forum.opennet.ru

"Раздел полезных советов: Обход блокировки трафика провайдеро..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Раздел полезных советов: Обход блокировки трафика провайдеро..."	+2 +/–
Сообщение от auto_tips (?), 09-Дек-16, 14:24
Многие провайдеры и корпоративные системы инспектирования трафика применяют для блокирования доступа к сайтам подстановку пакетов, перенаправляющих браузер пользователя на страницу с информацией о блокировке, при этом не обрывая изначально установленное соединение к заблокированному ресурсу. Например, запустив sudo tcpdump -nA -s1500 host заблокированный_IP и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет: 13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124 E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found Connection: close Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http.../ при этом реальный ответ и другие пакеты с подпадающего под блокировку сайта продолжают приходить и не отбрасываются провайдером. Обойти подобную блокировку достаточно легко при помощи добавления на локальной Linux-системе правила: sudo iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно устраивается через подстановку в трафик RST-пакетов для принудительного обрыва соединения. Обходится данное ограничение следующим правилом: sudo iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки применяют сомнительные методы подстановки трафика, не блокируя фактически запрещённый трафик. Таким образом, описанная выше техника не может рассматриваться как метод обхода блокировки, так как пакеты с запрещённых ресурсов не блокируются и продолжают приходить на клиентскую систему, а приходящие от провайдера вкрапления лишь создают видимость блокировки и организуют проброс на стороне клиента. Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не может рассматриваться как лазейка для обхода блокировки, которая не выполнена должным образом провайдером. Дополнение: Для выявления описанного выше вида блокировок можно использовать утилиту curl, в которой можно увидеть "хвост" реального ответа: $ curl -i --ignore-content-length http://badsite.org/ HTTP/1.1 302 Found Connection: close Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http:.../ 8 Location: http://badsite.org/forum/index.php Connection: keep-alive ... Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables: curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php HTTP/1.1 302 Found Connection: close Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http:... ection: keep-alive 1fc0 ...содержимое HTML-документа. less dump.txt ... <= Recv header, 20 bytes (0x14) 0000: HTTP/1.1 302 Found <= Recv header, 19 bytes (0x13) 0000: Connection: close <= Recv header, 101 bytes (0x65) 0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h 0040: ttp://badsite.org/forum/index.php <= Recv header, 2 bytes (0x2) 0000: <= Recv data, 1238 bytes (0x4d6) 0000: ection: keep-alive ... URL: Обсуждается: http://www.opennet.me/tips/info/2999.shtml
Ответить \| Правка \| Cообщить модератору

Оглавление

Раздел полезных советов: Обход блокировки трафика провайдеро..., auto_tips, 09-Дек-16, 14:24 [смотреть все]

Теперь забанят опеннет, Past, 09-Дек-16, 14:24 (1)
уже исправили, или уже было правильно сделано , Алексей, 09-Дек-16, 14:41 (2)
ха и вправду помогло, зашел на парочку первых попавшихся заблокированных из реес, Я, 09-Дек-16, 16:12 (3) //
- У меня Wayback Machine снова открылся Раньше через Тор открывал Хорошая команд, Zenitur, 10-Дек-16, 18:08 (17) //
