Обновить

Комментарии 254

"об схеме"? )

Спасибо, поправил.

Можно выделить и нажать Ctrl+Enter, чтобы не офтопить в комментах.

Расскажите как это сделать с мобилы?

Поставить Hacker's Keyboard, если на Android 🙂

Такова реальность наших дней. Несколько лет назад мы и подумать не могли о каких-то там белых списках, блокировках и т.д.

не стоит обобщать и говорить "мы", лет 12-13 уже все двигается к нынешнему состоянию.

в 2008 стало в целом понятно

В 2008 HTTPS для каждого сайта с картинками котиков казалось паранойей

Ещё в 2008 уже говорили куда все идет, но мало кто верил, а некоторые вообще считали что это конспирологическая хрень

Да я такое ещё в 2005 читал

Кто подумать не мог? С самого начала, как только интернет стал массовым, у сильных мира сего появилось желание и первые шаги к его контролю. В каких-то странах идут по мягкому пути, в каких-то по жёсткому. В нашей стране всегда кнут шёл перед пряником, разница лишь в том, что именно сейчас, благодаря большим мощностям, использованию нейросетей и прикрытию конфликтами геополитическими, процесс ускорился кратно.

Сильные мира сего на поверку оказались слабыми тк сильному нечего бояться.

Это все лозунги . Каждый слаб по своему . Человек последние слова которо были , -" И ты Брут " уж точно слабым не был :) .

Вероятно, макс и был тем, что являлось мягким путём? А сейчас, когда его отвергли и народ и все платформы, направят все эти ресурсы снова на борьбу с VPN, Ютубом и Телеграмом

Да все давно с этим понятно было, как интернет стал массовым а тем более инфраструктурным, стало понятно что он будет подконтролен, есть только две ветки контроля, одни отгораживаются и загораживаются - Китай, РФ, ЕС, а другие просто владеют - США (они тупо могут прийти почти к любой компании и взять что им нужно ну или создать таких проблем что большая часть согласиться отдать, и делают это законно в любой точке мира, так как они считают что их законы везде действуют).

Ну, а в нашем случае геополитические трения ускоряют процесс, а любой ускоренный процесс не гармонично идет с перегибами и дурацкими решениями.

Но в общем это глобально неизбежно чем важнее интернет для общества и экономики тем больше рисков и шансов что не будут ничего делать.

Я вот только не понял, что будет реализовано после выборов (или когда у них начало нового спринта?)

Те вот что делать, если работать станет сложно. Разрешат написать заявление, что "мне для работы прошу выделить 3 кВт электричества, 2 банки растворимого кофе, стул и безлимитный интернет", или так не прокатит?

P.S. Про растворимый сознаю - это будет, чтобы люди понимали, что нужно стиснуть зубы и быть довольными хотя бы малостью. А вот что с последней позицией?

+

Разработчики, награждённые переходящим вымпелом за качество работы (те сеньоры) еще получат пачку чая со слоном.

Кофе ему. Банку цикория, и то по праздникам.

Какой ещё цикорий?
Ячменного - достаточно!

Ячменного - достаточно!

Кофейный напиток "Золотой колос"©

А кофейный напиток "Дружба" (это который с цикорием) - тот только передовикам производства!

А токены на ЕС-ЭВМ пусть считаются!

Аналогично, но с другим сервисом. То открывается, то висит но через некоторое время открывается, то обрывы. Сервис внутренний, для онлайн касс. ТП ничего внятного сказать не может.

а что вы хотели услышать внятного от ТП?

Я тогда не знал, что проблема локальна. У них всё работает, официально и неофициально никаких блокировок нет, но сервис нормально работает только через VPN.

А самое неприятное, повлиять ни я, ни они на эту ситуацию не могут. Так и живём.

Вы можете проверить это (и любой другой веб-сайт) с помощью dpi-ch, указав примерно такую конфигурацию:

checkers:
  webhost:
    infra:
      - name: Github
        filter: host("github.com")

У себя я ограничений Github не наблюдаю:

* Впрочем, Github есть в разделе "Popular Web Services" при штатной конфигурации — так что можно вообще ничего не менять и посмотреть там.

в зависимости от провайдера и выпавших карт Таро может лечь всё, что угодно, ни один сайт, имеющий хоть какое-то отношение к забугорью, не застрахован - Pinterest, behance, астроалерт, ну вот всё, что угодно и независимо от того, насколько ресурс далёк от политики

Схема на завязана

Не сразу понял, что имелось в виду «не завязана», долго пытался осмыслить.

В свою очередь, не сразу понял, где же опечатка, спасибо :)

У меня со SNI firefox все равно отвалилось. Я что хочу сказать. Есть у меня vless-туннель и он отлично работал полгода на всех моих устройствах: Xiaomi MI A3, Samsung A25 и ноуте win10. Но, на днях на MI A3 отвалился и не помогает ничего, ни v2ray ни hiddify... А на остальных двоих нипочём. При этом Mi a3 самый старый android 11, значит добавили ещё что-то такое, что старые не осиляют. И это не то, о чем описывает автор.

С FP qq вроде пока живёт, но у меня и firefox работал, так что не знаю даже... В ДВ пока тихо более-менее.

curl --interface tun0 ipinfo.io

Возможно одно из установленных на Mi A3 приложений "стучит", когда видит открытый tun0. Эта команда на моём Samsung А52 завершается по таймауту, а на Вашем Xiaomi может выдать ip-шник сервера.

У меня этот интерфейс определяется как tun1. Как-то можно его совсем скрыть?

Нет

Да потому что там блок идёт по нескольким факторами, ip fingerprint устройство, при этом на мобильном может работать или на оборот на домашнем работать а на мобильном нет, если устройство засветилось его уже отлавливает dpi

За последние пару дней v2rayNG и Hiddify перестали работать с любыми отпечатками лично у меня, но Sing-Box версии 1.13.13 пока работает даже с отпечатком chrome, чего не могу сказать о 1.13.5

Это интересно. В случае с v2rayNG мне помогло именно понижение версии до 2.0.18 (последняя сейчас 2.2.3). Не знаю, работают ли какие-то версии выше или ниже. После ломания головы над вопросом «почему на одном телефоне с одной и той же сети, клиента и профиля работает, а на другом – нет», я просто скопировал рабочую версию на другой смартфон, и это помогло

Vless и reality с FP crome, на днях отвалился по одному адресу, сегодня на смартфоне, на втором адресе с другим провайдером пока держится.

Пробовали песочницы (shelter к примеру)? Не смотря на то что это не должно помогать, некоторым помогает

Получается что фиксированный и крайне маленький список fingerprint'ов в средствах обхода - слабое место? У меня с "chrome" не работало, заменил на "firefox" - снова заработало. Но ведь и "firefox" могут заблокировать (насколько я понимаю, там отпечаток какого-то конкретного браузера, конкретной версии?).

Существует ли инструмент, с помощью которого любой пользователь мог бы "отсканировать" свой реальный браузер и загрузить этот отпечаток в  uTLS-клиент?

Имеет ли смысл держать на vps свою домашнюю страничку и использовать её в качестве SNI?

Что ещё?

С хромом было временно и вроде как они и легитимный хром зацепили. Мы ведь с их скриптами боремся, а не делаем как лучше - у меня в подсети светится 60 яндексов, вк и максов и ничего, xray отлично работает.

Существует ли инструмент, с помощью которого любой пользователь мог бы "отсканировать" свой реальный браузер и загрузить этот отпечаток в  uTLS-клиент?

Напр., в xray есть нечто похожее на то, что в хотите — Browser Dialer. Других вариантов для массового пользователя быстро задать кастомный фингерпринт на основе своего браузера там нет, насколько мне известно. Хоть и uTLS, как библиотека для golang, поддерживает тонкую настройку в этом направлении, предварительно "отсканировав" свой отпечаток в ClientHello через любой сниффер вроде Wireshark (а предварительно можно оценить здесь онлайн).

Имеет ли смысл держать на vps свою домашнюю страничку и использовать её в качестве SNI?

