关于DoH/ESNI时代的IP地址的几点想法

在DoH和ESNI成为主流以后,互联网上的流量里除了IP地址是明文以外,其它信息全部被加密了。

当前状况是DoH已经成为主流,有火狐和Chrome两大浏览器支持。

而ESNI仍旧处于实验阶段,只有火狐支持。但是SNI RST封杀手段已广泛被政府所利用(不光是中国政府,南韩、法国政府都已经被证实使用了某种程度的SNI RST)

等到ESNI成为主流,那么到时网上就是看上去都是一摸一样的【一大片】加密数据了。到时就完全区分不出人们访问的究竟都是什么了。不知道到时候墙有何应对策列,还是说到那时真的就是上【白名单】或者干脆切断国际互联网连接,变成中华局域网了。

另外最近查了一次Alexa全球访问量最大10个网站,着实吃了一惊:除了谷歌、油管、脸书以外,其余的都是墙内网站!分别是:天猫(第三位)、QQ(第五位)、百度(第六位)、搜狐(第七位)、天猫登录页(第八位)、淘宝(第九位)、360(第十位)。连第十一位都是京东。维基百科只排到了第十二位!照这个趋势下去,Alexa全球访问量最大10个网站很快应该没有墙外网站什么事了!

在DoH和ESNI大规模普及以后,网上的明文内容只剩下IP地址了。

现在的大型IP地址群,比如谷歌、推特、脸书(以及附属服务比如油管、ins等)都已经被墙IP封杀了(意思就是任何IP报文里的目的地或者来源地出现以上四个机构的IP地址群里的任意IP地址,不管报文内容为何,一律封杀)。当然享受IP地址封杀待遇的远远不止以上三个机构。很多成人视频网站,墙外报纸媒体网站,乃至自己搭建的机场VPS的IP地址都有可能是墙IP封杀的目标。

在DoH和ESNI大规模普及后,只剩下明文的IP地址会被墙封杀。关于如何解决墙封杀IP地址,有如下几个想法:

  1. 最最显然的解决方案就是把所有网站托管到Cloudflare上面,但是大公司比如谷歌推特等也许不愿意这么做。
  2. 所有墙外网站都解析到墙外几个“门户”IP地址上,这几个门户IP是超级电脑群,由所有墙外大公司政府部门等等共同经营(也许就是ICANN直接管理)。然后由门户IP地址解密ESNI,然后再赋予正确目标IP地址,继续路由到正确目的地。目的地回复用户的IP报文可以在“源IP地址”处直接填上“门户”IP地址。
  3. “加密IP地址“。不过由于IP地址是”网络层“的基石,是网络交通传递的重要信息,所以”加密的IP地址“是否有意义都是问题。IP报文在墙内的正确路由,以及从墙内到墙外的路由,都需要墙内各个路由器能正确解读IP报文的目标IP地址。所以加密IP地址可能没有意义。
  4. "抽象路由“:IP报文的目的地不写具体的IP地址,而是写上抽象的地理目的地比如”美国“,”德国“,”日本“等等,等到IP报文已经确定越过了墙,进入了地理目的地以后,在对其加密的SNI进行解读,然后在从DoH那儿获得最终的目的地IP地址。
  5. ”一切反代“:从DoH服务器查询比如谷歌IP,然后马上自动由DoH发送请求到谷歌服务器,让其主动连接客户端反代。但是这种做法的最大问题是墙内电脑一般都在多重NAT后面,所以反代不一定能联系上(特别是如果是symmetric NAT的话)。而且这种做法用多了,墙可能会双向彻底切断所有和谷歌IP的联系,进入也不行,出去也不行。
  6. “黑暗森林”式P2P路由:这个是从BTSync/Resilio取得的灵感,IP结构大改动:不在是end-to-end连接性,而是每一个IP节点都【只知道】相邻的几个IP节点,然后路由IP报文到相邻节点,直到到达可以解密ESNI的节点为止。这样的话整个互联网如同黑暗森林。但是这是最最不靠谱的方法:因为无法保证QoS,视频网站统统完蛋,所以不太可能实现。
  7. “next-hop/下一跳”路由:IP报文里只显示下一跳的IP地址,而不显示最终的目的地的IP地址。但是这样的话等于否定了互联网的IP路由基石:根据最新情况实时更改路由路径,以期创造出最佳路由。规定下一跳路由等于规定整个路由路径。所以这个方法也是不可取的。
  8. IP地址as utility,随机IP绑定,服务器端DHCP化(极端DHCP化):这个在以后的IPv6时代意义更加明显,IP地址彻底松绑,随机化,变成水和电那样的公共设施。客户端向DoH发送加密DNS请求以后,DoH服务器实时绑定一个随机IP地址到所查询的DNS域名,然后通过DHCP通知目标网站新的IP地址,目标网站收到后实时进行域名与网址的绑定。然后客户端向目标网址发送加密ESNI请求握手建立TLS连接。如果要防止墙主动侦测,则要目标网站绑定的IP地址socket对于所有其它IP发送来的连接请求发送标准假网站(类似于v2ray+ws+tls+web+nginx模式那样)。
  9. 墙外任意的IP地址可以代理任何的网站(8的极端版本):墙外随便哪个IP地址都可以承载返回任意URL的内容。


