«Ростелеком» блокирует MTProto Proxy по размеру пакетов клиента

  • Новость
Автор телеграм-бота @rknshowtime Алекc Руденко предположил, каким образом «Ростелеком» блокирует MTProto прокси — популярный прокси для Telegram, который внедрили две недели назад. Напомним, что в этой технической реализации у клиента и сервера нет фазы открытого обмена информацией. Для всевозможных фильтров и анализаторов обмен данными с MTProto-прокси сервером выглядит как неструктурированный бинарный двунаправленный поток данных между клиентом и сервером. Это затрудняет распознавание протокола для блокировки.

Но «Ростелеком» нашёл выход из ситуации.

Чтобы разобраться, питерский разработчик Леонид Евдокимов (darkk) написал псведо-прокси poormansmtproto и протестировал DPI магистрального провайдера.

Эксперимент на сети «Ростелекома» в Краснодарском крае показал, что «Ростелеком» блокирует MTProto-прокси протокол на основе размера пакетов клиента.

В ходе эксперимента выяснилось следующее:

1. Если содержимое пакетов заменить на случайный набор байтов того же размера, то соединение всё равно разрывается.

2. Если случайно менять размер пакетов, то соединение перестаёт разрываться.

3. Если сервер вообще не отправляет ответов, то соединение всё равно разрывается.

Специалист по блокировкам Филипп Кулин (Неугомонный Фил) и владелец хостинг-компании DiPHOST прокомментировал ситуацию: «Хочу обратить внимание, что ограничение доступа к ресурсам по результатам анализа трафика незаконно. Обтекаемые формулировки репрессивного российского законодательства в области ограничения доступа к информации всё равно создают определенные рамки для оснований для блокировок и способов блокировки. Ничего похожего ни на ковровые блокировки, ни на анализ пакетов там нет. Это строго противозаконно».
Предупреждение от администрации сайта: При комментировании этого материала просим соблюдать правила. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация.
Поделиться публикацией
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 112
    +8
    Соответственно, обходится эта блокировка путём отправки пакетов с мусором в хвосте и размером следующего пакета. Но что если у какой-то другой службы используется этот же размер пакета? Разве не могут они подать иск на РКН за недополученную из-за простоя прибыль?
      +3

      Это должны поддерживать и клиент и сервер. Теоретически ещё можно устраивать случайную фрагментацию запросов (в духе GoodbyeDPI имени ValdikSS), в этом случае будет достаточно поддержки на клиенте.


      Я не успел ночью проверить, работает ли фрагментация. К утру эту подпольную DPI-лабораторию уже "сожгли" — автоблокировка была отключена. Мне не очень понятно, было это сделано специально или по какой-то случайности.

        +2
        Разве не могут они подать иск на РКН за недополученную из-за простоя прибыль

        они это кто?

          +2
          Компании, продукты которых совершенно случайно использовали такой же размер пакета, из-за чего также были заблокированы.
            0

            ага, чуть ниже указали на то, что никто не шевелится

              +10
              А где были эти компании, когда РКН заблокировал миллионы адресов Амазона, которые вообще к телеграму отношения не имели?
              Вы еще думаете кто-то пошевелится после нескольких месяцев молчания?
                0

                Вообще-т были иски.

                  +5

                  Расскажите, когда хотя бы один из них будет удовлетворен в полном объёме.

              +1
              (deleted)
              +28
              могут они подать иск на РКН за недополученную из-за простоя прибыль?

              У нас больше месяца блочат полинтернета — никто даже не заикнулся.
              Повышают стоимость тарифа (из-за пакета Яровой), высказались ровно два некрупный интернет провайдера.
                +26
                А какой размер пакета Яровой? Вот бы его заблочить :)
                +1
                Ага, а потом еще и выиграть. Вы это серьезно?
                  +2
                  Соответственно, обходится эта блокировка путём отправки пакетов с мусором в хвосте и размером следующего пакета.