Это может помочь, но не является, на мой взгляд, необходимым. Начать можно отсюда.

Что ещё?

Нюансов очень много, в рамках комментариев могу попробовать ответить только на более конкретные вопросы.

Недавно обновился 3xui до версии 3.х

У меня даже после повторного добавления, по новой логике панели, соединения блочились по точно таким же инбаундам как и всегда до этого и как работают сейчас после отката. Откатился на 2.9.4 все работает исправно на точно таких же инбаундах. В новой версии как будто много навайбкодили особо не проверяя код и авторов кода. Ещё у меня есть теория, что среди разработчиков панели есть сотрудники фабрики троллей которые делают сомнительные коммиты превращающие инструмент в дерьмо. Но я не могу это доказать.

Кармы нет, что бы плюсануть вам. У меня тоже такое ощущение, + интерфейс испортили :(

Абсолютно тот же опыт у меня. Откатил я на 2.9

Можно автору написать чтобы проверили или вернулись к стабильному билду который работал исправно. Я честно говоря так и не разобрался почему на новой панели соединения блочатся. Но очевидно сломали реалити и не подозревают об этом. Нужна масса обращений чтобы проверяли. Или может когда нибудь у меня будет достаточно времени сравнить реализацию реалити в допроблемных версиях с проблемной. Хотя вряд-ли получится просто найти косяк.

https://github.com/MHSanaei/3x-ui/issues/4962

@hitzmeyтоже если будет зацепка можно чиркануть автору. Может поправят

У меня соединения не блочатся, у меня аутбаунды не работают по правилам. То есть к серваку подключаюсь, но дальше не уходит в нужный аутбаунд, и как следствие коннекшен ресет

Пробовал использовать ядро xray/sing-box без 3xui с чистым конфигом (сервер и клиент)? Еще замечал, что часто проблема из-за клиентов (особенно если в режиме tun).

Зачем использовать 3xui и прочие обертки над прокси ядрами? Доп слой же, который сложно контролировать. Там фактически для работы нужно 2 конфига на пару десятков строк, ядро на обоих сторонах и все. Для reality нужно доп пару скриптов (все через агента можно собрать). На генерировать 5-10 вариантов комбинаций и по тестить на провайдере.

https://github.com/MHSanaei/3x-ui/issues/5041 создал автору issue, там бот ответил что проблема в ядре xray. Нжно откатывать. Буду пробовать. Но нейронки согласны что новейшая версия xray 26.6.1 триггерит ТСПУ фингерпринтом.

@Hardoman
@hitzmey

@Yokushiro
можете попробовать

То есть панель остается 3.2.x а xray откатывается

UPD: откат помог. В issue отписал что именно помогло. При откате выбирал postgresql и скачать postgresql а не использовать существующий

Пока что после отката на 3.2.0 снова отвалились инбаунды. Но они добавлены в старую базу. Может дело в этом. Сейчас переустановил сервер и буду пробовать с нуля поставть 3.2.0 и все настроить заново

3.х точно не работает ни в каком виде

Спасибо за тесты!

с uTLS firefox заработали на последней версии. Так что точно не в панели и xray дело. Поменял uTLS на firefox и все полетело.

подтверждаю, чистый sing-box сейчас использую, пришлось почитать, нооо по итогу оказалось несложно поднять. 3xui подкупал простотой, тут уже думать приходится, читать, а не тыкать всё, но зато заработало)

Если сервер только под себя и ещё пары человек, то можно и голым ядром обойтись. Но когда раздаёшь больше десяти пользователям, то панель сильно упрощает администрирование. Плюс, панель имеет встроенный сервис подписки — весьма актуально, когда приходится менять настройки из-за всё новых методов блокировок.

Аналогично! Хоть новые фичи мне понравились, но стабильной работы добиться не удалось, вернулся на 2.9.4

Что-то и правда не так. Сегодня купил vps на Российском серваке, хотел поюзать редирект на свой основной. Но часа 3 промучился - 3x-UI 3x+ вообще ничего не пускал. Ни Российский трафик ни вообще Любой трафик.

Отказался от VPS. А сейчас вот думаю, может версию 2.8.х катануть...

десятки подключений одновременно - какая-нибудь карта с кучей tiles, которые начинают тянуться сразу, или что-то типа вебмагазина с кучей фотографий...

В общем, вредят как могут.

Куча сайтов грузится со второго-третьего обновления. Хабр тоже зачастую картинки не прогружает сразу, к примеру, приходится Ф5 потыкать.

Иногда бывают и просто сны технические неполадки. Все уже настолько кругом видят происки РКН, что забыли что и раньше не так уж и редко многое само по себе ломалось и отваливалось.

Надеюсь вселенная потом так же по ним потопчется, как слон в посудной лавке, в такие моменты очень хочется верить в бумеранг... А я тем временем собираю чемодан, придется видимо терпеть "русофобию" на чужбине, но даже это уже не так отвратительно, чем то, что делают свои же, по отношению к своим же.

За 10 лет жизни вне РФ нигде не удалось найти русофобию хоть немного близкую к той, которая царит в РФ :)

Русофобия - это видимо не фобия к русским. А фобия, присущая у некоторых русских.

К сожалению, шансов мало...

Браузер не открывает новое подключение на каждую картинку. Есть строгий лимит даже при http1.1.

а в HTTP/2 так вообще мультиплекс на уровне протокола

А откуда тогда берется куча подключений в VLESS? Если он проксирует подключения браузера, то их должно быть столько же, сколько и у браузера.

  1. Выше, надо думать, подразумевается некий лимит на один веб-ресурс (хост) в браузере. На всю то систему совсем другие лимиты.

  2. На счет кучи подключений "в VLESS" (точнее, в клиенте), один из вариантов: просто пул соединений между клиентом и промежуточным прокси узлом сразу инициализируется на старте ради производительности, ещё до непосредственного обращения к ресурсам в сети. Потом они переиспользуются. Помимо этого, в основных клиентах есть опции аля "mux", равно как и ограничение кол-ва TCP соединений — можно поиграться.

Помимо этого, в основных клиентах есть опции аля "mux", равно как и ограничение кол-ва TCP соединений — можно поиграться.

А это работает с обычным xtls-rprx-vision? Я слышал что только с xhttp.

Я отвечал на конкретное сообщение, что РКН такими правилами зарубил загрузку кучи фотографий или "карты с кучей tiles". Это не так, потому что у браузера и так есть лимит на соединения с одним доменом (вроде бы 6 для HTTP/1.1) и Keep-Alive. Для H2 вообще только одно соединение. И РКН как раз подобрал такие правила, чтобы браузерам стараться не мешать в плане количества соединений.
Но вот VLESS же проксирует не соединения с одним сайтом, а соединения с разными сайтами и сервисами (допустим несколько сайтов по 6 соединений плюс telegram и еще что-то), но при этом делает вид, что подключается к одному сайту. То есть условный Chrome не стал бы открывать к example.com больше 6 соединений, поэтому если кто-то говорит, что он Chrome, что он подключается к example.com, и при этом держит 20 подключений, то это точно не Chrome, а прокси.

То есть если бы клиент VLESS вместо фиксированного SNI рандомно выбирал например из десятка, то эта блокировка бы не срабатывала?

Если отсечка по SNI - то да, если по IP - то нужен десяток серверов (или один с десятком адресов). Многие Xray/Singbox клиенты могут использовать параллельно несколько прокси-серверов по принципу round robin.

Но проще использовать XMUX.

Лимит есть, но не настолько уж строгий. Он регулируется настройками браузера. И он всяко больше одного.

Так и есть, уже сломали карты гугла и без квн на одном мобильном операторе именно так и стало работать, при зуме части карт практически не подгружаются.

Я пока заметил что начали более агрессивно блокировать целые подсети хостингов, например раньше не трогали Leaseweb и Timeweb - теперь они работают с трудом.

Плюс до того же Leaseweb у нас замедлялся трафик на стыках gldn и megafon до 50Мбит/с, после изменения маршрута на РТК скорость вернулась к обычной (1Гб/с).

