Роскомнадзор возобновил попытки блокировать Telegram

  • Новость

Источник: мониторинг реестра запрещённых сайтов «Эшер II»

После некоторой паузы Роскомнадзор опять начал вносить в реестр запрещённых сайтов IP-адреса телеграм-прокси. Канал Telegram Info сообщает, что блокировки начались ещё в преддверии нового года, следующая волна произошла 17 января, а 21 января было заблокировано около тысячи IP-адресов, среди которых много прокси.

Пока все усилия Роскомнадзора тщетны, а Telegram продолжает нормально работать у большинства пользователей.

На разных провайдерах и в разных регионах блокировка может быть разной, в большинстве случаев это касается крупных операторов.

Опять наблюдались случаи, когда некоторые крупные провайдеры блокировали IP-адреса, которых ещё нет в выгрузке Роскомнадзора. Это происходит, например, при использовании socks5-прокси без пароля для соединения с Telegram из сети MT_FREE московского метро (провайдер «МаксимаТелеком»). Через полчаса-час после этого на адрес сервера socks5 приходит сканер с адреса 178.176.30.221 из «клиентской» сети Мегафона. Сканер проверяет доступность socks5-прокси, пытается установить socks5-соединение с сервером из подсети Telegram и произвести обмен данными. Через час-полтора после прихода сканера некоторые провайдеры начинают блокировать доступ к просканированному серверу: это МГТС, МТС, Мегафон, Yota, Билайн и др. Ещё через час-полтора IP-адрес появляется в «выгрузке» и «дельтах».

Специалисты не могут уверенно сказать, это стандартная блокировка по IP-адресам, или пример работы DPI — новой системы контроля трафика, которую внедряет Роскомнадзор. Возможно, Роскомнадзор опять тестирует DPI при внедрении новой системы фильтрации трафика, вместе со своими подрядчиками.

Блокировка Telegram началась в апреле 2018 года. В первую неделю в реестр внесли более 15,8 млн адресов, что привело к временному отключению десятков легальных сайтов и сервисов. Сейчас Роскомнадзор блокирует около 3,7 миллионов IP-адресов. Из них около 75% составляют адреса Amazon AWS (чуть меньше 3 млн, или 10% всего адресного пространства Amazon AWS), 13% заблокированных IP-адресов составляют адреса облачного хостинга DigitalOcean, 3,5% принадлежат Microsoft.

В прошлом году из-за блокировки Telegram в России прошли акции протеста с бумажными самолётиками.

UPD 22.01.2019 11:50 Только что Роскомнадзор внезапно разблокировал 2,7 млн адресов Amazon AWS, которые находились в блокировке с апреля 2018 года (208 дней). «Специалистами Роскомнадзора установлено, что данные подсети длительное время не используются для обеспечения функционирования мессенджера Telegram», — сказано в официальном комментарии.



Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

Кодекс авторов Хабра и хабраэтикет
Полная версия правил сайта
Поделиться публикацией

Комментарии 234

    0
    Как я понимаю, если у меня свой SOCS5 с паролем, то этот способ не сработает?
      +3

      На данный момент не сработает, но в дальнейшем может появиться анализ трафика проходящего через прокси (SOCKS не шифрует данные).
      Так что сразу надо VPN поднимать, и желательно в stealth режиме (я уже столкнулся с тем, что мой OpenVPN блокировали в сети wlan какой-то кафешке(

        +1
        А можно подробнее? Поднимал посредством скрипта, но скрипт не спрашивал про такой режим.
          0
          У OpenVPN нет никакого стелс-режима, насколько мне известно. Обычно когда пытаются скрыть использование ВПН, то меняют порт, на котором он висит (например на 443, 80, 22) или вовсе заворачивают это всё в ssh-туннель. Так же особо параноидальные личности, меняют размер MTU/MSS и ставят в конфиге
          push "dhcp-option DNS 10.1.10.1"
          push "redirect-gateway"

          Чтобы не возникало утечек dns.
          Тут в тему будет прикрепить давний пост на хабре
            0
            У OpenVPN нет никакого стелс-режима, насколько мне известно.

            Начиная с версии 2.4 есть в виде опции tls-crypt (не путать с tls-auth), которая обфусцирует TLS-хендшейк: https://github.com/OpenVPN/openvpn/blob/master/doc/tls-crypt-v2.txt

              0
              tls-crypt, как я понимаю, фигово обфусцирует, а по вашей ссылке tls-crypt-v2, который будет походу только в версии 2.5, и возможно скрывать будет получше.
                0

                Насколько я понимаю, tls-crypt-v2 меняет только процедуру генерации соответствующего ключа. Никакие дополнительные метаданные по сравнению с tls-crypt не шифрует.

                0

                TLS-handshake обфусцирует. Но там остаётся перманентный Session ID, опкоды и т.п. Для блокировки этого может быть достаточно.

            +1

            пользовался публичными SOCKS5-прокси на ростелекоме, большая часть из них сейчас либо вообще не работает, либо работает 1 раз из 10. Очевидно, такой анализ там есть уже минимум пару месяцев.
            А вот сервера mtproxy, в которых все шифруется, работают как часы.

              +1
              А вот сервера mtproxy, в которых все шифруется, работают как часы.
              Зависит от того на сколько они афишируются. Некоторые и нескольких дней не держатся, уходят в блокировку.
                0
                Только та же йота режет что родной трафик, что mtproxy. Сообщения еще более менее доходят, а вот прогрузить картинку уже проблематично.
                  +1
                  У вас mtproxy со случайным «паддпингом»? В начало секретного ключа стоит dd?
                    0
                    Та же самая проблема. Причем пару минут все файлы приходят нормально, после — нет
                      0
                      То есть это из-за оператора? Я думал из-за такого прокси…
                      Есть ли варианты по решению данной проблемы?
                        0
                        Ну на йоте я SOCKS использую
                        0

                        Про Yota — недавно был опубликован прекрасный костыль.
                        Который тоже пока работает :-)

                        0
                        Насколько я понимаю, mtproto уже пытались блокировать по размеру пакета. Начнут опять, по принципу «размер пакета + ip из пула облачных провайдеров»?
                          +1

                          Мне сейчас прилетело такое на мою мтпроксю:


                          Здравствуйте.
                          Нам поступила жалоба от РКН на адрес 95.213.203.ххх
                          Доступ к адресу был заблокирован нами до устранения предмета жалобы.
                          Подробную информацию Вы можете найти в реестре РКН: https://blocklist.rkn.gov.ru/
                            0
                            А ту самую «подробную» вы нашли? Интересно было бы посмотреть обоснуй от РКН.

                            PS: судя по русскому тексту от арбуза, хостинг в России? А смысл в этом?
                              0
                              А смысл в этом?

                              Работает. Мне этого достаточно. Забугорный DO отрубился без предупреждений и возможности возврата тачки.

