Cloudflare 开始部署 ECH 技术(加密 SNI）搭配加密 DNS 等于无蔷？

G.K.D

本帖最后由 G.K.D 于 2021-10-14 20:49 编辑

突然发现 Cloudflare 前两天发了个文章，给出了 ECH 的最新进度，表示要开始逐步部署 ECH 技术。

ECH 可以简单的理解为加密 SNI。
为什么要加密 SNI？在访问网站时，浏览器会向服务器发送明文的 SNI 信息，而 SNI 包含域名，因此才有了 SNI 阻断技术（即你指向正确的 IP 也无法访问被蔷的网站，当然前提是该域名被加入了 SNI 阻 断列表）。
毕竟现在蔷网站一般都是 DNS 污 染 + SNI 阻 断套餐，因此理论上加密 SNI + 加密 DNS = 无蔷？

曾经 Cloudflare 和 Firefox 合作在 18 年推出了 ESNI，但是因为设计缺陷，导致 2 年后（去年底）被蔷精准解决宣布 GG 了。后来吸取教训改去研究、优化下一代加密 SNI 方案（即 ECH），不过我对这些不熟，不清楚是否容易被针对，有兴趣的可以去看一看 Cloudflare 官方博客说明：
https://blog.cloudflare.com/hand ... game-an-ech-update/

Chrome/Chromium 的支持状态：
https://bugs.chromium.org/p/chromium/issues/detail?id=1091403



「自选 IP/优选 IP」测试 Cloudflare 延迟和速度，获取最快 IPv4/IPv6~
https://github.com/XIU2/CloudflareSpeedTest（⭐2.4k

sdqu

然后就是cf的ip全部阻断
game over

论坛大师

这项技术是给国外用户设计的，对国外用户有用。对国内用户不但没用也没任何意义，跟翻墙也扯不上关系

G.K.D

xinxin8816 发表于 2021-10-14 20:53

简单看了下ECH的底层设计。我认为蔷只需要从握手层面阻断就可以了，毕竟ECH的整个Client Hello包都是加密了 ...
没毛病，不过我觉得还是要取决于 ECH 是否会成为下一个 HTTPS？（推广力度、普及程度）
HTTPS 也是加密了，特征也很明显，只要握手期间阻断就可以了（已重置链接），但是这是重要技术的进步车轮，在当时的环境下不可阻挡（而且那时候蔷才刚刷了没几年存在感）。
当然，ECH 重要程度比不上 HTTPS，所以还是挺悬的。 。。

HTTPS 的出现导致 关键词阻 断 技术被淘汰，那段时间只能依靠 DNS 污 染 + 封 IP 来蔷网站。
但是只要 Hosts 指向正确可用的 IP 就能绕过去（封 IP 只能定期扫描，总会有遗漏/不及时）
直到后来搞出了 SNI 阻 断技术才弥补了这个技术漏洞。

悲观的讲，哪怕 ECH 像 HTTPS 一样普及开了，蔷也总会找到方法去解决的，只是时间问题。

G.K.D

sdqu 发表于 2021-10-14 19:42

然后就是cf的ip全部阻断
game over
一般不到最后不会这么干的，因为使用 Cloudflare CDN 的网站太多了，影响太大。
蔷喜欢温水煮青蛙，很少会搞这种容易激起反弹的大动作。

就连 Github 也是慢慢去蔷，各种模拟丢包、干扰，而不是直接封了。
这也是因为几年前 Github 曾经被封过，当时国内闹得动静很大，迫使其解封了~

optimism

optimism 发表于 2021-10-14 19:49

好帖  帮我的好友顶一下
这都能水

Meocat

optimism 发表于 2021-10-14 19:49

好帖  帮我的好友顶一下
每个帖子下面都有你

三流作家

G.K.D 发表于 2021-10-14 19:47

一般不到最后不会这么干的，因为使用 Cloudflare CDN 的网站太多了，影响太大。
蔷喜欢温水煮青蛙，很少 ...
cf和github还是不太一样。
github是主要还是技术的东西，其它的东西有，但少数。
然而，只要cf能过墙，基本上，所有的东西都进来了，墙等于被推了，这个是他们绝对无法接受的。

sdqu

坐等CF被Q

MisakaMikoto

esni去年抓到关键流量特征直接精准干掉，ech应该也差不多。