gscan_quic icon indicating copy to clipboard operation
gscan_quic copied to clipboard

Published 20 hours ago verified publisher icon Kisesy

关于sni的疑惑

Open fredericky123 opened this issue 7 years ago • 39 comments

之前,就一直在观望sni,感谢K大让gscan支持sni!

  • 以前讨论中看到gp在选择sni的时候只是随机选取一个,所以加入配置文件的sni并不代表越多越好吧?加入质量差的sni,随机选中的时候,岂不是降低了访问速度?

  • 大家在哪里选择sni的库,我用的是https://www.bamsoftware.com/computers/sniproxy/#goproxy 的sni库,按照gsan默认配置,轻轻松松扫出200sni,这么给力让我很慌啊,难不成把200sni都加进去?还是有更好的精选方式?

fredericky123 avatar Dec 13 '17 03:12 fredericky123

默认配置是不准的,默认是只简单测试连接,测得再多再快,没经过http验证,都是没实际用处的 我在新更新的配置说明里也简单说明了一下,而且现在的代码也不完善,所以现在只能把 lv 调大

Kisesy avatar Dec 13 '17 03:12 Kisesy

这个列表我这里能扫出 400+ 经过验证的。

SeaHOH avatar Dec 13 '17 03:12 SeaHOH

那我把lv改为2,再缩短延迟时间试试

fredericky123 avatar Dec 13 '17 03:12 fredericky123

还是那个库,只是将lv=2,之前轻松200就变成只扫出2个了。看来还真是

fredericky123 avatar Dec 13 '17 03:12 fredericky123

我测了一下,只扫出来了 9 个,不应该这么少... 我把 ServerName 里的 "bing.com" 改成了 "www.bing.com" 结果多了不少,出来 78 个 看来 bing.com 重定向了。。又犯了这个错误,得改个不重定向的

Kisesy avatar Dec 13 '17 04:12 Kisesy

哇 感谢K大 几十个觉得挺不错了

fredericky123 avatar Dec 13 '17 05:12 fredericky123

yahoo.com 应该可以

jasonliul avatar Dec 13 '17 05:12 jasonliul

我就是测的 www.bing.com,输出 IP、证书和状态码,然后用正式表达式手工挑选。 20 天前测的。

SeaHOH avatar Dec 13 '17 05:12 SeaHOH

@Kisesy 扫出的ip不可靠,不管是单测www.bing.com还是www.google.com.sg或者是配合测www.bing.com、yahoo.com扫出来的ip容易出现下列结果: image image

wpyok500 avatar Dec 14 '17 00:12 wpyok500

@wpyok500 我配置里说了,里面写单个网址是不准的,而且也不要写 google 的域名,还有就是 yahoo.com 会重定向到 www.yahoo.com

sni 现在还没写证书验证,肯定准不到哪里去,你可以把 IP,配置,还有你怎么用的SNI之类的详细信息,都发到我邮箱里

或者你可以自己筛出那些不能用的IP,只发那些IP也行

Kisesy avatar Dec 14 '17 03:12 Kisesy

@wpyok500 居然没出现证书错误,浏览器配置是否有问题?

难道不是 hosts 方式?

SeaHOH avatar Dec 14 '17 03:12 SeaHOH

唉,其实验证代码我都写好了,只是注释掉了...

Kisesy avatar Dec 14 '17 04:12 Kisesy

按照我的经验,扫 SNI 必须要验证,但不一定是证书。如果不验证的话,会误判,例如反代这种。这也是为什么我要自己撸一个的根本原因。

我的方法:协议层(tls),发一个 servername 过去,再检查返回的是不是这个 servername ,如果是就是 SNI 。很简单的,直接在协议(tls 协商)阶段全部搞定。(目前还没有发现这种方法有什么问题)

根据个人使用 sniproxy 的经验,相比延时,sniproxy 带宽更重要,后面我打算加个测速。

MeABc avatar Dec 14 '17 05:12 MeABc

@Kisesy 主任,你好!其实大大不必过于鞭策自己,为主任的默默奉献精神点赞!借此宝地向@jasonliul 大 @SeaHOH 大,@blob2015大,@MeABc 大,@phuslu大,以及其它大大们的辛劳付出致敬!谢谢! 期待主任能把验证证书代码健全,感谢付出。主任能留个邮箱,发些信息给你。

siaqib avatar Dec 14 '17 06:12 siaqib

我是多个 IP 同时用,不太在乎带宽,带宽不足时延迟自然变大,然后就跳到另一个更快的 IP。

SeaHOH avatar Dec 14 '17 06:12 SeaHOH

如果是在协议层(tls 协议)处理的话,可以直接无视重定向(http 协议)问题。

MeABc avatar Dec 14 '17 06:12 MeABc

@MeABc 嗯,现在就是这样的验证,所以可以改验证等级,不想 http 测试就不测试

Kisesy avatar Dec 14 '17 06:12 Kisesy

@SeaHOH 嗯,我个人实际上也不太在意带宽这个。但,测速装X很有用的。。。 :trollface:

MeABc avatar Dec 14 '17 06:12 MeABc

所以可以改验证等级,不想 http 测试就不测试

要不你默认改成不测 HTTP 的吧,不然 issues 区要沦陷了。。。

MeABc avatar Dec 14 '17 06:12 MeABc

还好吧,我测了一下,比我上次测的还多

Kisesy avatar Dec 14 '17 06:12 Kisesy

我改一下

Kisesy avatar Dec 14 '17 06:12 Kisesy

@MeABc 淫贱~

jasonliul avatar Dec 14 '17 06:12 jasonliul

好了,编译完成了

Kisesy avatar Dec 14 '17 06:12 Kisesy

@Kisesy 新版试过,点赞!主任我发了一份高速PHP代理到你的邮箱,请确认一下。收到请回复,希望有用。

siaqib avatar Dec 14 '17 11:12 siaqib

@siaqib 多谢老兄,我会记着的 :v:

Kisesy avatar Dec 14 '17 11:12 Kisesy

@Kisesy 不用谢! 缘分。

siaqib avatar Dec 14 '17 12:12 siaqib

@jasonliul J大,借地方问一下关于sni的问题,stunnel是不是无法使用sni?测试了几个openshift的sni好像都不行。

kirbyzhu avatar Dec 14 '17 15:12 kirbyzhu

不能, 用miniproxy最简单, 也可以是squid+https

jasonliul avatar Dec 14 '17 15:12 jasonliul

stunnel 没必要中转,直接连服务端不就行了?

SeaHOH avatar Dec 14 '17 15:12 SeaHOH

@SeaHOH 直连速度上不去诶 在openshift上部署的tinyproxy+nghttpx是我手头最好用的stunnel服务端了 但是会受到openshift自身的限制。

kirbyzhu avatar Dec 15 '17 01:12 kirbyzhu