|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
18-Янв-25 20:38
(3 месяца 12 дней назад, ред. 18-Янв-25 20:38)
это стандартная утилита такая же как nslookup.
кроме всего прочего считаю что Карфаген должен быть разрушен
а также хочу напомнить что сведения о ECH можно найти здесь, а список серверов здесь
|
|
|
|
Balling
Стаж: 11 лет 5 месяцев Сообщений: 333
|
Balling ·
20-Янв-25 22:07
(спустя 2 дня 1 час, ред. 20-Янв-25 22:07)
vlad_ns писал(а):
87276870
artenax писал(а):
87275304ECH без DoH ненадёжен в том плане, что браузеры могут переключиться на обычный dns, если с ECH проблемы.
У ff doh три настройки имеет, одна из них "постоянно включен".
Balling писал(а):
87275687В Mozilla он заблокирован Роскомнадзором.
Каким это образом? Функционал может заблокировать только разработчик, РКН если и блочит то дефолтовый dns, но там же можно вписать любой другой или я что-то путаю?
Кстати на x.com работает ECH видимо тоже. Возможно... И это предположение просто но Chrome сильно кеширует ech. И outer ech шлет только один раз.
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
21-Янв-25 13:31
(спустя 15 часов, ред. 21-Янв-25 13:31)
x скорей всего заблокирована по IP или что-то на стороне сервера - надо разбираться. кинозал и рутрекер работают. проверить можно так например:
Код:
drill rutr.life https
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 11076
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; rutr.life. IN HTTPS
;; ANSWER SECTION:
rutr.life. 30 IN HTTPS 1 . alpn=h3,h2 ipv4hint=104.21.32.39,172.67.182.196 ech=AEX+DQBBiQAgACCce1Ur41VfSJ8OiyDkD6LpaST3K9sa3aiefkmxkukKDwAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3031::6815:2027,2606:4700:3034::ac43:b6c4
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 3 msec
;; SERVER: 192.168.1.1
;; WHEN: Tue Jan 21 12:53:17 2025
;; MSG SIZE rcvd: 179
~ >
ну или так
кстати тот самый икс:
Код:
> drill dns.gogle x.com https
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 6182
;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;; x.com. IN HTTPS
;; ANSWER SECTION:
;; AUTHORITY SECTION:
x.com. 416 IN SOA a.u10.twtrdns.net. noc.twitter.com. 2023121201 3600 600 604800 300
;; ADDITIONAL SECTION:
;; Query time: 507 msec
;; SERVER: 192.168.1.1
;; WHEN: Tue Jan 21 13:00:04 2025
;; MSG SIZE rcvd: 88
P.S
сейчас проверил - x неожидано заработал. я правда не могу сказать что было, но я политику дурилки дипиаев подкручивал. причем на бум - что так типа должно быть лучше.
и что-то у меня хрень какая-то
Код:
tcpdump -i em0 -X dst port 443 and host x.com
ничего не сыпится, хотя у него один адрес... надо ковыряться.
P.S.S
нашел причинуну: адреса полученные с сервера DoH и ситемного ресолвера не совпадают, но что происходит надо разбираться на первый взгляд SNI в открытом виде нет.
текущий сервер DoH живет во Франкфурте.
|
|
|
|
artenax
Стаж: 2 года 10 месяцев Сообщений: 1716
|
artenax ·
21-Янв-25 16:26
(спустя 2 часа 55 мин.)
Не поддерживает x.com ECH:
Код:
curl --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -4 -v https://x.com/
* Host x.com:443 was resolved.
* IPv6: (none)
* IPv4: 104.244.42.65
* Trying 104.244.42.65:443...
* Connected to x.com (104.244.42.65) port 443
* ECH: requested but no ECHConfig available
* closing connection
curl: SSL connect error
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
21-Янв-25 21:09
(спустя 4 часа, ред. 21-Янв-25 21:09)
ксти вот чего, а курл не умею. видиомо потому что в основном BSD.
