Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 62
аккуратные коннекты с правильным google.com
если зонд знает ваш точный SNI
правильный sni - только собственный домен. Вся "популярщина" это уже моветон пару месяцев так точно.
зонд точно знает ваш точный sni
уже есть относительно полный список IP зондов
считаю неуважением к сообществу писать какие-то статьи, прямо игнорирующие все обоснованные ранее советы
Тем более, что зарегистрировать свой домен на год стоит 125 рублей.
Где по 125?
Не буду здесь рекламировать, но небольшие хостинг- провайдеры берут ровно столько за домен и год хостинга dns.
Эх, максимально простой вопрос был. Жалко?
А за продление?
Я в личное вам ответил. Продление не важно, это же временный домен под задачу.
Да где угодно. Часто на некоторые домены дают хорошую скидку на первый год, типа для привлечения клиентов. Например сейчас на namecheap домен .online стоит 0.99$ за первый год
А Namecheap не требует KYC? Потому что с русскими у них разговор короткий.
Я не знаю. Но их много, не только namecheap даёт такие условия
В таком случае конкретно Namecheap лучше избегать, там активисты.
Месяц назад регил там домен. Указал что я из Камбоджи. Другого KYC не потребовал.
Куча доменов в namecheap. Захожу с Нидерландов. Все гладко уже несколько лет.
Хорошо, но это до следующей волны активизма.
домены из 1.111b на .xyz стоят $0,99 как на покупку, так и на продление. Но это будут только цифры
А можно название материала/ссылку? Стараюсь знакомиться со всеми материалами по теме. У меня стороннее готовое решение, но может придется разворачивать свое.
>правильный sni - только собственный домен
Может я не совсем понял о чем речь идет=) но если вы считаете, что лучше селфстил делать конфиг со своим доменом или просто VLESS-TCP-TLS , то я считаю нельзя говорить так категорично, потому для всего есть свое применение.
Есть ситуации когда ваш "собственный домен" со селфстилом вам только навредит и не будет работать, а вот риалити в классическом понимании пробиться поможет. У меня такой опыт имеется...
А точно есть активпроббинг от дпи? У 99% пользователей в target Гугл/Майкрософт. И что-то не слышно про массовые блокировки.
Fallback в x-ray настраивается сильно проще, благо ядро умеет это из коробки (как раз против active probing).
Если хотите маскироваться под сайт купите себе домен (закиньте туда лендинг с виджетом на чат, можете даже метрики Гугла или Яндекса подкинуть) и поднимите сайт в caddy (чтобы не веселиться с сертификатами каждый раз). В настройке сильно проще, чем зоопарк, который вам посоветовала нейронка
Ну или раз нужна именно такая логика, то взять OpenResty и весь зоопарк переделать на пару скриптов в нем.
Не то чтобы рекомендация, но спросил ИИ, подо что бы замаскироваться. Выдал норм список не типичный. Замаскировался под супермаркет, где заказывают мильены раз. Может не так злобно трафик шерстить будут, как microsoft.
Купить себе домен стоит 200р в год. Если что, можно домен новый купить и настроить сертификаты за 20 минут. Визитку сайт на генерировать в течении 10 минут в нейросети
За продление попросили 12 000 руб. и столько же стоит сертификат на год.
Можно домен третьего уровня использовать совершенно бесплатно.
генерить визитку, это себя подставлять.
Все куда проще, находим даже через нейронку, что-то типа opensource готовых корпаративных мессенджеров, админок и т.д. Сдераем с них морду и все нужные страницы, желательно на том же на чем они написаны. Т.е. если там React, у себя делаем так же.
И на свой домен вешаем их. Условно, mast.example.com, который увидит на этом ip, любой кто попадет в fallback, и не каких вопросов у них не будет. Так как A, ресурс является некой админокй или корп.мессенджером, или еще чем-то, что вот совсем не подозрительно, как и активный трафик к нему. Совсем иное, сайт визитка. Так как то что вы ходите на сайт визитку, по пять тысяч раз в день, уже само по себе подозрительно.
Звучит логично, но они что, вручную каждый сайт смотрят? Или условному сбер чату (как его там не помню) скармливают, типа классифицируй нам?
Если не делают этого сегодня — не означает, что не начнут делать завтра
тспу это комплекс программно-технических средств в который входит в т.ч нейросеть и обученная модель. Модель обучается ровно на тех данных которые есть от пользователя и умники которые делают Селф стил мало того что подготавливают почву для блокировки посети своего хостера, так ещё и дают модели обучиться тому как какой протокол себя ведёт и в целом как ведут себя ВПН для выявления общего паттерна работы ВПН для всех протоколов и семейств протокола. для дальнейшей блокировки их тоже.
