thảo luận Tất tần tật về dịch vụ nextDNS

The Deepest Sea said:
giúp em download hình 500px trên điện thoại với thím
yBBewst.png
Click to expand...
thùy linh đâu nói khơi khơi vậy sao biết đc :(
 
The Deepest Sea said:
vl 1 phát ăn luôn, đội ơn mod, em đang dùng Kiwi
ME1tJB0.png
Click to expand...
thread này có đủ hết mấy script đó r mà vào đây mà xem :v

download - Tổng hợp các Userscripts

Trước khi dùng userscript thì phải cài extension trên trình duyệt để dùng được userscript. Chrome: Violentmonkey , Tampermonkey beta Edge: Violentmonkey , Tampermonkey beta Firefox: Violentmonkey , Tampermonkey Safari: Userscripts Lưu ý: Tampermonkey không tương thích với nhiều script nếu dùng...
voz.vn voz.vn
 
HIL said:
Mình lấn cấn chỗ này.

Tình huống:
  • nhà mạng FPT
  • trình duyệt bật ECH
Với các gói tin (packet) Client Hello có SNI=medium.com thì nhận được response với flag RST (= Reset = Connection Reset) => không truy cập được medium.com.

Với các gói tin Client Hello tới những server có hỗ trợ TLS 1.3 mà không bị FPT chặn, chẳng hạn như voz.vn, dns.nextdns.io, profile.accounts.firefox.com, thì TLS handshake diễn ra bình thường.

Theo như hình dưới Wireshark capture
View attachment 2416846
ta có thể thấy phía sau 2 packets RSTs màu đỏ, thì ở packet số 87, medium.com vẫn ACK request Client Hello (số 76) như bình thường.

Vậy ta có thể đoán FPT đang chơi xấu bằng cách inject RST cho phía client, để quá trình handshake thất bại?

Họ dựa vào dấu hiệu nhận biết nào để inject RST với một số domain nhất định? IPs?
Click to expand...
Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại. FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH. Còn Viettel (mình đang xài) thì chỉ cần tắt IPv6 là truy cập được các trang bị nhà mạng chặn bằng DPI.
 
nhutthanh22 said:
Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại. FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH. Còn Viettel (mình đang xài) thì chỉ cần tắt IPv6 là truy cập được các trang bị nhà mạng chặn bằng DPI.
Click to expand...
chú tư dùng ECH cũng ko vượt đc chủ tịch, IPv6 auto tắt.
vẫn phải dùng goodbyeDPI
 
Yellows said:
chú tư dùng ECH cũng ko vượt đc chủ tịch, IPv6 auto tắt.
vẫn phải dùng goodbyeDPI
Click to expand...
Hmm.. có khi nào viettel cũng chặn giống 2 nhà mạng kia k nhỉ? Hiện tại mình tắt ipv6 trình duyệt là vào được, mở lên thì k truy cập được thôi!
 
Điều kiện cần và đủ để đảm bảo bất cứ ai trên đường truyền (kể cả nhà mạng) cũng không biết được mình đang TLS handshake với host name nào:
  • ECH cần bật ở phía client (trình duyệt)
  • Server mà host website hỗ trợ TLS 1.3 và ECH extension
Vài ví dụ server có hỗ trợ ECH:
  1. Khi truy cập vào trang test ECH của defo.ie, quan sát trong Wireshark sẽ thấy SNI = cover.defo.ie. Đây là SNI bọc bên ngoài (outer SNI). Còn SNI (host name) thật mà mình đang truy cập là defo.ie được mã hoá bên trong extension encrypted_client_hello. (Xem thêm hình minh hoạ.)
  2. Khi truy cập vào trang test ECH của Cloudflare, SNI = cloudflare-ech.com. Host name mình đang truy cập là crypto.cloudflare.com. Hai host name khác nhau đúng không?
  3. Khi truy cập vào một trang test ECH khác của Cloudflare, SNI = cloudflare-ech.com. Tuy nhiên, host name thực tế là encryptedsni.com.