                  Если говорить о самом телеграме, то здесь большой простор для фантазии их разрабов.
                  Я бы попробовал что — то из этого, или даже динамически их комбинировал, время от времени заменяя, даже в рамках одной сессии:


                  • сжатие пакетов данных
                  • замена форматирования пакетов, действующее сейчас, xml, json, мессажпак
                  • маскировка под другие виды трафика, с вкладыванием сообщения под видом картинок, аудио и видео файлов
                  • растиризация сообщения в виде картинки, и передача в таком виде (ну да, копипаст для ответа не сработает, но так ли часто это нужно?)
                  • … список открыт для дополнения
                    0
                    Я не думаю, что кто-то реально фильтрует пакеты по размеру, но если бы это было правдой, то что не так с моим коментарием? Чисто научный интерес.
                      0
                      Т.е. по сути — стеганография в полный рост. И это радует. Я думал, до неё мы не столь быстро доберёмся…
                        0
                        у да, копипаст для ответа не сработает, но так ли часто это нужно?
                        Очень часто.
                        +4
                        Иски подаете в судах России, а вы давно были в суде России? Один из свежих примеров. Есть закон №861, где сетевая организация обязана выполнить технологическое присоединение независимо от технических трудностей, если вам необходимо до 15кВт, стоимость 550 рублей с каждого. Но на деле появляется частное лицо, желающее заработать по 500 000 рублей с каждого. И тут суд принимает решение разрешить сетевой организации не исполнять публичные договора технологического присоединения. Причем в суд подает частное лицо, а «владелец» сетей ИП(нет актов ввода в эксплуатацию и нет регистрации сетей как недвижимость), так сказать непонятно откуда получившее персональные данные, не имеющее никаких договоров с ответчиками, т.е. не имеющее право вообще обращаться в суд на расторжение договора. Суд нарушает все возможные законы и выносит решение в пользу мошенника. Хотите защитить свой бизнес в России? А Вы кто такой? Вы букашка, а с букашками поступают просто давят как таракана и нет проблемы.
                          0
                          можно ссылку на решение суда?
                            +1
                            krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo
                            Как обычно система поиска дела недоступна. Попробую позже скинуть прямую ссылку. А пока только основные лица:
                            ИСТЕЦ — Шакиров С. Ф.
                            ОТВЕТЧИК — АО «НЭСК-электросети» в лице «КРАСНОДАРЭЛЕКТРОСЕТЬ»
                            и еще куча ответчиков.
                            Первый суд прошел, сейчас они готовят второй суд по другому ЖК по аналогичной схеме. А по первому ушли в апелляцию, но уровень нарушений со стороны судьи говорит о чем-то. До этого суда уже и ФАС их обязал, а потом сотрудник ФАС же и говорил, что договора расторгнуты. И еще было множество судов, но теперь они все ожидают решение этого суда.
                              +1
                              Суды краснодарского края — это вообще запредельный зверь, даже по российским меркам
                                –1
                                И дело не в продажности власти как таковой, а в местном менталитете 99% жителей
                                  0
                                  Тогда что за слухи ходят, мол в суде есть человек который там не работает, но продает любое решение суда. Даже имя его называли, уже не припомню. А по другим слухам не отрицающим первые, деньги делят по судебной вертикале. Черная зарплата людей в черном. Т.е. учитывая этот момент в апелляции будет тоже самое решение. И только пока надежда на Высший суд который не станет принимать очередное решение противоречащее предыдущему. Но надо быть идиотом, чтобы не понят всю тупиковость ситуации. Высший суд неоднократно местным судам говорит что они нарушают, а судьям ничего за это нет. Т.е. приходим к ситуации когда местные суды(крансодар) просто не работают. И любую свою защиту надо планировать на несколько лет вперед и не обойтись без выхода на высший суд. А если ждать не готов, то либо соси палец, либо иди решай другим способом.
                              0
                              По качеству работы сайта отдельный вопрос, но все же получил ссылку:
                              krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=43990C9D-7DB2-4EB6-A2D9-7F8CC56FEF85&_deloId=1540005&_caseType=0&_new=0&srv_num=1
                              Решение там же.
                              Так же появляются странные ссылки с такими же лицами:
                              krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=52B8A8D6-FEA3-4E2F-81EF-48185E5F9BA4&_deloId=1540005&_caseType=0&_new=0&srv_num=1
                              Следующий похожий суд:
                              krasnodar-prikubansky--krd.sudrf.ru/modules.php?name=sud_delo&name_op=case&_uid=BC89831C-D819-4540-A380-95BF068D75F8&_deloId=1540005&_caseType=0&_new=0&srv_num=1
                              то же ИП подает в суд как физ лицо. Иначе бы ему быть в арбитраже.
                              +1
                              Понимаю Вашу реакцию, но хотелось бы отметить, что подобные публичные высказывания в медийном пространстве (не конкретно Ваше, а в целом, при наборе критической массы) играют на руку недобросовестным служителям закона. Т.е. мы как бы создаем такую иллюзию что невозможно ничего добиться в судах и как результат не предпринимаем даже попыток. А это не всегда так (имею опыт выигранных дел).
                                +1
                                Давайте замалчивать?
                                Еще добавлю люди пытаются подключиться к электричеству уже больше года. И Путину писали и кому только не писали, и это при том, что Застройщик получил эти земли задарма и должен был построить инфраструктуру и собственники участков при покупке все оплатили.
                                В Краснодаре местные (кто понаоставались) очень ленивые, но тут приезжих(кто понаехал) еще больше. Так что не надо делать вид, что они такие из-за местных жителей. Надо понимать, что судья выносит решение с оглядкой на вышестоящий суд. Она знает, что ей ничего не будет и это самое беспонтовое в этой системе. Ничего никому не будет кто следует некой линии стабильности. Поэтому получаем блокировку всего Интернета на пару месяцев и ничего, гарант конституции не заметил нарушение наших прав.
                                Если в суде мы ничего не можем добиться, то начинаем использовать другие механизмы. На сколько это выгодно власти? Власти выгодны рабочие механизмы, а они работают пока люди в них верят. Вы налоги платите, но почему-то свои услуги не получаете в виде исполнения законов. В магазине Вы всех на уши поставите, если отдадите деньги, а товар будет дефектный. Но с государством хотите отмолчаться. Недобросовестный исполнитель должен быть наказан и отстранен не зависимо от его значимости, чтобы не допускать подобного в будущем.
                            +10
                            Интересно сколько людей бьются с заиканиями в VoIP или с нестабильной работой других сетевых служб из-за этого «гениального» решения? Это же магическое «то работает, то не работает».
                              +7

                              В данном случае магии не было. После срабатывания MTProto "триггера" пара ${IP}:${TCP_port} отправлялась в бан на час-другой. Заикания такая упячка вызывать не должна была.

                                +1
                                Конкретно эта может и нет. Но стабильность VOIP под вопросом уже пару месяцев.
                                  0

                                  Это правда. Тот же самый meet.jit.si был какое-то время разломан. Предположительно, из-за амазона.

                              +2
                              Хм… вот у меня последние пару дней периодически не работает Гитхаб. Причем как раз идет разрыв соединения — ни заглушки, ни сообщения. Просто ERR_CONNECTION_RESET.
                              То работает, то не работает.
                              Краснодар, Ростелеком

                              При этом включенный или выключенный VPN как ни странно не влияет на ситуацию. Сижу, мучаюсь. Думал, что это проблема у Гитхаба после покупки Майкрософт, но вероятно это какие-то «гениальные» идеи Ростелекома.

                              P.S. Лучше бы они свой ЛК починили. Заплатить за интернет — как пройти по пятам Данте.
                                0

                                Аналогичная ситуация со Стековерфлоу, "Сети Тагила". При чем я добавил основной адрес проси лист, но не подтягивались скрипты и стили с их ЦДН, который я тоже добавил в список прокси. Нужно рулиться с техподдержкой, но боюсь что будет безрезультатно, осталось найти время.

                                  +1
                                  В тех.поддержку провайдера уже обращались, и они с первого раза даже объяснили, что эта проблема связана с несовершенством системы DPI, применяемой для клиентов, использующих PPTP/IPoE. При использовании NAT у них работает другой, более умный DPI — и там этой проблемы не наблюдается.
                                  Иными словами DPI, которые не умеют определять поле Host через TLS-SNI, просто режут напрочь всю блокированную подсеть CDN.
                                  Помимо Stackoverflow таким образом периодами блокируются GitHub, Steam и прочие ресурсы (CDN Akamai, Amazon, Cloudflare и другие).
                                  Соответственно на Mikrotik легко решил вопрос маркировками и прописыванием маршрутов до заблокированных подсетей напрямую через шлюз, полученный от DHCP, т.е. в обход туннеля. Само соединение PPTP и белый адрес при этом не теряются.
                                    0

                                    Вот как. А мне-то сейчас что делать? Хочется и белый айпи, и чтобы интернет работал нормально.

                                      0
                                      Название провайдера можно в лс или сюда? а-то скоро подключаться, не хотелось бы такие сюрпризы получить…
                                    0

                                    У меня Google через мегафон таким же образом работает. F5 помогает. А еще, в качестве заглушки к запрещенным сайтам, они предлагают подключить платные услуги. Удобно. ;-)

                                      0
                                      У меня такое было (не ростелеком) через пару дней после покупки, мне кажется это проблемы самого гитхаба, похоже из-за массового импорта проектов в гитлаб и прочие.
                                      +2
                                      Я уже писал ранее: для более надежного обхода блокировок надо маскироваться под что-то популярное, например, игру «танчики», под трафик популярной соцсети или что-нибудь еще такое, блокировки чего вызовут массовое недовольство пользователей. К сожалению, кроме этой игры и ВК мне в голову ничего популярного не приходит.
                                        0
                                        Sabubu
                                        За танчики и вк малолетство, и те у кого малолетство еще не прошло порвет РКН, за ФБ порвут либералы, за ОК — пенсионеры, за майнкрафт — школота, за инсту и твиттер — разные няшки с утинными губами, за хабр порвут переводчики потому что работы лишаться, за мыло.ру и аську — православные и скрепные, яндекс гебне нужен рабочий и невредим. Ютуб всем нужен в равной степени.
                                        Короче маскируясь под разные сайты и сервисы можно будоражить разные слои населения ))
                                          +14

                                          Ах какая наивность… шо аж не хочется прерывать вашу лебединую песню.

                                            +6
                                            Ну порвут это образно. Возмутятся мысленно на диване, или в голос между своими на кухне.
                                              +7
                                              Ключевые слова «на кухне» и «про себя»
                                              0

                                              Никто никого не порвёт, разумеется, но сама идея будоражить, причём не избирательно а сразу всех — что-то в этом есть. :)

                                                0
                                                А вот и экстремизм.
                                                Всё продумано.
                                                  0

                                                  Где конкретно экстремизм? В том, что приложение посылает такие сетевые пакеты на собственный сервер какие ему хочется посылать? Или в том, что провайдер блокирует пакеты нарушающие работу популярных сервисов? РКН последние полтора месяца активно этим занимался лично, что-то его пока никто в экстремизме обвинять не пытается, хотя давно пора…

                                                    0
                                                    Экстремизм будет в идее будоражить людей.
                                                      0

                                                      Сами пакеты никого не будоражат. А вот их блокирование… Если путать причины и следствия, то можно далеко зайти. Приложение просто пытается работать, обходя блокировки. Если обход блокировки приложением экстремизмом пока не считается, то идём дальше. Для обхода приложение маскируется под популярные приложения — вовсе не с целью кого-то будоражить, потому что никого будоражить отправкой своих пакетов своему серверу невозможно в принципе, а целью помешать блокированию своих пакетов из соображений "чтобы не будоражить народ". Если эти соображения кого-то не остановили, и он всё-таки заблокировал эти пакеты — то будоражит народ именно он. Я к тому, что идеи/задачи "будоражить людей" ни в этих комментариях, ни в предложении использовать популярные сайты для маскировки — нет. Наоборот, идея в том, что это поможет обойти блокировки потому что никто не захочет "будоражить".


                                                      P.S. Даже более того. Идеи помогающие телеграму обходить блокировку направлены на то, чтобы меньше будоражить людей из-за неработающего телеграма. :)

                                                        0
                                                        Сами пакеты никого не будоражат. А вот их блокирование…

                                                        А это вы следователю будете объяснять, только, скорее всего, он вас слушать не будет.
                                                        Если путать причины и следствия, то можно далеко зайти.

                                                        Если посмотреть на принимаемые у нас законы за последние несколько лет, особенно касающиеся регулирования Интернета (но и не только), то становится понятно, что путание причины и следствия — это намеренная политика людей, их принимающих.
                                                        Если обход блокировки приложением экстремизмом пока не считается, то идём дальше.

                                                        Ключевое слово «пока».
                                              +2
                                              за майнкрафт — школота

                                              Ага. Прямо так и порвут.
                                              Minecraft Realms живут на серверах амазона и с начала «ковровых» блокировок вообще недоступны без VPN. С некоторыми сторонними серверами те же проблемы сейчас случаются. Кого уже порвали?
                                                +1
                                                Школота в снг не играет на оффе
                                                +1
                                                В Казахстане в последние месяцы добрая традиция — по вечерам блокировать ютуб. Про то, что все популярные порносайты заблокированы, я даже не говорю. Я бы не зарекался.
                                                +4
                                                А блокировки чего вызовут массовое недовольство пользователей, если блокировки Интернета такого эффекта не вызвали?
                                                  0
                                                  Выше описал все категории )))
                                                    +2
                                                    Справедливости ради, блокировки миллионов адресов затронули в основном гиков (пострадали в основном Гитхаб и подобные узконишевые сайты, а также вебмастера, вынужденные срочно заменять западные сервисы на яндекс). Так как гики — самая тихая, незаметная и покорная часть населения, никаких особых возмущений, даже в виде комментариев в интернете, не было.

                                                    Если бы из-за блокировок, например, начались задержки пенсий или пособий по уходу за ребенком, реакция была бы другой.
                                                      +2
                                                      Реакция была бы другой если бы причину широко осветили в том числе и на тв. Когда из за блокировок не работали банкоматы и кассы масс медиа молчало в тряпочку, причину проблем знали лишь гики.
                                                        +5
                                                        Боюсь, освещения в СМИ мы сами не захотим — «террористы, науськивыемые западными спецслужбами, нанесли удар по информационной безопасности сраны, поставленную под угрозу действиями пятой колонны, которая в угоду личным финансовым интересам не пользовалось православно-патриотическими сервисами, а использовали некошерные ненадёжные решения своих западных, так называемых, партнёров, который, как вы уже знаете, передают всю полученную информацию о россиянах непосредственно в госдеп».
                                                        +4
                                                        Вас послушать, так матери с пятью детьми или полуживые пенсионеры это прямо бойцы сопротивления.
                                                          0
                                                          Просто это те самые ~70% электората которых всё устраивало во время выборов.
                                                            +1
                                                            А им ТВ объяснит, что это для их же блага и для борьбы с врагами государства, и они с радостью согласятся потерпеть некие неудобства.
                                                          0
                                                          Увы, не будет другой реакции даже если интернет вообще отключат. История с повышением пенсионного возраста, повышением НДС это показывает.
                                                        0
                                                        Под РКН и их выгрузки? Под сайты электронного и не только правительств. Под сайты популярных СМИ, полиции, транспорта, энергетики, банков, платежных систем. Болевых точек очень много и многие из них уже давно в ssl, а белые списки в интернете давно доказали свою неэффективность.
                                                          0

                                                          В итоге РКН начнёт точно так же банить "подозрительные протоколы", а онлайн-игры, разрешенные месседжеры, и т.д. будет вносить подсетями уже в белый список (которому можно использовать эти протоколы), либо найдёт способ автоматизированно проверять, действительно ли с той стороны игровой сервер, или это лишь маскировка (достаточно тупо попробовать подключиться оф. клиентом игры или другого приложения).

                                                          +2
                                                          Им по барабану что незаконно.
                                                            +16

                                                            Это же явно делают инженеры, чиновник до такого бы не додумался. Не мучает их совесть? Вроде должны быть с другой стороны, а работают на врага.

                                                            0
                                                            Не знаю, как-то странно. Такая фильтрация элементарно обходится. Поднасрать кому-то на неделю? Как-то мелко даже для Ростелепорна. Знаете, мне однажды попадалось российское цифровое средство связи, которое было неспособно передавать пакеты размером 31 байт. Больше, меньше — можно. Может и тут банально что-нибудь импортозаместили?
                                                              +2
                                                              Может и тут банально что-нибудь импортозаместили?


                                                              Мозги?
                                                                0

                                                                Тогда уж экспортозаместили

                                                                  0
                                                                  Экспортовыместили.
                                                                +3
                                                                А вас, случайно, не удивляет, почему компании, занимающиеся ремонтом дорог, стараются работать как можно хуже (чтобы им снова, как можно скорее, достался подряд на ремонт той же дороги)? У имитации деятельности критерий эффективности не основан на качестве результата, он основан на надежности притока денег за имитацию стремления к результату.
                                                                  +2
                                                                  А это потому, что идея «подряда на ремонт дороги» — тупая сама по себе. Подряд должен быть на «обслуживание дороги» + отдельная независимая контролирующая организация, выписывающая штрафы за ямы. Тогда и только тогда дорогу становится выгодно сделать один раз хорошо и на долго.
                                                                    0
                                                                    В данном контексте, это совершенно не важно, как должно быть или как может — это все гипотетические вопросы, касающиеся перестройки всего гос. устройства (где независимые контролирующие органы действительно возможны, а не тоже имитируют деятельность). Есть существующая практика (и обсуждается тут именно она), и она такая, какая есть, и в ней неэффективность и имитация — движущие силы.
                                                                  0
                                                                  (32 -1) байт… видимо, писали студенты двоечники…
                                                                    0
                                                                    Я прям даже затрудняюсь предположить, какой log2(32)=5 разрядный счетчик у них переполняется. Видел 4 разрядные процессоры от Intel (4004), ну это же не тот случай?
                                                                      +1
                                                                      пакеты размером 31 байт. Больше, меньше — можно.
                                                                      Тут судя по всему дело не в переполнении, уж потому, что больше тоже можно)
                                                                        0
                                                                        На уровне канала у таких штук экономят вручную каждый байт. Под каждое число в протоколе отводят столько бит, сколько нужно, а потом это всё склеивают вместе и переразбивают на байты. Оно ж мало того, что полудуплексное, так ещё и все абоненты на одном канале друг-друга глушат, да и на соседнем тоже. А каналов всего 10 на толпу абонентов. Вот где-то в этом коде и налажали.
                                                                      0
                                                                      Как-то мелко даже для Ростелепорна

                                                                      Ростелепорно? Хм, это что-то новенькое :)
                                                                        –1
                                                                        звучит как ограничение по minimum frame size, возможно там csma/cd используется? ну а то что устройство не хочет само паддингом заниматься — ну ладно, пусть драйвер занимается.
                                                                        0

                                                                        То есть я теперь могу заблокировать любой сервис? Или это уникальные для каждого клиента фильтры на основе размеров пакетов?

                                                                          +1
                                                                          Т.е. Телеграм, теперь при помощи Роскомнадзора может заблокировать все, что имеет фиксированный размер пакетов, а это очень, очень, очень многое) Вангую: Вайбер и Ватсап скоро отвалится полностью, ну и до тех пор пока Роскомнадзор снова не поймет, что это снова не вариант и передумает ))
                                                                          +1
                                                                          Так а что в итоге на данный момент? У меня как ночью mtproxy перестал работать на vps, так и не работает до сих пор.
                                                                            0

                                                                            А что говорят про IP этого VPS разные боты с https://usher2.club/ ?

                                                                              0
                                                                              Поиск по IP на 2018-06-15 07:52:12:
                                                                              тут-мой-IP не заблокирован

                                                                              При запуске mtproxy в лог валится куча сообщений вида:
                                                                              [1955][2018-06-15 12:49:30.114685 local] Connected to RPC Middle-End (fd=26)

                                                                              Но я ничего не менял до момента «блокировки», все работало. На этом же хосте прекрасно работает socks5.
                                                                                0
                                                                                Ради интереса, поднял инстанс на Vultr/Amsterdam, собрал там mtproxy и запустил — все прекрасно работает.

                                                                                Судя по тому, что на текущем расположении у меня прекрасно работает socks5 (в т.ч. и до хостов телеграма), пакеты mtproto все же продолжают «резать».
                                                                              0
                                                                              Приятно, что по итогам последних событий у всех растёт компьютерная грамотность)
                                                                                +1

                                                                                С чего вдруг? Все повально ставят какие-то приложения и дополнения со словом vpn в названии. Те кто по прошаренней, запускают докер образы с проксями в облаках. В обоих случаях — большинство просто машет волшебной палочкой даже не понимая без инструкции что нужно бормотать в процессе.

                                                                                  0
                                                                                  Появились инструкции по ТВ, на разных сайтах, на радио, где объясняют что такое VPN, TOR, проски. Я думаю, что у части пользователей эти понятия отложатся в памяти, поэтому хоть и небольшое, не повышение грамотности и осведомлённости есть.
                                                                                0
                                                                                Хмм, та же самая проблема, только провайдер Мегафон и Татарстан и точно так же VPN никак на ситуацию не влияет. Может, всё-таки Майкрософт?
                                                                                  –2

                                                                                  Специалист по блокировкам?)

                                                                                    0
                                                                                    Нуу тут все просто, смотрим на размер пакетов всего что валится с компа и на комп, разбиваем на те же размеры пакетов и шлем себе без проблем то одной, то друой длины, ну либо просто избыточно по всем направлениям, в смысле разными размерами, но похожими на то что комп испускает/получает, благо трафика там при текстовой отправке кот на плакал) и пусть ищут черную кошку в черной комнате, дома которого не видно) Получится либо полностью абоненту отрубать Инет, либо не трогать его вообще. Анализировать трафик по содержимому скорее всего не смогут, т.к. врядли столько мощностей есть, ну а видеть как валяться пакеты вроде бы стандартной длины всех мастей и окраски — ну пусть валяться) я сразу сказал, все эти пляски с бубнами — либо все запрещать, либо не мучать себя и других, технически все это не для 21го века, без DPI да и тот вроде как побоку. Тут ток Китайский вариант с белыми списками прокатит, все остальное детский садик, ясельная группа.
                                                                                      0
                                                                                      Отключит провайдер такого проблемного клиента, да и всё. «Попробуйте отключить антивирус и переустановить Windows».
                                                                                        +1
                                                                                        Вы не поняли, сделать так, что бы telegram непрерывно «смотрел» на тот трафик который идет с компа и на комп, в этот момент человек например, что-то написал и надо оптавить сообщение, telegram создает пакеты той длины, которой только недавно отправляло что-то другое с компа (другие программы или сервисы), либо что-то прямо сейчас отправляет. Я имею ввиду подстраиваться под тот трафик который идет на компе, на вход и на выход и сливаться с ним становясь абсолютно невидимым. Ну это если не лепить генератор длинны пакетов, а делать то, что будет идентично обычному трафику.
                                                                                          +1
                                                                                          -1?) Ростелекому привет)
                                                                                      +3

                                                                                      Мне кажется, что надо "прятать под фонарем" — там где ходит много народу. А именно: использовать максимально распространенный похожий протокол и в него инкапсулировать.
                                                                                      Например, WebSockets. Фактически, это очень удачный микс TCP и HTTP(S), который даст массу преимуществ:


                                                                                      1. После установления соединения протокол ведет себя как TCP: очень легковесный с минимальным оверхедом (в данном случае будет добавка в 1-3 байта на указание длины сообщения)
                                                                                      2. Распространен — поддерживается проксями и другим сетевым оборудованием
                                                                                      3. Использует стандартный порт (80 или 443 для шифрованной версии)
                                                                                      4. Удачно мимикрирует под легитимный HTTPS трафик, так что снаружи очень трудно их отличить. Если верно понимаю, то не имеет очевидного паттерна для обнаружения DPI.
                                                                                      5. Поддерживает аутентификацию на стадии установления соединения разными методами: basic, cookie, или, например, обращение по секретному пути
                                                                                      6. Может работать с разными доменами на одном IP.
                                                                                      7. Существуют стандартные решения для проксирования, например, nginx.
                                                                                      8. Благодаря этому можно поднять на одном сервере и обычный сайт и WSS прокси. Снаружи все будет выглядеть совершенно безобидно, пока вы не передадите секретную куку или не обратитесь на секретный URL, который будет проксирован на Телеграм. Доказать, что у вас не просто сайт, а секретная прокси без знания секрета нельзя.
                                                                                      9. Поддерживается любым нормальным хостером — то есть можно ставить такую секретную проксю почти куда угодно и очень дешево. То есть каждый сможет сделать себе такую секретную микропрокси и делиться ей с друзьями.

                                                                                      Профит со всех сторон.

                                                                                        –1
                                                                                        Они не используют DPI это просто чек размера пакета) используй они DPI на весь Росстрафик — померли бы уже) тут достаточно на рандомные порты 40000-65535 посылать пакеты рандомного размера, т.е. с утра клиент telegram сам выбирает на какие порты и какой размер пакетов будет высылать и так работает например сутки, на следующие сутки другие порты и другой размер пакетов, ну и как такое отследить?) и делать это для каждого клиента по разному и все, они ведь смотрят на то как это глобально работает, а когда у каждого будет по своему, как блочить?! без DPI никак) Когда на DPI перейдут, в чем я сильно сомневаюсь, тогда и изобретать колесо, а пока все банально, до невозможного.
                                                                                          0
                                                                                          и для борьбы с этим достаточно будет просто отрезать все входящие соединения на порты 40000-65535, ибо таких в реальности имхо не так уж и много. ну, еще торренты отвалятся. и возможно еще ftp.
                                                                                            0
                                                                                            Вы реально думаете что на 40000-65535 только торренты работают?) Ну ок, кто мешает 1024-65535 ?) Просто отслеживать занимает кто-то этот порт со стороны или нет, если использует — не использовать, если что-то решило использовать, то освобождать и стараться на этом компе больше не занимать, а «садиться» на другие.
                                                                                              0
                                                                                              Кажется, не так-то просто технически сделать «если что-то решило использовать, то освобождать».
                                                                                                0
                                                                                                Висим на каком-то стандартном порту, тут пользователь решил отправить сообщение, проверяем размер длины пакетов которые последними отправлялись на данном устройстве (другими программами или сервисами), формируем пакеты такой же длинны, далее выбираем рандомный порт из 1024-65535, если свободен — «садимся на него», отправляем, если занят, проверяем другой, до тех пор пока не найдем свободный, как отправили — освобождаем, ну либо висим там N минут/часов. Этакий портовой скиталец) и все, блокируй меня полностью))
                                                                                          +2
                                                                                          Я сейчас как раз пишу статью про различимость различных VPN и тоннелей с точки зрения DPI, и что можно с этим сделать, и вариант с WebSockets в том числе сразу пришел на ум, благо, реализации тоннелей через него уже есть.
                                                                                            0

                                                                                            Очень интересно. Киньте плз ссыль.
                                                                                            Какие реализации знаете?

                                                                                        +1
                                                                                        РТ обязан такую блокировку проводить по закону? Нет, это их личная инициатива. По-моему самое правильное что можно сделать — это отказаться от услуг РТ в пользу другого провайдера. Зачем нужен провайдер, который блокирует что-то просто потому что ему так захотелось, да еще и через DPI?
                                                                                          +1
                                                                                          РТ выжимает конкурентов нерыночными методами 90-х. Зачастую отказаться от его услуг можно только в пользу модема, и хорошо если 3G-шного.
                                                                                            0
                                                                                            У нас такое есть в частном секторе, где или DSL от РТ (и то не всегда), или ничего (3G). Хотя конкуренты скорее сами туда идти не хотят. Так вот, 3G в последнее время куда лучше, если юзать непубличные тарифы (типа полный безлимит за 500 руб в мес с прошитым «под телефон» модемом).
                                                                                          +3
                                                                                          РТ (онлайм) ещё и ipv6 отключил неделю назад, мотивируя это апгрейдом оборудования
                                                                                            0
                                                                                            На Йоте через мтпрокси стабильно не грузятся картинки, возможно тоже режут определённые пакеты
                                                                                              0

                                                                                              Грузятся. Но ужасающе медленно. Моя гипотеза, что йота MTProto шейпит как "нераспознанный" трафик. Но времени проверить пока не было.

                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                            Самое читаемое