Comments 133
Чебурнет все ближе…
Точно такая же ситуация и с проводным интернетом от Билайна. После подключения услуги фиксированный IP перестали даже пинговаться некоторые сайты. Например пинг до ya.ru идет, а до yandex.ru нет, ну и жуткие тормоза прилагались. После переподключения услуги (сменился IP), все пришло в норму.
может один из серверов у них кривой?
у них ведь в своё время была какая-то проблема, если при подключении получаешь ip из какого-то диапазона, то 100% отвратительный инет будет со всевозможными проблемами. Помню даже люди скрипт писали для роутера, чтобы он переподключался пока не уйдет с с этого сервера.
p.s. лично я доволен билайном проводным, 4 года уже, 100 мегабит за 295 без каких либо проблем. два раза кабель перебивали на чердаке, делали в течение 2-3 дней.
у них ведь в своё время была какая-то проблема, если при подключении получаешь ip из какого-то диапазона, то 100% отвратительный инет будет со всевозможными проблемами. Помню даже люди скрипт писали для роутера, чтобы он переподключался пока не уйдет с с этого сервера.
p.s. лично я доволен билайном проводным, 4 года уже, 100 мегабит за 295 без каких либо проблем. два раза кабель перебивали на чердаке, делали в течение 2-3 дней.
Может и так. Но эксперименты показали, что переподключение не решает проблемы. Возможно для каждой сим-карты выдается теперь IP один и тот же. А для другой сим-карты — из другого диапазона.
То есть «сервер может и кривой», но что с этим делать пока непонятно (ну кроме как приобрести другую SIM)
То есть «сервер может и кривой», но что с этим делать пока непонятно (ну кроме как приобрести другую SIM)
у них ведь в своё время была какая-то проблема, если при подключении получаешь ip из какого-то диапазона, то 100% отвратительный инет будет со всевозможными проблемами
Лично сталкивался с такой проблемой с проводным билайном пару лет назад. ТП ничего не делали и не пытались, сначала не признавая сам факт проблемы (с тупыми советами: попробуй другой роутер/комп/телефон/бубен), а потом признали проблему, но опять ничего не делали, сославшись на то, что там что-то где-то уровнем выше легло. При подключении к сети по l2tp, если выданный ip был из определённого диапазона, часть сайтов выглядела как у автора статьи. Ещё часть адресов не ресольвилась. Проблема частично решалась использованием OpenDNS, и полностью пропадала после десятка-двух переподключений l2tp, когда выпадал ip из другого диапазона. Проблема решилась (явно не силами билайна) месяца через 3.
DPI тормозит. Люди в штатском не успевают ваши пакеты расшифровывать
Провайдер ДОМ.РУ. Ситуация 1 в 1 была 2 дня назад. Продолжалось 10-15 минут ночью.
Проверяйте свой IP, сам абонент и знаю по опыту, при пуле 100.* могут быть проблемы со скоростью, ещё иногда криво работает IPv6, так что его отключение тоже может помочь. Можно так же в такой ситуации собрать трассировку, пинги до разных ресурсов, замеры и скинуть в форму обратной связи. Если не помогает отключение IPv6 и смена IP адреса, то как вариант, когда я обращался в ТП дом.ру, использовал их утилиту test.exe. Её можно запустить заранее, проведёт замеры скорости, трассировку, а после сразу звонить в ТП, "по горячим" следам быстрее разберутся.
Коллега недавно решал проблему. Отсутствовала маршрутизация внутри сети самого билайна. 3 месяца, пока не дошел до старшего руководства. Были стандартные отписки стандартных обезьянок. (больше всего радовали советы от 2й линии поддержки разбератся с Лос Анжелесом, адрес 10.0.0.0/24 по вхуйсу там, но читать большой текст тем спецам влом (это не считая, что это нужно просто знать))
проверьте свой IP по URLBL листам
Например, тут http:// www.anti-abuse.org/multi-rbl-check/
Скорее всего дело в этом. На вашу симку распределили IP, который раньше был у спамера
Например, тут http:// www.anti-abuse.org/multi-rbl-check/
Скорее всего дело в этом. На вашу симку распределили IP, который раньше был у спамера
Не совсем уверен, что дело в выдаваемом IP. Сейчас проверить возможности уже нет (выходные закончились, а модем на даче остался в роутере торчать), но мне кажется адрес должен быть динамический. И еще, вероятно, один белый IP будет не только у меня, а у нескольких абонентов Билайн, вряд ли они NAT-ят один к одному.
Опять же, я не смог зайти по HTTPS даже на свой личный сайт, а у меня там никаких blacklist не настроено.
Хотя идея интересная конечно, нужно будет посмотреть, как там IP выделяются.
Опять же, я не смог зайти по HTTPS даже на свой личный сайт, а у меня там никаких blacklist не настроено.
Хотя идея интересная конечно, нужно будет посмотреть, как там IP выделяются.
А кто мешает по маске банить? Там целая подсеть провайдера может в блеклисте сидеть… из которой вам на ту симку и выдаётся IP...
Очень даже может быть дело в IP. РТК в моём регионе с некоторых пор стал снова NAT'ить ADSL'щиков, причём выходной шлюз может быть в Ярославле, Костроме, Туле и ещё в куче других городов (города из моего региона ещё ни разу не видел). Так вот с некоторыми из внешних IP тот же гугль во время поиска часто просит ввести свою гугло-капчу, объясняя это тем, что с «моего» IP (внешнего) замечен подозрительный трафик. В моём случае переподключение помогает.
PS: забавно ещё и то, что владельцы подключения по FTTx, в отличие от ADSL, получают «белые» IP с привязкой к своему региону.
PS: забавно ещё и то, что владельцы подключения по FTTx, в отличие от ADSL, получают «белые» IP с привязкой к своему региону.
Была бы проблема в IP, то yandex и ya не работали бы одинаково.
Сайты проверяют блеклисты при каждом запросе (включая запросы статических изображений), а не только при действиях вроде написания комментария или попытки логина?
Сайты затормаживает запросы с блеклистовых IP, а не дают им отлуп?
Сайты делают всё это для запросов по https, но не делают для запросов по http?
Идентичным образом ведут себя различные сайты, включая собственный сайт автора поста, не смотря на то что он утверждает что ничего подобного его сайт делать вроде бы не должен?
Такой сценарий кажется вам вероятным? Более вероятным чем некоторый сбой в той части провайдерского DPI которая обрабатывает https запросы?
Сайты затормаживает запросы с блеклистовых IP, а не дают им отлуп?
Сайты делают всё это для запросов по https, но не делают для запросов по http?
Идентичным образом ведут себя различные сайты, включая собственный сайт автора поста, не смотря на то что он утверждает что ничего подобного его сайт делать вроде бы не должен?
Такой сценарий кажется вам вероятным? Более вероятным чем некоторый сбой в той части провайдерского DPI которая обрабатывает https запросы?
Как предположение — ваша та симка где тормозит — попала в какой-нибудь чей-то список «на карандаш», в т.ч. возможно вовсе не билайну. Соотв они весь ваш секъюрный трафик заворачивают через какой-нибудь «нашингтон» (даже не на расшифровку, а так, на хранение — постепенный такой ввод в действие закона Яровой)
Думал об этом. Симка у меня года два. Сначала год торчала в андроид-магнитоле в авто, показывала яндекс-пробки. Потом летом пользовался интернетом на даче, все было нормально. Зиму пролежал модем в рюкзаке «на всякий случай», но кажется так ни разу им и не воспользовался. А этим летом такая вот проблема. Если «прослушивают» старого владельца, то как-то «позднее зажигание». А если меня прослушивают, то почему не «основную» симку, а из автомагнитолы? Там ничего сложнее яндекс-навигатора не работало, вряд ли это показалось кому-то подозрительным.
Неплохо предположение заминусовали, включая «карму»…
Касперский периодически сообщает о подмене корневого сертефиката на мтсе (проводной).
Касперский и сам сертификат подменяет для "защиты" :)
Что делает Касперский я более менее представляю, и раз он стоит — я готов этим жертвовать, а вот когда непонятно кто и непонятно зачем лезет в трафик, это уже совсем другой разговор.
Хм, а Вы могли бы рассказать (или дать ссылочку где почитать), как может Касперский прозрачно подменять сертификат, чтобы пользователь (= браузер) этого не заметили?
Я не очень хорошо знаю эту кухню, но скорее всего, сейчас все провайдеры подменяют корневой сертификат.
Насколько я понимаю, без подмены и анализа https-трафика они вынуждены банить неугодные РКН сайты по IP.
Мой маленький местечковый провайдер долго так и делал, поэтому у меня не открывались https-сайты logitech, slack, appleinsider, bower.io и ещё много других, в то время как у крупных провайдеров, включая Ростелеком, с этим проблем не было.
Насколько я понимаю, без подмены и анализа https-трафика они вынуждены банить неугодные РКН сайты по IP.
Мой маленький местечковый провайдер долго так и делал, поэтому у меня не открывались https-сайты logitech, slack, appleinsider, bower.io и ещё много других, в то время как у крупных провайдеров, включая Ростелеком, с этим проблем не было.
UFO just landed and posted this here
А от сервера это зависит? Мой провайдер говорит мне, что они могут отследить обращение только к некоторым адресам по протоколу https, а остальные блокируют целиком по IP
Дамп то трафика из wireshark остался? Выложите куда-нить посмотреть
добавил ссылку на дамп
ну как минимум я вижу что сертификаты 4pda вам прилетают правильные (точно такие же как и мне), а потом от сервер не получает от вас подтверждения получения пакетов (то есть ACKки вы ему отправляете, а он вам в большом количестве Retransmissions присылает (то есть постоянно повторяет одни и те же данные, как будто ваши ACKки до него не доходят)). Скорей всего тут не вмешательство в https, а некая ошибка в конфигурировании сети от вас до сервера и скорей всего она непреднамеренная (ну либо с целью «выгнать пользователей к конкурентам»). То, что на одной симке проблема наблюдается, а на другой нет скорей всего объясняется тем, что разные симки ходят через разные NAT\Bras\etc (не знаю как мобильные операторы строят свои сети в общем случае и как билайн в частности).
