Jul 16
10 / 29
Jul 16
2m ago
anonimnyj153
1d

Почему? У них недостаточно на это вычислительных ресурсов, или какая причина?

RapWolf
1d

Скорее физическо-бюрократических

irregular-circle
1d

Теоретически да, практически ресурсов не хватает. На этом и основана идея анти DPI программ. Если бы могли полноценно реконструировать работу сервера на тспу, то никакой запрет просто бы не работал. Наверное могут вычислить и показательно жёстко наказать пару юзеров, чтобы запугать остальных. Или автоматически начислять штрафы на основании того, что смогли задетектить тспу при нерабочей стратегии запрета (например, рабочая стратегия для tls 1.3 фейлит для tls 1.2 сайтов когда тспу сечет сертификат сервера, но в норме, без использования запрета, тспу должно было зарезать соединение ещё на этапе client hello - т.е налицо попытка дурения, если таких попыток несколько - пробиваем айпи и начисляем штраф). Но это всё думерство по большему счёту

dartraiden
1d

Рассуждаем логически:

  • если zapret не сработал (оборудование цензурирующего органа смогло разобрать домен в SNI), то подключение не состоится => доступа к заблокированному ресурсу не случилось
  • если zapret сработал (оборудование цензурирующего не смогло разобрать домен), то каким образом цензор узнает, какой домен вы посетили? Тут, конечно, можно фантазировать на тему “если доступ к подсетям некоего хостера заблокирован целиком, а у пользователя прошёл коннект к адресу из этой подсети, то начисляем ему штраф”, но это всё пока кажется какими-то гипотетическими случаями.
irregular-circle
1d

А почему для наказания важен именно сам факт доступа, а не доказанное намерение обойти блокировку? Ну и можно не сразу блочить, а дать скачать 16кб или больше, как сейчас на некоторых хостингах, и потом штрафовать за “доступ”

drakonchik
1d

Вроде, это делает только дом.ру?
У меня йота отравляет только facebook и instagram и только на своём резолвере.

Dhowti
1d

Цензор, как я понимаю, условно сидит в другой коробочке - СОРМ. И, похоже, вообще никто, кроме самых приближённых, не знает, как она работает. Возможно, она прекрасно всё видит.

И, если я и тут правильно понимаю, если она стоит после тспу, то фейки до неё могут не дойти?

alk2ntc
1d

Конечно, нет никакой гарантии при работе zapret, что пойдет что-то не так, сама программа не упадет, сеть не перезагрузится и т.д. Тогда запросы, отправляемые в сеть, окажутся открытыми для перехвата.
Для таких случаев в VPN-решениях существует kill-switch, то есть если пакеты по какой-то причине не идут через VPN, то сразу всё должно отрубиться, никакие данные в сеть вообще не пойдут.
Например, в WireGuard (и АmneziaWG) это прекрасно реализовано: установка AllowedIPs в нули приводит к тому, что ничего вообще по другим интерфейсам кроме WG в сеть не уходит. Включая даже пакеты в локальной сети.

Incos
23h

В этой коробочке сидит ФСБ. Цензура - это ТСПУ.

Dhowti
22h

Да, неправильно выразился. Но отвечал на неточное высказывание.

drakonchik
20h

На линуксе локальная сеть ходит с нулями (это хорошо), но шлюз держится железно, да.

dartraiden
18h

А почему для наказания важно намерение, а не факт?

В эту игру предположений можно играть бесконечно. Может факт, может намерение, а можнт это страус злой, а может и не злой.

dartraiden
18h

На своём резолвере, думаю, многие. Это дешёвый способ снять нагрузку с DPI, сразу отбривая тех, кто использует провайдерские DNS. Собственно, blockcheck даже не пытается выяснять, перехватывается ли трафик до сторонних DNS или нет - если обнаруживает, подмену, то сразу переключается на защищённый DNS.

dartraiden
18h

Если цензор всё видит, то он и цензуру осуществит.

drakonchik
14h

Кстати, об истории. У меня в мобильном хроме история почему-то не ведётся. Если зайти в историю пишет “здесь будет показана история”, но она не добавляется. А если зайти в диалог очистки личных данных, напротив истории бесконечно пишет “вычисление…”. Какой-то странный баг. Но в адресной строке адреса запоминаются.

Noel77750
12h

важней другое

  1. будут ли рубить “всё без SNI” :wink: вон ECH не нравитца.
  2. проверять строго SNI+IP (если google.com то только на сам “сервер” что ресолвится тем или иным способом а не на все подряд включая youtube/googlecachevideo). хотя с geoIP/CDN тот еще геморой (но РКН не про это.)

опять же пока еще не сильно душат DNS (UDP:53, DoH/DoT)
а вот кто долбится в провайдерские ДНСы… там и запрет если есть …

bolvanZapret anti-DPI software staff
3h

контент не видит точно, тк там хттпс
если шарк посмотрит увидит
автомат пока дурится не понимает куда вы лезите
но его можно научить распознавать аномалии. уже есть такая попытка. пока не очень

yatolkosprosit
24m

Тут назревает проблема. Собираются ввести в КоАП новую статью 13.52 - «нарушение порядка использования на территории РФ программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен» Штраф от 50 до 200 тыс. для физических лиц. И если для классического ВПН не видно куда именно вы ходите, то в случае с Zapret и GoodbyeDPI это прекрасно видно, как я понимаю.

bolvanZapret anti-DPI software staff
2m

bypass уберите в queue, поставьте коннбайтс 30 вместо 6
и будет вам киллсвитч от падения nfqws


Want to read more? Browse all categories or view latest topics.

Powered by Discourse