  - O_o А чем ВэбАрхим им помешал , Neandertalets, 22-Июл-17, 11:10 (103)
Когда делаю iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROPВыд, th3m3, 09-Дек-16, 17:02 (4) //
- Запускай без --sport iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP , Аноним, 09-Дек-16, 17:05 (5)
- lmddgtfy http serverfault com a 563036, Andrey Mitrofanov, 09-Дек-16, 17:06 (6) //
  - Спасибо Блин, всё работает На рутрекер зашёл без проблем , th3m3, 09-Дек-16, 17:11 (7)
А под Windows что и как прописывать , Аноним, 10-Дек-16, 00:46 (8) //
- хомячки должны страдать , Fixer, 10-Дек-16, 06:57 (9)
- а если серьезно то самый простой вариант купить железку с linux аля mikrotik Ro, Fixer, 10-Дек-16, 07:04 (10) //
  - Почти у каждого виндового пользователя дома стоит беспроводной рутер, точка wifi, Аноним, 10-Дек-16, 09:04 (11) //
    - Подробнее бы , Аноним, 11-Дек-16, 20:16 (22)
      - Что подробнее Если ты не можешь запустить телнет или ssh и зайти ими на девайс , Аноним, 12-Дек-16, 17:07 (31)
        
        101 что модуля string там нет А вот с RST правило пойдет Полностью согласен , Онанимус, 13-Дек-16, 13:25 (45)
    - только на роутере нужно это правило в FORWARD добавлять, чтобы работало не для с, Аноним всея Интернета, 16-Авг-17, 01:28 (104)
  - Лучше что-нибудь с openwrt, там нормальный линукс без кучи ограничений и с множе, Аноним, 12-Дек-16, 01:01 (23)
  - А можно пример правил показать, пожалуйста , Аноним, 17-Дек-16, 00:24 (58)
- Под винду полно фаерволов разных я, правда, 10 лет не смотрел на них Эксперим, Аноним, 12-Дек-16, 19:52 (34)
Я так понимаю с HTTPs это не прокатит , Сергей, 10-Дек-16, 09:58 (12) //
- Правило с убиванием пакетов RST прокатывает Другое дело, что не везде, так как , Аноним, 10-Дек-16, 10:49 (15)
iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROPНо ведь в так, Владимир Владимирович, 10-Дек-16, 10:37 (13) //
- нет, для нормального завершения соединения используется FIN, а флаг RST только д, Аноним, 10-Дек-16, 10:47 (14)
Блин, реально работает Дроп RST -- мощно , Аноним, 10-Дек-16, 16:43 (16)
Первое правило для http не пашет, uchiya, 10-Дек-16, 21:27 (18) //
- А вы точно строковую маску правильно для своего провайдера подобрали Какое именн, Аноним, 10-Дек-16, 23:03 (19) //
  - -I INPUT -p tcp --sport 80 -m string --string Location http blocked netbynet, Аноним, 12-Дек-16, 19:59 (35) //
    - Вам нужно точно знать, что выдает провайдер Нужно сниффирить, а не гадать 1 см, Онанимус, 13-Дек-16, 13:49 (47)
      - Эх я бы еще понимал, что мне все это выдало curl -i --ignore-content-length rut, Аноним, 13-Дек-16, 20:59 (48)
        
        Попробуйте RST для 80 и 443 портов заблочить Вот тут у вас провайдер от имени р, Nas_tradamus, 14-Дек-16, 19:45 (53)
Добавил для Mikrotik роутера правило ip firewall filteradd chain input protocol , Аноним, 11-Дек-16, 11:28 (20) //
- chain input ловит трафик, который адресован самому роутеру Для транзитного тр, Andrew, 11-Дек-16, 18:46 (21) //
  - Имею тоже микротик и не могу понять как провайдер так хитро придумал 1 Открываю, _KUL, 12-Дек-16, 09:08 (24) //
    - прров ктт читать наоборот , _KUL, 12-Дек-16, 09:09 (25)
      - Порыбачил на линуксе, поймал злой пакет root debian curl -i --ignore-conte, _KUL, 12-Дек-16, 14:13 (29)
    - gt оверквотинг удален Всё просто - у тебя браузер кэширует 301 редирект - почи, Аноним всея Интернета, 16-Авг-17, 01:35 (105)
  - Спасибо Помогло, Аноним, 12-Дек-16, 10:56 (26)
В чем юмор первый команды, с фильтрацией по Location Оно же отбрасывает пакет с , Саня, 12-Дек-16, 12:26 (27) //
