Сейчас DDoS-атаки стали массово доступными и невероятно дешевыми до такой степени, что бороться с отдельными сайтами-стрессерами смысла около нуля. Мало того, что их на самом деле сильно больше, чем пара десятков, так еще и блокировка их сайтов не приведет к тому, что мощности их атак куда-то исчезнут.
Мне кажется наиболее разумно будет противостоять атакам со своей стороны. Да, к сожалению, это дорого. Но просто хочу напомнить, что кое-кто заблокировал Cloudflare, OVH и другие сервисы и хостинги, которые позволяли отражать L3/L4 DDoS за сущие копейки. Почему тогда и их не записали в тех, кто «способствует атакам»?
При белых списках иностранные Sim-карты либо совсем не подключаются к сети оператора, либо таки подключаются, но интернет-данные не передают. Даже DNS-запросы и белосписочные ресурсы не работают. Таков был мой опыт, во всяком случае.
Еще из интересного: один период времени (лето 2025) часть иностранных Sim-карт переставали работать даже в условиях без белых списков. Сами провайдеры тогда писали, что роуминг в РФ временно может быть недоступен. Потом это починили, но что это было я так и не понял…
Обзор на обходы блокировок и даже не нейрослоп? Невероятно, спасибо, автор
От себя могу добавить, что VK Cloud начали агрессивно лочить аккаунты физлиц даже если не перебрать IP адреса и не заниматься обходом блокировок вовсе(
Поэтому у меня есть предположение, что их возможности «палить обходы» несколько переоценены и критерии для блокировок у белосписочных хостингов куда более простые
Этот "эндпоинт", куда стучат приложения об использовании VPN, может быть частью основного API и располагаться на том же домене. Сломать его — сломать весь функционал приложения.
Более того, разные приложения могут использовать разные способы определения VPN, некоторые могут это делать полностью локально, некоторые наоборот — только с сервера (проверять IP адрес источника запросов).
Таким образом с разными приложениями нужны разные стратегии. Split Tunneling, как написали выше, иногда помогает, а иногда и нет...
Почему борьбой с этим сомнительным (мягко говоря) клиентом занимаются Cloudflare и Apple, а не пашка дуров? Это наводит на определенные мысли, честно говоря…
Тут скорее к тому, что «рандомная реализация» позволила себе хардкодить TLS хендшейк и это работало с некоторыми официальными клиентами — а значит и сами клиенты отправляли достаточно предсказуемые данные…
Когда блокировки телеграм только начинались, я решил попробовать поднять mtproto-прокси и пробовал разные реализации. В том числе пробовал и какую-то рандомную реализацию на питоне (точное название уже не вспомню), которая по какой-то причине адекватно не работала на iOS, хоть и работала на остальных клиентах…
Мне стало интересно потыркать и выяснить причины, после чего я натурально умер от кринжа: в этом прокси ожидаемый от клиента TLS Handshake чуть ли не полностью захардкодили. Серьезно?
Решил исправить это и парсить хендшейк подноценно, но в процессе наткнулся на какие-то несоответствия в структурах (кажется, как раз об этой проблеме упоминается в статье) и в итоге забил на это дело, признав мусором этот «прокси на питоне», как и весь Fake TLS в телеграме в целом.
Element это не самостоятельный мессенджер, это просто клиент протокола Matrix.
Причем клиент, будем честны, не самый лучший в плане UX. Ему далеко до того же официального телеграм-клиента, например.
Однако не могу не согласиться с тем, что Matrix получает незаслуженно мало внимания. Люди готовы делать «форк сервера телеграм», или даже вовсе писать свои мессенджеры, когда сравнительно хорошее и открытое (+ децентрализованное) решение уже существует.
Все чего ему не хватает — хорошего клиента уровня клиентов телеграм. И можно лишь надеяться, что когда-нибудь авторы таких клиентов захотят сделать клиент и для Matrix тоже...
"Весь остальной интернет" за пределами страны и так уже лагает несколько месяцев как. И не потому что якобы "DPI лагает", а потому что так задумано.
"Паша не цветы собирал" вообще смешно звучит, что там у него... система из древних проксей, fake TLS которых палится на раз-два? Или какие-нибудь невероятные обходы в самом приложении, которых нет?
Очень зависит от множества факторов, обычно в регионах где белые списки 24/7 не проверяется SNI вовсе (есть отдельные исключения, но в общем случае это так)
Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...
Сейчас DDoS-атаки стали массово доступными и невероятно дешевыми до такой степени, что бороться с отдельными сайтами-стрессерами смысла около нуля. Мало того, что их на самом деле сильно больше, чем пара десятков, так еще и блокировка их сайтов не приведет к тому, что мощности их атак куда-то исчезнут.
Мне кажется наиболее разумно будет противостоять атакам со своей стороны. Да, к сожалению, это дорого. Но просто хочу напомнить, что кое-кто заблокировал Cloudflare, OVH и другие сервисы и хостинги, которые позволяли отражать L3/L4 DDoS за сущие копейки. Почему тогда и их не записали в тех, кто «способствует атакам»?
По идее да, а по факту попадание в "белый список" на ТСПУ это скорее исключение, чем правило, особенно для небольших проектов(
При белых списках иностранные Sim-карты либо совсем не подключаются к сети оператора, либо таки подключаются, но интернет-данные не передают. Даже DNS-запросы и белосписочные ресурсы не работают. Таков был мой опыт, во всяком случае.
Еще из интересного: один период времени (лето 2025) часть иностранных Sim-карт переставали работать даже в условиях без белых списков. Сами провайдеры тогда писали, что роуминг в РФ временно может быть недоступен. Потом это починили, но что это было я так и не понял…
В общем, не очень надежный это вариант(
Обзор на обходы блокировок и даже не нейрослоп? Невероятно, спасибо, автор
От себя могу добавить, что VK Cloud начали агрессивно лочить аккаунты физлиц даже если не перебрать IP адреса и не заниматься обходом блокировок вовсе(
Поэтому у меня есть предположение, что их возможности «палить обходы» несколько переоценены и критерии для блокировок у белосписочных хостингов куда более простые
«Официально» не заблокирован — а на деле его, как минимум, несколько раз временно ломали кривыми фильтрами на ТСПУ
Этот "эндпоинт", куда стучат приложения об использовании VPN, может быть частью основного API и располагаться на том же домене. Сломать его — сломать весь функционал приложения.
Более того, разные приложения могут использовать разные способы определения VPN, некоторые могут это делать полностью локально, некоторые наоборот — только с сервера (проверять IP адрес источника запросов).
Таким образом с разными приложениями нужны разные стратегии. Split Tunneling, как написали выше, иногда помогает, а иногда и нет...
Ничего себе, «заблочили зря» за полный MitM своих пользователей…
Почему борьбой с этим сомнительным (мягко говоря) клиентом занимаются Cloudflare и Apple, а не пашка дуров? Это наводит на определенные мысли, честно говоря…
Про совместимость сложно поспорить, но вы черновик этот открывали вообще?
Это очевиднейший прикол, еще и слопный к тому же, но никак не инженерное решение…
Тут скорее к тому, что «рандомная реализация» позволила себе хардкодить TLS хендшейк и это работало с некоторыми официальными клиентами — а значит и сами клиенты отправляли достаточно предсказуемые данные…
Когда блокировки телеграм только начинались, я решил попробовать поднять mtproto-прокси и пробовал разные реализации. В том числе пробовал и какую-то рандомную реализацию на питоне (точное название уже не вспомню), которая по какой-то причине адекватно не работала на iOS, хоть и работала на остальных клиентах…
Мне стало интересно потыркать и выяснить причины, после чего я натурально умер от кринжа: в этом прокси ожидаемый от клиента TLS Handshake чуть ли не полностью захардкодили. Серьезно?
Решил исправить это и парсить хендшейк подноценно, но в процессе наткнулся на какие-то несоответствия в структурах (кажется, как раз об этой проблеме упоминается в статье) и в итоге забил на это дело, признав мусором этот «прокси на питоне», как и весь Fake TLS в телеграме в целом.
Element это не самостоятельный мессенджер, это просто клиент протокола Matrix.
Причем клиент, будем честны, не самый лучший в плане UX. Ему далеко до того же официального телеграм-клиента, например.
Однако не могу не согласиться с тем, что Matrix получает незаслуженно мало внимания. Люди готовы делать «форк сервера телеграм», или даже вовсе писать свои мессенджеры, когда сравнительно хорошее и открытое (+ децентрализованное) решение уже существует.
Все чего ему не хватает — хорошего клиента уровня клиентов телеграм. И можно лишь надеяться, что когда-нибудь авторы таких клиентов захотят сделать клиент и для Matrix тоже...
Нет, говорю про некую общую тенденцию. Изредка они бывают полезны, но в общем случае переписки в них не ведут...
Этим всё равно никто не пользуется, эти секретные чаты в телеграме буквально неюзабельны...
"Весь остальной интернет" за пределами страны и так уже лагает несколько месяцев как. И не потому что якобы "DPI лагает", а потому что так задумано.
"Паша не цветы собирал" вообще смешно звучит, что там у него... система из древних проксей, fake TLS которых палится на раз-два? Или какие-нибудь невероятные обходы в самом приложении, которых нет?
Очень зависит от множества факторов, обычно в регионах где белые списки 24/7 не проверяется SNI вовсе (есть отдельные исключения, но в общем случае это так)
Да, именно Synapse. Другие сервера (по слухам) могут немного хуже работать в плане стабильности и совместимости, поэтому я их и не пробовал...
Тем временем их клиент уже отпатчен таким образом, чтобы принимать посторонние ключи сервера для проведения MitM атак...
Это если вдруг у кого-то еще остались вопросы касаемо этого клиента.
Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...