Плюсую тоже самое это без фиксации TTL Недоступность Hetzner - #432 by RFlipper из этого поста
С ним типа не срабатывает блокировка ТСПУ несколько раз тыкал ничего не было.
Вот теперь интересно проверить фиксация снимает блок этот или нет.
Ответ: нет
Замутил “форк” reflector для обхода выкидонов ТСПУ и РКН. Ставить можно вместе с оригиналом.
Сделал не особо аккуратно, но работает.
Печалька у Arch вся инфра на Hetzner лежит. С AUR также просто не выйдет сделать.
Тестировал свои vpn подключения, l2tp/ipsec - подключал и так и сяк, и через zerotier и напрямую, разрывал соединял опять, заходил на сайты, блока нет. AmneziaWG тоже самое, warp через него же тоже нормально все. Vless+Reality все отлично. Видимо есть какой то еще сайт, на который я изредка захожу и который вешает мне hetzner так же как www.phpmyadmin.net. Как бы отловить его еще
Может к домашнему вайфаю подключались какие-то юзеры, которые любят бесплатными впн баловаться на телефонах? Я у себя тут небольшое расследование провел, отловил по логам, что когда у меня впервые хецнер отвалился, у меня на гостевом вайфае был человек, который включил openvpn. Сейчас изучаю, какие протоколы вызывают сработку фильтра.
не, такого не было, похоже что это не впн. Во всяком случае, не те что я использую.
я посмотрел в логах днс, были разные обращения к cdn77 от разных сайтов, но блока не было, в блок уходило только от 1115546720.rsc.cdn77.org, причем если смотреть по 2ip
то на нескольких адресах висит блок ркна, но на страницу.
я попробовал добавить *.cdn77.org и phpmyadmin.net в zapret на роутере, потыкал на phpmyadmin.net, и блока на hetzner пока не прилетело, во всяком случае не сразу в первые секунды, проверю через часок еще.
UPD. Спустя 2 часа заход на phpmyadmin.net не убивает мне hetzner, добавление cdn77.org в zapret на роутере помогло мне. Буду дальше наблюдать
Подтверждаю ваши наблюдения.
я сегодня тех поддержке сломал хетзер через phpmyadmin, они удивились, передали в работу. У меня даже на мобильном интернете такое же поведение. Ответили только, что проблема оказалась массовой, не один я жаловался
Всем привет, позвольте вставить свои 5 копеек.
Я админ довольно крупного русскоязычного сайта, у нас около 20 серверов в hetzner с которых отдаётся контент. Написать этот пост побудило меня то, что я периодически сюда захожу и мониторю ситуацию; то что нас эти чудеса задели напрямую; а также какое-то сообщение выше с теорией о том, что ситуация вызвана тем что хоститься надо “тут” а не “там”. (А ещё тем, что меня бесит, что в последние пару недель без VPN у меня не работает половина интернета: просто совершенно случайные сайты из гугла не открываются.)
На протяжении октября (чем ближе к ноябрю тем чаще) нам в поддержку поступали жалобы от людей на то, что у них что-то не работает. Суть сводилась к тому, что не грузятся файлы: случайные файлы, со случайных серверов у случайных людей. При этом ни разу не было жалоб на то, что не открывается сам сайт, т.е. не работали именно файловые поддомены (у нас сайт, условно, site.com, и поддомены с файлами, условно, files1.site.com, files2.site.com и тд). Между людьми не было ничего общего, всё было разное - устройства, провайдеры, город, возраст, время дня и тд.
У меня и коллег всё работало и с домашнего интернета и с мобильного, я не мог воспроизвести проблему, по статистике и трафику никакого проседания не было, казалось что это буквально единичные случаи.
Я долго не понимал, что происходит, как раз до момента, когда на следующий день после бана ECH количество жалоб кратно возросло. Кажется это было плюс-минус когда стартовал этот топик, 7 ноября или около того.
Тут стоит сделать отступление и сказать, что я не зря уточнил, что никогда не было жалоб на доступ к самому сайту. Дело в том, что ещё когда-то очень давно, когда нас ддосили, я подключил сайт к конторе ddos-guard, думаю здесь никому не надо объяснять что это. Т.е. доступ к сайту шёл через их фильтрующую сеть, и всё работало прекрасно, а вот доступ напрямую в Hetzner, к серверам с файлами, отваливался.
Ну так вот, в тот прекрасный день, когда недоступность приобрела более-менее массовый характер, я вдруг увидел наконец эту связь, и поскольку нужно было срочно что-то предпринимать, я недолго думая решил завернуть в ddos-guard вообще всё. А для этого нужно купить у них тариф который в 4 раза дороже, иначе там нельзя привязать произвольное количество поддоменов. Однако это виделось (и видится до сих пор, в общем-то) меньшим из зол, потерять пользователей куда хуже.
