Многие провайдеры и корпоративные системы инспектирования трафика применяют для блокирования доступа к сайтам подстановку пакетов, перенаправляющих браузер пользователя на страницу с информацией о блокировке, при этом не обрывая изначально установленное соединение к заблокированному ресурсу.Например, запустив
sudo tcpdump -nA -s1500 host заблокированный_IP
и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет:
13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124
E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found
Connection: close
Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http.../при этом реальный ответ и другие пакеты с подпадающего под блокировку сайта продолжают приходить и не отбрасываются провайдером.
Обойти подобную блокировку достаточно легко при помощи добавления на локальной Linux-системе правила:sudo iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP
В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно устраивается через подстановку в трафик RST-пакетов для принудительного обрыва соединения. Обходится данное ограничение следующим правилом:
sudo iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP
Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки применяют сомнительные методы подстановки трафика, не блокируя фактически запрещённый трафик. Таким образом, описанная выше техника не может рассматриваться как метод обхода блокировки, так как пакеты с запрещённых ресурсов не блокируются и продолжают приходить на клиентскую систему, а приходящие от провайдера вкрапления лишь создают видимость блокировки и организуют проброс на стороне клиента.
Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не может рассматриваться как лазейка для обхода блокировки, которая не выполнена должным образом провайдером.
Дополнение: Для выявления описанного выше вида блокировок можно использовать утилиту curl, в которой можно увидеть "хвост" реального ответа:$ curl -i --ignore-content-length http://badsite.org/
HTTP/1.1 302 Found
Connection: close
Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http:.../8
Location: http://badsite.org/forum/index.php
Connection: keep-alive
...Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables:
curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php
HTTP/1.1 302 Found
Connection: close
Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http:...ection: keep-alive
1fc0
...содержимое HTML-документа.less dump.txt
...
<= Recv header, 20 bytes (0x14)
0000: HTTP/1.1 302 Found
<= Recv header, 19 bytes (0x13)
0000: Connection: close
<= Recv header, 101 bytes (0x65)
0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h
0040: ttp://badsite.org/forum/index.php
<= Recv header, 2 bytes (0x2)
0000:
<= Recv data, 1238 bytes (0x4d6)
0000: ection: keep-alive
...
URL:
Обсуждается: http://www.opennet.me/tips/info/2999.shtml
Теперь забанят опеннет
уже исправили, или уже было правильно сделано))
ха и вправду помогло, зашел на парочку первых попавшихся заблокированных из реестра спокойно.
У меня Wayback Machine снова открылся. Раньше через Тор открывал. Хорошая команда, слушай.
O_o А чем ВэбАрхим им помешал?
Когда делаю: iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROPВыдаёт:
iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP
iptables v1.6.0: unknown option "--sport"
Try `iptables -h' or 'iptables --help' for more information.
Запускай без --sport:
iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
> iptables v1.6.0: unknown option "--sport"lmddgtfy! http://serverfault.com/a/563036
Спасибо!Блин, всё работает! На рутрекер зашёл без проблем!
А под Windows что и как прописывать?
хомячки должны страдать.
> А под Windows что и как прописывать?а если серьезно то самый простой вариант купить железку с linux аля mikrotik/RouterOS и запульнуть rules там. Ну или поставить linux с виртуалкой винды
Почти у каждого виндового пользователя дома стоит беспроводной рутер, точка wifi-доступа или DSL-модем с Linux. Можно на домашнем рутере правило прописать, правда через web-интерфейс дополнительные опции iptables скорее всего не даст указать, придётся через telnet/ssh прописывать.
> через telnet/ssh прописывать.Подробнее бы.
> Подробнее бы.Что подробнее? Если ты не можешь запустить телнет или ssh и зайти ими на девайс - тебе надо почитать какой-нибудь букварь по системному администрированию *nix немного.
После того как ты зашел на девайс - там скорее всего тоже iptables. Просто потому что внутрях почти все роутеры и точки доступа давно уже являют собой мелкие компьютеры с Linux на борту. Разбираешься как правила сделаны и вклиниваешь свое правило в духе вот этих. Тоже корее всего в таблицу forward. Единственная проблема - файловая система в роутере часто readonly и изменения живут до первой перезагрузки устройства. Поэтому народу и нравится https://openwrt.org/
> После того как ты зашел на девайс - там скорее всего тоже
> iptables.101% что модуля string там нет. А вот с RST правило пойдет.
