Замедление Twitter в России

Internet censorship all around the world Russia
43

dropboxusercontent.com

44

Из комментариев на TJ: Роскомнадзор вместе с твиттером замедлил все сайты с «t.co» в домене, включая RT, Microsoft и GitHub — Новости на TJ

f5c93219-eb83-5dd1-be1f-7a27f75cd400
f5c93219-eb83-5dd1-be1f-7a27f75cd4001060×352 72 KB

45

:thinking: :thinking: :thinking:

Ростелеком с игровым тарифом 800 Мбит/c: после запуска h2load на http://microsoft.com у половины города начинает лагать интернет

сразу после этого все начинает работать как обычно (быстро), наверное ТСПУ уходи в байпас

https://twitter.com/dimon49468174/status/1369665878762156033

46

Всё таки сэкономили черти :rofl:

47

DigiCert CRL & OCSP

crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com

49

На двух каналах в Санкт-Петербурге ТСПУ настроен так, как будто стоит сразу за клиентом, на первом хопе. Т.е. я запускаю GoodbyeDPI с ttl=2, и шейпер обходится.
Я уже здесь где-то писал об этом.

50

Грепнул список траффистых доменов и сабов, ситуация рука-лицо :frowning:

51

eset.com, avast.com, мило.

52

На всякий случай документирую: у меня всё ещё (20:21 10.03.2021 МСК) ничего не исправлено, загрузка rt.com происходит со скоростью 128 кбит/с.

53

Рекомендованная схема установки ТСПУ на сети операторов связи - в разрыв аплинковых интерфейсов BNG/BRAS

54

В копилку yt3.ggpht.com, у ютуба там картинки. По 19 секунд грузятся.

56

Протестировал картинку с твиттера на всех российских серверах ping-admin — замедления не вижу.
Тем временем, на моём домашнем подключении оно сохраняется (для всех доменов, содержащих t co). У меня загрузка картинки занимает 20 секунд.

Screenshot_2021-03-10 Бесплатная проверка доступности сайта из различных частей мира Ping-Admin Ru — мониторинг сайтов и се...(2)-fs8
Screenshot_2021-03-10 Бесплатная проверка доступности сайта из различных частей мира Ping-Admin Ru — мониторинг сайтов и се...(2)-fs81125×4997 473 KB

57

Пытаюсь разобраться в теме, а как вы подключаетесь напрямую по IP по HTTPS?
Миссклик был)

58

Почти все сегодняшние тесты делал через curl. Он имеет опцию --resolve, которая присваивает IP-адрес любому домену, позволяя таким образом использовать домен в TLS SNI.
Также можно просто передавать верный заголовок Host, а в адресе указывать IP.

Выше в видео есть примеры, посмотрите.

59

извеняюсь, но я правильно понял что по стандарту TLS SNI клиент явно передает домен при начале TLS соединения и именно момент TLS соединения замедляет РКН?

60

Правильно.

Замедляется вся TCP-сессия (все дальнейшие пакеты в пределах сессии).

61

Вот тут конкретно не могу понять, что происходит, как идёт подключение без SNI, вообще без шифрования?

20210310_235832
20210310_2358321280×184 50.6 KB

И блокировка сторонних доменов может быть вызвана неправильно настроенным DPI?
20210311_001721

62

Оно идёт со SNI, на самом деле (я немного соврал). В SNI в этом случае передаётся не домен, а IP-адрес: 192.229.220.133.

  1. Устанавливается TLS-подключение, в ClientHello SNI передаётся 192.229.220.133.
  2. Сервер отвечает каким-то сертификатом, неважно каким. curl игнорирует его проверку (опция -k)
  3. Внутри TLS-сессии, в HTTP-запросе передается правильный домен (Host: video.twimg.com).

Итого — DPI видит только IP-адрес в SNI, а сервер на этом IP-адресе видит корректный домен в HTTP-запросе.

63

Мегафон 4G — замедление любых доменов t co есть прямо сейчас, как минимум, в Московской области.

64

Ростелеком Самарская обл. — замедления нет.
Ростелеком Пермский край перестал замедлять все сайты по маске *t.co*, остался только твиттер.