Блокировка OVH после отправки UDP-пакетов DHT-пирам

xActo · December 2, 2025, 10:25am

Нет такого инструмента, потому что у тебя триггер это один адрес, а блокируются другие адреса. Лично я делаю так:
запускаю скрипт

while true; do
  echo $(date +"%H:%M:%S.%3N")
  curl -s -o /dev/null -w "%{http_code}\n" https://сайт_к_которому_пропадет_доступ
  sleep 0.01
done

включаю захват трафика wireshark либо tcpdump, запускаю триггерящий софт (торрент клиент). Происходит блок, останавливаю захват и скрипт, ищу в дампе трафика udp пакеты отправленные после последнего успешного запроса в скрипте и до блока (обычно это диапазон около 300-400 мс). Далее жду, пока спадет блок, и тестирую курлом каждый из адресов из отфильтрованных пакетов, пока не поймаю блок.

Avatar-Lion · December 2, 2025, 11:54am

Китайский ДипСик такой вариант под Винду для ПоверШелл предложил:
PS C:\WINDOWS\system32> while ($true) {
$timestamp = Get-Date -Format “HH:mm:ss.fff”
try {
$response = Invoke-WebRequest -Uri “https://www.rarlab.com” -Method Head -TimeoutSec 5
$status = $response.StatusCode
}
catch {
$status = “ERROR”
}
Write-Host “$timestamp - HTTP: $status”

Он работает, но зависит от момента запуска. Если на момент запуска скрипта сайт был доступен, то он продолжает выдавать HTTP: 200 даже когда всё отвалилось. Но если перезапустить скрипт, то пишет уже HTTP: ERROR, поскольку сайт недоступен. Можно как-то сделать, чтобы он каждый раз заново соединение устанавливал, а не продолжал текущее?

xActo · December 2, 2025, 12:06pm

Не знаю, я не шарю за повершелл, но вроде в венде есть curl.exe аналогичный линуксовому curl, лучше использовать его. Чем разбираться с повершеллом, я бы лучше поставил на винду WSL2, и запустил бы bash скрипт в нём.

Avatar-Lion · December 2, 2025, 2:04pm

Сделал. Но так скрипт зависает каждые пару минут. Приходится прерывать (Ctrl + C) и запускать заново.

0ka · December 2, 2025, 2:07pm

В chatgpt

Avatar-Lion · December 2, 2025, 2:09pm

Он с российских IP не пускает.

ДипСик такое предложил:

while true; do
timestamp=$(date +“%H:%M:%S.%3N”)
http_code=$(curl --max-time 1 -s -o /dev/null -w “%{http_code}\n” https://imgbb.com)
echo “$timestamp $http_code”
sleep 0.01
done

А, нет, оно вообще не работает. Ответ 200 есть в консоли, а в браузере уже ошибка ERR_CONNECTION_RESET. Даже с исходным скриптом.

0ka · December 2, 2025, 2:49pm

https://github.com/lexiforest/curl-impersonate/releases/download/v1.2.5/libcurl-impersonate-v1.2.5.x86_64-win32.tar.gz

https://github.com/lexiforest/curl-impersonate/releases/download/v1.2.5/curl-impersonate-v1.2.5.x86_64-linux-gnu.tar.gz

используй этот

Avatar-Lion · December 2, 2025, 6:29pm

Выделил IP за тот промежуток (1 секунда), в течение которого отвалился доступ к сайту. Потом отсортировал их по количеству отправленных пакетов. Те, где было 0 отправленных пакетов, не стал включать в список. В итоге получилось порядка 40 адресов. Как теперь вручную отправить на них UDP-пакеты, чтобы найти виновника?

0ka · December 2, 2025, 6:33pm

Ничего не понял
https://ntc.party/t/блокировка-ovh-после-отправки-udp-пакетов-dht-пирам/16713/17

uwu · December 2, 2025, 6:43pm

можно костыльный вариант curl -v --http3-only https://ip но думаю, скрипт выше лучше будет

у меня кстати включался тригерный блок этим летом после прог для перебора эндпойнтов cf, но там возможно на количество конектов тригерилось

Avatar-Lion · December 2, 2025, 8:21pm

Вроде как нашел:

(new-object Net.Sockets.UdpClient).Send((New-Object byte[] 1024),1024,"217.79.107.236",6881)

Выполнение этой команды с указанным IP приводит к отвалу ряда сайтов (из тех, что под рукой, на которых обычно проверяю доступность):

https://www.rarlab.com/
https://imgbb.com/
https://www.upload.ee/
https://www.ovhcloud.com/en/

Что такого особенного в этом адресе, что малейшее обращение к нему вызывает блок сайтов?

V3nilla · December 2, 2025, 8:53pm

Если судить по имени провайдера, то это CDNEXT на котором стоят ВПНы, именно по этому признаку и идёт блок т.к на этом прове их очень много, но есть еще проблема в том, что все IP выданные ему, принадлежат Datacamp LTD, а это популярный провайдер среди обычных серваков, так что адекватно блокнуть все его подсети на твоей стороне - не выйдет, много других сервисов пострадают хостящиеся на нём

Xunlei · December 3, 2025, 12:54am

Предполагаю, что динамическая блокировка хостингов происходит по причине попытки блокировки какого-нибудь приложения для смартфона, которое бутстрапится через DHT (может Tox?), по аналогии с блокировкой Tor.

Avatar-Lion · December 4, 2025, 9:45am

Помимо упомянутого выше 217.79.107.236, найден еще один IP, вызывающий блок OVH и прочих хостингов: 40.183.117.166

И еще один: 79.127.189.146

И еще: 62.93.165.24

И еще: 194.36.109.78

xActo · December 5, 2025, 10:30am

Короче говоря, они добавляют в этот фильтр адреса публичных прокси и ВПН сервисов. Скорее всего отсюда растут ноги тех сообщений в сми, что у людей отключается интернет после использования ВПН.

Avatar-Lion · December 5, 2025, 11:10am

А есть какие-то списки IP-адресов этого CDNEXT? Я просто поставлю в блок их на уровне файрволла, чтобы к ним не было никаких исходящих пакетов.

V3nilla · December 5, 2025, 1:34pm

Нету, ибо они выдаются через провайдера Datacamp LTD и принадлежат им, а собственного AS у них нету, а блочить весь Datacamp, уже я выше писал, что будет.