> Поэтому народу и нравится https://openwrt.org/Полностью согласен.
только на роутере нужно это правило в FORWARD добавлять, чтобы работало не для собственно роутера, а для его клиентов.ЗЫ. К правильным роутерам есть правильные модные прошивки, в которых 101% есть модуль string.
> а если серьезно то самый простой вариант купить железку с linux
> аля mikrotik/RouterOS и запульнуть rules там. Ну или поставить linux с
> виртуалкой виндыЛучше что-нибудь с openwrt, там нормальный линукс без кучи ограничений и с множеством дополнительных пакетов. Можно еще и прокси блокирующий рекламу поставить, например.
>mikrotik/RouterOS и запульнуть rules там.А можно пример правил показать, пожалуйста?
Под винду полно фаерволов разных (я, правда, 10 лет не смотрел на них). Экспериментируй. Не слушай этих умников.
Я так понимаю с HTTPs это не прокатит...
> Я так понимаю с HTTPs это не прокатит...Правило с убиванием пакетов RST прокатывает. Другое дело, что не везде, так как некоторые продолжают список IP для блокировки HTTPS загружать в межсетевой экран.
iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROPНо ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?
> Но ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?нет, для нормального завершения соединения используется FIN, а флаг RST только для обрыва. На практике он очень редко применяется, можете запустить в обычных условиях tcpdump и последить за появлением RST.
Блин, реально работает. Дроп RST -- мощно.
Первое правило для http не пашет
А вы точно строковую маску правильно для своего провайдера подобрали?
Какое именно в iptables правило добавили и что выдаёт curl -i --ignore-content-length http://запрещённый_сайт ?
> А вы точно строковую маску правильно для своего провайдера подобрали?
> Какое именно в iptables правило добавили и что выдаёт curl -i --ignore-content-length
> http://запрещённый_сайт ?-I INPUT -p tcp --sport 80 -m string --string "Location: http://blocked.netbynet.ru" --algo bm -j DROP
Правильно?
Баннер с предупреждением не открывается, но и сайт тоже
> -I INPUT -p tcp --sport 80 -m string --string "Location: http://blocked.netbynet.ru" --algo bm -j DROP
> Правильно?
> Баннер с предупреждением не открывается, но и сайт тожеВам нужно точно знать, что выдает провайдер. Нужно сниффирить, а не гадать:
1. смотрим IP сайта:
$ host xhamster.com
xhamster.com has address 88.208.29.24
xhamster.com has address 88.208.18.30
-skip-
взял специально xhamster - у него два IP (у rutracker.org - один, там проще)2. в одной консоли сниффирим:
$ sudo tcpdump -n -ieth0 -s0 -w /tmp/foo host 88.208.29.24 or 88.208.18.30
для rutracker:
$ sudo tcpdump -n -ieth0 -s0 -w /tmp/foo host 195.82.146.214 (or X.X.X.X не надо)3. в другой консоли делаем запрос:
$ curl -i --ignore-content-length http://xhamster.com4. в первой консоли жмем CTRL-C и смотрим посниффаное:
$ sudo tcpdump -n -s0 -AA -r /tmp/foo |less -S
Эх. я бы еще понимал, что мне все это выдало.curl -i --ignore-content-length rutracker.org
HTTP/1.1 307 Temporary Redirect
Location: http://blocked.netbynet.ru/rkndeny_1.html
Вроде как случай другой. Если заблочить пакет, который предлагает редирект, то будет счастье?
9 пакетов отловлено20:50:21.402653 IP 95.221.70.4.39408 > 195.82.146.214.80: Flags [S], seq 101263392, win 29040, options [mss 1452,sackOK,TS val 8918899 ecr 0,nop,wscale 7], length 0
................E..<?S@.@..^_.F..R.....P. ( ......qp.(.........
...s........
20:50:21.453780 IP 195.82.146.214.80 > 95.221.70.4.39408: Flags [S.], seq 3710449692, ack 101263393, win 14600, options [mss 1360], length 0
................E..,..@.9.E..R.._.F..P...(... (!`.9........P
20:50:21.453899 IP 95.221.70.4.39408 > 195.82.146.214.80: Flags [.], ack 1, win 29040, length 0
................E..(?T@.@..q_.F..R.....P. (!.(..P.qp....
20:50:21.454083 IP 95.221.70.4.39408 > 195.82.146.214.80: Flags [P.], seq 1:78, ack 1, win 29040, length 77: HTTP: GET / HTTP/1.1
................E..u?U@.@..#_.F..R.....P. (!.(..P.qpu...GET / HTTP/1.1
Host: rutracker.org
User-Agent: curl/7.47.0
Accept: */*
20:50:21.477530 IP 195.82.146.214.80 > 95.221.70.4.39408: Flags [FP.], seq 1:89, ack 78, win 29040, length 88: HTTP: HTTP/1.1 307 Temporary Redirect
................E.....@.=.An.R.._.F..P...(... (nP.qp.^..HTTP/1.1 307 Temporary Redirect
Location: http://blocked.netbynet.ru/rkndeny_1.html
20:50:21.477874 IP 95.221.70.4.39408 > 195.82.146.214.80: Flags [F.], seq 78, ack 90, win 29040, length 0
................E..(?V@.@..o_.F..R.....P. (n.(.vP.qp....
20:50:21.500747 IP 195.82.146.214.80 > 95.221.70.4.39408: Flags [R.], seq 90, ack 79, win 29040, length 0
................E..(..@.=.A..R.._.F..P...(.v. (oP.qp....
20:50:23.720698 IP 195.82.146.214.80 > 95.221.70.4.39404: Flags [F.], seq 950045130, ack 3570452697, win 14600, length 0
................E..(..@.9....R.._.F..P..8.......P.9..o..
20:50:23.720751 IP 95.221.70.4.39404 > 195.82.146.214.80: Flags [R], seq 3570452697, win 0, length 0
Попробуйте RST для 80 и 443 портов заблочить .> 20:50:21.500747 IP 195.82.146.214.80 > 95.221.70.4.39408: Flags [R.], seq 90, ack 79, win 29040, length 0
Вот тут у вас провайдер от имени рутрекера шлет reset.
Добавил для Mikrotik роутера правило/ip firewall filter
add chain=input protocol=tcp src-port=80 content="Location: http://blocked.kvidex.ru/" comment="Drop block" action=dropНе работает. Может кто-нибудь подсказать в чем проблема?
chain=input "ловит" трафик, который адресован самому роутеру. Для транзитного трафика нужно chain=forward.
Имею тоже микротик и не могу понять как провайдер так хитро придумал.
1. Открываю фаерфокс, жму ф12, смотрю в консоли раздел сеть.
2. Ввожу адрес злого сайта, моментально получаю переход на страничку провайдера с ипом о блокировке. В консоли браузера вижу гет хопы, сначала злой сайт и ответ с локейшеном на страничку блокировки, а дальше хоп странички блокировки.
3. Делаю правило, - не ловит!
Мониторил на микротике, пакеты в сторону злого сайта не идут! ваершарк этот первый гет не видит, как будто его вообще не было! А в виндовая утилитка Tcpview.exe даже и не показывает, что браузер создал сессию тсп новую. Как блин тогда пакет приходит? Я уже думал в микротике ни так делаю, добавил вместо локейшена по другому элемента запроса лочить - всё отлично! Т.е. как будто браузер на злой сайт через проксю кидает (в заголовке X-...чегототам кстати указан squid), но ни каких пакетов на порт 3128 не пролетает. А если принудительно открыть сайт-заглушку провайдера, то всё отлично пролетает гет и ваершарк видит и микротик.
Как провайдер так сделал, что при переходе на злой сайт браузер видит локейшен, но пакета нет ... хитрый прозрачный прокси? яваскриптсокет некий создаётся(было подозрительно, что pid 0 svchost создал порт)? новая технология сетевого обмена вместо tcp/ip уже внедрена?
прров ктт (читать наоборот)
Порыбачил на линуксе, поймал злой пакет ...
root@debian:~# curl -i --ignore-content-length http://rutracker.org
HTTP/1.1 301 Moved Permanently
Server: squid/3.4.8
Date: Mon, 12 Dec 2016 11:12:49 GMT
Content-Length: 0
Location: http://62.33.207.196/
X-Cache: MISS from blacklist.ttk.ru
X-Cache-Lookup: MISS from blacklist.ttk.ru:3128
Via: 1.1 blacklist.ttk.ru (squid)
Connection: keep-aliveСамое обидное, что мой провайдер реально блочит трафик, и после правила iptables счётчик блокированных пакетов растёт и ничего больше не приходит после подменённого пакета ... Заглушка видать просто для информативности юзеру прикрутили, эх ;'(
>[оверквотинг удален]
> в виндовая утилитка Tcpview.exe даже и не показывает, что браузер создал
> сессию тсп новую. Как блин тогда пакет приходит? Я уже думал
> в микротике ни так делаю, добавил вместо локейшена по другому элемента
> запроса лочить - всё отлично! Т.е. как будто браузер на злой
> сайт через проксю кидает (в заголовке X-...чегототам кстати указан squid), но
> ни каких пакетов на порт 3128 не пролетает. А если принудительно
> открыть сайт-заглушку провайдера, то всё отлично пролетает гет и ваершарк видит
> и микротик.
> Как провайдер так сделал, что при переходе на злой сайт браузер видит
> локейшен, но пакета нет ... хитрый прозрачный прокси? яваскриптсокет некий создаётся(былоВсё просто - у тебя браузер кэширует 301 редирект - почисти кэш.
В firefox Ctrl+Shift+Del и выбрать период до того, как ты первый раз зашел туда и получил 301 отлуп от DLP провайдера.
> подозрительно, что pid 0 svchost создал порт)? новая технология сетевого обмена
> вместо tcp/ip уже внедрена?
Спасибо! Помогло
В чем юмор первый команды, с фильтрацией по Location?
Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не открывался, так и не открывается.
> В чем юмор первый команды, с
> Оно же отбрасывает пакет
>как не открывался, так и не открывается.Юмор в том, что Вы не понимаете. Смотрите -- над Вами смеются.
> В чем юмор первый команды, с фильтрацией по Location?
> Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не
> открывался, так и не открывается.Смысл в том, что приходят два пакета с заголовками - первый, который отправил провайдер, а второй ответ реального сервера. Провайдерский, используемый для блокировки, приходит первым, так как сеть провайдера рядом. Следом приходит реальный ответ, но подставной ответ провайдера уже обработан и реальный ответ отбрасывается. Убив подставной пакет с заголовком от провайдера реальный ответ от сервера обрабатывается как без блокировки.
Не обрабатывается. Сообщение от провайдера перестает показываться, но и браузер, и CURL при попытке открытии подобных сайтов начинают выдавать
curl: (56) Recv failure: Connection reset by peer
Ну это у вас порядок пакетов в TCP нарушился. Т.е. как будто вас запроксировали. В теории то злой хост напрямую с вами сессию начинает устанавливать, а не через провайдера. В ваершарке по L4 заголовкам пакетов проследите, на каком этапе приходит пакет с прошлым номером ожидая при этом следующий.
Для билайна похоже не работает. Печаль ;(
Очень похожу на то, что так маленькие провайдеры лочат, т.к. сервера глушилки рядом. А магистралы походу хитрее и грознее, т.к. у них одна/несколько централизованных точек, до которых пакет может и через всю Россию идти, а это может быть дольше чем до злого хоста.
Спасибо! Применил на Raspberry Pi, который у меня как роутер. Интересно, как то же самое применить на SUSE-роутере...
Спасибо- все ok. Дополню- провы еще и на уровне dns делают подмену(дурдом.ру) - в /etc/hosts прописываем верную пару ip домен (или биндим в своей локлаьной прокси) + правило и все работает.
А если в /etc/resolv.conf просто прописать нормальный днс (208.67.220.220 или 8.8.4.4)?
Просто не поможет. Либо пров перехватывает обращение к внещним серверам, либо у него где то локлаьно ip тех dns прописаны.
> Просто не поможет. Либо пров перехватывает обращение к внещним серверам, либо у
> него где то локлаьно ip тех dns прописаны.Поздравляю с открытием, 8.8.x.x от гугла - это anycast, он не уникальный. И пров может подсунуть свой 8.8.х.х запросто.
Часть российских провов много лет перехватывает все запросы на 53/udp и 53/tcp и заворачивают на свои ДНСы.
Правильный выход — установка dnscrypt.
Блин, слушай, чувак, ты, который написал этот пост, невыразимый тебе респектище!!!
В Билайне ничего из этого не работает. А как теперь вернуть всё обратно?
iptables -F
Все правила очистятся.
Спасибо
Вообще то "sudo rm -rf /" было бы корректнее!