HIL said:
Họ dựa vào dấu hiệu nhận biết nào để inject RST với một số domain nhất định? IPs?
Click to expand...
Khi truy cập vào medium.com (với nhà mạng không chặn Medium), ta thấy server Medium có hỗ trợ TLS 1.3 và extension encrypted_client_hello trong Client Hello packet. Tuy nhiên, SNI = medium.com. FPT chặn theo plain SNI này? Nếu Medium đổi SNI này thành một giá trị khác, ví dụ như example.com thì FPT có còn chặn được nữa hay không? Mình chưa (đủ kiến thức để) kiểm chứng giả thiết này.

nhutthanh22 said:
Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại.
Click to expand...
Cloudflare có một thời gian đã triển khai ECH mặc định cho tất cả khách hàng ở free zone. Với khách hàng trả phí thì ECH là opt-in feature.[1] Tuy nhiên, chỉ sau khoảng 2 tuần, họ đã tắt tính năng này, chưa biết bao giờ bật lại, và cũng không có ETA.[2]

Nếu ECH được chuẩn hoá[3] và áp dụng rộng rãi thì nó sẽ đặt ra một bài toán khó cho nhà mạng trong việc chặn một vài tên miền nhất định. TLS 1.3 có độ bảo mật cao hơn TLS 1.2. Chặn hoàn toàn TLS 1.3, tức là bỏ (một chút?) bảo mật để đổi lấy quyền kiểm duyệt nội dung? Hay chơi bài bẩn bựa như cách GFW của Trung Quốc chặn kết nối sử dụng TLS 1.3 + Encrypted SNI trong quá khứ đây[4]?

nhutthanh22 said:
FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH.
Click to expand...
Có thể FPT đã từng chặn TLS 1.3 như mod nói. Hoặc mod sai, điều đó là chuyện bình thường.

[1] Encrypted Client Hello - the last puzzle piece to privacy (https://blog.cloudflare.com/announcing-encrypted-client-hello/)
[2] https://community.cloudflare.com/t/...lo-ech-are-currently-disabled-globally/567730
[3] ECH hiện mới draft v18 TLS Encrypted Client Hello (https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-18)
[4] Exposing and Circumventing China's Censorship of ESNI (https://gfw.report/blog/gfw_esni_blocking/en/)

1712140815698.png
 
Last edited:
Các bác cho em hỏi trong setting f606 của modem nhà em toàn có như vầy không có dynu, e thử cái gần giống tên nhất là dyndns, đổi server thành api.dynu.com nhưng cũng chả được thì làm thế nào ạ, xài no ip thì được nhưng mà 30 ngày bắt đk lại cũng bất tiện
Screenshot_2024-04-03-22-17-22-002_com.opera.browser.jpg
 
nguyenhungphong said:
Các bác cho em hỏi trong setting f606 của modem nhà em toàn có như vầy không có dynu, e thử cái gần giống tên nhất là dyndns, đổi server thành api.dynu.com nhưng cũng chả được thì làm thế nào ạ, xài no ip thì được nhưng mà 30 ngày bắt đk lại cũng bất tiệnView attachment 2420670
Click to expand...
xài modem draytek thì phong phú, dns draytek free hay dynu đầy đủ chứ xài mấy modem này thì chấp nhận thôi bạn à, mình cũng đang xài no-ip 30 ngày confirm 1 lần đây
 
kakavt said:
xài modem draytek thì phong phú, dns draytek free hay dynu đầy đủ chứ xài mấy modem này thì chấp nhận thôi bạn à, mình cũng đang xài no-ip 30 ngày confirm 1 lần đây
Click to expand...
Modem heo quay 7 chữ cũng đủ các ddns mà

1712196192931.png
 
HIL said:
Điều kiện cần và đủ để đảm bảo bất cứ ai trên đường truyền (kể cả nhà mạng) cũng không biết được mình đang TLS handshake với host name nào:
  • ECH cần bật ở phía client (trình duyệt)
  • Server mà host website hỗ trợ TLS 1.3 và ECH extension
Vài ví dụ server có hỗ trợ ECH:
  1. Khi truy cập vào trang test ECH của defo.ie, quan sát trong Wireshark sẽ thấy SNI = cover.defo.ie. Đây là SNI bọc bên ngoài (outer SNI). Còn SNI (host name) thật mà mình đang truy cập là defo.ie được mã hoá bên trong extension encrypted_client_hello. (Xem thêm hình minh hoạ.)
  2. Khi truy cập vào trang test ECH của Cloudflare, SNI = cloudflare-ech.com. Host name mình đang truy cập là crypto.cloudflare.com. Hai host name khác nhau đúng không?
  3. Khi truy cập vào một trang test ECH khác của Cloudflare, SNI = cloudflare-ech.com. Tuy nhiên, host name thực tế là encryptedsni.com.


Khi truy cập vào medium.com (với nhà mạng không chặn Medium), ta thấy server Medium có hỗ trợ TLS 1.3 và extension encrypted_client_hello trong Client Hello packet. Tuy nhiên, SNI = medium.com. FPT chặn theo plain SNI này? Nếu Medium đổi SNI này thành một giá trị khác, ví dụ như example.com thì FPT có còn chặn được nữa hay không? Mình chưa (đủ kiến thức để) kiểm chứng giả thiết này.


