最近一直在使用gfw6,感覺不錯。
試着做如下黑箱分析:
- 阻斷ipv6反向代理地址的工作方式:阻斷地址通過計算獲得:RFC 6147中指出,dns64反向代理服務器返回的ip由服務器決定,「一般情況下,返回一個帶ipv6固定前綴的地址」;現在看來大部分dns64服務器都是按照「一般情況」,GFW6隻要將所有ipv6請求目標地址和源地址某兩個塊(一般為最後兩個塊)倒推成ipv4地址,即可選擇性地發送RST包。如此土豪的方式,果然是一坨曙光計算機撐腰的大項目啊(笑)。
- 阻斷固定ipv6地址的工作方式:和以前ipv4的時候是一樣的,RST攻擊。
- 開始污染DNS64解析感覺這個沒啥作用
- 有兩點值得注意:對反向代理,似乎只對請求方發送RST包;https連接沒有被RST。
