DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG

    Привет, Хабр!


    Это снова я, тот, кто отвечает за IT-составляющую РосКомСвободы! Ты, наверное, меня помнишь по посту о самопроизвольной активации камеры при открытии страницы с embedded-youtube-видео.


    На этот раз у меня история из личной жизни и, на мой взгляд, расследование немного поинтереснее.


    Возможно, оно даже имеет запах теории заговора (между Ростелеком'ом (CC: Rostelecom ROSTELECOM-CENTER) и Mail.Ru Group).


    КДПВ


    Перед вступлением хотелось бы отметить, что на самом деле, этот пост больше месяца пролежал у меня в черновиках, потому что мы с darkk и ValdikSS всё ещё (актуально на 28.02.2020) собираем и анализируем данные об охвате этой проблемы, воспроизводимости, и прочие технические детали. И мы хотели сначала собрать полный набор данных, и только потом публиковать.


    Но раз хайп уже пошёл, то, видимо, пришла пора выпустить этот пост наружу (а дополнять новыми данными уже будем по мере их накопления)...


    Началась эта история с того, что пару лет назад провайдера, которым я пользовался уже больше 10 лет, купил Эр-Телеком (aka Dom.Ru).


    После одной неприятной технической ситуации (здесь был рассказ со всеми деталями, но он занимал слишком много места и уводил статью в другое русло), кончилось всё тем, что, взвесив плюсы и минусы, я перешёл на Ростелеком (да и вариантов-то, в общем, и не было: всех провайдеров в городе купил либо первый, либо второй).


    В общем, жил я себе половину января с интернетом от Ростелекома, пока не настал очередной интересный день...


    Начался он с того, что по работе я отлаживал некоторые "плюшки" в self-hosted инсталляции Sentry, и мне оказалось необходимым проверить кое-что в Incognito-mode (т.е без всяких uBlock/uMatrix и прочих плюшек), да ещё и по http (в смысле, без SSL).


    Представьте себе, насколько же я удивился, когда на странице ошибки Sentry я увидел рекламный баннер:



    А открыв DOM-инспектор — обнаружил там такое:



    Сначала я заподозрил аддоны, которым было разрешено загружаться в Incognito mode, и отключил их.


    И, как мне сначала показалось — это даже помогло. Однако, на самом деле это оказалось хитростью MitM'а: после ещё пары перезагрузок страницы я опять увидел баннер.


    Теперь я решил открыть исходный код страницы, (чтобы посмотреть на то, как он выглядит до того, как JS-скрипты его обработают и внесут изменения в DOM).


    Там мой взгляд упал на вот такой блок:



    Следующим шагом я пошёл искать этот ads.js в коде Sentry и… таки обнаружил его.


    Посмотрел я на всё это и, честно признаться, офигел...


    Как раз вчера ночью я, мягко скажем, ругался на апстрим Sentry за вот это вот, и то, что из-за этого мне пришлось довольно ощутимо переделывать процесс деплоя Sentry.


    Так что, из-за "подлитого" вчерашней обидой "масла в огонь", я решил, что "они там в Sentry" вообще оборзели уже и попутали берега, и собрался идти и ругаться...


    Но по привычке покопал дальше и увидел, что по факту, данный скриптик сам по себе не делает ничего обидного (хотя его существование как таковое, и в частности определение адблока со стороны sentry уже само по себе вызывает вопросы о попутанных берегах, ну да ладно).


    Как оказалось, он, как и написано в комментарии, просто выставляет переменную об обнаруженном адблоке в false и не делает больше ничего.


    Но откуда же взялся баннер?!?


    Меня начинают одолевать смутные подозрения, что, учитывая тот факт, что Mail.Ru'шный рекламный блок в DOM появляется не всегда, а раз в N перезагрузок, значит, наверное, иногда вместо этого файла отдаётся другой.


    На данный момент я всё ещё уверен, что делает это Sentry, и хочу найти какой именно файл оно отдаёт, чтобы пойти и потыкать в него носом разработчиков на гитхабе, что, мол, "некрасиво".


    Открываю я, значит, вкладку со скриптом, перезагружаю её несколько раз...


    И меня волшебным образом перебрасывает на домен r.analytic.press, а в качестве параметров передаётся куча трекинговой информации, включая регион и оригинальную ссылку на файл (и все переданные параметры вшиваются в выдаваемый обфусцированный скрипт). Можно было бы разобрать скрипт (тем более, что к текущему моменту я его уже и в самом деле деобфусцировал), но, на самом деле, это опять уход от темы статьи, т.к. его вообще не должно было быть в моём трафике!