Буквально через пару минут после обновления DNS зоны почти все наши сервера с гигабитным каналом в hetzner легли от, по сути, ддоса (что особо иронично, принимая во внимание название вышеупомянутого сервиса): настолько хороший был канал от пользователей до сети ддос-гард и от ддос-гарда до Европы (и настолько, надо понимать, отвратительный канал в hetzner напрямую). Короче говоря, скорость загрузки выросла во много раз, и наши диски легли под дичайшей нагрузкой. К счастью у этих ребят кеширующий CDN, поэтому прогрузив особо горячий контент они стали отдавать его из кеша, и серверы через пару часов начали приходить в себя (хотя, на самом деле, проблемы были ещё несколько дней, но это уже оффтопик).
Зато, о чудо – ни одной жалобы больше! Ни-од-ной! У всех всё работает! Просто заплати лишние 80 тысяч этой конторе.
К такой же мере был вынуджен прибегнуть как минимум ещё один сайтик, наш конкурент, видимо по тем же причинам. Я видел у него в соцсетях в комментах такие же жалобы про “не грузится”, а потом, по историческим данным dns (на securitytrails) обнаружил, что они тоже стали проксировать всё через ддос-гард.
Собственно, на этом всё. Не то чтобы я продвигаю тут какую-то конспирологию, но мне кажется есть над чем подумать.
С этим справиться любой CDN, а не только ddos guard, о чем, собственно, и сказано в начале темы
Плюс один ко всем вам. OVH частично попал как минимум.
Работает обычно по утрам до 12ч-13ч где-то, потом все.
ICMP доступно, остальное по нулям, что выше идет.
Вот так пакетики выглядит, как и описывали выше, TCP ретрансмишн и усе.
Я так понимаю под закон подтягивают. Все хостеры же обязаны будут РКН подчиниться и через ТСПУ идти. Но это ВСЕ местные. А зарубежных мы просто по 8, 24 маске побаним, можно в принципе и по 0 сразу, че уж там. Мдаааааааааааааааааааа.
Предлагаю следующий этап погружения - VPN over ICMP. =) Ток тулзы нужны, есть softether, но он оч кривокосой на самом деле.
Про TTL писали выше, посмотрим, интересная штука, только логика абсолютно не понятна, причем тут казалось бы он.
Если бы их просто забанили, то вопросов бы не возникло. Умерла так умерла. Но тут какая-то клоунада с персональными блокировками, которые непонятно по какому принципу работают. Порой при обращении к ресурсам, которые вообще не связаны с указанными хостингами.
Бредятина по-моему какая-то. Чем провинились посетители сайта www.phpmyadmin.net?
Эти домены прописаны в дефолтных настройках моста snowflake.
Спасибо, интересное наблюдение, но что-то по той же логике Amazon под нож не пошел.
А там есть домен на Amazon.
Баньте домены (по SNI) нахрена весь Hetzner трогать-то? Дофига проблем из-за этого.
Да, притом, что это первое соедениение можно пустить через прокси, а дальше snowflake продолжит работать напрямую без активизации блокировки.
Я как понимаю в Tor Browser запрос мостов тоже этот Domain Front использует, это не только snowflake
Это логика “один раз попался - теперь уже ничего не докажешь”.
РКН не рассматривает Хетцнер как хостера сайтов, он рассматривает его как провайдера ВПН’ов.
А по мелочам не разбирается.
Он будет работать даже если все сдны перебанить. Сам коннект использует очень хорошую технологию о которой может слышали, называется peer-to-peer, и сами прокси через которые бандвид идет, временные и никогда не засиживаются. И сам hetzner даже не связан с брокером
Подтверждаю.
На одном из своих провайдеров (провод) легко и непринужденно после перехода по ссылке https://phpmyadmin.net словил мгновенный блок на https://kde.org и https://archlinux.org.
Неприятно удивился если честно.
Блок снимается перезагрузкой роутера и, как следствие, сменой динамичного ip (белого естественно). Без перезагрузки - где-то через час, видимо, автоматически .
На другом провайдере (домру - провод) блок не триггерится подобным образом.
Билайн (мобильный) блок не триггерится.
Теле2 (мобильный) словил блок.
Похоже нашел еще один “вредный” домен, который провоцирует блокировку: adtidy.org, а точнее его поддомены (filters.adtidy.org и static.adtidy.org в моем случае).
Адреса принадлежат AdGuard, оттуда тянутся ресурсы типа фильтров для блокировки рекламы.
И видимо причиной тому
$ dig +short filters.adtidy.org
1278313086.rsc.cdn77.org.
37.19.203.48
Опять cdn77 всплывает.