抛砖引玉,如果各位葱油对于如何解决明文IP地址被封有什么其它的好建议的话请尽管在这里提出。
15
分享 2020-05-23

39 个评论

Alexa排名不一定准(也不能说不准),可以再参考similarweb等综合一下

DoH即将普及。然而ESNI成为主流还要一段时间

ESNI主流了那时,那就要大规模针对DNS服务器下手了。接近白名单的DNS/DoH服务器和IP屏蔽也不是做不出来的吧。管你Cloudflare、ICANN,封,有多少IP封多少。然后再搞一些“非法架设DoH服务器罪”。只能用国内动过手脚的DNS服务器

浏览器端做手脚也是在未来可能性范畴之内的:杀软、网银、支付宝安全插件等都给你浏览器端搞些名堂
看标题知作者 :)
@Resistance 哈哈多谢老熟人捧场。对对对,好不容易积累了20个葱币,就把我此前的一些写在编程随想的GitHub论坛里的我自己的一些随想整理成一篇文章发表到品葱来给各位葱油看一下。

@nominewu 非常同意你的见解,看来到时就是黑名单啊!
我再给一个思路,比如1111或1001就是用IP地址证书。

所以根据这个思路就是先用IP地址建立加密信道,再发送sni请求域名证书。
@Kerr_Bird

IP地址证书这个想法我也曾想过。就是让权威认CA证机构比如VeriSign直接针对某个特定的IP地址比如Cloudflare的104.18.38.92签一个证书。然后先用IP地址建立加密信道,再在用IP地址建立的加密信道内发送sni请求域名证书。但是好像这并不是ESNI最终的实现方法。

另外有一事不明问你一下:你说的“比如1111或1001”是什么?是两个分别名叫“1111”和“1001”的网站吗?
霏艺Faye 图书管理员 回复 posclegom
@Kerr_BirdIP地址证书这个想法我也曾想过。就是让权威认CA证机构比如VeriSign直接针...

1111指的是1.1.1.1
1001指的是1.0.0.1

你们两个说的话,解释了什么叫“思而不学则殆”。。。
ESNI是为了什么?
SNI是为了什么?
证书是为了什么?
IP地址是为了什么?

你们应该从基本的概念学起。。。

ESNI是为了防止中间人知道SNI
SNI是为了解决同一个IP下托管多个域名
证书为了防止公钥被篡改【防止中间人攻击】
IP是为了路由【网络层协议】

学而不思则罔,思而不学则殆
多花时间去学习,每天空想只是浪费时间
只去思考而不去学习,恍惚而无依据,志大才疏
@霏艺Faye 图书管理员

多谢回答。我现在知道1111和1001指的是什么了。

我想你大概对我有些误解。我的本科专业是电脑工程,所以我是这方面的专业人士。我对于ESNI、SNI、证书、CA、IP在OSI的哪个层都非常清楚。估计比你要清楚。

我想讨论的是在将来所有非IP的内容都被加密了以后,只剩下IP地址还是明文。到时墙就只能在IP地址上动脑筋了。我想讨论一下有无任何比较好的对策,解决未来互联网上仅剩下的明文信息。

如果我没写这篇文章,那我估计自己就属于你所说的“学而不思则罔”那一类了。😊😊😊
霏艺Faye 图书管理员 回复 posclegom
@霏艺Faye 图书管理员多谢回答。我现在知道1111和1001指的是什么了。我想你大概对我有些误解...

