DPI, фильтрование трафика, блокировки по типу сетевого пакета

Страницы:  1
Ответить
 

a0d

Top Bonus 03* 1TB

Стаж: 16 лет 9 месяцев

Сообщений: 335

a0d · 16-Мар-22 10:30 (2 года 8 месяцев назад)

Народ, разъясните. Я правильно понимаю что нынешние блокировки по IP и доменному имени это цветочки, мы это обходим пока без проблем. Даже блокировка самих адресов VPN или узлов TOR'а ерунда по сути своей. Но...
Правильно ли понимаю, что глобальный ПЦ будет когда начнут фильтровать пакеты, используя DPI, как это делают некоторые мобильные провайдеры с торрент-траффиком например. И если провайдеры включат DPI и начнут также фильтровать шифрованные пакеты для VPN и TOR - то противостоять этому будет очень сложно или невозможно?
https://ru.wikipedia.org/wiki/Deep_packet_inspection
[Профиль]  [ЛС] 

aureliano buendia

Стаж: 3 года 5 месяцев

Сообщений: 127


aureliano buendia · 16-Мар-22 16:20 (спустя 5 часов, ред. 16-Мар-22 16:20)

a0d писал(а):
82877536когда начнут фильтровать пакеты, используя DPI
в китае это уже практикуется, оттуда же и технологии противодействия этому злу: shadowsocks(R), trojan-gfw, wireguard и еще несколько...
[Профиль]  [ЛС] 

z.x.t.

Стаж: 15 лет 6 месяцев

Сообщений: 16


z.x.t. · 16-Мар-22 17:59 (спустя 1 час 39 мин., ред. 16-Мар-22 17:59)

они уже это делают. пакет дропается при незащифрованном хендшейке. допустим ты сначала шлеш syn к серверу через зашифрованый протокол которые дпи не видит, но видит твой хендшейк и хочет проверить блочить протокол или нет, вот он тогда, активный пробер, подключается для выяснения протокола защифрованого туннеля, и если он оказывается "зловредным" то syn ack от сервера которые ты вызвал уже шлется провайдеру (проберу) и если пакет "плохой", то провайдер делает tcp rst и дропает пакет и ответа от сервера ты не услышишь
так какой выход? есть 3 выхода
1. шифрование хендшейка всякими esni и ech, для ссх даже есть плагин и клаудфлер что-то там делал с варпом на этот счет. я смелю предпологать что именно из-за этого гос сайты и хотят перейти на свой собственный шифровальщих хттпс и делать свои МИТМы чтобы фокус с хендшейком не удавался
2. банальная обфускация есть даже obfs over openvpn если впн протоколы будут блочить (хотя самое смешное что в связи с отменной визы и мастер кард рядовые пользователи теперь вообще не могут купить впн, поэтому ркн себе жизнь облегчила и может щас на жопе сидеть и ниче не делать с впнами)
3. ну и самое эффективное это дефрагментация пакетов. в китае долгое время так обходилось пока их дпи коробки не научились собирать пакеты. но для этого нужна инфраструктура в реальном времени для сбора пакетов. в нищей россии таких ресурсов еще нету и скорее всего еще долгое время не будет. я нашел старый сурс одной китайской проги для фрагментации пакетов и скомпелировал на пингвине, "вроде работает" как говорится
4. еще как бонус, не совсем для обхода блокировок, но если совсем пиздец будет, то есть пинговые туннели через которые можно хотя бы "выходить на связь с внешним миров". ты если наберешь ping rutr.life в консоле то у тебя будет ответ хотя и ресурс заблочен. потому что пинг это icmp протокол, через него можно выйти "на связь" по туннелю которые можно создать, как в совке выходили на связь по радио минуя глушилки всякие, но это на самый крайний и паганный случай
[Профиль]  [ЛС] 

aureliano buendia

Стаж: 3 года 5 месяцев

Сообщений: 127


aureliano buendia · 16-Мар-22 23:48 (спустя 5 часов, ред. 16-Мар-22 23:48)

z.x.t. писал(а):
82878913рядовые пользователи теперь вообще не могут купить впн
бедняжки, даже жаль их, немного, если у меня никогда не возникала идея покупать vpn, значит, я не рядовой, полковник, никак не меньше
кто читал Г.Г.Маркеса "100 лет одиночества" поймет, о чем это я...
ладно, это все теория, философия, так ск-ть, я решил "обезличить" свою рабочую систему и поделиться с людьми, соловья баснями не кормят, https://rutr.life/forum/viewtopic.php?p=82856552#82856552
z.x.t. писал(а):
82878913ты если наберешь ping rutr.life в консоле то у тебя будет ответ хотя и ресурс заблочен. потому что пинг это icmp протокол
информативнее посмотреть трассировку до сервера, в первом случае один из серверов vpnbook, а второй индийский, первый и в 100 "прыжков" не укладывается(отдельно пробовал ради интереса), хотя ping идет, сервер живой, ясно что "такой vpn нам не нужен", а индийский вполне годен, сейчас и 230 мс годно...
скрытый текст
Код:
╭─zz999@debian ~/Загрузки
╰─➤   traceroute -n fr8.vpnbook.com
traceroute to fr8.vpnbook.com (94.23.57.8), 30 hops max, 60 byte packets
1  192.168.1.1  0.346 ms  0.481 ms  0.702 ms
2  87.226.146.219  11.776 ms  11.827 ms  11.863 ms
3  * * *
4  217.107.68.1  67.180 ms  67.243 ms  67.246 ms
5  * 178.18.224.252  85.304 ms *
6  * * *
7  * * *
8  * * *
9  178.33.100.158  80.446 ms 54.36.50.243  82.695 ms 94.23.122.240  87.385 ms
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
╭─zz999@debian ~/Загрузки
╰─➤   traceroute -n in2-ss.sshstores.net
traceroute to in2-ss.sshstores.net (194.195.119.57), 30 hops max, 60 byte packets
1  192.168.1.1  0.355 ms  0.470 ms  0.622 ms
2  87.226.146.219  11.737 ms  11.763 ms  11.801 ms
3  * * *
4  217.107.68.9  80.204 ms 95.167.95.85  71.856 ms 217.107.68.9  80.254 ms
5  188.254.78.18  76.377 ms  76.147 ms  76.968 ms
6  62.216.128.1  94.956 ms  97.830 ms  96.188 ms
7  85.95.25.113  210.687 ms  203.269 ms  208.895 ms
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  194.195.119.57  225.208 ms  225.106 ms  224.085 ms
╭─zz999@debian ~/Загрузки
╰─➤
это прежде всего, а shadowsocks там, ssh или openvpn и пр. - кому что больше нравится, коннектимся...
[Профиль]  [ЛС] 

Roman4472

Стаж: 15 лет 1 месяц

Сообщений: 639

Roman4472 · 17-Мар-22 08:35 (спустя 8 часов, ред. 17-Мар-22 08:35)

z.x.t. писал(а):
82878913ну и самое эффективное это дефрагментация пакетов
скорее наоборот - фрагментация (пакет разбивается на части и шлется обрезками, чтобы проверяющая аппаратура не видела его целиком)
по описанию функции похоже на goodbyeDPI
и насчет всех этих санкций - я не уверен где они будут брать аппаратуру для блокировок новую? CISCO их уже "послал в пешее", кто им там поставляет эту хрень для блокировок? Китай? я думал Китаю самим завозят его с Запада.
[Профиль]  [ЛС] 

ZubrBY

Стаж: 12 лет 7 месяцев

Сообщений: 513

ZubrBY · 28-Апр-22 21:25 (спустя 1 месяц 11 дней, ред. 14-Май-22 13:44)

Программа для блокировки рекламы AdGuard получила функцию Защищать от DPI, которая в Беларуси эффективно открывает заблокированные властями сайты.
[Профиль]  [ЛС] 

a0d

Top Bonus 03* 1TB

Стаж: 16 лет 9 месяцев

Сообщений: 335

a0d · 12-Ноя-24 11:39 (спустя 2 года 6 месяцев)

Прошло 2,5 года, что в итоге. Уже и фильтрация ютупчика с дискордом и блокировка ВПН и законы о распространения информации, жесть какая-то, интернет сломали. Что сейчас из бесплтаного нормально пашет (кроме тора и клаудфларе), что бы был доступ везде как раньше, ютуб, дискорд, инста и т.д.
Варп пока ещё работает, но уже столько было звоночков что скоро всё, надо думать на что дальше уходить...
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error