    Ясное дело, что редиректа на такие подозрительные домены в коде Sentry обнаружено не было.
    Кто у нас там следующий подозреваемый на очереди?..


    Ага… трафик идёт по HTTP, происходит вторжение в трафик и подстановка "своего"… Уж очень напоминает модель действия Ростелекомовского DPI, который таким же образом всовывает заглушки о заблокированности ресурсов.


    Итак, надо проверить, точно ли шкодит Ростелеком? А то, может, я теперь ещё и на него наговорю почём зря?.. Следующим-то, ведь, вариантом у нас среди подозреваемых остаётся только троян, но в это пока не хочется верить (flashforward: и не придётся), т.к. это бы означало либо что моя техническая компетенция слишком переоценена, либо что нашёлся кто-то "умнее" меня, раз смог незаметно подсунуть мне троян. А это был бы повод для другой статьи :).


    Итак...


    Для начала проверяю curl'ом ссылку на скрипт и… редиректа не происходит, как я не пытаюсь…
    Хорошо. Получается следующая вилка вариантов: либо протроянен браузер, либо MitM ещё более хитрый, нежели предполагалось (да).


    Чтобы проверить второй вариант я иду обратно во вкладку, где я поймал редирект, и делаю вот так вот:



    Проверяю в консоли, и, да, один раз из нескольких происходит 307 редирект на указанный домен.
    Проверяю на другом девайсе (в домашней сети) — воспроизводится.


    Ну что ж, значит, всё же, не троян. Или, по крайней мере, не у меня на компьютере.


    Дальше встаёт вопрос: происходит ли это на CloudFlare, или, всё же, у провайдера (помните, я говорил про DPI?)?


    Для начала пробую повторить запросы с серверов, расположенных за пределами квартиры (и не пользующихся ростелекомом).


    Не воспроизводится.


    А это значит, что шанс того, что дело именно в DPI Ростелекома возрастает. Но пока что — это лишь догадки...


    И тут на помощь приходит прекрасная утилита, именуемая Wireshark.


    Открываю её, выбираю интерфейс для снятия дампа трафика, включаю фильтр (чтобы не разбирать лишний трафик), запускаю процесс снятия дампа трафика и воспроизвожу редирект.


    После нескольких попыток — виднеется такая вот картина:



    Особенно примечателен здесь практически моментальный ответ спустя 15мс (тот который TCP ZeroWindow), а так же то, что сразу же после него приходит реальный ответ от сервера (но cURL его уже не принимает, т.к. для него это мусор, и шлёт в ответ TCP RST).


    Дальше, анализируя трафик, можно заметить, что у "фальшивого" ответа, с редиректом поле TTL имеет значение 59 (значит он находится в 64-59=5 "скачках" от меня, а настоящий ответ от CloudFlare имеет TTL=54 (в 10 скачках).


    Ну что ж… Нужно потрейсить и посмотреть, кто же там у находится в этих 5 скачках...



    А вот это уже интересно: сам маршрутизатор не представляется, но… оба "окружающих" его IP-адреса принадлежат Ростелекому (!!!):



    Что крайне недвусмысленно намекает на то, что ответ приходит с оборудования, стоящего где-то на сети Ростелекома.


    К счастью ли, или к сожалению, но знакомые из "tech-board" Роскомсвободы, которые помогали мне всё это дебажить, ValdikSS и darkk (за что им огромное спасибо) не смогли воспроизвести это на "своих" ростелекомовских линках, так что, судя по всему, это крайне регионозависимо.[1]


    К слову, хоть это и зависимо от региона, но не зависимо от целевого сайта:
    1) если обращаться не в CloudFlare'вским серверам, а, например, к серверу darkk, то редирект так же воспроизводится (хотя в оригинале его сервер отдаёт 404), но MitM-DPI это не смущает, он всё равно подсовывает свою рекламу :) Кстати, интересный артефакт этой проблемы — darkk, собирая при тестах трафик со своей стороны, обратил внимание на то, что от меня приходили подтверждения получения пакетов, которые сервер не отправлял. Т.е. уровень, на котором происходит эта "подтасовка" трафика — просто до жути топорный…
    2) на самом деле, я не единственный и у людей это воспроизводится на других сайтах:
    ValdikSS нашёл вот эти вот случаи: раз и два(ч) (не открывайте, если рядом находятся дети, а то некоторые анонимусы запостили в тот тред эротику),
    а darkk — вот эти: раз и два.


