Блокировка OVH после отправки UDP-пакетов DHT-пирам

Internet censorship all around the world Russia
, ,
62

Нет такого инструмента, потому что у тебя триггер это один адрес, а блокируются другие адреса. Лично я делаю так:
запускаю скрипт

while true; do
  echo $(date +"%H:%M:%S.%3N")
  curl -s -o /dev/null -w "%{http_code}\n" https://сайт_к_которому_пропадет_доступ
  sleep 0.01
done

включаю захват трафика wireshark либо tcpdump, запускаю триггерящий софт (торрент клиент). Происходит блок, останавливаю захват и скрипт, ищу в дампе трафика udp пакеты отправленные после последнего успешного запроса в скрипте и до блока (обычно это диапазон около 300-400 мс). Далее жду, пока спадет блок, и тестирую курлом каждый из адресов из отфильтрованных пакетов, пока не поймаю блок.

63

Китайский ДипСик такой вариант под Винду для ПоверШелл предложил:
PS C:\WINDOWS\system32> while ($true) {
$timestamp = Get-Date -Format “HH:mm:ss.fff”
try {
$response = Invoke-WebRequest -Uri “https://www.rarlab.com” -Method Head -TimeoutSec 5
$status = $response.StatusCode
}
catch {
$status = “ERROR”
}
Write-Host “$timestamp - HTTP: $status”

Он работает, но зависит от момента запуска. Если на момент запуска скрипта сайт был доступен, то он продолжает выдавать HTTP: 200 даже когда всё отвалилось. Но если перезапустить скрипт, то пишет уже HTTP: ERROR, поскольку сайт недоступен. Можно как-то сделать, чтобы он каждый раз заново соединение устанавливал, а не продолжал текущее?

64

Не знаю, я не шарю за повершелл, но вроде в венде есть curl.exe аналогичный линуксовому curl, лучше использовать его. Чем разбираться с повершеллом, я бы лучше поставил на винду WSL2, и запустил бы bash скрипт в нём.

65

Сделал. Но так скрипт зависает каждые пару минут. Приходится прерывать (Ctrl + C) и запускать заново.

66

В chatgpt

67

Он с российских IP не пускает.

ДипСик такое предложил:

while true; do
timestamp=$(date +“%H:%M:%S.%3N”)
http_code=$(curl --max-time 1 -s -o /dev/null -w “%{http_code}\n” https://imgbb.com)
echo “$timestamp $http_code”
sleep 0.01
done

А, нет, оно вообще не работает. Ответ 200 есть в консоли, а в браузере уже ошибка ERR_CONNECTION_RESET. Даже с исходным скриптом.

68

https://github.com/lexiforest/curl-impersonate/releases/download/v1.2.5/libcurl-impersonate-v1.2.5.x86_64-win32.tar.gz

https://github.com/lexiforest/curl-impersonate/releases/download/v1.2.5/curl-impersonate-v1.2.5.x86_64-linux-gnu.tar.gz

используй этот

69

Выделил IP за тот промежуток (1 секунда), в течение которого отвалился доступ к сайту. Потом отсортировал их по количеству отправленных пакетов. Те, где было 0 отправленных пакетов, не стал включать в список. В итоге получилось порядка 40 адресов. Как теперь вручную отправить на них UDP-пакеты, чтобы найти виновника?

70

Ничего не понял
https://ntc.party/t/блокировка-ovh-после-отправки-udp-пакетов-dht-пирам/16713/17

71

можно костыльный вариант curl -v --http3-only https://ip но думаю, скрипт выше лучше будет

у меня кстати включался тригерный блок этим летом после прог для перебора эндпойнтов cf, но там возможно на количество конектов тригерилось

72

Вроде как нашел:

(new-object Net.Sockets.UdpClient).Send((New-Object byte[] 1024),1024,"217.79.107.236",6881)

Выполнение этой команды с указанным IP приводит к отвалу ряда сайтов (из тех, что под рукой, на которых обычно проверяю доступность):

https://www.rarlab.com/
https://imgbb.com/
https://www.upload.ee/
https://www.ovhcloud.com/en/

Что такого особенного в этом адресе, что малейшее обращение к нему вызывает блок сайтов?

73

Если судить по имени провайдера, то это CDNEXT на котором стоят ВПНы, именно по этому признаку и идёт блок т.к на этом прове их очень много, но есть еще проблема в том, что все IP выданные ему, принадлежат Datacamp LTD, а это популярный провайдер среди обычных серваков, так что адекватно блокнуть все его подсети на твоей стороне - не выйдет, много других сервисов пострадают хостящиеся на нём

74

Предполагаю, что динамическая блокировка хостингов происходит по причине попытки блокировки какого-нибудь приложения для смартфона, которое бутстрапится через DHT (может Tox?), по аналогии с блокировкой Tor.

75

Помимо упомянутого выше 217.79.107.236, найден еще один IP, вызывающий блок OVH и прочих хостингов: 40.183.117.166

И еще один: 79.127.189.146

И еще: 62.93.165.24

И еще: 194.36.109.78

И еще: 54.38.1.222

76

Короче говоря, они добавляют в этот фильтр адреса публичных прокси и ВПН сервисов. Скорее всего отсюда растут ноги тех сообщений в сми, что у людей отключается интернет после использования ВПН.

77

А есть какие-то списки IP-адресов этого CDNEXT? Я просто поставлю в блок их на уровне файрволла, чтобы к ним не было никаких исходящих пакетов.

78

Нету, ибо они выдаются через провайдера Datacamp LTD и принадлежат им, а собственного AS у них нету, а блочить весь Datacamp, уже я выше писал, что будет.

79

Выставил во всех торрент-клиентах один и тот же порт.

Запретил весь UDP трафик с этого srcport. Разрешил UDP трафик с этого srcport на следующие российские сети:

5.136.0.0/13
5.164.0.0/14
77.40.0.0/17
78.85.0.0/16
79.126.0.0/17
90.154.0.0/17
91.144.128.0/18
92.255.128.0/17
93.120.128.0/17
94.180.0.0/15
95.24.0.0/13
95.37.0.0/16
100.64.0.0/10
109.184.0.0/16
109.194.0.0/15
176.208.0.0/13
178.64.0.0/13
188.186.0.0/15

Ещё отключил в торрент-клиенте uTP. Теперь DHT разрешен только на российские IP адреса, а обмен файлами осуществляется только через TCP.

80

Слишком радикально, самому себе чебурнет устроил. Лучше тогда не запрещать, а всё кроме RU в тоннель заворачивать.

81

Ну чебурнет для торрента как будто не так уж и плохо

Другой вопрос что уже несколько раз говорилось, что udp тут не причем, триггер срабатывает на ip адреса вне зависимости от tcp или udp

А ещё на самом деле можно просто торренту блокировать те подсети, блокировку которых он вызывает, и скорее всего все сработает (ну и все известные триггерящие провайдеры занести ещё)