Заблокирован Microsoft Ajax CDN. Блокируют на ТСПУ по SNI.
Подтверждаю, на ДомРУ блокируется. Через VPN работает.
Проверка:
https://ping-admin.com/free_test/result/167040465327oka863oum4q7h65w6q9.html
Сообщение о блокировке в конце сентября
При этом, по результатам наблюдений в конце октября, домен не был достоверно заблокирован, но наблюдалась “фиксация” домена к единственному IP-адресу – подключение с этим SNI к другим адресам ресетило.
В связи с этой блокировкой замечена интересная оптимизация на ТСПУ. Стало много подсетей к которым не применяют чужие правила. Если раньше условный домен с api сервиса блокировали условно везде (кроме условного вк), то сейчас это правило применяют к ограниченному числу подсетей, как связанных напрямую с сервисом так и не попавших в условную категоризацию. Т.е. на сетях гугла не банят домены амазона.
Домен может заработать на адресе для азиатского региона (117.18.232.200). Результат зависит от latency до CDN, но возможно это лишь особенность отдельных DPI, где время сопровождения сеанса изначально ограничено.
Thank you, that was one of my questions. What about connections to the server IP (152.199.4.33) with a different SNI?
The ajax.aspnetcdn.com server was previously blocked between December 1 and December 13, 2021. At that time, the block was of the entire server IP address (which was then 152.199.19.160), not only a single domain. The block only affected certain ISPs in Moscow and Saint Petersburg; it sounds like it is more general now.
OONI measurements from December 2021:
And recent:
Домен фиксировали к адресу для европы (152.199.19.160), остальные комбинации c использованием других доменов не блокируют.
На моём провайдере заблокировали примерно 18 ноября 2022 года.
Интересно, что 13 ноября 2022 года на форуме rutracker (в разделе обхода блокировок) писали, что meek-azure с трудностями, но всё-таки работает. Я думаю, люди из цензурного ведомства активно читают rutracker и принимают меры. Кстати, не только читают. Активно распространяют негативную дезинформацию о Proton.
Получается, что ajax.aspnetcdn.com не очень важный домен, раз его легко заблокировали? И это не сломало многие сайты?
До 18 ноября, meek испытывал трудности с подключением. После отправки нескольких пакетов, происходил сброс соединения. Однако, если пробовать несколько раз, сбросов больше не было. Я думаю, DPI умеет детектировать meek (помню, об этом писали и люди из Туркменистана). Но сейчас домен заблокирован полностью.
The meek-azure bridge was offline between about 2022-10-04 and 2022-10-25. The server the bridge was on was shut down, and the team needed to install a replacement and make releases with the new bridge fingerprint.
Before that, starting 2022-09-21, the user graphs show an extreme increase in the number of estimated meek users. In my opinion, the estimates are false, and are probably an artifact of the bridge being overloaded during protests in Iran. My guess is that meek-azure was not functional during this time either.
So, between 2022-09-21 and 2022-10-25, there are good explanations for why meek-azure was not working. If you experienced trouble outside that time, it may have been firewall interference.
Действовали правила, которые можно записать, так:
allow SNI:* to:152.199.19.160
reject SNI:ajax.aspnetcdn.com to:*
Возможно исключение просто изменили, на что-то доселе неизвестное. Это могли быть отпечатки “правильного” браузера (IE, Edge, Yandex, Atom), или более сложное правило.
Может оно “работает”, ведь за пару недель всего 1 сообщение.
Tango: No, until November 18, 2022 meek was connecting for me. Just, after several attempts (I don’t know exactly the triggers*), which is similar to the DPI work, as I said before. Although, I didn’t check every day before, just occasionally.
After November 18, 2022, ajax.aspnetcdn.com was blocked by sni (not IP).
* This is the subject of discussion. For example, in addition to meek in obfs4proxy, I also had a self-builded meek-client standalone (actual) with modified utls. Let’s say: after several packets, meek-obfs4proxy had connection resets, I repeated several times. Then tried meek-client standalone - ok result. Then, meek-obfs4proxy also started working. Something like that. I never understood the DPI logic. But that’s in the past (for example, on November 13). Now it’s blocked by sni.
And I don’t use the Tor browser. Only console clients.
I have a mobile provider that is famous for DPI. It is strange that he has started sni blocking after November 18. Up to that point, i.e., for the entire year 2022, meek worked as I described above. That is, with difficulties. But the difficulties were only the first few attempts (it looks like DPI work), and then ok.
A couple of years ago, I heard from Turkmenistan users that their DPI also detects meek. It drops connections after a few packets, just like the Russian one.