    В общем,
    Во-первых, это вызывает очень яркие воспоминания о похожем поведении у мобильных операторов, которые вставляют свою рекламу (которая ещё, порой, и подписки включает),
    Во-вторых, вызывает вопрос к Rostelecom: вам что, клиенты (включая большинство государственных учреждений) приносят так мало денег, что без продажи юзерского трафика и аналитики "налево" (сторонним компаниям) никак не обойтись?
    В то, что описанное выше — случайность, я не поверю ни за какие коврижки.
    В то, что DPI неподконтролен вам и сам хулиганит — поверить готов, но, сами понимаете, к вам тогда встаёт другой вопрос.
    В-третьих, как и было предсказано, технологии которые (якобы) направлены на "защиту" (опять же, "якобы"): фильтрацию трафика от "запрещённой информации", вполне себе используются для набивания чьих-то карманов деньгами…
    В-четвёртых, мне кажется, что лучше бы уж наши доблестные депутаты вместо того чтобы изобретать "сувенирный" интернет и строить виртуальный Железный Занавес, лучше бы направили свою законотворческую деятельность в позитивное русло и запретили бы провайдерам (всем, и "проводным", и "мобильным") вмешиваться в трафик и вставлять туда что ни попадя (особенно — непрошенную рекламу).


    Ну и, подводя итоги, мне хочется сказать, что, похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на "своём" (арендованном) VPS в стране, где сетевой нейтралитет закреплён на законодательном уровне.
    Иначе твою "душу" (в смысле, "цифровой след") продавать будет не только какой-нибудь FaceBook или Google, но даже твой провайдер интернета.


    [1] Те тезисы, которые используют сноску сюда уже немного устарели, т.к. та часть статьи была написана до того как мы с darkk и ValdikSS начали масштабное исследование этой проблемы (не просто всеросийское, но и всемирное, используя в т.ч. такие проекты, как RIPE Atlas). Но я решил, что имеет смысл оставить эту часть как есть, по крайней мере до того, как мы будем готовы выложить результаты исследования (или, может, отдельным постом?).

    РосКомСвобода
    Мониторинг интернет-регулирования в России и мире
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 61

      +1
      И еще вот habr.com/ru/post/489528
        0

        Там есть такая вот строчка


        Подменяет любые js скрипты по http(логично), которые реально существуют, то есть ответ 200.

        А вот мои исследования (когда я тыкал в сервер darkk пачкой тестовых запросов, ещё в самом начале истории) показали что заменяются даже несуществующие скрипты.


        Вплоть до того, что у меня даже прямо сейчас заменяется http://ya.ru/test.rtk.ad.hijacking.js ;)

          0
          Если они делают перехват на стадии запроса от клиента к серверу, а не ответ от сервера перехватывают, то в этом нет ни чего удивительного.
            +6

            ну, не совсем "перехват": до сервера запросы таки доходят.
            Только "они" успевают прислать фальшивый ответ раньше, чем сервер пришлёт настоящий (потому что находятся ближе).
            Поэтому — когда вы получаете фальшивый трафик от этого DPI — ваш http-клиент отправляет оригинальному серверу TCP-пакеты подтверждения получения того трафика, который тот не отправлял (как правило, сервер забивает на это). А вот когда сервер присылает настоящий ответ — ваш http-клиент отправляет серверу TCP RST (сброс соединения, который значит "хули ты мне тут шлёшь непонятно что вне очереди. Это, наверное, сломавшееся соединение"), потому что у него уже есть полученный ответ.

            0
            Я уже в том топике отписывался: habr.com/ru/post/489528/#comment_21329458
            В общем это банальная монетизация трафика, но с таким подходом ростелеком больше потеряет. Врезка рекламы была обнаружена и у физических лиц и у юридических лиц и у корпоративных клиентов. По заявке отключают рекламу, но только на тот логин услуги, с которого была заявка. Макрорегиональный филиал ростелекома «Урал», ХМАО.
              0

              // cast darkk: новые данные
              // кстати, технически при этом ХМАО — всё-таки тоже Сибирь :-D

