这是一个创建于 2641 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如我不经过代理访问 github.com 这个网站,运营商或者抓包能否知道我在访问 github.com 这个域名?
 | 1 just1 2018-07-29 12:34:49 +08:00 via Android  1 可以的,证书里有 |
 | 2 t6attack 2018-07-29 12:38:52 +08:00 1 敲完回车,第一个 UDP 包就把域名交出去了。 |
 | 3 zhuanzh 2018-07-29 12:39:15 +08:00 via Android 1 可以啊 dns 了解一下 明文的 dns over tls 可以解决但没有广泛使用 |
 | 5 heiyutian 2018-07-29 12:45:16 +08:00 via Android 能知道域名全部地址吗?比如 baidu.com 他知道了,baidu.com/xxx.xxx |
 | 6 RobertYang 2018-07-29 12:46:06 +08:00 via Android 1 知道,请求头里面就有,明文 |
 | 8 miyuki 2018-07-29 12:56:58 +08:00 1 DNS 解析会有 证书也会暴露 |
| 9 miyuki 2018-07-29 12:58:34 +08:00 1 |
 | 11 richard1122 2018-07-29 13:10:14 +08:00 2 现在握手时候都有 SNI 的,域名是明文发送的。 https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%90%8D%E7%A7%B0%E6%8C%87%E7%A4%BA |
 | 12 xierch 2018-07-29 13:51:27 +08:00 2 |
| 13 xierch 2018-07-29 13:53:01 +08:00 1 TLS 1.3 开始证书也会加密传了 |
 | 14 gam2046 2018-07-29 15:53:40 +08:00 1 client hello 里一定是包含域名信息的。不然服务端怎么知道具体下发哪个证书? 当然完整的访问 URI 是拿不到的,握手完成后,才会进行这些信息的交换。 来参考一下这个流程图? https://upload-images.jianshu.io/upload_images/128529-abd6f1e1e6e126b5.jpg?imageMogr2/auto-orient/ |
 | 15 caola 2018-07-29 18:30:56 +08:00 1 SNI 加密的相关草案: https://tools.ietf.org/html/draft-ietf-tls-sni-encryption https://tools.ietf.org/html/draft-rescorla-tls-esni 或许以后就会迎来加密的 SNI,到那时某防火墙不知道还有这么给力么。。。 |
| 17 caola 2018-07-30 04:26:41 +08:00 @dahounet SNI 加密草案中也提到了 DNS 污染问题,客户端要通过校验 DNSSEC 和 DoH/DPRIVE 来保护 DNS, DNSSEC 的扩展也容易被劫持 (某防火墙就干了这事),但 DoH 又会产生一定的性能问题。 我相信这个问题会得到解决,比如使用正在草案的 DoQ (DNS over QUIC) 。 如果 SNI 加密和 DNS 得到真正的解决,那么封 IP 的意义已经不大了, 以后是 IPV6 的天下 IP 多得是,整段的封? TM 不会换其他段的 IP 啊,反正 IP 多得是且免费,看你怎么封, 即使不备案使用国内的服务器又怎样,反正机房或服务器商,都根本不会知道你访问的域名和内容是什么,谈何封锁。。。 |
| 19 caola 2018-07-30 17:46:51 +08:00 @flowfire 如果解决了 SNI 加密 和 DNS 的安全问题,白名单有个屁用! 加入 hsts 列表的域名,或者像 .app 后缀之类默认是 hsts 里的域名,压根都不会走 http 协议 请问在此情况下,你如何检查用户访问的域名及内容是什么?你如何白名单? |
Select Language