为 hath.network 域名使用域前置

[UjuiUjuMandan]

需求 / Requirement

如标题所言。

建议实现 / Suggested implements

和其他域名一样。

备注 / Addition details

这个问题是在EhViewerTelegram群被提出的，一位群友表示他所在的地区访问 http://hath.network 会跳转到江苏反诈页面，而访问 HTTPS 版本就会直接被重置连接。这个策略很可能在未来几个月内向全国推广开。到时必须对 hath.network 域名也做一些SNI方面的修改才能直连。

EhViewer 版本号 / EhViewer version code

未知

EhViewer CI 版本 / EhViewer CI Version

未知

自查步骤 / Verify steps

• 如果您有足够的时间和能力，并愿意为此提交 PR ，请勾上此复选框 / Pull request is welcome. Check this if you want to start a pull request
• 您已仔细查看并知情 Q&A 中的内容 / You have checked Q&A carefully
• 您已搜索过 Issue Tracker，没有找到类似内容 / I have searched on Issue Tracker, No duplicate or related open issue has been found
• 您确保这个 Issue 只提及一个功能。如果您有多个功能请求，烦请发起多个 Issue / Ensure there is only one feature request in this issue. Please make mutiply issue for mutiply feature request
• 您确保已使用最新 CI 版本测试，并且该功能在最新 CI 版本中并未按照预期实现 / This feature don't implement correctly in latest CI version

[UjuiUjuMandan]

相关报告页面: https://archive.is/edkI8 ，南加的帖子，尽管在这里面他说的不是很清楚。

---

还有一个。

我一直用的反代，3月初我就发现e站的图源被反诈劫持了，至今没找到用梯子外的解决方案，来这里蹲一个

[skymkmk]

这怎么使用

hath.network 是 h@h 分布式志愿项目，全靠全球志愿者提供 CDN。如果该域名没有 DNS 污染还好，有的话那就根本没法写 host。

SNI 前提是这个 IP 没进黑名单，既然都做到屏蔽这一步了那我觉得 DNS 污染也不会少，我对域前置的未来感到悲哀，或许是时候将这个功能扫进历史的记忆里了。

[UjuiUjuMandan]

hath.network 是 h@h 分布式志愿项目，全靠全球志愿者提供 CDN。如果该域名没有 DNS 污染还好，有的话那就根本没法写 host。

SNI 前提是这个 IP 没进黑名单，既然都做到屏蔽这一步了那我觉得 DNS 污染也不会少。

正是因为是志愿者提供的，所以GFW很难把所有IP列进黑名单。对于DNS污染可以把之前的DoH加回来，国内有不少公共服务器可以用的（当然别用研究性质的TUNA）。

我对域前置的未来感到悲哀，或许是时候将这个功能扫进历史的记忆里了。

这可不是一件小事，你猜中国大陆的H@H流量有多少是来自直连客户端的？

[asuka-mio]

hath.network 是 h@h 分布式志愿项目，全靠全球志愿者提供 CDN。如果该域名没有 DNS 污染还好，有的话那就根本没法写 host。

SNI 前提是这个 IP 没进黑名单，既然都做到屏蔽这一步了那我觉得 DNS 污染也不会少。

正是因为是志愿者提供的，所以GFW很难把所有IP列进黑名单。对于DNS污染可以把之前的DoH加回来，国内有不少公共服务器可以用的（当然别用研究性质的TUNA）。

我对域前置的未来感到悲哀，或许是时候将这个功能扫进历史的记忆里了。

这可不是一件小事，你猜中国大陆的H@H流量有多少是来自直连客户端的？

TUNA草(

[asuka-mio]

到时候留个空让用户自己填doh吧

[skymkmk]

hath.network 是 h@h 分布式志愿项目，全靠全球志愿者提供 CDN。如果该域名没有 DNS 污染还好，有的话那就根本没法写 host。

SNI 前提是这个 IP 没进黑名单，既然都做到屏蔽这一步了那我觉得 DNS 污染也不会少。

正是因为是志愿者提供的，所以GFW很难把所有IP列进黑名单。对于DNS污染可以把之前的DoH加回来，国内有不少公共服务器可以用的（当然别用研究性质的TUNA）。

我对域前置的未来感到悲哀，或许是时候将这个功能扫进历史的记忆里了。

这可不是一件小事，你猜中国大陆的H@H流量有多少是来自直连客户端的？

当然不是小事，大菠萝都说了 H@H 提供量最大的是中国大陆

但是如果未来真下狠手，大陆的 H@H 机子数量很有可能大幅度下滑

我觉得确实可以把 DoH 加回来，这是个不错的选项

就是国内的 DoH 别自己投毒

[yinzhefuyun]

