Да, я пытаюсь понять вообще как устроен этот блок, какую страту подобрать и какой ipset нужен. Извиняюсь, если задаю очевидные вопросы.
Дополню: интернет проводной, я думал 16кб блок только на мобильных, это мне вообще в голову не пришло.
Да, по всем портам. У меня на хетзнере почта по IMAP отвалилась - такой же 16k блок. SSH вроде работает, но опять же, несколько раз у меня соединение рвало…
Блок устроен так: пускать только распознаные протоколы из белого списка, всё остальное блокировать. Проще амазоновские подсети пустить через тунель на ру впс, пока там не блочат амазон.
Не успел ответить на оригинальное сообщение.
Я все пытаюсь осмыслить, как отправка с моего хоста на сервер фейков может помочь с обходом, если анализируется входящий, а не исходящий трафик?
Это видно по дампу Wireshark - я обращаюсь к AWS, он отвечает, а потом замолкает.
Как вообще zapret может помочь с таким видом блокировки? Наверное я чего-то не понимаю.
Небольшой udp по ситуации с игрой: через какое-то время все само починилось. Видимо, игровой сервер не один и это дело случая, с каким попытается связаться игра.
Сегодня мне повезло. Nslookup 54.188.232.118:ec2-54-188-232-118.us-west-2.compute.amazonaws.com, который работает как ни в чем не бывало.
В большинстве случаев, ТСПУ работает только на исходящий трафик(то есть от тебя), если он начинает видеть плохой трафик для него, он пропускает пару пакетов дальше и потом полностью останавливает твой трафик, и серверу от тебя - ничего не приходит. Если же перед этим отправлять фейки с QUIC, то ТСПУ увидит для себя легитимный трафик и будет дальше пропускать пакеты, и серверу так-же придут твои пакеты, только все фейки он откинет, оставив только данные необходимые ему, ну и дальше он и тебе будет отправлять трафик, соответственно - и будет коннект
Хочу отчитаться прилетела обнова тспу. Знаменитые 16кб. отрыгнул антизапрет и варп зацепило.
Что я кстати и пытаюсь сделать уже четвертый день. Ситуация абсурдная, домены открываются, я же вот здесь как-то оказался. А прокидывание амазона, Клауда от точечных до всего подряд ради теста - не приводит вообще ни к каким результатам. Домены, айпишники, просто как будто их нет. Раньше такие вопросы решались прокидкой через awg, но даже прокси как бесплатный так и платный влесс не дает результатов. Сначала пытался через подкоп, потом гнал через запрет, потом пробовал батники запрета по советам у кого работают определённые конфиги, абсолютный, полный ноль. Перепробовано с тем же запретом наверное больше 50 стратегий ради тестов, у меня уже ощущение что я наверное поехал крышей и мне это все кажется, потому что вообще никаких результатов, такого же быть не может. И да, началось все 13 января, когда бахнули блокировки 16-20.
Впн клиент на том же влессе работает как ни в чем не бывало и будто издевается. Варп так же работает, только результатов не дает. РТК Москва
посвящённый новопосвящённым в 16кб блокировку список трудно замечаемых сайтов
Спойлер
# пурунхаб
ei.phncdn.com
ew.phncdn.com
cdn1d-static-shared.phncdn.com
pix-cdn77.phncdn.com
hv-h.phncdn.com
# списки блокировщика рекламы uBlock Origin
ublockorigin.com
ublockorigin.pages.dev
malware-filter.pages.dev
secure.fanboy.co.nz
filters.adtidy.org
easylist-downloads.adblockplus.org
# торренты
rutracker.org
static.rutracker.cc
nnmclub.to
nnmstatic.win
# твиттер
twitter.com
t.co
x.com
abs.twimg.com
pbs.twimg.com
video.twimg.com
# дискорд (только сайт, чат и картинки)
discord.com
cdn.localizeapi.com
cdn.discordapp.com
cdn.prod.website-files.com
status.discord.com
gateway.discord.gg
images-ext-1.discordapp.net
media.discordapp.net
remote-auth-gateway.discord.gg
# пропуск встроенной в видео рекламы на ютубе (SponsorBlock)
sponsor.ajay.app
# скрипты для ютуба и прочих сайтов
greasyfork.org
# обновления браузера Brave
updates.bravesoftware.com
updates-cdn.bravesoftware.com
# погода AccuWeather
www.accuweather.com
www.awxcdn.com
# дуолинго Duolingo
d1vq87e9lcf771.cloudfront.net
d2pur3iezf4d1j.cloudfront.net
d1b8nqdff6d679.cloudfront.net
Вероятно, реализовали некую привязку к доменам, указывающим на CDN’ы и крупнейшие хостинг-провайдеры (похоже, любые) к IP-диапазонам CDN’ов и хостинг-провайдеров.
Иными словами, на диапазоны OVH обращения работают только с SNI тех доменов, которые указывают на OVH/Scaleway/Cloudflare/etc, а произвольные домены блокируются.
Также, по всей видимости, проверяется только корневой домен, поддомены не учитываются. Если домен указывает не на хостинг/CDN, то поддомен через хостинг/CDN работать не будет.
Можно пример? Не понятно
Приветствую многоуважаемых гуру , я тут недавно , сильно не гавните , изучал , читал , пробовал , пока всё работало с мгтс Москва из дома я не поднимал кипишь нигде а только изучал Ваш ресурс и особо не шумел . 15.01.2025 отвалился cloudflare warp tunnel . Раньше помогала перезагрузка debian 12 с установленным warp-cli connector или его обновление , он работал как шлюз в www , проблем не знал всё летало и вот чпок и он down . Прошу помощь есть ли быстрое решение восстановить его работу без стороннего VPS , zapret ничего не дал .
Речь про белые SNI CDN? Они уже давно есть.
Скажите, пожалуйста, что происходит с хендшейками без SNI вообще?
Дак, а почему не должен? Сам домен ntc в бане_ркна, но провайдер местечковый Bradler & Krantz GmbH & Co. KG , скорее всего, не в блоке по 16кб, поэтому всё и и грузится
Самое смешно что я все таки нашел проблему - netsh winhttp reset proxy в терминале. Думал на роутер, на деле проблема крылась в самом пк. Обидно и смешно что так много времени не туда копал, с другой стороны я теперь знаю сильно больше. Работает
Для Cloudflare точно есть белый список SNI и старые сайты вроде bo0om.ru работают, а новый или непопулярный домен из DPI-чекера получает блок на 16 КБ.
Неделю назад на стационарном Ростелеком Москва начал блокироваться https://pastvu.com - это же как раз из-за СDN?
Если у кого есть белый список SNI для scaleway - киньте, пожалуйста, в личку!
Да, он за Cloudflare.
Спасибо! Очень крутая работа.
На основе ваших данных сделан батник, который ищет рабочий сни для домена SniFinder.zip (1,8 МБ) (разумеется, не для всех доменов есть белый сни, и даже если есть, нужно проверять руками, что он действительно белый).
Надеюсь, вы не против?