引用
引用第520楼113dcfe2于2020-12-13 15:44发表的 回 518楼(65d4dd6a) 的帖子 :
因为这是固定IP的办法,没法最优分配CDN
没有CDN,这个避开SNI阻断的方法连不了CDN。
SNI阻断所说的SNI是指(Server Name Indication) 服务器名字指示,也就是域名。
因为这个部份没有被https加密,所以GFW可以检查这个知道是否访问的是黑名单里的网站。
这个Pixiv-Nginx的原理就是用Nginx官方原码自己编译,编译参数设置成旧式没有SNI支持。
TLS SNI support disabled
这样和被SNI阻断的网站进行HTTPS连接时没有SNI站名,不会被GFW的SNI检查发现。
但是像Pixiv用的CDN是多个网站共用一个CDN作镜像加速,CDN服务需你发SNI区分想访问的是哪个网站。
这个可以查Pixiv.net哪些地址用了CDN用橙色云图标表示,没使用CDN的用灰色云图标表示:
https://subdomainfinder.c99.nl/scans/2020-11-30/pixiv.net现在 Pixiv 的无污染DNS结果里:
210.140.131.* 地址段是不经过CDN的直接服务器本机IP
其他 104.18.31.* 和 104.18.30.* 段就是经过CDN的IP。
用删SNI避SNI阻断的把戏,是不能访问 104.18.31.* 和 104.18.30.* 段IP。
只能用210.140.131.* 地址段, 能用这种直连把戏上的SNI黑名单网站,
只能是无CDN的IP (或独占专用CDN没有和其他网站共用CDN不需SNI区分)。
Pixiv-Nginx 所谓破除SNI阻断的技术手段,
1,用不支技SNI的Nginx编译版
2,在Nginx.conf里指定无CDN的IP地址
比如说, Pixiv的 210.140.131.* 地址段就是避开CDN的直接服务器本尊IP,其他 104.18.31.* 和 104.18.30.* 段就是CDN镜像的IP。
210.140.131.* 地址段 可以用删HTTPS里SNI信息避开SNI阻断和Pixiv直连。
104.18.31.* 和 104.18.30.* 段只能是用代理才可以连通,什么反向代理之类删SNI的手段,
因为CDN无法区分你要访问它负责的哪个网站,所以会连接出错。
那个Pixiv-Nginx作者说什么很多人用CDN所以不会封那段原由是错的。
不要以为封IP有误伤,以为不会被GFW封IP,现在到处把这个方法传,自以为有免死金牌,
把IP地址都糊GFW脸嘲讽:“来封我呀,来封我呀。”
白痴找死。