Кроме того сильно пострадали операторы сотовой связи - видимо на них тестируют в первую очередь. У нас бесконечные жалобы от клиентов Билайн.

Сегодня они в кабине и на статус пейдже уже так и написали, что это "скорее всего ТСПУ"

РКН не ангелы, а только исполнители. Я их не оправдываю, справедливости ради, про ограничение доступа с впн к местным российским сервисам: "Все собеседники Forbes сошлись в предположении, что инициатива Минцифры исходит из закрытого поручения президента."

Напомню вам, что Президент РФ поручил существенно увеличить заработок научных сотрудников и преподавателей вузов.

Однако добиться этого так и не удалось!

Вот вот!

В приморье трижды выделяли деньги на новый мост. После каждого раза оказывалось что бюджета не хватило, но всё что выделили - освоили. А визуально никаких зачатков и даже начала строительства не видно. Отчитались что попробовали и оказалось задача сильно сложнее чем ожидалось, выделяйте ещё бюджет и кратно больше.

Можно же было и таким исполнителем оказаться. Ан-нет, там где проект принесет пользу людям - там ловкость рученок и карманов покажем, а там где ломать работу/доход/жизнь - это мы сейчас поработаем.

Так уже и не очень тянется рука оправдать исполнителя, правда ведь?

Быть может, это потому, что там от Кремля далеко, проверить трудно. А тут - смартфон в руки взял и посмотрел на выполнение поручений.

А может от того, что там - старая гвардия работает, а тут - молодые и амбициозные. Идейные, так сказать. Подход разный.

Но всё для людей же, ведь так?

Думается мне, что и мост далеко-далеко и какой-то этот непонятный "интернет" будут проверять либо через тот же смартфон либо через стопку А4, в одном случае с фотками строительства, в другом с графиками downdetector'а.
Я тоже думаю, что потому, что молодые и амбициозные к работе привлекаются.

а я искренне верю, что всё проще

нельзя просто так взять и украсть несколько миллиардов из бюджета, но можно:
1) освоить бюджет по ТСПУ
2) создать свою обрыганскую замену иностранным сервисам и сделать кучу рекламы, с которой иметь %

таким образом, своими же собственными деньгами народ РФ оплачивает и позволяет существовать потрясающей коррупционной схеме, ведь это не воровство, а ГОСБЕЗОПАСНОСТЬ и ИМПОРТОЗАМЕЩЕНИЕ, не перепутайте!!111

Быть может, это потому, что там от Кремля далеко, проверить трудно. А тут - смартфон в руки взял и посмотрел на выполнение поручений.

Не пристало царю-батюшке бесовских всех энтих ваших новомодных штучек-дрючек ручками светлейшими касаться - для того специально обученные людишки из молодых да амбициозных к нему приставлены, кои подберут фактики угодные, да в папочках особых к завтраку вместе с кофиём подадут./ S(?)

Так это-то он делал открытым поручением! Понимать надо!

То есть сглазили поручение-то?

Просто все поручения - комплексные. В закрытой части поручения - действительная часть, а в открытой - мнимая.

Увы, удалось.
1. Переводы на полставки.
2. Сокращения кафедр которые сами не зарабатывают деньги. Какая у вас зарплата, товарищ учёный, маленькая? Что ж вы так плохо работаете? Завтра идем мародерить на закрываемую кафедру - сотрудники раздают оборудование.
3. Деньги не выделяются на оборудование, всё на зарплату, надо купить что-то для эксперимента - покупай из ЗП.

  1. Но заработок-то не вырос.

  2. Опять-таки не вырос.

  3. Всегда оборудование покупали из зарплаты или из гранта, издавна так было, уже лет пятнадцать как.

Айти в России корчится от шизофрении. Само себе блокирует интернет и потом само же свои блокировки обходит.

"Умом Россию не понять..."

Айти в России корчится от шизофрении

Разве только айти?

Ну допустим, кто то главный скажет, что я должен вам отрезать ногу. И допустим я отрежу - я же не виноват, я просто исполнитель? Так же?

Автор скажите пожалуйста, на профильных форумах\телеграмах читал что помогает включить в finalmask фрагментацию\sudoku

Вы тестировали это?

Нет, товарищ майор.

заезжено и мимо.)

Вы еще свои конфиги на паблик выкладывайте и как можно чаще трубите об успешных обходах. Чем фрагментированнее и разнообразнее будут способы обхода. тем сложнее цензурному ведомству будет их детектировать и блокировать.

Никто н чего не выкладывает. Автор сам упомянул способы решения проблемы, я как человек следящий за этим и интересующийся задал нормальный техн вопрос. В ответ получил мемы про майора.

Майоры давно во всех телеграмм каналах и форумах уже сидят.

В теории, нечто похожее может помочь в противодействии DPI системам. Утилиты вроде zapret примерно так и работают (но не ограничиваясь этим).

концлагерь

даже наив нормально не спасает... зато работает soks5 с byebyedpi... клоунада какаято

Полноценный naive держит по умолчанию одно соединение. И автор строго не рекомендует использовать больше. Плюс там не uTLS. Так что описанные в статье блокировки в целом не про него.

Теперь все понятно! Вчера так понимаю у меня это и случилось. Видимо у нас в регионе тестировали этот способ блокировки. Сайт на селектел по https не доступен, по http все ок, (специально для проверки открыл доступ). Причем появляется доступ по https и через какое-то время опять пропадает. Из других регионов проблем доступа к сайту не было. Регион Орловская область

У меня тоже 2 проекта в Селектел, ip и сервера разные - один работает стабильно, второй через раз, стабильно только через КВН. Белгородская область.

У меня vpn с простой xor-обфускацией и до сих пор работает в 30-50 странах. Все носятся с этими vless и прочими наворотами и ловят блоки. Вы переоцениваете способности РКН

У меня обычный ваиргард работает, без модификаций, через мобильного федерального оператора т2. Серверы в европе, маленький (предположительно) ноунейм хостер с явно русским происхождением.

аналогично: пачка вайргардов и амнезий работают уже достаточно долго везде, кроме мест со включенными белыми списками(и, как ни странно у 2-3 человек с билайном, который некоторым фильтрует сам протокол)

сервер входа - в РФ, трафик делится им по адресу назначения, и приземляется уже либо "тут", либо "там"

сервер входа - в РФ

Ну вот и ответ, про такой схеме к многих хостеров довольно много чего будет работать вообще почти без фильтрации

Так простой проводостраж не работает через белые списки. А тут, я так понимаю, люди пробиваются как раз через БС.

Все носятся с этими vless и прочими наворотами и ловят блоки.

Это могут быть не блоки, а банальные глюки. Или ТСПУ тупо молча скипает всё что не успевает обработать что ней навернули своими обходами. Она ж такими же говнокодерами написана, там чёрти что внутри твориться может.

А очень много у кого уже давно не работает, как и вообще многие подобные «неопознанные» протоколы. Если вам по какой-то неизвестной причине очень сильно повезло с провайдером и хостерами - радуйтесь, но не надо думать что все остальные дураки и РКН дураки. Ситуация намного, намного сложнее чем вам могло казаться.

В целом даже GRE работает спокойно (даже plaintext, без IPSec шифрования). Я у себя на роутере давно поднял.

Просто подобными решениями пользуется 1.5 землекопа, т.к. настраивать может быть сложнее (а в случае с GRE нужен еще белый IP, что не у всех есть), вот и не блочат. Если подобные решения уйдут в народ, то и блокировать начнут их.

Подскажите, пожалуйста, какую сборку использовали?

Забавно, но дети пользуются более простым решением и оно все время работает. Правда неподконтрольным образом. Даже 12 летняя дочь легко обходит ограничения.

С этими вредителями надо что-то делать...

Шел 2026 год. Небольшая кучка странных дядей блокировали доступ к мировой базе знаний и технологиям, нещадно ломая созданное другими людьми в течение десятилетий.

