|
Dicrock
Стаж: 12 лет 7 месяцев Сообщений: 1099
|
Dicrock ·
30-Сен-24 04:48
(2 месяца 12 дней назад, ред. 30-Сен-24 04:48)
artenax писал(а):
86765690Вроде бы ECH работает. Но для заблокированных сайтов (клаба) непонятно. Вот такая команда работает?
Походу глухо ...
скрытый текст
Код:
* Some HTTPS RR to process
* Host kinozal.tv:443 was resolved.
* IPv6: (none)
* IPv4: 172.67.189.243, 104.21.89.161
* Trying 172.67.189.243:443...
* ECH: ECHConfig from DoH HTTPS RR
* ECH: imported ECHConfigList of length 71
* ALPN: curl offers http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / x25519 / id-ecPublicKey
* ECH: result: status is bad name (unexpected), inner is kinozal.tv, outer is cloudflare-ech.com
* ECH: ech-hard failed
* closing connection #0
Кинозал с одним слешем не опечатка/обход фильтров ? В принципе проюлвал и с двумя - результат тот же.
artenax писал(а):
86765690Это старая технология параллельной загрузки по HTTP/1.1, которую использовала в основном Opera на движке Presto. Причём, имела хитрые тесты проверки работоспособности.
Познавательно, буду знать. Спасибо за экскурс
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
30-Сен-24 11:58
(спустя 7 часов, ред. 30-Сен-24 12:25)
Да, это опечатка. А в браузере кинозал, рутрекер и бабочка открываются на том же интернете без обходов?
Браузер должен быть современный и в нём нужно включить безопасный DNS (DoH).
В старых хромобраузерах в chrome://flags также нужно включить #encrypted-client-hello Upd: по поводу Pipelining уточнение, не параллельной, а скорее множественной. Как на этой схеме:
А в HTTP/2 может уже и параллельной.
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
30-Сен-24 14:13
(спустя 2 часа 14 мин.)
artenax писал(а):
86775206и в нём нужно включить безопасный DNS (DoH).
Не нужно. ECH не зависит от DoH и все прекрасно открывается без него.
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
30-Сен-24 15:05
(спустя 52 мин.)
ECH зависит от расширенных записей DNS, которые можно получить через DoH или через DNS HTTPS (если приложение поддерживает).
|
|
yandrey0
Стаж: 17 лет 4 месяца Сообщений: 544
|
yandrey0 ·
30-Сен-24 15:49
(спустя 43 мин., ред. 30-Сен-24 15:49)
Hanabishi писал(а):
86775589ECH не зависит от DoH
В Хромиумных браузерах на актуальных версиях зависит, через встроенный DNS резолвер как то нестабильно запрашивает и использует HTTPS запись. На Cloudflare не переходит на HTTP/3, ECH c HTTP/2 работает через раз.
artenax писал(а):
86775755которые можно получить через DoH или через DNS HTTPS
Получается через любой DNS
Код:
host -t https rutr.life 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: rutr.life has HTTPS record 1 . alpn="h3,h2" ipv4hint=104.21.32.39,172.67.182.196 ech=AEX+DQBBdQAgACB73QqXo8bc1glBE44R+pMxijf6kinmpxbk3NlE7W+EbQAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3031::6815:2027,2606:4700:3034::ac43:b6c4
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
30-Сен-24 16:01
(спустя 12 мин., ред. 30-Сен-24 16:01)
yandrey0 писал(а):
86775869В Хромиумных браузерах на актуальных версиях зависит
А ну я с лисы проверяю.
В браузере DoH полностью отключен. В системе самый обычный резолвер без DoH/DoT/DNSSEC и прочих выкрутасов.
Все работает, сюда заходит без обходов.
З.Ы. В выдаче dig не вижу никаких дополнительных данных.
Код:
$ dig rutr.life ; <<>> DiG 9.20.2 <<>> rutr.life
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31626
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;rutr.life. IN A ;; ANSWER SECTION:
rutr.life. 254 IN A 104.21.32.39
rutr.life. 254 IN A 172.67.182.196 ;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Mon Sep 30 12:54:04 UTC 2024
;; MSG SIZE rcvd: 74
А хотя вот так вижу.
Код:
$ dig rutr.life IN HTTPS ; <<>> DiG 9.20.2 <<>> rutr.life IN HTTPS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1654
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 3 ;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;rutr.life. IN HTTPS ;; ANSWER SECTION:
rutr.life. 267 IN HTTPS 1 . alpn="h3,h2" ipv4hint=104.21.32.39,172.67.182.196 ech=AEX+DQBBdQAgACB73QqXo8bc1glBE44R+pMxijf6kinmpxbk3NlE7W+EbQAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3031::6815:2027,2606:4700:3034::ac43:b6c4 ;; ADDITIONAL SECTION:
rutr.life. 267 IN A 104.21.32.39
rutr.life. 267 IN A 172.67.182.196 ;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Mon Sep 30 12:59:32 UTC 2024
;; MSG SIZE rcvd: 222
Возможно лис сам это делает. Специально опять же ничего не настраивал.
|
|
yandrey0
Стаж: 17 лет 4 месяца Сообщений: 544
|
yandrey0 ·
30-Сен-24 16:46
(спустя 45 мин., ред. 30-Сен-24 16:46)
Hanabishi писал(а):
86775906выдаче dig не вижу никаких дополнительных данных.
С чего бы им там быть если dig запрашивает только A, получить всё что есть (тип ANY) это обычно только для авторитетных DNS с доверенных адресов.
// хотя не все боятся больших ответов, например гугл
dig google.com IN ANY @8.8.8.8
Код:
; <<>> DiG 9.18.28 <<>> google.com IN ANY @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45553
;; flags: qr rd ra; QUERY: 1, ANSWER: 30, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com. IN ANY ;; ANSWER SECTION:
google.com. 284 IN A 64.233.162.100
google.com. 284 IN A 64.233.162.101
google.com. 284 IN A 64.233.162.113
google.com. 284 IN A 64.233.162.138
google.com. 284 IN A 64.233.162.102
google.com. 284 IN A 64.233.162.139
google.com. 284 IN AAAA 2a00:1450:4010:c05::65
google.com. 284 IN AAAA 2a00:1450:4010:c05::71
google.com. 284 IN AAAA 2a00:1450:4010:c05::8a
google.com. 284 IN AAAA 2a00:1450:4010:c05::64
google.com. 21584 IN CAA 0 issue "pki.goog"
google.com. 3584 IN TXT "google-site-verification=wD8N7i1JTNTkezJ49swvWW48f8_9xveREV4oB-0Hf5o"
google.com. 21584 IN NS ns3.google.com.
google.com. 3584 IN TXT "docusign=1b0a6754-49b1-4db5-8540-d2c12664b289"
google.com. 3584 IN TXT "google-site-verification=4ibFUgB-wXLQ_S7vsXVomSTVamuOXBiVAzpR5IZ87D0"
google.com. 3584 IN TXT "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
google.com. 21584 IN HTTPS 1 . alpn="h2,h3"
google.com. 21584 IN NS ns2.google.com.
google.com. 3584 IN TXT "docusign=05958488-4752-4ef2-95eb-aa7ba8a3bd0e"
google.com. 3584 IN TXT "MS=E4A68B9AB2BB9670BCE15412F62916164C0B20BB"
google.com. 44 IN SOA ns1.google.com. dns-admin.google.com. 680495531 900 900 1800 60
google.com. 3584 IN TXT "facebook-domain-verification=22rm551cu4k0ab0bxsw536tlds4h95"
google.com. 3584 IN TXT "onetrust-domain-verification=de01ed21f2fa4d8781cbc3ffb89cf4ef"
google.com. 21584 IN NS ns1.google.com.
google.com. 21584 IN NS ns4.google.com.
google.com. 3584 IN TXT "apple-domain-verification=30afIBcvSuDV2PLX"
google.com. 284 IN MX 10 smtp.google.com.
google.com. 3584 IN TXT "cisco-ci-domain-verification=479146de172eb01ddee38b1a455ab9e8bb51542ddd7f1fa298557dfa7b22d963"
google.com. 3584 IN TXT "v=spf1 include:_spf.google.com ~all"
google.com. 3584 IN TXT "google-site-verification=TV9-DBe4R80X4v0M4U_bd_J9cpOJM0nikft0jAgjmsQ" ;; Query time: 50 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (TCP)
;; WHEN: Mon Sep 30 20:42:31 +07 2024
;; MSG SIZE rcvd: 1285
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
30-Сен-24 16:49
(спустя 2 мин.)
yandrey0 писал(а):
86776021С чего бы им там быть
В общем я хз, но в лисе все работает без каких-либо выкрутасов с DNS.
|
|
yandrey0
Стаж: 17 лет 4 месяца Сообщений: 544
|
yandrey0 ·
30-Сен-24 17:11
(спустя 22 мин.)
На хоромых браузерах, если использование сторонних/далёких DoH не вариант, легко решается поднятием локального DoH, самый простой doh-proxy .
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
30-Сен-24 17:35
(спустя 23 мин., ред. 30-Сен-24 17:44)
Hanabishi писал(а):
86776090в лисе все работает без каких-либо выкрутасов с DNS
Ээ... попробовал чистую установку Firefox 128.2.0 ESR в линуксе (Mageia Cauldron). Не открывает без DoH.
Но если включить DoH, зайти на заблокированный сайт, отключить DoH, он продолжит открываться без DoH (данные закэшированы). До перезапуска браузера до закрытия вкладки.
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
30-Сен-24 17:51
(спустя 15 мин., ред. 30-Сен-24 17:51)
artenax писал(а):
86776264Firefox 128.2.0 ESR
У меня текущий стейбл 130.0.1.
Да, эту фишку завезли только в 129 версии. https://www.mozilla.org/en-US/firefox/129.0/releasenotes/
Цитата:
HTTPS DNS records can now be resolved with the operating system's DNS resolver on specific platforms (Windows 11, Linux, Android 10+). Previously this required DNS over HTTPS to be enabled. This capability allows the use of HTTP/3 without needing to use the Alt-Svc header, upgrades requests to HTTPS when the DNS record is present, and enables wider use of ECH.
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
30-Сен-24 18:09
(спустя 18 мин., ред. 30-Сен-24 18:16)
Hanabishi
Пишут, что ECH появился в Firefox в 118 версии, а в 119 включен по умолчанию. Firefox 115 последняя официальная сборка для Win7.
ECH появился в Chrome в 105 версии, включен по умолчанию в 117. Позднее настройку отключения #encrypted-client-hello удалили из chrome://flags (примерно в 121-122 версии). Последняя официальная сборка Chrome для Win7 это 109.
|
|
sio456wer
Стаж: 12 лет 2 месяца Сообщений: 821
|
sio456wer ·
02-Окт-24 16:59
(спустя 1 день 22 часа)
artenax писал(а):
86776400Позднее настройку отключения #encrypted-client-hello удалили из chrome://flags (примерно в 121-122 версии).
Плохо.
Код:
--disable-features=EncryptedClientHello
|
|
yandrey0
Стаж: 17 лет 4 месяца Сообщений: 544
|
yandrey0 ·
02-Окт-24 17:48
(спустя 48 мин.)
sio456wer писал(а):
86784019Плохо.
Чем плохо? лишним запросом к DNS?
|
|
kx77
Стаж: 12 лет Сообщений: 723
|
kx77 ·
03-Окт-24 08:57
(спустя 15 часов, ред. 03-Окт-24 08:57)
последние chromium и фокс на linux ECH включают и без doh
на винде iron (chromium) - да, фокс же требует doh по-прежнему
такое вот наблюдение. на разных компах проверялось, на чистом фоксовом профиле - тоже. btw, как думаете сколько этот ецих проживет ?
сейчас любой может легким движением руки или ноги засунуть свой сайт туда, где он будет открываться без обходов у блокираторов варианты какие
1) Блочить открытый SNI cloudflare
2) Блочить весь диапазон IP cloudflare
3) Блочить все запросы с ECH цена - отвал множества сайтов, включая, например, gitlab и chatgpt
хотите работать в России - отключайте демоническую технологию, мешающую нормальному функционированию систем защиты от проникновения запрещенной информации
после блока ютуба это уже кажется вполне реальным шагом мир разваливается на части. единства уже нет. разделение дальше только усугубляется.
отказываться от борьбы они уже не станут, значит напрашивается новый виток туркменизации сети ецихо-делатели опоздали. если бы оно началось лет 5 назад, они бы довели ецих до обязательного стандарта, и тогда у блокираторов были бы связаны руки гораздо сильнее
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
03-Окт-24 12:57
(спустя 3 часа)
Сайты сейчас не очень популярны, имхо. Народ сидит в соц. сетях, на ютубе.
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
03-Окт-24 15:00
(спустя 2 часа 3 мин.)
kx77 писал(а):
86786475на винде iron (chromium) - да, фокс же требует doh по-прежнему
А винда какая? В релизе список такой: Windows 11, Linux, Android 10+.
kx77 писал(а):
86786475у блокираторов варианты какие
1) Блочить открытый SNI cloudflare
2) Блочить весь диапазон IP cloudflare
3) Блочить все запросы с ECH
Скорее всего 1 вариант будет. В теории клаудфлейр конечно может рандомные домены использовать, чтобы такая блокировка была невозможной, но насколько им это нужно вопрос открытый.
Вариант 3 невозможен технически, так как ECH запрос не отличается от обычного. Для того и создавалось.
|
|
kx77
Стаж: 12 лет Сообщений: 723
|
kx77 ·
03-Окт-24 16:02
(спустя 1 час 1 мин., ред. 03-Окт-24 16:02)
Цитата:
А винда какая? В релизе список такой: Windows 11, Linux, Android 10+.
win10 build 19045 22H2
windows server 2022
есть какая-то разница с win11 ?
Цитата:
Вариант 3 невозможен технически, так как ECH запрос не отличается от обычного
Действительно, в любых запросах к TLS броузер сует Encrypted CLientHello.
Мне думалось, что это зависит от наличия HTTPS DNS записи. Вообщем, выдается ECH только тем серверам, что его ждут.
Оказывается, нет. И это очень хорошо.
Придется им тогда забанить все современные броузеры
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
03-Окт-24 16:24
(спустя 22 мин.)
kx77 писал(а):
86787947есть какая-то разница с win11 ?
Видимо есть. Лично ей не пользовался.
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
03-Окт-24 17:18
(спустя 54 мин., ред. 03-Окт-24 17:19)
Про то, что на винде фокс по прежнему требует doh и на ntc.party кто-то говорил, но я проверить не могу. Там есть настройки для этого:
network.dns.native_https_query
network.dns.native_https_query_win10
В то же время, валдик ответил, что на винде doh не требуется в его тесте. Может, как раз зависит от версии.
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1718
|
vlad_ns ·
03-Окт-24 23:07
(спустя 5 часов)
kx77 писал(а):
86786475мир разваливается на части.
Ну я бы не экстраполировал. Разваливаются (и разваливают) только тоталитарные помойки.
|
|
kx77
Стаж: 12 лет Сообщений: 723
|
kx77 ·
04-Окт-24 16:14
(спустя 17 часов)
имелось в виду, что общепланетарную открытую сеть человеки не потянули
каждая обособленная цивилизация норовит выстроить занавес того или иного масштаба
|
|
Balling
Стаж: 11 лет 1 месяц Сообщений: 310
|
Balling ·
08-Окт-24 18:50
(спустя 4 дня, ред. 08-Окт-24 18:50)
Hanabishi писал(а):
86787693Вариант 3 невозможен технически, так как ECH запрос не отличается от обычного. Для того и создавалось.
Точно? Вау, то есть там нет полей пока не расшифоуешь? SNI поле стоит же... kx77
Windows 10 имеет баг в https://phabricator.services.mozilla.com/D193656
Код:
// For some reason, the DNSQuery_A API doesn't work on Windows 10.
// It returns a success code, but no records. We only allow
// native HTTPS records on Win 11 for now.
|
|
artenax
Стаж: 2 года 5 месяцев Сообщений: 1638
|
artenax ·
08-Окт-24 18:59
(спустя 8 мин.)
Balling писал(а):
86814196Windows 10 имеет баг
Ещё один повод перейти на Win11... или Linux.
Как всё меняется. Ещё недавно говорили, зачем вам XP/7, переходите на дисяточку. А теперь 10 в аутсайдерах. Скоро, наверное, и народную любовь приобретёт. Мол, последняя версия без аппаратных зондов.
А то, что современные браузеры работают даже на XP будут знать только старожилы.
|
|
Hanabishi
Стаж: 14 лет 8 месяцев Сообщений: 2640
|
Hanabishi ·
08-Окт-24 19:47
(спустя 48 мин.)
Balling писал(а):
86814196Точно? Вау, то есть там нет полей пока не расшифоуешь? SNI поле стоит же...
Поля как раз есть. Поэтому и неотличим от обычного запроса. По отсутствию SNI как раз можно было банить, как собственно с ESNI и вышло.
ECH умнее, заголовок SNI на месте, но там прописан левый домен.
|
|
kx77
Стаж: 12 лет Сообщений: 723
|
kx77 ·
09-Окт-24 08:37
(спустя 12 часов, ред. 09-Окт-24 08:37)
под линухом нет никакого спец апи для днс
там броузеры не могут проверить есть ли дох в системе
хрому вообще пофиг даже на винде
какой там днс и есть ли дох
и этот хорошо. шифроднс мб на роутере
|
|
Balling
Стаж: 11 лет 1 месяц Сообщений: 310
|
Balling ·
09-Окт-24 16:53
(спустя 8 часов)
kx77 писал(а):
86816297под линухом нет никакого спец апи для днс
там броузеры не могут проверить есть ли дох в системе
хрому вообще пофиг даже на винде
какой там днс и есть ли дох
и этот хорошо. шифроднс мб на роутере
И это плохо. Например, в glibc есть баг, что A запись запрашивается первой. Однако RFC Heapy Eyeballs говорит, что AAAA запись должна быть первой.
|
|
yandrey0
Стаж: 17 лет 4 месяца Сообщений: 544
|
yandrey0 ·
09-Окт-24 19:12
(спустя 2 часа 18 мин.)
kx77 писал(а):
86816297там броузеры не могут проверить есть ли дох в системе
Система это resolv.conf, там не может быть DoH)
kx77 писал(а):
86816297хрому вообще пофиг
Хрому пофиг на всё, включая gai.conf, но он хочет видеть DoH сервер у себя в настройках, чтобы ECH работал более менее стабильно.
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1718
|
vlad_ns ·
10-Окт-24 19:18
(спустя 1 день, ред. 10-Окт-24 19:18)
Balling писал(а):
86817927Например, в glibc есть баг, что A запись запрашивается первой.
А разве в файле gai.conf не определяет, что должно быть первым? Когда я меняю это на маршрутизаторе, то это работает.
|
|
Balling
Стаж: 11 лет 1 месяц Сообщений: 310
|
Balling ·
10-Окт-24 19:50
(спустя 32 мин., ред. 10-Окт-24 19:50)
vlad_ns писал(а):
86822836
Balling писал(а):
86817927Например, в glibc есть баг, что A запись запрашивается первой.
А разве в файле gai.conf не определяет, что должно быть первым? Когда я меняю это на маршрутизаторе, то это работает.
как именно заставить его делать AAAA запись первой?
Hanabishi писал(а):
86814512
Balling писал(а):
86814196Точно? Вау, то есть там нет полей пока не расшифоуешь? SNI поле стоит же...
Поля как раз есть. Поэтому и неотличим от обычного запроса. По отсутствию SNI как раз можно было банить, как собственно с ESNI и вышло.
ECH умнее, заголовок SNI на месте, но там прописан левый домен.
А какой левый домен, как его выбирает провайдер/серверный хостер/сервак? Я RFC не читал.
|
|
|