探讨福建泉州白名单网络原理及应对方法

本文同时提供以下语言的翻译：正體中文 English

0、前言

泉州“试点”白名单到现在已经一年了，听说已经推广到了全省大部分地区以及中国移动覆盖部分地区，但是我目前使用福建移动无感。在拨测时发现福建泉州无法访问我的 CDN IP，于是进行了一番调查研究并做个记录。

最近（2023年8月12日前后）网传工信部要求 App 备案，如果你是通过类似关键词找到的这篇文章，建议移步本站文章：
《工信部移动程序备案通知》政策解读
https://blog.tsinbei.com/archives/1354/

1、现象

使用IT Dog拨测，泉州无法使用未备案域名访问白名单以外的IP。下面以 2 个域名和 IP 为例，描述实验现象：

备案域名：1.com
未备案域名：2.com

白名单 IP：6.6.6.6
非白名单 IP：8.8.8.8

拨测结果：

（备案域名 + 白名单 IP：全部正常）

HTTP + 1.com + 6.6.6.6：正常
ICMP + 1.com + 6.6.6.6：正常
TCP + 1.com + 6.6.6.6：正常

（未备案域名 + 白名单 IP：全部正常）

HTTP + 2.com + 6.6.6.6：正常
ICMP + 2.com + 6.6.6.6：正常
TCP + 2.com + 6.6.6.6：正常

（备案域名 + 非白名单 IP：全部正常）

HTTP + 1.com + 8.8.8.8：正常
ICMP + 1.com + 8.8.8.8：正常
TCP + 1.com + 8.8.8.8：正常

（未备案域名 + 非白名单 IP：部分正常）

HTTP + 2.com + 8.8.8.8：阻断
ICMP + 2.com + 8.8.8.8：正常
TCP + 2.com + 8.8.8.8：正常

（直接访问 IP）

HTTP + 6.6.6.6：正常
ICMP + 6.6.6.6：正常
TCP + 6.6.6.6：正常
HTTP + 8.8.8.8：正常
ICMP + 8.8.8.8：正常
TCP + 8.8.8.8：正常

注意：测试仅使用了常见 TLD（.com），据说对于部分垃圾内容泛滥的 TLD（.xyz）会进行无差别阻断，目前尚未亲自进行测试。

2、结论

根据结果，可以发现白名单的特征是：

非 HTTP 方式不受影响；
不带域名访问不受影响；
未备案域名 + 非白名单 IP 无法连接，疑似是 SNI 阻断。

据说国内大厂（腾讯云、阿里云等）的境外服务器 IP 段（例如中国香港、美国等地区）都已被列入白名单，但是实测两台腾讯云香港服务器，~~一台在白名单中，另一台不在白名单中。~~最新测试结果，全部不在白名单中。

根据测试，腾讯云中国香港101、43、150、129段，阿里云中国香港47、8段全部不在白名单中，因此本站在白名单地区应该是难以访问的。

前段时间经过福建泉州，测试了一下，自己的网站确实全部打不开了。另外，自建的几个节点可能是因为有伪装域名（发送 SNI），也全部被阻断。
在测试期间，尚未发现国内云厂商白名单 IP 段，应该是都从白名单中移除了。

据说其他地区也开启了白名单，福州据我所知已经有了，经过厦门的时候测试并未出现类似现象，其他地方如三明也没有。

但是最近一段时间我的朋友给我反馈，他在河南的朋友们打不开我们的网站，拨测结果发现河南全省访问本站无任何问题，访问.top、.al等网站不同，因此猜测是基于域名而不是 IP 的阻断，与泉州白名单不同，解决方法：

启用 TCP Timestamps 解决 SNI 阻断
https://blog.tsinbei.com/archives/1368/

此外，据说 Cloudflare 的所有 IP 段都不在白名单中（~~不过可以确定的是，此前就有非常多 IP 在黑名单里了~~，笑），经过测试目前已发现 2 个 IP 段可以访问，可以修改 Hosts 文件或重写 DNS 至这两个 IP 段中的任意 IP，以访问托管在 Cloudflare 上的网站。