> Вообще то "sudo rm -rf /" было бы корректнее!это шутка. зачем вы вводите от рута то, не понимая, что оно делает? это же не по сноуденовски ...
У меня местный провайдер еще проще делает. Вообще ничего не блокирует. Только подменяет DNS-ответы для заблокированных файлов своим сервером со страницей про то что сайт заблокирован. Просто поставил BIND на компе и прописал DNS сервер на 127.0.0.1 и вуаля, все заработало :)
заблокированных сайтов :)
Опечатался
Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и никакого реального трафика. RST по http/https заблокировал - не помогло.
> Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и
> никакого реального трафика. RST по http/https заблокировал - не помогло.Долго вкуривал в tcpdump и счетчики firewall (mikrotik) - все так и есть, я нигде не ошибся. Провайдер не пропускает реальный tcp-ответ :(
Провайдер Онлайм - только что реализовал на микротике - нет проблем всё равботает:
chain=forward action=drop tcp-flags=rst protocol=tcp src-port=443 log=no log-prefix=""
chain=forward action=drop tcp-flags="" protocol=tcp src-port=80 content=Location: http://warning.rt.ru/ log=no log-prefix=""
От суперюзера:
iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP
Онлайм же как раз. У меня заработало. У вас гранаты не той системы.
> Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и
> никакого реального трафика. RST по http/https заблокировал - не помогло.Поправка: вышесказанное действительно только для рутрекера по http. По https отбиваешь RST - и все ок!
Для остальных сайтов все работает отлично.
У тех, у кого Микротик и что-то не получается: советую проверить не включен ли по-умолчанию fasttrack для forwarding. Если включен - выключите, а то будет работать только для FIN-пакетов. Он у меня был включен и я долго ломал голову почему на одних сайтах работает совпадение "content", а на других нет.
Еще размер пакета если ограничить диапазоном "100-250" байт, то это сильно снижает нагрузку на роутер и ускоряет обработку пакетов. Только так удалось добиться максимальной производительности в бенчмарках (прям как до включения фильтров в цепочке).
> iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROPПытаюсь сделать, в ответ получаю "iptables: No chain/target/match by that name.". Цепочка INPUT есть, таргет DROP тоже, ибо правило с дропом резетов из HTTPS проглатывает нормально.
Подозреваю что ругается на -m string, ибо на "iptables -I INPUT -m string --algo bm --string "test" -j DROP" тоже ругается. Но "iptables -m string -h" выдаёт полный хелп...
Что за херня?
lsmod | grep ts_bm
kinozal.tv не работает...
> kinozal.tv не работает...Подтверждаю. Онлайм. В сторону кинозала только syn от меня летят, а обратно вообще ничего. Через freegate все ок.
kinozal.website работает перкрасно
Сосём!Location: http://block.mgts.ru/
Отправляют пользователю RST только какие-то совсем доморощенные блокировщики. Чуть более нормальные (хотя работающие на том же принципе - сбросить соединение, но не блокировать сам трафик) помимо отправки RST пользователю еще шлют RST вебсерверу. Повлиять на который вы со своего роутера не сможете никак. Ну и в догонку еще DNS спуфят, для надежности и корректной блокировки https.Если есть роутер, куда можно поставить openwrt, то на него же можно поставить tor и и прозрачно заворачивать нужные IP на ТОР, после чего доступ на всех устройствах за роутером заработает. Но скорость и стабильность соединения до ресурсов да, просядет.
Если нужно просто глянуть информацию на каком-то таком ресурсе по быстрой, то лайфхак - отрыть страницу через translate.google.com Верстку рвет, но на смысл не влияет.
> Отправляют пользователю RST только какие-то совсем доморощенные блокировщики.Скорее наоборот, доморощенные блокируют нормально, а крупные особо не парятся с блокировкой. Например, Ростелеком, самый крупный оператор связи РФ, шлёт RST только клиенту.
>> Отправляют пользователю RST только какие-то совсем доморощенные блокировщики.
> Например, Ростелеком, самый крупный оператор связи РФ, шлёт RST только клиенту.Откуда инфа, что он не шлёт ещё куда-то?
С какой целью интересуетесь?
Блокировка такими способами не добавляет провайдерам никаких хлопот и финансовых рисков. А вот если бы их могли проконтролировать эксперты, а не просто пользователи-министры, которые получили редирект на страничку с предупреждением о блокировке на своем яблочном планшетике или телефончике и уже радуются аки дети, то было бы гораздо хуже и для пользователей и для провайдеров. А так и овцы целы и волки сыты.
