运行的系统环境及版本 (操作系统,Python版本等)
  • 包含错误信息的日志
  • 产生错误的操作步骤
  • (可选) 运营商所在地,如:上海电信

Read More