Уничтожалось все, начиная от протоколов соединений, цифровой логистики, и заканчивая коммуникацией между всеми гражданами страны. Делалось это все засчет денег страны, в поте лица зарабатываемых народом в условиях санкций.

Делалось это все засчет денег страны

И по указанию первых лиц страны, никогда не стоит это забывать.

Огромное спасибо за статью!

Вчера опытным путём, используя ИИ, я пришёл к примерно таким же выводам. То есть понял, что есть "неправильные" fingerprint, и есть "неправильные" IP-адреса.

Хотел тоже похожую статью выложить на хабр сегодня, но вы меня опередили.

А что меняется при обычном обвале и при обвале, когда когда мчс присылает оповещение об атаке бпла?Просто во втором случае, отваливается даже софт из белого списка...в банк не заходит и даже гугл недоступен.

А Вы в каком регионе? В РнД, вроде, при белых списках, и банки (ВТБ) и даже WB (если не путаю) работает.

Это разные уровни (и степени) ограничений. Во втором случае, как правило, либо связь глушится целиком, либо работают т.н. "белые списки по CIDR".

Спасибо. Несколько дней пытался понять почему отвалился и российский и европейские сервы.

Софонный эффект

В «Задаче трёх тел» софоны уничтожали науку не взрывами и запретами. Они делали хуже: искажали результаты экспериментов, чтобы учёные перестали понимать, где ошибка, где прибор, а где сама реальность. Сегодня ровно это происходит с российскими сетями. Непрозрачная фильтрация трафика превращает работу сетевого инженера в гадание на логах.VPN не работает — это ошибка настройки или DPI? Сайт не открывается — это проблема DNS, маршрута, TLS или очередная блокировка? На мобильной сети работает, на фиксированной нет. У одного оператора живёт, у другого умирает. Сегодня поднялось, завтра развалилось. И никто не скажет почему. Это не «борьба с YouTube». Это разрушение инженерной среды. Потому что сеть можно развивать только там, где есть воспроизводимость, диагностика и понятные причинно-следственные связи. Когда всё превращается в непрозрачный шум, инженеры начинают чинить не инфраструктуру, а последствия чужого невидимого вмешательства. Так не строят технологический суверенитет. Так уничтожают собственную инженерную школу. Если софоны у Лю Цысиня останавливали развитие физики, то непрозрачная фильтрация трафика останавливает развитие сетевых технологий в России и лишает доступа к современным технологиям. Это и есть софонный эффект.

Они делали хуже: искажали результаты экспериментов, чтобы учёные перестали понимать, где ошибка, где прибор, а где сама реальность.

Моссад с Fast16 таким занимался ещё в 2005 году.

В новой версии 3x-ui 3.2.8 (а может и во всех 3.х.х) в конфигурации XRAY появились два параметра: "scMaxEachPostBytes": "1000000", "scMinPostsIntervalMs": "30". Их нельзя настроить через веб-интерфейс, панель добавляет их в конфиг сама. Эти же два параметра появились в клиентской ссылке. Так вот, мне помогло удаление этих параметров из конфига клиента и XRAY вручную (в панели: Конфигурация XRAY - Расширенный шаблон, в клиенте Exclave: карандаш напротив профиля - Extra). Все стало заново подключаться без даунгрейда панели. В v2rayNG текущей версии 2.2.3 нет поля для параметра Extra, у меня он снова заработал после изменения настроек сервера. Возможно перед импортом ссылки в v2rayNG стоит вручную удалить эти два параметра из ссылки. Есть вероятность, что достаточно удалить только "scMinPostsIntervalMs": "30", но я для верности удалил оба. Пока полет нормальный. Протокол VLESS, поток XHTTP, Fingerprint: firefox. Интересно, что через wi-fi все работало и с этими настройками, через мобильную сеть нет.

Интересно, что через wi-fi все работало и с этими настройками, через мобильную сеть нет.

дык все пакости большой брат встраивает прежде всего у мобильных операторов

Попробуйте. Если это действительно исправляет ситуацию, напишите кто-нибудь issues на Гитхабе. У меня там нет учетной записи.

В 3.1.0 не нашёл ни в конфигурации панели, ни в клиентской ссылке

Для 3.3.0 был только “scMaxEachPostBytes”: “1000000”. Убрать его - не помогло.

Количество ТСПУ ограничено, равно как и мощность каждой из них.
Абонентов миллионы, некоторые генерируют внушительные объемы трафика.
Вопрос: что случится если со стороны абонентов (например домашних) начнутся применяться меры активного противодействия ТСПУ? Эдакая распределенная DDOS-атака но ориентированная исключительно на алгоритмы ТСПУ, например техники вроде zapret/amneziya/etc. Т.е. переход от "как бы еще зашифроваться и спрятаться" к "вдарим по узкому месту".
Разумеется, если для этого нужно что-то качать и запускать - это сложно для рядового человека. Но если функционал DDOS встроен в некий софт который всеми используется, например браузер или мессенджер? Наказывать миллионы людей нереально, блокировать - отваливаться все будет огромными кусками.

Они просто за ваши же деньги купят больше ТСПУ, делов то

Наказывать миллионы людей нереально, блокировать - отваливаться все будет огромными кусками.

Я полагаю, что будут блокировать огромными кусками. Это в любом случае дешевле, чем всех наказать. Нет, наказывать тоже будут, но рандомно и показательно-жестоко. В итоге количество желающих ударять по узким местам значительно снизится, и в последующем уже не будет нужной критической массы, чтобы эти удары смогли бы сработать.

Ага, нечто подобное мы наблюдали в 2018-2020 годах, когда были "ковровые" блокировки Telegram. Более того, то, что описано в текущей статье — тоже самое, большими грубыми мазками идет работа.

У ТСПУ есть ручной байпас на случай отказа (т.е. трафик будет проходить "напрямую") — исключительно гипотетически представим, что этот вариант развития событий реализовался при данной "атаке". Однако, есть нюансы:

  • В это время, вероятно, вы не сможете нормально пользоваться Интернетом, т.к. ~все мощности будут направлены на "атаку" (примерно как во время скачивания торрентов без ограничений или хуже). При массовом характере такой же эффект может быть и у "соседей" по сети, или вовсе во всем Рунете;

  • Как только атака завершится (или вскоре после этого), байпас, вероятно, "закроется", и система перейдет в штатный режим работы;

  • Вы, как абонент, вероятно, будете заблокированы оператором после подобных шалостей.

Таким образом, сильно большого смысла в этом, будто бы, не наблюдается.

Вы, как абонент, вероятно, будете заблокированы оператором после подобных шалостей.

Оператор предпочтёт отказаться от большей части розничных абонентов?

Предпочтения операторов не шибко учитываются: они обязаны соблюдать российское законодательство — иначе, среди прочего, лишатся лицензий в области связи. Напр., едва ли среднестатистическому оператору нравится то, что у него установлен комплекс ТСПУ (и финансовые издержки в этой связи), однако, не он это решает, если хочет полноценно работать.

В этой ветке мы обсуждаем случай, когда у всех абонентов браузер или мессенджер слишком нагружает ТСПУ. Поэтому оператор должен отключить всех абонентов. У провайдера будет выбор:

  • или самому отказаться от всех абонентов, теряя все деньги,

  • или утратить лицензию, теряя все деньги.

Так и так результат одинаков.

У всех это у 0.01 процента? Остальные 99.99 не будут ерундой заниматься.

Напомню, что в этой ветке мы обсуждаем ТОЛЬКО ту ситуацию, при которой у всех абонентов браузер или мессенджер сильно нагружает ТСПУ. Это условие задал комментатор в начале ветки.

А где вы там слово все увидели? Ну и просто из поставновки: что-то явно нелегальное скачай и запусти на своем интернете. В такое даже полпроцента не ввяжется.

функционал DDOS встроен в некий софт который всеми используется, например браузер

Вот где я увидел слово «все».

Ага увидел. Отдел сказок на третьем этаже.

Не будет Гугл или МС превращать свой софт в вирус. Это если не конец им, то убытки на страшное количество миллиардов.