у меня вообще орет благим матом:
Код:
url: option --ech: the installed libcurl version does not support this
url -V
curl 8.11.1 (amd64-portbld-freebsd14.1) libcurl/8.11.1 OpenSSL/3.0.15 zlib/1.3.1 brotli/1.1.0 zstd/1.5.6 libidn2/2.3.7 libpsl/0.21.5 libssh2/1.11.1 nghttp2/1.64.0
Release-Date: 2024-12-11
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns pop3 pop3s rtsp scp sftp smtp smtps telnet tftp ws wss
Features: alt-svc AsynchDNS brotli GSS-API HSTS HTTP2 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM PSL SPNEGO SSL threadsafe TLS-SRP UnixSockets zstd
ну да бог с ним. записи https нет, но SNI в тспдампе я не вижу. у курл есть опция ESNI или как-то так?
|
|
|
|
artenax
Стаж: 2 года 10 месяцев Сообщений: 1716
|
artenax ·
21-Янв-25 23:38
(спустя 2 часа 29 мин.)
09p7ioyu
ECH ещё экспериментален. Нужно собирать самому. А под Windows какой-то гемор с OpenSSL. Для Linux есть сборка (curl с ech).
ESNI устарел.
|
|
|
|
Алекс Бывалый
Стаж: 15 лет 7 месяцев Сообщений: 639
|
Алекс Бывалый ·
21-Янв-25 23:58
(спустя 19 мин., ред. 21-Янв-25 23:58)
artenax писал(а):
8729074609p7ioyu
ECH ещё экспериментален. Нужно собирать самому. А под Windows какой-то гемор с OpenSSL. Для Linux есть сборка (curl с ech).
ESNI устарел.
Этому чижику паредложили создать свой "гениальный" форк, а он всё никак не уймётся. Оставим его в покое? 
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
22-Янв-25 11:29
(спустя 11 часов, ред. 22-Янв-25 11:29)
нет. это массовое применение экспериментальным он был в году 19 или раньше. когда я это я еще читал
а поддержка в курл вы имете ввиду.. Васек усек. вшивый все о бане
Алекс Бывалый писал(а):
Этому чижику паредложили создать свой "гениальный" форк, а он всё никак не уймётся. Оставим его в покое?
форк чего и зачем? форкают когда видят другой путь развития. смысл что-то форкать если с этим работает все? вот если бы не работало, а я предложил новый способ который бы не захотели брать в основное древо исходников - тогда да все м.б. так что с логикой не все в порядке у вас. а все эти авторитеты с подобных форумов скорей всего связаны с РКН посмотрите на дату их регистрации (логичне всего выбирать "самых изначальных"), и что более важно предлагают страшные сложные решения. что-то надо компилировать какие-то странны алгоритмические языки...
а я горю вот вам политика - будет работать все, дополнительно только поставить браузер по-новее, настроить DoH (поменять галочку) - чувствуете разницу?
Код:
--dpi-desync=multisplit --dpi-desync-split-seqovl=552 --dpi-desync-split-seqovl-pattern="/fake/tls_clienthello_www_google_com.bin" --dpi-desync-split-pos=2,39,78,136,142,148,154
ну а предложить я вам тоже могу: купите слона.
|
|
|
|
artenax
Стаж: 2 года 10 месяцев Сообщений: 1716
|
artenax ·
23-Янв-25 03:19
(спустя 15 часов, ред. 23-Янв-25 03:30)
zapret и goodbyedpi не пользуюсь, т.к. у меня Linux, а там проще byedpi. Для обхода блока ECH на йоте достаточно:
Код:
ciadpi -d2 -s1 -i 127.0.0.1 -p 8081 -x 2
curl --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -x socks5://127.0.0.1:8081 -4 -v https://rutr.life/
Есть тест от defo.io, он не блочится РКН, его можно пускать мимо прокси, а можно и через прокси:
Код:
curl --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -x socks5://127.0.0.1:8081 -4 -v https://defo.ie/ech-check.php
Соответственно, socks5 прокси 127.0.0.1:8081 указывается и в браузере (не проверял). Не уверен, правда, насчёт dns (через прокси или нет). Для curl надо чтобы он разрешал сам (не через прокси), через DoH. Поэтому socks5, а не socks5h.
Алекс Бывалый
Создание форка всё-таки подразумевает компиляцию (для проверки), а её не все любят, как оказалось.
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
23-Янв-25 12:55
(спустя 9 часов, ред. 23-Янв-25 14:06)
да бросте вы это уже ёта, мгтс. рстелеком. СПТУ на всех одна. от провайдера зависит видимо только его размер и аплиньк - ставить ему ТСПУ или не ставить.
есть конечно некоторое количество в голову раненых провайдеров которые пытались что-то дополнительно фильтровать - а потом дружно побежали в минцифру - что-то мы абонентов теряем... ржач да и только.
я бы сказал использование приложения подразумевает сборку из исходников. во Фре слава кор-тим "запрета" в официальных пакетах нету - ото бы объявили бы фрю социально опасной ОС.
что блокируется я не понял, по-моему TLS-1.3. ну соответственно ECH это расширение TLS-1.3. я считаю ECH не очень правильным методом т.к. опирается на DNS, но видимо он получит распространение - скажут все равно DNS запросы шифровать, аутентичность сервера проверять - какая фиг разница.
да и запрет он чер фаирвол работает т.е. прозрачно для приложения. трафик в его объятья пихается как-то так:
Код:
add divert 900 ip from me to any 443 tcpflags ack out not diverted xmit em0
мне правда указали что "tcpflags ack" - рояль не играет, но я оставил. смысл что он дивертит все вподряд что не было диверчено и что идет во внешний мир.
т.е. вот так
Код:
>curl --tlsv1.3 --doh-url https://fra02.dnscry.pt/dns-query -6 -v https://rutr.life/
* Host rutr.life:443 was resolved.
* IPv6: 2606:4700:3034::ac43:b6c4, 2606:4700:3031::6815:2027
* IPv4: 172.67.182.196, 104.21.32.39
* Trying [2606:4700:3034::ac43:b6c4]:443...
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / X25519 / id-ecPublicKey
* ALPN: server accepted h2
* Server certificate:
* subject: CN=rutr.life
* start date: Jan 12 19:27:44 2025 GMT
* expire date: Apr 12 20:26:10 2025 GMT
* subjectAltName: host "rutr.life" matched cert's "rutr.life"
* issuer: C=US; O=Google Trust Services; CN=WE1
* SSL certificate verify ok.
* Certificate level 0: Public key type EC/prime256v1 (256/128 Bits/secBits), signed using ecdsa-with-SHA256
* Certificate level 1: Public key type EC/prime256v1 (256/128 Bits/secBits), signed using ecdsa-with-SHA384
* Certificate level 2: Public key type EC/secp384r1 (384/192 Bits/secBits), signed using ecdsa-with-SHA384
* Connected to rutr.life (2606:4700:3034::ac43:b6c4) port 443
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://rutr.life/
но как я понял чтоб было ECH нужно собрать из исходников, что не сложно - скоре всего только циферку версии поменять, но это надо делать либо в отдельном окружении либо что придумать с зависимостями - не охота.
|
|
|
|
artenax
Стаж: 2 года 10 месяцев Сообщений: 1716
|
artenax ·
23-Янв-25 14:03
(спустя 1 час 7 мин., ред. 23-Янв-25 14:04)
09p7ioyu писал(а):
87288412
Код:
tcpdump -i em0 -X dst port 443 and host x.com
на первый взгляд SNI в открытом виде нет
Я нашёл вот такую команду:
Код:
sudo tcpdump -n -i enp1s0 -A | grep x.com
В Windows sudo не нужно, а вместо grep используется findstr.
09p7ioyu писал(а):
87295179но как я понял чтоб было ECH нужно собрать из исходников, что не сложно
Довольно сложно, особенно под Windows. Но для Ubuntu 22.04 есть готовая сборка. Можно поставить Lubuntu 22.04 в виртуалку или в WSL.
