Замедление Twitter в России

ValdikSS · 2021-03-10T21:21:55.095Z

Мегафон 4G — замедление любых доменов t co есть прямо сейчас, как минимум, в Московской области.

koderr · 2021-03-10T21:33:02.627Z

Ростелеком Самарская обл. — замедления нет.
Ростелеком Пермский край перестал замедлять все сайты по маске *t.co*, остался только твиттер.

darkk · 2021-03-10T21:43:49.606Z

В Питере тоже наблюдаю дурь с *t.co* на мобильном Мегафоне.

Пару-тройку раз сравнил скорости скачивания одного и того же файла с одного и того же сервера по двум разным DNS-именам:

https://foot.code.wafl.darkk.net.ru/10M - скачивается где-то пять минут
https://wafl.darkk.net.ru/10M - скачивается единицы секунд

Справедливости ради отмечу, что в текущую секунду проблема не повсеместная, я потыкал свои старые пробники на домашних подключениямх у десятка разных провайдеров в тройке регионов – нигде не заметил замедления, кроме как на пробнике у @ValdikSS

T1MOX4 · 2021-03-10T22:20:18.530Z

Нашел вот такой сервис, по его версии по маске t.co попало под фильтр почти 3млн доменов.
https://index.woorank.com/en/reviews?url=t.co

hookz · 2021-03-10T22:23:05.622Z

Хорошая находка, но интересуют конечно же RU-владельцы (https://index.woorank.com/en/reviews?countries=RU&url=t.co)

darkk · 2021-03-11T00:09:41.005Z

Вдохновился идеей Здольникова и сделал чуть более методологически корректный тест в браузере: https://speed.gulag.link/

photo_2021-03-11_03-02-38714×1013 42.1 KB

Исходники и собранный с помощью дорогого коллеги бинарь живут на GitHub - darkk/ru-twi-ndt7: Rapid test for *t.co* throttling Используются домены speed.gulag.link и t.co.speed.gulag.link. Сервер крутится на минимальном Startdust-инстансе в Scaleway, т.е. больше 100 мегабит он не выдаст никогда, но для детекта разницы между одним мегабитом и десятью – сойдёт.

GabbyFreez · 2021-03-11T05:57:40.524Z

Так, для полноты картины опишу свою модель понимания.
Соединение происходит по следующей схеме:

Я пишу в строку браузера URL
Моя система знает IP DNS и передает на него запрос ip сервера под нужным мне доменом, dns возвращает мне нужный ip
Я зная ip сервера отравляю TCP пакет, в котором данные о типе шифрования
3.1 Если на ip один домен, то он сразу дает мне сертификат
3.2 Если на ip много доменов то я в TCP включаю SNI, чтобы сервер вернул нужный сертификат.
Я сверяю домен и сертификат.
Обмениваемся ключами с сервером
Отправляю шифрованный http запрос

Если я правильно понял схему, то вопрос, зачем в SNI передавать IP? Мы же игнорируем проверку сертификата, следовательно, можно любую тарабарщину передавать и соединяться, при этом DPI РКН не увидит домена в SNI, а в http тем более, так как он зашифрован в TLS

libneko · 2021-03-11T06:04:29.605Z

GabbyFreez:

Так, для полноты картины опишу свою модель понимания.
Соединение происходит по следующей схеме:

Я пишу в строку браузера URL

Моя система знает IP DNS и передает на него запрос ip сервера под нужным мне доменом, dns его возвращает

Я зная ip сервера отравляю TCP пакет, в котором данные о типе шифрования
3.1 Если на ip один домен, то он сразу дает мне сертификат
3.2 Если на ip много доменов то я в TCP включаю SNI, чтобы сервер вернул нужный сертификат.

Я сверяю домен и сертификат.

Обмениваемся ключами с сервером

Шифрованный http запрос

Если я правильно понял схему, то вопрос, зачем в SNI передавать IP? Мы же игнорируем проверку сертификата, следовательно, можно любую тарабарщину передавать.

Не совсем. SNI передается современными браузерами всегда, и уже на его основе сервер выдает нам сертификат. Курлом в SNI передается IP чисто потому что курл всегда передает хост в SNI, айпи нужен чтобы в SNI не попал оригинальный домен и сессия не зашейпилась. В дальнейшем уже в HTTP-хедерах передается хост, чтобы конечный веб-сервер верно определил на какой vhost ему пришел запрос, SNI для этого не используется.

libneko · 2021-03-11T06:18:27.260Z

Подсказали простое решение для iOS, которое обходит шейпер: Cloudflare-овский 1.1.1.1 + WARP

App Store

‎1.1.1.1: Faster Internet

‎1.1.1.1 w/ WARP – the free app that makes your Internet more private. 1.1.1.1 w/ WARP makes your Internet more private and safer. No one should be able to snoop on what you do on the Internet. We’ve created 1.1.1.1 so that you can connect to the...

bolvan · 2021-03-11T06:56:11.953Z

tiera SPB
9:55 11.03.2021

все по старому. замедление на github user content, на microsoft, reddit
на твиттер по прежнему быстро. страницы и видео без проблем

libneko · 2021-03-11T07:10:22.321Z

Немного личных наблюдений:

http с t.co в хосте не шейпится, только SSL шейпится!
tco (без точки) не шейпится
Судя по всему, ВСЕ урлы выбираются регуляркой, просто на остальных это не так заметно (вряд ли у кого-то в домене случайно затесается pbs.twimg.com). Проверял на поддомене вида pbs.twimg.com.my.own.domain. Надо посмотреть, к каким еще достаточно коротким доменам у РКН есть претензии

Evg · 2021-03-11T07:12:27.885Z

ValdikSS, вы уже знаменитость

РБК

Эксперты поспорили о проблемах с доступом к RT из-за мер по Twitter

Ограничения Роскомнадзора в отношении Twitter действительно могли повлиять на работу ресурсов с сочетанием t.co в домене, но вряд ли могли сказаться на доступе к сайтам госорганов, считают эксперты

GabbyFreez · 2021-03-11T07:40:22.584Z

Я предполагаю их правило примерно как слева, понятное дело сложнее, и включены еще другие домены, но выглядит как тривиальная ошибка регулярки и игнорирование предварительных правил тестирования.
photo_2021-03-10_20-19-37

StudioMaX · 2021-03-11T07:45:48.563Z

Ради интереса, проверял ли кто-нибудь домены *t.co* через QUIC, т.е. UDP?

libneko · 2021-03-11T07:46:13.345Z

Кажется, шейпится и простой HTTP, без SSL:

curl -Lo /dev/null -v http://a.t.co.kanamori.loweffort.media/100MB.bin -k -H "Host: a.t.co.kanamori.loweffort.media"

15 КБ/с

bolvan · 2021-03-11T07:46:51.832Z

libneko:

tco (без точки) не шейпится

точка в regexp это любой символ. пустой символ к точке не относится, поэтому tco не подпадает под t.co. подпадает toco, например. проверил на grep -E

libneko · 2021-03-11T07:49:49.421Z

bolvan:

точка в regexp это любой символ. пустой символ к точке не относится, поэтому tco не подпадает под t.co. подпадает toco, например. проверил на grep -E

У меня на доменах вроде “taco” не шейпит:

curl -Lo /dev/null -v https://taco.kanamori.loweffort.media/100MB.bin -k

2-3 МБ/с

При этом,

curl -Lo /dev/null -v https://t.co.kanamori.loweffort.media/100MB.bin -k

15 КБ/с

curl · 2021-03-11T08:11:42.670Z

ValdikSS:

В SNI в этом случае передаётся не домен, а IP-адрес: 192.229.220.133.

ValdikSS:

в ClientHello SNI передаётся 192.229.220.133.

libneko:

Курлом в SNI передается IP чисто потому что курл всегда передает хост в SNI

Nope

github.com

curl/curl/blob/master/lib/vtls/gtls.c#L530


  rc = gnutls_init(&backend->session, init_flags);
  if(rc != GNUTLS_E_SUCCESS) {
    failf(data, "gnutls_init() failed: %d", rc);
    return CURLE_SSL_CONNECT_ERROR;
  }
  /* convenient assign */
  session = backend->session;
  if((0 == Curl_inet_pton(AF_INET, hostname, &addr)) &&
#ifdef ENABLE_IPV6
     (0 == Curl_inet_pton(AF_INET6, hostname, &addr)) &&
#endif
     sni &&
     (gnutls_server_name_set(session, GNUTLS_NAME_DNS, hostname,
                             strlen(hostname)) < 0))
    infof(data, "WARNING: failed to configure server name indication (SNI) "
          "TLS extension\n");
  /* Use default priorities */

darkk · 2021-03-11T08:14:40.650Z

Да, я тоже шейпинга на taco не наблюдал. Собственно, оттуда и имя файла https://speed.gulag.link/taco.js и потому в заголовке *t.co* в стиле unix glob, а не regexp

bolvan · 2021-03-11T08:25:06.094Z

darkk:

https://speed.gulag.link/taco.js

Они могут видеть только домен. После / - не могут