спасибо за ссылку, проверю потом, вообще странная штука, теперь lobste.rs и парочка других из akamai/do открывает без проблем, уже не в первый раз такое наблюдаю за сегодня-вчера, какое то время полный блок(тсп хендшей проходит), и внезапно все начинает работать
Побольше читать. Тогда повысят уровень доверия.
Рутракер регулярно начинает подтупливать и никакие стратегии не помогают.
Вообще и никак. Не помогает смена IP cloudflare. На родном IP рутракера ннмклуб норм.
Причем с другого прова в этот момент может работать.
С animejoy похожая штука.
Подозреваю, что дело не в обходе клиент-сервер, а где-то на этапе фронтенд-бэкенд
Когда начнет тупить посмотрите в акуле приходит ли ACK от сервера после client hello.
Если да, значит фронтенд принял пакет, блокировка обойдена.
Если блокировка есть (часть, которая не 16к), то ACK не придет. ТСПУ зарубит сразу же туплы после палевного client hello.
На первом этапе работает черный список. На втором этапе белый список.
В блокчеке available, броузер не открывает и 16к - значит черный обойден, белый нет.
рутрахер тупняки (10-30 сек но полные страницы )имхо правильно выдвинули теорию что это ихняя кривоватая ddos защита
а вот почему именно анимеджой так насилуют х.з.
точно от времени зависит. ночью наглухо, днём рандом.
и имхо 146%дело в маршруте через 172.68.8.49(51,53)
с ними самое неясное - как quic расшифровывают на размер файлов…
в quic нельзя расшифровать что-то, кроме начальных initial.
но можно считать connbytes
а как сопоставляют отдельный файл? в потоке где куча файлов с сайта?
инитал то разовый же? он пролазит раз сайт открылся. а дальше уже внутре от размера зависит…
и что убивает моск сильней всего… можно и 500к из 700 скачать НО тутже лишь 100к из 200
и как вишенка на торте = можно 700к из 700 если адрес с uri ******.webp - как ещё кроме как расшифровкой на лету объяснить такое - х.з.
Сопоставить файл или другие передаваемые данные внутри https и quic невозможно.
Только по внешним характеристикам потока
Чудес не бывает.
Но бывает линк дальше фронтенда, что там мы не знаем и влиять не можем.
Давным давно помню lostfilm под https показывал заглушку MTS. mitm не было. Что, расшифровали ?
Гугловский AI утверждает, что внутри cloudflare присутствует своя сеть инкапсулированной маршрутизации, которую он включает динамически. Если напрямую до бэкэнд не доходит, то может включиться проброс.
Делаем curl на рутракер (если еще работает) , смотрим хедер cf-ray. DME - Россия, ARN - Швеция.
Это терминирующий узел. Коды аэропортов.
Если висит, можно просто попингать фронтенд и глянуть его geoip. Тогда ясно будет куда приземляемся.
Но дальше он может сам решить гнать напрямую до backend, и там пойдет TLS. Если владелец сайта SNI оставил таким же в настройках клауда и бэкенда, то из DME оно может нарваться на ТСПУ.
А если сработала динамическая маршрутизация-инкапсуляция, тогда ТСПУ отваливается.
Официально Cloudflare называет свою внутреннюю сеть
Cloudflare Global Backbone. Это частная сеть из тысяч километров оптоволокна, которая соединяет их дата-центры, минуя публичный интернет.
- Как работает внутренний роутинг?
Когда запрос попадает на “фронтенд” (например, в DME), Cloudflare решает: обработать его локально или отправить на другой узел. За это отвечает технология Argo Smart Routing.
- Anycast на входе: Пакет летит до ближайшего IP.
- Layer 7 Decision: Если узел в Москве понимает, что прямой путь до бэкенда заблокирован или перегружен, он отправляет запрос по Backbone.
- Argo: Алгоритм постоянно мониторит задержки и потери пакетов между всеми своими узлами (как Waze для интернета) и выбирает лучший путь.
- Во что заворачивается HTTPS (Интерконнект)?
Внутри своей сети Cloudflare не использует стандартный HTTPS в чистом виде для передачи вашего запроса. Они используют проприетарные протоколы инкапсуляции.
- Argon / Cloudflare Tunnel: Для связи между дата-центрами часто используется инкапсуляция в UDP или кастомные реализации gRPC/HTTP2.
- TLS внутри TLS: Ваша исходная сессия (если вы используете шифрование) терминируется на фронтенде. Для передачи данных на другой узел или бэкенд создается новая сессия.
- Инкапсуляция: Пакеты упаковываются в защищенные тоннели (похожие на GRE или IP-in-IP, но на прикладном уровне). Для ТСПУ это выглядит как огромный поток неразличимых данных между IP-адресами Cloudflare.
- Ключевые технологии (что гуглить):
Если хотите глубоко погрузиться в тему, ищите статьи в официальном Cloudflare Blog (у них отличный инженерный отдел):
- “Cloudflare Network Interconnect (CNI)” — о физическом соединении сетей.
- “How Argo Smart Routing works” — детальный разбор логики выбора путей.
- “Unlayering the Cloudflare stack” — про архитектуру Quicksilver (доставка конфигураций) и Frontline (обработка пакетов).
- “Anycast vs Unicast in Cloudflare” — как они управляют трафиком внутри сети.
Где почитать подробнее:
- Cloudflare Learning Center — базовые концепции сети и Anycast.
- Cloudflare Blog (Engineering category) — самый сок. Ищите статьи по ключевым словам “Backbone”, “Argo”, “Routing”.
- Документация Argo — технические детали того, как включается и работает умный роутинг.
Фактически, Cloudflare — это гигантский закрытый VPN внутри интернета, где выход в “открытый мир” (к вашему бэкенду) может произойти в любой точке планеты, где Cloudflare решит, что это безопаснее и быстрее.
Еще может быть банальная причина - перегрузка некоторых бэкендов.
В cloudflare есть лоад балансинг.
Если у рутракера целый кластер, у них могут зависать отдельные ноды.
Вчера у меня изредка прорывался ответ через tcp зависание.
Помню рутракер часто тупил подобным образом. Это уже несколько лет так.
То , что сегодня, вокресло, может лишь означать, что админ пнул померший сервачок.
зато есть повторяющиеся закономерности. у твоего прова к анимеджой есть в маршруте хопы 172.68.8.49(51,53)? не на провах всех они есть. но везде где они есть =одинаково мутный блок по времени\размеру
т.н. AI. но почему именно animejoy в “первую” очередь х.з…
очевидно что dpi уже вовнутре клауда и 172.68.8.49(51,53) это он и есть. т.е. московский вход в клауд. а дальше уже можно только гадать…
Подскажите куда копать почему на Андроиде всё работает идеально, а на ПК с виндой только youtube через запрет пашет, а всё остальное ни в какую? Запрет на openwrt.
Да, есть 172.68.8.53. Но ray у него - ARN.
Вряд ли поверю в возможность дешифровки.
Взлом алгоритмов шифрования - это из области фантастики, можно сразу отмести.
Остается либо сговор с клаудом и внедрение туда какого-то бэкдора , что так же не выдерживает никакой критики, либо статистика эвристика (это возможно, но сомнительно). Во-первых клауд не будет сговариваться, это вам не мейл сру и прочие, во-вторых почему именно anime и почему именно на 700 кб ? Бред собачий.
дешифровка или эвристика - х.з. и как и каким образом траф вовнутре клауда идёт (в плане шифрации) нам неясно. но т.к. вражина уже внутри их сети - всё может быть…
ну тут я уже не спорю, а в очередной раз предлагаю потестить. ибо собственных знаний нехватает
а тест показателен по 3м uri
https://animejoy.ru/engine/classes/min/index.php?charset=utf-8&g=general&21 100k из 200 при блоке (ночью наглухо)
https://animejoy.ru/uploads/screenwebp/Darwin_Jihen/53.web 500к из 700
и магическое
https://animejoy.ru/uploads/screenwebp/Darwin_Jihen/53.webp полная загрузка даже ночью
щас т..к. день блок ушёл но ночью\утром вновь будет. и он не 16к
и главное и по tls и по quic идентично
У меня они сейчас все загружаются без сбоев через curl с полным размером.
Естественно, с zapret2 на рутере.
Хотя по пути есть тот “волшебный” IP
предлагаю отстать от этого сайта, у них всего полгода назад был рандомный mitm на https сайте с переводом на заглушку билайна (который также к слову лечился сменой ip)
через что там идет трафик до CF неизвестно (сам сайт возможно сидит на рег.ру)
Спойлер
это было больше чем полгода взад
и там хотябы 146% понятная причина в serverhello была. в quic же ессно всё ок было
и не возможно а 146% с рег.сру связан - 404 ошибки лезут именно с него. но как это с клаудом связано непойму. кто у кого арендует и что именно х.з.
ну я ж говорю - “по расписанию” если не ночью то хотя б утром до 10.00мск сравни
Стратегия с fooling=ts? TCP timestamps на винде включены?
Спасибо! Включение TCP timestamps помогло.
Да, стратегия на fooling=ts, причем до прошлой недели работала отлично как есть.
Стоит вот на секунду расслабиться и какая-то новая обязательная фича проходит мимо.
Казалось бы чепуха, но я уже и опенврт с нуля ставил, и на чистой системе пробовал. Рил несколько дней убил, про TCP timestamps впервые слышу, пушто не интересовался, ибо итак всё работало норм долгое время. Вот бы была тема где собирались в шапку подобные штуки и их можно было без труда отслеживать не захламляя топик нубскими вопросами.
Чем fakedsplit отличается от hostfakesplit? Рутрекер открылся именно с ним.
Еще вопрос по поводу донатов. Почему нет СБП, у Валдикса есть. Я просто далек от этих биткойнов. Мне нужно искать брокера в своем городе давать им кошелек и они скинут. Либо просить товарища. Что жутко не удобно. Тем более я слышал что биткоин кошельки сейчас не обезличины. Там все равно нужно указывать реальное имя.
СБП это все равно что написать тут свои фамилию, имя , отчество и дату рождения.
оно надо ?
разумнее отказаться от донатов вообще, чем так себя подставлять и самому выкладывать доказательную базу
чем отличается в доке написано