                0
                Ханты-Мансийский автономный округ относится всё же к Уральскому федеральному округу, а Новосибирск, Томск — это уже Сибирский федеральный округ, и у ростелекома тоже деление по округам. Но округа рядом, не спорю.
                0
                Те у кого есть альтернативы, давно уже ушли. Остальным просто некуда идти. Так что врядли много потеряют.
            +1

            Так уже давно все эти гос провадеры стали поганить всякй http трафик. И остается только надеяться, что они ограничиваются только рекламой. Только немного механизмы меняют. Впервые я заметил это года 3 или 4 назад на московском транспортном WiFi MT_FREE, когда они мне смогли подсунуть рекламу в интранет сайт работающий только по VPN и вот тогда я реально задумался… Но там, конечно, по недосмотру грузился какой-то внешний js по http.Но суть в том, что даже ВПН не всегда спасает.

              0
              Уже не ограничиваются, запросто вообще все сайты с http заменяют на то, что хотят показать. Сам с этим столкнулся.
                0
                Но суть в том, что даже ВПН не всегда спасает.

                А вот это странно. Там точно не было никаких других скриптов, идущих мимо туннеля?
                  0
                  Да, были, я об этом и написал. Есть тонель до работы и внутренний сайт. На странице внутреннего сайта (по недосмотру) грузился js с внешнего по http. Таким образом, хотя трафик до внутреннего сайта шел по тоннелю, подгружался ресурс мимо тоннеля. А дальше уже провайдер поганил траффик.
                +2
                а darkk — вот эти… это крайне регионозависимо

                Там подобных историй про Ростелеком десятки и самые старые полуторагодовалой давности. И при том все эти истории про Сибирский макрорегион: Томск, Красноярск, Иркутск, Ангарск, Барнаул, Новосибирск...


                Занятно ещё, что Kaspersky_Lab поучаствовали в истории в позитивном ключе, забанив один из доменов, использующихся для раздачи редиректов (не то чтоб это надолго помогло).


                В публичных интернетах я такие упоминания ещё нашёл:



                *) уже упомянутые выше

                0
                Mail.Ru Group

                Кстати, а почему https://quantum-a.co/ не вспомнил? :-) Некоторый кусок инфраструктуры от них: редирект идёт на r.analytic.press, который 195.19.216.34, у которого admin-c: PM19270-RIPE, который Pavel Manyakin, у которого тёзка в R&D MegaLabs. Мегафон это всё же не совсем MRG. Так, на две трети :-)

                0
                Люди как могут на свободе зарабатывают:D
                  0
                  #мысли вслух
                  Интересно, если б найти эффективный метод монетизации процесса защиты прав и свобод — может и ситуация бы стала получше?..
                    +2
                    Уже давно нашли и зарабатывают, VPN называется
                      –1
                      Менять шило на мыло?
                  +3
                  Смутно помню, что ещё лет 5 назад читал статьи про такое поведение Билайна на мобильном интернете. За вмешательство в трафик пользователя должна быть уголовка, т.к. это нарушение конституционного права пользователя на тайну переписки, и неважно, http там или https.
                    +6
                    так это и есть уголовка, ст. 272 УК РФ:
                    1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

                    по-моему, вставка баннеров ничем не отличается от вирусов на сайтах, которые в фоне в браузере потом крипту майнят
                      +1

                      Отличается, самым главным отличается: есть те, кому это "можно" делать, и все остальные.

                        0
                        Ну, по 272 их вряд ли привлечь можно. Потому как под неправомерным доступом к информции закон подразумевает «проникновение в ее источник с использованием средств (вещественных и интеллектуальных) компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее)» (см. «Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации»). Здесь же сам источник информации — сайт — остается в неприкосновенности.
                        А вот что, на мой взгляд, более перспективно по отношению к таким деятелям — использовать против них механизм охраны аворского права, потому как тут налицо явное искажение произведения, каковым является содержимое сайта. Или — распространение своего произведения сделанного на основе защищаемого без согласия его автора.
                        PS Но, вообще-то, юрист я не настоящий, так что запросто мог ошибиться.
                          0
                          Тут надо закон «О связи» копать, там тоже на вмешательство в трафик запрет есть. Правда это не уголовка, а максимум лишение лицензии
                            0
                            Лишить лицензии Ростелеком…
                          0
                          Здесь ведь запрещается только неправомерный, который модифицирует. А правомерно модифицировать можно. Короче они скажут, что они делали доступ правомерный.
                        –23
                        Смысл статьи в том, что у провайдеров есть DPI и они им пользуются?
                        Вау…
                        Шок контент…
                        Никогда такого не было и вот опять!!!
                          +11

                          смысл статьи в том, что они им пользуются не для фильтрации, а для внедрения в трафик троянского пейлоада (да-да, подсунутые непрошенные рекламные баннеры вполне можно так назвать). Сегодня это баннеры, а завтра это apk для вашего андроид-смартфона, например.
                          Или JS-код, который заставляет вашу PS4 скачать и выполнить какой-то скрипт с правами рута.
                          Или JS-код, который jail break'ает ваш Айфон.


                          Да, не очем писать. Давайте молча ждать пока всё зайдёт настолько далеко.

                            –8
                            DPI был придуман очень не вчера и создавался именно как провайдерский инструмент для анализа и модификации трафика с целью его оптимизации. Да, провайдеры всё ещё коммерческие организации, которые хотят зарабатывать на своей деятельности.
                            А фильтрация это лишь одна из функций DPI систем.
                            И примерно ВСЕ провайдеры на белом свете, у которых есть DPI система, разбирают нешифрованный трафик и подсовывают туда свои баннеры, шейпят каналы, продают статистику рекламным сетям и всё такое прочее.

                            Мой комментарий был о том, что вы описали прописную истинну: шифруйте свой канал связ, если не хотите чтобы в нём ковырялись. И общая подача материала такова, что Ну вот опять, кровавый ркн лезет в нашу жизнь, ужас и кошмар. Никто и нигде таким не занимается и только наш ужасный ркн душит по всем фронтам.
                            Нет, это рядовая бизнес функция, которую используется повсеместно ибо это приносит деньги.

                            И конечно-же, никто из тех десятков провайдеров, которые стоят на пути между вами и условным сайтом где-то в европах, никто не подпихнят вам баннер, js скрипт, или чего вы там ещё боитесь. Они все святые, а интернет это сеть друзяшек…

                            А если на вашем андроид смартфоне можно устанавливать apk из любых источников, это, конечно, тоже плохой провайдер виноват.

                              +3

                              запрет на установки из недоверенных источников — ничто по сравнению с доверчивостью пользователей.


                              Я лично сталкивался со случаями распространения вредоносных apk через баннерные сети на местном городском "мамском" форуме.
                              Жена как-то показала, мол, "смотри какая фигня": при открытии некоторых тем вывалвалось предложение установить APK.
                              Раскопки помогли понять, что виноваты баннеры, а дальнейшие раскопки — что тех, кто поставил эти APK, думая, что это программа для этого форума (ну, как у 4pda есть свой клиент, знаете) — огромные тысячи (literally, тысячи, на городском-то форуме!).


                              Так что не надо тут преуменьшать размер проблемы, пожалуйста.


                              Равно как и то, что "все так делают" — во первых, не совсем правда (анализируют и продают — да, правда, об этом я уже давно говорю, а вот вставляют баннеры и прочий вредоносный код — пока за этим замечены только мобильные операторы и РТК), а во-вторых — совсем не оправдание для того чтобы смиряться с тем, что "ещё один делает так же".
                              С этим надо бороться.


                              Viva la revolucion^Wсетевой нейтралитет, вот это вот всё :)

                                +2
                                И примерно ВСЕ провайдеры на белом свете, у которых есть DPI система, разбирают нешифрованный трафик и подсовывают туда свои баннеры, шейпят каналы, продают статистику рекламным сетям и всё такое прочее.

                                Ну нет же, не подсовывают «ВСЕ» никакие банеры.
                                Тот же Ростелеком не шейпит трафик, как раз, кстати.

                                И конечно-же, никто из тех десятков провайдеров, которые стоят на пути между вами и условным сайтом где-то в европах, никто не подпихнят вам баннер, js скрипт, или чего вы там ещё боитесь. Они все святые, а интернет это сеть друзяшек…

                                Транзитные операторы точно ничего не подсовывают, Вы гоните просто.
                            –25
                            Мда, вокруг банальнейшего факта вы развели целую статью.
                            Первый раз подсунутый баннер я увидел в билайне на http странице — включил впн — все пропало. АГА! подумал я первый раз.
                            Второй раз баннер в http я увидел на домашнем проводном провайдере. АГА! подумал я второй раз и с тех пор не отключаю VPN

