gsuvorov Dec 31 2015 at 19:29

32c3 — Интернет-цензура, возможное будущее рунета

4 min

23K

PresentationsThe future is here

+21

Comments 17

ivan386 Jan 1 2016 at 04:54

Интересно почему народ пытается обмануть DPI вместо того чтобы игнорировать фальшивые пакеты от цензоров.

gsuvorov Jan 1 2016 at 10:43

потому что это будет заметно и их заблочат

ivan386 Jan 1 2016 at 21:42

Я говорю про поьзоватеьские программы которые пытаются скрыть трафик от DPI чтобы не прилетел от цензоров фальшивый TCP reset когда можно его просто игнорировать и продолжать общаться с блокируемым сервером коли пакеты от него всёравно не блокируются.

gsuvorov Jan 1 2016 at 21:44

да в китае вроде блокируются, это днс там два раза приходит и если подождать можно получить норм ответ.

ivan386 Jan 1 2016 at 21:55

Судя по докладу блокируется фальшивым пакетом TCP reset который также может прилететь раньше или позже ответа от сервера.

gsuvorov Jan 1 2016 at 22:26

а приложите ссылку с таймстемпом, пожалуйста.

ivan386 Jan 1 2016 at 22:47

youtu.be/NgYdmRR7JtY?t=280

gsuvorov Jan 2 2016 at 11:15

вместо того чтобы игнорировать фальшивые пакеты от цензоров

а как собственно понять что это фальшивый пакет?

+
tools.ietf.org/html/rfc793

The principle reason for the three-way handshake is to prevent old duplicate connection initiations from causing confusion. To deal with
this, a special control message, reset, has been devised. If the
receiving TCP is in a non-synchronized state (i.e., SYN-SENT,
SYN-RECEIVED), it returns to LISTEN on receiving an acceptable reset.
If the TCP is in one of the synchronized states (ESTABLISHED,
FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT), it
aborts the connection and informs its user.

ivan386 Jan 2 2016 at 11:44

Если после него приходит другой пакет с данными то сервер не инициировал сбросс соединения и продолжает общение.

Shvedov Jan 6 2016 at 03:57

reset уходит в обе стороны.

ivan386 Jan 6 2016 at 12:32

В докладе стрелочка только в одну сторону. Но если так и сервер уже успел ответить в первом пакете то reset не помешает.

Shvedov Jan 6 2016 at 12:56

Всё коммерческие решения шлют в обе стороны, значит плохо исследовали или умолчали. Не успевают они, кто сказал, что пакет вообще туда прошёл? Если блокировка по IP или DNS. Тогда в одну сторону, сервер и не узнает. Если работает фильтрация URL, тогда reset летит сразу за запросом, сервер ничего не успевает ответить, так как других пакетов не долетает.

ivan386 Jan 6 2016 at 13:01

Dpi тоже нужно обработать пакет и принять решение о блокировке. За это время сервер может ответить. Кроме пакета запроса серверу вроде ничего и не надо.

Shvedov Jan 10 2016 at 04:47

Плохой DPI значит :)

ivan386 Jan 10 2016 at 12:34

С нашим DPI тоже эксперементировали Изучаем deep packet inspection у RETN

ivan386 Jan 6 2016 at 13:10

С DNS та же история. Приходят два пакета.

Shvedov Jan 10 2016 at 04:48

С DNS сложнее, там UDP. Но в целом можно включить режим аля «proxy» и отправлять после проверки.