kibermaster Posted January 18, 2019 · Report post Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги. Прокси используется исключительно для сотрудников небольшой организации, посторонним он недоступен, публично нигде не светится, тем не менее уже два ip попали в реестр, причем не сеткой, а именно ip. Сначала подумал, совпадение, но после второго случая - засомневался. Может кто сталкивался с чем-то похожим, есть какие-то механизмы защититься и обезопасить прокси от обнаружения? И попутно вопрос, из соображения долгожительства прокси, какой вариант стоит предпочесть: mtproto или socks5? Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Связной (С) Posted January 18, 2019 · Report post Цитата Тут РКН опять лютовать начал. С фронтов сообщают о блокировках прокси Телеги тысячами. Как они их вычислили - пока не понятно. Потому: ... https://t.me/zatelecom/8225 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 18, 2019 (edited) · Report post Предположительно,у них бот сканирует диапазоны и пытается приконнектиться через дефолтные порты к телеграмму. Если ему удается приконнектиться к телеграмму как клиенту через ваш прокси,ваш прокси попадает в список. Что-то подобное используется в Китае для блокировки тор за тем исключением,что там еще трафик тора детектиться через dpi и dst addr попадает в список боту для сканирования. Лечить тут можно белым списком: добавьте в файервол только адреса офисных сетей,остальным давайте отлуп. Это только предположение,не точная информация. 13 minutes ago, Связной (С) said: ... https://t.me/zatelecom/8225 О,опередили уже ))) Edited January 18, 2019 by zdutpdzi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lacost Posted January 18, 2019 · Report post А доступ к socks5 по паролю не спасает ситуацию? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kibermaster Posted January 18, 2019 · Report post Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку. Бан прилетает очень быстро, лично у меня прилетел в районе 17 числа, а ip я сменил 31 декабря. получается, до 9 праздники, и за неделю они выявили. Ограничивать сетки не вариант, так как сотрудники работают не только в офисе. МРГшные и госсетки я, кстати, забанил на проксе, но не помогло. socks5 у меня под паролем, но преимущественно используется mtproto, я подумал, что раз оно разработано для противодействию блокировок, то там учтена маскировка. Придется попробовать socks5 с паролем + совсем неожиданный порт. Кстати, интересный вопрос, а ведь mtproto работает на 443, но поскольку это не https, то диалог выглядит по-другому, получается, что даже не имея ключа mtproto, достаточно стукнуться на ip по 443 и по ответу сразу будет понятно, сайт там или что-то другое, и, видимо, у телеги там что-то однозначное. (не настолько спец, могу говорить глупости :-))) Интересен опыт, кого банили, смена порта для mtproto помогает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted January 18, 2019 · Report post 10 минут назад, kibermaster сказал: Интересен опыт, кого банили, смена порта для mtproto помогает? Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 18, 2019 · Report post 19 minutes ago, kibermaster said: Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку. Как полистал документацию по mproto,там вроде дипиайю не за что зацепиться,сигнатур каких-то нет. Я конечно не спец,можно кто даст более квалифицированный комментарий? 20 minutes ago, kibermaster said: Придется попробовать socks5 с паролем + совсем неожиданный порт. Ну как вариант можно и так. 22 minutes ago, kibermaster said: МРГшные МРГ это мэйл ру групп? ))) Те еще ***@сы. 11 minutes ago, taf_321 said: Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу? Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted January 18, 2019 · Report post 3 минуты назад, zdutpdzi сказал: Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается. Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 18, 2019 · Report post 3 minutes ago, taf_321 said: Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо. Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted January 18, 2019 · Report post Только что, zdutpdzi сказал: Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? ))) Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 18, 2019 (edited) · Report post 11 minutes ago, taf_321 said: Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах. Не намекаете ли вы отказаться от телеграмм? ))). Товарищ Жаров,не перелогинились? ))). Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...))) Edited January 18, 2019 by zdutpdzi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted January 18, 2019 · Report post 5 минут назад, zdutpdzi сказал: Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...))) Разработчики свою криворукость доказали и не раз. Пользоваться ли дальше поделкой, с полузакрытым протоколом и полностью закрытой и непрозрачной инфраструктурой это уже ваше право решать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 18, 2019 · Report post Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 ) сканирующие боты не нужны, логи проверять смысла нет крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки Для частных socks5-проксей такой метод не прокатит (точнее очень сложно и с большой вероятностью ошибки) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 18, 2019 · Report post Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted January 19, 2019 · Report post Ёпть. Проблема решается просто - введением уголовной ответственности за попытки обхода блокировок, и за предоставление такой возможности на коммерческой либо некоммерческой основе. Ждите в новом сезоне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 19, 2019 (edited) · Report post 22 hours ago, s.lobanov said: Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 ) Почитал,не нашел,где это утверждается,там все на уровне только предположений. Сомнения в dpi создают еще такие моменты: 1. Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси? 2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем? Скорее похоже на бота. Ну можно конечно предложить,что жаровцы список потенциальных прокси вручную проверяют перед занесением в реестр. Но вот кстати высказанная там идея с переводом телеграм на TLS с целью сокрытия от dpi вместо изобретения своих велосипедов типа mtproto вполне здравая. З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом. 22 hours ago, s.lobanov said: крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки Не так уж и сложно догадаться 22 hours ago, Ivan_83 said: Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией. Для личных целей может быть. Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))). Edited January 19, 2019 by zdutpdzi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MobileOneWiFi Posted January 19, 2019 · Report post 1 час назад, zdutpdzi сказал: Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))). Записал в цитатник.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 19, 2019 · Report post 3 часа назад, zdutpdzi сказал: Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))). Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 19, 2019 (edited) · Report post @kibermaster ,попробуйте shadowsocks и отпишитесь по результатам тут. Есть плагин для обсфускации чтобы закосить под TLS/SSL. 35 minutes ago, Ivan_83 said: Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить. ЯННП. Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?))) Edited January 19, 2019 by zdutpdzi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted January 19, 2019 · Report post В 18.01.2019 в 08:00, kibermaster сказал: Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги. Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 19, 2019 · Report post 6 часов назад, zdutpdzi сказал: Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?))) Вы в ловушке: курица или яйцо. Я вам предлагаю завести и остальные каналы общения, потому что выбора или-или не стоит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 19, 2019 · Report post 10 часов назад, zdutpdzi сказал: Почитал,не нашел,где это утверждается,там все на уровне только предположений. Там в комментах того тикета указывают на явные изъяны протокола, которые позволяют его идентифицировать, для вендоров dpi этого достаточно, чтобы добавить очередной протокол к себе в копилку. Ситуация в Иране указывает именно на пассивное сканирование mtproxy (без ботов) 10 часов назад, zdutpdzi сказал: Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси? С этим (разблокировкой после устранения "нарушения") у РКН всё плохо. Есть даже рынок заблокированных доменов (ну т.е. попасть под бан РКН не так уж и плохо - можно потом продать свой домен борцам с РКН - они начнут развлекаться и издеваться над операторами, блокирующими https по IP) https://vc.ru/flood/24357-revizor-rkn-collapse Цитата В Роскомнадзоре не стали комментировать ситуацию, но Здольников обратил внимание, что ведомство начало чистить реестр запрещенных сайтов от разделегированных доменов. Однако потом ИТ-специалист сказал, что Роскомнадзор удалил из перечня только часть доступных для регистрации адресов. Короче говоря, это known issue у них. Разделегированные домены я привёл для примера. Есть куча контента в dump.xml, которые уже давно 404 и т.п., но из реестра эти url-ы удалять никто не спешит 10 часов назад, zdutpdzi сказал: 2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем? В подобных системах мало кто совершает действие при первом же чихе, иначе можно получать много ошибочных результатов и "выбросов". Т.е. например, в критериях на блокировку указано что-то типа "100 подтверждённых сессий mtproxy", кроме того там интеграция мониторящей системы и внесением в dump.xml скорее всего на ручном приводе с учётом того что мониторящая система не в РКН находится, да и РКН/их подрядчик уже много раз обсирался с автоматизацией, например когда они заблокировали ntp.msk-ix.ru. Если б они этим занимались, то в РФ можно было бы нормально пользоваться Интернетом без обхода блокировок (сейчас за пределами рунета постоянно что-то не работает) 10 часов назад, zdutpdzi сказал: З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом. В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе 10 часов назад, zdutpdzi сказал: Не так уж и сложно догадаться Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут Сам не имею к мейлру никакого отношению. Даже если они ***ы, это надо доказать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted January 19, 2019 · Report post 7 часов назад, disappointed сказал: Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где? Там хуже, ребята кажется и в логи то не смотрели, их поднятиым только для своих проксей поди уже пользуется пол интернета и на каждом втором заборе его реквизиты указаны. Ну и да, ой, его там же и РКН нашел. И забанил. Прокси поднятые так, что посторонние ими воспользоваться не могут никакие РКНы не банят.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 20, 2019 · Report post 7 hours ago, s.lobanov said: Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут Нет,речь была не про мрг,о провайдерах же речь шла? ))). Перечитайте ;). 7 hours ago, s.lobanov said: В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе Тогда не socks5 и не mtproto нужно использовать,а любое,что может косить под TLS. Выше ссылка на shadowsocks. 7 hours ago, s.lobanov said: Даже если они ***ы, это надо доказать Они это доказывали сами неоднократно ))). И чувак с зателекома здесь - капля в море ))). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted January 20, 2019 · Report post 9 hours ago, Ivan_83 said: Вы в ловушке: курица или яйцо. Да что вы говорите ))). Мы просто пользуем то,что популярно,то,что пользуют клиенты. Завтра клиенты захотят хоть icq - будем пользовать icq ))). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...