eByeBots9 июн в 20:29

Как починить блокировку Вашего сайта от РКН ТСПУ — реальный кейс

4 мин

16K

Системное администрирование * DevOps * Сетевые технологии * Информационная безопасность * Хостинг

Туториал

+10

Комментарии 14

sanchesfree 9 июн в 20:40

TLDR
откатитесь до TLS 1.2 и HTTP/2

anzay911 9 июн в 21:02

Но ведь не до HTTP. Прогресс не стоит на месте! /s

Maxim_Q 9 июн в 21:43

По скриншотам dpi-checkers видно что сервера у вас находятся в России но к ним применяются огранияения и блокировки. Я верно понял не зависимо от расположения сервера, палки в колеcа вставляют всем без разбора? Если да, то схема в тексте взятая из статьи https://habr.com/ru/articles/1044396/ не верная.

eByeBots 9 июн в 21:51

У нас прокси-сервера на Beget, а сайты клиентов повсюду.

Вот цитата из той статьи:

На их основе действует алгоритм (если ответ на любой вопрос ниже "нет" — пропускаем трафик без ограничений, если "да" — анализируем дальше по цепочке):

IP адрес сервера является подозрительным?
Фингерпринт "браузера" является подозрительным? Таковыми, в среднем, являются отпечатки от: Chrome, Safari, и iOS (при этом, Firefox, Android OkHttp, Edge, 360 Browser, QQ Browser — пока что проходят у большинства операторов);
Было ли более 3 параллельных попыток установить TLS соединение к серверу (т.е. с задержкой между ними менее ~350-400 мс) в течение последних 60 секунд? И это в рамках одного SNI, т.е. его смена "обнуляет" кол-во/меняет контекст. Здесь также стоит заметить, что десятки подключений одновременно — типично для различных клиентов для обхода ограничений, особенно если не используется mux и проч.

У нас получается что создается 1 соединение и внутри него всё загружается.

То есть на вопрос "Было ли более 3 параллельных попыток установить TLS соединение" - ответ нет, мы проходим.

Maxim_Q 9 июн в 23:45

у вас были жалобы от клиентов которые держат легальные сайты на Beget и которые испытывают проблемы с блокировками? Неужели могут блокировать сайты даже в России если им что-то не нравится в отпечатках браузера или много соединений в секунду к Российским серверам?

eByeBots 9 июн в 23:49

Лично у нас нет, объяснил почему в статье. А у клиентов Beget без нас - да. В целом ответ на другой вопрос тоже есть в статье.

rimashi вчера в 00:34

У меня сервак у beget, на нем расположено пара сайтов. С домашнего открывается, хотя в моменте тупил денёк где-то, а с мобильного ооооочеень долго грузится, как будто я не килобайты загружаю, а файлик на 20-50 мб по времени. И то, не факт, что загрузится. На домашнем ростелегни..ком, а на мобильном Теле2.

Да, на сервере есть ВПН, но он работает только на словах - подключиться можно, а потом ничего не работает, даже на ру сайты не ходит. Т.е. даже как проксю использовать не выходит. Поэтому просто через амнезию напрямую сижу на другой сервак и все. Правда только с домашнего, но.. времени нет столько настраивать..

s5384 21 час назад

Ой, а что случилось? Белые списки что ли включились? Никогда такого не было и вот опять..

Kassiy_Pontiy_Pilat 21 час назад

У нас с селектелом начались эти проблемы. И клиент и сервер внутри РФ. Так что да, могут. Плюс с сегодняшнего дня у нас хабр заблочен.

mraat 9 июн в 22:04

С 1 апреля когда сами знаете кто начал усиленно бороться сами знаете с чем, у нас пошел поток жалоб от владельцев не самых новых айфонов что не могут попасть на наши сайты. Начали тестировать и действительно на последних моделях нормально все работало, а на более старых айфонах начинало грузить и потом как отрезало. При этом на андроидах все работало. Откатили TLS до 1.2 и заработало у всех.

nik_2 21 час назад

У нас SaaS-продукт. Работаем на территории всей России. С начала июня стали поступать нечастые жалобы на работу приложения из западных регионов. Первое время мы списывали это на нестабильное интернет-соединение в этих локациях, но 9 июня проблема распространилась по всей стране. При этом наш сервис находится под защитой @DDoS-GUARD Основная проблема кроется в работе API: с фронтенда действительно поступает большое количество запросов, особенно в случаях, когда несколько пользователей из одной организации обращаются с одного IP-адреса. Отпечатки браузеров похожи, тк это небольшие компании где настройку обычно проводят один раз и устанавливают одинаковое ПО. По браузерам, проблемы есть в Chrome, Safari, Edge, Ya Browser. Спасибо за информацию о способах устранения проблем.

fuser 19 часов назад

Приделываем "костыли" для обычных сайтов!

Chrome fingerprint теперь "токсичный". Вместо интернета получаем чебурнет 😫

iMic 17 часов назад

Интересное совпадение - того же числа (5 июня) в конце рабочего дня около 16:00 произошёл массовый сбой в биллинге Яндекса - многим (возможно всем) начислили плату за ресурсы, которые они не заказывали.

У нас это вылилось в два моментальных списания примерно по 3300 р. (за две ВМ на Windows), что привело к моментальному выключению севера из-за ухода баланса в минус (карта не была привязана).

Хуже всего то, что после пополнения баланса сервера по-прежнему нельзя было включить - выскакивала ошибка о недостатке прав доступа. И только через 52 минуты всё восстановили.

Деньги, конечно вернули в тот же день, но осадочек остался (+ потеря репутации). Сначала думал менять хостинг, но теперь, зная, что у других был ещё больший пипец задумался - не специально ли они проводили эксперименты с биллингом в тот же день, зная что жаловаться особо не будут - ведь у других ещё хуже?!

https://status.yandex.cloud/ru/incidents/1824

Zachelovek 6 часов назад

Хабр, а если есть небольшой проект на зарубежном шаред-хостинге (т.е. не ВПС), можно ли:

Как-то самостоятельно проверить касается ли меня эта проблема?
Убедиться, что в настройках SSL всё так, как нужно? Помню, что был популярный сайт, проверяющий ваши сертификаты, общие настройки, и т.п. и дающий оценки типа А, А+, и т.п. Достаточно ли будет посмотреть, что у меня есть/нет поддержка TLS 1.3?

Жалобы от посетителей вряд ли появятся оперативно, да и по статистике понять сложновато - юзеров не так много.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий