Замедление Twitter в России

Mixaill · 2021-03-10T14:37:10.759Z

Steam

cache-domains/steam.txt at master · uklans/cache-domains (github.com)

*.steamcontent.com
clientconfig.akamai.steamtransparent.com

bolvan · 2021-03-10T14:46:40.984Z

zhenyolka:

И все же я бы предложил провести тест, чтобы понять, где именно стоят DPI, реализующие новые блокировки. Для этого надо взять какой-нибудь сайт без “t.co ”. Потом отправить ему пакет с определенным низким ttl. В sni этого пакета указать “t.co ”. Далее необходимо начать нормальный обмен данными с этим сайтом на том же сокете, измеряя при этом скорость. Алгоритм повторять увеличивая значение ttl до тех пор, пока не станет резаться скорость.

Это делается средствами nfqws
nfqws --qnum=200 --debug --dpi-desync=fake --dpi-desync-ttl=5 --dpi-desync-fake-tls=/tmp/x/microsoft.sni.bin

провайдер tiera
Обращаюсь к незаблокированному сайту без t.co. Скачиваю файл 50 мб. Скорость норм.
Запускаю nfqws. Скорость медленная.
Уменьшаю TTL до 4. Скорость нормальная.
На 5 хопе находится суверенный DPI. Мой обычный обход блокировок работает с ttl=5.
Значит замедление выполняется на том же девайсе или девайсе с тем же хопом

TLS client hello 517 байт от microsoft.com дампануто через wireshark и записано в файл

Если сделать наоборот. То есть взять сайт с t.co, подсунуть tls client hello без t.co (вариант fake по умолчанию), то скорость все равно медленная.
Следовательно логично предположить, что DPI мониторит всю сессию или по крайней мере не только первый запрос на предмет TLS ClientHello, и если видит совпадение по правилу, то включает TCB (TCP Control Block) в замедление
Сплита TLS ClientHello достаточно, чтобы триггер замедления не сработал

ValdikSS · 2021-03-10T14:50:17.507Z

dropboxusercontent.com

ValdikSS · 2021-03-10T15:07:39.597Z

Из комментариев на TJ: Роскомнадзор вместе с твиттером замедлил все сайты с «t.co» в домене, включая RT, Microsoft и GitHub — Новости на TJ

f5c93219-eb83-5dd1-be1f-7a27f75cd4001060×352 72 KB

ValdikSS · 2021-03-10T15:16:08.214Z

Ростелеком с игровым тарифом 800 Мбит/c: после запуска h2load на http://microsoft.com у половины города начинает лагать интернет

сразу после этого все начинает работать как обычно (быстро), наверное ТСПУ уходи в байпас

twitter.com

dimon (dimon49468174)

@ValdikSS Ростелеком с игровым тарифом 800 Мбит/c: после запуска h2load на https://t.co/0AtK90CD60 у половины города начинает лагать интернет

07:06 - 10. März 2021

hookz · 2021-03-10T15:21:48.922Z

Всё таки сэкономили черти

Mixaill · 2021-03-10T15:36:57.178Z

DigiCert CRL & OCSP

crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com

ValdikSS · 2021-03-10T16:22:56.658Z

На двух каналах в Санкт-Петербурге ТСПУ настроен так, как будто стоит сразу за клиентом, на первом хопе. Т.е. я запускаю GoodbyeDPI с ttl=2, и шейпер обходится.
Я уже здесь где-то писал об этом.

justguest · 2021-03-10T16:30:41.639Z

Грепнул список траффистых доменов и сабов, ситуация рука-лицо

arxius.io

[File] t.com.txt - Arxius

File, image, audio, video, and paste sharing made easy.

ValdikSS · 2021-03-10T17:18:49.765Z

eset.com, avast.com, мило.

ValdikSS · 2021-03-10T17:21:39.740Z

На всякий случай документирую: у меня всё ещё (20:21 10.03.2021 МСК) ничего не исправлено, загрузка rt.com происходит со скоростью 128 кбит/с.

Grunge · 2021-03-10T17:37:12.641Z

Рекомендованная схема установки ТСПУ на сети операторов связи - в разрыв аплинковых интерфейсов BNG/BRAS

ValdikSS · 2021-03-10T18:24:27.460Z

В копилку yt3.ggpht.com, у ютуба там картинки. По 19 секунд грузятся.

habr.com

РКН замедляет Twitter

Роскомнадзор сообщил, что ведомство приняло «срочные меры по защите российских граждан от влияния противоправного контента в соцсети Twitter, поскольку компани...

ValdikSS · 2021-03-10T20:11:19.795Z

Протестировал картинку с твиттера на всех российских серверах ping-admin — замедления не вижу.
Тем временем, на моём домашнем подключении оно сохраняется (для всех доменов, содержащих t co). У меня загрузка картинки занимает 20 секунд.

Screenshot_2021-03-10 Бесплатная проверка доступности сайта из различных частей мира Ping-Admin Ru — мониторинг сайтов и се...(2)-fs81125×4997 473 KB

GabbyFreez · 2021-03-10T20:14:55.777Z

Пытаюсь разобраться в теме, а как вы подключаетесь напрямую по IP по HTTPS?
Миссклик был)

ValdikSS · 2021-03-10T20:21:15.854Z

Почти все сегодняшние тесты делал через curl. Он имеет опцию --resolve, которая присваивает IP-адрес любому домену, позволяя таким образом использовать домен в TLS SNI.
Также можно просто передавать верный заголовок Host, а в адресе указывать IP.

Выше в видео есть примеры, посмотрите.

delete-user · 2021-03-10T20:42:38.454Z

извеняюсь, но я правильно понял что по стандарту TLS SNI клиент явно передает домен при начале TLS соединения и именно момент TLS соединения замедляет РКН?

ValdikSS · 2021-03-10T20:48:08.632Z

delete-user:

я правильно понял что по стандарту TLS SNI клиент явно передает домен при начале TLS соединения

Правильно.

delete-user:

и именно момент TLS соединения замедляет РКН?

Замедляется вся TCP-сессия (все дальнейшие пакеты в пределах сессии).

GabbyFreez · 2021-03-10T21:13:06.944Z

Вот тут конкретно не могу понять, что происходит, как идёт подключение без SNI, вообще без шифрования?

20210310_2358321280×184 50.6 KB

И блокировка сторонних доменов может быть вызвана неправильно настроенным DPI?
20210311_001721

ValdikSS · 2021-03-10T21:19:58.076Z

Оно идёт со SNI, на самом деле (я немного соврал). В SNI в этом случае передаётся не домен, а IP-адрес: 192.229.220.133.

Устанавливается TLS-подключение, в ClientHello SNI передаётся 192.229.220.133.
Сервер отвечает каким-то сертификатом, неважно каким. curl игнорирует его проверку (опция -k)
Внутри TLS-сессии, в HTTP-запросе передается правильный домен (Host: video.twimg.com).

Итого — DPI видит только IP-адрес в SNI, а сервер на этом IP-адресе видит корректный домен в HTTP-запросе.