Обсуждение: Блокировка (замедление) ECH Cloudflare

Почему? Якобы это тригернет на более пристальное внимание ко всему трафику? Вряд ли у них до такого техника дошла пока что. Да и зачем тратить ресурсы на такой алгоритм, если в итоге все повыключают DOH и перестанут палиться. Да и в чём палево? DOH не коррелирует с использованием проксей абсолютно никак. При использовании проксей резолв шурует в саму проксю и пров не видит ДНС вообще.

К слову, читал на сагернет рекомендацию по настройке сингбокса. Там упоминается, что нежелательно отправлять udp внутрь прокси, если при этом не прописать использование мультиплекса и TLS-Padding. А днс это udp. Поэтому, я так понимаю, резолвить внутри проксей желательно через DOT или DOH, но не udp и не DOH3). Или через doh3 можно? Мельком глянул, что это такое. Как будто udp вместо tcp уже используется.

Китай не перейдёт и вообще фильтровать интернет любят во многих странах. Те же арабские страны порнуху блочат. А как они это будут делать с DoH и ECH?

Нет, у меня dnscrypt-proxy слушает ДНС запросы от всей системы. В лисе системный днс, соответственно.
Когда-то я тестировал в лисе DOH, плохо работало. Но это было еще до EСH, когда только ESNI появился.

https://www.techpowerup.com - не смог зайти, хотя вчера заходил на сайты которые работают по ECH добавив дурку для cloudflare-ech.com.
Проверил скриптом Ori, а ECH то на сайте нет.
При этом если в хроме отключить поддержку крипто привета то сайт нормально открывается… ничего не понимаю.

В октябре 2024 года компания Cloudflare активировала поддержку расширения TLS ECH (Encrypted Client Hello) на своих серверах, что позволило скрывать от посторонних наблюдателей метаданные, такие как имя сайта (SNI), при установлении TLS-соединения. Это нововведение значительно затруднило работу Роскомнадзора по блокировке запрещенных ресурсов, так как традиционные методы фильтрации, основанные на анализе SNI и DPI (Deep Packet Inspection), стали менее эффективными.

В ответ на это, начиная с 6 ноября, Роскомнадзор начал предпринимать меры по блокировке сайтов, использующих ECH. Пользователи из России стали сообщать о проблемах с доступом к ресурсам, использующим инфраструктуру Cloudflare, особенно при использовании TLS 1.2 и определенных шифров. Анализ трафика показал, что блокируются подключения к IP-адресам Cloudflare при определенных условиях, что свидетельствует о возможных экспериментах Роскомнадзора с блокировкой по TLS fingerprint.

Технология ECH направлена на повышение конфиденциальности пользователей, скрывая метаданные соединений и затрудняя отслеживание посещаемых ресурсов. Однако ее использование создает сложности для государственного ведомства, которое по закону должно блокировать запрещенные сайты. В результате Роскомнадзор может прибегать к более радикальным мерам, таким как полная блокировка HTTPS/TLS-подключений, для которых не удалось достоверно определить SNI.
Роскомнадзор начал блокировать сайты, которые используют шифрования ECH от Cloudflare

Сайт тянет контент (шрифты, CSS, и т.д.) с tpucdn.com. Этот домен с ECH.

Понял, спасибо, хотя по идеи должен был помочь обход cloudflare-ech.com, но проще отключить видимо.

Ottplayer.tv тоже там же?

Нет, я делал Purge Everything, не помогло. Но потом я переделал как подсказал mlebd, Включил TLS 1.3 и отключил ECH через апи.

Смотришь тут:
https://dns.google/resolve?name=ottplayer.tv&type=HTTPS
если видишь ech= значит ECH вкл

или тут:
https://browserleaks.com/ip/ottplayer.tv
если видишь ECHConfigList значит тоже, тут еще показывает чей именно ECH (cloudflare-ech.com)

Куча сайтов легла:

bitcoinwisdom.io
cosmosairdrops.io
midle.io
havacoin.xyz
gblast.gg
elys.bonusblock.io
blastscore.io
easyx.trade

Добавил cloudflare-ech.com в GoodbyeDPI, ВСЕ снова заработали лол, даже проксировать не пришлось))

Или можно этой прогой чекнуть.
Если в ответе NetName: CLOUDFLARENET, а сайт в браузере не открывается, то скорее всего он с ECH. Или без ECH, но заблочен РКН по SNI. Правда, тогда будет не таймаут, а сразу ошибка SSL.

