事情从 25.7.25 左右开始 境内 IPEL 专线(据称)遭遇了 ddos 本人受影响将近 1 周
但是事情好像仍在继续发展 这两天看到 dns 大量抽风 确实好像事情不简单
最近读过高墙关于基于 udp 的 quic 包裹 tcp…之类的无状态连接检测技术,下文几天前读过,今天看了一下更新了文章,披露了发送的邮件。
我认真读完了全文
1. 无连接 udp 基于 60s 时间窗口做检测序列识别首个包,高墙利用算力强行解 quic 包分析 sni 进行三元组 180s 封锁。
2. 检测上只检测高位端口向低位端口的连接,节省算力。
3. 手动 ttl 逐步加高,测得设备以旁路以及网关双方式(与高墙部署位置相同或者说集成在了高墙上)文中说第九跳
4. 问题:毕竟涉及到暴力解包,可以消耗高墙算力,另外三元组封锁由于 udp 可伪造源 IP 端口造成由境内到境外的单向大规模断网(三元组形式)。
5. 绕过方式:1 )保证每次 60s 窗口第一包为正常流量,卡时间窗口检测 bug ,2 )由地位端口向高位端口发包(适合自建的隧道,不适合 443 网页端)
https://高墙(自己换三个字母).report/publications/usenixsecurity25/zh/#comments
同时正在抽空读研究人员最新的文章:
2025 年 8 月 20 日高墙对 443 端口实施无条件封禁的分析
Leave a Reply Cancel reply