全球主机交流论坛

标题: Cloudflare CDN的ECH功能可以直连打开被墙的域名 [打印本页]

作者: SK_ 时间: 2024-10-3 19:24
标题: Cloudflare CDN的ECH功能可以直连打开被墙的域名
本帖最后由 SK_ 于 2024-10-3 20:07 编辑

首先说明一下：我有三个被墙域名，都是被DNS污染，有一个DNS污染非常严重（也就是解析到十几个错误FB 推特 Dropbox IP），另外两个域名DNS污染只被错误解析到几个错误的国外运营商IP。我自己试过用手机自带的浏览器，没有用加密DNS，开启ECH可以直接打开，我也试过本地解析被墙域名为错误IP，但开启ECH后直接打开。也就是说只要cf打开ECH，不需要用加密DNS，用户端什么都不用做。但是污染太严重的网站打不开，不知道是不是没启动ECH。我第二个是之前可以，现在又被重置。

Cloudflare CDN对免费计划，默认开始ECH功能，但在SSL→边缘证书中是没有【加密的 ClientHello (ECH)选项】，只要付费计划才可以自行关闭/打开ECH。

itdog.cn上ping一个被墙的域名，比如test.com解析到韩国KT 德国电信等错误的IP，开启ECH后可以直接访问，不需要梯子。

但是ECH并不是100%有用，我有个域名还是会被重置，另外一个域名不会。也有刚开始可以，之后又不行的情况。

域名被墙有三种情况：
1. 被错误的解析到韩国KT 德国电信等错误的国外运营商IP。这种情况下ECH有用，但不是绝对。
2. 严重DNS污染，也就是解析出来十几个错误IP，并且都是推特 FB Dropbox，貌似就算开了ECH也没用。（但我不太清楚是不是没开ECH，因为cf对免费计划隐藏了加密的 ClientHello (ECH)选项）
3. 解析IP正确，但是ssl 重置，这种我还没实验过。

我还没试过在福建河南等地区情况，也有其他被墙的情况无用。估计以后高墙会有手段针对，但是现在Cloudflare是对所有免费计划域名默认启动ECH，而且没有选项可关。

作者: Fightlee 时间: 2024-10-3 19:31
我手头的域名
试了下，有两个开了
他应该是灰度测试

作者: 奧巴马 时间: 2024-10-3 19:33
都没用，国内只DOH 全都被禁了！

作者: WeTest.Vip 时间: 2024-10-3 19:36
等CF开放API

作者: 职业菜鸟 时间: 2024-10-3 19:36
不是说加密 host 的直接丢包嘛？

作者: SK_ 时间: 2024-10-3 19:38

Fightlee 发表于 2024-10-3 19:31
我手头的域名
试了下，有两个开了
他应该是灰度测试

你域名被墙？是那种严重DNS污染？被解析到推特 FB Dropbox IP？能打开？

作者: SK_ 时间: 2024-10-3 19:40
本帖最后由 SK_ 于 2024-10-3 19:43 编辑

奧巴马发表于 2024-10-3 19:33
都没用，国内只DOH 全都被禁了！

那是之前ESNI吧？我这边能用。

作者: 气味 时间: 2024-10-3 19:40
ECH是啥？

作者: Fightlee 时间: 2024-10-3 19:42

SK_ 发表于 2024-10-3 19:38
你域名被墙？是那种严重DNS污染？被解析到推特 FB Dropbox IP？能打开？

没被墙
/cdn-cgi/trace里面能看到有没有开的
我就两个开了，其他的都还是sni=plaintext
也不知道他到底是根据什么来的
后台也没见到开关，就很神奇

作者: SK_ 时间: 2024-10-3 19:44

职业菜鸟发表于 2024-10-3 19:36
不是说加密 host 的直接丢包嘛？

ECH是新的，以前ESNI

作者: SK_ 时间: 2024-10-3 19:45

气味发表于 2024-10-3 19:40
ECH是啥？

你访问google.com，在交换ssl时，会有SNI信息，这个不加密。所以高墙可以根据这个墙。

作者: 职业菜鸟 时间: 2024-10-3 19:48

SK_ 发表于 2024-10-3 19:44
ECH是新的，以前ESNI

这个我能理解。之前看过一些文章。说只要 ESNI 直接就丢包。我当时好像还测试过

ECH 最终它也能识别协议吧。。直接丢包它干得出来

作者: wawos 时间: 2024-10-3 19:56

SK_ 发表于 2024-10-3 19:44
ECH是新的，以前ESNI

用修改本机hosts方式来多测试下被墙域名,

有可能不能访问是因为DNS污染 IP解析错了,

ECH和ESNI可能还需要配合可正常使用的DOH, 很多大公司公开的DOH 比如https://8.8.8.8/ https://1.1.1.1/是经常性的被阻断的,
需要用不被阻断的老外小众DOH

作者: ppeupp 时间: 2024-10-3 19:58
这么强？

作者: SK_ 时间: 2024-10-3 20:00

wawos 发表于 2024-10-3 19:56
用修改本机hosts方式来多测试下被墙域名,

有可能不能访问是因为DNS污染 IP解析错了,

我没用加密dns，我是手机自带的浏览器。我尝试过把ech关闭打不开，ech开启能打开。因为我的域名已经被DNS污染过了，但是不知道为啥不是加密DNS也能打开，我试过手机ping ip是污染过的。

作者: SK_ 时间: 2024-10-3 20:09

职业菜鸟发表于 2024-10-3 19:48
这个我能理解。之前看过一些文章。说只要 ESNI 直接就丢包。我当时好像还测试过

ECH 最终它也能识 ...

CF用了，其他CDN也会相继使用。而且现在是默认开启。国外网站基本上知名的99%都有CDN。除非CDN方面单独给中国地区强制关闭。

作者: 当下 时间: 2024-10-3 20:15
ESNI 国内是统统封掉的吧，这个好像是没有用的

作者: 奧巴马 时间: 2024-10-3 20:16

SK_ 发表于 2024-10-3 20:00
我没用加密dns，我是手机自带的浏览器。我尝试过把ech关闭打不开，ech开启能打开。因为我的域名已经被DNS ...

quic缓存吧. 你用curl测试,不要用浏览器.浏览器各种缓存.

作者: SK_ 时间: 2024-10-3 20:24

奧巴马发表于 2024-10-3 20:16
quic缓存吧. 你用curl测试,不要用浏览器.浏览器各种缓存.

QUIC我是直接关的（cf那边都是关的）。我手机默认连的wifi，数据流量我也试过。我没有设置dns，都是运营商默认的。curl原生不支持ECH啊。我浏览器都是开隐私默认，换了几个浏览器也能打开。

作者: kng 时间: 2024-10-3 20:25
有个被墙的域名开启ECH仍然打不开

作者: SK_ 时间: 2024-10-3 20:25

当下发表于 2024-10-3 20:15
ESNI 国内是统统封掉的吧，这个好像是没有用的

这个是ECH，新出来的。

作者: 柳泊风 时间: 2024-10-3 20:57
测试了一下 0.0.0.0的也没用

作者: 当下 时间: 2024-10-3 21:03

SK_ 发表于 2024-10-3 20:25
这个是ECH，新出来的。

看了下，和ESNI差不多，加密的更彻底；ESNI在国内被废掉，ECH也是早晚的事情吧

作者: qviqvi 时间: 2024-10-3 21:32
墙给中国人民带来痛苦，希望国家为人民考虑一下，拆掉墙

作者: 88170351 时间: 2024-10-3 21:51
做什么美梦，灰度一结束，不等不普及就这朵云给吹散了

作者: kaka1 时间: 2024-10-3 21:52
666

作者: dx459630 时间: 2024-10-3 22:31
马上加墙。。。谢谢反馈。。明天就给你CF扬了。。

作者: 唐家霸王枪 时间: 2024-10-4 00:45
我以为我域名被墙放出来了。。。这两天突然能连上

作者: zavier 时间: 2024-10-4 00:46
感谢提供思路。域名被白名单阻断n久，现在用了cf的ech可以访问了

作者: larry 时间: 2024-10-4 01:00
没用, 还是跳反诈

作者: 你好，再见 时间: 2024-10-4 11:25

wawos 发表于 2024-10-3 19:56
用修改本机hosts方式来多测试下被墙域名,

有可能不能访问是因为DNS污染 IP解析错了,

doh自建最好，把dns-query改掉，要不然运营商照样整活，https时不时给你阻断3分钟再放出来

作者: 你好，再见 时间: 2024-10-4 11:26
cf迟早全部墙掉

欢迎光临全球主机交流论坛 (https://443502.xyz/)