发表于 2024年9月23日1年前 昨天注意到 Cloudflare Radar 更新了 TCP RST 和 Timeout 的数据,于是我就找了整个🧱内和几个有代表性的 ASN ,来和美国宽带对比。整个🧱内: https://radar.cloudflare.com/security-and-attacks/cn?dateRange=52w电信: https://radar.cloudflare.com/security-and-attacks/as4134?dateRange=52w联通: https://radar.cloudflare.com/security-and-attacks/as4837?dateRange=52w移动: https://radar.cloudflare.com/security-and-attacks/as9808?dateRange=52w教育: https://radar.cloudflare.com/security-and-attacks/as4538?dateRange=52w科技: https://radar.cloudflare.com/security-and-attacks/as7497?dateRange=52w上海电信: https://radar.cloudflare.com/security-and-attacks/as4812?dateRange=52w上海联通: https://radar.cloudflare.com/security-and-attacks/as17621?dateRange=52w上海移动: https://radar.cloudflare.com/security-and-attacks/as24400?dateRange=52w美国: https://radar.cloudflare.com/security-and-attacks/us?dateRange=52wVerizon: https://radar.cloudflare.com/security-and-attacks/as6167?dateRange=52whttps://radar.cloudflare.com/security-and-attacks/as701?dateRange=52wAT&T: https://radar.cloudflare.com/security-and-attacks/as7018?dateRange=52wRCN: https://radar.cloudflare.com/security-and-attacks/as6079?dateRange=52wCloudflare Blog 上的文章很值得一读,作者是 Luke Valenta 。Luke ( https://lukevalenta.com/about )的见解: https://blog.cloudflare.com/tcp-resets-timeouts/ https://blog.cloudflare.com/connection-tampering/Cloudflare Research:https://files.research.cloudflare.com/publication/SundaraRaman2023.pdf说说我对这些数据的看法。整个🧱内大约有 9%的 TCP 连接会在 Post PSH 阶段被 RST/Timeout ,然而 Post PSH 数据是被移动拉高的。电信和联通都在 5%左右,也就是大约 5%的 TCP 连接会因为 SNI 被 RST/Timeout 。这 5%中也有一部分是地方性的干扰或阻断,比如上海的电信和联通只有 3%的连接会触发 RST/Timeout ,同样教育网和科技网也在 2.5%左右。移动是绝对的🧱中🧱,AS9808 有 17.5%的 Post PSH RST/Timeout ,上海移动有 14.3%,山东移动 AS24444 有 16.8%,广东移动 AS56040 有 15.4%,北京移动 AS56048 有 11.6%,浙江移动 AS56041 有 18.7%,辽宁移动 AS56044 有 16.5%。然而最让我吃惊的是江苏移动和河南移动。AS56046 近期有 50%的 Post PSH ,AS24445 近期有 38.6%。江苏移动有一半的 TCP 连接触发了 SNI RST/Timeout ,并且有 80%的 TCP 连接被 RST/Timeout 。也就是说,江苏移动只有 20%的 TCP 连接是正常的,What the hell is going on?美国宽带的 Post PSH 数据大约在 0.5%上下,总共 RST/Timeout 大约是 10%,Verizon 的 Celluar Data ( AS6167 )会高一些,在 20%左右。SNI RST/Timeout 只出现在没有被 DNS 污染或 DNS 污染失败的目标上,理论上这种 tampered TCP connections 不常见,但是 Cloudflare Radar 的数据表示阻断率不低。
整个🧱内: https://radar.cloudflare.com/security-and-attacks/cn?dateRange=52w
电信: https://radar.cloudflare.com/security-and-attacks/as4134?dateRange=52w
联通: https://radar.cloudflare.com/security-and-attacks/as4837?dateRange=52w
移动: https://radar.cloudflare.com/security-and-attacks/as9808?dateRange=52w
教育: https://radar.cloudflare.com/security-and-attacks/as4538?dateRange=52w
科技: https://radar.cloudflare.com/security-and-attacks/as7497?dateRange=52w
上海电信: https://radar.cloudflare.com/security-and-attacks/as4812?dateRange=52w
上海联通: https://radar.cloudflare.com/security-and-attacks/as17621?dateRange=52w
上海移动: https://radar.cloudflare.com/security-and-attacks/as24400?dateRange=52w
美国: https://radar.cloudflare.com/security-and-attacks/us?dateRange=52w
Verizon: https://radar.cloudflare.com/security-and-attacks/as6167?dateRange=52w
https://radar.cloudflare.com/security-and-attacks/as701?dateRange=52w
AT&T: https://radar.cloudflare.com/security-and-attacks/as7018?dateRange=52w
RCN: https://radar.cloudflare.com/security-and-attacks/as6079?dateRange=52w
Cloudflare Blog 上的文章很值得一读,作者是 Luke Valenta 。
Luke ( https://lukevalenta.com/about )的见解: https://blog.cloudflare.com/tcp-resets-timeouts/ https://blog.cloudflare.com/connection-tampering/
Cloudflare Research:
https://files.research.cloudflare.com/publication/SundaraRaman2023.pdf
说说我对这些数据的看法。整个🧱内大约有 9%的 TCP 连接会在 Post PSH 阶段被 RST/Timeout ,然而 Post PSH 数据是被移动拉高的。电信和联通都在 5%左右,也就是大约 5%的 TCP 连接会因为 SNI 被 RST/Timeout 。这 5%中也有一部分是地方性的干扰或阻断,比如上海的电信和联通只有 3%的连接会触发 RST/Timeout ,同样教育网和科技网也在 2.5%左右。
移动是绝对的🧱中🧱,AS9808 有 17.5%的 Post PSH RST/Timeout ,上海移动有 14.3%,山东移动 AS24444 有 16.8%,广东移动 AS56040 有 15.4%,北京移动 AS56048 有 11.6%,浙江移动 AS56041 有 18.7%,辽宁移动 AS56044 有 16.5%。
然而最让我吃惊的是江苏移动和河南移动。AS56046 近期有 50%的 Post PSH ,AS24445 近期有 38.6%。江苏移动有一半的 TCP 连接触发了 SNI RST/Timeout ,并且有 80%的 TCP 连接被 RST/Timeout 。
也就是说,江苏移动只有 20%的 TCP 连接是正常的,What the hell is going on?
美国宽带的 Post PSH 数据大约在 0.5%上下,总共 RST/Timeout 大约是 10%,Verizon 的 Celluar Data ( AS6167 )会高一些,在 20%左右。
SNI RST/Timeout 只出现在没有被 DNS 污染或 DNS 污染失败的目标上,理论上这种 tampered TCP connections 不常见,但是 Cloudflare Radar 的数据表示阻断率不低。