Запустить wireshark, тыкнуть активную сетевую карту.
В поле “Capture using this filter:” написать фильтр по ip этих сайтов: net 188.114.97.3 or net 104.21.37.251 or net 104.18.11.118
Поле станет зелёным, нажать enter, начнётся захват пакетов.
Закрыть браузер. Открыть браузер №1. Открыть сайт. Через 30 секунд остановить захват (красная кнопка), сохранить результат в файл.
Повторить с браузером №2 и сравнить размеры ClientHello, значения SNI, наличие/отсутствие ретрансмитов, наличие ответа ServerHello, признаки работы запрета.
Решил тут наконец разобраться с не работающей экосистемой Samsung в доме. При осмотре журнала DNS выявил, что стучится оно на сервера Amazon и на некоторые от Akamai. При этом стратегии в zapret успешно их обходят, но тем не менее ничего не работает. Решил полезть в дампы и там обнаружил странную дикость - фирменное приложение SmartThing шлет на некоторые сервера Client Hello вообще с пустым SNI. Подстановка фейкового SNI из стратегии в этом случает не работает и естественно DPI их рубило. Где-то еще сталкивался с пустыми SNI уже не помню, но тема актуальная, т.к. z1 не позволяет вставить SNI в оригиналы, на счет z2 не в курсе.
У меня тоже многие стратегии, которые работают на FF, на хроме не взлетают. DoH включен и там, и там.
В FF148, насколько знаю, tls record size limit=4001 bytes. Если правильно понимаю, это фрагментация tls? Может, как-то влияет?
А еще в хроме включен alps
Проблема в том, что я не могу выявить никакой закономерности. Внезапно Хром начал загружать файлы с доменов dln1.ncdn.ec и dl-alps-2.gcdn.ac, с которых раньше отказывался. Что произошло я не могу понять. Зато теперь не хочет загружать с dlr1.gcdn.ac.
Firefox пока в таких капризах замечен не был. Завтра еще проверю как работает.
Спасибо, этот параметр и не приметил. С ним все заработало, без проброски на VPN. На счет схожести с HTTP не понял, вроде как он работает только по пакетами с заголовком Client Hello
Скоро сказка сказывается, да не скоро дело делается.
Более или менее определенно можно сказать две вещи. Если zapret включен, файлы качаются, если выключен - не качаются. Также включение - отключение DoH скорее всего ни на что не влияет.
В стратегии обхода в качестве фейкового SNI указано 4pda.to. Я ожидал, что в tls client hello будет именно этот домен. Но я его там видел редко. В основном же я видел dln1.ncdn.ec и dl-alps-2.gcdn.ac, и иногда cloudflare-ech.com. Причем файлы во всех случаях скачивались успешно.
Было подозрение, что виноват протокол quic. Я отключил его в Хроме и он отработал примерно - скачал все файлы. Затем включил quic, перезапустил Хром и он снова скачал без проблем. Зато пару раз качать отказывался Firefox, хотя раньше за ним такого замечено не было. В общем, не могу выявить закономерноси.
Единственное что мне удалось выявить, это то, что при успешной загрузке трафик обычно выглядит примерно так:
ну по идее тока с tls но в томже anydesk на 80 порту где по идее только http должен быть - лезет tls и nosni=0 помогает и там. хотя остальные параметры стратегии какбудто только на http должны влиять…
А кто знает почему именно так? Ведь на первый взгляд каждый раз должен посылаться фейковый SNI. И кто-нибудь может объяснить почему при соединении с одним и тем же доменом браузер неcколько раз соединяется по TCP, а потом вдруг бац… и внезапно quic.
понятно что anyprotocol на евойный порт, наверно ещё ipset чтоб не сломать tls остальной ибо 443
а остальное?
или достаточно лишь на пинг посмотреть чтоб убедится что сервак сам по себе тормозит и перегружен? речь про халявно публичный. но ещё позавчера весь тариф в 30мбит переваривал а сегодня даже не начинает видло качать 0.0 навсегда - хотя текст ещё может…