Это не сказка, а модель, для которой заданы вполне ясные вводные условия. Давайте придерживаться этих условий и не высказывать личных оценок.

Это так не работает. Если я хочу обсуждать сказки, то пойду про Ваху поболтать. Это интереснее и правдивие.

Нелегальное с чьей точки зрения? Ну вот прилетает обновление очень популярного Chrome Extension....и что? Или - прилетает обновление самого Chrome(или Firefox), всем в мире прилетает и работает по системам цензуры более менее одинаково(пусть менее эффективно), и отключается например если win-машина - в домене/браузер управляется корпоративной политикой.

Нелегального с точки зрения вашего договора с провайдером. Да и просто законов любой страны.

Корпорации все еще не станут превращать свой софт в вирусы. Это же потери страшные. И разделение интернета и всего софта по сегментам неминуемое. Когда нельзя верить ничему а вирусом становится стандартный софт это конец интернету как мы его знаем.

Я такого не хочу. А вы?

или самому отказаться от всех абонентов, теряя все деньги,

А он не потеряет деньги.

ТСПУ стоят у всех операторов, поэтому ситуация везде ± таже самая. И в дополнении к всему прочему, сейчас даже подправили законодательство, что ОПСОС не несет финансовой ответственности перед своими клиентами за не исполнение договора по услугам связи или их качество.

Выше комментатор, который начал эту ветку, прямо указал, что мы обсуждаем.

Мы обсуждаем тот случай, когда все клиенты провайдера начинают избыточно нагружать ТСПУ.

А я на него и ответил, потому что в текущих обстоятельствах утверждение “самому отказаться от всех абонентов, теряя все деньги” - не верное (специально выделил главное).

Если провайдер отключит таких клиентов, то есть всех клиентов, он останется без денег.

А если не отключит, у него отнимут лицензию и он останется без денег.

Оба результата одинаковы.

он останется без денег.

Да с чего вы это вязли?

Он будет поочередно отключать то одни, то других (как сейчас) и связь, то есть - то нет.

А клиенты как платили так и будут продолжать платить, потому что если платить перестанут, тот останутся вообще без связи, даже такой хреновой, ведь подобная ситуация у всех ОПСОСов.

Итак, все клиенты постоянно слишком сильно нагружают ТСПУ, вызывая их отказ.

Вы предложили, что можно отключить одних, а оставшиеся будут уже не сильно нагружать ТСПУ. Верно? То есть надо отключить несколько миллионов клиентов, чтобы остальные миллионы клиентов могли по-прежнему нагружать ТСПУ своими агентами, но уже не так сильно?

Вы специально делает вид что не понимаете?

При перегрузке ТСПУ он может, например, рандомно пропускать отдельные пакеты. Зачем именно отключать, когда эту проблему можно тонким слоем размазать на всех клиентов (все чуть-чуть глючат, но продолжают как-то работать).

То есть не надо отключать клиентов, а можно оставить, чтобы они все создавали чрезмерную, избыточно большую нагрузку на ТСПУ ?

Напомню, что мы обсуждаем не тот случай, когда ТСПУ может пропускать или не пропускать, а другой случай — когда ТСПУ не успевает обработать трафик.

Мы обсуждает потенциальные потери операторов связи из-за превышения нагрузки на ТСПУ.

Напомню вводные условия.

Абонентов миллионы… со стороны абонентов (например домашних) начнутся применяться меры активного противодействия ТСПУ… функционал DDOS встроен в некий софт который всеми используется… Наказывать миллионы людей нереально.

То есть потери операторов связи из-за того, что ТСПУ по нескольку дней не смогут работать.

То есть потери операторов связи из-за того, что ТСПУ по нескольку дней не смогут работать.

Откуда вы взяли это предположение???

Из чрезмерной нагрузки на ТСПУ, созданной миллионами клиентов. Так задано во вводной.

Понято, включили “Купи слона”. Тогда удачно вам пообщаться с другими пользователями.

Если бы значимая часть россиян была способна на активные сознательные действия по отстаиванию своих интересов - нам бы вообще не пришлось обсуждать текущую дичь. А описанная ситуация (массовое участие в ddos) не имеет точек соприкосновения с реальностью.

1) я не уверен что есть на свете страна, в которой значимая часть готова на активные сознательные действия.
2) а действия что-то значат? ну когда правительству нужно реально завершить начатое и пофиг на толпу "активистов"?

Оператору будет крайне печально оказаться без лицензии на услуги связи

Если все операторы начнут играть по одним правилам, то у абонента останется только 2 выбора. Или сиди без инета, или не выпендривайся.

начнут временно блокировать трафик абонентам которые перегружают тспу. тспу уже может блокировать часть трафика конкретному абоненту (динамические триггер блоки, 2 статья у меня), просто перенастроят на блок всего трафика

  • мощности будут увеличиваться

  • провайдеру спустят адреса абонентов-атакующих, провайдер поставит их перед выбором "прекращайте, или расторгаем договор" (как сейчас происходит с некоторыми отечественными хостерами). Либо сами ТСПУ начнут накладывать "пенальти": вас уличили в атаке - весь трафик от вас на N минут уходит в /dev/null и вы фактически оказываетесь без доступа в интернет

  • разработчикам основных браузеров это не нужно

Либо сами ТСПУ начнут накладывать "пенальти": вас уличили в атаке - весь трафик от вас на N минут уходит в /dev/null и вы фактически оказываетесь без доступа в интернет

Пользователь говорит не работает интернет - чините. Будут в игры с платным вызовом ремонтников играть?(продемонстрировать что не работает при ремонтнике - вполне получится же)

Так провайдер же знает, почему Интернет отключен. Этой "технологии" сто лет в обед, еще в начале нулевых вас тупо отрубали от Интернета, если от вас идет ддос или спам. Звонишь, говорят: "у вас вирус, чините, как почините - звоните, мы проверим и подключим."

Никто к вам не поедет, не надейтесь, дураков нет :)

Договор с вашим провайдером почитайте. Такие выкрутасы, не важно насколько вы считаете свои действия правильными и справедливыми, идут в разрез с ним. Вам просто порт погасят до выяснения причин и скажут больше так не делать если не хотите разрыва договора за нарушение условий. Причем отключение порта произойдет не по указке сверху, а, вероятно, по сигналу мониторинга самого провайдера.

Кстати у меня было, но я там сам дурак оказался. Одноплатник с дефолтным паролем-логином и открытым ssh наружу через роутер (через дефолтный порт). Что могло пойти не так? Всё пошло не так. В спешке подрубил и уехал на работу. На работе стучусь до домашних серверов - глухо. Интернет заблокирован. Деньги на счете есть. Звоню провайдеру. Милая девушка мне рассказывает, мой одноплатник стал частью ботнета и они отрубили линк - не физически но отрубили совсем. Она говорит, это часто бывает у IoT девайсов, и одноплатники туда же. Я в офигевании прихожу домой вечером - ну да, взломан(ага взлом заключался в вводе дефолтного логина и пароля orangepi), куча скриптов в фоне непонятных, все долбятся куда-то в сеть. Сам дурак - понятное дело. Думал с работы разберусь все поменяю, а не успел даже за это время.

Главное - что могут, и системы мониторинга уже все там есть. С одной стороны и хорошо...с другой - вот это самое.

Меня давно мучает вопрос: кто эти люди, которые так самозабвенно работают в РКН за копейки, чтобы с упорством, достойным лучшего применения, реализовывать какие-то сложные схемы блокировок, чтобы оградить нас от тлетворного влияния котиков на ютубе и чатиков в телеге?

Оградить нас, чтобы что? Чтобы мы использовали только государственный мессенджер и смотрели вк-видео с одобренным контентом? Но зачем?

«Я просто выполнял приказ» ©

Мне тоже интересно.

Ну, у меня, например, есть такой знакомый. Не совсем в РКН, но около того, в системе видеонаблюдения (слежки по камерам) Москвы работает. Улучшают распознавание людей по фигуре, походке и т.п. Пошел туда работать сразу после института. Умный парень, институт хорошо закончил, но идейный. Всю жизнь прожил при Путине, верит в коммунизм, считает, что ссср был прекрасной и прогрессивной страной (хотя не застал даже перестройку) и его развалили специально правители капстран, чтобы убрать конкурента на мировой арене, и сделать это (развалить) было очень трудно и для развала были предприняты титанические усилия многих вражеских разведок. В Европе был много раз с родителями, сейчас ездит только в Крым.

Ну это так, чтобы вы понимали психологический портрет.

 верит в коммунизм, считает, что ссср был прекрасной и прогрессивной страной (хотя не застал даже перестройку) и его развалили специально правители капстран, 

а не знаете, откуда у него такая "прошивка"? Родители? окружение? школа?

Тайна. покрытая мраком. С родителями (да и со сверстниками - друзьями) споры до хрипоты. С родителями уже почти не общается, в т.ч. и по этой причине.

@yurivv69 возможно, дело в том, что человек СССР знает только по рассказам...

возможно, дело в том, что человек СССР знает только по рассказам...

Но рассказы-то про СССР - разные. Хотя, конечно, идеализация СССР идет и по политическим причинам, да и чисто по психологическим (хорошее помнится, плохое забывается. Например, с той же армейкой: если/когда встречаемся с сослуживцами - вспоминаем приколы тех времен, смеемся. Но как-то не вспоминаются те моменты, когда было не до смеха. И обратно туда никто не хочет)

Это такие русские МАГА, хотим назад, в золотой век, в котором никогда не жили. Интересно, что сказки МАГА в США даже немного похожи, например, что человек без даже школьного образования, работая на кассе, мог купить большой дом и содержать трех детей и жену-домохозяйку. Ну и всем белым мужчинам сразы выдавали к̶в̶а̶р̶т̶и̶р̶у̶ женщину :) Я полагаю эта такая психологическая реакция определенных типов личности на возросшую неопеределенность бытия

Это печально. Я думал, такие истории это городские легенды. Тут нужна помощь квалифицированная, очевидно. Говорю, как человек, который поступил в ВУЗ в СССР, а работать начал в России. СССР помню хорошо, и разумеется туда не хочу.

Сейчас романтизация СССР очень распространенное явление, именно среди не заставших его, даже тут, на Хабре, появляются статьи марксистского толка.

Встречал такое, это какие-то дети-зумеры, они в принципе не понимают, о чем говорят. У них и представления-то нет, как там было.

Печаль в том, что ни у кого нету уже такого представления.

Люди почти не помнят, почему существовало противоречие между рабочими и ИТР: рабочий получал огромную зарплату, мог покупать себе любую еду на базаре и заказывать одежду в ателье — однако юноши и девушки продолжали учиться в вузах, чтобы страдальчески зарабатывать 120 рублей и непрерывно жаловаться на нехватку товаров в продовольственном магазине.

Казалось бы, что мешает бросить вуз и работать токарем, получая на сдельщине свои 300—400 рублей в месяц? Что мешает сменить профессию учителя литературы на профессию крановщика? Ан нет, держались за свой диплом, не желая получать большую зарплату.

Казалось бы, что мешает бросить вуз и работать токарем, получая на сдельщине свои 300—400 рублей в месяц? 

Например тот факт что человек по жизни рукожоп.

Да и условия работы (уютное КБ против всратого шумного и пыльного цеха) тоже, мягко говоря, различались.

В конце концов, тупой механической работой просто не интересно заниматься, а вот конструировать - интересно.

Так можно было и шахтёром пойти работать, или на вредное производство куда-нибудь в Норильск и получать ещё больше. Не всё деньгами измеряется.

У них и представления-то нет, как там было.

Я, обычно, в таких случаях рассказываю о том, чего там не было.

И как, верят? /s

Ты не поверишь...

Очень хороший способ. Молодые люди думают, что там было примерно как сейчас: все с айфонами, машинами, компами, интернетом, вкусными ресторанами, крафотовм пивом, дизайнерскими брендами одежды, но без проклятого сами знаете кого, а там, в СССР, всегда была прекрасная погода, мудрое правительство, роскошная жизнь на всем бесплатном, а люди были так хороши, что непрерывно любили друг друга в дёсны. Включая многонациональную любовь к Родине. И вообще у нас был космос, и мы были впереди планеты всей везде.
А, забыл, и работу каждому давали сразу после вуза за 300 к/сек.

И квартиру через год-два после начала работы.

А потом, по мере демонстрации успехов, в рождаемости регулярно добавляли жилплощади без проволочки.

Давайте вместе вспоминать и рассказывать тут, на Хабре?

Например, вы помните, как распечатывали целые книги на АЦПУ, передавали их из одного НИИ в другой на лентах? А помните, как записывали друг другу звукозаписи на катушках? А как легко было ездить из города в город на попутных машинах?

Это такие русские МАГА, хотим назад, в золотой век, в котором никогда не жили. Я полагаю эта такая психологическая реакция определенных типов личности на возросшую неопеределенность бытия

Ну, у меня, например, есть такой знакомый. Не совсем в РКН, но около того, в системе видеонаблюдения (слежки по камерам) Москвы работает.

Это скорее "совсем не" в РКН. Вполне возможно точно так же смотрит ютубчик и матерится на блокировки.

Ладно, белые списки пилить. Есть знакомый, который работает над реестром военнообязанных. Сейчас уже уехал, но первый год пилил его из рф. И ничего.

Верит в коммунизм, СССР был прекрасной страной. Так - а текущий режим с точки зрения "правоверного коммуниста" это у нас ЧТО?

А почему “за копейки”? Вполне возможно, что у них из зп нормальная и пенсия как у “космонавтов” в 35-40. Тираны всегда хорошо кормили гвардию.

Потому что я работаю в госстуктурах (на госслужбе) и знаю, какие тут зарплаты, а пенсия тут только ногами вперёд.

У вас, значит, не те госструктуры, увы. Неприоритетные.

самозабвенно работают в РКН за копейки

Уж они-то не за копейки работают совершенно точно.

Аналогично, давно задавался вопросом - а что за люди пишут софт для гаишных камер например? Идейные? Обиженные на мир? До вас не доходит, что занимаетесь антинародной деятельностью? Но история со взломом Микорда дала ответ: работающие за еду голодранцы. Ядерный путинский электорат, чего говорить. Хотя вот вам выше написали про "идейного".

а что за люди пишут софт для гаишных камер например?

А чем гаишные камеры не угодили? Чем они антинародные? Ездить дебилам мешают?
Я бы камер следящих за скоростью и обочиной натыкал бы вообще каждые 50 метров. Считаю, что не штрафуемого порога в <20км/ч хватает для всего. Ещё бы штрафы к доходу и/или стоимости авто привязали.

Ну, когда я свой единственный штраф за превышение словил на Минке, когда не успел до 50 км/ч снизить скорость перед "ремонтными работами", я был изрядно обижен на тех, кто поставил эту камеру...

А почему не должно быть гаишных камер? Я думал они, в отличие от гаишников, взятку требовать не могут а тех, уто скорость превышают - ловят

Это ведь вроде хорошо?

Частные подрядчики на госконтракте. В РКН нет сетевых инженеров и IT специалистов на окладе ю, которые так глубоко разбираются в трафике. Кнопкодавители это пожалуйста, но интеллектуальный анализ это наши с вами коллеги (другим словом хочу назвать) которые отлично понимают что делают но деньга не пахнет.

Я не понимаю. Все уже знают что в РКН работают бездари с руками из жопы . И что на всю страну нет хакеров и спецов? Всех ркн без вазелина имеет никакого сопротивления.

С точки зрения внешнего наблюдателя нельзя не заметить, что технический арсенал цензора на данный момент впечатляет – даже несмотря на то, что поставленные задачи по ограничениям и блокировкам не решены, а частичные решения имеют заметный сопутствующий ущерб. Ознакомьтесь, хотя бы, с возможностями СКАТ от VAS Experts. Как бы ни хотелось кому-то иначе, как говорится.

в РКН работают бездари с руками из жопы

Именно поэтому они закупают технические решения у тех, у кого руки растут из правильного места, например, у @VASExperts

Руки растут из правильного места - это про тупое замедление по cidr хостеров зарубежных и cdn? Или вот то что в статье описывается?

Однако эти "бездари" умудряются все больше портить жизнь.

Mtproxy я так понимаю по этой же причине не работает с недавнего времени?

Статья попахивает нейрослопом без каких-либо пруфов написанного. То есть, в теории, конечно, DPI так может работать. Но есть сомнения, что РКН массово применяет описанные в этой статье техники на практике.

У меня работает. МСК

последние 2-3 суок наблюдаю следующее: на андроид телефоне стоит квн с двумя прыжками, вход в РФ выход Турция, амнезия походу на сервере провайдера (мне выдали только логин пароль и адрес сервера входа)
так вот, на андроиде полная опа, не работает ничего, ни через сотовую связи ни через wifi (Yota). Но. у жены этот же квн но телефон айфон, и все у нее работает. Так же у меня ноут с линуксом на борту - тоже работает.
Есть подозрение - после последней обновки макса (параноя уже) он как то блокирует квн? так же не может быть - одна учетка у меня и жены - у меня не работает а у нее работает (слава Богу макса у нее нет и не было). Опять же - у дочери андроид + скам = тоже перестал работать квн с этой же учеткой в эти же 3-е суток примерно. Понимаю что смахивает на бред, но совпадения......

Последние трое суток подобная ситуация, только скам никогда не стоял...

В штатном случае такие приложения как Max стучат о том что у вас есть VPN (т.е. пассивное наблюдение сбоку), и сами по себе могут отказаться работать пока их не выключишь. Но "не должны" в моменте препятствовать работе остальной сети. Таким образом, скорее, клиенты и/или их настройки у вас таки различные на устройствах, раз уж у других работает примерно такой же конфиг и точка входа в Интернет одинакова (это ведь так?).

Если, конечно, нет какой-то дыры в VPN клиенте, которая светит наружу своё API (локально, но с доступом для всех приложений), что иногда случалось ранее и гипотетически могло бы эксплуатироваться. Но подобные трюки пока что не были замечены в потенциальном "виновнике", насколько мне известно.

согласен с вами.
раз скам не виноват (примем как условие) - тогда почему ноут и айфоны работают до сих пор без проблем а мой и дочки ведроиды нет? :)
так же не может быть - если уж заблочили то у всех а не 50 на 50
ладно, попробую переустановить амнезию, может вправду чето поломалось
спасибо!

Ну, я бы посмотрел что происходит на уровне сети через Wireshark и/или более дотошно сравнил конфигурации клиентов. Там может быть много чего...

я бы хотел выложить пост, да другой в песочнице на модерации..
тестировал на Beget домене, там проблема исчезает.

У кого не открываются легитимные сайты из-за блокировок РКН ТСПУ

Вставляете в строку браузера chrome://flags/
Ищите Cryptography Compliance (CNSA) (#cryptography-compliance-cnsa)
Что сделать: Переключите в режим Enabled.
Зачем: Этот флаг заставляет Chrome отдавать приоритет алгоритмам из американского государственного стандарта CNSA. Это кардинально меняет порядок шифров в TLS-отпечатке Chrome.

После перезапускаете браузер и проверяете на легитимном проблемном сайте.
Должно работать и в других браузерах на базе Chrome.

А если Вы владелец сайта, то можно отключить TLS 1.3 - помогает но не всем.

Спасибо! Действительно помогло.

Спасибо, работает, продолжайте радовать публику фиксами :)

Спасибо за приглашение, это важно для меня

проверяйте что на своём сайте пишете, а то бред какой-то про ssh, icmp и quic написали в копии этой статьи

но, к сожалению, клиентам сайта это не поможет, т.к. заранее анонимному клиенту у которого нет соединения нельзя дать такую подсказку, а делать выбор шифров на серверной части тоже смысла нет, т.к. сервер вообще не получает полный ClientHello, значит до этапа выбора шифра дело не дойдёт.

сейчас тестирую на проблемных клиентах, отпишу по результатам!

Интересная деталь: алгоритм завязан на фингерпринт именно в момент TLS handshake, и при этом учитывает количество параллельных соединений. Протоколы, которые изначально проектировались под маскировку под HTTPS-трафик с нестандартной мультиплексированием (например, QUIC-based), теоретически менее уязвимы к этой схеме — просто потому что там нет классического ClientHello в том виде, который цензор умеет анализировать. Интересно, распространяется ли описанный механизм на UDP-трафик или пока только TCP?

похоже "алгоритм" даже не учитывает количество параллельных соединений..., по крайней мере у меня. В WireShark видно, что при первом же соединении (через Chrome) пакет ClientHello рвется. Чтобы Chrome начал параллельные соединения, он должен сначала получить HTML-код страницы, где в разметке содержатся все источники (src), а потом уже устанавливает соединения (или берет данные из кэша).

Интересное наблюдение — если ClientHello рвётся уже при первом соединении, то порог параллельных подключений вообще не успевает сработать. Получается, что цензор реагирует на фингерпринт раньше, чем на паттерн соединений? Или это зависит от конкретного провайдера?

я так понял, зависит от провайдера. У некоторых вообще всё открывается как раньше, у меня при первом же соединении рвется ClientHello. С чем связано не знаю, возможно разный софт и сама версия ТСПУ. Возможно фашисты так выборочно проверяют свои правила фильтрации.

p.s. проблема ещё в том, что те пользователи, у которых сайт не открывается не могут об этом сообщить, т.к. обмен сообщениями - через форму обратной связи на сайте. Но заметно, что трафик из России с начала этой блокировки заметно упал, т.е. новые пользователи просто не доходят до сайта, а разбираться в сути проблемы они не будут. Идёт потеря клиентов.

Дело в том, что в арсенале РКН достаточно много способов ограничений — их внедрение зависит, среди прочего, от региона, провайдера (в т.ч. мобильный это или домашний), точки назначения трафика (на различных уровнях: от L3 и выше по OSI) и к тому же меняется с течением времени. Описываемый в статье "метод" — лишь один из многих, очевидно.

Несколько дней назад периодически перестал открываться сайт моего проекта в Chrome и Яндекс.Браузере, при этом в Firefox работает нормально. Через VPN, SOCKS-прокси и мобильный интернет сайт открывается без проблем.

Сначала было сложно понять причину, но гугление привело на информацию этого поста и картина стала проясняться.

Провёл анализ трафика с помощью tcpdump на сервере и через Wireshark на клиентской части. В нерабочих сессиях TCP-соединение устанавливается, Chrome начинает TLS-рукопожатие и отправляет ClientHello размером около 1800 байт, однако до сервера доходит только первый сегмент, а оставшаяся часть ClientHello теряется по пути. В результате сервер не может собрать полный ClientHello и не отправляет ServerHello.

В успешных соединениях, а также при работе через Firefox, полный ClientHello доходит до сервера, TLS-рукопожатие завершается штатно и сайт открывается.

Меня крайне возмутила такая ситуация, т.к. такие действия со стороны провайдера - это явное нарушение закона. Ответственность за такую блокировку в конечном итоге несёт провайдер.

Я составил жалобу в адрес провайдера и отправил её в чат тех. поддержки. Там естественно ответили, что “о такой проблеме нам ничего не известно”, но тем не менее жалобу зарегистрировали.

Если ответ будет типа “проведена проверка, на нашей стороне ограничений нет”, то буду писать дальше - в РКН и ФАС.

Предлагаю всем написать свои подобные жалобы, т.к. если их не будет, а будет “молчание ягнят”, то ситуация будет только усугубляться и мы придём к полному “чебурнету”. Если провайдеры будут завалены подобными жалобами, тогда, возможно, что-то изменится к лучшему. Также важно, чтобы каждый попросил другого составить подобную жалобу, т.е. “функция должна быть рекурсивной”.

