探讨福建泉州白名单网络原理及应对方法

0、前言

泉州“试点”白名单到现在已经一年了,听说已经推广到了全省大部分地区以及中国移动覆盖部分地区,但是我目前使用福建移动无感。在拨测时发现福建泉州无法访问我的 CDN IP,于是进行了一番调查研究并做个记录。

最近(2023年8月12日前后)网传工信部要求 App 备案,如果你是通过类似关键词找到的这篇文章,建议移步本站文章:

《工信部移动程序备案通知》政策解读
https://blog.tsinbei.com/archives/1354/

1、现象

使用IT Dog拨测,泉州无法使用未备案域名访问白名单以外的IP。下面以 2 个域名和 IP 为例,描述实验现象:

备案域名:1.com
未备案域名:2.com
白名单 IP:6.6.6.6
非白名单 IP:8.8.8.8

拨测结果:

(备案域名 + 白名单 IP:全部正常)

  • HTTP + 1.com + 6.6.6.6:正常
  • ICMP + 1.com + 6.6.6.6:正常
  • TCP + 1.com + 6.6.6.6:正常

(未备案域名 + 白名单 IP:全部正常)

  • HTTP + 2.com + 6.6.6.6:正常
  • ICMP + 2.com + 6.6.6.6:正常
  • TCP + 2.com + 6.6.6.6:正常

(备案域名 + 非白名单 IP:全部正常)

  • HTTP + 1.com + 8.8.8.8:正常
  • ICMP + 1.com + 8.8.8.8:正常
  • TCP + 1.com + 8.8.8.8:正常

(未备案域名 + 非白名单 IP:部分正常)

  • HTTP + 2.com + 8.8.8.8:阻断
  • ICMP + 2.com + 8.8.8.8:正常
  • TCP + 2.com + 8.8.8.8:正常

(直接访问 IP)

  • HTTP + 6.6.6.6:正常
  • ICMP + 6.6.6.6:正常
  • TCP + 6.6.6.6:正常
  • HTTP + 8.8.8.8:正常
  • ICMP + 8.8.8.8:正常
  • TCP + 8.8.8.8:正常

注意:测试仅使用了常见 TLD(.com),据说对于部分垃圾内容泛滥的 TLD(.xyz)会进行无差别阻断,目前尚未亲自进行测试。

2、结论

根据结果,可以发现白名单的特征是:

  1. 非 HTTP 方式不受影响;
  2. 不带域名访问不受影响;
  3. 未备案域名 + 非白名单 IP 无法连接,疑似是 SNI 阻断。

据说国内大厂(腾讯云、阿里云等)的境外服务器 IP 段(例如中国香港、美国等地区)都已被列入白名单,但是实测两台腾讯云香港服务器,一台在白名单中,另一台不在白名单中。最新测试结果,全部不在白名单中。

根据测试,腾讯云中国香港10143150129段,阿里云中国香港478段全部不在白名单中,因此本站在白名单地区应该是难以访问的。

前段时间经过福建泉州,测试了一下,自己的网站确实全部打不开了。另外,自建的几个节点可能是因为有伪装域名(发送 SNI),也全部被阻断。
在测试期间,尚未发现国内云厂商白名单 IP 段,应该是都从白名单中移除了。

福建泉州

据说其他地区也开启了白名单,福州据我所知已经有了,经过厦门的时候测试并未出现类似现象,其他地方如三明也没有。

福建三明

但是最近一段时间我的朋友给我反馈,他在河南的朋友们打不开他的网站,测试后发现河南全省三网拨测不通。但是使用同样的 IP(Cloudflare 泛播 IP),访问本站可以正常连接,经进一步测试发现是基于域名的加强版 SNI 阻断,解决方法参考:

启用 TCP Timestamps 解决 SNI 阻断
https://blog.tsinbei.com/archives/1361/

此外,据说 Cloudflare 的所有 IP 段都不在白名单中(不过可以确定的是,此前就有非常多 IP 在黑名单里了,笑),但是经过测试目前已发现 2 个 IP 段可以访问,可以修改 Hosts 文件或重写 DNS 至这两个 IP 段中的任意 IP,以访问托管在 Cloudflare 上的网站。

3、解决方法

针对网站被阻断,解决方法是使用 DNSPod 分区解析,详细指南参考:

服务器集群(七)DNSPod专业版分区解析
https://blog.tsinbei.com/archives/667/

按照官方文档添加自定义解析线路,线路内容填入泉州全段 IP(更新时间 2023/06/08):

此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。

保存,如果使用 CNAME 方式自选 IP 接入 Cloudflare,可解析至如下 IP 段:

此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。

注意:

此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。

**目前由于国内 DNS 存在:

  1. 出口 IP 和用户 IP 地理位置有差异
  2. 不支持 EDNS

等问题,因此此方法目前有缺陷,效果不好,等待进一步研究。**

探讨福建泉州白名单网络原理及应对方法

https://blog.tsinbei.com/archives/1293/

文章作者
Hsukqi Lee
发布于

2023-06-09

修改于

2024-02-12

许可协议

CC BY-NC-ND 4.0

# 建站  HTTPS  网站  Linux  反向代理  HTTP  DNSPod  DNS  DoH  DoT  Cloudflare  CDN

评论

昵称
邮箱
网址
43 条

小孩子

小孩子

感谢大佬

  回复

老大

老大

老大,方法很好,谢了!

  回复

q q q

q q q

刺激

  回复

chelim kyn

chelim kyn

老大,方法很好,谢了!

  回复

chelim kyn

chelim kyn

老大,方法很好,谢了!

  回复

chelim kyn

chelim kyn

老大,方法很好,谢了!

  回复

随笔

随笔

查看下

  回复

大木

大木

老大我想知道哪 2 个 IP 段可以访问

  回复

STON

STON

都是cf的IP,慢的要死

  回复