У меня проводной провайдер поступает значительно проще - поставил request rate на запросы к одному и тому же IP адресу и это убивает работу XRay.
Догадался я далеко не сразу - у меня начала очень нестабильно работать WEB UI от живущего в интернете proxmox'а - панелька генерит по 5-20 запросов в минуту, долгое время пытался починить сам proxmox. Обнаружил после того, как уже отчаялся, загнал трафик через локальный прокси (для улучшения диагностики), а на стороне proxmox'а смотрел трафик wireshark'ом. Во время срабатывания request rate'а до хоста даже SYN пакеты не доходят.
Решается ли как-то эта проблема в XRay / Sign-Box'е? К примеру, можно балансировать сессии между 5-10-XX IP адресами, но имея единую exit node'у.
И тут на сцену выходит билайн с его бесплатными симками на гигабайт трафика.
На рыло сейчас разрешено по 20 сисок, вот можно взять в ротацию 15 симок (поставить второй симкой в телефон и менять) и иметь 15 гигабайт бесплатного зарубежного трафика ;))))
Причём они включили stealth блокировку - мой платёж с иностранной карты на продление мариновался неделю и отклонялся (с возвратом денег), поддержка молчала как партизан и вообще ни на что не реагировала. Учётка привязана к почте на gmail.com. Заявка на токен для переноса к другому регистратору не отрабатывала.
Но стоило приложить "подтверждение" принадлежности к другой стране, как очередной висящий около 5 дней платёж в статусе "на проверке" внезапно прошёл и также внезапно удалось получить токен на перенос домена.
Можно предположить, что это просто совпадение, но уж очень это подозрительное совпадение.
Зарегил я в 2021 году свой домен не в RU зоне для почты,... а потом в 2022 едва смог унести ноги от зарубежного регистратора, кое-как доказав ему, что я не в России. Спас Удалить и поддельный скан аспорта гражданина Казахстана.
И это у меня был ещё лайтовый вариант, регистратор особо не докапывался и позволил забрать домен
Может это наоборот хорошо? Чем больше блокировки нанесут вреда экономике блокируя легитимное, тем больше шансов, что эту тему прикроют и оставят лайт вариант.
Цель ведь не в том, чтобы обойти - всегда можно рубануть зарубежные аплинки и будет это бесплатно. Цель это сделать экономически невыгодным.
Есть версии андроида, в которой это уже починили? И сразу вопрос вдогонку - на Linux можно определить PID процесса, открывшего сокет, но с рутовыми привилегиями. На андроиде без рута это тоже не решается?
Понятненько... а в обратную сторону блокировка работает? Если завалить IP адрес условного озона запросами со SNI = www.youtube.com, то прилетит ли блокировка на этот IP адрес? :)
Кстати, наткнулся на интересный прикол с этими 16kb - есть совершенно легитимный сервер вне РФ, там много лет висит мини домашняя страничка. Обнаружил, что объекты размером больше где-то 15k не пролезают, причём RST никаких нет в трейсе, просто пакеты блочатся.
Получается, ТСПУ трекает конкретные сессии? Интересно, что будет если таких сессий станет 30к - начнёт пропускать, заблокирует весь IP или что-то ещё?
Он поучаствовал и забыл/удалил этот чат/мессенджер.
А нафига тогда оказывать ему бесплатные услуги?
Вспоминаем классическое - "если какой-то товар вам дают бесплатно, то помните, что в этом случае товаром являетесь вы сами". А это значит, что с каждого бесплатного участника нужно собрать побольше контактной информации и согласий, чтобы в будущем можно было начать ему продавать свои услуги или товары.
Если это персональный VPN мимикрирующий под какой-то сервис и имеющий другой exit адрес, то по принципу "неуловимого Джо" (из анекдота) его никто не найдёт.
А если это коммерческий VPN сервис, то да, отловят очень быстро.
Не во всех регионах включены белые списки, в Москве их включали кратковременно и не по всему городу (на окраине так точно, а вот ближе к центру может быть полная жопа).
А ещё ходят слухи (сам не проверял), что белые списки делаются по блокам адресов и нашлись умельцы, арендующие адреса из таких блоков, у таких всё работает и при включенных белых списках.
Причём в метро как всегда - почти все сидячие пялятся в мобилы, у кого подсмотрел на экран - рбни ютьюб смотрят, вторые в телеге что-то пишут. На днях две девушки рядом обсуждали, что они за мобильную связь платят, а теперь ещё по 150 рублей в месяц приходится платить за то, чтобы эта мобильная связь работала.
Чудны дела наши... одни вваливают миллиарды на блокировки, другие - сотни миллионов (если взять по всей стране) на средства восстановления работоспособности.
Вы на домашнем интернете открываете сайт который на селектеле?
Да, https://my-proxmox-panel.my-site-name.ru:8006/
Проверьте через wireshark что проблема именно в блокировке на тспу, фильтр tls.handshake.type == 1, должен показывать одну или всего несколько строчек с вашим доменом
Показывает порядка 20 строчек в минуту. А если на самом сервере запустить: root@slx:~# tshark -n -i vmbr0 -f '(port 8006) and (tls.handshake.type == 1)'
то строчек будет в десяток раз меньше
Или же переключитесь на сеть без блокировок и проверьте ещё раз
Я про это сразу и написал - даже для работы легитимных сайтов в России нужно городить обходы блокировок. С обходом всё работает.
Схема блокировки при этом привычная - TCP handshake проходит, уходит TLS Client Hello и тишина. Операционная система пытается сделать перепосылки пакетов, но безуспешно.
Единственное отличие - работает не полная блокировка, а "механизм замедления", блокируется условно 80-90% новых TLS хендшейков на этот адрес. Если UI сайта успела загрузиться, то дальше живущий там код на JS начинает постоянно долбиться и с какой-то периодичностью успешно получает данные.
Как было совсем давно: всё открывается. если что-то не открывается - значит либо крупная авария уровня провайдера/города/страны, либо упал сайт на той стороне.
Как было недавно: не открываются определённые ресурсы. если они тебе не нужны - можно забить, но появились одарённые владельцы ресурсов с баном по IP адресам страны. Пришлось строить схемы обхода.
Как было "вчера": есть небольшой набор приложений, которые работают только через механизмы обхода. ты их почти всегда знаешь. не всем эти приложения нужны, а как заставить работать youtube знают и так почти все.
Как стало "сегодня": DPI в борьбе с VPN'ами настолько активно и жёстко начал всё ломать, что массы легитимных даже с точки зрения DPI сайтов перестали открываться (т.к. запросы к ним "похожи" на VPN, б...дь) и единственный реально доступный способ зайти даже на сайты в России - использовать те или иные методы обхода DPI.
В результате получается дикая ситуация - самый пик эффективности блокировок на стороне DPI пришёлся на тот момент, когда он блокировал очень выборочно и очень сомнительные сайты. Начав же ковровые бомбардировки (где-то с момента блокировок инсты, которую лично я так и не понял, но в которой сидят огромные массы людей) пришли к тому, что эффективность блокировок только падает, причём на фоне роста затрат на сам DPI и на фоне потерь бизнеса от наносимого ущерба и от того, что приходится тратить всё больше и больше ресурсов IT подразделений на поддержание функционирования сети.
О-хо-хо-х... вот спасибо за вашу статью! Последние дни у меня началась какая-то мистика с моим сервером Proxmox, стоящем на площадке в Selectel. Интерфейс безумно лагает, половина запросов просто зависает.
На стороне сервера проверил всё, что мог, нагрузка там минимальная и сервер полностью здоров, сеть в порядке... вот только интерфейсу очень плохо (мониторинг виртуалок не работает, открыть VNC получается со 2-3 раза).
Детально присмотрелся к сетевым логам вкладки с интерфейсом и понял, что он создаёт постоянный поток запросов на URL'ы: /api2/json/cluster/tasks /api2/json/cluster/resources
Поток достаточно большой, 1-2 запроса в секунду, WebSocket'ы не используются... ваша статья помогла выяснить причины и это ПОЛНЕЙШИЙ БРЕД. То есть сейчас чтобы из России пользоваться собственным совершенно легитимным оборудованием в России мне придётся изобретать какие-то механизмы обхода блокировок из-за того, что они работают по принципу "бей своих, чтоб чужие боялись".
У меня проводной провайдер поступает значительно проще - поставил request rate на запросы к одному и тому же IP адресу и это убивает работу XRay.
