Jump to content
Калькуляторы

РКН находит и банит частные Telegram прокси

Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги. Прокси используется исключительно для сотрудников небольшой организации, посторонним он недоступен, публично нигде не светится, тем не менее уже два ip попали в реестр, причем не сеткой, а именно ip. Сначала подумал, совпадение, но после второго случая - засомневался. Может кто сталкивался с чем-то похожим, есть какие-то механизмы защититься и обезопасить прокси от обнаружения? И попутно вопрос, из соображения долгожительства прокси, какой вариант стоит предпочесть: mtproto или socks5?

 

Спасибо!

Share this post


Link to post
Share on other sites

Предположительно,у них бот сканирует диапазоны и пытается приконнектиться через дефолтные порты к телеграмму. Если ему удается приконнектиться к телеграмму как клиенту через ваш прокси,ваш прокси попадает в список.
Что-то подобное используется в Китае для блокировки тор за тем исключением,что там еще трафик тора детектиться через dpi и dst addr попадает в список боту для сканирования.
Лечить тут можно белым списком: добавьте в файервол только адреса офисных сетей,остальным давайте отлуп.

Это только предположение,не точная информация.

 

13 minutes ago, Связной (С) said:

О,опередили уже )))

Edited by zdutpdzi

Share this post


Link to post
Share on other sites

А доступ к socks5 по паролю не спасает ситуацию?

Share this post


Link to post
Share on other sites

Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку. Бан прилетает очень быстро, лично у меня прилетел в районе 17 числа, а ip я сменил 31 декабря. получается, до 9 праздники, и за неделю они выявили.

Ограничивать сетки не вариант, так как сотрудники работают не только в офисе. МРГшные и госсетки я, кстати, забанил на проксе, но не помогло. 

 

socks5 у меня под паролем, но преимущественно используется mtproto, я подумал, что раз оно разработано для противодействию блокировок, то там учтена маскировка.

 

Придется попробовать socks5 с паролем + совсем неожиданный порт. 

 

Кстати, интересный вопрос, а ведь mtproto работает на 443, но поскольку это не https, то диалог выглядит по-другому, получается, что даже не имея ключа mtproto, достаточно стукнуться на ip по 443 и по ответу сразу будет понятно, сайт там или что-то другое, и, видимо, у телеги там что-то однозначное. (не настолько спец, могу говорить глупости :-))

 

Интересен опыт, кого банили, смена порта для mtproto помогает? 

Share this post


Link to post
Share on other sites
10 минут назад, kibermaster сказал:

Интересен опыт, кого банили, смена порта для mtproto помогает? 

Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу?

Share this post


Link to post
Share on other sites
19 minutes ago, kibermaster said:

Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку.

Как полистал документацию по mproto,там вроде дипиайю не за что зацепиться,сигнатур каких-то нет. Я конечно не спец,можно кто даст более квалифицированный комментарий?

 

20 minutes ago, kibermaster said:

Придется попробовать socks5 с паролем + совсем неожиданный порт. 

Ну как вариант можно и так.

 

22 minutes ago, kibermaster said:

МРГшные

МРГ это мэйл ру групп? ))) Те еще ***@сы.

 

11 minutes ago, taf_321 said:

Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу?

Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается.

Share this post


Link to post
Share on other sites
3 минуты назад, zdutpdzi сказал:

Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается. 

Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо.

Share this post


Link to post
Share on other sites
3 minutes ago, taf_321 said:

Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо.

Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? )))

Share this post


Link to post
Share on other sites
Только что, zdutpdzi сказал:

Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? )))

Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах.

Share this post


Link to post
Share on other sites
11 minutes ago, taf_321 said:

Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах.

Не намекаете ли вы отказаться от телеграмм? ))). Товарищ Жаров,не перелогинились? ))). Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...)))

 

 

Edited by zdutpdzi

Share this post


Link to post
Share on other sites
5 минут назад, zdutpdzi сказал:

Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...)))

Разработчики свою криворукость доказали и не раз. Пользоваться ли дальше поделкой, с полузакрытым протоколом и полностью закрытой и непрозрачной инфраструктурой это уже ваше право решать.

Share this post


Link to post
Share on other sites

Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 )

 

сканирующие боты не нужны, логи проверять смысла нет

 

крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки

 

Для частных socks5-проксей такой метод не прокатит (точнее очень сложно и с большой вероятностью ошибки)

Share this post


Link to post
Share on other sites

Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией.

Share this post


Link to post
Share on other sites

Ёпть. Проблема решается просто - введением уголовной ответственности за попытки обхода блокировок, и за предоставление такой возможности на коммерческой либо некоммерческой основе.

Ждите в новом сезоне.
 

Share this post


Link to post
Share on other sites
22 hours ago, s.lobanov said:

Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 )

Почитал,не нашел,где это утверждается,там все на уровне только предположений.

 

Сомнения в dpi создают еще такие моменты:

 

1. Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси?

 

2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем? Скорее похоже на бота. Ну можно конечно предложить,что жаровцы список потенциальных прокси вручную проверяют перед занесением в реестр.

 

Но вот кстати высказанная там идея с переводом телеграм на TLS с целью сокрытия от dpi вместо изобретения своих велосипедов типа mtproto вполне здравая.

 

З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом.

 

22 hours ago, s.lobanov said:

крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки

Не так уж и сложно догадаться

 

22 hours ago, Ivan_83 said:

Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией.

Для личных целей может быть. Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).

Edited by zdutpdzi

Share this post


Link to post
Share on other sites
1 час назад, zdutpdzi сказал:

Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).


Записал в цитатник..

Share this post


Link to post
Share on other sites
3 часа назад, zdutpdzi сказал:

Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).

Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить.

Share this post


Link to post
Share on other sites

@kibermaster ,попробуйте shadowsocks и отпишитесь по результатам тут. Есть плагин для обсфускации чтобы закосить под TLS/SSL.

 

35 minutes ago, Ivan_83 said:

Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить.

ЯННП. Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?)))

Edited by zdutpdzi

Share this post


Link to post
Share on other sites
В 18.01.2019 в 08:00, kibermaster сказал:

Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги.

Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где?

Share this post


Link to post
Share on other sites
6 часов назад, zdutpdzi сказал:

Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?)))

Вы в ловушке: курица или яйцо.

Я вам предлагаю завести и остальные каналы общения, потому что выбора или-или не стоит.

Share this post


Link to post
Share on other sites
10 часов назад, zdutpdzi сказал:

Почитал,не нашел,где это утверждается,там все на уровне только предположений.

Там в комментах того тикета указывают на явные изъяны протокола, которые позволяют его идентифицировать, для вендоров dpi этого достаточно, чтобы добавить очередной протокол к себе в копилку. Ситуация в Иране указывает именно на пассивное сканирование mtproxy (без ботов)

 

10 часов назад, zdutpdzi сказал:

Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси?

С этим (разблокировкой после устранения "нарушения") у РКН всё плохо. Есть даже рынок заблокированных доменов (ну т.е. попасть под бан РКН не так уж и плохо - можно потом продать свой домен борцам с РКН - они начнут развлекаться и издеваться над операторами, блокирующими https по IP)

 

https://vc.ru/flood/24357-revizor-rkn-collapse

Цитата

В Роскомнадзоре не стали комментировать ситуацию, но Здольников обратил внимание, что ведомство начало чистить реестр запрещенных сайтов от разделегированных доменов. Однако потом ИТ-специалист сказал, что Роскомнадзор удалил из перечня только часть доступных для регистрации адресов.

Короче говоря, это known issue у них. Разделегированные домены я привёл для примера. Есть куча контента в dump.xml, которые уже давно 404 и т.п., но из реестра эти url-ы удалять никто не спешит

 

10 часов назад, zdutpdzi сказал:

2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем?

В подобных системах мало кто совершает действие при первом же чихе, иначе можно получать много ошибочных результатов и "выбросов". Т.е. например, в критериях на блокировку указано что-то типа "100 подтверждённых сессий mtproxy", кроме того там интеграция мониторящей системы и внесением в dump.xml скорее всего на ручном приводе с учётом того что мониторящая система не в РКН находится, да и РКН/их подрядчик уже много раз обсирался с автоматизацией, например когда они заблокировали ntp.msk-ix.ru. Если б они этим занимались, то в РФ можно было бы нормально пользоваться Интернетом без обхода блокировок (сейчас за пределами рунета постоянно что-то не работает)

 

 

10 часов назад, zdutpdzi сказал:

З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом.

В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе

 

10 часов назад, zdutpdzi сказал:

Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки

У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут

 

Сам не имею к мейлру никакого отношению. Даже если они ***ы, это надо доказать

Share this post


Link to post
Share on other sites
7 часов назад, disappointed сказал:

Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где?

Там хуже, ребята кажется и в логи то не смотрели, их поднятиым только для своих проксей поди уже пользуется пол интернета и на каждом втором заборе его реквизиты указаны. Ну и да, ой, его там же и РКН нашел. И забанил.

Прокси поднятые так, что посторонние ими воспользоваться не могут никакие РКНы не банят..

Share this post


Link to post
Share on other sites
7 hours ago, s.lobanov said:

Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки

У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут

Нет,речь была не про мрг,о провайдерах же речь шла? ))). Перечитайте ;).

 

7 hours ago, s.lobanov said:

В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе

Тогда не socks5 и не mtproto нужно использовать,а любое,что может косить под TLS. Выше ссылка на shadowsocks.

 

7 hours ago, s.lobanov said:

Даже если они ***ы, это надо доказать

Они это доказывали сами неоднократно ))). И чувак с зателекома здесь  - капля в море ))).

Share this post


Link to post
Share on other sites
9 hours ago, Ivan_83 said:

Вы в ловушке: курица или яйцо.

Да что вы говорите ))). Мы просто пользуем то,что популярно,то,что пользуют клиенты. Завтра клиенты захотят хоть icq - будем пользовать icq ))).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now