DoH，我想起了清华DoH绑架牛子事件(我知道这个是一个误会，只不过体量太大了)

[skymkmk]

DoH，我想起了清华DoH绑架牛子事件(我知道这个是一个误会，只不过体量太大了)

tuna/collection#190

[skymkmk]

查了一下，DNSPod和阿里的DoH结果都是污染的

DoH也没啥用了其实

引用狗狗一句话

大厂的没法用 个人的吃不消 国外的也没啥用

[UjuiUjuMandan]

@skymkmk 国内的当然污染，有的故意把上游搞成不加密UDP还觉得这是配合合法合规呢。

GFW现在对DoH的检测方法应该是是探测 https://SNI/dns-query 。见 net4people/bbs#68 。

但是没有SNI用纯IP连接的现在还没有被探测。比如我现在用的：

nameserver = [
	    "https://185.222.222.222/dns-query",
	    "https://45.11.45.11/dns-query",

	    "https://9.9.9.9/dns-query",
	    "https://149.112.112.112/dns-query",

	    "https://208.67.220.220/dns-query",
	    "https://208.67.222.222/dns-query",

	    "https://101.101.101.101/dns-query",

	    "https://146.112.41.5/dns-query",

	    "https://130.59.31.248/dns-query",
	    "https://130.59.31.251/dns-query",

	    "https://77.88.8.1/dns-query",
	    "https://77.88.8.8/dns-query",

	    "https://94.140.14.140/dns-query",
	    "https://94.140.14.141/dns-query",

	    "https://1.1.1.1/dns-query",
            "https://1.0.0.1/dns-query"
]

从上至下：dns.sb, Quad9, OpenDNS, Quad101, Cisco Umbrella, switch.ch, Yandex, AdGuard, Cloudflare.

[qbdiamond]

我一直用的反代，3月初我就发现e站的图源被反诈劫持了，至今没找到用梯子外的解决方案，来这里蹲一个

这条是我发的，并不是所有图源的域名都被劫持了，具体原理我不清楚，比如：
1、unbfqeo.qjqgwjdbidtx.hath.network 这种形式的是没被劫持的
2、gotbjbqvnxfkunugorzh.hath.network 这种形式的就是被劫持的
3、hath.network 也是被劫持的
正常打开图片时会是先访问1的这种地址，但是因为网速或者其他问题没有成功时会自动访问2的地址，网页上手动点击[Click here if the image fails loading]也是访问2的地址
于是出现了网络情况（自己网络或分布式服务器）不佳的情况下必定会访问被劫持的地址
我不明白的地方是，二三级域名被劫持的情况下，为什么四级域名会没事？

[UjuiUjuMandan]

@qbdiamond

我不明白的地方是，二三级域名被劫持的情况下，为什么四级域名会没事？

应该和几级域名无关。
按照你的描述，1的话是解析到国内的H@H客户端，2的话就是荷兰还是摩尔多瓦的源服务器，hath.network也在荷兰。

后两者被劫持而前者没被劫持，我们或许可以猜测出，反诈的机器（假设不是GFW的话）只会看准跨境的流量去劫持，又或许因为在网络拓扑中的位置，其对境内的流量无能为力。

这更加让我相信所谓反诈的名号是醉翁之意，本质上是干扰一般人和国外的联系，包括互联网上的、电话和短信上的，另一种闭关锁国。

[qbdiamond]

应该和几级域名无关。 按照你的描述，1的话是解析到国内的H@H客户端，2的话就是荷兰还是摩尔多瓦的源服务器，hath.network也在荷兰。

后两者被劫持而前者没被劫持，我们或许可以猜测出，反诈的机器（假设不是GFW的话）只会看准跨境的流量去劫持，又或许因为在网络拓扑中的位置，其对境内的流量无能为力。

这更加让我相信所谓反诈的名号是醉翁之意，本质上是干扰一般人和国外的联系，包括互联网上的、电话和短信上的，另一种闭关锁国。

你这么一说，我去查了下我使用的一些被劫持的网站（动画、漫画、资源仓库等）的ip确实都是境外的服务器，但也有使用腾讯云或阿里云自建的博客被劫持的，知乎上也能看见有的公司自建的网站之类的被劫持。
所以具体的劫持规则不是很清楚，针对跨境流量来劫持的可能确实很高，但此之外肯定还有什么规则。
尤其是现在并未全国推广，所以看见讨论和研究的人并不多，但这问题只是时间问题，迟早全国跟进的

[UjuiUjuMandan]

@qbdiamond

你这么一说，我去查了下我使用的一些被劫持的网站（动画、漫画、资源仓库等）的ip确实都是境外的服务器，但也有使用腾讯云或阿里云自建的博客被劫持的，知乎上也能看见有的公司自建的网站之类的被劫持。

你再查查，这些用腾讯云阿里云的，是用的国内主机还是国外？

查询IP地理位置: https://whatismyipaddress.com/ip/72.255.252.158 。72.255.252.158替换成你要查的。

[qbdiamond]

你再查查，这些用腾讯云阿里云的，是用的国内主机还是国外？

查询IP地理位置: https://whatismyipaddress.com/ip/72.255.252.158 。72.255.252.158替换成你要查的。

用你这个查了下地址显示的是beijing，我用其他工具查显示的是广东广州腾讯云

[UjuiUjuMandan]

唉，那就得不出一个统一的结论了，对劫持规则。

[qbdiamond]

唉，那就得不出一个统一的结论了，对劫持规则。

我昨天又测了一下，不少国内的H@H客户端也被劫持了，因此出现了前面说的地址1无法加载图片，于是自动访问地址2的情况，ip也查过了，地址1也确实是国内的一些地址。
但让我比较疑惑的是，我用1.8.53的彩e并没怎么出现过无法加载图片的情况，但用nginx反代和JHenTai域前置则会频繁的出现，所以彩E是不是采用特殊的连接规则，或者服务器选择的规则？

[UjuiUjuMandan]

我用1.8.53的彩e并没怎么出现过无法加载图片的情况，但用nginx反代和JHenTai域前置则会频繁的出现，所以彩E是不是采用特殊的连接规则，或者服务器选择的规则？

无论你用什么都要处理hath.network及其子域名的SNI，彩e在1.8.8.0版本及其之后都处理了。

按你所在反诈地区的情况，没处理之前是不可能加载出图片的，你再确认一下真的是1.8.5.3版本吗？

[qbdiamond]

无论你用什么都要处理hath.network及其子域名的SNI，彩e在1.8.8.0版本及其之后都处理了。

按你所在反诈地区的情况，没处理之前是不可能加载出图片的，你再确认一下真的是1.8.5.3版本吗？

确信是用的1.8.5.3-alpha04，1.8.8.0后的版本我看代码里是加了doh的，我并没有更新，也没遇见无法加载的问题。

在discussions里有个图片无法加载的讨论，似乎用的是1.8.7.0的

[UjuiUjuMandan]

我并没有更新，也没遇见无法加载的问题。

我已经想不出来你所在地区的网络状况了。😅

但用nginx反代和JHenTai域前置则会频繁的出现

这两种我都没用过，您自己探索吧。有结果了踢我一脚。

[asuka-mio]

唉，那就得不出一个统一的结论了，对劫持规则。

我昨天又测了一下，不少国内的H@H客户端也被劫持了，因此出现了前面说的地址1无法加载图片，于是自动访问地址2的情况，ip也查过了，地址1也确实是国内的一些地址。 但让我比较疑惑的是，我用1.8.53的彩e并没怎么出现过无法加载图片的情况，但用nginx反代和JHenTai域前置则会频繁的出现，所以彩E是不是采用特殊的连接规则，或者服务器选择的规则？

JH他们flutter网络库用的DIO吧，不了解dart那边啥样，不过估计DIO实现有一些问题