首先,你不应该泄露自己的个人信息,自我保护意识太弱。。。

另外,我不觉得本科生,有资格自称自己是专业人士。。。

最后,我觉得你自己学一遍DTLS【不是TLS】,就有答案了。。。
---------------
与其自己一个人瞎想【闭门造车】。。。真不如去ITU官网看论文,规范,标准,草稿。。。
我觉得,你能想到的,基本上面都已经给出答案了
如果你觉得有什么是你想到了,但是上面的专家没想到的,你可以去投issue
这样,就可以自称自己是专业人士了。。。


3G/4G/5G,工作在数据链路层,你看过数据链路层代码实现么?
Linux内核的TCP协议栈实现,源码学习过么?
Linux内核的网络子系统,代码了解多少?
TLS的开源实现,OpenSSL,BoringSSL,NSS读过源码么?
Wireguard协议的流控是如何实现的?
V2ray的vmess协议的混淆方法有哪些?
Tor的环路如何建立?
.onion的域名,Tor是如何解析的?中间6跳怎么实现?会合点如何选取?介绍点如何选取?
对了使用了.onion以后,相当于连IP都是密文了。。。

-----再谈谈5G,和你文章无关了已经------
还有,VoLTE的音频数据如何传输的,怎么解决丢包问题?
音频数据的帧预测是前向纠错还是后向的?
5G网络的VoNR算法有哪些?
Google的NetEQ算法,如何解决低延时的高音质通信?
opus音频编解码算法论文?
就网络方面的某些领域,我觉得在我全世界都是top10000的存在。。。





---------------------------------------
我给你一个建议,去看看迷雾通源码,作者是这方面的专业人士。。。
等你看懂迷雾通,再回来看看自己现在的文章,就明白我为什么回复你了
@霏艺Faye 图书管理员

另外,我不觉得本科生,有资格自称自己是专业人士。。。


抱歉这只是你个人的意见。我觉得本科生已经足够专业人士了。至少比初中生治国要专业多了吧。

与其自己一个人瞎想【闭门造车】


任何新的事物或多或少都是由“瞎想”来发现的。当然不是脱离实际情况的瞎想,而是基于已经掌握的知识的一种创意性思维。

3G/4G/5G,工作在数据链路层,你看过数据链路层代码实现么?
Linux内核的TCP协议栈实现,源码学习过么?
Linux内核的网络子系统,代码了解多少?
TLS的开源实现,OpenSSL,BoringSSL,NSS读过源码么?
Wireguard协议的流控是如何实现的?
V2ray的vmess协议的混淆方法有哪些?
Tor的环路如何建立?
.onion的域名,Tor是如何解析的?中间6跳怎么实现?会合点如何选取?介绍点如何选取?
对了使用了.onion以后,相当于连IP都是密文了。。。
迷雾通源码,作者是这方面的专业人士


你能说出这许多东西就充分表达了你的外行性。内行的人就会知道所有这些东西与我在这篇文章里所要讨论的话题是【完全无关】的。我要讨论的是IP地址,其明码性质以及我们能有些什么加密IP地址的对策。你说的这许多东西都完全与IP地址加密【无关】。读你这些东西岂不是在【浪费时间】?

有的时候【专业性】就是知道对于知识怎么取舍。当今知识大爆炸的时代,一个人的精力是很有限的,必须要把自己有限的精力和时间花在【刀刃】上。
從專業角度來講,討論這個問題是杞人憂天。
編程上有一個概念:Time complexity .
GFW的工作模式決定了其审查能力是有限的。
不要天真的以為中國人能翻墙是因為華為的技術有水平差,翻墙跟GFW本身是一些淺顯的技術,不存在技術難題。
限制GFW能力的算力,超算是很燒錢的。平日裡GFW為了省錢會少用些超算資源,然後翻墙的中國人就多了。逢年過節,GFW多開些超算資源,墙外中國人就少了。這些都是因為錢。
這倆年因為華為有了ASIC的設計能力,墙的审查能力強了不少。翻墙的中國人應該感謝川普封殺華為,沒有這一輪封殺,再過幾年,說不準華為真的能讓中國人翻不了墙。
@han_chinese

你说的十分有道理,为你点个赞👍。非常赞同你的“钱💴、时间、超算算力资源”铁三角!

說不準華為真的能讓中國人翻不了墙。


我一直不明白,其实让中国人翻不了墙很简单,直接砍断海底光缆不就行了嘛。

其实我发这个楼的另外一个用意就是:如果能够进一步加密或者隐藏IP地址,那么就可以彻底的做到“依附的自由”。所有发往外网的IP报文都是一大堆黑压压的加密过的报文,甚至连目的地IP也不知道,那这样就逼着墙做决定:要么放行所有的IP报文,要么断网。(因为墙没有任何其它办法分辨IP报文里的内容了)。
@锵锵

专业的话一句没说,通篇骂人,看来品葱也有这种水平的人,一堵墙没能防止所有的脑残跑墙外来。

程序员里一块砖随便砸哪个不是大学生,你本科算个?


我同意你说的一块砖随便砸哪个不是大学生,不过如果这个大学生是麻省理工学院毕业🎓的,那就另当别论了吧。
@锵锵

一有技术问题就睁眼瞎,“本科大佬”继续自己自嗨吧。


好嘞您,慢走不送!
不论楼主是否专业人士, 他是来讨论的,“抛砖引玉” !
那些吵架的至少应该“折叠”!
那些更专业的请自觉去投issue !
首先在物理断网不实施的前提下,还有一招啊,就是对所有境外ip地址联系的网络连接进行限速,这一招以前伊朗就干过。现在电信普通线路qos也是这个道理 。以后把外网速度都限制在10kb每秒,让你去看奶飞,油管?!
@p2p123

严重同意!非常感谢你的捧场!
@Iloveccp555

严重感谢你的捧场。对于你所说的限速场景,我只想说一句:“只要能上品葱就行了!!!”
沒有專業知識,問個不相關的問題:

爲什麽要集中在cloudflare ?

不是還有很多選擇?比如akamai 和 CloudFront。 

另外,cloudflare最近和京東加大了合作來拓展在中國的業務,會不會有朝一日cloudflare也會成爲幫凶?
@Kerr_BirdIP地址证书这个想法我也曾想过。就是让权威认CA证机构比如VeriSign直接针...

TLS有一个重要原则,证书的固定公钥只能验签不能加密。公钥加密的缺点是一旦泄漏私钥,泄漏前攻击者截获的数据全部可以解密。

目前esni使用固定公钥加密。

还有1.1.1.1和1.0.0.1是cloudflare的DNS。
你咋知道俺是老熟人捏?

估计因为您露脸多。顺便一提,【老熟人】是编程随想的口头禅。
我也是随想读者,所以我们是老熟人。(无端
@dasfe 多谢提问。其实不是要集中在Cloudflare。只是现在Cloudflare是最知名的一家,所以用它来打个比方。当然还有其它的CDN比如Akamai,AWS,Azure,Fastly,CloudFront,甚至是阿里云等等。

就Cloudflare来说,情况比较复杂。老总Matthew Prince的确帮助香港早先公投防护了来自大陆方面的DDoS,但是他又反对域名前置,说这是一种对于CDN服务的滥用(尽管在申明里他也表明同情进行域名前置的用户),所以未来还得观察他到底最后是否与党国合作。

@kerr_bird “固定公钥只能验签不能加密” -- 请问这句话怎么理解?

@Resistance 哈哈,我当然知道你是老熟人啦!

