https://feige301.com/zh-cn/tags/sni-blocking/Recent content in SNI Blocking on 飞鸽跳转Hugozh-CNWed, 10 Dec 2025 17:22:58 +0800https://feige301.com/zh-cn/posts/2025/https-not-enough-sni-blocking-deep-dive-feige301.htmlWed, 10 Dec 2025 17:22:58 +0800https://feige301.com/zh-cn/posts/2025/https-not-enough-sni-blocking-deep-dive-feige301.html<h3 id="前言安全连接的迷思与现实挑战"> 前言：安全连接的迷思与现实挑战 <a class="anchor" href="#%e5%89%8d%e8%a8%80%e5%ae%89%e5%85%a8%e8%bf%9e%e6%8e%a5%e7%9a%84%e8%bf%b7%e6%80%9d%e4%b8%8e%e7%8e%b0%e5%ae%9e%e6%8c%91%e6%88%98">#</a> </h3> <p>在互联网世界中，HTTPS协议早已成为保障数据传输安全与用户隐私的基石，日常生活中也随处可见各种https协议访问的网址。我们普遍认为，一旦网站启用了HTTPS，客户端与服务器之间的所有通信都将加密，从而免受窃听和篡改。这就像是为数据建立了一条秘密隧道，旁人无法窥探其中流淌的信息。然而，作为一名拥有15年经验的高级网络安全工程师，我必须指出，即使是HTTPS，也并非万无一失。在某些特定的网络环境下，一种名为“SNI阻断”的技术，能够巧妙地绕过HTTPS的加密屏障，在连接建立的初期阶段就对流量进行识别和干预，从而导致服务中断。</p> <p>这对于依赖网络连通性提供服务的网站管理员、运维人员和开发人员来说，无疑是一个令人困惑的痛点。你可能已经投入了大量资源确保网站的HTTPS配置正确无误，但用户报告却显示，在特定网络区域或由某地区运营商提供的网络环境中，网站访问出现了异常，有时是连接超时，有时是页面无法加载。这并非你的HTTPS证书配置错误，也不是服务器宕机，而是更深层次的网络协议机制被利用。</p> <p>那么，这种“SNI阻断”技术究竟是如何工作的？它为何能“看穿”HTTPS的保护，并在连接尚未完全加密时就实施干预？本文将深入浅出地剖析SNI阻断的原理，并结合一起真实的互联网事件，揭示其对网站连通性造成的深远影响，最终探讨有效的应对策略。</p> <h3 id="https的基石tls协议与sni的诞生"> HTTPS的基石：TLS协议与SNI的诞生 <a class="anchor" href="#https%e7%9a%84%e5%9f%ba%e7%9f%b3tls%e5%8d%8f%e8%ae%ae%e4%b8%8esni%e7%9a%84%e8%af%9e%e7%94%9f">#</a> </h3> <p>要理解SNI阻断，我们首先需要回顾HTTPS协议的核心——TLS（Transport Layer Security）协议。TLS协议是负责在客户端和服务器之间建立安全通道的关键。当你的浏览器（客户端）尝试访问一个HTTPS网站时，它会与网站服务器进行一系列的“握手”操作，以协商加密算法、交换密钥并验证服务器身份。</p> <p><strong>TLS握手过程（简化版）：</strong></p> <ol> <li><strong>Client Hello (客户端问候):</strong> 客户端向服务器发送一个消息，包含其支持的TLS版本、加密套件列表、随机数等信息。</li> <li><strong>Server Hello (服务器问候):</strong> 服务器回应，选择一个TLS版本和加密套件，并发送自己的随机数。</li> <li><strong>Certificate (证书):</strong> 服务器发送其数字证书，其中包含服务器的公钥和身份信息。客户端会验证这个证书的合法性。</li> <li><strong>Client Key Exchange (客户端密钥交换):</strong> 客户端生成一个预主密钥，用服务器的公钥加密后发送给服务器。</li> <li><strong>Change Cipher Spec &amp; Finished (改变加密规范与完成):</strong> 双方通知对方，接下来的通信将使用协商好的加密算法和密钥。</li> <li><strong>Application Data (应用数据):</strong> 握手完成后，所有应用层数据（例如HTTP请求和响应）都将加密传输。