Блокировка OVH после отправки UDP-пакетов DHT-пирам

Заблокируйте себе в файрволе/торрент-клиенте:

23.136.252.0/24
23.137.180.0/24
23.137.188.0/24
23.138.44.0/24
23.138.84.0/24
23.160.72.0/24
23.168.72.0/24
23.168.88.0/24
23.251.49.0/24
23.251.52.0/24
37.120.146.0/24
38.109.228.0/24
38.121.43.0/24
40.183.116.0/23
45.150.174.0/23
45.157.211.0/24
51.158.0.0/15
62.60.234.0/24
62.93.165.0/24
62.210.0.0/16
66.212.31.0/24
67.215.226.0/24
67.220.66.0/24
67.220.69.0/24
67.220.75.0/24
67.220.76.0/22
67.220.80.0/24
67.220.82.0/24
67.220.87.0/24
67.220.88.0/23
68.168.28.0/23
68.168.30.0/24
69.12.93.0/24
69.42.209.0/24
69.42.210.0/23
69.50.94.0/24
74.115.4.0/23
79.127.142.0/24
79.127.189.0/24
82.198.246.0/23
83.137.153.0/24
86.110.34.0/24
89.36.94.0/24
91.238.82.0/24
91.239.53.0/24
107.151.194.0/24
107.151.216.0/23
109.172.54.0/24
128.14.90.0/24
134.195.196.0/22
138.199.41.0/24
143.14.59.0/24
143.14.67.0/24
143.14.75.0/24
143.14.164.0/24
143.20.11.0/24
149.34.251.0/24
151.115.70.0/23
151.115.82.0/23
151.115.84.0/22
151.115.88.0/23
151.115.90.0/24
151.115.96.0/23
151.115.112.0/21
151.115.120.0/23
151.115.122.0/24
151.240.230.0/24
151.243.36.0/24
151.243.47.0/24
151.243.109.0/24
151.243.207.0/24
151.243.217.0/24
155.117.55.0/24
163.172.20.0/22
167.88.63.0/24
167.148.161.0/24
169.150.208.0/24
172.111.37.0/24
178.239.112.0/24
185.193.158.0/23
186.190.213.0/24
186.190.215.0/24
194.36.109.0/24
194.49.53.0/24
195.154.109.0/24
195.154.121.0/24
195.154.133.0/24
195.154.141.0/24
195.154.192.0/24
195.154.198.0/24
195.154.205.0/24
195.154.206.0/24
203.25.108.0/24
212.47.236.0/24
212.47.254.0/24
217.79.107.0/24

Или пустите через туннель

Могу ли я это заблокировать в клиенте V2rayA, например? В списке динамического блока есть Datacamp, к сожалению мне приходится пускать некоторые его подсети через прокси, с этим ничего не сделать?

Да.

РКН знает, что различные конторы, предоставляющие услуги VPS, VDS, VPN, часто арендуют мощности у более крупных хостеров по типу DataCamp Limited. Однако на их же мощностях работают и легитимные ресурсы. В результате имеется каша не то что из отдельных IP-адресов, но и целых подсетей, где перемешаны обычные сайты и те же VPN-сервера. Поэтому РКН делает так: они смотрят какие IP-адреса или подсети относятся к более или менее популярным VPN-сервисам и им подобным, смотрят у кого они хостятся, и пишут правило для ТСПУ: “если юзер отправит хотя бы один пакет на такие-то или такие-то IP, то значит, он злостный нарушитель (читай - юзает VPN), а потому нужно заблокировать ему вообще весь трафик к этому хостеру”.

Конечно, с точки зрения здравого смысла это абсурд: только потому, что вы отправили пакет на какой-то один “плохой” IP, который VPN-сервис арендует у хостера, вам заблокируют вообще все ресурсы, работающие на том же хостере. Но РКН давно уже плевать на сопутствующий ущерб, поэтому они могут себе позволить устраивать такие тотальные блоки.

Блок чего? Вашего хостера? Нет.

Именно так. Но, конечно, не на любой IP, относящийся к DataCamp, а только на тот IP, который по каким-то причинам не угодил РКН. Вот если именно на такой адрес отправите пакет, то тогда да, получите уже полный блок всех адресов, относящихся к DataCamp, поскольку РКН не будет разбираться где там чей адрес, им проще сразу одной кучей поставить блок, чтобы вы ничего никуда отправить не могли. Собственно, по этой же причине все еще работают многие VPS’ки, особенно мелкие: их IP-адреса еще не попали в черные списки РКН, поэтому если вы где-то какой-то занюханный сервис арендовали и в одно рыло VPN-тоннель до него пробрасываете. то он очень долго может оставаться незаметным для РКН.

Другое дело, что РКН постоянно наращивает мощность ТСПУ, недавно вот принялись пытаться детектить именно сами VPN-протоколы, чтобы уйти от этой практики выборочной \ тотальной блокировки как отдельных IP, так и целых подсетей, т.е. в ближайшем будущем именно сам факт использования того или иного VPN-протокола будет вызывать блок.

Не знаю, не пользуюсь им.

Видимо, блокируемое приложение лезет сначала по DHT к определенным адресам, а затем по другим адресам хостингов (по типу Tox, Ceno) — после сбора статистики написали такой фильтр.

