gsuvorov 31 дек 2015 в 19:29

32c3 — Интернет-цензура, возможное будущее рунета

4 мин

23K

ПрезентацииБудущее здесь

+21

Комментарии 17

ivan386 1 янв 2016 в 04:54

Интересно почему народ пытается обмануть DPI вместо того чтобы игнорировать фальшивые пакеты от цензоров.

gsuvorov 1 янв 2016 в 10:43

потому что это будет заметно и их заблочат

ivan386 1 янв 2016 в 21:42

Я говорю про поьзоватеьские программы которые пытаются скрыть трафик от DPI чтобы не прилетел от цензоров фальшивый TCP reset когда можно его просто игнорировать и продолжать общаться с блокируемым сервером коли пакеты от него всёравно не блокируются.

gsuvorov 1 янв 2016 в 21:44

да в китае вроде блокируются, это днс там два раза приходит и если подождать можно получить норм ответ.

ivan386 1 янв 2016 в 21:55

Судя по докладу блокируется фальшивым пакетом TCP reset который также может прилететь раньше или позже ответа от сервера.

gsuvorov 1 янв 2016 в 22:26

а приложите ссылку с таймстемпом, пожалуйста.

ivan386 1 янв 2016 в 22:47

youtu.be/NgYdmRR7JtY?t=280

gsuvorov 2 янв 2016 в 11:15

вместо того чтобы игнорировать фальшивые пакеты от цензоров

а как собственно понять что это фальшивый пакет?

+
tools.ietf.org/html/rfc793

The principle reason for the three-way handshake is to prevent old duplicate connection initiations from causing confusion. To deal with
this, a special control message, reset, has been devised. If the
receiving TCP is in a non-synchronized state (i.e., SYN-SENT,
SYN-RECEIVED), it returns to LISTEN on receiving an acceptable reset.
If the TCP is in one of the synchronized states (ESTABLISHED,
FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT), it
aborts the connection and informs its user.

ivan386 2 янв 2016 в 11:44

Если после него приходит другой пакет с данными то сервер не инициировал сбросс соединения и продолжает общение.

Shvedov 6 янв 2016 в 03:57

reset уходит в обе стороны.

ivan386 6 янв 2016 в 12:32

В докладе стрелочка только в одну сторону. Но если так и сервер уже успел ответить в первом пакете то reset не помешает.

Shvedov 6 янв 2016 в 12:56

Всё коммерческие решения шлют в обе стороны, значит плохо исследовали или умолчали. Не успевают они, кто сказал, что пакет вообще туда прошёл? Если блокировка по IP или DNS. Тогда в одну сторону, сервер и не узнает. Если работает фильтрация URL, тогда reset летит сразу за запросом, сервер ничего не успевает ответить, так как других пакетов не долетает.

ivan386 6 янв 2016 в 13:01

Dpi тоже нужно обработать пакет и принять решение о блокировке. За это время сервер может ответить. Кроме пакета запроса серверу вроде ничего и не надо.

Shvedov 10 янв 2016 в 04:47

Плохой DPI значит :)

ivan386 10 янв 2016 в 12:34

С нашим DPI тоже эксперементировали Изучаем deep packet inspection у RETN

ivan386 6 янв 2016 в 13:10

С DNS та же история. Приходят два пакета.

Shvedov 10 янв 2016 в 04:48

С DNS сложнее, там UDP. Но в целом можно включить режим аля «proxy» и отправлять после проверки.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий