IRCF | اینترنت آزاد برای همه

#گزارش
کلودفلر زیر سایه‌ی تغییرات جدید فایروال فیلترینگ

بر اساس بررسی‌های ناکر (GFW-Knocker)، همه‌ی آیپی‌های عادی کلودفلر توی تغییرات جدید فایروال فیلترینگ وایت‌لیست شدن؛ یعنی فقط SNI سایت‌های معروف اجازه‌ی عبور دارن و بقیه‌ی سایت‌ها و دامنه‌های شخصی مسدود هستند؛ چه با فرگمنت، چه بدون فرگمنت. فیلتر باشند یا نباشند، اجازه عبور ندارند.

در پورت ۴۴۳، سایت‌های غیرمعروف کلاً بسته‌شدن و حتی دامنه‌ی شخصی‌ فیلترنشده هم مسدوده. تازه اگه یه سایت معروف رو هم با روش فرگمنت بفرستی، چون فایروال نمی‌تونه اسم دامنه رو درست ببینه، اونم مسدود میشه. خلاصه اینکه تا فایروال مطمئن نشه که دامنه، تو لیست مجازه، اتصال رو ادامه نمیده، حتی اگر مرورگر عادی و یک سایت عادی باشه.

در پورت ۸۰، پروتکل ws کامل بسته شده. اگر توی پکت کلمه‌ی websocket باشه، اونم فیلتر میشه. اگه دیتارو هم تکه‌تکه بفرستی، از پکت هفتم به بعد دیگه عبور نمی‌کنه.

خب، حالا باید چی کار کرد؟ جواب اصلی واضحه؛ آزادی ایران. ولی تا وقتی اون اتفاق نیفته، راه دیگه استفاده از انواع روش‌ها با رمزناشناختگیه؛ یعنی trickهایی که اگر عمومی مطرح بشن توسط فیلترچی مسدود میشن.

برای پورت ۸۰ کلودفلر، کانفیگ xhttp packet-up بدون TLS با دامنه‌ای که هنوز فیلتر نشده و fakeHost هم توی هسته مهسا روشن باشه، جواب میده. البته احتمال فیلترشدن دامنه وجود داره. و خبر خوب اینه که به‌زودی هسته‌ی مهسا آپدیت می‌شه تا این مدل کانفیگ با دامنه‌ی فیلترشده روی همه‌ی آیپی‌های کلودفلر کار کنه.

برای پورت ۴۴۳ کلودفلر، چون رنج‌های کلودفلر وایت‌لیست شدن، تقریبا تفاوتی با قطع ندارن و کار خاصی نمیشه کرد. البته یه‌سری گزینه هست مثل استفاده از اسکنرها، متد ECH، دستکاری ClientHello یا درخواست از مدیران کلودفلر برای فعال کردن Domain Fronting، ولی احتمال موفقیت کمه.

🔍 ircf.space
@ircfspace

❤403👍129😐52😢47😁7🔥6😱6🥴5👏3🗿2

www.tgoop.com/ircfspace/1293

43.9K viewsedited  Jul 8 at 20:35

#گزارش
کلودفلر زیر سایه‌ی تغییرات جدید فایروال فیلترینگ

بر اساس بررسی‌های ناکر (GFW-Knocker)، همه‌ی آیپی‌های عادی کلودفلر توی تغییرات جدید فایروال فیلترینگ وایت‌لیست شدن؛ یعنی فقط SNI سایت‌های معروف اجازه‌ی عبور دارن و بقیه‌ی سایت‌ها و دامنه‌های شخصی مسدود هستند؛ چه با فرگمنت، چه بدون فرگمنت. فیلتر باشند یا نباشند، اجازه عبور ندارند.

در پورت ۴۴۳، سایت‌های غیرمعروف کلاً بسته‌شدن و حتی دامنه‌ی شخصی‌ فیلترنشده هم مسدوده. تازه اگه یه سایت معروف رو هم با روش فرگمنت بفرستی، چون فایروال نمی‌تونه اسم دامنه رو درست ببینه، اونم مسدود میشه. خلاصه اینکه تا فایروال مطمئن نشه که دامنه، تو لیست مجازه، اتصال رو ادامه نمیده، حتی اگر مرورگر عادی و یک سایت عادی باشه.

در پورت ۸۰، پروتکل ws کامل بسته شده. اگر توی پکت کلمه‌ی websocket باشه، اونم فیلتر میشه. اگه دیتارو هم تکه‌تکه بفرستی، از پکت هفتم به بعد دیگه عبور نمی‌کنه.

خب، حالا باید چی کار کرد؟ جواب اصلی واضحه؛ آزادی ایران. ولی تا وقتی اون اتفاق نیفته، راه دیگه استفاده از انواع روش‌ها با رمزناشناختگیه؛ یعنی trickهایی که اگر عمومی مطرح بشن توسط فیلترچی مسدود میشن.

برای پورت ۸۰ کلودفلر، کانفیگ xhttp packet-up بدون TLS با دامنه‌ای که هنوز فیلتر نشده و fakeHost هم توی هسته مهسا روشن باشه، جواب میده. البته احتمال فیلترشدن دامنه وجود داره. و خبر خوب اینه که به‌زودی هسته‌ی مهسا آپدیت می‌شه تا این مدل کانفیگ با دامنه‌ی فیلترشده روی همه‌ی آیپی‌های کلودفلر کار کنه.

برای پورت ۴۴۳ کلودفلر، چون رنج‌های کلودفلر وایت‌لیست شدن، تقریبا تفاوتی با قطع ندارن و کار خاصی نمیشه کرد. البته یه‌سری گزینه هست مثل استفاده از اسکنرها، متد ECH، دستکاری ClientHello یا درخواست از مدیران کلودفلر برای فعال کردن Domain Fronting، ولی احتمال موفقیت کمه.

🔍 ircf.space
@ircfspace

BY IRCF | اینترنت آزاد برای همه