Это именно то ради чего я читаю все эти темы. Спасибо большое за объяснение. Я так понял моего личного прокси, где сидят 2.5 человека в ближайшее время это не коснется. И кажется это ответило на мою предыдущую тему, в которой я писал о недоступности европейский и на текущий момент московских серверов Faceit, которые как раз таки хостятся на datacamp, hetzner и т.д

Из объяснения выше я так понимаю блокируют эти подсети для моего ip если я напрямую отправляю что-то этим ipшникам, но если я пущу в тоннель через тот же vless reality, то поидее блока быть не должно

Скорее всего не коснется, да. Чем менее известный VDS\VPS\VPN\Proxy используется и чем меньше людей им пользуется, тем ниже шансы привлечь внимание РКН.

По идее - да. По факту - ТСПУ может среагировать на сам VPN-тоннель просто потому, что это - VPN. А сейчас это синоним слова “запрещенка”. При этом вы можете вполне легитимной деятельностью заниматься, например, работать удаленно, но РКН не оставляет попыток научиться детектировать именно VPN-протоколы, чтобы рубить такие вот коннекты, т.к. они исходят из того, что пользователь заведомо виновен в доступе к запрещенному контенту просто по факту использования VPN.

нет, отправка/прием, не важно вообще, дхт/п2п любое триггерит

просто пинг, просто коннект в игре, вообще не важно, важен факт того, что к вам или от вас идет коннект к триггер айпи

пинг (icmp) не триггерит

У меня нет доказательств, потому что нет доступа к ip который триггерит блокировку, но я отказываюсь верить в то, что входящие пакеты на мой ip адрес в состоянии стриггерить блокировку для моего ip адреса

Я блокировал/заворачивал в тоннель многие триггерящие подсети, и регулярная сработка триггера уходила, чего бы не происходило если бы она срабатывала от входящих пакетов

В игры поиграй , i2p поставь-удивишься

Я менять свое мнение и на слово верить не собираюсь, при всем уважении, я видел обратную картину. А если представить что сработка происходит даже от входящего пакета, так это можно парочку машин с такими айпишникпи взять и за 10 минут активировать всей рф триггер

У кого есть доступ к триггерящему ip - добро пожаловать в лс, меняемся адресами, я ваш в блекхолл на роутере закидываю что бы случайно не ответить, вы отправляете udp пакет и смотрим заблокировалось у меня всё к чертям или нет

Либо изменили список ип которые тригерят, либо откатили
http://23.251.49.123/ - попытка открыть не приводит к блокировке 443 порта и портов выше ~1000

да, так и есть, нашёл другой триггер (143.14.59.123), блочит гораздо меньше хостингов чем раньше, и теперь по другому: https блочится полностью, даже без sni. UDP не блочится.

пример что блочит: (нашёл runni)
https://213.156.150.25/q (gcore)
https://217.217.252.183/q (contabo)
https://199.168.193.103/q (OVH)
(на 16кб блок добавляется полный блок)

у меня на рт еще прикол, после срабатывания триггера половина запросов не блочится, походу два тспу работают и один со старой прошивкой

Все-равно не пойму логику именно этих и других триггеров. Почему именно эти айпи?

Сидишь на рабочих сайтах - сиди себе, а если шаришься везде, то значит шибко умный и впн, однозначно, имеется. Поэтому будем переодически блочить, создавая невыносимые условия, попутно убеждая массы, что детектируются протоколы. Ведь если блоки стали регулярными, значит точно ИИ

Так получается?

Обычный сбор данных, только и всего. Это не очевидно разве? РКН ставит в блок какие-то крупные узловые точки, через которые много трафика бегает, и смотрит что будет дальше. Легитимные пользователи отвалятся, а вот оставшиеся - это те, кто использует какие-то средства обхода. Тем самым получаем трафик, который с вероятностью 95% содержит в себе какие-то общие свойства, которые уже можно в автоматическом режиме проанализировать, чтобы на основе выявленных нюансов составить правила для ТСПУ. Например, VLESS в явном виде обнаружить невероятно трудно, поскольку его трафик практически никак не отличается от трафика обычного. Однако когда у тебя есть на руках некий набор данных, который почти наверняка содержит в себе следы использования того или иного протокола, то дело значительно упрощается: юзеры сами предоставили массив данных для обработки, остается только прогнать его через тот же псевдо-ИИ, чтобы найти в нем какие-то закономерности.

Да поменяли что то, Нексус стал меньше отлетать , хотя у меня траффик п2п не менялся, раньше эти же ip триггерили, сейчас нет.

Извините, но чушь. Если заблокировали по айпи целую подсеть или конкретный айпи, то к нему не пробьется ни легитимный трафик, ни впнщики, ни даже ssh. Что здесь анализировать?

Так в этом-то и смысл: поставить в блок легитимный трафик и посмотреть что останется. Останется только то, что обходит блок. И да, под блоком я подразумеваю 16Кб блок, блок 443 порта и прочие виды блокировок, т.е. это не полный бан по IP (это как раз-таки огромная редкость), а попытка отсечь тех самых VPN’щиков и прочую шушеру, чтобы проанализировать трафик и научить ТСПУ в будущем уже автоматом их рубить.

На данный момент получил от двух людей одинаковые результы, предположительно из-за триггерной блокировки, но может быть и какой-то иной вид блокировки.

Спойлер

IMG_20260303_155454_332721×728 139 KB

IMG_20260303_155453_926728×957 190 KB

При этом на моем провайдере несколько дней назад обновили “прошивку” ТПСУ, и теперь под динамическими блоками только несколько AS:

• Gcore AS202422 - https://213.156.150.25/q
• Contabo AS141995 - https://217.217.252.183/q
• OVH AS16276 - https://199.168.193.103/q

Также уменьшили количество триггерных IP.