#1

[Deleted]

#2

С DHT никаких проблем нет, проверяю вот так:

magnet:?xt=urn:btih:MSUYBK7G4RECE25ZGC5AMFMS4RGDPANB

Это магнитка на ubuntu desktop 21.04, без указания трекеров в ней, в настройках Transmission выключен PEX, оставлен только DHT

#4

Надолго ли это? Добавить новую сигнатуру для блокировки протокола на существующие dpi проще простого, а чтобы устранить в них дыры, это уже сложнее

#6

Красиво звучит, но…
DoH уже блокируется, ESNI блокировали в виде эксперимента два года назад и вполне удачно. О проблемах с wireguard почитай в соседней теме. Единственное чего нет у нас - active probing, но это пока. В случае чего, можно взять готовое решение у Китая

#7

Было замечено это еще во время создания этой темы. Я тоже этому удивился, видимо им просто лень

#8

Чем больше сигнатур, тем медленнее будет работать DPI система. Пару месяцев назад в СМИ проходила информация, что на скоростях выше 10 Гбит/с уже в байпасс уходят.

#9

Тем не менее, добавить пару самых популярных сигнатур, вроде bittorent (уже), да wireguard можно. Хотя замечание верное, хоть надежда есть, что они не смогут все протоколы порезать

#10

Это лишь пока его массово не начнут форсировать Google/Mozilla в своих браузерах, игнорируя обычный DNS.

Сейчас DoT/DoH используют буквально единицы, т.е. особого шума от блокировки не будет.

Я вообще не понимаю чем им DoH мешает? Блокировки по DNS уже даже мелкие провайдеры не используют.

Хотят собирать досье через незашифрованный DNS, как делают в Великобритании что-ли?

#12

DHT discovery и WireGuard блокировали по размеру пакета.

#13

Весь трафик на 53 порту наверное каждый провайдер давно роутит на свои DNS-серверы, поэтому они и продолжают работать. Вам просто отвечает не 8.8.8.8, а местный сервер провайдера.

Проверить очень легко по скорости ответа. Если ниже 10 мс. - отвечает провайдер.

#14

Чуть не до конца дочитал, бывает)
А так да, такие штуки довольно хороши, хотя уже крайняя мера, когда давно не будет работать goodbyedpi и заблочат обычные прокси и vpn

#15

Где-то видел, что блокировали торренты по коомбинации размера пакета и первым пару байтам. С ESNI да, эффективное решение для его вычисления найти сложнее

#17

Так все-таки зачем? Какой смысл в блокировке DoH?

#18

Меня всегда такой факт забавлял. В РФ есть статя за порнографию, поэтому все ресурсы с ней блокируют. Вроде как в законе нет исключений, чтобы можно было разрешить ее распространять. Но, видимо, порнуха на порнхабе недостаточно порнушная в сравнении с другими ресурсами, чтобы его блокировать. Насколько я помню, у нас нет такого, что можно поставить фильтр на 18+ и создавать порносайт, но чудеса бывают, как в случае с разблоком порнхаба)

#19

C полпинка очень трудно ответить на этот вопрос…

DNS у большинства пользователей - физических лиц и так настроен по простому протоколу без шифрования, любой провайдер, если захочет, развернет его себе. У кого-то это часть блокировок, кто-то желает анализировать, куда клиент ходит. DoH и DoT мало кто использует, но все стремительно меняется - стоит, например, Google включить это по умолчанию в новых версиях Андроида…

#20

Есть надежда, что дадут задний ход, хотя бы немного проанализировав бессмысленность того, что делают.

#21

Все просто. Раньше я мог зайти на рутрекер и скачать фильм. Потом мне пришлось использовать анонимайзер, потом vpn, потом пришлось пользоваться goodbyedpi (и написать свою dpitunnel-cli). Как видишь, с каждым разом приходится шевелиться все больше и больше, причем как пользователю, так и разработчикам/администраторам. Обычный юзер теперь пять раз подумает, а нужен ли ему этот фильм или, что актуально в последнее время, сайт УГ или нет. Отрицать то, что посещаемость УГ или рутрекера после блокировок, да еще сложнообходимых, упадет, просто глупо

Про одно из предназанчений тех же dpi - анализ трафика клиента, какую рекламу подсунуть и прочая маркетология, тоже звучит хорошо. Но ркн от этого выгоды мало

#22

Уже нет. СМИ писали, что Ревизоры давно научились такое проверять и провайдеру прилетит огромный штраф в случае если блокировки выполняются только по DNS.

Мне тоже так кажется. В прошлом году видел презентацию одной DPI системы для провайдеров, в которой одной из фич как раз был анализ DNS и построение профиля каждого абонента на основе этих данных.

Самое забавное, что та система умела анализировать через DNS и SNI зашел ли абонент на сайт провайдера-конкурента, что трактуется как желание сменить провайдера, а значит нужно ему позвонить и предложить скидку и т.п.

#24

@zhenyolka

Возможно, кое-где сработает domain fronting. Сходу для google такого домена не нашел.

#25

I, too, have not found a domain that works for fronting with dns.google. There were many that worked with dns.google.com, but not dns.google, if I remember correctly.