Составил для примера шаблон подобной жалобы:

https://drive.google.com/file/d/12Fo9cTRNQijaTe-zR_GvPcoA3FtVJRY4/view?usp=sharing

т.к. такие действия со стороны провайдера

Это не действия со стороны провайдера, провайдер к этому вообще никакого отношения не имеет. Такая фильтрация производится на «ТСПУ», которые управляются РКНом, провайдер к ним доступа не имеет и никак не контролирует (а за несанкционированные попытки провайдера воздействовать на их работу чтобы обойти фильтрацию наказание будет вплоть до полного отзыва лицензии).

Если ответ будет типа “проведена проверка, на нашей стороне ограничений нет”, то буду писать дальше - в РКН

Жаловаться тем, кто делает блокировки, на их же блокировки - это сильно, конечно. Можно еще написать в ФСБ, Госдуму и администрацию президента, они тоже поржут - догадайтесь почему.

Впрочем, если прям ну очень сильно повезет, РКН могут конкретно для SNI вашего сайта сделать исключение в своих списках. Но это больше похоже на известный анекдот про занятие очереди на обязательное изнасилование в пятницу вечером, чтобы пораньше освободиться в субботу.

Это понятно, что управляет ТСПУ не провайдер, но по закону - виноват именно провайдер. Поэтому, если провайдеры поймут, что закон нарушают именно они (не важно что это из-за ТСПУ), то начнут шевелится и сами будут жаловаться в РКН/ГКРЧ для того, чтобы там смягчили правила.

закон? в России? в 2026? да всем плевать

то начнут шевелится и сами будут жаловаться в РКН/ГКРЧ для того, чтобы там смягчили правила

Вы кажется вообще не в курсе, что там происходит. Почитайте профильные форумы - провайдеры на это жалуются всеми возможными способами уже много лет как. В ответ их почти открытым текстом посылают нахрен. Так что нет, от жалоб провайдеров РКН ничего ослаблять не будет. Не говоря уж о том, что РКН это все затеял не сам, а делает все по указке сверху. Провайдеры в этой ситуации - точно такая же пострадавшая сторона, и от всего происходящего несут убытки уже не первый год. Как уже метко сказал комментатор выше, на законы в россии уже давно всем плевать. И вместо того, чтобы обратить свой гнев на (или хотя бы назвать вещи своими словами про) тех, кто все это затеял и продвигает, и построил эту систему, вы ругаетесь и жалуетесь на провайдеров, которые не имеют к этому никакого отношения и являются такими же заложниками ситуации (за некоторыми исключениями типа Ростелекома, которые с этого наоборот имеют неслабый профит).

Было ли более 3 параллельных попыток установить TLS соединение к серверу (т.е. с задержкой между ними менее ~350-400 мс) в течение последних 60 секунд?

Кто-нибудь сведущий, поясните мне, пожалуйста: я правильно понимаю,что они поломали HTTP/2 ? Указанные таймауты очень и очень похожи на то, что я вижу на самом обычном интернет-магазине.

http/2 это одно соединение к серверу

В статье неявно подразумевается HTTP/1.1 с TLS 1.3. Постараюсь поэкспериментировать с другими версиями и добавить подробности в статью.

Впрочем, попробую обойтись экспериментом мысленного характера:
В настоящее время фингерпринты примерно всех современных браузеров содержат ALPN с заявленной поддержкой как HTTP/1.1 так и HTTP/2, а также в полях/расширениях сообщения указывают поддержку TLS 1.2 и 1.3. При этом, цензор не дожидается ServerHello (т.е. не знает, какие версии предпочел сервер).

Таким образом, если мы попытаемся на клиенте эти параметры поменять, то поломаем фингерпринт и ограничений (описываемых в статье) не будет исходно. В противном случае будут, согласно алгоритму.

спасибо за ответ! Сегодня попробовал те же страницы - проблема не наблюдается.
Для сравнения с экспериментом @Norst из комментария ниже: каждая проблемная страница из моего случая делает до 700 запросов при загрузке, и соединения дружно подвисали после примерно 300-400 выполненных запросов. Спустя 2 минуты так же дружно отвисали и грузилось дальше.

Попробовал установить несколько параллельных TLS соединений к хосту российского провайдера, для которого dpi-ch у меня детектирует Syberian. Проверку проводил в реальном Chrome. В разных профилях браузера (чтобы обеспечить установку новых соединений) один и тот же URL был открыт 5 раз за 100-200мс период. В URL использовал случайный несуществующий домен, для которого в локальном резолвере был задан IP хоста. Результат - отсутствие блокировки.

Верно ли я понимаю, что проверка на реальном браузере не проводилась, а выводы в разделе "Субъективная оценка" базируются только на основе результатов тестирования посредством uTLS?

Возможно, у вас был HTTP/1.1 в режиме keep-alive (т.е. одно TCP соединение) или же HTTP/2 (т.е. тоже одно TCP соединение). Чтобы убедиться в обратном, надо смотреть на фактический трафик, напр., через Wireshark.

использовал случайный несуществующий домен

Как при этом обстояли дела с проверкой https сертификата в браузере? Есть и другие сложности с тестированием из песочницы.

выводы в разделе "Субъективная оценка" базируются только на основе результатов тестирования посредством uTLS

Не только.

Возможно, у вас был HTTP/1.1 в режиме keep-alive (т.е. одно TCP соединение) или же HTTP/2 (т.е. тоже одно TCP соединение).

Да, каждое из соединений использовало HTTP/2, но было установлено 5 параллельных, независимых соединений. Про разные профили указал не случайно - они обеспечивают изоляцию на уровне сетевых соединений. Дамп трафика это подтверждает.

Как при этом обстояли дела с проверкой https сертификата в браузере?

Она была отключена флагом ignore-certificate-errors. А это имеет значение? Как понял, для срабатывания блокировки установка соединений не требуется, фиксируются только попытки TLS соединений на этапе ClientHello.

Есть и другие сложности с тестированием из песочницы.

Есть какие-то замечания по подходу к проверке?

Не только.

Но на реальном Chrome протестировать не пробовали? Было бы интересно, совпадут ли результаты с моими, это важно для корректной оценки.

Можете в личку прислать тестируемый IP?

Опубликовал пример тестового стенда на основе Google Chrome в статье.

Спасибо за показательное тестирование. При проверке я использовал схожий подход. Разобрался, почему у меня блокировка отсутствовала. Оказалось, что когда то отключал ECH через политики хрома (которые применяются ко всем профилям). Со всеми вытекающими последствиями в виде измененного fingerprint. После отключение политики результат стал ожидаемым - блокировка.

Классно, я уже себе всю голову сломал, думал это я рукожоп, а так всё по полочкам, спасибо ОП)

Например, могут не открываться многие вполне легитимные веб-сайты (во вполне легитимных браузерах — воспроизведение см. выше), которые хостятся в т.ч. в РФ дата-центрах.

Вот и столкнулся с вышеобозначенным вариантом, "in the wild".

При этом, интересный нюанс: если вы таки добились заморозки на 120 секунд (что, конечно, не очень сложно), и попытаетесь сменить фингерпринт "браузера" (в т.ч. на "неподозрительный"), то вы дополнительно поймаете блокировку на 600 секунд.

Не наблюдаю. Ловлю блокировку в Chrome. Через несколько секунд проверяю в FF - в нём всё загружается без проблем. После этого Chrome размораживается через обычные ~ 2 мин.

Адрес сайта отправил в личку, во избежание рекламы.

При этом, интересный нюанс: если вы таки добились заморозки на 120 секунд (что, конечно, не очень сложно), и попытаетесь сменить фингерпринт "браузера" (в т.ч. на "неподозрительный"), то вы дополнительно поймаете блокировку на 600 секунд. В течение этого времени замораживаются любые TLS соединения (TCP всегда коннект проходит), вне зависимости от фингерпринта и SNI.

У меня такого нет, т.е. после блока фингера хрома можно использовать обычный курл, но после блока фингера safari уже не работает и обычны curl

Ага, см. upd. от 16.06.2026 в статье.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации