Comments 113
Это должны поддерживать и клиент и сервер. Теоретически ещё можно устраивать случайную фрагментацию запросов (в духе GoodbyeDPI имени ValdikSS), в этом случае будет достаточно поддержки на клиенте.
Я не успел ночью проверить, работает ли фрагментация. К утру эту подпольную DPI-лабораторию уже "сожгли" — автоблокировка была отключена. Мне не очень понятно, было это сделано специально или по какой-то случайности.
Разве не могут они подать иск на РКН за недополученную из-за простоя прибыль
они это кто?
могут они подать иск на РКН за недополученную из-за простоя прибыль?
У нас больше месяца блочат полинтернета — никто даже не заикнулся.
Повышают стоимость тарифа (из-за пакета Яровой), высказались ровно два некрупный интернет провайдера.
Соответственно, обходится эта блокировка путём отправки пакетов с мусором в хвосте и размером следующего пакета.
Если говорить о самом телеграме, то здесь большой простор для фантазии их разрабов.
Я бы попробовал что — то из этого, или даже динамически их комбинировал, время от времени заменяя, даже в рамках одной сессии:
- сжатие пакетов данных
- замена форматирования пакетов, действующее сейчас, xml, json, мессажпак
- маскировка под другие виды трафика, с вкладыванием сообщения под видом картинок, аудио и видео файлов
- растиризация сообщения в виде картинки, и передача в таком виде (ну да, копипаст для ответа не сработает, но так ли часто это нужно?)
- … список открыт для дополнения
у да, копипаст для ответа не сработает, но так ли часто это нужно?Очень часто.
Как обычно система поиска дела недоступна. Попробую позже скинуть прямую ссылку. А пока только основные лица:
ИСТЕЦ — Шакиров С. Ф.
ОТВЕТЧИК — АО «НЭСК-электросети» в лице «КРАСНОДАРЭЛЕКТРОСЕТЬ»
и еще куча ответчиков.
Первый суд прошел, сейчас они готовят второй суд по другому ЖК по аналогичной схеме. А по первому ушли в апелляцию, но уровень нарушений со стороны судьи говорит о чем-то. До этого суда уже и ФАС их обязал, а потом сотрудник ФАС же и говорил, что договора расторгнуты. И еще было множество судов, но теперь они все ожидают решение этого суда.
krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=43990C9D-7DB2-4EB6-A2D9-7F8CC56FEF85&_deloId=1540005&_caseType=0&_new=0&srv_num=1
Решение там же.
Так же появляются странные ссылки с такими же лицами:
krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=52B8A8D6-FEA3-4E2F-81EF-48185E5F9BA4&_deloId=1540005&_caseType=0&_new=0&srv_num=1
Следующий похожий суд:
krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=BC89831C-D819-4540-A380-95BF068D75F8&_deloId=1540005&_caseType=0&_new=0&srv_num=1
то же ИП подает в суд как физ лицо. Иначе бы ему быть в арбитраже.
Еще добавлю люди пытаются подключиться к электричеству уже больше года. И Путину писали и кому только не писали, и это при том, что Застройщик получил эти земли задарма и должен был построить инфраструктуру и собственники участков при покупке все оплатили.
В Краснодаре местные (кто понаоставались) очень ленивые, но тут приезжих(кто понаехал) еще больше. Так что не надо делать вид, что они такие из-за местных жителей. Надо понимать, что судья выносит решение с оглядкой на вышестоящий суд. Она знает, что ей ничего не будет и это самое беспонтовое в этой системе. Ничего никому не будет кто следует некой линии стабильности. Поэтому получаем блокировку всего Интернета на пару месяцев и ничего, гарант конституции не заметил нарушение наших прав.
Если в суде мы ничего не можем добиться, то начинаем использовать другие механизмы. На сколько это выгодно власти? Власти выгодны рабочие механизмы, а они работают пока люди в них верят. Вы налоги платите, но почему-то свои услуги не получаете в виде исполнения законов. В магазине Вы всех на уши поставите, если отдадите деньги, а товар будет дефектный. Но с государством хотите отмолчаться. Недобросовестный исполнитель должен быть наказан и отстранен не зависимо от его значимости, чтобы не допускать подобного в будущем.
В данном случае магии не было. После срабатывания MTProto "триггера" пара ${IP}:${TCP_port}
отправлялась в бан на час-другой. Заикания такая упячка вызывать не должна была.
То работает, то не работает.
Краснодар, Ростелеком
При этом включенный или выключенный VPN как ни странно не влияет на ситуацию. Сижу, мучаюсь. Думал, что это проблема у Гитхаба после покупки Майкрософт, но вероятно это какие-то «гениальные» идеи Ростелекома.
P.S. Лучше бы они свой ЛК починили. Заплатить за интернет — как пройти по пятам Данте.
Аналогичная ситуация со Стековерфлоу, "Сети Тагила". При чем я добавил основной адрес проси лист, но не подтягивались скрипты и стили с их ЦДН, который я тоже добавил в список прокси. Нужно рулиться с техподдержкой, но боюсь что будет безрезультатно, осталось найти время.
Иными словами DPI, которые не умеют определять поле Host через TLS-SNI, просто режут напрочь всю блокированную подсеть CDN.
Помимо Stackoverflow таким образом периодами блокируются GitHub, Steam и прочие ресурсы (CDN Akamai, Amazon, Cloudflare и другие).
Соответственно на Mikrotik легко решил вопрос маркировками и прописыванием маршрутов до заблокированных подсетей напрямую через шлюз, полученный от DHCP, т.е. в обход туннеля. Само соединение PPTP и белый адрес при этом не теряются.
У меня Google через мегафон таким же образом работает. F5 помогает. А еще, в качестве заглушки к запрещенным сайтам, они предлагают подключить платные услуги. Удобно. ;-)
За танчики и вк малолетство, и те у кого малолетство еще не прошло порвет РКН, за ФБ порвут либералы, за ОК — пенсионеры, за майнкрафт — школота, за инсту и твиттер — разные няшки с утинными губами, за хабр порвут переводчики потому что работы лишаться, за мыло.ру и аську — православные и скрепные, яндекс гебне нужен рабочий и невредим. Ютуб всем нужен в равной степени.
Короче маскируясь под разные сайты и сервисы можно будоражить разные слои населения ))
Ах какая наивность… шо аж не хочется прерывать вашу лебединую песню.
Никто никого не порвёт, разумеется, но сама идея будоражить, причём не избирательно а сразу всех — что-то в этом есть. :)
Всё продумано.
Где конкретно экстремизм? В том, что приложение посылает такие сетевые пакеты на собственный сервер какие ему хочется посылать? Или в том, что провайдер блокирует пакеты нарушающие работу популярных сервисов? РКН последние полтора месяца активно этим занимался лично, что-то его пока никто в экстремизме обвинять не пытается, хотя давно пора…
Сами пакеты никого не будоражат. А вот их блокирование… Если путать причины и следствия, то можно далеко зайти. Приложение просто пытается работать, обходя блокировки. Если обход блокировки приложением экстремизмом пока не считается, то идём дальше. Для обхода приложение маскируется под популярные приложения — вовсе не с целью кого-то будоражить, потому что никого будоражить отправкой своих пакетов своему серверу невозможно в принципе, а целью помешать блокированию своих пакетов из соображений "чтобы не будоражить народ". Если эти соображения кого-то не остановили, и он всё-таки заблокировал эти пакеты — то будоражит народ именно он. Я к тому, что идеи/задачи "будоражить людей" ни в этих комментариях, ни в предложении использовать популярные сайты для маскировки — нет. Наоборот, идея в том, что это поможет обойти блокировки потому что никто не захочет "будоражить".
P.S. Даже более того. Идеи помогающие телеграму обходить блокировку направлены на то, чтобы меньше будоражить людей из-за неработающего телеграма. :)
за майнкрафт — школота
Ага. Прямо так и порвут.
Minecraft Realms живут на серверах амазона и с начала «ковровых» блокировок вообще недоступны без VPN. С некоторыми сторонними серверами те же проблемы сейчас случаются. Кого уже порвали?
Если бы из-за блокировок, например, начались задержки пенсий или пособий по уходу за ребенком, реакция была бы другой.
Это же явно делают инженеры, чиновник до такого бы не додумался. Не мучает их совесть? Вроде должны быть с другой стороны, а работают на врага.
Может и тут банально что-нибудь импортозаместили?
Мозги?
пакеты размером 31 байт. Больше, меньше — можно.Тут судя по всему дело не в переполнении, уж потому, что больше тоже можно)
Как-то мелко даже для Ростелепорна
Ростелепорно? Хм, это что-то новенькое :)
То есть я теперь могу заблокировать любой сервис? Или это уникальные для каждого клиента фильтры на основе размеров пакетов?
А что говорят про IP этого VPS разные боты с https://usher2.club/ ?
тут-мой-IP не заблокирован
При запуске mtproxy в лог валится куча сообщений вида:
[1955][2018-06-15 12:49:30.114685 local] Connected to RPC Middle-End (fd=26)
Но я ничего не менял до момента «блокировки», все работало. На этом же хосте прекрасно работает socks5.
Судя по тому, что на текущем расположении у меня прекрасно работает socks5 (в т.ч. и до хостов телеграма), пакеты mtproto все же продолжают «резать».
С чего вдруг? Все повально ставят какие-то приложения и дополнения со словом vpn в названии. Те кто по прошаренней, запускают докер образы с проксями в облаках. В обоих случаях — большинство просто машет волшебной палочкой даже не понимая без инструкции что нужно бормотать в процессе.
Специалист по блокировкам?)
Мне кажется, что надо "прятать под фонарем" — там где ходит много народу. А именно: использовать максимально распространенный похожий протокол и в него инкапсулировать.
Например, WebSockets. Фактически, это очень удачный микс TCP и HTTP(S), который даст массу преимуществ:
- После установления соединения протокол ведет себя как TCP: очень легковесный с минимальным оверхедом (в данном случае будет добавка в 1-3 байта на указание длины сообщения)
- Распространен — поддерживается проксями и другим сетевым оборудованием
- Использует стандартный порт (80 или 443 для шифрованной версии)
- Удачно мимикрирует под легитимный HTTPS трафик, так что снаружи очень трудно их отличить. Если верно понимаю, то не имеет очевидного паттерна для обнаружения DPI.
- Поддерживает аутентификацию на стадии установления соединения разными методами: basic, cookie, или, например, обращение по секретному пути
- Может работать с разными доменами на одном IP.
- Существуют стандартные решения для проксирования, например, nginx.
- Благодаря этому можно поднять на одном сервере и обычный сайт и WSS прокси. Снаружи все будет выглядеть совершенно безобидно, пока вы не передадите секретную куку или не обратитесь на секретный URL, который будет проксирован на Телеграм. Доказать, что у вас не просто сайт, а секретная прокси без знания секрета нельзя.
- Поддерживается любым нормальным хостером — то есть можно ставить такую секретную проксю почти куда угодно и очень дешево. То есть каждый сможет сделать себе такую секретную микропрокси и делиться ей с друзьями.
Профит со всех сторон.
«Ростелеком» блокирует MTProto Proxy по размеру пакетов клиента