中国GFW封锁了Cloudflare的1.1.1.1 和WARP官网的HTTPS访问

via HERE

中国的网络审查系统(GFW)封锁了由Cloudflare运营的1.1.1.1 WARP官网的HTTPS访问。这个封锁行为是在2023年9月5日下午开始的。虽然很多DoH(DNS over HTTPS)早就被封了,但1.1.1.1这个网站一直未被封锁,直到现在才被封锁。这可能是因为GFW不得不补上这个“漏洞”,防止类似操作在推广的Early-Data with Client Hints(ECH)中被大规模复制。

Picked image

目前还没有关于ECH被封锁的报道。2020年,ESNI(Encrypted Server Name Indication)在中国被封锁,但ESNI封锁是针对特定的传输层安全性(TLS)扩展号码进行的。而ECH使用不同的扩展号码。目前没有任何审查测量平台正在测试ECH。

中国的网络审查系统(GFW)采用了一种介于放行和封锁之间的模糊干扰机制。一些大型网站在中国访问时可能会不稳定,但并非完全无法打开,比如github.com。几天前的测试中,1.1.1.1可以正常访问(实际上很多人都知道它以前没有被封锁),但是需要重新启动几次Chrome才能成功测试Cloudflare的ECH。根据昨天的新闻和很多人的测试结果,1.1.1.1的TCP/443端口无法使用,但其他端口的服务可以正常访问。这表明底层路由没有问题,GFW专门封锁了1.1.1.1的TCP/443端口,这与之前的行为不同。

根据路由追踪结果,TTL(Time to Live)在传输中过期的问题似乎是由省级移动运营商的干扰导致的。最后一跳的IP地址指向了省级移动运营商的服务器。

Picked image

总的来说,中国的网络审查系统(GFW)封锁了由Cloudflare运营的1.1.1.1 WARP官网的HTTPS访问。这可能是为了防止类似操作在推广的ECH中被大规模复制。目前还没有ECH被封锁的报道,而之前的ESNI封锁是针对特定的TLS扩展号码进行的。GFW采用了一种模糊干扰机制,一些大型网站在中国访问时可能会不稳定。1.1.1.1的TCP/443端口被封锁,但其他端口的服务可以正常访问。TTL过期的问题可能是由省级移动运营商的干扰导致的。

via https://github.com/net4people/bbs/issues/280#issuecomment-1706267069

2 条评论:

Yogas Kung 说...

最后一段明显是ChatGPT写的总结。

匿名 说...

:D