Замедление Twitter в России

icloud-content.com

Вот айфоноводы удивятся

Steam

cache-domains/steam.txt at master · uklans/cache-domains (github.com)

*.steamcontent.com
clientconfig.akamai.steamtransparent.com

Это делается средствами nfqws
nfqws --qnum=200 --debug --dpi-desync=fake --dpi-desync-ttl=5 --dpi-desync-fake-tls=/tmp/x/microsoft.sni.bin

провайдер tiera
Обращаюсь к незаблокированному сайту без t.co. Скачиваю файл 50 мб. Скорость норм.
Запускаю nfqws. Скорость медленная.
Уменьшаю TTL до 4. Скорость нормальная.
На 5 хопе находится суверенный DPI. Мой обычный обход блокировок работает с ttl=5.
Значит замедление выполняется на том же девайсе или девайсе с тем же хопом

TLS client hello 517 байт от microsoft.com дампануто через wireshark и записано в файл

Если сделать наоборот. То есть взять сайт с t.co, подсунуть tls client hello без t.co (вариант fake по умолчанию), то скорость все равно медленная.
Следовательно логично предположить, что DPI мониторит всю сессию или по крайней мере не только первый запрос на предмет TLS ClientHello, и если видит совпадение по правилу, то включает TCB (TCP Control Block) в замедление
Сплита TLS ClientHello достаточно, чтобы триггер замедления не сработал

dropboxusercontent.com

Из комментариев на TJ: Роскомнадзор вместе с твиттером замедлил все сайты с «t.co» в домене, включая RT, Microsoft и GitHub — Новости на TJ

:thinking: :thinking: :thinking:

Ростелеком с игровым тарифом 800 Мбит/c: после запуска h2load на http://microsoft.com у половины города начинает лагать интернет

сразу после этого все начинает работать как обычно (быстро), наверное ТСПУ уходи в байпас

Всё таки сэкономили черти :rofl:

DigiCert CRL & OCSP

crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com

На двух каналах в Санкт-Петербурге ТСПУ настроен так, как будто стоит сразу за клиентом, на первом хопе. Т.е. я запускаю GoodbyeDPI с ttl=2, и шейпер обходится.
Я уже здесь где-то писал об этом.

Грепнул список траффистых доменов и сабов, ситуация рука-лицо :frowning:

eset.com, avast.com, мило.

На всякий случай документирую: у меня всё ещё (20:21 10.03.2021 МСК) ничего не исправлено, загрузка rt.com происходит со скоростью 128 кбит/с.

Рекомендованная схема установки ТСПУ на сети операторов связи - в разрыв аплинковых интерфейсов BNG/BRAS

В копилку yt3.ggpht.com, у ютуба там картинки. По 19 секунд грузятся.

Протестировал картинку с твиттера на всех российских серверах ping-admin — замедления не вижу.
Тем временем, на моём домашнем подключении оно сохраняется (для всех доменов, содержащих t co). У меня загрузка картинки занимает 20 секунд.

Пытаюсь разобраться в теме, а как вы подключаетесь напрямую по IP по HTTPS?
Миссклик был)

Почти все сегодняшние тесты делал через curl. Он имеет опцию --resolve, которая присваивает IP-адрес любому домену, позволяя таким образом использовать домен в TLS SNI.
Также можно просто передавать верный заголовок Host, а в адресе указывать IP.

Выше в видео есть примеры, посмотрите.

извеняюсь, но я правильно понял что по стандарту TLS SNI клиент явно передает домен при начале TLS соединения и именно момент TLS соединения замедляет РКН?

Правильно.

Замедляется вся TCP-сессия (все дальнейшие пакеты в пределах сессии).

Вот тут конкретно не могу понять, что происходит, как идёт подключение без SNI, вообще без шифрования?


И блокировка сторонних доменов может быть вызвана неправильно настроенным DPI?
20210311_001721