Недоступность cloudfront для некоторых SNI

Internet censorship all around the world Russia
1

При запросе к IP cloudfront (проверял на 108.156.46.43) с некоторыми SNI соединение блокируется (timeout). С cloudflare и другими CDN провайдерами не наблюдается.

timeout:

google.com
yandex.ru
rutube.ru
vk.com
www.gosuslugi.ru
www.sberbank.ru
mts.ru
dzen.ru

ok:

gosuslugi.ru
www.yandex.ru
google.ru
www.google.ru
sberbank.ru
www.google.com
youtube.com
www.mts.ru
<любой несуществующий домен>

Проверял так:

curl -4ko /dev/null https://vk.com/ --connect-timeout 5 --connect-to ::108.156.46.43
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:05 --:--:--     0
curl: (28) SSL connection timeout

Провайдер - проводной мтс. Предположу, что это попытка противодействия zapret\gdpi.

2

РТ так же себя ведет

Спойлер

C:>curl -4ko NUL https://vk.com/ --connect-timeout 5 --connect-to ::108.156.46.43
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:–:-- 0:00:05 --:–:-- 0
curl: (28) Connection timed out after 5008 milliseconds

C:>curl -4ko NUL https://youtube.com/ --connect-timeout 5 --connect-to ::108.156.46.43
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 321 100 321 0 0 1143 0 --:–:-- --:–:-- --:–:-- 1146

3

Амазон разве до сих не зарубил фронтинг?

4

Аналогичное поведение с IP-адресами OVH.

$ curl -sv --connect-to ::ovh.net https://ya.ru/
* Connecting to hostname: ovh.net
* Host ovh.net:443 was resolved.
* IPv6: (none)
* IPv4: 54.39.46.56
*   Trying 54.39.46.56:443...
* Connected to ovh.net (54.39.46.56) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
висим (^C)

$ curl -sv --connect-to ::ovh.net https://test.ru/
* Connecting to hostname: ovh.net
* Host ovh.net:443 was resolved.
* IPv6: (none)
* IPv4: 54.39.46.56
*   Trying 54.39.46.56:443...
* Connected to ovh.net (54.39.46.56) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: self-signed certificate
* Closing connection
5

Да, с ovh аналогичное поведение, но список доменов разный. Например для SNI ya.ru cloudfront отвечает, а ovh уходит в timeout. Для SNI yandex.ru наоборот - у cloudfront timeout, а ovh отвечает

6 
~ $ curl -4 -v --connect-to ::13.35.58.117 --insecure --connect-timeout 5 https://telegram.org
* Connecting to hostname: 13.35.58.117
*   Trying 13.35.58.117:443...
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* Connection timed out after 5002 milliseconds
* closing connection #0
curl: (28) Connection timed out after 5002 milliseconds

Туда же входит avito.ru, telegram.org, www.ozon.ru, www.wildberries.ru, mail.ru

Могу предположить, что на эти подсети навесили блокировку доменов из белых списков (и зачем?), однако слабо верится в то, что telegram.org может быть в белом списке на ТСПУ

7

на какие SNI оно ответит ? :slight_smile:
или там несколько фильтров/банов ?

curl -4 -v --connect-to ::13.35.58.117 --insecure --connect-timeout 5 https://dns.google

  • TLSv1.3 (IN), TLS alert, handshake failure (552):
  • TLS connect error: error:14004410:SSL routines:CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure

curl --tls-max 1.2 -4 -v --connect-to ::13.35.58.117 --insecure --connect-timeout 5 https://one.one.one.one

  • TLSv1.2 (IN), TLS alert, handshake failure (552):
  • TLS connect error: error:14004410:SSL routines:CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure

curl --tls-max 1.2 -4 -v --connect-to ::13.35.58.117 --insecure --connect-timeout 5 https://vk.com

  • TLSv1.2 (OUT), TLS handshake, Client hello (1):
  • Connection timed out after 5004 milliseconds
8

твои 1 и 2 - ответ получен, 3 - блок

9

я думал при -k, --insecure оно всё равно должно ответить а не писать ssl failure ?

curl --tls-max 1.2 -4 -v --connect-to ::1.1.1.1 --insecure --connect-timeout 5 https://vk.com

< HTTP/2 403
< server: cloudflare

10 
curl --tls-max 1.2 -4 -v --connect-to ::1.1.1.1 --insecure --connect-timeout 5 https://vk.com
* Connecting to hostname: 1.1.1.1
*   Trying 1.1.1.1:443...
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* ALPN: server accepted http/1.1
* Connected to 1.1.1.1 (1.1.1.1) port 443
* using HTTP/1.x
> GET / HTTP/1.1
> Host: vk.com
> User-Agent: curl/8.11.1
> Accept: */*
>
* Request completely sent off
< HTTP/1.1 403 Forbidden
< Server: cloudflare
< Date: Mon, 28 Apr 2025 19:21:34 GMT
< Content-Type: text/html
< Content-Length: 151
< Connection: keep-alive
< CF-RAY: 9378ec6689c8ec4f-DME
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>cloudflare</center>
</body>
</html>
* Connection #0 to host 1.1.1.1 left intact

Вроде бы 403, но ответ в виде

<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>cloudflare</center>
</body>
</html>

Ты получил.

-k, --insecure это игнор серта. Ты получил от 1.1.1.1, но из-за того что Bearer токен ты не предоставил, то закономерно получил 403

11

Какой еще bearer token? vk.com не существует на cloudflare во первых, во вторых на 1.1.1.1 доступны только домены самого cloudflare.
И тема вообще-то про cloudfront…

12

А этот чекер еще актуален или так - погоду показывает?