MayersScott May 7 at 11:12

Что именно сломалось: разбираем блокировки РКН/ТСПУ по слоям сетевого стека. Rkn Block Checker

Medium

10 min

18K

Python * System administration * Information Security * GitHub * DNS *

Tutorial

+42

Comments 7

Shaman_RSHU May 7 at 12:02

Посмотрите bol-van/zapret2. Толмуд там конечно поменьше, но само решение работает намного эффективнее.

Baton34 May 7 at 13:55

а как же блокировка по длинне 16kB для tls трафика? У меня один впс попал под такое, при этом тест iperf3 проходит в обе стороны без замедления.

tdrz yesterday at 01:08

По факту сейчас это основная блокировка для большинства CDN.
т.е. DPI маскирует свое присутствие, пропуская первые 16-20кб трафика.
В то время как провайдеры могут отчитываться что "сайт работает", т.е. проблема не на их стороне.

Блокируют все без разбору и решений суда - от недружественного Cloudflare до дружественной китайской Алибабы (AliCloud).
Сайты с драйверами, обновлений ПО, игр и т.д.
То есть все, откуда идет маломальски большой трафик, улетает в блок.

У меня подозрение, что по этому параметру выскобюджетный ИИ от РКН и вычисляет "сайты-нарушители".
"много трафика = опасность = надо бы заблокировать на всякий случай"

Runnin May 7 at 17:34

ThreadPool использовать менее эффективно, чем обычные асинхронные запросы

dyadyaSerezha May 7 at 20:25

Один маленький вопрос. Чем отличается статус working для whitelist от статуса open для blacklist? Если вдруг ничем, то почему разные названия?

DandyDan yesterday at 02:26

Странно. Пробую numpy.org - говорит ОК. А в браузере не открывается.

Nemoumbra 16 hours ago

ISP перехватывает HTTPS, выдаёт свой сертификат (что вызвало бы ошибку TLS, но - нет, обычно делают это только для не-HTTPS-запросов или подменяют DNS, чтобы вы пришли на их сервер) и отдаёт страницу

Что?! Какое-то странное предложение, которое противоречит само себе. Любой митм на уровне TLS детектится. Не важно, редирект случился через DNS или in-line перехват - браузер увидит и предупредит.

TLS 1.3 ECH. Когда (если) ECH станет массовым, текущая логика TLS_BLOCK = DPI on SNI перестанет быть точной - SNI будет зашифрован. Сейчас это не проблема, потому что ECH мало где включен по умолчанию.

Во время хэндшейка браузеры уже сейчас высылают ECH, просто потому что могут. Другой вопрос, что сервер может не понять, так что прикладывается и обычный SNI. А когда всё-таки происходит ECH, то там и фейковый SNI подставляется вместо настоящего, а уже этот SNI вызывает блокировку. Чтобы не отправлять SNI вообще... ну, тут уже ossification.