Cloudflare CDN的ECH功能可以直连打开被墙的域名

SK_ · 2024-10-3 19:24:00

本帖最后由 SK_ 于 2024-10-3 19:32 编辑

Cloudflare CDN对免费计划，默认开始ECH功能，但在SSL→边缘证书中是没有【加密的 ClientHello (ECH)选项】，只要付费计划才可以自行关闭/打开ECH。

itdog.cn上ping一个被墙的域名，比如test.com解析到韩国KT 德国电信等错误的IP，开启ECH后可以直接访问，不需要梯子。

但是ECH并不是100%有用，我有个域名还是会被重置，另外一个域名不会。也有刚开始可以，之后又不行的情况。

域名被墙有三种情况：
1. 被错误的解析到韩国KT 德国电信等错误的国外运营商IP。这种情况下ECH有用，但不是绝对。
2. 严重DNS污染，也就是解析出来十几个错误IP，并且都是推特 FB Dropbox，貌似就算开了ECH也没用。（但我不太清楚是不是没开ECH，因为cf对免费计划隐藏了加密的 ClientHello (ECH)选项）
3. 解析IP正确，但是ssl 重置，这种我还没实验过。

我还没试过在福建河南等地区情况，也有其他被墙的情况无用。估计以后高墙会有手段针对，但是现在Cloudflare是对所有免费计划域名默认启动ECH，而且没有选项可关。

Fightlee · 2024-10-3 19:31:45

我手头的域名
试了下，有两个开了
他应该是灰度测试

奧巴马 · 2024-10-3 19:33:34

都没用，国内只DOH 全都被禁了！

WeTest.Vip · 2024-10-3 19:36:00

等CF开放API

职业菜鸟 · 2024-10-3 19:36:25

不是说加密 host 的直接丢包嘛？

SK_ · 2024-10-3 19:38:53

Fightlee 发表于 2024-10-3 19:31

我手头的域名
试了下，有两个开了
他应该是灰度测试
你域名被墙？是那种严重DNS污染？被解析到推特 FB Dropbox IP？能打开？

SK_ · 2024-10-3 19:31:00

本帖最后由 SK_ 于 2024-10-3 19:43 编辑

"

那是之前ESNI吧？我这边能用。

气味 · 2024-10-3 19:40:05

ECH是啥？

Fightlee · 2024-10-3 19:33:00

SK_ 发表于 2024-10-3 19:38

你域名被墙？是那种严重DNS污染？被解析到推特 FB Dropbox IP？能打开？

没被墙
/cdn-cgi/trace里面能看到有没有开的
我就两个开了，其他的都还是sni=plaintext
也不知道他到底是根据什么来的
后台也没见到开关，就很神奇

SK_ · 2024-10-3 19:40:19

"

ECH是新的，以前ESNI

		立即注册	自动登录	找回密码
密码			立即注册