请不要在回答技术问题时复制粘贴 AI 生成的内容 #Wrapper { background-color: #e2e2e2; background-image: url("/static/img/shadow_light.png"), url("//cdn.v2ex.com/assets/bgs/circuit.png"); background-repeat: repeat-x, repeat-x; } #Wrapper.Night { background-color: #1f2e3d; background-image: url("/static/img/shadow.png"), url("//cdn.v2ex.com/assets/bgs/circuit_night.png"); background-repeat: repeat-x, repeat-x; background-size: 20px 20px, 162.5px 162.5px; }
这是一个创建于 4565 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天开始大批VPS被墙,这一批被墙得很有特色:
1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
4. 被封的VPS又99%都在用startssl的证书
楼主觉得很奇怪,所以提出两条阴谋论:
1. 测试新的方案,例如上线新硬防
2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
1. 早期都是先墙域名后墙IP,封SSH是先RST后block IP,封非TCP的VPN也是先干扰后block IP,但这次是莫名其妙直接block IP了
2. 即使是block IP,之前是在出墙前就切断,这回却是在包回到天朝境内才丢弃,为何多此一举?
3. 回包单点封IP不能使用黑洞路由之类的廉价方式,只能上硬防,何必费这成本?
4. 被封的VPS又99%都在用startssl的证书
楼主觉得很奇怪,所以提出两条阴谋论:
1. 测试新的方案,例如上线新硬防
2. 可能我们都想错了,目的不在于不让我们出去,而是不让墙外的CIA之类进来,真正当好一个防火墙
 | 1 siyanmao 2013-06-20 23:41:19 +08:00 这种封源IP的办法很早就有了,封端口就用这种方法。我一直怀疑部分出口线路上已经部署上了这种硬防,隐蔽,效率高,可靠性好,可以远程更新配置(,或许还可以给规则配置老化时间?)。但是对设备的具体类型/型号不太清楚。这种要求绝对是商品设备,自己攒要出事的。 黑洞路由毕竟还是麻烦,要广播路由表,要配置路由器,要有专用光纤/链路,路由条数太多(当年方校长的论文里提到大概是10^5量级) 估计和CA没什么关系,有用自签名被干掉的,也犯不着和CA作对。 |
 | 2 est 2013-06-21 00:19:48 +08:00 关于第二点,你们太天真了。墙早就有伪造ttl响应的能力了。不信你们去电信省级骨干网去ping |
 | 3 pubby 2013-06-21 00:23:57 +08:00 真的被墙了? 昨天一批vps连不上,过了十几小时全恢复了。 |
Select Language