Cloudflare có một thời gian đã triển khai ECH mặc định cho tất cả khách hàng ở free zone. Với khách hàng trả phí thì ECH là opt-in feature.[1] Tuy nhiên, chỉ sau khoảng 2 tuần, họ đã tắt tính năng này, chưa biết bao giờ bật lại, và cũng không có ETA.[2]

Nếu ECH được chuẩn hoá[3] và áp dụng rộng rãi thì nó sẽ đặt ra một bài toán khó cho nhà mạng trong việc chặn một vài tên miền nhất định. TLS 1.3 có độ bảo mật cao hơn TLS 1.2. Chặn hoàn toàn TLS 1.3, tức là bỏ (một chút?) bảo mật để đổi lấy quyền kiểm duyệt nội dung? Hay chơi bài bẩn bựa như cách GFW của Trung Quốc chặn kết nối sử dụng TLS 1.3 + Encrypted SNI trong quá khứ đây[4]?


Có thể FPT đã từng chặn TLS 1.3 như mod nói. Hoặc mod sai, điều đó là chuyện bình thường.

[1] Encrypted Client Hello - the last puzzle piece to privacy (https://blog.cloudflare.com/announcing-encrypted-client-hello/)
[2] https://community.cloudflare.com/t/...lo-ech-are-currently-disabled-globally/567730
[3] ECH hiện mới draft v18 TLS Encrypted Client Hello (https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-18)
[4] Exposing and Circumventing China's Censorship of ESNI (https://gfw.report/blog/gfw_esni_blocking/en/)

View attachment 2420206
Click to expand...
Thanks thông tin của thím! Cái ECH vẫn còn "nháp" nên các trình duyệt kích hoạt trước, sau khi hoàn thiện server chỉ cần kích hoạt lên là quá trình bắt tay diễn ra ổn định hơn. Giờ giống như user đang sử dụng thử nghiệm đại trà, để dev kiểm thử hệ thống và cập nhật sửa lỗi.
Yellows said:
mấy nay nextdns toàn cho đi Sì Gòn chủ tịch ơi.
View attachment 2420440
Click to expand...
Do máy chủ DNS quản lý nhận dãy IP của thím sai vị trí đó, khởi động lại modem để nhận dãy IP rồi kiểm tra lại nha.
nguyenhungphong said:
Các bác cho em hỏi trong setting f606 của modem nhà em toàn có như vầy không có dynu, e thử cái gần giống tên nhất là dyndns, đổi server thành api.dynu.com nhưng cũng chả được thì làm thế nào ạ, xài no ip thì được nhưng mà 30 ngày bắt đk lại cũng bất tiệnView attachment 2420670
Click to expand...
Có no-ip xài cái này cũng được, nhược điểm là 30 ngày dịch vụ gửi mail kêu kích hoạt 1 lần. Có hướng dẫn ở đây NextDNS (https://github.com/bigdargon/hostsVN/wiki/NextDNS#link-ip)
kakavt said:
ngon hỷ, cái VNPT chỉ có mấy cái noip, dyndns, ...
Click to expand...
Trông mong gì mấy modem nhà mạng giờ thím, hãy bridge rồi mua router ngoài quay pppoe xài cho thỏa cơn vọc vạch :big_smile:
 
Em hỏi chút, ACC nextđns sắp hết hạn năm trước mua 199try (thổ) năm nay thấy nó báo 499try. Có cách nào mua giá rẻ để gia hạn không các bác
 

Similar threads

nguyenhungphong
kiến thức Hướng dẫn dùng chung NextDNS với 4g VPN (bug 4G) cho Android
2 3 4
Replies
68
Views
4K
itisme
itisme
hoanganh.pro
kiến thức Hướng dẫn Chuyển Ảnh Trên Màn Hình thành Văn Bản Siêu Nhanh với Capture2Text (OCR)
Replies
17
Views
1K
LHA_lengend
LHA_lengend
megaupload
thảo luận ⚡[MỚI] Hướng dẫn cách cài app Egern để hack 4G cho iOS 🌀
Replies
8
Views
477
nhunaylasao
nhunaylasao
thuanthien59
thắc mắc thắt mắt về redmi pad se
2
Replies
21
Views
703
kjangg
kjangg
lucifer_9
thắc mắc Nhờ tư vấn về đưa IP server game online bằng DrayDDNS
Replies
2
Views
270
nguyentuananh20061997
N

Share this page

Back
Top