Блокировка google.com

Internet censorship all around the world Russia
1

Наблюдаю блокировку запросов к google.com для некоторых ip адресов сети google:

nslookup google.com

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: google.com
Address: 172.217.23.206
Name: google.com
Address: 2a00:1450:400e:811::200e

Работает только www.google.com, запросы со всем другими SNI блокируются при обращении к этому IP:

~# curl  -4ko /dev/null https://google.com/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:05 --:--:--     0
curl: (28) SSL connection timeout

~# curl  -4ko /dev/null https://www.google.com/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 21484    0 21484    0     0  80887      0 --:--:-- --:--:-- --:--:-- 81071

~# curl  -4ko /dev/null https://vk.com/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:05 --:--:--     0
curl: (28) SSL connection timeout

~# curl  -4ko /dev/null https://www.google.ru/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:05 --:--:--     0
curl: (28) SSL connection timeout

~# curl  -4ko /dev/null https://google.ru/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:05 --:--:--     0
curl: (28) SSL connection timeout

~# curl  -4ko /dev/null https://play.google.com/ --connect-timeout 5 --connect-to ::172.217.23.206
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:04 --:--:--     0
curl: (28) SSL connection timeout

Соседний IP работает:

~# curl  -4ko /dev/null https://google.com/ --connect-timeout 5 --connect-to ::172.217.23.196
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   220  100   220    0     0   1052      0 --:--:-- --:--:-- --:--:--  1057

~# curl  -4ko /dev/null https://www.google.com/ --connect-timeout 5 --connect-to ::172.217.23.196
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 21538    0 21538    0     0  81888      0 --:--:-- --:--:-- --:--:-- 81893

Провайдер проводной МТС

2

У меня на разные IP резолвит. Но эти тоже доступны, кроме play.google.com.
Йота, Нск.

3

Присоединяюсь, так же заметил. Проводной РТ, Западная Сибирь.

4

play.google.com открылся только с обходом, напрямую нет

5

Работает *.google.com, *.youtube.com
Эта блокировка не нова. Так они пытались рубить фейки от гудбая и запрета. На диапазоне гуглоадресов разрешены только домены гугла по заданному списку, кроме некоторых поддоменов (play.google.com).
Потому и пишут такие конструкции

--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin"

6

Ясно, у меня этот плей гугл блокировщик рекламы сам блокировал почемуто на ютюбе, потому и в список его не добавлял для обхода.

7

Именно play.google.com заблокирован уже очень давно

8

google не заблокирован, но google play иногда медленно скачивает.

9

Тоже появилась такая проблема в СПб, PIN.
С момента когда начали душить Cloudflare и другие крупные зарубежные хостеры.

Работает как-то периодически то нормально, то не грузит даже картинки на вкладках “Игры”, “Приложения” и другие.
Потом снова оживает…

Стоит nfqws-keenetic, в нем пробовал play.google.com из исключений перемещать в user.list - вообще не было изменений в момент зависаний.

10

что-то поменяли в логике работы, например google.com и play.google.com работают с разными стратегиями, при этом youtube.com не работает с той стратегией, с которой работает googlevideo.com (ранее все вместе работало с общей стратегией)

похоже в список youtube достаточно добавить

googlevideo.com
gvt1.com

но иногда на приставках с tls 1.2 появляются тормоза при открытии роликов или не грузятся нектоорые превью, возможно еще какого-то домена нехватает

11

еще бы писал провайдер/регион хотябы
ибо РАЗНЫЕ ТСПУ // сами провайдеры нередко мудрят // маршруты (может вообще магистральный блочить.)

у меня на РТ play.google.com блочили даже на тех адресах где не было бана IPv4 TOR (без ТСПУ ?)

googlevideo вообще ЕЩЕ страньше
локальный провайдер // РФ // зарубеж
разные видео
https://redirector.googlevideo.com/report_mapping?di=no
выдаются РАЗНЫЕ “сервера”

Спойлер

rr5.sn-5goeenez.googlevideo.com. 24m8s A 74.125.111.10 (AS15169 Google LLC) (arn11s14-in-f10.1e100.net.)
rr5---sn-5goeenez.googlevideo.com. 24m8s CNAME rr5.sn-5goeenez.googlevideo.com.

image
image1920×1119 162 KB

12

пров: ТТК.

Закинул:

yt.be
youtu.be
youtube.com
ggpht.com
ytimg.com
googleapis.com
googleusercontent.com
gstatic.com
youtube-ui.l.google.com
ytimg.l.google.com
ytstatic.l.google.com
googlevideo.com

Все работает на компе, ноуте, телефоне, но только через браузер.
Стратегия как TLS1.2 так и TLS1.3 все нормально обходит.
А на мобильном приложении… как на фото и пипец.

Грешу на QUIC/HTTP3 что мобильное приложение только на нем сидит, и нахрен меня посылает.
Или рекламный домен какой нить не добавил… который тупо для мобильника.
Правда некоторые хосты (если более подробный список хостов кидаю) отвечаю 403 мне.
Ну с другой стороны… в браузере все работает.

Спойлер

Screenshot_20250622_213728_YouTube
Screenshot_20250622_213728_YouTube1080×2400 187 KB

13

Моб. приложение (андроид) без QUIC работает нормально.
Проверьте, что все домены открываются с той стратегией которую для них указали.
На РТ например [youtube.com] не открывается со стратегией для [googlevideo.com] и наоборот

14

ну чекни квик курлом --http3-only, домен видео ggc*

15

Для теста можно поставить на мобилку newpipe. Оно ходит на Ютуб без квика.

16

NewPipe, BravePipe, Tubular не хотят даже картинки загружать, как и обычное приложение.
Не пойму в чем трабла… ведь на трубе (как и на пк) в браузере все летает отлично.

Конечно чуть не договорил) я это тренируюсь пустить через PAC файл. Чисто на SOCKS5 все работает.
Буду носок использовать с хост файлом и проблема решена…

Просто ради интереса, хотелось через PAC завести все это дело.

17

На ПК увы все зависит от движка браузера. Все браузеры на chromium, включая brave и т.п. сразу биндуют quic. В byedpi помогает отправка 5-и фейков udp.

Огнелис пытается подключаться по tcp, как и все альтернативные мобильные клиенты. А вот родной клиент на андроиде как и chromium сразу пытается установить quic, если не выходит, то тупит и переключается на tcp.

18

На тв приставке с android tv иногда ловлю проблемы с загрузкой картинок скринсейвера (backdrop daydream) и в приложении smarttube на некоторых видео в подписках (1-2% от общего списка) не отображаются миниатюры. Появляется хаотично.

Есть предположение, что это как-то связано с доступностью
edgedl.me.gvt1.com (34.104.35.123) и i9.ytimg.com (209.85.233.139,209.85.233.138,209.85.233.101,209.85.233.113,209.85.233.100,209.85.233.102)

Вот конкретно сейчас ни туда, ни туда доступа нет, даже безотносительно SNI
(curl -ISs --tlsv1.2 --max-time 2 https://209.85.233.100) как будто бы вся подсеть в блоке. Через vpn открывается.

9.9.9.9 резолвит i9.ytimg.com в 142.250.185.206

При запросе
curl -ISs --tlsv1.2 --max-time 2 https://i9.ytimg.com --resolve ‘i9.ytimg.com:443:142.250.185.206’

все работает.

А 8.8.8.8 выдает
209.85.233.113
209.85.233.100
209.85.233.101
209.85.233.139
209.85.233.138
209.85.233.102

И там болт.

UPD: Сейчас опять работает доступ в 209.85.233.1ХХ. Непонятно, это ркн развлекается или гугл.

19

i9.ytimg.com СИЛЬНО зависит от ДНСов. все ресолвят по разному
даже один и тот же ДНС при разных запросах выдает другие ИП
так что могло временно попасть на какой то забаненый диапазон

Спойлер 
8.8.8.8
   A i9.ytimg.com. 5m00s   64.233.164.139
   A i9.ytimg.com. 5m00s   64.233.164.101
   A i9.ytimg.com. 5m00s   64.233.164.113
   A i9.ytimg.com. 5m00s   64.233.164.102
   A i9.ytimg.com. 5m00s   64.233.164.100
   A i9.ytimg.com. 5m00s   64.233.164.138

ordns.he.net
   A i9.ytimg.com. 5m00s   142.250.113.102
   A i9.ytimg.com. 5m00s   142.250.113.113
   A i9.ytimg.com. 5m00s   142.250.113.138
   A i9.ytimg.com. 5m00s   142.250.113.139
   A i9.ytimg.com. 5m00s   142.250.113.101
   A i9.ytimg.com. 5m00s   142.250.113.100

1.1.1.1
   A i9.ytimg.com.   48s   108.177.14.113
   A i9.ytimg.com.   48s   108.177.14.101
   A i9.ytimg.com.   48s   108.177.14.138
   A i9.ytimg.com.   48s   108.177.14.100
   A i9.ytimg.com.   48s   108.177.14.139
   A i9.ytimg.com.   48s   108.177.14.102

тот же 1.1.1.1
i9.ytimg.com.   A       IN      205s    209.85.233.102          one.one.one.one:853     247ms
i9.ytimg.com.   A       IN      205s    209.85.233.101          one.one.one.one:853     247ms
i9.ytimg.com.   A       IN      205s    209.85.233.139          one.one.one.one:853     247ms
i9.ytimg.com.   A       IN      205s    209.85.233.100          one.one.one.one:853     247ms
i9.ytimg.com.   A       IN      205s    209.85.233.113          one.one.one.one:853     247ms
i9.ytimg.com.   A       IN      205s    209.85.233.138          one.one.one.one:853     247ms

а вот второй то ли глюк то совсем зарезали местами

mtr (traceroute) TCP//UDP 443 порт

image
image1920×1119 203 KB

20

Зависимость от ДНС понятна, но непонятна природа периодических проблем в соединении с одними и теми же ip адресами.

Ранее не было подключения (даже без упоминания SNI в запросе) ко всем ip адресам которые резолвил 8.8.8.8 для i9.ytimg.com:

209.85.233.101
209.85.233.113
209.85.233.139
209.85.233.100
209.85.233.138
209.85.233.102

Сейчас ответ DNS не изменился, но соединение работает со всеми IP (проверяю с РТ). C IP адресами (из других подсетей) которые отдают другие DNS для i9.ytimg.com примерно похожая картина.

Не может ли это быть какой-то новой тупой блокировкой по IP со стороны РКН? Ходим резолвим i9.ytimg.com и баним ip адреса на время жизни DNS ответа.