Да, по сути приходит скрипт, пытается проверить на vpn, proxy и т.д., смотрит fallback, собирает инфу по подозрительному месту, делает скорее всего скрин редиректа. А дальше все просто, полученное закидывается в ИИ, вместе с вашим трафиком, и анализируется. И то что у вас стоит fallback на визитку, вас не спасет. Потому что странно, что у вас куча видео и аудио трафика, приходится на сайт одностраничник, каждый день. Очень странно. И совсем не странно, если попадая на fallback их редиректит на логин с мордой к примеру корп.мессенджера типа мастадонта, или на какой-нибудь матркс, форум и т.д.
Так как то что вы тусуетесь там, смотрите видео, слушаете аудио, вот вообще не странно. это как раз логично. Главное что бы весь ваш трафик не был туда. А так если 30-40% приходится на вот такой VPN, это вполне норм, и вам с вероятностью 99% выдадут пометку нормально трафика.
Может я не совсем понял, что такое сайт-визитка. Но сайтом может быть просто страничка с логином. А что там внутри - кто ж его знает. Может редактирование видео изображений?..
Забудьте про сайты-визитки для обхода блокировок. Это тупик. Работает пока нейронка не выявит паттерн и не будет готова для блокировки у всех такого же паттерна. Дальше блокировка целых подсетей хостеров при обращении к которым выявили такой паттерн.
Может это наоборот хорошо? Чем больше блокировки нанесут вреда экономике блокируя легитимное, тем больше шансов, что эту тему прикроют и оставят лайт вариант.
Цель ведь не в том, чтобы обойти - всегда можно рубануть зарубежные аплинки и будет это бесплатно. Цель это сделать экономически невыгодным.
Оптимальная стратегия - маскироваться под ресурсы, которые генерируют похожий профиль трафика. Например под облачные хранилища (AWS S3, Azure), видеостриминги или корпоративные впн, которые не забанят из-за бизнеса
У меня есть теория, что 70-85% инструкций по поднятию своего ВПН сегодня, написано фабрикой троллей ФСБ и профильные сообщества ведут они же. Иначе не объяснить такого глубокого, как рак в последней стадии, распространения этих селф-стилов по профильным сообществам. Так же как и бесчисленное количество дезинформации об обходе ВПН детектирования российскими приложениями на телефонах(здесь про всякие рабочие профили которые якобы должны скрыть факт использования ВПН в основном профиле, что технически безграмотное заблуждение или прямая дезинформация). Я считаю что фабрика троллей делает все чтобы информация в ру сегменте интернета об обходе блокировок была максимально некорректной и чтобы можно было высекать сразу тех кто по этим инструкциям настраивает. Я не видел ни одной полноценной инструкции в интернете и всегда приходится спорить с какими то троллями которые на прямые факты, продолжают утверждать что это все рабочие вещи(рабочие профили и Селф стилы) а я просто ничего не понимаю в этом. В одном чате меня даже заблокировали, когда я стал объяснять почему это технически ошибки. Как это объяснить как не кампанией по дезинформации населения.
Ну да, заговор
Просто половина этих инструкций написана чатом гпт по запросу "как поднять Xray за 5 минут", вот и весь секрет
Я бы послушал про то как рабочий профиль не скрывает ВПН. А то по виду оно прекрасно работает.
Давай так. Ты делаешь себе рабочий профиль, в нем ВПН не запускаешь. Ставишь в рабочий профиль приложение тебойл(только в него пока что не заходи после установки). Идешь в основной профиль, включаешь свой ВПН, возвращаешься в рабочий профиль и входишь в приложение тебойл. Рассказываешь что оно тебе говорит.
А ещё ставишь https://techet.net/netanalyzer/ приложение в рабочий профиль. Запускаешь, рассказываешь видит ли он впн
Как в принципе и ожидалось все сетевые интерфейсы (локальные адреса тунелей) видны в рабочем профиле (хотя не хотелось бы). Никакие данные о том какое приложение и в каком направлении создало тунель установить невозможно. Для безопасности этого достаточно. И этого явно недостаточно для того чтобы начать какие то блокировки на основе этого. Из минусов виден DNS сервер ВПН тунеля, но его можно легко сделать локальным. В итоге да, вы правы рабочий профиль не скрывает наличие впн, но нет вы не правы в том что этих данных достаточно хоть для какой либо идентификации и позволяющих хоть как то отделить легитимные корпоративные сети от граждан ставящих себе что то для обхода блокировок.
Нужно проводить комплексную диагностику. Тун инетрфейс это действительно только вершина айсберга. Раздельные правила маршрутизации, открытые сокс порты при раздельном туннелирование и прочее. Нужно ставить инструменты диагностики на андроид и проверять. А так да, наличие Тун не повод блокировать, и не утверждал обратного. Важно понимать что рабочий профиль не защищает от шпионов полностью. А вообще запусти приложение rknhardering с гитхаб и посмотри что по факту видно о твоём сетевом стеке шпионам.
Нужно проводить комплексную диагностику. Тун инетрфейс это действительно только вершина айсберга. Раздельные правила маршрутизации, открытые сокс порты при раздельном туннелирование и прочее. Нужно ставить инструменты диагностики на андроид и проверять. А так да, наличие Тун не повод блокировать, и не утверждал обратного. Важно понимать что рабочий профиль не защищает от шпионов полностью. А вообще запусти приложение rknhardering с гитхаб и посмотри что по факту видно о твоём сетевом стеке шпионам.
Мне вот кажется будет странным, что я гоняю гигабайты через сайт визитку целыми днями)
Наконец то хоть кто-то это понимает.
Я уже заколебался фейспалмы пробивать в профильных чатах в ТГ, когда вижу очередную классную рекомендацию делать селф-стил без технической аргументации "как потом защититься от блокировки по статистической аномалии". Я считаю что большая часть инструкци в интернете по впн, это фсбшные тролли пишут. Нет другого объяснение такому обилию заблуждений и явных логических ошибок. "Как защититься от детектирвоания? Создать своим селф стилом огромную статистическую аномалию, которая торчит и видна при любом масштабе и даже не нужно детально анализировать трафик"
ну типичный корпоративный портал, например, чем отличается?
не залогинившись ты ничего не увидишь, и не имея ссылки на страничку логина её тоже не сможешь найти (далеко не всегда с / идёт на неё редирект).
А зачем эти нагромождения, если ядро x-ray и так работает так, если запрос пришел без нужных shortid,publilkey то происходит ровно то же. В чем суть?
Ну чтоб наверняка. Мало ли произойдет что-то другое. Пусть самые странные боты держатся от xray от греха подальше, он наверняка только на обычных расчитан. /s
Очередной нейрослоп на хайповую тему во имя умножения энтропии. Юра MiraclePtr, мы все про ebay ли.
Спасибо за ваш комментарий! Ответ на вопрос зачем это нужно если ядро xray все умеет изложен в самом конце моего опуса)
какой-то он неубедительный. и вообще выглядит как типичный нейрослоп на запрос «обоснуй значем нужно ненужное»
Ответ на вопрос зачем это нужно если ядро xray все умеет изложен в самом конце моего опуса
это:
Смысл есть — это разные слои защиты. Xray fallback отвечает на вопрос «что показать если уже достучались», детектор отвечает на вопрос «кого вообще не пускать дальше nginx». Вместе это defence‑in‑depth: зонд не только видит легитимный контент, но и активно блокируется на сетевом уровне после обнаружения паттерна.
не ответ на вопрос, а просто бессмысленная каша:
1) я не вижу там ответа на вопрос: "Зачем?"
2) "Xray fallback отвечает на вопрос «что показать если уже достучались»", а что, nginx детектор не отвечает на тот же самый вопрос? Или обращение к nginx - это еще не достучались? Что тогда вообще значит "достучались"? Для внешнего наблюдателя любой прозрачный прокси не имеет разницы, хоть господь бог его переадресовал на другую страницу.
А вот лишний инфраструктурный геморрой разводить не имеет смысла, пока нет ответа на вопрос "Зачем?". Где-то я видел статьи, где были аргументации такого подхода.
Да они тупо трафик режут входящий. Исходящий не трогают
спасибо, очень полезно. Чем больше таких слоев защиты, тем сложнее определить, что там на самом деле.
Что мешает зонду просто игнорировать этот fallback и сразу банить IP, если он видит, что TCP-соединение устанавливается с сервером, который хостится у известного клауд-провайдера (типа DigitalOcean или Hetzner)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я защитил свой VPN от DPI: graylist + nginx stream + немного паранойи