Догадался я далеко не сразу - у меня начала очень нестабильно работать WEB UI от живущего в интернете proxmox'а - панелька генерит по 5-20 запросов в минуту, долгое время пытался починить сам proxmox. Обнаружил после того, как уже отчаялся, загнал трафик через локальный прокси (для улучшения диагностики), а на стороне proxmox'а смотрел трафик wireshark'ом. Во время срабатывания request rate'а до хоста даже SYN пакеты не доходят.
Решается ли как-то эта проблема в XRay / Sign-Box'е? К примеру, можно балансировать сессии между 5-10-XX IP адресами, но имея единую exit node'у.
Писец доменной зоне .ru ;(((
И тут на сцену выходит билайн с его бесплатными симками на гигабайт трафика.
На рыло сейчас разрешено по 20 сисок, вот можно взять в ротацию 15 симок (поставить второй симкой в телефон и менять) и иметь 15 гигабайт бесплатного зарубежного трафика ;))))
Gandi.net
Причём они включили stealth блокировку - мой платёж с иностранной карты на продление мариновался неделю и отклонялся (с возвратом денег), поддержка молчала как партизан и вообще ни на что не реагировала. Учётка привязана к почте на gmail.com. Заявка на токен для переноса к другому регистратору не отрабатывала.
Но стоило приложить "подтверждение" принадлежности к другой стране, как очередной висящий около 5 дней платёж в статусе "на проверке" внезапно прошёл и также внезапно удалось получить токен на перенос домена.
Можно предположить, что это просто совпадение, но уж очень это подозрительное совпадение.
А дайте ссылочку на гит.
Я последний раз писал что-то под андроид больше 10 лет назад, но тут тоже начал активно исследовать и копаться.
Зарегил я в 2021 году свой домен не в RU зоне для почты,... а потом в 2022 едва смог унести ноги от зарубежного регистратора, кое-как доказав ему, что я не в России. Спас Удалить и поддельный скан аспорта гражданина Казахстана.
И это у меня был ещё лайтовый вариант, регистратор особо не докапывался и позволил забрать домен
Может это наоборот хорошо? Чем больше блокировки нанесут вреда экономике блокируя легитимное, тем больше шансов, что эту тему прикроют и оставят лайт вариант.
Цель ведь не в том, чтобы обойти - всегда можно рубануть зарубежные аплинки и будет это бесплатно. Цель это сделать экономически невыгодным.
Есть версии андроида, в которой это уже починили? И сразу вопрос вдогонку - на Linux можно определить PID процесса, открывшего сокет, но с рутовыми привилегиями. На андроиде без рута это тоже не решается?
Понятненько... а в обратную сторону блокировка работает?
Если завалить IP адрес условного озона запросами со SNI = www.youtube.com, то прилетит ли блокировка на этот IP адрес? :)
Кстати, наткнулся на интересный прикол с этими 16kb - есть совершенно легитимный сервер вне РФ, там много лет висит мини домашняя страничка. Обнаружил, что объекты размером больше где-то 15k не пролезают, причём RST никаких нет в трейсе, просто пакеты блочатся.
Получается, ТСПУ трекает конкретные сессии? Интересно, что будет если таких сессий станет 30к - начнёт пропускать, заблокирует весь IP или что-то ещё?
Он поучаствовал и забыл/удалил этот чат/мессенджер.А нафига тогда оказывать ему бесплатные услуги?
Вспоминаем классическое - "если какой-то товар вам дают бесплатно, то помните, что в этом случае товаром являетесь вы сами". А это значит, что с каждого бесплатного участника нужно собрать побольше контактной информации и согласий, чтобы в будущем можно было начать ему продавать свои услуги или товары.
Дальше всё зависит от распространённости.
Если это персональный VPN мимикрирующий под какой-то сервис и имеющий другой exit адрес, то по принципу "неуловимого Джо" (из анекдота) его никто не найдёт.
А если это коммерческий VPN сервис, то да, отловят очень быстро.
Не во всех регионах включены белые списки, в Москве их включали кратковременно и не по всему городу (на окраине так точно, а вот ближе к центру может быть полная жопа).
А ещё ходят слухи (сам не проверял), что белые списки делаются по блокам адресов и нашлись умельцы, арендующие адреса из таких блоков, у таких всё работает и при включенных белых списках.
Причём в метро как всегда - почти все сидячие пялятся в мобилы, у кого подсмотрел на экран - рбни ютьюб смотрят, вторые в телеге что-то пишут. На днях две девушки рядом обсуждали, что они за мобильную связь платят, а теперь ещё по 150 рублей в месяц приходится платить за то, чтобы эта мобильная связь работала.