@畅言慎行 哈哈,我,你,@Resistance,都是彼此之间的老熟人。来,让我们三个老熟人在这个公共厕所里为博主举杯(oops,我把这里当作编程随想评论区了)
固定公钥只能验签不能加密


好吧,我没有讲清楚,固定公钥是指证书的公钥。

你想象两种情况,某一天商务公司的私钥因为系统漏洞泄漏。

如果使用证书公钥加密,那么所有相关的流量都能被解密。

如果使用证书私钥签名,那么攻击者必须把流量转发到自己的服务器上,伪装成商务网站通信。一样会给商务网站造成损失,但是私钥泄漏以前的加密流量无法解密。
@Kerr_Bird

但是私钥泄漏以前的加密流量无法解密。


多谢解释。最后这一点我还是不太明白,如果使用证书私钥签名,那此种情况下是用的什么来加密“以前的加密流量”呢?
@Kerr_Bird多谢解释。最后这一点我还是不太明白,如果使用证书私钥签名,那此种情况下是用的什么...


tls1.3建立连接时,双方会交换预共享密钥,这个预共享密钥实际上就是随机生成的公钥,实际上已经建立了一个通信隧道。

但是怎么证明这个服务器不是钓鱼服务器呢?服务器会把证书用预共享密钥加密传输到客户机上(还有签名也会一并传输,我暂时不清楚有没有加密),客户机再验证这个证书的真实性。

所以,一旦关闭连接。这个预共享密钥,还有其他的密钥全部从内存中清除。这时,即使是客户机还是服务器都无法解密加密后的流量。
@Kerr_Bird 哦,那我明白了。

服务器会把证书用预共享密钥加密传输到客户机上(还有签名也会一并传输,我暂时不清楚有没有加密),客户机再验证这个证书的真实性。


那么这个证书里面必定要包含使用服务器的CA的【私钥】签署的关于“【本次】加密所使用的随机生成的两把共享密钥(分别对应客户端和服务器端)与原证书【合二为一】的【总证书】”的【核实哈希】,然后客户端再使用内置的CA证书里的公钥予以核实之。

否则墙也去和服务器连接,随机生成公钥,并且把万年不变的证书原式原样转回给客户端进行中间人攻击。
大道至简。lz属于半吊子水平这个没有疑问的。不过lz的问题本身是个好问题,我简单翻译一下就是,随着未来翻墙技术的提高,兲朝就3个选择:

1. 彻底的局域网
2. 彻底的取消墙
3. 白名单制度

这里第二种可能性几乎不存在,除非是太阳从西边出,如果真的是这样,那个时候肯定不是兲朝了。

技术手段上显然第一条很容易做到,正如楼上某人所说,海底光缆砍断即可。但是第一条意味着彻底脱钩,经济影响很大。目前的社会实情很难做到。

第三条最符合现状,但是技术上实现难度很大。 所以真正的技术大佬(比如迷雾通作者),应该来谈谈第三条的可能性以及如何应对
@包子

严重同意。我的看法和你一样。

正如楼上某人所说,海底光缆砍断即可。但是第一条意味着彻底脱钩,经济影响很大。目前的社会实情很难做到。


我始终不明白的是:在毛泽东时代那种一穷二白的情况下,都可以和世界彻底脱钩,怎么反而放到现在中国是老二的情况下怎么反而就不可以彻底脱钩了呢?拉一帮自己的小兄弟,关起门来自个儿玩自个儿的,难道就真的那么难吗?
半吊子谈下自己的看法。

解决“明文IP地址被封”根本就是一个伪命题,对现有的以西方为主导的互联网而言,它根本不会面临这个问题。

ESNI是对TLS协议存在的漏洞的补充协议,解决的是信息泄露的问题,GFW并非主要原因(即使GFW使用了这个漏洞)。

互联网基础设施的发展是由政府(广泛意义上的所有国家政府)、大公司(互联网、ISP等)、非营利组织所共同推动的,是数字监控、商业利益、信息安全等综合因素妥协的结果。

针对你的几个想法的个人见解:

- “所有网站托管到cloudflare”。首先,驱动这些网站这样做的理由在哪,是强制、是商业利益(不如跪舔中国政府)、是用爱发电?其次,即使CF被滥用,而中国因此无法封禁网站,那么中国政府绝不同意(封禁CDN即可),要么cloudflare妥协,要么被托管的网站妥协。
- “门户IP地址”,国外大公司、政府不是慈善机构,凭啥这样搞?而且中国政府直接封禁相关IP即可,能怎么办?
- “加密IP地址”,违背了现有基础设施体系,你自己都知道毫无意义。
- “抽象路由”,评价同上。而且ESNI依赖于DNS,中国政府封禁国外DNS,污染国内DNS即可解决这个问题。
- “一切反代”,评价同上,DOH服务器、Google服务器没有这样做的任何理由。
- “黑暗森林”,评价同上,没有这样做的理由。
- “next-hop路由”,评价同上,没有这样做的理由。
- “随机IP绑定”,现有的DNS系统就可以做到(CDN就是这样实现的),中国政府能控制国内DNS,封禁国外DNS,那依赖于DNS的动态IP意义何在?
- “墙外任意的IP地址”,违背了现有基础设施体系,你自己都知道毫无意义。

你所有的想法都是将GFW作为假想敌,而大部分想法都是需要改变现有的基础设施,但对互联网基础设施的主导者而言,这关他们P事。GFW爱怎么的就怎的,从来不是影响互联网基础设置发展的关键因素。

因此你这些想法就是缺乏对政治和技术的专业见解,被霏艺Faye和锵锵轻视是存在原因的,因为你这些思考在他们看来比较业余和多余。

解决“明文IP地址被封”的需求方其实只有翻墙用户,解决办法也不需要你上面的那么些天马行空的想法,使用VPN、代理、Tor即可。所以霏艺Faye才推荐你去看看现有成熟的解决方案是如何实现的。
========================
所以讨论的话题就偏题了,真正的问题是@包子的评论,在DoT&DoH、ESNI、翻墙技术的影响下,GFW会做出怎么样的改变,会带来什么样的影响,又应该怎样面对?

简单来讲:

DoT&DoH导致GFW对出国DNS查询的拦截/污染起到了阻碍,但依然可以通过屏蔽相关域名、IP来影响。
用上ESNI的Web依然依赖DNS,SNI RST没法用了,但DNS污染依然有效。
@难知如阴 多谢长篇留言。赞同你的观点。我想我们之间存在一些误解,以下是我的几点解释:

  1. ESNI大规模普及以后,IP地址就变成了【仅剩】的【明文】信息了。我想对于这一点我们彼此之间没有什么异议吧。只要是【明文】信息就会导致信息的【泄露】,我想对于这一点我们彼此之间也没有什么异议吧。所以就算ESNI大规模普及,ISP还是可以通过IP地址【大概】判定比如你访问的是谷歌还是非死不可,甚至有些独立IP的羞羞网站,ISP也是可以通过IP地址来大体判定的吧。这个第一点可是和墙没有什么关系。
  2. 我完全同意你所说的解决“明文IP地址被封”的需求方其实只有翻墙用户。我当然明白这个道理。当然这也怪我,我没有把本楼讨论的前提说一下:前提就是在【不翻墙】的情况下可以有些什么抗墙黑科技。有点像以前的【西厢计划】一样。
  3. 我发此贴的另外一个用意是通过外网不断深层匿名加密隐私化来达到一种【加速】的效果,最终把【加速】和【依附的自由】做到极致:逼迫中国当局斩断海底光缆。说实话我对现在跑到外网来的小粉红不爽已经很久了。所以外网未来的演化如果真的能够加速逼迫中国当局斩断海底光缆,也未尝不是一件大好事。
  4. 关于你说的后ESNI时代的DNS污染:“而且ESNI依赖于DoH,中国政府封禁国外DoH,污染国内DoH即可解决这个问题。” 完全同意,基本上就是这么一个思路。但是未来如果大型CDN的每一个IP地址都可以扮演DoH服务器的角色,那墙就没有选择,必须要封禁所有CDN,如此这么一来基本上外网就被封杀殆尽,基本上和斩断海底光缆没有什么两样了。(如果你一定要和我抬杠的话,那我再多加一条:所有中国对外贸易依靠的外网IP地址都肩负起DoH角色)
  5. "你所有的想法都是将GFW作为假想敌,而大部分想法都是需要改变现有的基础设施,但对互联网基础设施的主导者而言,这关他们P事。GFW爱怎么的就怎的,从来不是影响互联网基础设置发展的关键因素。" : 完全同意,但是这并不妨碍我们去进行这方面的思考,因为品葱毕竟不是用来讨论互联网基础设施的地方,但的确是用来讨论翻墙的地方。
  6. “而且ESNI依赖于DoH,中国政府封禁国外DoH,污染国内DoH即可解决这个问题。”:墙内现在有小众的独立DNS服务,有它们自己的DNS来源,提供未被污染的DNS查询结果,由于处于墙内,所以在墙内使用这些小众独立DNS服务完全全程都处于墙内,完全不会经过墙,所以也就不可能被墙DNS污染。你觉得在DoH取代DNS以后,这类墙内小众独立DNS服务器有无可能升级到在墙内提供未被污染的DoH查询结果(包含ESNI所需要使用的boostraping证书信息)?另外很好奇DoH服务器上的DNS数据是怎么和DNS根服务器同步的?如果也是通过HTTPS同步的话,那理论上我可以在墙内秘密设置只给我自己使用的DoH服务器,甚至就设在我自己的家用192.168.x.x内网上?
上面的别吵。没啥好吵的。