</li> </ol> <p><strong>SNI（Server Name Indication）的出现：</strong></p> <p>在TLS协议的早期版本中，客户端在发起TLS握手时，并不会明确告知服务器它想要访问的是哪个域名。这在过去并不是问题，因为一台服务器通常只托管一个网站，或者一个IP地址只对应一个域名。然而，随着虚拟主机技术的发展，一台服务器（甚至一个IP地址）上托管多个域名变得越来越普遍。</p> <p>想象一下：你给一个邮政编码寄信，但收件人地址只写了“张三”，而这个邮政编码里有好几栋楼，每栋楼里都有一个叫“张三”的人。邮递员就不知道该把信送到哪个“张三”手里了。</p> <p>同样地，当客户端连接到一个IP地址时，如果这个IP地址背后有多台服务器或多个虚拟主机，并且它们都提供了HTTPS服务（即都有自己的数字证书），服务器就不知道该向客户端提供哪个域名的证书了。如果它随意发送一个证书，可能与客户端想要访问的域名不匹配，导致验证失败。</p> <p>为了解决这个问题，SNI（Server Name Indication，服务器名称指示）扩展应运而生，并被纳入TLS协议。通过SNI，客户端在“Client Hello”消息中，会<strong>明文</strong>地包含它希望连接的<strong>主机名（域名）</strong>。这样，即使多个HTTPS网站共享同一个IP地址，服务器也能根据SNI信息识别出客户端想要访问的具体网站，并返回正确的证书。</p> <p><strong>关键点：SNI信息在TLS握手阶段是明文传输的。</strong> 这一点，正是SNI阻断技术能够奏效的关键所在。</p> <h3 id="sni阻断技术中间设备的透视眼"> SNI阻断技术：中间设备的“透视眼” <a class="anchor" href="#sni%e9%98%bb%e6%96%ad%e6%8a%80%e6%9c%af%e4%b8%ad%e9%97%b4%e8%ae%be%e5%a4%87%e7%9a%84%e9%80%8f%e8%a7%86%e7%9c%bc">#</a> </h3> <p>理解了SNI的原理，我们就能明白SNI阻断技术是如何利用这一机制的。</p> <p><strong>SNI阻断的原理：</strong></p> <p>当客户端发起TLS握手，并在Client Hello消息中发送明文的SNI信息时，网络路径上的任何<strong>中间设备</strong>（例如：<strong>流量网关</strong>、<strong>DPI（深度包检测）设备</strong>）都有机会截获并解析这个信息。这些设备可以像一个“透视眼”一样，在数据包尚未被完全加密之前，清楚地看到客户端正在尝试连接的特定域名。</p> <p>如果这些中间设备被配置为识别并干预某些特定的域名，它们就可以在发现匹配的SNI信息时，立即采取行动，中断连接。</p> <p><strong>SNI阻断的常见实现方式：</strong></p> <ol> <li><strong>TCP Reset (TCP复位):</strong> 这是最常见也是最直接的阻断方式。当中间设备识别到被列入黑名单的SNI域名时，它会向客户端和服务器同时发送伪造的TCP RST（Reset）包。TCP RST包会强制终止当前的TCP连接，导致客户端收到“连接被重置”的错误，无法完成TLS握手。 <ul> <li><strong>比喻：</strong> 就像你在电话里刚报出对方的名字（SNI），还没来得及说正事，电话线就被一股神秘力量切断了。</li> </ul> </li> <li><strong>IP地址黑洞化 (IP Blackholing):</strong> 在某些情况下，中间设备可能不会直接发送TCP RST，而是将被识别的域名解析到的IP地址直接路由到“黑洞”，即丢弃所有发往该IP地址的流量。这会导致客户端的连接请求得不到任何回应，最终超时。</li> <li><strong>DNS污染 (DNS Poisoning):</strong> 虽然不是直接的SNI阻断，但DNS污染往往是配合使用的手段。通过返回错误的IP地址，使得客户端无法连接到真正的服务器。但即使客户端绕过了DNS污染获得了正确的IP，SNI阻断仍可能在TLS握手阶段生效。</li> <li><strong>证书注入/伪造 (Certificate Injection/Forgery):</strong> 少数更高级的阻断方式可能涉及中间设备伪造目标网站的证书，进行中间人攻击。但这通常需要更复杂的部署和配置，且容易被客户端检测到。SNI阻断则更为“轻量级”和普遍。</li> </ol> <p><strong>后果：</strong></p>