Для этих целей я другую прогу писал, вот тут. А вот тут батник для проверки только одного адреса.
А ещё можно тупо курлом:

for /F "tokens=*" %i in ('curl -s "https://dns.google/resolve?name=meduza.io&type=HTTPS" ^| findstr ech=') do (echo !!! ECH ON !!!)

Мы все такие молодцы, но давайте будем реалистами из всех вариантов, который пользователь быстро и просто может решить проблему это просто отключить ECH в браузере, но давайте подумаем данный вариант не везде применим поскольку приложения-клиенты вот там так не прокатит
В Chrome-based: chrome://flags/#encrypted-client-hello → Disabled
В Firefox: about:config → network.dns.echconfig.enabled → false
и еще представим, что владелец не собирается ничего не отключать в панели CF.
Поскольку из 74 сайта (о которых я писал и которые использую я), которые использовали
ECH отключили только 12 его. Остальные я так понял позже (в течении недели) или вовсе не отключат его.

В новом хроме нету chrome://flags/#encrypted-client-hello. Сайты начинают открываться если сделать --ssl-version-max=tls1.2 но я не уверен как это отразится на работе инета в целом. Upd. добавил cloudflare-ech.com в russia-blacklist.txt, мне помогло (мера популярная, много где написали про это).

Прикол в том, что с VPN это не катит если занести.

видел конечно способ через dnsmasq он сильно специфический требует шлюза с dnsmasq или роутера с openwrt в котором уже есть dnsmasq.

А ну в браузере не включать сам DoH. Я так потыркал вроде работает с вкл ECH в браузере, но выключенным DoH в самом браузере. Сайт по проверке ECH говорит, что он не поддерживается и сайты проблемные открываются.

Если бы только в хроме и браузере была проблема.

Есть IDE, которые в большей части на электроне написаны и IDE могут, что-то “дергать” из сети. А там привет ресурс на котором ECH включен.
Дискорд тоже на электроне написан, а их главный домен тоже на ECH сидит.
Всякие андроидные приложения-клиенты как там решать проблему. Про iphone вообще промолчу т.к не реально.
Привожу пример с андроидом вот у меня есть неофициальный клиент ChatGPT
Он стучится к openai.com,chatgpt.com они за CF стопудово я предполагаю, что там включен ECH отключать я не думаю, что они будут им еще лучше 100% пользователи из РФ не попадут к ним.
И таких примеров сотни.

И все это надо сделать типа какой-нибудь “походный” вариант т.к не будет у тебя шлюза с соответствующим ПО или роутера. Поэтому и пишу дело не только в браузере.

Не совсем ясно может быть ech запись быть у домена, но не использоваться ECH. По типу как AAAA-запись у домена, но не факт, что сервер на соответствующем IPv6-адресе слушает порт.

Firefox 129:

В Linux, Windows 11 и Android 10+ записи HTTPS DNS теперь резолвятся средствами операционной системы. Таким образом, если пользователь включил поддержку DNS-over-HTTPS в операционной системе, больше не требуется дополнительно включать DoH в браузере. Кроме того, это позволяет использовать HTTP/3 без заголовка Alt-Svc и автоматически апгрейдить запросы HTTP до HTTPS, если присутствует запись HTTPS DNS. Немаловажно, что при этом работает и поддержка Encrypted Client Hello (ECH).

Почему? Якобы это тригернет на более пристальное внимание ко всему трафику? Вряд ли у них до такого техника дошла пока что. Да и зачем тратить ресурсы на такой алгоритм, если в итоге все повыключают DOH и перестанут палиться. Да и в чём палево? DOH не коррелирует с использованием проксей абсолютно никак. При использовании проксей резолв шурует в саму проксю и пров не видит ДНС вообще.

Да, привлечёт внимание, и помимо обычного массового сканирования будут таргетно проверять. Касательно того есть ли у них такая технология - она есть у некоторых братушек, опыт которых активно перенимается. Я слышал, что DPI даже может автоматически палить reality по двойным запросам. Смогут ли они даже в приближенном будущем чето найти, вопрос один, другое дело - это постоянно находиться под подозрением, рано или поздно пробьют.