来回答我这种小白两个问题。

Ipv8时代十年内能否到来在大陆普及。


第二个问题。据说国内重要国企公司好多安装了专业网络设备监控。走的所有网络流量都记录在案。

未来是否可能每个家庭用户。至少重要小区,比如北京重要的小区。都安装监控专业网络。华为中兴造这种网络服务器监控。那是现在技术很成熟。
比如个人宽带猫。境内购买的都安装硬件级监控。把宽带猫安装成当年卫星锅盖一样用其他宽带猫违法。这种宽带猫芯片对大陆国产也是现在产量简单高端芯片造不出,这种低端网络控制监控芯片那是没问题的。
海康天网天眼街道摄像头系统前车之鉴。都安装起来了。


控制网络输入从服务器到宽带猫不是难事。


到时候随你啥翻墙技术。控制网络设备前都是白搭。

技术大神来思考下我第二个问题,共匪绝对会可能这么干。
大道至简。lz属于半吊子水平这个没有疑问的。不过lz的问题本身是个好问题,我简单翻译一下就是,随着未...

我觉得最大可能是强制用华为中兴宽带猫。再加网络监控服务器,控制输入源头。
ip as utility似乎是个好想法,虽然额外开销不低。
你的核心观点是“IP地址是明文,因此需要加密”吧?我个人认为互联网地址不需要加密(我无法给出足够深度的长篇大论)。 Tor确实建立了一套.onion域名到匿名地址的方案,这是该领域的成果,你应该去研究他们,而不是执着于你文章中的那些存在很多漏洞的解决方案。
你的核心观点是“IP地址是明文,因此需要加密”吧?我个人认为互联网地址不需要加密(我无法给出足够深度...


@难知如阴 我尊重、但是不赞同你的“个人认为互联网地址不需要加密”的意见。Tor的.onion域名的确匿名化了地址,但是其只在暗网上使用,缺乏明网的普适性。我文章里给出的解决方案的确漏洞百出,所以我才会说“抛砖引玉”,而并没有执着其中。
上面的别吵。没啥好吵的。来回答我这种小白两个问题。Ipv8时代十年内能否到来在大陆普及。第二个问题。...


请问华为中心宽带猫如何解密HTTPS流,难道这些宽带猫都是量子电脑不成?!
ip as utility似乎是个好想法,虽然额外开销不低。


多谢表扬。如果你可以在此基础上想出更好的方案,请尽管发表在本楼里。本楼本来就是希望抛砖引玉的。

要发言请先登录注册

要发言请先登录注册

发起人

小熊维尼

状态

  • 最新活动: 2020-06-16
  • 浏览: 6469