Category Archives

28 Articles

搭建一個不被審查的串流站點

17   45052 轉為簡體

原標題:被害妄想症該如何生存

先看配置:

假設:

審查機關擁有運營商級別的入侵檢測設備(比如GFW)

說明:

  1. 全站使用https,關閉SSLv3,關閉弱加密組件
  2. default_server開啟80端口,使用自簽名證書;真實需要訪問的域名(example.com)必須使用有效的證書,或者在本地信任根證書。注意example.com不能開啟80端口,且與default_server使用的證書不能相同。不要使用泛域名證書。這是為了防止審查機關通過直連IP查看返回的證書中的Common Name來得到真實域名。這樣配置之後,直連IP https://xxx.xxx.xxx.xxx默認是返回自簽名證書,無法得到真實example.com。
  3. 選擇性開啟autoindex,通過cookie鑒別。注意也可以通過HTTP Basic Authenication認證。對匹配文件夾的uri(”/”結尾)做認證,示例中只有帶cookie coo=coo的請求才會返回autoindex,否則返回404。
  4. 在location /中禁用目錄末尾自動加斜杠,因為如果自動加斜杠,審查機關可以通過暴力猜測出服務器上有哪些目錄確實存在(返回了301到末尾加/的url)。方法是if (-d $request_filename)返回404。

使用非443端口轉發https流量扶牆(一)

6   33523 轉為簡體

試試看見光了多久死hhhhhh

原理

實驗表明,我國自主研發的科技火牆型絡設備(以下簡稱GFW)具有以下特徵:

  1. 對所有目標端口上的流量存在字符串過濾,如HTTP和明文的郵件消息
  2. 對443端口存在主動探測或舉報機制(具體情況不明),表現為具有包括Google、Twitter等的CN在內的證書的ip會在半個月後被牆
  3. 目前,GFW對非443端口上流經的HTTPS流量不存在第2條所述的措施

436919cbgw1etosshjvw6j209s01pweg

 註:也可以是用SNI Proxy來隱藏證書,主動探測一般情況下不會使用SNI擴展來探測443端口的證書。可以使用這篇博客中提到的項目lua_resty_sniproxy。

 

Read More

Incapsula的IPV6垃圾垃圾真垃圾

0   7273 轉為簡體

你說你A了一個(日本的)/32,一個(美國的)/44,一個(以色列的)/48,好像都是NTT的線路。點此處有真相

(bgp.he.net上查不到,說明並沒有路由,也就是放置play。

用什麼不好,偏偏要用以色列的那個,連自己特么官網都是這個IP段。

436919cbjw1es8jrr26zwj20am02m0t0

你知道教育網ping多少嘛?300多ms

所以並沒什麼egg用。

另外我發現incap的官網ipv4也用的香港那段,哈哈哈哈哈哈

迅雷快鳥(diǎo)路由器版

557   271448 轉為簡體

可以在路由器或者同一網絡下的任意設備上登陸並心跳,這樣就不用開電腦也不用在手機里裝奇怪的應用了。

對我有潔癖你來打我呀

436919cbgw1erq704m1h4g205k049nfa有問題請留言。如果你要報告一個問題,請同時註明:

  • 所使用的版本 (Python/Shell)
  • 運行的系統環境及版本 (操作系統,Python版本等)
  • 包含錯誤信息的日誌
  • 產生錯誤的操作步驟
  • (可選) 運營商所在地,如:上海電信

Read More