Блокировка news.google.com и недоступность play.google.com

ValdikSS · March 23, 2022, 7:11pm

Роскомнадзор заявил о блокировке сервиса Google News https://news.google.com/

По какой-то причине, (на ТСПУ) блокировке подвергается и домен Google Play https://play.google.com/

% curl -v --max-time 10 https://play.google.com/
*   Trying 108.177.14.102:443...
* Connected to play.google.com (108.177.14.102) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* Operation timed out after 10001 milliseconds with 0 bytes received
* Closing connection 0
curl: (28) Operation timed out after 10001 milliseconds with 0 bytes received

Elevator · March 23, 2022, 7:51pm

Мегафон Питер, оба домена не открываются. Причем странно, не приходит ответ от сервера. Обычно через tcp reset делают

alexalex · March 23, 2022, 7:56pm

Москва. МТС. Мобильный. Оба работают.
Москва. Старлинк. Оба работают.

zhenyolka · March 23, 2022, 8:07pm

Новости заблокированы, как и play.google.com. Блокировка по SNI.
Tele2

zhenyolka · March 23, 2022, 8:14pm

Tcp reset действительно нету. Соединение “зависает”. При этом блокировка play.google.com вряд ли случайная, т.к. поддомены test, qqq1 и прочие отвечают, т.е. это не ошибка в регулярке *.google.com.

zhenyolka · March 23, 2022, 8:15pm

При этом это не сбой в сервисах гугла, т.к. обращение к серверу ya.ru с указанными sni так же приводит к зависанию соединения

danil-braun · March 23, 2022, 8:35pm

Ростелеком, Свердловская область. Заблокировано.

$ curl -v --max-timecurl -v --max-time 10 https://play.google.com/
*   Trying 74.125.131.138:443...
* Connected to play.google.com (74.125.131.138) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* Operation timed out after 10001 milliseconds with 0 bytes received
* Closing connection 0
curl: (28) Operation timed out after 10001 milliseconds with 0 bytes received

zinoid · March 23, 2022, 9:14pm

Yota и мобильный МТС, Новосибирск. Оба сайта заблокированы.
Приложение Google Play работает, на МТС по крайней мере.

Может быть, чтобы не искали впны удобным способом из дома.

loskiq · March 24, 2022, 5:10am

р. Дагестан, провайдер ноунейм, два аплинка - мтс, мегафон.
news.google.com и play.google.com работают. Instagram и Facebook тоже работают.
ТСПУ у провайдера еще не стоит.

libneko · March 25, 2022, 9:09am

У меня не воспроизводится, попробовал направить на свой сервер и так же на ya.ru

Воспроизвелось только когда подставил айпишник другого гуглсервиса (google.com)

ValdikSS · March 25, 2022, 9:11am

Возможно, особенность направления.

% curl -v --max-time 10 https://play.google.com/ --connect-to ::ya.ru
* Connecting to hostname: ya.ru
*   Trying 87.250.250.242:443...
* Connected to ya.ru (87.250.250.242) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* Operation timed out after 10000 milliseconds with 0 bytes received
* Closing connection 0
curl: (28) Operation timed out after 10000 milliseconds with 0 bytes received

olegsvs · March 25, 2022, 12:21pm

МО, ростелеком - оба были недоступны, сейчас заработал https://play.google.com/.

UPD, play опять отвалился
16:30: на РТ открывается
19:50: опять блок

ValdikSS · March 25, 2022, 1:15pm

16:15: У меня начал открываться на одном провайдере (ОБИТ), но не на другом (Ростелеком).
16:40: Перестал открываться на ОБИТ.

mity47 · March 26, 2022, 5:42pm

C:\Users\Dimon>ping play.google.com

Обмен пакетами с play.google.com [64.233.165.100] с 32 байтами данных:
Ответ от 64.233.165.100: число байт=32 время=58мс TTL=248
Ответ от 64.233.165.100: число байт=32 время=60мс TTL=248
Ответ от 64.233.165.100: число байт=32 время=108мс TTL=248
Ответ от 64.233.165.100: число байт=32 время=26мс TTL=248

Статистика Ping для 64.233.165.100:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 26мсек, Максимальное = 108 мсек, Среднее = 63 мсек

C:\Users\Dimon>ping news.google.com

Обмен пакетами с news.google.com [74.125.205.138] с 32 байтами данных:
Ответ от 74.125.205.138: число байт=32 время=22мс TTL=105
Ответ от 74.125.205.138: число байт=32 время=23мс TTL=105
Ответ от 74.125.205.138: число байт=32 время=23мс TTL=105
Ответ от 74.125.205.138: число байт=32 время=23мс TTL=105

Статистика Ping для 74.125.205.138:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 22мсек, Максимальное = 23 мсек, Среднее = 22 мсек

Elevator · March 26, 2022, 7:41pm

А толку от пинга? ICMP никто не блокирует

diwenx · March 28, 2022, 1:01am

It looks like play.google.com has been included in the blocking registry, while news.google.com is not. Does this mean that for the latter, it is only blocked by TSPU (for now)?

diwenx · March 28, 2022, 1:36am

And it looks like they get hard throttled rather than outright blocking: it looks like once a triggering client hello is sent, if both sides keep sending rate low (~500 Bps), the traffic is able to pass through. It looks very similar to Twitter throttling in the early days (Early March).

ValdikSS · March 28, 2022, 9:23am

I see neither in the Registry.

Yes, as far as I understand, all these “tarpits” are actually very hard throttled traffic.

ValdikSS · March 28, 2022, 3:12pm

2 posts were split to a new topic: How to check Russian Registry

libneko · March 29, 2022, 11:19am

Тоже удалось воспроизвести блокировку при обращении к сторонним хостам с play.google.com в SNI:

▲ ~ curl -vik --resolve play.google.com:443:104.16.249.249 --max-time 10 https://play.google.com
* Added play.google.com:443:104.16.249.249 to DNS cache
* Hostname play.google.com was found in DNS cache
*   Trying 104.16.249.249:443...
* Connected to play.google.com (104.16.249.249) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* Operation timed out after 10001 milliseconds with 0 out of 0 bytes received
* Closing connection 0
curl: (28) Operation timed out after 10001 milliseconds with 0 out of 0 bytes received

▲ ~ curl -vik --resolve test.google.com:443:104.16.249.249 --max-time 10 https://test.google.com
* Added test.google.com:443:104.16.249.249 to DNS cache
* Hostname test.google.com was found in DNS cache
*   Trying 104.16.249.249:443...
* Connected to test.google.com (104.16.249.249) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-ECDSA-CHACHA20-POLY1305
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=San Francisco; O=Cloudflare, Inc.; CN=cloudflare-dns.com
*  start date: Oct 25 00:00:00 2021 GMT
*  expire date: Oct 25 23:59:59 2022 GMT
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x14d813200)
> GET / HTTP/2
> Host: test.google.com
> user-agent: curl/7.77.0
> accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS == 256)!
< HTTP/2 403
HTTP/2 403
< server: cloudflare
server: cloudflare
< date: Tue, 29 Mar 2022 11:15:58 GMT
date: Tue, 29 Mar 2022 11:15:58 GMT
< content-type: text/html
content-type: text/html
< content-length: 151
content-length: 151
< cf-ray: 6f3830d3f9419d43-DME
cf-ray: 6f3830d3f9419d43-DME

<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>cloudflare</center>
</body>
</html>
* Connection #0 to host test.google.com left intact

Если делаю запрос на cloudflare с play.google.com в SNI - блокирует, если передаю test.google.com - нет