в известных мне системах ( внедрение блокировки от довольно популярного билинга) - RST Будет единственным пакетом, который Вы увидите, то есть блокиратор шлет еще и от Вас RST.
Про пользователей, если кому- то очень хочется в условиях нынешнего законодательства РФ платить сильно больше за инет, то вполне можно продвигать в массы законодателей идеи полноценного DPI на все ( закон Яровой почти этого и требует). Платить за быстрый инет станет сложнее всем, ну и развитие его в регионах с малой прибылью будет свернуто.
>RST Будет единственным пакетом, который Вы увидитеСтатистика этого треда показывает обратное. RST шлют при https коннектах, при http присылают страницу - заглушку. Да и при https может прийти такое:
10:34:47.877915 IP 88.208.29.24.443 > 192.168.0.10.49344: Flags [F.], seq 1:92, ack 299, win 32120, length 91
..tw.\..g3....E...4...<...X......
.....%. ....P.}x.!..HTTP/1.1 307 Temporary Redirect
Location: http://forbidden.yota.ru/
Connection: closeУ ёты, как мы знаем, DPI полноценный (еще и с шейперами).
>если кому- то очень хочется
Это, смотря как посмотреть (
1. ЖКХ растет
2. продукты, водка и курево дорожает
3. автомобиль из средства передвижения превращается в роскошь
4. по телику сказали - инет подорожает
5. ...
N. А я вот день рожденья не буду справлять! Все з..о! П..ц на х.. б..ь! (с)
>>RST Будет единственным пакетом, который Вы увидите
> Статистика этого треда показывает обратное. RST шлют при https коннектах, при http
> присылают страницу - заглушку. Да и при https может прийти такое:Мысли были про https - только RST, если http , то к Вам придет перенаправление и не придет пакет от нормального сервера вообще.
> 10:34:47.877915 IP 88.208.29.24.443 > 192.168.0.10.49344: Flags [F.], seq 1:92, ack 299,
> win 32120, length 91
> ..tw.\..g3....E...4...<...X......
> .....%. ....P.}x.!..HTTP/1.1 307 Temporary Redirect
> Location: http://forbidden.yota.ru/
> Connection: close
> У ёты, как мы знаем, DPI полноценный (еще и с шейперами).Что там в ёта наворотила - не знаю, кстати совсем не уверен что у них именно DPI блочит сайты, а не что - то еще, с монитором, но без разрыва
>>если кому- то очень хочется
> Это, смотря как посмотреть (
> 1. ЖКХ растет
> 2. продукты, водка и курево дорожает
> 3. автомобиль из средства передвижения превращается в роскошь
> 4. по телику сказали - инет подорожает
> 5. ...
> N. А я вот день рожденья не буду справлять! Все з..о! П..ц
> на х.. б..ь! (с)
> Что там в ёта наворотила - не знаю, кстати совсем не
> уверен что у них именно DPI блочит сайты, а не
> что - то еще, с монитором, но без разрываКак же они без DPI openvpn рукопожатия отлавливают и шейпером загоняют в низкий приоритет или вообще блочат нафик? Режим Турбо в Опере тоже ловят и роскомпозорят. Это у них не по IP адресам работает - если зайти по IP:
curl -i --ignore-content-length https://195.82.146.214
, то успеваешь получить сертификат и только затем бан:
13:18:13.695059 IP 195.82.146.214.443 > 192.168.1.244.55796: Flags [.], seq 1:1361, ack 274, win 15544, length 1360
..tw.\..Ru....E..xyC@./..w.R...........J5}>...P.<.@}......^...Z..X\........PU..........P{&f..w.U) v]R.5y....Al...-.Vq..B...;...6.../....................................0...0..................d..K.m]P0^M. *.H.
.^MStartCom Ltd.1)0'..U... StartCom Certification Authority1&0$..U....StartCom Class 1 DV Server CA0..^M160409064158Z.^M170409064158Z0.1.0...U...^Mrutracker.org0.."0^M. *.H..^M..........0..
.........{.......h..H..D^M+....n...EbJ.^M.5Q_Z...@...=T..%#...3,.T:.O.`...7.. ..WF..z.9..vMm....E.w.x..R1G&.._..{F\.......5..]W|.&...x....[.uf25Z.QG..^.B.s........\.-.........f...U7. .7..|...L..>.yb..B=..S*..1.
+.....y............u... ...X......gp
<5.......w...^M.....S...o.....F0D. .4F.Fw.....|_..G....[.a..&.6;.... 4O.>....0b...m.../.F...^....-,...v..K..u.`..Bi....f..~_.r....{.z......S...W.....G0E. k#...v$....M.)MP.U......V3"..rY..!....\8..`;q..w,.}x.q.
13:18:13.695085 IP 192.168.1.244.55796 > 195.82.146.214.443: Flags [.], ack 1361, win 31280, length 0
..Ru....tw.\..E..(..@.@.U......R......>....J:.P.z0....
13:18:13.703625 IP 195.82.146.214.443 > 192.168.1.244.55796: Flags [F.], seq 1361:1452, ack 274, win 32120, length 91
..tw.\..Ru....E...4.../.>..R...........J:.>...P.}x....HTTP/1.1 307 Temporary Redirect
Location: http://forbidden.yota.ru/
Connection: closeПо http вообще коннектится:
$ curl -i --ignore-content-length http://195.82.146.214
HTTP/1.1 404 Not Found
Server: nginx
Date: Fri, 23 Dec 2016 10:34:51 GMT
Content-Type: text/plain
Content-Length: 49
Connection: keep-alivetry using rutracker.org instead of 195.82.146.214
У МГТС не робит. Реального хвоста нет, похоже действительно ограничивают.
А я тут, кстати, обнаружил, что некоторые облака (которые я не буду называть здесь), не блокируют траффик к запрещённым роскомнадзором сайтам. Посмотрите по своим виртуалкам, может отыщете. :)
VPS-провайдеры не блокируют.
Да и не обязаны.
> VPS-провайдеры не блокируют.
> Да и не обязаны.Что, серьёзно? То есть это не мне повезло, а через любого VPS-провайдера можно как через проксю ходить?
Ну понял ты, а писать всем об этом зачем?
Не порть бизнес: https://antizapret.prostovpn.org и подобные.....
Не подскажете- у меня никаких RST нет, и курлу и вгету и всем браузерам приходит SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
но каким-то образом links2 открывает https заблокированные сайты. Что это такое?
Инспектируйте трафик от links2 и от curl с помощью tcpdump и/или wireshark и сравнивайте получившееся.
А может кто подскажет нормальный VPN где можно взять?
> А может кто подскажет нормальный VPN где можно взять?Зависит от критериев нормальности.
Поднять через виртуалку в нормальной стране. Копейки стоит.
Амазон вроде на год vps на халяву дает
Для домолинка калужского не работает, на запрос к xhamster отдает HTTP/1.1 451 Unavailable For Legal Reasons
Самый простой, лучший и гарантированно рабочий способ обойти блокировки роскоммизуленой — не жить там, где они есть.
Там где нет РОСнадзора, там есть XXXнадзор, только ещё грознее, злее и хитрее.
Мегафон не халтурит похоже.
Спасибо, мил человек! Всё работает, только ещё пришлось dnscrypt-proxy поставить, ибо мой хаббардисткий провайдер ещё и DNS подменяет. Твари несчастные.
Зачем хомяков-провайдеров нагружают?
этож на магистральщиках решается всё.
А их в 100500 раз меньше чем хомяков.
старая опера не знает про name server indication, поэтому https сайты работаю, а вот хром и файрфокс доблестно шлют незашифрованным имя сайта, поэтому провайдер все это спокойно блочит.
Старая, это какая конкретно версия?Спасибо.
Скоро придёт запрос к Опеннету на удаление данной страницы :D
а для винда подходит?
Слушайте а в системе андроид такая хрень
Пройдет . У моего оператора такая хрень так вот чем бы ломануть ?
а как на прошивке падаван подобное реализовать? провайдер ростелеком
тоже Рт, вот что отловил
https://i.imgur.com/z1sIttm.png
с МГТС не прокатило...
с рт дос их пор прокатывает я ни магу
not anymore
Всё. Статья неактуальная. РТ теперь повзрослому блокирует.
Теперь все, халява кончилась.
А есть инфа, как именно? гудбайдипиай справляется, а микротик нет - все пакеты стали rst
Ктор-нибудь нашел новый шаблон для обхода блокировок? Что-то я RST пакеты отбрасывать пытаюсь, но не очень помогает =(