- Юмор в том, что Вы не понимаете Смотрите -- над Вами смеются , Andrey Mitrofanov, 12-Дек-16, 13:40 (28)
- Смысл в том, что приходят два пакета с заголовками - первый, который отправил п, Freddy Cuper, 12-Дек-16, 16:21 (30) //
  - Не обрабатывается Сообщение от провайдера перестает показываться, но и браузер,, Саня, 13-Дек-16, 13:36 (46) //
    - Ну это у вас порядок пакетов в TCP нарушился Т е как будто вас запроксировали , _KUL, 14-Дек-16, 06:12 (49)
Для билайна похоже не работает Печаль , Аноним, 12-Дек-16, 17:17 (32) //
- Очень похожу на то, что так маленькие провайдеры лочат, т к сервера глушилки ря, _KUL, 14-Дек-16, 06:15 (50)
Спасибо Применил на Raspberry Pi, который у меня как роутер Интересно, как то , Zenitur, 12-Дек-16, 18:38 (33)
Спасибо- все ok Дополню- провы еще и на уровне dns делают подмену дурдом ру - , ананизмус, 12-Дек-16, 20:22 (36) //
- А если в etc resolv conf просто прописать нормальный днс 208 67 220 220 или 8 , Аноним, 12-Дек-16, 21:58 (37) //
  - Просто не поможет Либо пров перехватывает обращение к внещним серверам, либо у , ананизмус, 13-Дек-16, 11:28 (44) //
    - Поздравляю с открытием, 8 8 x x от гугла - это anycast, он не уникальный И пров, Аноним, 15-Янв-17, 20:29 (87)
  - Часть российских провов много лет перехватывает все запросы на 53 udp и 53 tcp и, Укпшд, 14-Янв-17, 18:08 (85)
Блин, слушай, чувак, ты, который написал этот пост, невыразимый тебе респектище , Аноним, 12-Дек-16, 22:01 (38)
В Билайне ничего из этого не работает А как теперь вернуть всё обратно , garrick, 12-Дек-16, 22:46 (39) //
- iptables -FВсе правила очистятся , Аноним, 13-Дек-16, 02:20 (40) //
  - Спасибо, garrick, 13-Дек-16, 08:26 (41) //
    - Вообще то sudo rm -rf было бы корректнее , _KUL, 14-Дек-16, 06:16 (51)
      - это шутка зачем вы вводите от рута то, не понимая, что оно делает это же не по, _KUL, 14-Дек-16, 06:18 (52)
У меня местный провайдер еще проще делает Вообще ничего не блокирует Только по, korrado, 13-Дек-16, 08:50 (42)
заблокированных сайтов Опечатался, korrado, 13-Дек-16, 08:52 (43)
Onlime Ростелеком - не работает Провайдер сразу после рукопожатия шлет редире, Nas_tradamus, 15-Дек-16, 01:26 (54) //
- Долго вкуривал в tcpdump и счетчики firewall mikrotik - все так и есть, я нигд, Nas_tradamus, 15-Дек-16, 01:40 (55)
- Провайдер Онлайм - только что реализовал на микротике - нет проблем всё равботае, Krot, 15-Дек-16, 16:40 (56)
- От суперюзера iptables -I INPUT -p tcp --tcp-flags RST RST -j DROPiptables -I IN, M., 17-Дек-16, 18:34 (59)
- Поправка вышесказанное действительно только для рутрекера по http По https отб, Nas_tradamus, 18-Дек-16, 02:31 (60)
Пытаюсь сделать, в ответ получаю iptables No chain target match by that name , Анончик, 16-Дек-16, 17:10 (57) //
- lsmod 124 grep ts_bm, pavlinux, 19-Дек-16, 02:15 (64)
kinozal tv не работает , y, 18-Дек-16, 20:46 (61) //
- Подтверждаю Онлайм В сторону кинозала только syn от меня летят, а обратно вооб, Nas_tradamus, 19-Дек-16, 01:43 (62) //
  - kinozal website работает перкрасно, trublast, 19-Дек-16, 07:42 (66)
Сосём Location http block mgts ru , pavlinux, 19-Дек-16, 02:12 (63)
Отправляют пользователю RST только какие-то совсем доморощенные блокировщики Чу, trublast, 19-Дек-16, 07:41 (65) //
- Скорее наоборот, доморощенные блокируют нормально, а крупные особо не парятся с , Аноним, 19-Дек-16, 11:31 (68) //
  - Откуда инфа, что он не шлёт ещё куда-то , pavlinux, 04-Янв-17, 19:00 (81) //
    - С какой целью интересуетесь , Анином, 25-Янв-17, 08:52 (88)
Блокировка такими способами не добавляет провайдерам никаких хлопот и финансовых, Сноуден, 19-Дек-16, 19:27 (69) //
- в известных мне системах внедрение блокировки от довольно популярного билинга , nikosd, 20-Дек-16, 20:28 (71) //
  - Статистика этого треда показывает обратное RST шлют при https коннектах, при ht, Онанимус, 23-Дек-16, 10:47 (72) //
    - Мысли были про https - только RST, если http , то к Вам придет перенаправление, nikosd, 23-Дек-16, 11:01 (73)
      - Как же они без DPI openvpn рукопожатия отлавливают и шейпером загоняют в низкий , Онанимус, 23-Дек-16, 13:36 (74)
У МГТС не робит Реального хвоста нет, похоже действительно ограничивают , key, 19-Дек-16, 23:07 (70)
А я тут, кстати, обнаружил, что некоторые облака которые я не буду называть зде, freehck, 26-Дек-16, 15:44 (75) //
- VPS-провайдеры не блокируют Да и не обязаны , marios, 27-Дек-16, 02:26 (76) //
  - Что, серьёзно То есть это не мне повезло, а через любого VPS-провайдера можно к, freehck, 27-Дек-16, 06:38 (77) //
    - Ну понял ты, а писать всем об этом зачем Не порть бизнес https antizapret pro, Константин, 29-Дек-16, 20:59 (79)
Не подскажете- у меня никаких RST нет, и курлу и вгету и всем браузерам приходит, anonkot, 02-Янв-17, 03:12 (80) //
- Инспектируйте трафик от links2 и от curl с помощью tcpdump и или wireshark и сра, Аноним, 09-Янв-17, 19:45 (82)
А может кто подскажет нормальный VPN где можно взять , 858d214ba09f174963f9d4f132585a83, 10-Янв-17, 21:07 (84) //
- Зависит от критериев нормальности , Аноним, 15-Янв-17, 20:22 (86)
- Поднять через виртуалку в нормальной стране Копейки стоит , Вареник, 31-Янв-17, 08:02 (90)
- Амазон вроде на год vps на халяву дает, Аноним, 08-Фев-17, 15:50 (92)
Для домолинка калужского не работает, на запрос к xhamster отдает HTTP 1 1 451 U, SpaceRaven, 28-Янв-17, 06:22 (89)
Самый простой, лучший и гарантированно рабочий способ обойти блокировки роскомми, гг, 23-Фев-17, 19:45 (94) //
- Там где нет РОСнадзора, там есть XXXнадзор, только ещё грознее, злее и хитрее , Himik, 26-Фев-17, 02:10 (95)
Мегафон не халтурит похоже , L29Ah, 15-Мрт-17, 04:50 (96)
Спасибо, мил человек Всё работает, только ещё пришлось dnscrypt-proxy поставить, Аноним, 09-Май-17, 13:39 (98)
Зачем хомяков-провайдеров нагружают этож на магистральщиках решается всё А их в , Аноним, 09-Июн-17, 10:20 (100)
старая опера не знает про name server indication, поэтому https сайты работаю, а, 5percent, 22-Июн-17, 15:27 (101) //
- Старая, это какая конкретно версия Спасибо , kadafy, 14-Янв-18, 00:54 (106)
Скоро придёт запрос к Опеннету на удаление данной страницы D, svsd_val, 27-Июн-17, 05:41 (102)
а для винда подходит , пфф, 26-Янв-18, 08:04 (107)
Слушайте а в системе андроид такая хрень Пройдет У моего оператора такая хрень, Anonim, 09-Фев-19, 17:22 (108)
а как на прошивке падаван подобное реализовать провайдер ростелеком, vo1, 16-Дек-19, 22:50 (109) //
- тоже Рт, вот что отловилhttps i imgur com z1sIttm png, XAuBAH, 18-Июн-20, 00:10 (110)
с МГТС не прокатило , avsprv, 17-Апр-21, 15:19 (111)
с рт дос их пор прокатывает я ни магу, zzr, 22-Ноя-21, 20:39 (112) //
- not anymore, gone, 29-Дек-21, 20:38 (113)
Всё Статья неактуальная РТ теперь повзрослому блокирует , фвыыфваыв, 07-Янв-22, 00:23 (114) //
- Теперь все, халява кончилась , Подтверждаю, 20-Янв-22, 15:12 (115)
- А есть инфа, как именно гудбайдипиай справляется, а микротик нет - все пакеты с, etomoynick, 15-Фев-22, 14:03 (116)
- Ктор-нибудь нашел новый шаблон для обхода блокировок Что-то я RST пакеты отбр, Любитель РТК, 02-Янв-23, 17:23 (117)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру