Я не про ECH, а про AEAD пакетов пакетов QUIC initial. Для DPI это уже надо расшифровывать. Для этого все есть, но несколько затратнее с точки зрения вычислительных мощностей (как серверных так и тех которые в головах разработчиков). Кстати, помню там различное поведение было в зависимости от версии draft, год-два назад DPI не для всех SNI вытаскивать умели, и даже отдельный фильтр по версии был.
Что еще явно влияет. Дефолтная фрагментации CH в Chome. Да, сейчас у популярных представленных DPI вендоров реассемблинг реализован кое как. Например известный трюк изменение порядка пакетов. И еще много других трюков есть. Конечно не сложно сделать нормально. Ценой увеличения требований к ресурсам. Пока практика такова, что анализируют первые N пакетов, что предоставляет очевидные возможности. Также внедряются доп уровни более глубокого анализа, не статические правила. Конечно же со временем закроют простые лазейки. Но это тоже не бесплатно.
Учитывайте многочисленные утечки памяти в xray-core. Часть недавно исправили, но часть никуда не делась. С учетом этого "2 Гб, но не меньше 1 Гб." адекватные цифры. Очень сильно зависит от используемых опций, но расчитывать уместиться в 256 точно не стоит.
Не будут они переподписывать. Просто не будут отдавать DNS-записи, относящиеся к DNSSEC, отключив в рунете подписи зон и открывая дорогу к подменам резольва записей.
Начиналось с создания резервной системы DNS в целях безопасности на случай отключения извне вредителями, а в итоге сами же изолируют его изнутри. Никаких вредителей извне даже не потребовалось.
Сначала создали реестр РКН исключительно "для защиты детей от вредной информации о суицидах и наркотиках", теперь блокируют даже протоколы, пропуская трафик по белым спискам. Заблокировали QUIC (очевидно от защиты детей от его тлетворного влияния), заблокировали ECH, успешно протестировали блокировку DoH/DoT и доступа к популярным публичным DNS поддерживающим шифрование, совершенствуют внеерестровые блокировки "запрещенных" протоколов на ТСПУ (попутно ломая все что можно, но делая огромные деньги на этом оборудовании, заранее скупив его разработчиков), теперь вот двигаются дальше к суверенному чебурнету светлому будущему.
Еще немного и можно будет рапортовать начальству об успехах, получать награды.
Осталось еще уголовку за использование шифрования ввести. Или за факт выхода в международный сегмент интернета.
А тем временем некоторые провайдеры (дом ру) уже делают подмену DNS ответов.
P.S. Вспоминаю, как еще недавно были времена, когда те же самые люди пытались внедрить DNSSEC для безопасности зоны .ru, а теперь сами же убивают все труды.
В чем конкретно заключается опасность повышенного содержания железа? Или речь исключительно об органолептических показателях и влиянии на эффективность работы последующих фильтров?
Формально, там вроде как другая история, связанная с новым пакетом санкций (не помню, от ЕС или США, но не важно, от кого-то из "недружественных"), запрещающих предоставление некоторых типов ПО.
Это как бы другой Бегет. Другое юрлицо. ТОВ "БЕГЕТ УКРАЇНА".
А beget.com - это российское ООО «Бегет».
Просто название похожее) Владелец компании же не может контролировать чтобы кто-то где-то не назвал компанию точно так же, и не скопировал дизайн сайта, код всех IT-систем)
Приземление имеется. Взаимодействие с местными службами осуществляется. Поэтому к ним пока не возникает вопросов.
И как следствие, добавиться в реестр хостингов РКН, далее, как следствие, верифицировать клиентов по паспорту / банковскому счету / SMS, сливать клиентские данные силовикам через СОРМ, обеспечить взаимодействие с ГоСОПКА и пр.
Без этого оказывать хостинг-услуги на территории РФ (читай - делать их доступными для россиян) нельзя.
Я не про ECH, а про AEAD пакетов пакетов QUIC initial. Для DPI это уже надо расшифровывать. Для этого все есть, но несколько затратнее с точки зрения вычислительных мощностей (как серверных так и тех которые в головах разработчиков). Кстати, помню там различное поведение было в зависимости от версии draft, год-два назад DPI не для всех SNI вытаскивать умели, и даже отдельный фильтр по версии был.
Что еще явно влияет. Дефолтная фрагментации CH в Chome. Да, сейчас у популярных представленных DPI вендоров реассемблинг реализован кое как. Например известный трюк изменение порядка пакетов. И еще много других трюков есть. Конечно не сложно сделать нормально. Ценой увеличения требований к ресурсам. Пока практика такова, что анализируют первые N пакетов, что предоставляет очевидные возможности. Также внедряются доп уровни более глубокого анализа, не статические правила. Конечно же со временем закроют простые лазейки. Но это тоже не бесплатно.
Да, в последние месяцы известная история. Переодически наблюдаются блокировки подозрительного трафика в адрес DO, Hetzner и некоторых других.
bash <(curl i.hiddify.com/release)Congratulations, the installation is complete.Или по видео для совсем неопыных - https://hiddify.com/manager/installation-and-setup/guide/#installation-video
Не знаю что имел в виду автор. Под self-host в контексте reality обычно имеется в виду сайт под который маскируемся.
Учитывайте многочисленные утечки памяти в xray-core. Часть недавно исправили, но часть никуда не делась. С учетом этого "2 Гб, но не меньше 1 Гб." адекватные цифры. Очень сильно зависит от используемых опций, но расчитывать уместиться в 256 точно не стоит.
Все проще. В одном случае SNI передается в открытом виде. Во втором нет, точнее, возможны варианты.
Если же интересно реальное сравнение скорости протоколов без влияния замедлений ТСПУ, то тестировать нужно как минимум с фрагментированием SNI.
Как какой-то доклад студента 1 курса гуманитарного ВУЗа которую кто-то решил опубликовать спустя много лет?
Или статья написанная копирайтером-домохозяйкой в соавторстве с ChatGPT потому что у редакции есть единственный KPI по количеству постов в неделю?
Как это попало сюда? И почему выводится на главной странице?
Это ради обхода законодательства о персональных данных или...?
Не будут они переподписывать. Просто не будут отдавать DNS-записи, относящиеся к DNSSEC, отключив в рунете подписи зон и открывая дорогу к подменам резольва записей.
Начиналось с создания резервной системы DNS в целях безопасности на случай отключения извне вредителями, а в итоге сами же изолируют его изнутри. Никаких вредителей извне даже не потребовалось.
Сначала создали реестр РКН исключительно "для защиты детей от вредной информации о суицидах и наркотиках", теперь блокируют даже протоколы, пропуская трафик по белым спискам. Заблокировали QUIC (очевидно от защиты детей от его тлетворного влияния), заблокировали ECH, успешно протестировали блокировку DoH/DoT и доступа к популярным публичным DNS поддерживающим шифрование, совершенствуют внеерестровые блокировки "запрещенных" протоколов на ТСПУ (попутно ломая все что можно, но делая огромные деньги на этом оборудовании, заранее скупив его разработчиков), теперь вот двигаются дальше к
суверенному чебурнетусветлому будущему.Еще немного и можно будет рапортовать начальству об успехах, получать награды.
Осталось еще уголовку за использование шифрования ввести. Или за факт выхода в международный сегмент интернета.
А тем временем некоторые провайдеры (дом ру) уже делают подмену DNS ответов.
P.S. Вспоминаю, как еще недавно были времена, когда те же самые люди пытались внедрить DNSSEC для безопасности зоны .ru, а теперь сами же убивают все труды.
В чем конкретно заключается опасность повышенного содержания железа? Или речь исключительно об органолептических показателях и влиянии на эффективность работы последующих фильтров?
SNI
Формально, там вроде как другая история, связанная с новым пакетом санкций (не помню, от ЕС или США, но не важно, от кого-то из "недружественных"), запрещающих предоставление некоторых типов ПО.
Не только веб-хостинг, но и домены.
Они на днях сообщили, что уже договорились внести и принять (формулировка сама по себе прекрасная) в этом году новый законопроект обязывающий всех клиентов российских доменных регистраторов привязывать домены через Госуслуги.
Но из текста не понятно, это только для доменов .ru или или для всех, если через российского регистратора обслуживаются.
Это они теперь не работают.
"Но аппарат-то имеется!"...
А какие с ним проблемы?
Это как бы другой Бегет. Другое юрлицо. ТОВ "БЕГЕТ УКРАЇНА".
А beget.com - это российское ООО «Бегет».
Просто название похожее) Владелец компании же не может контролировать чтобы кто-то где-то не назвал компанию точно так же, и не скопировал дизайн сайта, код всех IT-систем)
Приземление имеется. Взаимодействие с местными службами осуществляется. Поэтому к ним пока не возникает вопросов.
Нет. Блокируется только доступ к сайту хостера и его выдача в поисковиках.
И как следствие, добавиться в реестр хостингов РКН, далее, как следствие, верифицировать клиентов по паспорту / банковскому счету / SMS, сливать клиентские данные силовикам через СОРМ, обеспечить взаимодействие с ГоСОПКА и пр.
Без этого оказывать хостинг-услуги на территории РФ (читай - делать их доступными для россиян) нельзя.
Да, только сайт хостера.
Заблокировали доступ к перечисленным сайтам из РФ и исключили из выдачи поисковых систем в РФ.
Интересно, то что тех, кто сам недавно "выгнал" российских пользователей (Hetzner, GoDaddy), не заблокировали.
Таким образом РКН как бы дают понять хостинг-провайдерам, что в их интересах самим проявить инициативу по прекращению работы с клиентами из РФ.
Чтобы потом можно было говорить, что это все они, "русофобы".