                            По определению http трафик — это жертва mitm, а подсунутая реклама — это наша данность. Все. Зачем тут было раздувать статью — непонятно.
                            Да, мы живем в этой стране, и тут каждый зарабатывает как может.
                              +15
                              Мда, вокруг банальнейшего факта вы развели целую статью.
                              Первый раз в отделении полиции меня запытали бутылкой 10 лет назад. АГА! подумал я в первый раз.
                              Второй раз меня пытали сотрудники какой-то силовой структуры с трудно воспроизводимой аббревиатурой уже у меня дома и паяльником. АГА! подумал я второй раз и с тех пор всегда ношу вазелин при себе.
                              По определению бытие в полицейском государстве — наша данность. Все. Зачем тут раздувать статью — непонятно. Да, мы живём в стране, где силовикам позволено всё, и тут каждый вертится как может.
                                0
                                Понятно, что описанная картина весьма печальна, но после
                                и с тех пор всегда ношу вазелин при себе
                                я заржал в голос)
                              +6
                              Ну и, подводя итоги, мне хочется сказать, что, похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на «своём» (арендованном) VPS в стране, где сетевой нейтралитет закреплён на законодательном уровне.

                              Оно конечно так, но меня спустя полгода хождения в интернет через Франкфуртский 6to4 туннель HE.net смущает таргетирование всего и вся на Германию. Может у кого есть идеи как объяснить всему интернету что я из России, несмотря на ipv6 из пула числящегося в Германии?
                                +1

                                Весь интернет Вас зовёт переехать в Германию. Так почему бы и нет?

                                  +1
                                  Меня их менталитет отпугивает. Я бы тогда уж в США/Канаду, но туннели через них слишком медленные :)
                                  0
                                  Две вдс (в России и вне), соединённые туннелем. Ходить по впн на российскую, на ней сделать хитрую маршрутизацию, чтобы через зарубежную ходили только нужные запросы. Ну или просто вдс в дц ростелекома не в Москве — весьма вероятно, что блокировки работать не будут :-)
                                    0

                                    У меня по такому методу стоит CHR на хецнере, который держит и ВПН из дома и мобильный.
                                    Не знаю как vds, есть один физический сервер в ртк не в Москве, там все блокировки работают

                                      0
                                      Хм… У меня — в местном дц ртк (хостинг-провайдер арендует пару десятков стоек) в екб. Блокировок нет.
                                  0
                                  похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на «своём» (арендованном) VPS

                                  Это уже давно ясно (странно, что СОРМы-Яровые вас до этого не убедили, вроде и работаете в Росокомсвободе). Для меня больше вопрос: как в России 2020 можно пользоваться Интернетом без туннеля?
                                    +6

                                    1) то, что трафик ЧИТАЮТ — это одна проблема. И вполне есть кейсы, когда отсутствие оверхеда от туннеля стоит дороже, чем то, что тащмайор прочитает логи этого коннекта.


                                    2) то, что трафик ИЗМЕНЯЮТ — проблема совершенно другая. А уж когда изменяют для того чтобы всунуть непрошенную рекламу — это уже явная наглость.


                                    3) у туннелей есть одна замечательная особенность: лишняя трата ресурсов (ака "оверхед" на упаковывание в них трафика). Соответственно — лишняя нагрузка на сетевые железки. А так же сайд-эффекты вроде снижения скорости, латенси и т.п.


                                    Да, у меня есть целый пучок VPS, разбросанных по всему миру (даже в японии были до недавнего времени). И все они объединены в VPN, к которой подключены и домашний роутер, и все мои и жены ноутбуки, и прочие девайсы.


                                    Но я стараюсь не гонять лишний раз трафик через них по куче причин. От юридических, через проблемы с latency (например, в дьяблу3 (что на ПК, что на PS4) играть с друзьями (живущими в России) через туннель тяжеловато) и вплоть до того, что в данном случае мне наоборот интересно (и полезно) напарываться на подобные вещи.


                                    Если бы я на эт не напоролся, мы бы не узнали масштаб "бедствия", не узнали бы технические особенности.
                                    Не опознали бы участников этого позора.
                                    И т.п.

                                      +1
                                      то, что трафик ЧИТАЮТ — это одна проблема
                                      мне этого уже достаточно, чтобы прятать существенную долю трафика в туннель, необязательно прятать весь трафик — есть инструменты выборочного заворачивания трафика и web вполне подходит для пропускания его через туннель. Накладные расходы при этом приемлемые. Да, игровой трафик нет смысла пускать в туннель, но и от чтения его смысла мало.
                                        0
                                        Трафик можно заворачивать и до каких-нибудь российских эндпойнтов, я на работе цепляюсь через VPN за свой рабочий сервак в Москве, который крутится где-то на ферме небезызвестного Селектела.

                                        Так что проблема изменения трафика более актуальна, нежели чем проблема его просмотра. Всё скрыть Вы в любом случае не сможете, потому как здесь стоит вопрос о доверии той стороне, к которой вы бросаете туннель.

                                        В любом учебнике по криптографии чётко обозначен тот факт, что «либо безопасность, либо скорость». Хотите большую приватность и большое латенси — добро пожаловать в I2P (и иже с ним). Пора уже признать, что VPN — это полумера, где бы эндпойнты ни находились.
                                          +1
                                          здесь стоит вопрос о доверии той стороне, к которой вы бросаете туннель

                                          Нет никаких оснований доверять российским эндпоинтам.
                                        +1
                                        Вот насчёт оверхеда — спорно… Вечером иногда смотрю концерт на ютубе — нехватает скорости. Сооружаю из вдс и ssh сокс-прокси и хожу через него — внезапно хватает!
                                      +1

                                      Меня некоторые сайта банят, если я хожу в интернет через тот же Digital Ocean или Linode. Apple вообще ничего не отдает через такой VPN. Не скажете где лучше брать VPS, чтобы все работало?

                                        +3

                                        1) online.net (там не VPS, а "дедики", но там есть дедики за 10€/мес (вполне по цене некоторых VPS), впрочем у них есть ещё scaleway.com, там есть и впс тоже).
                                        Впрочем, их тоже могут банить (но не так часто)
                                        2) всякие нонеймовые хостеры. Ищите себе подходящего на lowendtalks.com :)

                                          0

                                          поправка: *talk, не talks


                                          // и интересно, что же за редиска молча поставила минус, и таки за что

                                            –3
                                            Всегда интересовало, что движет людьми, которые постоянно мониторят рейтинг комментариев и редактируют их же, как только кто-нибудь влепит минус. Может, Вы поделитесь?
                                              0

                                              увы, нет, не поделюсь.
                                              Я редактировал комментарий заметив что минус (без видимых на то причин, и без оставленного комментария) влепили вышестоящему комментарию. А редактировал чтобы не создавать ещё один, т.е. не флудить.

                                            0
                                            Что-то у меня до Франции пинг 56мс. До Эстонии пинг 20мс. У Эстонии нормально с нетралитетом кажется?
                                              +1
                                              Да, в Эстонии самый свободный Интернет в Европе. Только осторожнее с российскими компаниями в Эстонии.
                                            +1
                                            Авито вас будет банить с любого IP от хостера.
                                              0

                                              Авито — да, мне главное чтобы Apple сервисы работали: музыка, фильмы, iCloud.

                                                +1

                                                и не сказать бы, что они вот прямо совсем неправы.
                                                Я вот уже не первый раз задумываюсь о том, чтобы сделать то же самое, по крайней мере, по отношению к реестру.


                                                А то надоели абузить уже: то массово поиск парсят, хотя есть API, то в API по 50 раз в секунду запрашивают один и тот же запрос.

                                              0
                                              Коллеги, а что думаете о впс в соседней стране? 4е место в качестве связности сетей заняли, пинг меньше чем в Германию, dpi нет, есть блокировки сайтов — но не у всех провайдеров, и то по днс, или в bgp просто убирают номера автономныех систем.
                                                +1
                                                У меня по каким-то причинам пинг в R6: Siege, Overwatch и Apex Legends ниже если я играю через шведский VPN, чем через голый ростелекомовский коннект. Это даже не соседняя страна.
                                                +2
                                                РТК очень давно делал подобное, лет пять или шесть назад. Всё на уровне регионов. Где-то такое было, где-то нет. У других провайдеров опять же не лучше. Билайн тоже на подобном ловили.
                                                  0
                                                  Не вижу ничего удивительного.
                                                  Одно из применений DPI — подсовывание рекламы и дополнительная монетизация (вероятно, что вполне законная — Вы ведь внимательно прочитали Договор с оператором?).
                                                  Есть множество готовых решений для операторов и даже целые рекламные сети построены на этом.

                                                  Only users with full accounts can post comments. Log in, please.