瓦工机场推出香港IPLC线路

3月27日,瓦工的机场 JustMysocks 推出了香港 IPLC 线路。并且伴随着一个很有诚意的价格,月付15美元。在上架后不久就销售一空。

Just My Socks 推出的新线路 IPLC HK

新的产品有100GB每月的流量,100MB共享带宽,可以同时在3个设备上使用。

这个价格相较于现有的香港 CN2-GIA 线路月付34.99美元的价格可谓有着极高的性价比。这也印证了电信 CN2-GIA 成本远高于 IPLC 的传闻。IPLC即为国际私用出租线路,此类线路出境不需要通过 GFW 因此不会被“墙”,不过IPLC入口处会有审计,目前不清楚瓦工到达使用了哪一个商家的入口。

去年,电信大幅度削减了 CN2-GIA 线路的审批,使得该线路的成本大幅提升。

OVH 位于斯特拉斯堡的机房发生火灾

法国著名云计算公司 OVHcloud 在数小时前发布消息,宣称位于法国斯特拉斯堡的 SBG2 机房发生了大火。

虽然消防人员立即进行了干预,但无法控制火势。作为预防措施,机房切断了大楼的电力,因此SBG1,SBG2,SBG3和SBG4的所有服务被迫中止。

OVH 首席技术官发帖称火灾中没有人员伤亡,大火摧毁了SBG2的全部设施以及SBG1的一部分,SBG3面临威胁,但据信SBG4机房是安全的。

OVH 是一家以独服见长的服务商,此次灾难将会给大量用户带来巨大损失。

OVH 机房火灾现场照片

15:09更新:OVH的首席技术官说大火已被扑灭,由于消防员还在作业,无法进入现场,因此还不能恢复服务。

3.11更新:OVH CTO 说这在过去22年中是最为糟糕的一天,表示将会恢复SBG1/3/4 机房。SBG2可能已在大火中彻底化为灰烬。

GFW 疑似阻断境内向外中转流量

随着两会召开,防火长城的大规模封锁也如约而至。从4号早晨起屏蔽逐步展开。

与以往只封境外IP不同的是,在此次封锁中 GFW 还会阻断境内向外的连接。据推测,由于中转机器流量具备高度的对称特征,防火墙可以因此轻易识别这些中转节点并封锁它们。

有多个从事相关业务的商家声称由于中转服务器被禁止境外连接而停止了服务。由于防火墙采用流量分析模型,因此在这种状况下无论采用何种协议都是无效的。

Shadowsocks AEAD 加密漏洞及防重放机制所带来的潜在危险

最近2天,有一名开发者 rprx 在GitHub上提出了一个此前在 Shadowsocks 相关项目中被忽视的问题,而经过众多开发者讨论后认为该漏洞具备较为严重的威胁。

该漏洞出现在 Shadowsocks AEAD 加密方式设计上,现有的方式无法验证返回数据的可靠性。在不需要密码的情况下,中间人可以随意对客户端接收的数据进行移花接木或重放,比如对调两条 TCP 连接所返回的数据。

此后该开发者还发现SS和VMess等工具还存在可被利用防重放机制进行流量阻断的漏洞,中间人(比如防火墙)可以在真实内容到达前抢先发送一条至少包含32个字节的信息即可让真实信息被丢弃。

防火墙可以根据三项特征:未知流量、0-RTT、有重放过滤器即可精准定位。

该漏洞可以被防火长城所利用,从而高效地阻断可疑流量而无需封锁IP地址。

分析认为该漏洞可能在特定极端的情况下被利用,但考虑到有较高的误杀率,它并不是一个完美的解决方案。

SS相关分支项目的开发者正在研究升级方案以修复这两个漏洞。

参考资料

利用防重放机制自动对 Shadowsocks、VMess 等未知流量代理进行“隐蔽式拒绝服务攻击”

Shadowsocks AEAD 加密方式设计存在严重漏洞,无法保证通信内容的可靠性