                              0
                              21 января часов в 7 вечера у меня тоже личную socks5-прокси (с паролем) на DO заблочили, уведомлений нигде не было никаких. Прожила месяцев 7-8, пользовался только сам с небольшой группой друзей. Пришлось пересоздавать :)
                                0
                                Закопайте уж старушку сокс-5 на свалке истории. Протокол который в открытом виде передает креды для подключения в 2019 году не нужен. Юзайте лучше прокси сервер от телеграмовцев.
                                  0
                                  Да, но нет. Хост, где была только SOCKS5-прокси — живет и по сей день несколько месяцев. А вот MTProto без ddsecret улетают в бан.
                                    0
                                    А в чём сложность добавить ddsecret?
                                      0
                                      На данный момент уже ни в чем. А предыдущие полгода и без ddsecret-а никого в РКН частные прокси не волновали.
                                      Но это к вашему утверждению про закопать SOCKS5.
                                        0
                                        Так и не понял как это должно было изменить моё мнение
                                          –1
                                          Вы предлагаете использовать продукт, который быстрее улетает в блокировку (MTProxy от Telegram) и предлагаете «закопать» более долгоиграющий.
                                          Не надо так.
                                            +2

                                            Никакой он не долгоиграющий. И их тоже лочат. Легаси протокол неизвестно зачем пропиаренный телеграмовцами.

                                              –3
                                              Давайте вы мне не будете рассказывать? Узел, на котором стояла только сокс-прокся выжил и мотает аптайм уже девятый месяц, тогда как с «официальными MTProto» забанили после переподнятия на третий день, и полегли они же первыми когда на этой неделе началась очередная волна блокировок.
                                              +2
                                              «Более долгоиграющий» он конкретно в вашем случае просто по недоразумению или тупости РКН, причем на самом деле это зависит от региона из которого подключаются клиенты (точнее, от настроек DPI: судя по всему, где-то начали mtproxy без dd ловить по размеру пакета, где-то начали банить socks разбирая его по сигнатуре, где-то до сих пор ищут руками), и всё это может измениться абсолютно в любой момент. SOCKS-прокси уже давно банят, причем весьма успешно.

                                              Просто SOCKS из всех имеющихся вариантов это вообще самый ненадежный протокол, там и пара логин-пароль, и адрес хоста назначения, и всё остальное передается в открытом виде, то есть при желании он детектится вообще на-раз простейшим способом, в отличие от MTProxy с dd-опцией (и я серьезно не понимаю, почему люди до сих пор используют его без 'dd' и потом жалуются, что их заблокировали).
                                                –1
                                                Конечно. «Только в моем случае» и в случае еще нескольких знакомых. Когда только пошли блокировки, и еще не было MTProto-прокси, эмпирически были выявлены закономерности:
                                                — SOCKS5 без авторизации, на стандартном порту — время жизни порядка нескольких часов
                                                — SOCKS5 с авторизацией, на стандартном порту — время жизни около суток
                                                — SOCKS5 с авторизацией на нестандартном порту — время жизни от недели и до…

                                                При том, что моими проксями без преувеличения пользуются несколько тысяч человек по всей России и немножко ближнего зарубежья. То есть DPI никто особо не мучал по всему спектру портов.

                                                Сейчас к п.1 добавился вариант «MTProto без dd-secret» — без разницы на каком порту. При этом нода, на которой жил только SOCKS5 — как стояла 8 месяцев живая, так и стоит. Что говорит о том, что SOCKS5 у РКНа до сих пор не заслуживает внимания, и они по каким-то соображениям (DPI-ить легче?) борятся с не-DD-шными MTProxy.

                                                и я серьезно не понимаю, почему люди до сих пор используют его без 'dd'

                                                Не все в курсе альтернативных реализаций, наверное? Мне, например, только 24 января принесли — и я переехал на докеризованный nineseconds/mtg:latest с dd-secret и SECURE_CLIENTS_ONLY. А официальный докеризованный тележный MTProxy на тот момент всё ещё не был dd.

                                                Единственное что помимо всего этого влияет — хостинг. Aruba, DigitalOcean — их чаще банят. Hetzner — сильно реже.
                                      +1
                                      да, переделаю пожалуй, согласен с вами, что староват он уже. когда просто создавал этот прокси рабочих версий прокси от телеграмовцев не было еще вроде бы)
                                +2
                                Публичных SOCKS5 около половины заблокировано
                                0
                                У меня VPN (Openswan) через WiFi часто отваливается на одной точке доступа и не отваливается на другой. Один и тот же провайдер, разные адреса.
                                0
                                SOCKS5 c паролем, у некоторых операторов (теле2) блокируется. На ростелеком все работает без проблем
                                +40

                                Предлагаю владельцам интернет ресурсов банить подсети МаксимаТелеком. Ибо нефиг.

                                  +9
                                  Где посмотреть их пул адресов?
                                  сразу у себя везде где можно заблокирую
                                    +12
                                    Я боюсь писать комментарий, потому как такие статьи постоянно угрожают моей жизни. Поэтому я просто:
                                    пишу случайный комментарий в надежде помочь и выжить
                                    отсюда: ipinfo.io/AS202173
                                    185.79.100.0/22 MaximaTelecom JSC
                                    185.79.101.0/24 MaximaTelecom JSC infrastructure NAT pool 1
                                    185.79.103.0/24 MaximaTelecom JSC infrastructure NAT pool 3
                                    91.220.120.0/24 MaximaTelecom JSC


                                    И отсюда: ipinfo.io/AS52060
                                    81.200.120.0/22 MaximaTelecom Network at Saint-Petersburg
                                    81.200.120.0/24 MaximaTelecom SPB infrastructure NAT pool 0
                                    81.200.121.0/24 MaximaTelecom SPB infrastructure NAT pool 1
                                    81.200.123.0/24 MaximaTelecom SPB infrastructure


                                    Я на других ресурсах не гуглил пользовался «Спутником», но может быть и там что-либо будет.
                                      +8
                                      Чтобы запретить доступ всем посетителям, которые едут в метро?
                                      Решение похоже на таковое от РосКомНадзора — «заблочить вообще все, что хоть как-то отдаленно и косвенно связано с тем, что не нравится».
                                        +5
                                        Ну так зачем давать доступ пользователям там, если из-за этого они вообще этот прокси потеряют?
                                          +4
                                          Главное показать чёткое сообщение, кто виноват в такой ситуации и что делать.
                                            +1
                                            Если так сделают достаточно многие, MT_Free перестанет быть прибыльным. Неплохо бы заодно отрезать доступ РКН, Думе и остальным причастным.
                                            +13
                                            сразу у себя везде где можно заблокирую
                                            Не будьте как РКП, хотя бы заглушку какую-нибудь повесьте в духе «Вы используете провайдера, незаконно ограничивающего доступ к сетевым ресурсам без законного на то основания или предписания регулирующих органов».

                                            А то в метро самые разные люди ездят, не все так продвинуты и вряд ли поймут что происходит.
                                            0
                                            Вряд ли они проверяют доступность mtproto-проксей. Там же секрет есть, который, по идее, из трафика не узнать. У меня забанило сервер, на котором была только mtproto-прокся.

                                            А из этого следует вывод, что, при желании, можно обмануть этот dpi-детектор трафика и банить произвольные адреса.
                                              0
                                              А что за прокся была? Публичная или личная?
                                                0
                                                Полупубличная. mtproto. Не гуглится. Распространялась в одном телеграм-канале и среди друзей.
                                                  0
                                                  Фигово. Значит их не руками ищут.
                                                    0

                                                    Не то чтоб это было новостью :-)

                                            +1
                                            «И опыт, сын ошибок трудных, ...» не учит ничему РКН.
                                              0
                                              Я тоже думаю зачем? Чтоб опять сесть в лужу?
                                              Если честно то и первый раз это было не правомерно, индифирентно от результатов.
                                                –11
                                                Не исключено, что все дело в недавних «взрывах газа». И РКН боится стать одним из крайних.
                                                  +14
                                                  Телеграмм — отличная платформа для организации любых протестных групп.
                                                  Правительство поставило задачу иметь возможность быстро закрыть любой такой менеджер при надобности. Тренируются на телеграмме, так как Дурова не любят и технически телеграмм вроде лучше всех такие вещи обходит. В целом все логично и понятно. Но эмоционально, как услышал про такую борьбу с террористами, так впервые всерьез задумался про уезд из страны(
                                                    +4
                                                    Чаты в мобильных играх, MMORPG, Discord и прочих teamspeak — отличные платформы для организации любых групп. Возможно, и протестных.
                                                    #забанимвсё?
                                                      +1
                                                      Именно это РКН и хотят сделать. Просто Телеграм крупнее, и про него говорят, поэтому взялись за него
                                                        +4
                                                        Ну вот зачем вы им подсказываете? Нормально же общались.
                                                          0
                                                          Тут скорее всё-таки про аудиторию и СМИ. В дискорде и прочих тимспиках нет массовых точек координации и трансляции на группы людей «вредных» сигналов, вокруг которых идёт обострение настроений. Да и обкатка технологии опять же, будут технические средства для блокировки телеги, заблокируют и остальное, когда нужно будет.
                                                            0
                                                            Тимспик может за пару минут поднять кто угодно и где угодно. Его-то как блокировать?
                                                              0
                                                              Так какая разница если по трафику будут блокировать с такой же скоростью с какой люди будут его поднимать. Если конечно научаться это делать в принципе.
                                                                0
                                                                Это только DPI пихать во все щели.
                                                                  0
                                                                  Судя по описываемому здесь в комментариях — именно по этому пути все и идет.
                                                            +1
                                                            Никто не мешает протестующим использовать другие способы коммуникации.…
                                                              –1

                                                              А чем в этом плане Телеграм превосходит своих конкурентов?

                                                            +3
                                                            Чтоб опять сесть в лужу?

                                                            А сего вы взяли, что они сели в лужу? Вы исходите из неверной предпосылки, что основная цель у них — заблочить телеграмм. Нет, основная цель любой бюджетной организации — освоение бюджета. Здесь они с телеграммом более, чем преуспевают. Следующие цели — поломка интернета с одновременной варкой лягушек на медленном огне. Блокировка телеграмма — дело двадцатое.


                                                            индифирентно

                                                            Это слово и пишется не так и означает не то, что вы думаете :)

                                                            +3
                                                            Почему не учит? Их опыт показывает, что на блокировках и оборудовании для них можно распилить миллиарды бюджетных рублей, так почему бы им в новом году снова не повторить то же самое, если в прошлом году сработало? Сейчас снова не получится — в новом году затребуют ещё денег и ещё раз распилят. А репутация значения не имеет, для таких людей деньги не пахнут.
                                                            +3
                                                            Ну и график. + 0,13%
                                                              0
                                                              Я так понимаю, их разозлил недавний финт Павла.
                                                                0
                                                                Посмею спросить, что за финт такой?
                                                                  –10
                                                                  Незаметный. И это РКН разозлило. Дуров сделал незаметный финт и РКН в ярости начал блокировать Тележку. Ну, т.е. как блокировать…
                                                                    +67
                                                                    Закрыл юр.лицо, с которым ФСБ на пару с Роскомнадзором делали вид что судятся.
                                                                    То есть теперь всё это выглядит ещё абсурднее, если раньше компания отказалась выполнять невыполнимые требования, то теперь нет и самой компании, которая не выполняет невыполнимые требования.
                                                                    Но блокировать IP-шники несуществующей компании за не выполнение невыполнимых требований это никак не мешает.
                                                                      +3
                                                                      Ну будет иск к компании-правопреемнику продукта. Проблем-то.
                                                                        +9
                                                                        Ну это когда-нибудь потом он может быть и будет. А сейчас основания для блокировки как-бы и нет.
                                                                          +2
                                                                          Пока дело признают недействительным пока то, пока сё, но адреса будут заблокированы. Эдакая итальянская забастовка. А потом, благодаря Павлу, будет повод запросить ещё олимпиард рублей на разработку системы и работы органов.
                                                                            0
                                                                            На разработку и внедрения новой системы адресации по России, причем работать она будет только на оборудовании российского производства. Китай тут и то не конкурент: в ней для адресов будут буквы церковно-славянского алфавита использоваться.
                                                                              +4

                                                                              ѩндексъ.ру

                                                                                +4
                                                                                Даже не соображу, как loopback будет писаться, но конфигу русскойциски хотел бы посмотреть. Особенно, как руководитель РКН ее будет показательно печатать…

                                                                                А так, да, адрес будет состоять из произвольного числа букв, разделенных знаком «ять», а маршрутизация — только по соизволению старшего по званию. Сколько соизволения ты отмолил себе, столько у тебя связности на сегодня и будет.
                                                                                  +1
                                                                                  «Взадпетля»?
                                                                                    +3
                                                                                    «Вспять-пленица» вообще-то, но там все серьезнее будет. Во-первых, разработкой будет руководить почетный профессор, не ниже, и, ради поддержания техсамыхскреп, вместо commit там будет «аминь».

                                                                                    Причем, наличие восклицательного знака в конце отключает любые глупые вопросы: «аминь» vs «аминь!»

                                                                                    Ну и, во-вторых, вообще сам подход к конфигурации будет качественно другим. Вместо императивного указания маршрутизатору (в новой логике — пастырю), что и как делать, вы будете писать челобитную, которая определит ваши изменения против согласованных наверху политик работы с трафиком. Т.е. РКН издает рекомендации, вы пишете свои хотелки про дельту от них, в конце пишете «аминь», и они уходят на утверждение — либо в РКН, либо к другим знатокам церковно-славянского языка. Там их подтверждают или правят и подтверждают, и они у вас применяются.

                                                                                    Время применения — не более 7 рабочих дней с момента коммита «аминя», разрешено сделать не более 4 запросов за календарную неделю. По-божески же?
                                                                                      +1

                                                                                      А в пост можно/нужно запросы делать?

                                                                                        0
                                                                                        Там так все: не GET, а POST!
                                                                                        0
                                                                                        Жаль Сорокин не айтишник, хотел бы почитать приложение к «Дню опричника» про вот такую вот русификацию в изолированных русских приложениях
                                                                                          0
                                                                                          Адептус Механикус, начало.
                                                                                        +1
                                                                                        Даже не соображу, как loopback будет писаться

                                                                                        р҃кз пꙋсто пꙋсто а҃
                                                                                          0

                                                                                          Надо скорее в учебниках написать, что правильная адресация была придумана на Руси, и давно, а то РКН присвоит всю славу себе!


                                                                                          Ну как славу… Если директор РКН хотя бы дефолтный маршрут в такой системе записи без шпаргалки напишет перед камерами журналистов, это будет уже просто нечто!

                                                                                          0
                                                                                          По «цифровому благословению» же!
                                                                                            0
                                                                                            Во славу Омниссии!
                                                                                        0
                                                                                        image
                                                                                          0
                                                                                          Да, об этой картинке и думал, когда писал коммент выше. Рук не хватило консоль правосланой циски нарисовать в таком же стиле.

                                                                                          «Покуда Б не есть больше А», ага! *смайлик*
                                                                                  0
                                                                                  Так вроде наоборот:
                                                                                  нет компании — гора с плеч, не с кем судится и можно забыть, тот цирк что был полгода назад.
                                                                                  (ну это РНК здорового человека)
                                                                                    0
                                                                                    Бюджет сам собой не попилится. Ну и надо же видимость активной деятельности создать.
                                                                              +9

                                                                              Ага, некоторые вполне невиновные сайты как были заблокированы еще с мая-июня, так и не разблокированы до сих пор.


                                                                              Примеры (тысячи их, на самом деле): gnome-look.org, xfce-look.org и все ресурсы из этой серии (вроде бы они даже на одном IP).

                                                                                0
                                                                                Примеры: gnome-look.org, xfce-look.org
                                                                                Дом.ру — нормально открываются
                                                                                  0

                                                                                  У яичного оператора с мобильного и с домашнего интернета — не открывается, даже не пингуется

                                                                                    0
                                                                                    IP адрес который резольвится действительно забанен. Может в Дом.ру сидят понимающие люди и убирают из своей блокировки по сути незаконно забаненые адреса.
                                                                                      +2
                                                                                      Да, Дом.ру лояльнее относится к таким ресурсам. Ростелеком же режет их все. А также 7-zip.org и прочие полезные ресурсы.
                                                                                        0

                                                                                        Только вот половина IP-адресов из DO у них все равно заманена. Пришлось перенести все своё хозяйство в Лондон и сидеть пересоздавать блен кучу дроплетов, чтобы выпал нормальный IP-адрес, который не только приглашаться будет, но и по SSH подключиться у меня получится. Да, Дом.ру режет именно, когда по SSH подключиться пытаюсь. Из-за этого даже порой уйти думал с него.

                                                                                          0
                                                                                          Ещё бывают ситуации, когда сайт сидит на одном IP с заблокированным сайтом. Если у провайдера есть DPI, она может обнюхать незашифрованный заголовок SNI и понять, что пользователь ломится на kotiki.com, а не hentai.org

                                                                                          А вот провайдеры, у которых DPI нет, вынуждены рубить весь https-трафик до IP-адреса, на котором висит условный hentai.org
                                                                                            +1

                                                                                            А как быть с TLS 1.3, где SNI шифрованный? DPI уже не поможет?

                                                                                              +1
                                                                                              Да, не поможет. Тогда все будут вынуждены перейти к тактике «рубим всё зашифрованное к этому адресу».

                                                                                              Например, сейчас по такой логике некоторые провайдеры блркируют phoronix.com
                                                                                                0

                                                                                                В Корее, говорят, заблокировали ESNI.

                                                                                          +4
                                                                                          > gnome-look.org

                                                                                          А зачем вам смотреть на гномов? А не является ли этот сайт ширмой для распространения детской порнографии? В любом случае, товарищу майору виднее.
                                                                                            0
                                                                                            Да нет же! Просто тов. майор — оголтелый фанат кед.
                                                                                              0

                                                                                              А вдруг тарищмайор бородат, красноглаз любит тайловые оконные менеджеры?

                                                                                              0
                                                                                              Кеды тоже не пахали, все связанное с opendesktop было побанено
                                                                                        +4
                                                                                        Через час-полтора после прихода сканера некоторые провайдеры начинают блокировать доступ к просканированному серверу: это МГТС, МТС, Мегафон, Yota, Билайн и др. Ещё через час-полтора IP-адрес появляется в «выгрузке» и «дельтах».

                                                                                        Как я понимаю, наличие прокси любого вида вроде как не должно быть поводом для тупой блокировки адреса, но по факту так оно и есть: блочат за сам факт наличия, причем, по традиции, без суда и следствия?

                                                                                        "… за изнасилование, прибор-то у вас есть!"
                                                                                          0
                                                                                          Только если получается через него сделать хендшейк с серверами телеграма
                                                                                            0
                                                                                            Бионический кхм… протез с телеграмм-ботом на борту?
                                                                                            Сильная идея!
                                                                                          +2
                                                                                          То-то я смотрю, опять Assembla то потухнет, то погаснет. Уж не знаю, где именно там экстремизм скрывается…
                                                                                            +4

                                                                                            Ну, IP адреса socks проксей описанным в статье способом банить несложно, но, я так понимаю, эти прокси — небольшая часть объёма забаненного. Вроде где-то читал, что основная часть того что банится получается посредством собирания трафика с реальных телефонов в клиентами телеграма.
                                                                                            Можно попробовать делать симметричный ответ на подобную тактику — пробовать выявлять IP адреса и аккаунты, которые "ответственны" за бан (например, если новый IP выдавался только этому пользователю, и IP попал в списки блокировки, значит это — "агент РКН"), и банить сам аккаунт/IP/телефон (а может и привязываться к какой-то системной информации, если она передаётся). Причем, если с того же IP заходит другой пользователь, то он тоже попадает под подозрение. В общем, использовать схожие методы, которые используются при борьбе со спамерами/хакерами/фродом и т.п. Правда, тут надо думать как бы не забанить нормального пользователя.
                                                                                            Кстати, помню РКН вроде грозился карами небесными, если Apple и Google не удалят из сторов, никто не знает, всё заглохло? Ещё, кто-нибудь знает, правильно ли я понимаю, что трафик mtproxy неотличим от ssl трафика?

                                                                                              +1
                                                                                              NAT встанет непреодолимым препятствием на пути такого фильтра. Печально, но факт.
                                                                                                0

                                                                                                Ну, если ориентироваться только на IP, то особо эффективного сделать будет нельзя. Но если есть доступ к аккаунту, его контактам, истории действий и т.п., то это другое дело. IP просто станет дополнительным фактором (если много пользователей за NAT-ом, то это можно детектить, и в этом случае фактор IP будет просто игнорироваться). Задача — сделать для РКН максимально дорогим выяснение каждой новой точки подключения. Разумеется, подобное никто кроме самого телеграма не сможет организовать.

                                                                                                  +1
                                                                                                  сделать для РКН максимально дорогим


                                                                                                  Это не работает для госорганов. Им пофигу до денег. Их волнует только выдача люлей от начальства. Вот и надо из этого исходить.
                                                                                                    0
                                                                                                    Вы не поняли. «Дорогим» имелось ввиду трудозатратным. А денег тут уже давно никто не считает.
                                                                                                    +1
                                                                                                    сделать для РКН максимально дорогим

                                                                                                    К сожалению экономику россии так не убить, тут только грамотные санкции, нефть или внутреннее разрушение государства, а по другому от РКН пока не избавиться.

                                                                                                +2
                                                                                                Через полчаса-час после этого на адрес сервера socks5 приходит сканер с адреса 178.176.30.221 из «клиентской» сети Мегафона. Сканер проверяет доступность socks5-прокси, пытается установить socks5-соединение с сервером из подсети Telegram и произвести обмен данными.

                                                                                                Пытались накормить этого бота чем-нибудь не тем?
                                                                                                  0
                                                                                                  Deleted. HTTP 451 Unavailable For Legal Reasons
                                                                                                    +1
                                                                                                    Да спецы по той кормёжке естественно и не признаются :)))
                                                                                                    Я тут, в связи с обещаниями нам новой системой блокировки интернета, вспомнил один момент из истории:
                                                                                                    Старший техник из Москвы недоумевал: «Как же верить теперь нашим официальным заявлениям, если лектор говорил нам о том, что слухи о повышении цен в СССР — враждебная пропаганда, распространяемая Би-би-си, а оказалось, что Би-би-си была права».
                                                                                                      0

                                                                                                      Актуальная цитата и в связи с законопроектами о "фейковых новостях".

                                                                                                  +3
                                                                                                  И впился комар как раз бабке прямо в левый глаз. Ас Пушкин.

                                                                                                  Сколько еще миллиардов затребуют на эту очередную героическую битву со здравым смыслом?
                                                                                                    0
                                                                                                    Интересно, а в блок попадают априори заграничные адреса? В ином случае было бы забавно заказать виртуальный хостинг у ростелекома (вроде как виртуальные/выделенные сервера так просто не сдают) и поднять на нем http-прокси (например на php).
                                                                                                    Ну а далее прокатиться в метро и посерфить через поднятый прокси.
                                                                                                      0
                                                                                                      Главное правильно продумать анонимизацию оплаты:)
                                                                                                        +2
                                                                                                        Если уж судят за изнасилование, даже не смотря на отсутствие «прибора», то объявить вас пособником террористов, вообще как нефиг делать.
                                                                                                          +3
                                                                                                          У меня была виртуалка на FirstVDS (FirstJohn). После попадания в блеклист, она начала блокироваться на самом фёрствдсе (!) — прямо на маршрутизаторе хостера не пропускался никакой трафик до неё. В результате до неё нельзя было достучаться даже с хостов, которые сами ничего не фильтруют по блеклистам — виртуалка включена, но весь входящий трафик зарезан.

                                                                                                          Саппорт помогать отказывался, в том числе поменять айпишник или скопировать данные.

                                                                                                          Исходящий с неё трафик причём проходил нормально. Пришлось сдувать данные оттуда поверх UDP %)
                                                                                                            +2
                                                                                                            Не знал про них такое, особенно нежелание помочь. Но я с FirstVDS давно работал, тогда они отличные были.

                                                                                                            Еще одна компания в список «сразу нет».
                                                                                                              +1
                                                                                                              Т.к. власть нынче любит создавать всякие реестры, может создать «народный реестр народного доверия» компаний-стукачей и полицаев, во главе с МРГ и ВК?
                                                                                                              Правда сайт, содержащий такой реестр может попасть в реестр…
                                                                                                              +1
                                                                                                              А вот если бы у вас не виртуалка, а shared web hosting (1 ip — several sites) то было бы занятно.
                                                                                                              Если конечно у хостера нет dpi.
                                                                                                            +12
                                                                                                            На будущее, для владельцев прокси на базе MTProxy:
                                                                                                            Добавление символов 'dd' в начале секретного ключа активирует режим рандомизации длины данных, что помогает против тупых ростелекомовских DPI, блочащих телеграм-прокси просто по размеру пакета:
                                                                                                            Random padding
                                                                                                            Due to some ISPs detecting MTProxy by packet sizes, random padding is added to packets if such mode is enabled.
                                                                                                            It's only enabled for clients which request it.
                                                                                                            Add dd prefix to secret (cafe...babe => ddcafe...babe) to enable this mode on client side
                                                                                                              +1
                                                                                                              Это на стороне клиента, который подключается? Т.е. в ссылке надо перед ключом добавить? Или на стороне настройки сервера в момента запуска контейнера-докера?
                                                                                                                0
                                                                                                                На стороне клиента добавить.
                                                                                                                На стороне сервера ничего делать не надо.
                                                                                                                  +1
                                                                                                                  Плохо, лучше бы наоборот :( А как-то можно принудительно переключить существующих клиентов в этот режим? А то я так понимаю, это же им нужно передобавлять прокси? И стоит одному не передобавить, именно его пакеты могут заметить, и сервер заблокируют для всех?
                                                                                                                    0
                                                                                                                    А как-то можно принудительно переключить существующих клиентов в этот режим? А то я так понимаю, это же им нужно передобавлять прокси?
                                                                                                                    Я такого способа не находил. Но встречались упоминания, что некоторые альтернативные реализации MTProto-прокси поддерживают только подключения с random padding, можно посмотреть в их сторону. Ну, либо, как вариант, в исходниках MTProxy подхачить, чтобы он не проверял наличие 'dd' в начале ключа, а сразу же считал что оно включено.
                                                                                                                    И стоит одному не передобавить, именно его пакеты могут заметить, и сервер заблокируют для всех?
                                                                                                                    Пока как я понял никто не знает, как точно работают эти DPI, но, думаю, такая вероятность есть.
                                                                                                                      0
                                                                                                                      Ну, либо, как вариант, в исходниках MTProxy подхачить, чтобы он не проверял наличие 'dd' в начале ключа, а сразу же считал что оно включено.
                                                                                                                      Собственно, я брякнул глупость, т.к. очевидно что рандомизации длины со стороны сервера недостаточно, она должна быть еще со стороны клиента:)
                                                                                                                      Поэтому да, единственный вариант: всем принудительно вписывать dd в начале,
                                                                                                                      а потом сам MTProxy можно простенько пропатчить (закомментировать часть условия в на 226 строке в файле net/net-tcp-rpc-ext-server.c, оставив только проверку на '0xdddddddd' и отключив остальные варианты), чтобы сервер принимал только подключения от клиентов с протоколом с рандомизацией, а остальным давал отлуп.
                                                                                                                        +2
                                                                                                                        Есть Pull request на гитхабе

                                                                                                                          +1
                                                                                                                          Есть, да, учитывая, что это я его там и создал :)
                                                                                                                      0
                                                                                                                      «Только random-padding режим» включить на сервере можно. Но не в официальной сборке.

                                                                                                                      Попробуйте вот это
                                                                                                                      github.com/9seconds/mtg

                                                                                                                      после того, как у одного знакомого побанили семь реинкарнаций официального прокси за два дня, он поднял альтернативную реализацию, поддерживающую режим «secure-only». Проблемы подключения у пары человек решились обновлением клиента. Пока полет нормальный.

                                                                                                                      UPD: проглядел вопрос — нет, существующих клиентов в этот режим перевести нельзя — только опубликовать новые параметры подключения и новый ключ с dd.
                                                                                                                        0
                                                                                                                        существующих клиентов в этот режим перевести нельзя

                                                                                                                        Можно. Зайти в настройки и дописать слева к ключу 'dd'. По крайней мере, в клиентах под Андроид и Windows можно запросто. Или вы имели в виду — автоматически?
                                                                                                                          0
                                                                                                                          Можно

                                                                                                                          Переведите, пожалуйста, 1000 существующих и работающих клиентов в этот режим.

                                                                                                                          дописать слева к ключу 'dd'.

                                                                                                                          это эквивалентно "опубликовать новые параметры подключения и новый ключ с dd"
                                                                                                                            0
                                                                                                                            Переведите, пожалуйста, 1000 существующих и работающих клиентов в этот режим.

                                                                                                                            Ну, т.е. вы хотите автонастройку. Увы, её нет, в Telegram вообще нет корпоративного функционала. :( Мы будем делать корпоративную рассылку с url нового прокси и инструкцией, а старый через неделю отключим.

                                                                                                                            Кстати, очень плохо то, что он сам не умеет сканировать QR-код с настройками прокси без лишних приложений. В тыщу раз бы было проще.
                                                                                                                              0
                                                                                                                              Хуже, что он не умеет автоматом переключаться на живые прокси, если текущая померла.
                                                                                                                                +1
                                                                                                                                это не «я хочу автонастройку», а изначальный вопрос FreeNickname "А как-то можно принудительно переключить существующих клиентов в этот режим?".

                                                                                                                                В качестве варианта для форсированной миграции можно использовать автоматический «спонсорский канал» — подключить его на старом прокси, чтобы при подключении выводился канал с новыми настройками.
                                                                                                                                  0
                                                                                                                                  В качестве варианта для форсированной миграции можно использовать автоматический «спонсорский канал» — подключить его на старом прокси, чтобы при подключении выводился канал с новыми настройками.
                                                                                                                                  Отличная, кстати, мысль.
                                                                                                                        0
                                                                                                                        На стороне сервера ничего делать не надо.

                                                                                                                        Официальный телеграмовский докеризованный прокси не умеет с dd-secret работать. Вчера проверено. А вот гошечный ninesconds/mtg — умеет, и его можно ограничить только безопасными клиентами.
                                                                                                                        Так что, на стороне сервера — надо.
                                                                                                                          0
                                                                                                                          Насчет докеризированного не скажу, а собранный из исходников с официального гитхаба — вполне умеет. Собственно, цитата приведена как раз оттуда из Readme.
                                                                                                                            0
                                                                                                                            Там же нашлось объяснение, почему докеризованный не умеет. В самом низу: «Note: docker image is outdated». Спасибо.
                                                                                                                              0

                                                                                                                              Его докерную сборку обновили не так давно.
                                                                                                                              По идее, сейчас должен уметь.

                                                                                                                                0
                                                                                                                                Возможно. Я перепрыгнул на nineseconds/mtg. Третья неделя — полет нормальный, что, собственно, я и постулировал ниже: SOCKS5 с паролем и на нестандартных портах РКН не интересует (искать дорого? большая вероятность ложноположительных?), а MTProxy в ddsecret-режиме их DPI не ловится.
                                                                                                                        0
                                                                                                                        Del.
                                                                                                                        P.S.: опоздал, так как забыл что нужно одобрение для комментария.
                                                                                                                          0
                                                                                                                          Если использовать с гитхаба alexbers/mtprotoproxy, то в конфиге можно затребовать `SECURE_ONLY = True`. Ключ в конфиге менять не надо.

                                                                                                                          В таком варианте сервер будет запускаться только с ключами с паддингом.
                                                                                                                        0
                                                                                                                        7zip.org в 99% случаев не работает — спасибо РКН!
                                                                                                                          0
                                                                                                                          Хоспади, всё как всегда. Ну понимают же, что с одного адреса может идти информация как угодная так и неугодная. Ведь понимают, что неугодный трафик вычленить и запретить не могут. Но продолжают делать. Толи в кактусе вещества толи в каждом кабинете РКН к сотрудникам приставлены трое с маузерами.
                                                                                                                            0
                                                                                                                            В кактусе определённо есть вещества. Они там уже не сотрудники ненавистной вредительской конторы, а жрецы и воины, ступившие на Пути знания.
                                                                                                                              0
                                                                                                                              Может быть. просто так человек не будет исполнять ЦУ, если задача не может быть решена используемыми механизмами. Да, есть закон, которому ведомство следует, но надо понимать, что исполнение требований данного закона не возможно механизмами которые используются сейчас.
                                                                                                                              0
                                                                                                                              Понимают, скорее всего, да только им похер с колокольни на это дело.
                                                                                                                            0
                                                                                                                            Я вот только одного не понимаю, неужели нет где-то актуального списка, содержащего адреса РКН-овских сканеров? По идее, это должно быть не особенно сложно. Вроде как на поверхности идея лежит.
                                                                                                                              +3
                                                                                                                              РКН чекеры используют ресурсы провайдера, с клиентским пулом адресов
                                                                                                                              я однажды столкнулся с подобным ПО (web парсером), кода мой сайт попал в черный список — я стал регулярно наблюдать корява-сформированные HTTP запросы, со всех регионов РФ
                                                                                                                              («слепил» простое правило для fail2ban)
                                                                                                                                +2
                                                                                                                                Поделись fingerprint'ами, чтобы знать что отстреливать.
                                                                                                                                  +5
                                                                                                                                  HTTP-заголовки:

                                                                                                                                  Accept-Encoding: identity;q=1.0, *;q=0
                                                                                                                                  Accept-Charset: utf-8;q=1.0, *;q=0.1
                                                                                                                                  User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
                                                                                                                              0
                                                                                                                              Ну вот актуального списка содержащего адреса телеграмовских прокси почему-то нет. По идее это не очень сложно и идея лежит на поверхности. Только РКН об эту поверхностную идею бьется уже год и никак заблокировать не может.
                                                                                                                              + как вы со своей стороны будете с чекерами бороться? РКНовскими методами — банить всех кто не понравился? Так у тех кто РКНу готов пулы адресов предоставлять — объем этих пулов больше чем у амазона — такими темпами вообще без интернета остаться можно, не чужие, так свои расстреляют
                                                                                                                                +1
                                                                                                                                Ну если честно, я очень надеюсь, что в РКН работают туповатые двоечники, невостребованные в нормальных компаниях, которые не то что до динамической смены IP-шников не могут додуматься, а даже Хабр не читают, поскольку не проявляют инициативы и работают «от звонка до звонка».
                                                                                                                                  0
                                                                                                                                  Ну бота сканера то умудрились написать.
                                                                                                                                  Таких идейных людей которые отказывались работать в компаниях не подходящих им по этическим признакам я за свою жизнь встречал два раза — и оба раза это были серьезные сеньоры на которых был спрос и они сами могли выбирать условия и зарплату.
                                                                                                                                  Для того чтобы освоить динамическую смену ip если не хватает уровня двоечника, то троечник справится, а для него уровень зарплат и конкуренция на рынке труда стоят выше чем какая-то цензура в телеграмме.
                                                                                                                                  Я уже высказывал непопулярную мысль про то что не бывает атеистов в окопах под огнем.
                                                                                                                                  Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.
                                                                                                                                +1
                                                                                                                                Один из возможных вариантов достучаться до информации с такого сайта, это например ввести его адрес в сервисе Веб архива и сохранить для просмотра, если веб страничка ещё не сохраненана. :)
                                                                                                                                  +2
                                                                                                                                  актуального списка, содержащего адреса РКН-овских сканеров?

                                                                                                                                  Они могут ходить и через сторонние зарубежные прокси/VPN. Например, именно так было в известной истории
                                                                                                                                  В логах всех забаненных зеркал содержалась одна и та же последовательность действий. Первое обращения шло с IP-адреса 109.188.125.89 (Yota). По заголовку User-agent было видно, что человек заходит с мобильного браузера Safari, с айфона.

                                                                                                                                  Спустя некоторое количество секунд (обычно порядка 30), на адрес зеркала заходили уже с IP-адреса 194.165.23.2. Этот IP-адрес принадлежит подсети Главного радиочастотного центра — это подведомственное предприятие Роскомнадзора.

                                                                                                                                  Дальше начинается самое интересное: вал запросов с IP-адреса 77.37.208.110. Самый первый из этих запросов — получение WHOIS-данных адреса зеркала через сервис 1whois.ru (это нужно, чтобы определить на кого зарегистрирован домен, получить контактные e-mail-адреса владельца и отослать ему требование об удалении информации).

                                                                                                                                  Ещё через некоторое количество секунд на адрес зеркала заходят уже одновременно с двух IP-адресов: 188.254.8.42 (это провайдер Ростелеком, через который ходит в интернет Радиочастотный центр) и через VPN с IP-адреса 85.114.141.191 (после того, как мы это выявили и забанили их VPN, они начали на этом этапе заходить на адрес зеркала через сервис hidemyass.com).
                                                                                                                                  www.besttoday.ru/posts/10450.html
                                                                                                                                  0

                                                                                                                                  Если честно, есть желание взять в личное пользование IPv6 /48 + AS и запириться через суриков в мир.


                                                                                                                                  Ибо скоро я так понимаю, IPv6 Тоже настанет кают… и его начнут блочить… и наступит грусть-печаль…

                                                                                                                                    +1
                                                                                                                                    Я сегодня поставил mtproxy и через 2 часа тот попал в бан.
                                                                                                                                      0
                                                                                                                                      Вово, тоже самое! Помогло решение про «dd» и собрал не через Docker. Вроде пока держится…
                                                                                                                                        0
                                                                                                                                        но как они его нашли?
                                                                                                                                          +1
                                                                                                                                          У меня два варианта
                                                                                                                                          — слух что они собирались влить 20 лярдов в блокировку по сигнатурам не слух
                                                                                                                                          — это была блокировка прокси внутри страны. Многие дц стоят до блокировок. Т.е. стоит монитор на выходе из страны и при попытке идти на сервера TG — бан
                                                                                                                                            0
                                                                                                                                            Например, iptables -t raw -A PREROUTING -p (протокол) -m length --length (сколько там у мтпрото) -j LOG и дальше парсят. Возможно, ещё и сигнатуры какие-то из пакета вынимают, или частоту проверяют, например, если кто картинку потянул через прокси, таких пакетов будет сразу много.
                                                                                                                                          –1
                                                                                                                                          Del
                                                                                                                                            0
                                                                                                                                            Кажется, комментарий не туда, но достаточно сравнить мощность микроволновой печи (900 Вт) с мощностью излучателя в телефоне (1-2 Вт), чтоб сказать, что сравнивать их нет смысла.
                                                                                                                                              0
                                                                                                                                              Да, не там, поэтому стёр.
                                                                                                                                              Как насчёт того что в людном месте, например, у каждого 1-2 Ватта в кaрмане.
                                                                                                                                              (что и как они облучают, это уже другой вопрос.)

                                                                                                                                              P.S. Здесь пост о 5G habr.com/ru/post/436974
                                                                                                                                            +3
                                                                                                                                            Похоже ОКН скоро начнёт гуглить MTProxy и все подряд сразу баниить. Тут даже DPI не нужен: просто гуглишь прокси по ключевым словам, плюс подписываешься роботами на все подряд антиблокировочные телеграм-каналы и парсишь оттуда адреса.

                                                                                                                                            Все эти прокси — временные полумеры. Нужно пилить децентрализованный роутинг, децентраллизованный протокол. Всё шифруем луковичным образом, строим отдельный слой OSI. Нужно чтобы блокировать информацию было максимально сложно. Нужно смирииться с тем, что информация — это воздух.
                                                                                                                                              0
                                                                                                                                              Это уже есть и называется I2P
                                                                                                                                              +4
                                                                                                                                              Только что поднял сервер UBUNTU и собрал с нуля MTProxy по доке из
                                                                                                                                              github.com/TelegramMessenger/MTProxy#running

                                                                                                                                              Обновил все SSL, добавил параметр «dd». Обновите аппу телеги и считайте эту картинку. Скидываю сервак в паблик ради теста. Сделал еще один точно по такой же схеме, но в паблик скидывать не стал. Посмотрим сколько продержится сервак «для паблика».

                                                                                                                                              image
                                                                                                                                                +1
                                                                                                                                                19:13 ещё держится :)
                                                                                                                                                  0
                                                                                                                                                  21:55, пока доступен.
                                                                                                                                                    +1
                                                                                                                                                    Еще коннектится и работает.
                                                                                                                                                      0
                                                                                                                                                      10 часов — работает.
                                                                                                                                                      С утра прокатился в метро, специально снял VPN чтобы Максима увидела обмен с этим прокси. Ждем, когда их DPI сможет обнаружить — по некоторым подтвержденным данным, сеть метро является для РКН тестовой площадкой для обкатки технологий блокировки.
                                                                                                                                                      По крайней мере, по ходу, блокировка VPN у них уже отработана. Когда заходишь в вагон и подключаешься к MT_FREE, сначала VPN работает нормально (как мой к рабочему серверу по udp, так и протон-vpn по tcp:443), через некоторое время из сети MT_FREE меня выкидывает и после повторного входа и авторизации VPN уже никакой не пашет, хотя простые http и https запросы проходят… Предполагаю, что определив по характеру трафика работу через VPN далее мои соединения Максима заворачивает через фильтруемый маршрут, на котором заблокированы VPN-адреса, ранее детектированные у пользователей MT_FREE…
                                                                                                                                                      Пока не нашел технологию обхода этой гадости, даже orbot в режиме vpn через запрошенный мост не помогает :(
                                                                                                                                                        0
                                                                                                                                                        Где-то мелькала информация что РКН таки нанял умаодан — офисных мартышек за 25 тр и соцпакет гуглящих интернет в поисках адресов проксей.
                                                                                                                                                          0
                                                                                                                                                          Эти мартышки там и раньше были, только раньше они занимались поиском страниц с противоправным контентом.
                                                                                                                                                          Ну и их нанимает не сам РКН, а ГРЧЦ. Мне однажды даже предлагали там работать, пока студентом был.
                                                                                                                                                          +1

                                                                                                                                                          У Максимы нет DPI для ловли телеграммов, говорю как работавший там и знакомый с внутренней кухней.


                                                                                                                                                          Но, как и у любого провайдера, там стоит СОРМ с прямым снятием траффика с оптоволокна на аплинке, поэтому ГэБэшники могут снифферить и анализировать всё что душе угодно без чьего либо ведома.

                                                                                                                                                            0
                                                                                                                                                            как мой к рабочему серверу по udp, так и протон-vpn по tcp:443
                                                                                                                                                            А какие именно протоколы используете? OpenVPN, IPSec, SSTP, или что?
                                                                                                                                                              0
                                                                                                                                                              к рабочему — openvpn по udp порт 11940.
                                                                                                                                                              protonvpn — согласно настройкам приложения. Там стоит оказывается IKEv2 (это тоже udp), а не tcp:443, как я думал (потому что получал эти настройки на сайте протон-впн для openvpn, был уверен что и в приложении так же, ан нет :))

                                                                                                                                                              Поиграюсь сегодня в метро с разным размером MTU, можно в настройках протона выставить.
                                                                                                                                                              0
                                                                                                                                                              по моим ощущениям винить надо в первую очередь Мегафон — «питерская контора» поставила недешевый DPI, первой детектит и блочит свежие прокси и сливает в РКН.
                                                                                                                                                                0
                                                                                                                                                                Как выяснилось, при повторном подключении Максима блокирует udp.
                                                                                                                                                                Тот же протон-впн по tcp:443 продолжает работать нормально.
                                                                                                                                                          0
                                                                                                                                                          Интересно было бы ради эксперимента сделать еще один на другом IP, но шарить его адрес не QR-кодом, а прямым текстом с ключеными словами «telegram» и «proxy» рядом.
                                                                                                                                                            0
                                                                                                                                                            Yota, Екб, держится.
                                                                                                                                                              0
                                                                                                                                                              Удивительно, но до сих пор работает. Я думал его гораздо быстрее заблочат.
                                                                                                                                                                0
                                                                                                                                                                Похоже они не особо торопятся
                                                                                                                                                                0
                                                                                                                                                                Работает. Вероятно, Мегафоновскому DPI mtproxy c dd не по зубам :)
                                                                                                                                                                А qr-код — мартышкам, поскольку напрямую не гуглится :))

                                                                                                                                                                Да и куча других проксей живет и здравствует.
                                                                                                                                                                  0

                                                                                                                                                                  подключил 2 телефона, всё ещё работает, впнов нет, провайдер мтс/мгтс, продолжаем сбор статистики.
                                                                                                                                                                  К слову, спасибо за прокси, где хостите(можно в ПМ, дабы не палить)?

                                                                                                                                                                    0
                                                                                                                                                                    Отписался в личку)
                                                                                                                                                                    0
                                                                                                                                                                    Не подскажите как подключиться? Буду благодарен
                                                                                                                                                                      0
                                                                                                                                                                      У тебя айфон или андроид? Или комп?
                                                                                                                                                                        0
                                                                                                                                                                        Комп. Телефон пока работает
                                                                                                                                                                      0
                                                                                                                                                                      Спасибо за прокси) До сих пор работает, как с домашнего Билайна, так и Ростелеком (на работе)
                                                                                                                                                                      0
                                                                                                                                                                      А с забаненных адресов тоже нормально в Интернет не попасть?
                                                                                                                                                                      Предположим провайдер выдаёт абонентам динамические адреса. Один абонент поднимает у себя дома прокси, его адрес банят, он получает новый адрес, его также банят и т.д. — может злоумышленник таким образом забанить весь пул у провайдера?
                                                                                                                                                                        +1
                                                                                                                                                                        1. зависит от провайдера, конечно же
                                                                                                                                                                        2. злоумышленнику неплохо бы не быть в этой ситуации абонентом, т.к. при заключении договора с абонентом обычно известны его персданные :-)
                                                                                                                                                                          0
                                                                                                                                                                          Ну учитывая сколько непатченных домашних роутеров найти жертву для злоумышленника особого труда не составит. Можно даже SOCKS проксю не поднимать, достаточно просто сделать TCP Proxy до какой-нибудь VPS средствами самого роутера через SNAT и DNAT.
                                                                                                                                                                        0
                                                                                                                                                                        Это поэтому КиноФС уже не работают?
                                                                                                                                                                          0
                                                                                                                                                                          а не пойму, зачем это всё, сканеры какие-то, сервера, если телеграм и так работает безо всяких примочек?
                                                                                                                                                                            0
                                                                                                                                                                            И более того, по итогу блокировки вредят экономике страны.
                                                                                                                                                                            0
                                                                                                                                                                            Кстати, не так давно Амазон прикупил у GE два огромных блока IP адресов. Совпадение?
                                                                                                                                                                              0

                                                                                                                                                                              Это уже сериал получается. Под названием "Блокировка, сезон N+1".


                                                                                                                                                                              Во всем надо искать свои плюсы. Теперь почти любой свой собственный косяк можно списать на происки ркн в неравной схватке с телеграфом. (И пока начальник будет сочувственно кивать., спокойно этот косяк устранить).


                                                                                                                                                                              Всем трудовым коллективом желаем дяде Паше удачи.


                                                                                                                                                                              А ркнщикам- благодарность за отличную рекламу блокируемого сервиса, и за скрашивание наших серых будней таким красочным развлекательным шоу.

                                                                                                                                                                                +2

                                                                                                                                                                                Если бы это развлекательное шоу проводилось не за счет налогоплательщьков...