Варианта развития как мне кажется 2: либо проблему заметят и исправят без вашего дальнейшего участия (по системе мониторинга, по куче однотипных заявок, по этому топику в конце концов), либо придется общаться с саппортом, но не по телефону, а текстом, прикладывать дампы трафика и призывать инженеров в тикет
Варианта развития как мне кажется 2: либо проблему заметят и исправят без вашего дальнейшего участия (по системе мониторинга, по куче однотипных заявок, по этому топику в конце концов), либо придется общаться с саппортом, но не по телефону, а текстом, прикладывать дампы трафика и призывать инженеров в тикет
Выглядит как будто для https трафика на вход (к клиенту) стоит шейпер. Хорошо видно на Time/Sequence диаграмме — сервер пытается вам наваливать входящего трафика (первые 12-13 секунд сессии) согласно открытому окну, но видимо что-то его режет — наблюдаются дропы-реордеринг пакетов. Затем congestion control понимает что что-то не то с каналом и начинает дозировать трафик по чайной ложечке. Отсюда и Скорость.
Я тоже больше склоняюсь к тому, что это шейпер.
Непонятна его избирательность, а именно:
1) режет только HTTPS (в первом приближении остальное работало нормально), но при этом не любой, некоторые сайты функционируют нормально.
2) проблема наблюдается на конкретной симкарте ( скорее всего на тарифе, а не симкарте, потому что на одной карте обычный «телефонный» тариф, а на другой, проблемной, «интернетный»)
Исходя из этого непонятен сам смысл такого шейпера. Ладно бы шейпили торренты там, или что-то такое. Да я и не «вредный» клиент, чтобы меня поджимать, купил пакет 15Гб/мес, а за 20 дней потратил всего 2.5Гб.
Так что такой шейпинг для экономии полосы для оператора бесполезный. Скорее всего ошибка, или https льется в отдельный DPI, который не справляется. Или скорее на пул DPI, и тот что привязан к моей симке — не справляется/некорректно работает, а остальные нормально работают.
Непонятна его избирательность, а именно:
1) режет только HTTPS (в первом приближении остальное работало нормально), но при этом не любой, некоторые сайты функционируют нормально.
2) проблема наблюдается на конкретной симкарте ( скорее всего на тарифе, а не симкарте, потому что на одной карте обычный «телефонный» тариф, а на другой, проблемной, «интернетный»)
Исходя из этого непонятен сам смысл такого шейпера. Ладно бы шейпили торренты там, или что-то такое. Да я и не «вредный» клиент, чтобы меня поджимать, купил пакет 15Гб/мес, а за 20 дней потратил всего 2.5Гб.
Так что такой шейпинг для экономии полосы для оператора бесполезный. Скорее всего ошибка, или https льется в отдельный DPI, который не справляется. Или скорее на пул DPI, и тот что привязан к моей симке — не справляется/некорректно работает, а остальные нормально работают.
Посмотри, что в дампе за сертификат сервер присылает по tls, ну или дамп скинь с проблемой tls куданить.
Спасибо за информацию. Как раз хотел летом на дачу купить 3G-модем на дачу. Теперь буду очень внимателен с выбором оператора.
Тут все относительно. К примеру, в прошлом году у МТС был Безлимитище, а на даче у нас ловил 4G МТС. Соседи пользовались. А теперь не Безлимитища нет, и 4G куда-то пропал, нет покрытия. Проверял Мегафон — работает 3G, но хуже Билайна по скорости 1-2мбит на том же оборудовании (пчелки 3-10мбит). Плюс к тому Билайн в нашем регионе еще и самый дешевый получается, если сравнивать с МТС и Мегафоном.
Но вот такого прикола с HTTPS конечно не ожидал я. На крайняк выкину симку и новую возьму. С другой-то работает нормально.
Но вот такого прикола с HTTPS конечно не ожидал я. На крайняк выкину симку и новую возьму. С другой-то работает нормально.
У меня та-же фигня плюс ещё и качество голосового соединения гавно, постоянно слова глотает. А в тех поддержке билайн мозги компосируют типа все нормально по вам ограничений никаких нет. Нервы сдают перехожу нс другого оператора а этот билайн пошел в… со своими говно спецами.
Слушайте, а это никак не связано с недавними событиями про фейл РКН? У меня так мой сайт с https в отвале уже 2й день (юзаю cloudflare). Вчера не работали госуслуги, потом отпустило. Сегодня не работал ВК полдня (через Сумтел).
Я про https://zona.media/news/2017/06/02/vkya
Причем все, что не пашет, через vpn (оперы) работает.
(провайдеры Спарк(ттк) и Сумтел; Ростов-на-Дону)
Я про https://zona.media/news/2017/06/02/vkya
Причем все, что не пашет, через vpn (оперы) работает.
(провайдеры Спарк(ттк) и Сумтел; Ростов-на-Дону)
Да, письмо мне такое тоже приходило по работе (рассылка всем операторам связи была). Про фейл я конечно посмеялся про себя. Но это, и проблемы с HTTPS никак связать не могу, маловероятно что они связаны, на мой взгляд.
Скорее всего из-за провайдера (ттк). Я об этом полмесяца назад на хабре писал.
В комментариях еще похожих примеров добавили. Чуть ниже упоминают humblebundle.com — тоже самое: не работает https, но http запросы проходят. Достаточно сменить провайдера и все заработает. Проверил минуту назад.
В комментариях еще похожих примеров добавили. Чуть ниже упоминают humblebundle.com — тоже самое: не работает https, но http запросы проходят. Достаточно сменить провайдера и все заработает. Проверил минуту назад.
Несколько лет назад, когда я еще сидел на ростелекомовском ADSL, внезапно перестали открываться, или открывались вот так же криво, некоторые сайты. Точно так же не сразу, но понял — проблемы с HTTPS. Обращение в ТП ничего не дало, по моему, они даже не поняли, о чем речь. Все твердили, что «это с вашим компьютером что-то». Мои уверения в том, что опробовано 2 разных компьютера, 3 разных ОС, включая линукс — как горох об стенку. Писал и на местный форум, где паслись технари провайдера, но был только обсмеян, типа зачем нам фильтровать ваш трафик HTTPS.Однако после неофициального задействования проф. знакомств все-таки обещали посмотреть. И чудесным образом все заработало, а мне потом так же неофициально сообщили, что проблемы имели место быть, но вина в них как бы не совсем провайдера — понимайте как хотите.
UFO just landed and posted this here
Насколько я понимаю, для этого нужно установить на компьютере сертификат удостоверяющего центра (или как там его зовут). Этот сертификат можно поставить через групповую политику, если компьютер в домене. Тогда им можно подписывать любые сертификаты, и ваш компьютер будет «верить» таким сертификатам. И то не факт, что будет работать во всех браузерах, они вроде как свою базу корневых центров содержат.
Ну и в любом случае не мой вариант, я пробовал на разных ОС и на разных компьютерах, не доменных.
Хо ходят слухи (не достоверные, но… якобы кто-то даже видел как работает) что наши специальные органы имеют возможность делать MitM, подсовывая подписанный «валидный» сертификат. Тут я же не знаю, можно ли дальше писать про вещи, которые «нельзя называть», или я уже и так понаписал лишнего :) Если надо — удалят наверное. Из под моего же аккаунта :)
Ну и в любом случае не мой вариант, я пробовал на разных ОС и на разных компьютерах, не доменных.
Хо ходят слухи (не достоверные, но… якобы кто-то даже видел как работает) что наши специальные органы имеют возможность делать MitM, подсовывая подписанный «валидный» сертификат. Тут я же не знаю, можно ли дальше писать про вещи, которые «нельзя называть», или я уже и так понаписал лишнего :) Если надо — удалят наверное. Из под моего же аккаунта :)
проблемы «генерировать валидный сертификат на лету» нет, есть есть доступ сертификату удостоверяющего центра которому вы (ваше ПО) доверяет. Есть проблема «не палится генерируя левые сертификаты», ибо есть certificate-transparency.org и DNS CAA (они конечно пока только набирают обороты, но со временем надеюсь будут полностью решать проблему «плохие парни получили корневой сертификат и генерят что хотят»)
UFO just landed and posted this here
Господа, оставить панику, тут виноват недавний фейл РКН — когда через уже заблокированный домен положили много обычных сайтов, там в списке был:
1tv.ru
badoo.com
pikabu.ru
ok.ru
nic.ru
rzd.ru
atlas ripe
ocsp.comodoca.ru (OCSP-респондер CA)
rtcomm.nag.ru
mail.ru
rbc.ru
booking.com
skbkontur.ru
vasexperts.ru
ntv.ru
vk.com
office 365
facebook.com
reg.ru
sipnet.ru
rfc-revizor.ru
Недавно раздали список всех свободных доменов которые под блокировкой, такие случаи будут повсеместны, подробно инцедент впервые описали тут
1tv.ru
badoo.com
pikabu.ru
ok.ru
nic.ru
rzd.ru
atlas ripe
ocsp.comodoca.ru (OCSP-респондер CA)
rtcomm.nag.ru
mail.ru
rbc.ru
booking.com
skbkontur.ru
vasexperts.ru
ntv.ru
vk.com
office 365
facebook.com
reg.ru
sipnet.ru
rfc-revizor.ru
Недавно раздали список всех свободных доменов которые под блокировкой, такие случаи будут повсеместны, подробно инцедент впервые описали тут
Отчасти да, похоже на объяснение. Например drom.ru и 4pda.ru имеют сертификаты COMODO
Но непонятно 3 вещи
1) https:// yandex.ru открывался, а https:// ya.ru нет, а у них CA один, Yandex LLC
2) разве при недоступности ocsp.comodoca.ru сайты с их сертификатом будут открываться, но при этом тормозить? Мне думалось вообще не будут работать
3) почему при смене симки то начинало работать, то «ломалось», причем на одном компе? Выше было мнение, что может быть из-за IP, привязанного к SIM
Но непонятно 3 вещи
1) https:// yandex.ru открывался, а https:// ya.ru нет, а у них CA один, Yandex LLC
2) разве при недоступности ocsp.comodoca.ru сайты с их сертификатом будут открываться, но при этом тормозить? Мне думалось вообще не будут работать
3) почему при смене симки то начинало работать, то «ломалось», причем на одном компе? Выше было мнение, что может быть из-за IP, привязанного к SIM
1) Кто-то другой прописал IP от ЦА яндекса
2) смотря какой браузер Safari вообще не даст открыть, у других надо смотреть
3) Вы попадали на DPI который еще не подгрузил новый список блокировок но потом он его подгружал и всё ломалось
Еще раз — на том канале были выложены целый список свободных для регистрации но УЖЕ заблокированных доменов, их вроде бы почти все уже купили следовательно каждый купивший по своему желанию может убивать любой сайт какой захочет.
РКН по этому поводу выпускали экстренный документ о внесении IP он вконтакте в «белый список».
2) смотря какой браузер Safari вообще не даст открыть, у других надо смотреть
3) Вы попадали на DPI который еще не подгрузил новый список блокировок но потом он его подгружал и всё ломалось
Еще раз — на том канале были выложены целый список свободных для регистрации но УЖЕ заблокированных доменов, их вроде бы почти все уже купили следовательно каждый купивший по своему желанию может убивать любой сайт какой захочет.
РКН по этому поводу выпускали экстренный документ о внесении IP он вконтакте в «белый список».
Ознакомился, спасибо. Уже скупаю заблокированные домены :)
Вот и дошли до «белых списков».
А что мешает сначала зарегистрировать домен, и уже потом намеренно спровоцировать блокировку?
Административная и уголовная ответственность.
UFO just landed and posted this here
Ответственность за что? За блокировку?
За контент который спровоцировал блокировку.
Отвечать будет, наверное, некий Анонимъ с ником «Жопау Педрозу» и аргентинским IP, из-под которого добавлена ссылка на порнуху в немодерируемой гостевухе?
За ссылки вроде ещё не блокируют. Вот если картинки или видео встроит тогда да. Или текст на блокируемые темы.
Мы вообще рассуждаем о блокировке или об уголовной ответственности?
Можно сваять на коленке сайт, прицепить к нему дырявый форум, спамеры сами набегут и сделают всё что надо. Сверху на форуме налепить дисклэймер о том, что дорогая редакция ответственности ни за что не несёт, все сообщения размещаются пользователями ресурса, и наркота, суицид, ЦП, призывы к поруганию действующего президента запрещены, сообщения будут удаляться, пишите на почту, стучите в рельсу если увидите.
И спокойно дожидаться блокировки. Можно даже анонимно самому на себя кляузу накатать в РКН ради ускорения процесса. Уголовка Неуловимому Джо вряд ли светит.
Ну и главное, чтобы движок форума правильно интерпретировал конструкцию
Можно сваять на коленке сайт, прицепить к нему дырявый форум, спамеры сами набегут и сделают всё что надо. Сверху на форуме налепить дисклэймер о том, что дорогая редакция ответственности ни за что не несёт, все сообщения размещаются пользователями ресурса, и наркота, суицид, ЦП, призывы к поруганию действующего президента запрещены, сообщения будут удаляться, пишите на почту, стучите в рельсу если увидите.
И спокойно дожидаться блокировки. Можно даже анонимно самому на себя кляузу накатать в РКН ради ускорения процесса. Уголовка Неуловимому Джо вряд ли светит.
Ну и главное, чтобы движок форума правильно интерпретировал конструкцию
<img src="http://порносайт/ЦП.jpg">
А у нас полагается уголовная ответственность за попадание в списки роскомнадзора?
Ответственность не за попадание в списки, а за нарушение закона. Одним из следствий нарушения является блокировка ресурса, содержимое которого нарушает законодательство. А другим — наказание распространителя (если оного обнаружат)
Для попадания в списки роскомнадзора нарушать закон не требуется, достаточно не понравится роскомнадзору. Есть масса случаев досудебной блокировки.
Досудебной — да. А вот чтобы по инициативе Роскомнадзора — таких не припомню. Обычно суд, ФНС, ФСКН, Роспоребнадзор и т.д. Можно примерчик, чтобы Роскомнадзор сам блокировал? Даже интересно стало, что за ресурс.
Простите, вы не слышали в новостях о массовой блокировке ресурсов недавно? Включая телеграм и кучу других случайных сайтов?
Слышал. То что я слышал об этом — говорило об уязвимости используемой системы блокировки. А не о том, что «Роскомнадзор по своему усмотрению блокирует случайные сайты». Тут в комментах есть информация по этому поводу.
Саму блокировку выполняют провайдеры.
А распоряжение о блокировке Роскомнадзору выдает «суд, ФСКН, ФНС, etc»
Роскомнадзор не принимает решения о блокировке, они ведут реестр ресурсов и контролируют, чтобы блокировка провайдерами выполнялась.
По моему, эта система работает именно так. Разве нет?
Саму блокировку выполняют провайдеры.
А распоряжение о блокировке Роскомнадзору выдает «суд, ФСКН, ФНС, etc»
Роскомнадзор не принимает решения о блокировке, они ведут реестр ресурсов и контролируют, чтобы блокировка провайдерами выполнялась.
По моему, эта система работает именно так. Разве нет?
Наверное можно, но домен не в зоне ru, а какой-нибудь com или вроде того. И провоцировать блокировку видимо желательно по причине, за которую нет ответственности в той стране, где будете хостить сайт (его надо будет сделать, чтобы получить блокировку). Чтобы «там» было можно такой сайт, а «тут» нельзя.
Действительно, никакой паники. Всё нормально. Вазелин в профкоме выдадут.
humblebundle.com тоже РКН заблочил? Он у меня теперь только через Тор открывается.
О, ну тогда это объясняет и проблемы у моего сайта, https у которого идет через cloudfare, а у последнего сертификат от COMODO.
Не думаю, что билайн блокирует по ip.
Если бы он это делал, тогда вообще не загружалось бы ничего.
Возможно, причина — да, описанная выше, но из-за несколько других последствий:
система, занимающаяся фильтрация для проблемной симки оказалась перегружена.
Если бы он это делал, тогда вообще не загружалось бы ничего.
Возможно, причина — да, описанная выше, но из-за несколько других последствий:
система, занимающаяся фильтрация для проблемной симки оказалась перегружена.
Кто это сделал? Чувак, если ты это читаешь — ты мой герой! Нужно больше создавать такого, чтобы весь рунет перебанило!
А вот был бы у них OCSP-stapling на сервере, всё сложилось бы иначе.
подробно инцедент впервые описали тут
У вас ссылка на телеграм канал — у меня не открывается. Вы имели в виду эту публикацию?
Ещё немного подробностей тут — провайдеры вынуждены подстраиваться под глючную логику «Ревизора».
removed
TOR-браузер вообще не запускается (не может загрузить состояние сети).
У меня на домашнем Билайн (Москва) не работают соединения с entry nodes TOR уже примерно месяц как, приходится использовать bridges (и те регулярно отваливаются, приходится менять, но тут проблема может быть и не только в провайдере).
я видел подобное при неверной настройке MTU на ADSL.
На MTU я первым делом подумал и попробовал -j TCPMSS --set-mss 1200 и -j TCPMSS --set-mss 500
Ситуация не поменялась, при этом у не HTTPS-соединений с MTU проблем не было, и я отмел это как вероятную причиную
Ситуация не поменялась, при этом у не HTTPS-соединений с MTU проблем не было, и я отмел это как вероятную причиную
Для этого можно просто запустить ping
ping -f -l 1492 любой_рабочий_адрес
ping -f -l 1492 любой_рабочий_адрес
Согласен, но для чистоты эксперимента я пробовал непосредственно с TCP-трафиком. Сталкивался с ситуациями, когда разные протоколы роутились по разным маршрутам, а там и MTU могло по дороге быть другим.
Яркий пример из начала 2000-х: http/s (а так же pop3 и что-то еще по мелочи) в тоннель через спутник, остальное «по земле». Как раз на http/s получалась инкапсуляция, и уменьшался MTU, а пинги ходили по земле, и спокойно пролазили.
Но в любом случае, проблема в статье связана не с MTU/MSS
Яркий пример из начала 2000-х: http/s (а так же pop3 и что-то еще по мелочи) в тоннель через спутник, остальное «по земле». Как раз на http/s получалась инкапсуляция, и уменьшался MTU, а пинги ходили по земле, и спокойно пролазили.
Но в любом случае, проблема в статье связана не с MTU/MSS
>но для чистоты эксперимента я пробовал непосредственно с TCP-трафиком
?
TCP у вас инкапсулируется в ip и идет фрагментация именно ip пакетов.
По сути TCP у вас это некий поток, постоянный — транспортный уровень. IP же это сетевой уровень.
Понятно, что оно не относится к данной проблеме и я указал простой способ проверки фрагментации пакетов, что бы не заниматься ерундой с iptables.
?
TCP у вас инкапсулируется в ip и идет фрагментация именно ip пакетов.
По сути TCP у вас это некий поток, постоянный — транспортный уровень. IP же это сетевой уровень.
Понятно, что оно не относится к данной проблеме и я указал простой способ проверки фрагментации пакетов, что бы не заниматься ерундой с iptables.
Я вроде привел адекватный пример, где видно, что IP пакеты, в которые инкапусулирован icmp (как вы предлагаете) будут проходить, а пакеты, в которые инкапсулирован TCP — не будут.
Поэтому проверить MTU ICMP-пакетами можно, но результат может быть недостоверным. Так что насчет «занятий ерундой» не соглашусь.
Так-то можно сказать: раз HTTP трафик (внутри TCP/IP) проходит, то HTTPS (внутри TCP/IP) тоже должен проходить. Ан нет, не работает же (статья об этом). А на HTTP и HTTPS MTU влияет одинаково в 99% случаев (если только не получать отдельным соединением по HTTP файлики меньше примерно 1кб)
Поэтому проверить MTU ICMP-пакетами можно, но результат может быть недостоверным. Так что насчет «занятий ерундой» не соглашусь.
Так-то можно сказать: раз HTTP трафик (внутри TCP/IP) проходит, то HTTPS (внутри TCP/IP) тоже должен проходить. Ан нет, не работает же (статья об этом). А на HTTP и HTTPS MTU влияет одинаково в 99% случаев (если только не получать отдельным соединением по HTTP файлики меньше примерно 1кб)
http в tcp,tcp в ip — ip фрагментируется.
icmp в ip — ip фрагментируется.
Поэтому пингами вполне можно все проверить.
Можно задать Размер буфера отправки итд.
При этом не долбить один Ip, а пробовать разные и в итоге подобрать оптимальный MTU.
icmp в ip — ip фрагментируется.
Поэтому пингами вполне можно все проверить.
Можно задать Размер буфера отправки итд.
При этом не долбить один Ip, а пробовать разные и в итоге подобрать оптимальный MTU.
Вы не можете проверить пингами MTU в некотором канале, если пинги идут в обход этого канала.
Вы не можете проверить http/https так как в некотором канале он может быть идти через другой канал. ping и tracert это первое, что надо делать и это первое показывает, когда у вас что-то не так или не так где-то еще. Столько раз видел на магистралях петли итд.
Ну и то, о чем вы говорите — это TCP MSS.
Но он то как раз и получается, что TCM MSS = (IP MTU – [IPHDR + TCPHDR])
То, что есть дятлы админы которые закрывают полностью ICMP беда компании.
Поэтому в общем и был придуман MTU Discovery Black Hole — https://tools.ietf.org/html/rfc2923
к https://tools.ietf.org/html/rfc1191.
Поэтому зная это все и понимая это все, достаточно команды ping, что бы проверить MTU и сделать вывод о MSS.
Еще можно вспомнить про MPLS MTU, о котором в общем редко кто вспоминает, а он в общем есть.
Ну и то, о чем вы говорите — это TCP MSS.
Но он то как раз и получается, что TCM MSS = (IP MTU – [IPHDR + TCPHDR])
То, что есть дятлы админы которые закрывают полностью ICMP беда компании.
Поэтому в общем и был придуман MTU Discovery Black Hole — https://tools.ietf.org/html/rfc2923
к https://tools.ietf.org/html/rfc1191.
Поэтому зная это все и понимая это все, достаточно команды ping, что бы проверить MTU и сделать вывод о MSS.
Еще можно вспомнить про MPLS MTU, о котором в общем редко кто вспоминает, а он в общем есть.
можно еще tcptraceroute сравнить на 80, 443 и какой-нибудь еще порт.
обычным traceroute как-то так:
traceroute -T -p 80 ya.ru
обычным traceroute как-то так:
traceroute -T -p 80 ya.ru
А VPN работает?
UFO just landed and posted this here
У вас (точнее у провайдера) в вашем расположении проблемы с настройками сети (на что реордер намекает как раз). Ваш хттпс в безопасности, чтобы в него влезть, нужно, помимо того, что быть провайдером, еще и владеть CA сертификатом, которому ваш браузер доверяет. Более того, существует обратная проблема- когда вполне легитимный сертификат не принимается браузером (я с этим сталкиваюсь на встроенных браузерах старых андроидов)
С тех пор как мне во мгновение без всяких подтверждений оформилась платная подписка по клику на кнопку на ноунеймовом сайте, — я пользуюсь мобильным интернетом исключительно через Tor (см. Orbot).
Вам билайн случайно услугу «файрволл» не подключил?
У нас многое перестало работать с билайна Н-ное количество времени назад, уже все перебрали как варианты, и железо, и софт, и вирусы… зашли в ЛК билайна пополнить баланс — оппа — услуга файрвол включена, да еще на «высоких настройках» с урезанием до фига чего.
Ладно хоть бесплатная, но нервов попортило. При чем после отключения только через 24 часа все заработало.
У нас многое перестало работать с билайна Н-ное количество времени назад, уже все перебрали как варианты, и железо, и софт, и вирусы… зашли в ЛК билайна пополнить баланс — оппа — услуга файрвол включена, да еще на «высоких настройках» с урезанием до фига чего.
Ладно хоть бесплатная, но нервов попортило. При чем после отключения только через 24 часа все заработало.
Забавно, имею секс 2 дня с этой проблемой, одолели клиенты… проблема с ок.ru… при чем проявляется забавно… те кто идут тунелем pppoe все пучком, те кто в открытую, все, превед… при это тунель то всего через дслам и пару коммутаторов. жаль коммутаторы я не контролирую, думаю проблема там… По вайршарку примерно то же что и у автора. явно херятся пакеты. Проблема отчасти похожа на mtu, но явно в чем то ином. принцип по которому некоторые сайты работают а некоторые нет, не уловил. Интересные свежие внятные идеи ит инженеров, а не школьников любителей. Вот реально можно подумать, что кто-то пытается вклиниться в трафик от чего сервак начинает левые пакеты и вести себя странно. И проблема не только у билайна! Весткол так имеет проблему. Только инженеры там такие, которым на хрен ничего не надо. За то манагеры очень ушлые! и отжать бизнес им не западло. Но это иная история.
мне билайн присылал смс что я должен якобы заплатить подарок на новый год, потом исчезли деньги и подарка не было соответственно.
- отсутствует Server Key Exchange и Server Hello Done в хендшейке
- неверный номер пакета идущего от сервера после отправки сертификата
Так, сервер отправляет три ответа для установки сессионного ключа — это Certificate, Server Key Exchange, Server Hello Done. Двух последних в сессии нет.
Последний ответ сервера: сертификат. Воспользуемся тем что TCP маркирует пакеты чтобы получать подтверждения о доставке, маркер называется Sequence number.
Sequence number следующего пакета = Sequence number текущего + длинна TCP Segment текущего
- Sequence number[Server Key Exchange] = Sequence number[Certificate] + TCP Segment length[Certificate] = 4261 + 944 = 5205
Т.е. Sequence number следующего после сертификата пакета должен быть 5205, а у нас 5463. Значит сервер отправлял необходимые пакеты, но они не дошли.
Как удобно, отсутствует всего один ответ, но это не дает завершиться протоколу обмена ключами.
Дальше всё просто, сервер не получает подтверждения получения всех пакетов хендшейка, т.к. часть не дошла, и отправляет их заново, но они не доходят. Всё завершается сбросом соединения[TCP RST].
Для того чтобы сделать выводы, нужно несколько дампов.
Если во всех дампах будет отсутствовать Server Hello Done, то это сигнатурный анализ с последующий дропом пакета. В простонародье DPI. Никакие шейперы, натЫ и фаерволла не могут дропнуть один пакет из хендшейка и не давать переслать его заново, а сигнатурный анализ может.
Или PMTU blackhole в направлении «к клиенту», только Reorder при этом нигде не должно быть.
Сомнительно умышленно дропать Key Exchange или Server Hello Done, это сложно.
Проще было бы дропать Certificate с «недоверенными» Subject/Altname или просто все соединение.
Китайский файрвол просто шлет RST клиенту, когда DPI не нравится TLS-сессия (например когда там openvpn вместо https).
На всякий случай, для хорошего анализа ситуации нужен полный дамп соединения, то есть запустили tcpdump или wireshark, сделали curl -v https://ya.ru/, дождались пока он закончится, закончили писать дамп.
Сомнительно умышленно дропать Key Exchange или Server Hello Done, это сложно.
Проще было бы дропать Certificate с «недоверенными» Subject/Altname или просто все соединение.
Китайский файрвол просто шлет RST клиенту, когда DPI не нравится TLS-сессия (например когда там openvpn вместо https).
На всякий случай, для хорошего анализа ситуации нужен полный дамп соединения, то есть запустили tcpdump или wireshark, сделали curl -v https://ya.ru/, дождались пока он закончится, закончили писать дамп.
Почему именно эти пакеты? А почему нет?)
Сложности в этом нет, я даже на микротике такое настраивал. База сигнатур есть.
Об этом надо думать как об особенности реализации.
К тому же сервер пытался переслать пакеты повторно т.к. не получил ACK, но они по прежнему не доходили и сессия всё больше сегментирвалась. Один случайность, два закономерность.
Небольшая догадка, пакеты с цепочкой сертификатов весят много больше чем хилые пакеты c hello done состоящие из пары байт.
Соответственно, чем меньше весит пакет тем меньше времени и памяти уйдет на его анализ, если у вас тысячи клиентов, то время и память ключевые параметры.
Как я и сказал, нужно несколько дампов, чтобы сказать наверняка.
Эта версия правда не объясняет, почему в итоге «страница таки загружалась». Да — долго, да — не с первого раза. Но загружалась.
Может там конечно пул из DPI-железок, и иногда пакеты направлялись в другую железку?
Других дампов к сожалению нет, и раньше выходных они вряд ли появятся. А к тому времени может и исправят все.
Может там конечно пул из DPI-железок, и иногда пакеты направлялись в другую железку?
Других дампов к сожалению нет, и раньше выходных они вряд ли появятся. А к тому времени может и исправят все.
У нашего местечкового провайдера внезапно отвалился cdn jquery.com с аналогичными симптомами
Я недавно отказался от Билайна — техподдержка ниже всякой критики. Билайн упрямо твердил, будто обрывы и тормоза из-за роутера, я сменил провайдера — всё заработало.
На что сменили, если не секрет? А то тоже подумываю над этим.
Тех. поддержка действительно очень не очень у них стала. Работают медленно. В спорт чате ничего кроме перезагрузки роутера посоветовать и не могут, а на форуме очень уж медленно отвечают и очень часто игнорят пока не начнёшь бочку катить на них. Много уже пережил с билайном (начинал ещё с корбины. потом её выкупил билайн), но сейчас серьёзно задумался о переходе.
Тех. поддержка действительно очень не очень у них стала. Работают медленно. В спорт чате ничего кроме перезагрузки роутера посоветовать и не могут, а на форуме очень уж медленно отвечают и очень часто игнорят пока не начнёшь бочку катить на них. Много уже пережил с билайном (начинал ещё с корбины. потом её выкупил билайн), но сейчас серьёзно задумался о переходе.
UFO just landed and posted this here
Читал-читал… и никто не написал про проблеммы сотовых операторов. На сколько я помню в 3G технологии на данные используются 2 потока, а на голос 1! Следовательно используя сим карту для модема Вы используете для передачи данных 2 потока, а используя симку для телефона-3. Кстати, с этим связана разная цена на трафик для модема и для телефона. Так-же скорость, качество подключения, скорость загрузки сайтов зависит от количества абанентов в данном секторе покрытия базовой станции, количества трафика от них… и т.д.
Sign up to leave a comment.
Билайн, зачем ты лезешь в мой HTTPS?