85
Karma
80.3
Rating
Новгородов Игорь @blind_oracle

Инженер, разработчик

Если у вас отвалятся сертификаты Let's Encrypt, то в этом виноват Роскомнадзор со своими блокировками по IP

0

Не будьте наивным. Куча людей уже потеряла много денег из-за РКН, судиться с ними бесполезно в наших реалиях. А цена сертификата настолько копеечная для бизнеса, что никто даже не зачешется.

Mozilla пообещала не включать шифрование DoH в Великобритании. Что это значит для России?

0

Снаружи все TLS сессии выглядят одинаково, потому что это тоннель. Тут нужно сделать скидку на всякие TLS расширения вроде ALPN, но их нетрудно подставить и в DoT чтобы мимикрировать под HTTPS.

Обход блокировок РКН с помощью DNSTap и BGP

Благодаря двухфакторной аутентификации я лишился всех вложенных денег и 3 лет работы

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

0

Не будут FANG под наши законы прогибаться настолько, не такой большой рынок, а приватность нынче — священная корова. Вот с Китаем другое дело.

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

+2

TXT записи обычно имеют префикс вроде v=spf1 по которому их идентифицируют.


Да, это с т.з. нагрузки на процессор несколько более затратно чем сравнить пару байт в RR Type, но совершенно незначительно по сравнению с тем геморроем который вызывает изобретение нового RR который не будет нативно поддерживаться старыми DNS серверами.

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

+14

Казахи уже проверяли, не взлетело. Проблема в том, что все популярные приложения на смартфонах юзают Certificate Pinning и им плевать на список доверенных.


Тут либо не MITMить траффик до фейсбука и кучи других, либо запретить их как неправославные :)

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

+8

Была ж история с SPF полем. Сначала пихали в TXT, затем зачем-то изобрели IN SPF и трахались с добавлением его в сервера. А потом его отменили нафиг и уехали обратно на TXT.


Ничему их жизнь не учит :)

Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

0
А вот оборудование DPI, которое обнюхивает у крупных провайдером после SNI в заголовках пакетов, превратится в тыкву, да, что для них весьма обидно.

DPI это не только и не столько перехват SNI, его даже сквид 10 лет назад делать умел. Там больше статистический анализ по размеру пакетов, интервалам и так далее. Поэтому в т.ч. в телеграм прокси обфускация была добавлена.


Но в случае HTTPS я не знаю как РКН будет выкручиваться, разве что запретить его нафиг совсем.

Обход блокировок РКН с помощью DNSTap и BGP

0
unbound + python module и этого хватит.

Да, можно и так, вариантов много.
Но с DNSTap ты не привязан к одному DNS серверу.

Как я не стал программистом в 35 лет

В России разработан суперкомпьютер, который в 32 раза быстрее видеокарты GeForce RTX 2080 Ti

+1
Я конечно не специалистка, но всегда считала, что суперкомпьютер отличается от кластера в частности тем, что между узлами используется не сетевой интерфейс, а высокоскоростные шины.

В суперкомпьютерах обычно используется Infiniband. Считать его сетевым интерфейсом или нет — вопрос религии. Другое дело что там используется его RDMA функционал.

Швейцария отказалась блокировать сайты и наказывать граждан за скачивание нелицензионного контента

0
Просто "хорошие вещи" сейчас уже обычно спокойно качаются и без торрента. Или без торрента качаются быстрее и проще.

Нет. Тот же дистриб убунты быстрее качается торрентом.

Обход блокировок РКН с помощью DNSTap и BGP

0

А как связан DoH с тем что блокируется провайдерам?


DoH не позволит им юзать перехват DNS для подсовывания своих блокстраничек вместо правильного IP и все.


В итоге будут бить по площадям, ай ай ай от Ревизора то никто не хочет получить.


Я гоню всё через заграничный VPS с помощью прозрачного socks-прокси на shadowsocks.

Я писал что можно, конечно, гнать все через забугор, но не хочется.
Например тот же Вконтакт через который многие музычку слушают, блокирует почти всю ее с зарубежных адресов.

Роскомнадзор объяснил блокировку математического форума

Роскомнадзор объяснил блокировку математического форума

+2

Напоминает случай из UK когда от ученого требовали ключ дешифровки для дампа белого шума с радиотелескопа :)

Обход блокировок РКН с помощью DNSTap и BGP

0

Минимальная конфигурация, как мне кажется, даже проще чем OSPF — не нужны никакие area и прочее. Ну и BGP работает по TCP и можно пириться хоть через полмира даже без тоннелей, если необходимо. А OSPF более капризный — мультикаст ему подавай...


Я использую оба, у каждого протокола свое применение — BGP больше EGP, а OSPF — в основном IGP.

Обход блокировок РКН с помощью DNSTap и BGP

0

Ютуб никак не блочат т.к. он наглухо в HTTPS и доступа к URL нет ни у какого DPI. Поэтому его можно просто использовать без VPN.

Обход блокировок РКН с помощью DNSTap и BGP

0

Само собой боюсь :) Поэтому VPN у меня через другие VPS, где Tor только скрытым бриджом есть.

Обход блокировок РКН с помощью DNSTap и BGP

0

Ну, мало ли что там написано :) Я использую несколько разных VPS-провайдеров, никто пока не жаловался. На одном даже выходная нода TOR висит, абузы сыпятся, отвечаю что TOR, провайдера устраивает.

Обход блокировок РКН с помощью DNSTap и BGP

0
Но не очень, когда весь DNS приходится гнать по vpn на 5-баксовый сервер без sla

Да вроде не мешает ни разу. DNS траффик копеечный, пинг около 50мс, ответы кешируются. Я поднял два VPS в разных местах Европы и если один падает второй возьмет бразды правления — на клиентах задан BGP preference чтобы один из них был приоритетнее.


А не думали пускать трафик через VPN только в том случае, когда от провайдера приходит явный признак блока (характерная страница или отсутствие ответа)?

Алгоритм детектирования этого дела довольно сложный думается, поэтому проще сделать кучу маршрутов. Тем более что эти ничем не напрягает оборудование особо. По крайней мере мои ARM-роутеры с OpenWRT 100-200к маршрутов даже не замечают.

Обход блокировок РКН с помощью DNSTap и BGP

0
Вот, к примеру, чем ваше решение лучше использования dnsmasq и ipset, как это описано тут?

Как минимум тем, что от клиентского роутера почти ничего не нужно, кроме поддержки BGP и какого-либо VPN. Во все это любой копеечный микротик нынче умеет. А в решении с ipset всё ложится на локальный клиентский роутер.


Еще там нет никакого housekeeping-а списка — домен резолвится, все IP пихаются в ipset — и остаются там навечно. Потенциально их может быть много. И если домен прыгает по IP, старые IP все равно будут ходить в TOR пока роутер не ребутнешь.


А в остальном всё примерно аналогично, да.

Обход блокировок РКН с помощью DNSTap и BGP

0

Тут есть недостаток в том, что это будет работать только если клиент обращается по хостнейму. При прямом подключении к IP уже ой. Не уверен что это часто происходит, но тем не менее.


Но тут для мобильных клиентов, конечно, без вариантов. Пушить 100к маршрутов через OpenVPN чтобы покрыть 0.1% юзкейсов так себе идея :)


А для домашних роутеров современных эти маршруты не проблема ни разу.

Обход блокировок РКН с помощью DNSTap и BGP

Обход блокировок РКН с помощью DNSTap и BGP

0
А на антизапрете — пара десятков маршрутов (большой внутренний диапазон и самые крупные заблокированные диапазоны).

Каким образом обеспечивается доступ к хостам, заблокированным по IP? Тот же телеграм и ко. Как абстрактное клиентское устройство с OpenVPN клиентом должно понять что ему нужно отправлять траффик в VPN, а не напрямую?

Тут либо пушить маршруты (пусть и суммаризованные) клиенту через OpenVPN, либо пускать весь траффик через VPN.

Обход блокировок РКН с помощью DNSTap и BGP

0
у людей сгорел роутер, заменили на новый — не работает (а в вашем случае ещё и обретение доступа к новому роутеру из-за границы может добавить веселья)
Это настолько редкое явление что я его не рассматриваю. За многие годы такое происходило может быть раз. Ну и получить доступ удаленно проблем никаких в наше время нет.

И я не понимаю, какие преимущества это даёт по сравнению с тем же тор-браузером (кроме скорости)

Главное преимущество — что об этом не нужно думать. А не вспоминать что чтобы зайти туда-то мне нужно лезть через Тор.

Обход блокировок РКН с помощью DNSTap и BGP

0
Клиенту устанавливается только один или несколько маршрутов, вместо десятков тысяч маршрутов
Тут все ровно так же. Сотня тысяч маршрутов только для IP-блокировок, иначе никак. А для доменов маршруты добавляются по факту запроса конкретного домена.

Маршрутизируются только заблокированные домены, а не все сайты на заблокированном IP-адресе
Да, это хорошо, но с моей точки зрения несущественно. Если какая-то часть доменов на том же IP пойдет тоже через VPN — ну и пусть.

Возможность обновления списка заблокированных сайтов без переподключения клиента
Тут не понял. Что такое «переподключение клиента»? У меня список обновляет по крону в фоне на сервере и клиенты там никак не участвуют.

Корректная работа с доменами, постоянно меняющими IP-адреса, и с CDN-сервисами
Не вижу проблем с этим в моей схеме. Если TTL в DNS протух и домен отрезолвился в новый IP — маршрут до него будет добавлен. Старый IP протухнет со временем. Эту схему можно, конечно, немного улучшить активно убивая старые IP, но если там Round-Robin DNS с низким TTL то IP будут постоянно добавляться-удаляться.

Корректная работа с провайдерами, блокирующими все поддомены заблокированного домена (блокировка всей DNS-зоны). Пример такого провайдера — Yota
У меня этот кейс тоже срабатывает и даже описан в статье.

Обход блокировок РКН с помощью DNSTap и BGP

0
О, боги! Неужели это самый «легкий для далеких от ИТ личностей способ»?

По-моему очевидно что под «далекими от ИТ людьми» подразумеваются те, кто будет пользоваться этой схемой, а не те, кто ее будет настраивать. Для них просто все будет работать как до блокировок, никаких TOR не надо.

В России для борьбы с пиратством появится единая система онлайн-телевещания

+1
И на камерах с ИИ в каждый телевизор аля 1984 можно хорошо напилить денег!

Регистрация новых пользователей на The Pirate Bay остается закрытой третий месяц подряд

NASA запустило прототип атомных часов для навигации в глубоком космосе

NASA запустило прототип атомных часов для навигации в глубоком космосе

0
Возможно измеряют стабильность длины волны излучаемых фотонов, насколько она плавает допустим. Но как проверить все остальные компоненты — наверное да, с помощью более точных и громоздких часов.

Попал в пробку — плати штраф. Глюки камер видеофиксации «Стрит Фалькон»

0

Тут речь про джамшутов на юбере, а не про такси с желтыми номерами думаю.

Как СОРМ сливает наши с вами данные всем желающим

Как программист банк выбирал и договора читал

0

Интересно что в зарубежных банках они вовсю в ходу. Можно активировать авторизационное приложение на телефоне и не пользоваться ей постоянно, но сделать это можно только с помощью такой карты с копками и дисплеем. Стоит такая карта баксов 25

Исследование: снизить производительность Tor можно всего за $17 тысяч в месяц

Представлен крупнейший в мире процессор размером 22×22 сантиметра с 400 000 ядрами и 18 ГБ локальной RAM

Sampler. Консольная утилита для визуализации результата любых shell команд

Мне нечего скрывать

0

Потому что там используется криптография с открытым ключом. Сравнивать ее с паролем некорректно. Ну и скажем честно реальных легких атак на 1024 битный ключ нет.


А пароль длиной в 16 символов это те же 128 бит какого-нибудь симметричного AES.

1 There