个人推荐的回家方案是 ss+aead ,无特征就是无证据,当然你非要说无证据也可以办你,当我没说
再说回来,此方案就是纯玩,来对抗一下审查,开放了 web ,但又抓不到证据,或者说无法截图你的 webdav 界面
核心原理就是 webdav 使用二级目录,不要用一级目录,这样就算抓到了 sni ,也无法通过域名来打开网站,因为一级目录为空,而二级目录是随机的一个长串,是无法通过抓包来获取到的
实现方式是用 caddy+自带的 webdav 插件,配置如下:
www.abc.com:777 {
encode gzip
tls www.abc.com.cer www.abc.com.key {
protocols tls1.3
}
@mypath {
not path_regexp ^/qwert
}
handle @mypath {
abort
}
basicauth /qwert/* {
user hashed_password
}
redir /qwert /qwert/
webdav /qwert/* {
root /webdav
prefix /qwert
}
}
最后的效果就是,只有访问 https://www 点 abc 点 com:777/qwert 才会有返回,其它全部为空,而 qwert 是抓不到的,除非证书劫持,所以也就截取不了你开放的 web 界面了。当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧
1
guazila 2023-03-13 17:16:36 +08:00 via Android
还有一种办法,用 cf 的 tunnel 。完全不暴露端口,只有出站。就是国内连接有时候会被阻断。
|
2
Damn 2023-03-13 19:11:26 +08:00
“当然,还是那句,如果你认为运营商不需要截图证据,凭端口什么的也可以封你宽带,当我没说好吧”
----------------------- 那么多被叫去签悔过书的有哪个给了证据的么。。 |
3
lookStupiToForce 2023-03-13 19:22:49 +08:00
那我当你没说了🤣🤣🤣
|
5
wtks1 2023-03-14 00:06:33 +08:00 via Android
根据历史经验,运营商是不会给你出示证据的,他们只会直接电话通知,拒不整改的直接封宽带,也有工作人员上门让你签保证书的
|
6
sunnysab 2023-03-14 09:43:39 +08:00
HTTP 、TLS 这种,因为协议中直接包含了域名,就怕说是检测到了域名绑定 IP (论坛看的,不一定准). 而 Wireguard 、一些 TCP 协议就什么特征都没有。
不过记得现在 RDP 也基于 TLS 了,好像没人管? --- 抓包看了一下,RDP 外面包了一层 TPKT 协议,不是裸的 TLS. |
7
lisxour 2023-03-14 10:19:50 +08:00
不就是隐藏 url 嘛。。。
|
8
YGBlvcAK OP |
9
ButcherHu 2023-03-14 12:11:18 +08:00
感觉 tls 没事啊,openvpn 跟 ss 之类的 vpn 或者代理软件裸跑都没事,城域网不可能搞深度包检测的吧,wg 被封可能是 udp 阻断逻辑不一样,感觉是跑 http 服务就会被针对
|
10
fengyaochen 2023-03-15 06:57:55 +08:00 via iPhone
webdav 加个密码不就好了,没密码进不去就是空白
|
11
hubaq 2023-03-15 09:46:02 +08:00
自己去装个 Panabit NTM ,可以验证你的猜想
|
12
czwstc 2023-03-15 13:53:41 +08:00
我觉得 https+ basic auth 应该也可以。
|
13
YGBlvcAK OP @fengyaochen 有密码登录框的
@czwstc 有密码登录框,我的这种方式无论怎么访问都是全白,除非写对了二级目录 @hubaq 很简单的理论,不需要这么麻烦去验证 @ButcherHu http 被针对是因为上级反诈的要求,所以其他协议都安全,至少目前是这样吧,ss+aead 是隐藏所有协议 |
15
noahzh 2023-03-16 09:13:07 +08:00
现在都是流量分析,都知道你开了 http 服务,只要上面不查,或者你流量太大了,否则没有人管你,你别搞的一个家用宽带流量分析像诈骗网站就行。
|
16
yijiangchengming 2023-03-26 15:52:13 +08:00 via Android
我是高端口套腾讯 CDN ,只允许腾讯回源访问。其他探测一律显示端口关闭。
|