Блокировка статического контента Youtube yt3.ggpht.com на ТСПУ

02.03.2022 наблюдается блокировка домена yt3.ggpht.com сервиса Youtube, который используется для загрузки картинок (в частности, логотипов каналов и аватаров) и другого статического контента на Youtube.
Блокировка осуществляется системой ТСПУ DPI, на провайдерах, где эта система установлена. TCP-соединение закрывается пакетом TCP RSTACK в ответ на HTTP-запрос, содержащий этот домен, либо HTTPS TLS ClientHello в поле SNI.

Сервис ping-admin показывает доступность сервиса в целом (на серверных и транзитных каналах ТСПУ почти не встречается). Соединение с провайдеров ОБИТ, Ростелеком, МТС и Tele2 (все с ТСПУ) не получают положительный ответ на HTTP и HTTPS-запросы до этого домена, причём с другими доменами при запросе на этот же адрес проблем не наблюдается. Также блокируются запросы на другие IP-адреса с этим доменом, что подрвеждает наличие фильтра, а не внезапные сетевые проблемы.

% curl http://yt3.ggpht.com/ -v
*   Trying 173.194.220.132:80...
* Connected to yt3.ggpht.com (173.194.220.132) port 80 (#0)
> GET / HTTP/1.1
> Host: yt3.ggpht.com
> User-Agent: curl/7.80.0
> Accept: */*
> 
* Recv failure: Connection reset by peer
* Closing connection 0
curl: (56) Recv failure: Connection reset by peer
% curl http://yt3.ggpht.com/ -v --connect-to ::31.220.5.43
* Connecting to hostname: 31.220.5.43
*   Trying 31.220.5.43:80...
* Connected to 31.220.5.43 (31.220.5.43) port 80 (#0)
> GET / HTTP/1.1
> Host: yt3.ggpht.com
> User-Agent: curl/7.80.0
> Accept: */*
> 
* Recv failure: Connection reset by peer
* Closing connection 0
curl: (56) Recv failure: Connection reset by peer
% curl http://yt3.ggpht.coZ/ -v --connect-to ::31.220.5.43
* Connecting to hostname: 31.220.5.43
*   Trying 31.220.5.43:80...
* Connected to 31.220.5.43 (31.220.5.43) port 80 (#0)
> GET / HTTP/1.1
> Host: yt3.ggpht.coZ
> User-Agent: curl/7.80.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Server: nginx/1.10.3
< Date: Wed, 02 Mar 2022 15:18:22 GMT
< Content-Type: text/html
< Content-Length: 4335
< Last-Modified: Wed, 06 May 2020 03:38:37 GMT
< Connection: keep-alive
< ETag: "5eb2313d-10ef"
< Accept-Ranges: bytes
< 
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx on Debian!</title>
…

Screenshot_20220302_184652-fs8

Домен опять доступен. Видимо, из-за запросов о проблеме со стороны Медузы и Интерфакса в Роскомнадзор.

Давайте все же рассуждать логически опираясь на 2 простых факта:

  1. Используется https который не позволяет прочесть поле host из http запроса.
  2. На этом же IP открываются другой сервис.

Никакие Российские средства не могут вычленить из запроса доменное имя из-за https (если конечно они не научились хачить его :)). Следственно, это делается на стороне самого гугла а не всякие там российские шпионские технологии.

Проверял на мегафоне спб, аватарки не грузились

A post was merged into an existing topic: OONI reports of Tor blocking in certain ISPs since 2021-12-01

В HTTPS домен передаётся в поле SNI (Server Name Indication).

Не знал, спасибо.

Encrypted Client Hello в Firefox может позволяет обойти блокировки?

ECH в данный момент не поддерживается условно нигде на серверной стороне. Twitter однозначно его не поддерживает.

Теперь заблокировали официально, через Реестр.

Я так понимаю, что начали YouTube резать по частям? Потому что ссылки-то в реестре уже давно были, но в выгрузки не попадали.

Блочится только одна картинка с потерями РФ, плюс эта картинка не грузится в ВК. На самом деле очень грубая блокировка со стороны РКН

Сделал Расширение которое возвращает аватарки на Ютуб.

Chrome: СКАЧАТЬ
FireFox: СКАЧАТЬ

А какую картинку конкретно забанили? Спустя год до сих пор в бане. Жесть.

На тему СВО

(https) /n_4285828 2022-04-15 /d_xrkf25vtp4vwp
• ст. 15.3 (Статья 15.3. Порядок ограничения доступа к информации, распространяемой с нарушением закона \ КонсультантПлюс), мятеж и фейки
внесено: 2022-04-22T00:05:14+03:00

domain: yt3.ggpht.com

url: https://yt3.ggpht.com/F02Qk_T2Hlip9e8MfUkuy_0yE2YYj_HK9O086UTnySiuUvM4uH8ZlEepgXvpsjY9NGjvvL-Pd_ID_Q=s640-nd-v1