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
23-Янв-25 16:38
(спустя 2 часа 35 мин., ред. 23-Янв-25 16:38)
не понял что такое -i enp1s0 - ща почитаю - а не все просто что-то я туплю - название интерфейса страшно. но по сути одно и тоже. A - ASCII я обычно X ставлю.
и поповоду этой хэ смотрите что получается:
Код:
> host x.com
x.com has address 104.244.42.193
и
Код:
> curl -v -I --doh-url https://fra02.dnscry.pt/dns-query https://x.com/
* Host x.com:443 was resolved.
* IPv6: (none)
* IPv4: 104.244.42.129, 104.244.42.193, 104.244.42.65, 104.244.42.1
. . .
адреса могут не совпасть
|
|
|
|
Balling
Стаж: 11 лет 5 месяцев Сообщений: 333
|
Balling ·
25-Янв-25 23:57
(спустя 2 дня 7 часов, ред. 25-Янв-25 23:57)
Так я не понял. В x.com нет HTTPS RR, но ECH есть?
"ничего не сыпится, хотя у него один адрес... надо ковыряться."
Да какой там один. там 10 субдоменов...
|
|
|
|
09p7ioyu
Стаж: 4 месяца 8 дней Сообщений: 92
|
09p7ioyu ·
26-Янв-25 13:26
(спустя 13 часов, ред. 26-Янв-25 13:26)
ну судя по всему ECH там нет. нет записи HTTPS да и курл говорят ругается. почему не видно SNI в tcpdump я не знаю. вроде как должно быть все в ASCII.
честно говоря до конца не знаю - раньше так было. сейчас имя узла/домена можно обозвать и по-русски. думаю вряд ли для русских сделали исключение. скорей всего там много байтные кодировки. тоже должно быть и для SNI.
это предположение косвенно доказывается тем, что некая оживляшка икса наблюдалась - видимо просто сменили кодировку.
ну в принципе на одном адресе может быть неограниченное число доменов, это одна из причин поему РКН пытается что-то блокировать по SNI. про адреса плохо выразился. вот что я имею ввиду:
Код:
~ > host google.com
google.com has address 64.233.161.139
google.com has address 64.233.161.100
google.com has address 64.233.161.102
google.com has address 64.233.161.101
google.com has address 64.233.161.113
google.com has address 64.233.161.138
google.com has IPv6 address 2a00:1450:4010:c01::8b
google.com has IPv6 address 2a00:1450:4010:c01::66
google.com has IPv6 address 2a00:1450:4010:c01::65
google.com has IPv6 address 2a00:1450:4010:c01::64
google.com mail is handled by 10 smtp.google.com.
~ > host x.com
x.com has address 104.244.42.129
x.com mail is handled by 1 aspmx.l.google.com.
x.com mail is handled by 10 alt3.aspmx.l.google.com.
x.com mail is handled by 10 alt4.aspmx.l.google.com.
x.com mail is handled by 5 alt1.aspmx.l.google.com.
x.com mail is handled by 5 alt2.aspmx.l.google.com.
P.S.
сейчас специально проверил курлом SNI передается в открытом виде. почему до этого не показывало я не знаю (каждая строчка запуск курла):
Код:
# tcpdump -X -i em0 dst port 443 and host 104.244.42.129 | grep x.com
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on em0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
0x0040: 0000 000a 0008 0000 0578 2e63 6f6d 000b .........x.com..
0x0040: 0000 000a 0008 0000 0578 2e63 6f6d 000b .........x.com..
0x0040: 0000 000a 0008 0000 0578 2e63 6f6d 000b .........x.com..
а почему до этого не показывало? скорей всего ошибся с адресом.
|
|
|
|
Balling
Стаж: 11 лет 5 месяцев Сообщений: 333
|
Balling ·
16-Фев-25 08:10
(спустя 20 дней, ред. 16-Фев-25 08:10)
Похоже Chrome на компе тоже отвалился, но Chrome на android 14 продолжает работать.
|
|
|
|
Balling
Стаж: 11 лет 5 месяцев Сообщений: 333
|
Balling ·
24-Фев-25 08:50
(спустя 8 дней)
Я понял, chrome кеширует ECH.
|
|
|
|
