Комментарии 91
По поводу сессий трансляции.
Всё там нормально, ID у всех нод за натом разные. Микротик хоть и «открыто позволяет мониторить даже самые мелочи» но всё ж таки это микротик. На уровне внутренней кухни там, конечно, всё нормально, но показывать информацию о сессии трансляции он корректно не хочет. Вернее он показывает внутренние ID (за натом т. е. Те с которыми он отправляет на конкретные eth-порты). Если снять дамп с wan-порта то там совершенно иная картина. Ответ от 8.8.8.8 приходит с тремя разными ID (в моём примере это три ноутбука с виндой). Так что это не «фейл Windows», да и причём тут Ось клиентов за NATом если навешиванием ID занимается механизм NAT на роутере.
Очень классная статья, спасибо
Ради такого и читаешь хабр, жаль редко появиляются статьи такого уровня.
Спасибо вам за отличный материал от человека, который когда-то писал свой собственный сниффер на базе WinPCap-а и даже написал, но давно уже все забыл )
Спасибо за материал, Андрей. Надо попробовать))
МТС, тариф СУПЕР МТС 052016 - при попытке включить раздачу на телефоне приходит SMS про подписку МТС Premium - причем данная подписка ничего (совсем) не дает - сам тариф достаточно вкусный и почти все плюшки просто дублируются.
Лечение на телефонеточень замороченное, попробовал в свое время и не получилось - в итоге использовал китайский-китайский GSM - WiFi роутер, он раздает без вопросов.
Тем временем,
МТС отменяет плату за раздачу интернета со смартфона.
https://www.rbc.ru/life/news/655755a99a7947c54338c8b7
Соответствующие настройки в тарифных планах у всех абонентов будут реализованы не позднее 29 февраля 2024 года.
Пока приходят СМСки счастья
Мне интересно на сколько вообще законно было ограничивать раздачу интернета со смартфона.
А кто не залетал на премиум-трафике? Кто не помнит, это открытый ресурс, за сам факт скачивания которого списывается плата. Это отменили, и довольно быстро, но тем, кто пострадал и не скандалил так ничегои не вернули.
Какие тут важные слова - "... и не скандалил". Вспоминаю как Шульман рассказывала, что если очередь к специалисту в поликлинике очень длинная (не живая, а та, которая "в апреле подходите") - можно пойти к заведующей, пожаловаться, и оказывается, там есть еще одна, параллельная очередь "для тех кто жалуется" - гораздо более короткая. Вам надо срочно? Ну что же вы сразу не сказали, тогда в четверг. А если вас устраивает в апереле - тогда в апреле!
Я так влетел с МТСом на этой раздаче трафика на небольшую сумму, кажется, 50р. (там после первого байта приходит SMS, что ах, вы раздаете? немедленно прекратите, а то мы разрешим вам раздавать за 50р в день! А через какое-то время списывают 50р и можно раздавать). Написал в поддержку, сказал, что "ничё не знаю, нам этот ваш интернет не нужон, особенно когда можно случайно на телефоне одной кнопкой включить раздачу и потратить 50р". Попросил отключить возможность раздавать - и знаете что? Оказывается, можно это попросить и они это делают! Видимо, просят так - многие тысячи, и они автоматизировали. Ну и сказал - я там 3 мегабайта вчера выкачал (случайно) - вы с меня 50р за них списали. Таких цен даже в 90-ые не было. Верните пожалуйста. Вернули!
После этого свободно раздавал через прокси на телефоне и через завышенный TTL на ноуте, но тел уже не истерил про раздачу и деньги не списывались.
На этом и построен бизнесок, скандал не нужен, чаще всего встают на сторону клиента. Но кому пофиг тому пофиг. Ну там GPS маячок может подписаться на ежедневный гороскоп... Как на поле с коровками, чуть что - и вляпался, создана совершенно ненужная работа, надо раз в месяц заходить в ЛК и контрллировать списания, плюс смотреть "бесплатные" сервисы, которых в прошлый раз не было - они со временем перерождаются в платные.
Работал на горячей линии одного из операторов. Многие вещи нужно для начала хотя бы попросить. Самим работникам предлагать абоненту отключить что-то платное или вернуть деньги запрещено. А на некоторые просьбы (тариф без абонентской платы; отключить интернет; отключение раздачи возможно тоже было бы в этом списке, но мой оператор видимо на этом людей не обманывал, так как ни разу с такой просьбой не обращались) нужно было отвечать, что такого нет. И только если клиент конфликтный или настойчиво прямо просит, то тогда делать что-то.
При этом желательно не портить настроение работнику, он в этом цирке обязан вместе с вами участвовать. Иначе он может обидеться, повторно сказать что такой услуги нет и сбросить звонок. Потому что за такое вряд ли сильно прилетит, а нервы сэкономит.
У клиентов есть признак конфликтности? Походу, у меня он проставлен
Имеется в виду в рамках одного разговора. Часто сразу становится понятно по человеку, плюс видно историю обращений
Все действия поставщиков услуг в "этой стране" основаны на том, что потребитель услуг не пойдёт в суд - у нас так не принято.
Вы тариф оплатили, причём заранее. Трафик купили. Вам не дают использовать то, что вы купили, вымогая дополнительную сумму, вот как это выглядит.
Не принято, потому что дорого это делать( А результат не очевиден, даже когда ты вроде как прав. Я трижды с похожими вещами сталкивался, всегда возвращали. Причем не деньгами, а бонусом на счёт телефона. Один раз у меня лишние деньги списали, после звонка в поддержку - вернули, а когда попробовал на них покупку в апстор сделать, то не смог их потратить. После моего гневного звонка мне сказали, что ничего не могут сделать. Обращайтесь в суд...
Позвольте вас спросить, автор, это у вас такое хобби - разбирать сетевые технологии на уровне инженерии? Или это профессиональное?
Кто первым напишет в каком номере Хакер'а лохматого года это было? Или там было не ICMP, а упаковка в DNS-запросы? Забыл уже... Давно было...
Но в любом случае здесь получилось подробнее. Заслуженный плюс.
Помнится, мы в далёком 2005 так нахаляву сидели в кафешках. Привет Таттелеком :) Паковали всё в DNS. Скорость была не айс, но сидеть можно было "без СМС и регистрации" :)
Я так из дома сидел через карточки ROL20, кажется. Там был ночной безлимит(!). А когда оплаченные дневные часы оканчивались - DNS все еще работал! Через него и запускал тоннель. Но всерьез им не пользовался. Неудобно, медленно, и такая корявость для жизни и работы не подходит. Но мне понравилось, что увидел, что это возможно прямо на практике.
Да, с ночным ROLом была история... Я просто не отключился, и... меня тупо не отключили. Так что ночной тариф превратился в круглосуточный - лишь бы телефонная сеть не подводила.
За тот баг я получил свое первое спасибо ;-)
так вот это откуда- "...НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА!" )))
Не. Все проще.
На вторые сутки я с работы позвонил в службу, назвал логин/пароль и описал ситуацию. Как водится саппорт тут же перекинул на технарей, которые звонку откровенно удивились, проверили журналы, нашли подтверждение и пошли исправлять. Заикнувшись про то, что у нас за такое вообще-то бонусы полагаются, но позже. Баг починили, а бонусы остались где-то в дебрях ROLа.
Почему сеть держала - это вопрос. Обычная координатка, обычно особым качеством не отличалась. Обычный софтовый шпрот, ни какой-то там элитный Курьер, Зухели или IDC. Но тут факт, что называется, на лицо - двое суток в режиме "скачай весь интернет". А о баге сообщил просто потому, что ночной интернет ночным интернетом, а почту FIDO'шную все равно забирать надо. Негоже боссу диск забивать. Ну, а отключиться самому уже рука не поднималась ;-)
Вот так я поломал кому-то шикарную мазу попользоваться интернетом почти нахаляву.
Примерно 1996-97 год, когда начали массово туннели строить поверх icmp - у многих провайдеров icmp не учитывался в биллинге.
С упаковкой в DNS ещё взломщики всякие балуются, чтобы их активность фильтры не замечали, и ведь вполне могут не замечать, особенно если IPv6, поллиннгом за командами ходят, в обратку данные и никто не видит.
Грубо - публикация из архивов сайта от 20 декабря 2002 года
Смысл его состоит в том, что хакерскийклиентский компонент "упаковывает"воровской IPv4-траффик в dns-запросы наразрешение адреса по имени (или в какие-либодругие запросы) и отправляет их dns-серверупровайдера. Провайдерский сервак, не найдяответы на эти вопросы, форвардит их дальше,вышестоящему dns-серверу. Таким образом, этизапросы достигают серверного компонента (владельцазапрашиваемого домена). Серверная частьотправляет осмысленные ответы (смыслкоторых понятен лишь злобному хакеру =)),которые, в конечном счёте, достигаютклиентского компонента.
Или в печатном издании?
свои routes так, чтобы наши транспортные ICMP отправлялись не на адаптер OpenVPN
Если можно маршруты не трогать, то лучше не трогать, а прописать исходный (локальный, не VPN) IP при открытии сокета. Это же сделает переход на IPv6 версию проще, пользователю можно дать на откуп выбор правильного IP.
Оператор с лёгкостью замечает, что одно устройство отправляет пакеты с разными TTL, и блокирует те, в которых TTL больше на единицу. Какие же в таком случае есть варианты обхода блокировки?
А почему не упомянут самый простой способ - поставить на устройство с интернетом прокси сервер? Все запросы наружу пойдут только от него, запросы пойдут только от приложений в которых настроен доступ через этот прокси.
Например нужно этот прокси - настраивать. Есть приложения которые не умеют. Можно конечно изврат-способами.
А еще - если подключение к прокси не шифрованное то DPI в него вполне может залезть (а шифрованное в браузерах как минимум некоторых делается только через .pac-файл)
А еще - если подключение к прокси не шифрованное то DPI в него вполне
может залезть (а шифрованное в браузерах как минимум некоторых делается
только через .pac-файл)
Я не понял про что вы. Подключение к прокси это ваш ноутбук подключается к вашему телефону (вероятно wifi), оператор возникает уже после прокси, когда телефон от своего имени лезет наружу.
статья гуд, но такие фразы коробят "для всех текущих 4 монополистов рынка сотовой связи". Либо монополист, либо 4. Надо понимать что по соотношению качество/цена у нас одна из лучших, если не лучшая, страна на планете. Как грится "а вы цены в США видели?" Т.е. тоже оборудование что и в Европе+США наши операторы должны покупать и обслуживать, имея прибыль с абонента в ~10 раз ниже.
для всех текущих 4 монополистов рынка сотовой связи
Правильнее называть это картелем. Денег у операторов много, не надо их жалеть. Бедные несчастные прямо, мешают им два раза просить денег за интернет.
> "а вы цены в США видели?
Может нужно сравнивать цены на услуги с учётом макроэкономических показателей, например, ВВП на душу населения?
> по соотношению качество/цена у нас одна из лучших, если не лучшая, страна на планете
Качество чего? Интернета под контролем СОРМ и РКН? Лучшая страна на планете, да уж.
" Может нужно сравнивать цены на услуги с учётом макроэкономических показателей, например ВВП на душу населения? " не лучше, потому что безотносительно ВВП и з.п. , операторы в РФ покупают ровно тоже оборудование что в Европе + США, имея ARPU в ~10 раз ниже. Безотносительно ВВП и з.п., экономических чудес не бывает, в 10 раз ниже это в 10 раз ниже. Погуглите про ARPU
Всё это всё равно связано с экономикой, нельзя сравнивать просто в абсолютных значениях, не учитывая всё остальное. Если взять тот же Spotify (для него тоже можно посчитать метрику ARPU), когда он ещё был в России, то цена в России на подписку была ~3 раза ниже чем в США и в ~2 раза ниже чем в ЕС, потому что по американским/европейским ценам никто бы в РФ его подписку не покупал, он не смог бы конкурировать на локальном рынке.
Ага, и зарплаты всех сотрудников такие же как и в США конечно.
Кроме цены оборудования/материалов есть цена труда. И она сильно выше в развитых странах.
Отсюда, кстати, растут ноги таких приколов как "крупноузловой ремонт" - дешевле заплатить не сильно квалифицированному рабочему за замену всего блока, чем тратить день работы высококвалифицированного специалиста на поиск и замену сгоревшего транзистора.
Так о том и речь. Вам же трафик фильтруют, это дополнительная услуга - вот и набегает деньга...
Одинаковая услуга. Если у потребителя есть возможность платить больше, это же не повод заставлять его платить больше? Обратите внимание, законы рынуа не работают, оператор который снизит цену от неадекватной до приемлемой, может перетянуть себе клиентов и... отчего-то никто так не делает. Загадка!
Интернет везде под контролем. Возможно, есть ресурсы, которые мониторят это на серьезном уровне, но даже просто переключая различные страны в VPN сервисе видим различную картину блокировок, но везде что-то недоступно, без заявлений и заглушек "по решению такого-то суда", просто не открывается и все. Это реальность, мы не обязаны быть "святее папы римского", лично я бы ту же википедию давно уже отфильтровал, а она до сих пор живее всех живых, как и тытруб.
оператор который снизит цену от неадекватной до приемлемой, может перетянуть себе клиентов и... отчего-то никто так не делает. Загадка!
На самом деле, такое было. Шведы в виде Теле2 в своё время знатно обрушили цены во многих регионах. Тогда все операторы указывали цены в долларах и без налогов, а шведы поставили тарифы в рублях с учетом налога и раздавали телефоны с контрактом, как в Европе (я так и стал их абонентом и с тех пор номер не менял). Правда из-за высокого количества невозвратов (люди просто выкидывали симки и забивали на контракт) от последнего они быстро отказались.
По тем временам такой подход смотрелся очень здорово и свежо и в конце-концов стал общепринятым стандартом. Единственный просчет шведов был в качестве связи - в первые годы даже на улице не везде ловила сеть. Но сам факт прихода жесткого дискаунтера сильно повлиял на операторов и цены в регионах куда они зашли.
Ну как бы там ни было в штатах заменой сорма служит призма, а цена за единицу скорости интернета в России действительно одна из самых низких.
Квадрополия
Кстати, наши операторы занимаются (подозреваю, добровольнл-принудительно) натурально социалкой - ставят базу в жуткой дыре, например, деревне на 25 жителей. Очевидно, что это не окупится никогда и ни при каких обстоятельствах, но ставят.
Это нужно не только (и не столько) для местных жителей, но и для туристов, геологов и т. д. всех, кто уехал в глушь и мог бы жаловаться, что связи нет.
Эта имитация деятельностиь финансируется из бюджета, т.е. из наших с вами налогов.
Я не знаю этого на 100%, однако есть сильное подозрение, что это "отягощение" при оформлении лицензий, хочешь окучивать город-милионник - обеспечь покрытие в дер. Гадюкино. Колхоз - дело добровольное.
Что-то вдоль трассы м11 до сих пор не везде есть связь.. И железная дорога до сих пор за пределами городов без связи.
В деревнях базовые станции, полагаю, скорее, ставят на магистральных ретрансляторах. Просто в деревне есть электричество, потому там и ставят вышку ретранслятора.
А я просто меняю ТТЛ, запускаю фаерволл и разрешаю доступ только тому что мне нужно(чтобы сервисы ни винды ни линуха не ходили по своим адресам). Почти всегда работает.
Пинги ходят далеко не всегда. Давайте не будем мелочиться
Классно. А кстати вопрос - замедление в 3 раза а во что упирается? Загрузку процессора?
Если сервер взять от RuVDS где статья а клиентом как и раньше телефон то будет ли скорость выше?
Будет ли этот трафик тарифицироваться RuVDS'ом?
Отличный материал, автор - вы молодец). Мне стало интересно с трансляцией icmp черeз nat. Что там по rfc я не помню, но под рукой все есть, чтобы по-экспериментировать. Складывается впечатление, что связка IdBE и IdLE в пакете icmp является привязкой соединения (по аналогии с вычислением хеша от ip и порта в nat). Практика такова: два компа пингуют сервер в интернете. PC1 имеет в пакете icmp следующее: IdBE=2, IdLE=512, для каждого соединения генерируются новый, после прохождения NAT они не изменяются, ровно как и в ответах от сервера в обратную сторону. PC2 имеет IdBE=4981, IdLE=29971 - аналогичная ситуация.
Туннель через icmp с вложенным в него vpn - отличная идея, судя по скорости. Провайдеры могут добраться до этого протокола и зашейпить без суда и следствия на какие-нибудь 32 кбит/с. Но этого не случится, ведь нас ждет светлое будущее и суверенный интернет.
Тут главное быть фриком-извращенцем, психом-одиночкой. Добрались до ProtonVPNа, до SurfShark'а, до OperaVPN (кстати! они его вернули!), вот недавно до всего что на OpenVPN и Wireguard добрались и пытались временно блокировать. Добираются до целей, которые можно сделать и сразу получить огромный результат. Но если ты используешь какой-то совсем уж черезжопный метод, никто не будет разбираться с ним ради тебя одного, да еще и вносить код по его блокировке на все ТСПУ страны.
Я для себя решил - если совсем задолбает, мой выбор - wireguard + https://github.com/infinet/xt_wgobfs . Дешево, сердито и мало кто будет использовать.
РКН в любой момент может начать резать все "неопознанное"
Для борьбы с подобными подставами придумали обфускацию
Ну тут - против лома почти нет приема. И этот метод слишком дорогой для них, экстренный. Ну вот если такое будет - окей, на этот случай нужны другие методы. Но они (другие) уже для нас "дорогие", неудобные, медленные.
Поэтому, мое мнение - пока ситуация относительно ровная - вообще wireguard. И имеем очень быстрый шустрый интернет, прямо как надо! Дальше еще посмотрим, там может шах, может ишак. Вот настанет везде "дагестан" - будем корячить себе эти более хитрые и неудобные VPNы. Но мне кажется неправильным, если вокруг все на пляже в бикини, а ты в костюме химзащиты, потому что вероятность химической или радиационной катастрофы ненулевая. Всегда носить химзащиту - тоже проигрышно.
Статья хорошая, спору нет. Но в в данном конкретном случае это решение избыточно примерно как микроскоп по отношению к гвоздям. достаточно набрать, например, в google play фразу "http proxy server", скачать тот, у кого меньше рекламы. Прописать на дивайте прокси. И радоваться. Там есть как http-прокси, так и socs, и даже прозрачные.
И да, как только явление станет более-менее массовым, зашейпят на раз. Ведь шейпят же и так "ping -f". Так что как эксперимент для себя - норм, как рабочее решение - ни о чём.
Есть готовый программа для андроид и виндовс под названием Droidvpn в котором уже реализовано этот метод. Уже 2 года пользуюсь когда заканчивается ежемесячный трафик или когда нужно скачать какой нибудь большой файл или при раздаче интернет(root)
Насколько я помню, VPN over ICMP реализовано в Softether больше 10 лет назад. Но там нет (не было?) поддержки мобильных устройств.
А можно tldr; ? С целью отучения ОПСОС-ов от жадности предлагается упаковывать траффик на клиенте скриптом для PCAP в ICMP (посредством виртуальной сетевки созданной openVPN), и потом его обратно распаковывать на сервере? И такая схема работает при нулевом баллансе на счету и\или блокировкой ОПСОС-ом раздачи интернета через модем, через который клиент ходит в сеть?
Не проще поднять прокси на смартфоне?
VPN over ICMP может позволять получать халявный траффик от опсоса а также выходить в интернет через Wi-Fi без авторизации на captive portal (вроде как иногда еще такое работает, судя по форумам)
Забавно что трюк с TTL сработал, я ожидал операторов в response ставить TTL = 1
Оператор с лёгкостью замечает, что одно устройство отправляет пакеты с разными TTL, и блокирует те, в которых TTL больше на единицу. Какие же в таком случае есть варианты обхода блокировки?
Есть вариант гораздо проще - поднимаем на телефоне proxy server, и при подключении к нему в настройках wifi указываем адрес этого прокси.
Так как подключения инициализирует сама программа на телефоне, то TTL не уменьшается, раздача работает нормально.
К сожалению, такие тонели операторами детектятся вообще элементарно. Ну не посылают обычные клиенты мегабайты ICMP трафика. Так что запросто могут его ограничить 5кб/с а то и вовсе резать.
Добрейший человек Ж:)
Спасибо.
По поводу сессий трансляции.
Всё там нормально, ID у всех нод за натом разные. Микротик хоть и «открыто позволяет мониторить даже самые мелочи» но всё ж таки это микротик. На уровне внутренней кухни там, конечно, всё нормально, но показывать информацию о сессии трансляции он корректно не хочет. Вернее он показывает внутренние ID (за натом т. е. Те с которыми он отправляет на конкретные eth-порты). Если снять дамп с wan-порта то там совершенно иная картина. Ответ от 8.8.8.8 приходит с тремя разными ID (в моём примере это три ноутбука с виндой). Так что это не «фейл Windows», да и причём тут Ось клиентов за NATом если навешиванием ID занимается механизм NAT на роутере.
Раньше подменой TTL промышлял для корректной раздачи на ноут, сейчас оператор это определяет.
Но нашлось другое более изящное решение. Использую Нокиа лумия 830 для раздачи и никаких проблем нет. Периодически, на больших интервалах, иногда слетают сессии, но достаточно ребутнуть смартфон и снова все замечательно раздается.
Пакуем весь трафик в Ping message, чтобы не платить за интернет | ICMP NAT traversal