Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables. Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
Всех неугодных (или угодных) найти не получится. Да и почему вы вдруг решили, что mmg.whatsapp.net неугодный домен? Что, если какие-то сервисы требуют его (или любой другой домен) для корректной работы?
Может 'пока' не делают, а может и делают, но пока это не обнаружили, т.к. явно все внимание приковано к МАКС'у. Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа, так что они вполне себе используют тактику обнаружения IP-адресов.
Проблема в том, что зачастую IP выходного сервера (которая, как говорится в статье, часто совпадает с входным) РКН сможет на всех ТСПУ глобально раскатывать блокировку определенного IP. Поэтому для корректной работы придется ставить за этим сервером еще однин, который никак не связан с российскими IP адресами. Говоря простым языком - плата за прокси/VPN вырастет в два раза.
Не эмоциональная. DDOS идет вообще на всю подсеть ГРЧЦ, на которой находятся сканеры, которые сканят весь рунет и ищут интересности на хостах, в частности интересности, которые помогают усиливать безопасность и шифровать трафик с последующим написанием абуза хостерам с требованием прекратить предоставление услуг данному лицу.
DDOS там идет не только на сам сайт, на который в общем-то всем плевать, особенно в выходные. Под раздачу еще попала подсеть тех самых сканеров "безопасности", которые сканируют ваши VPS на наличие установленных на них "средств усиления безопасности".
Шел 8-й год разворачивания ТСПУ, люд (читай - гои) до сих пор не понимали, что конфигурации на каждой коробке своя, даже в рамках одного мелкого провайдера в мелком регионе.
Они были задолго до отключений и белых списков. И никуда уже больше не денутся, как бы плохо операторы себя не чувствовали - государство на фоне ухода зарубежных вендоров не даст
Учитывая, что это проект от государства - глупо надеяться на то, что это будет не тендер на закупку, который будут выполнять NordXXX/ExpressXXX и прочие гиганты XXX-строения. А там и устаревшие протоколы, и все сервера в одной ASN (а зачастую и в одной /24).
Правдивы. Мой хостер один из первых отлетел в 16кб еще в прошлом году - с определенными sni блокировки нет.
Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables.
Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
Ниже есть комментарий от одного из разработчиков протокола. https://habr.com/ru/news/1006950/comments/#comment_29622680
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Если последний и предпоследний сервер будут не в РФ - то последнему будет по барабану на его блокировки со стороны РФ. Трафик то на него не из РФ идет
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
ТСПУ не может подменить вам HTTPS запрос без явного предупреждения от браузера.
Ну или если вы удосужились поставить корневик минцифры в систему - тогда очень даже может.
Почти все выходные TOR-узлы умеют в ipv6
Всех неугодных (или угодных) найти не получится. Да и почему вы вдруг решили, что mmg.whatsapp.net неугодный домен? Что, если какие-то сервисы требуют его (или любой другой домен) для корректной работы?
Может 'пока' не делают, а может и делают, но пока это не обнаружили, т.к. явно все внимание приковано к МАКС'у. Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа, так что они вполне себе используют тактику обнаружения IP-адресов.
Все адреса не перебаните. На крайний случай ВК сами могут арендовать зарубежный хост для определения IP и на него стучаться.
Проблема в том, что зачастую IP выходного сервера (которая, как говорится в статье, часто совпадает с входным) РКН сможет на всех ТСПУ глобально раскатывать блокировку определенного IP. Поэтому для корректной работы придется ставить за этим сервером еще однин, который никак не связан с российскими IP адресами. Говоря простым языком - плата за прокси/VPN вырастет в два раза.
Откуда информация? Насколько я знаю, атака проводится SYN-ACK ip спуфингом с неизвестных адресов.
Не эмоциональная. DDOS идет вообще на всю подсеть ГРЧЦ, на которой находятся сканеры, которые сканят весь рунет и ищут интересности на хостах, в частности интересности, которые помогают усиливать безопасность и шифровать трафик с последующим написанием абуза хостерам с требованием прекратить предоставление услуг данному лицу.
DDOS там идет не только на сам сайт, на который в общем-то всем плевать, особенно в выходные. Под раздачу еще попала подсеть тех самых сканеров "безопасности", которые сканируют ваши VPS на наличие установленных на них "средств усиления безопасности".
Шел 8-й год разворачивания ТСПУ, люд (читай - гои) до сих пор не понимали, что конфигурации на каждой коробке своя, даже в рамках одного мелкого провайдера в мелком регионе.
Они были задолго до отключений и белых списков. И никуда уже больше не денутся, как бы плохо операторы себя не чувствовали - государство на фоне ухода зарубежных вендоров не даст
Ну значит уж точно ни у кого таких проблем быть не может и точка.
Учитывая, что это проект от государства - глупо надеяться на то, что это будет не тендер на закупку, который будут выполнять NordXXX/ExpressXXX и прочие гиганты XXX-строения. А там и устаревшие протоколы, и все сервера в одной ASN (а зачастую и в одной /24).
Так он же на CF. Удивительно, что только сейчас отвалился.