Блокировка OVH после отправки UDP-пакетов DHT-пирам

Continuing the discussion from Сообщения о недоступности ресурсов / отдельные блокировки ТСПУ:

Блокировка (OVH HTTPS TLS 1.3) срабатывает ровно на 10 минут при отправке любого UDP-пакета на любой порт назначения некоторых IP-адресов. Пока удалось обнаружить четыре таких адреса:

• 134.195.198.230 (GLOBALTELEHOST Corp.)
• 62.210.95.121 (Scaleway / online net)
• 62.210.91.222 (Scaleway / online net)
• 51.159.125.31 (Scaleway / online net)

Эти адреса участвуют в BitTorrent DHT, поэтому подключения к ним регулярны при запущенном торрент-клиенте.

ovh-block-1.pcapng (21.1 KB)

Фильтр следующий:

1. Пакет (TCP payload) должен быть размером ровно 517 байт
2. payload[0] == 0x16 (TLS Content type: handshake)
3. payload[3:4] (Handshake Length) — любое значение от 0 до 517 байт, big endian
4. payload[5] == 0x01 (Handshake protocol: ClientHello)

Пакет-триггер: packet-tls13-ovhblock.bin (517 Bytes)

curl --tls-max 1.2 работает потому, что генерирует TLS-пакеты размером <517 байт.

Я не понимаю, а против чего они пытаются бороться этим - " при отправке любого UDP-пакета на любой порт назначения некоторых IP-адресов." ?

Волгоград. Затормаживаются любые tcp и udp на OVH France. Видимо, борются с обфускацией VPN. Обфускация через icmp (связка WireGuard/udp2raw) пока работает, прокси через ssh тоже.

tixati можно прописать
https://github.com/LeonMskRu/arti_windows/raw/refs/heads/main/TEMP/DHT.txt

scaleway // globaltelehost CIDR IPv4

https://github.com/LeonMskRu/arti_windows/raw/refs/heads/main/TEMP/AS12876_scaleway.txt.ipv4
https://github.com/LeonMskRu/arti_windows/raw/refs/heads/main/TEMP/AS62563_globaltelehost.txt.ipv4

image1497×193 20 KB

На роутере заблокировал 4 адреса:

* 134.195.198.230 (GLOBALTELEHOST Corp.)
* 62.210.95.121 (Scaleway / online net)
* 62.210.91.222 (Scaleway / online net)
* 51.159.125.31 (Scaleway / online net)

и перестали блокироваться сайты за CF. Уже час полет нормальные, обычно через 10 минут после запуска торрента блокировались.

Почти любые другие адреса из этих же подсетей приводят к срабатыванию блокировки OVH, а связи между блокировкой OVH и Cloudflare/Hetzner/DigitalOcean я не выявил. Проверьте еще раз, возможно, у вас так звёзды сошлись.

Звезды или не звезды, но полдня уже торрент работает, сайты за CF открываются.

Проверить легко — убрать эти адреса из списка блокировок и посмотреть, что случится.

Словил блокировку через 15 минут.

Присоединяюсь к вопросу. Не тупо же торренты рубят? Кто еще DHT использует?

В течении недели сталкивался с неработоспособностью то викимапии, то казуса, то ещё что то всплывало очень странное, покурил что тут пишут люди, выключил торрент, прождал 10 минут, всё открывается, включил торрент, прождал 5 минут, хетзнер отвалился, выключил торрент, ещё 5-10 минут и сайты починились, добавил в микротик функцию засунуть некоторые адреса в впн, а именно

/ip/firewall/address-list> print where list=RKN_TRIGGER 
Columns: LIST, ADDRESS, CREATION-TIME
# LIST         ADDRESS           CREATION-TIME      
0 RKN_TRIGGER  62.210.0.0/17     2025-06-29 09:41:16
1 RKN_TRIGGER  51.159.0.0/16     2025-06-29 09:41:25
2 RKN_TRIGGER  134.195.196.0/22  2025-06-29 09:41:33

Вроде уже пол часа блокировки не ловлю, хотя стараюсь. Во первых спасибо что вы есть, во вторых так бывает (бан хетзнера по скорее всего udp запросам на некоторые IP) и если надо могу что то выключить-включить, попробовать исскуственно стриггерить и проверить что то если надо
Кстати хетзнер уходил в бан не весь, вот тут подробнее писал

ну можно в tixati порезать на отдельные подсети
https://github.com/LeonMskRu/arti_windows/blob/main/TEMP/AS24940_hetzner.txt.ipv4
и включать по одной

Спойлер

image1920×1119 283 KB

Нельзя, потому что отправка пакетов едва ли в сторону хетцнера триггерит блокировку адресов хетцнера) Судя по наблюдениям выше
Из плохих новостей - у меня опять сработала блокировка, не смотря на то что 3 пулла адресов внесены в списочки и не отправляются от лица моего IP адреса. Опять крайне вредли это совпадение, ибо закрыв торрент клиенты через 10 минут сайты заработали. К сожалению не знаю как вычислить на какие адреса ещё триггеит блокировку, по этому придётся наверное просто весь hetzner зароутить

разные провайдеры // ТСПУ в конкретных регионах
комуто за коннекты к psiphone вроде отключали неРФ
могут быть разные тригеры

прописать в микротик AS scaleway/globaltelehost//hetzner и посмотреть

Выключил все торренты опять, хетзнер заработал полностью, выполняю PowerShell script

$ip = "134.195.198.230"
$port = 6881
$udp = New-Object System.Net.Sockets.UdpClient
$bytes = New-Object byte[] 1024
(new-object Random).NextBytes($bytes)
$udp.Send($bytes, $bytes.Length, $ip, $port)

и через 5 секунд хетзнер перестаёт работать. Вот так вот. При этом myip.com на клаудфлеере во время блокировки открывается. Остальные кучу сайтов не клауде не проверял, ибо клауд уже давно завёрнут полностью в впн (ну ради проверки myip.com клауд вывернул обратно напрямую).

Какой провайдер и регион?

кабельный билайн сз. после скрипта перестал открываться 7-zip.org в хроме, при этом через curl работает и http и https

Москва, ASN: 8334
Добавлю к наблюдениям:
www.rarlab.com на OVH перестаёт работать во время блокировки, www.linuxserver.io на DigitalOcean работать продолжает во время блокировки

Сейчас пытался хоть как то автоматизировать поиск адресов на которые нельзя засылать пакеты дабы не стриггерить блокировку, и столкнулся видимо с там что вы описываете, а именно через curl почему то работает то, что в браузере рисует reset. Ещё не разгадал никто загадку почему так? и как тогда дебажить такое?