Чудны дела наши... одни вваливают миллиарды на блокировки, другие - сотни миллионов (если взять по всей стране) на средства восстановления работоспособности.
Это отрицательная деградация уменьшения падения рисков потери спада инверсионного снижения сбоев в телеграмм. Всë же очевидно.
Вы на домашнем интернете открываете сайт который на селектеле?Да,
https://my-proxmox-panel.my-site-name.ru:8006/Проверьте через wireshark что проблема именно в блокировке на тспу, фильтр tls.handshake.type == 1, должен показывать одну или всего несколько строчек с вашим доменомПоказывает порядка 20 строчек в минуту.
А если на самом сервере запустить:
root@slx:~# tshark -n -i vmbr0 -f '(port 8006) and (tls.handshake.type == 1)'то строчек будет в десяток раз меньше
Или же переключитесь на сеть без блокировок и проверьте ещё разЯ про это сразу и написал - даже для работы легитимных сайтов в России нужно городить обходы блокировок. С обходом всё работает.
Схема блокировки при этом привычная - TCP handshake проходит, уходит TLS Client Hello и тишина. Операционная система пытается сделать перепосылки пакетов, но безуспешно.
Единственное отличие - работает не полная блокировка, а "механизм замедления", блокируется условно 80-90% новых TLS хендшейков на этот адрес. Если UI сайта успела загрузиться, то дальше живущий там код на JS начинает постоянно долбиться и с какой-то периодичностью успешно получает данные.
Не блокируется. Я даже проверил и убедился, что трафик к этому IP идёт "по земле".
Что за провайдер? :))
Ага.
Как было совсем давно: всё открывается. если что-то не открывается - значит либо крупная авария уровня провайдера/города/страны, либо упал сайт на той стороне.
Как было недавно: не открываются определённые ресурсы. если они тебе не нужны - можно забить, но появились одарённые владельцы ресурсов с баном по IP адресам страны. Пришлось строить схемы обхода.
Как было "вчера": есть небольшой набор приложений, которые работают только через механизмы обхода. ты их почти всегда знаешь. не всем эти приложения нужны, а как заставить работать youtube знают и так почти все.
Как стало "сегодня": DPI в борьбе с VPN'ами настолько активно и жёстко начал всё ломать, что массы легитимных даже с точки зрения DPI сайтов перестали открываться (т.к. запросы к ним "похожи" на VPN, б...дь) и единственный реально доступный способ зайти даже на сайты в России - использовать те или иные методы обхода DPI.
В результате получается дикая ситуация - самый пик эффективности блокировок на стороне DPI пришёлся на тот момент, когда он блокировал очень выборочно и очень сомнительные сайты.
Начав же ковровые бомбардировки (где-то с момента блокировок инсты, которую лично я так и не понял, но в которой сидят огромные массы людей) пришли к тому, что эффективность блокировок только падает, причём на фоне роста затрат на сам DPI и на фоне потерь бизнеса от наносимого ущерба и от того, что приходится тратить всё больше и больше ресурсов IT подразделений на поддержание функционирования сети.
О-хо-хо-х... вот спасибо за вашу статью!
Последние дни у меня началась какая-то мистика с моим сервером Proxmox, стоящем на площадке в Selectel. Интерфейс безумно лагает, половина запросов просто зависает.
На стороне сервера проверил всё, что мог, нагрузка там минимальная и сервер полностью здоров, сеть в порядке... вот только интерфейсу очень плохо (мониторинг виртуалок не работает, открыть VNC получается со 2-3 раза).
Детально присмотрелся к сетевым логам вкладки с интерфейсом и понял, что он создаёт постоянный поток запросов на URL'ы:
/api2/json/cluster/tasks/api2/json/cluster/resources
Поток достаточно большой, 1-2 запроса в секунду, WebSocket'ы не используются... ваша статья помогла выяснить причины и это ПОЛНЕЙШИЙ БРЕД.
То есть сейчас чтобы из России пользоваться собственным совершенно легитимным оборудованием в России мне придётся изобретать какие-то механизмы обхода блокировок из-за того, что они работают по принципу "бей своих, чтоб чужие боялись".
Спасибо, это многое объясняет.