Замедление Twitter в России

dropboxusercontent.com

Из комментариев на TJ: Роскомнадзор вместе с твиттером замедлил все сайты с «t.co» в домене, включая RT, Microsoft и GitHub — Новости на TJ

:thinking: :thinking: :thinking:

Ростелеком с игровым тарифом 800 Мбит/c: после запуска h2load на http://microsoft.com у половины города начинает лагать интернет

сразу после этого все начинает работать как обычно (быстро), наверное ТСПУ уходи в байпас

Всё таки сэкономили черти :rofl:

DigiCert CRL & OCSP

crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com

На двух каналах в Санкт-Петербурге ТСПУ настроен так, как будто стоит сразу за клиентом, на первом хопе. Т.е. я запускаю GoodbyeDPI с ttl=2, и шейпер обходится.
Я уже здесь где-то писал об этом.

Грепнул список траффистых доменов и сабов, ситуация рука-лицо :frowning:

eset.com, avast.com, мило.

На всякий случай документирую: у меня всё ещё (20:21 10.03.2021 МСК) ничего не исправлено, загрузка rt.com происходит со скоростью 128 кбит/с.

Рекомендованная схема установки ТСПУ на сети операторов связи - в разрыв аплинковых интерфейсов BNG/BRAS

В копилку yt3.ggpht.com, у ютуба там картинки. По 19 секунд грузятся.

Протестировал картинку с твиттера на всех российских серверах ping-admin — замедления не вижу.
Тем временем, на моём домашнем подключении оно сохраняется (для всех доменов, содержащих t co). У меня загрузка картинки занимает 20 секунд.

Пытаюсь разобраться в теме, а как вы подключаетесь напрямую по IP по HTTPS?
Миссклик был)

Почти все сегодняшние тесты делал через curl. Он имеет опцию --resolve, которая присваивает IP-адрес любому домену, позволяя таким образом использовать домен в TLS SNI.
Также можно просто передавать верный заголовок Host, а в адресе указывать IP.

Выше в видео есть примеры, посмотрите.

извеняюсь, но я правильно понял что по стандарту TLS SNI клиент явно передает домен при начале TLS соединения и именно момент TLS соединения замедляет РКН?

Правильно.

Замедляется вся TCP-сессия (все дальнейшие пакеты в пределах сессии).

Вот тут конкретно не могу понять, что происходит, как идёт подключение без SNI, вообще без шифрования?


И блокировка сторонних доменов может быть вызвана неправильно настроенным DPI?
20210311_001721

Оно идёт со SNI, на самом деле (я немного соврал). В SNI в этом случае передаётся не домен, а IP-адрес: 192.229.220.133.

  1. Устанавливается TLS-подключение, в ClientHello SNI передаётся 192.229.220.133.
  2. Сервер отвечает каким-то сертификатом, неважно каким. curl игнорирует его проверку (опция -k)
  3. Внутри TLS-сессии, в HTTP-запросе передается правильный домен (Host: video.twimg.com).

Итого — DPI видит только IP-адрес в SNI, а сервер на этом IP-адресе видит корректный домен в HTTP-запросе.

Мегафон 4G — замедление любых доменов t co есть прямо сейчас, как минимум, в Московской области.

Ростелеком Самарская обл. — замедления нет.
Ростелеком Пермский край перестал замедлять все сайты по маске *t.co*, остался только твиттер.