Перейти к содержимому
Калькуляторы

РКН находит и банит частные Telegram прокси

Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги. Прокси используется исключительно для сотрудников небольшой организации, посторонним он недоступен, публично нигде не светится, тем не менее уже два ip попали в реестр, причем не сеткой, а именно ip. Сначала подумал, совпадение, но после второго случая - засомневался. Может кто сталкивался с чем-то похожим, есть какие-то механизмы защититься и обезопасить прокси от обнаружения? И попутно вопрос, из соображения долгожительства прокси, какой вариант стоит предпочесть: mtproto или socks5?

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

Тут РКН опять лютовать начал. С фронтов сообщают о блокировках прокси Телеги тысячами. Как они их вычислили - пока не понятно. Потому:

...

https://t.me/zatelecom/8225

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предположительно,у них бот сканирует диапазоны и пытается приконнектиться через дефолтные порты к телеграмму. Если ему удается приконнектиться к телеграмму как клиенту через ваш прокси,ваш прокси попадает в список.
Что-то подобное используется в Китае для блокировки тор за тем исключением,что там еще трафик тора детектиться через dpi и dst addr попадает в список боту для сканирования.
Лечить тут можно белым списком: добавьте в файервол только адреса офисных сетей,остальным давайте отлуп.

Это только предположение,не точная информация.

 

13 minutes ago, Связной (С) said:

О,опередили уже )))

Изменено пользователем zdutpdzi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А доступ к socks5 по паролю не спасает ситуацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку. Бан прилетает очень быстро, лично у меня прилетел в районе 17 числа, а ip я сменил 31 декабря. получается, до 9 праздники, и за неделю они выявили.

Ограничивать сетки не вариант, так как сотрудники работают не только в офисе. МРГшные и госсетки я, кстати, забанил на проксе, но не помогло. 

 

socks5 у меня под паролем, но преимущественно используется mtproto, я подумал, что раз оно разработано для противодействию блокировок, то там учтена маскировка.

 

Придется попробовать socks5 с паролем + совсем неожиданный порт. 

 

Кстати, интересный вопрос, а ведь mtproto работает на 443, но поскольку это не https, то диалог выглядит по-другому, получается, что даже не имея ключа mtproto, достаточно стукнуться на ip по 443 и по ответу сразу будет понятно, сайт там или что-то другое, и, видимо, у телеги там что-то однозначное. (не настолько спец, могу говорить глупости :-))

 

Интересен опыт, кого банили, смена порта для mtproto помогает? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, kibermaster сказал:

Интересен опыт, кого банили, смена порта для mtproto помогает? 

Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 minutes ago, kibermaster said:

Лично у меня сложилось ощущение, что не только ботами они это делают, но и подстукивает кто-то из опсосов или крупных операторов. Т.е. опсос своими dpi системами определяет, что есть обращения по определенному алгоритму к определенным ip, сливает базу этих ip ркн или их афиллированным конторам, а они уже работают по списку.

Как полистал документацию по mproto,там вроде дипиайю не за что зацепиться,сигнатур каких-то нет. Я конечно не спец,можно кто даст более квалифицированный комментарий?

 

20 minutes ago, kibermaster said:

Придется попробовать socks5 с паролем + совсем неожиданный порт. 

Ну как вариант можно и так.

 

22 minutes ago, kibermaster said:

МРГшные

МРГ это мэйл ру групп? ))) Те еще ***@сы.

 

11 minutes ago, taf_321 said:

Вы не рассматривали вопрос с той точки зрения, что параметры прокси сливается по самому телеговскому протоколу?

Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, zdutpdzi сказал:

Там все тело пакета шифруется,насколько помню,ничего такого в открытом виде не передается. 

Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 minutes ago, taf_321 said:

Дело не в том что там что-то шифруется полностью или не полностью, а что участник сети могут заполучить интересующие его метаданные. Головоногость разработчиков телеги факт медицинский ("защищенность шифрования" с получаемой от сервера энтропией, фейл с паспортным блокчейном с последовавшим свертыванием криптовалютной темы), потому отметать отсутствие неких не афишируемых фич в протоколе с порога будет глупо.

Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, zdutpdzi сказал:

Да никто ничего не отметает. ))) Только чем может помочь данное подозрение в решении проблемы? Ок,подозреваем,что априори где-то в протоколе уязвимость,а у разработчиков априори руки растут из известного места,дальше что делать? )))

Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 minutes ago, taf_321 said:

Возможно это вас сподвигнет на переосмысление коньцепции использования кривого инструмента в важных процессах.

Не намекаете ли вы отказаться от телеграмм? ))). Товарищ Жаров,не перелогинились? ))). Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...)))

 

 

Изменено пользователем zdutpdzi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, zdutpdzi сказал:

Нормальная такая логика,давайте априори заподозрим разработчиков в криворукости,доказательств не нужно,и от него откажемся...)))

Разработчики свою криворукость доказали и не раз. Пользоваться ли дальше поделкой, с полузакрытым протоколом и полностью закрытой и непрозрачной инфраструктурой это уже ваше право решать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 )

 

сканирующие боты не нужны, логи проверять смысла нет

 

крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки

 

Для частных socks5-проксей такой метод не прокатит (точнее очень сложно и с большой вероятностью ошибки)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ёпть. Проблема решается просто - введением уголовной ответственности за попытки обхода блокировок, и за предоставление такой возможности на коммерческой либо некоммерческой основе.

Ждите в новом сезоне.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 hours ago, s.lobanov said:

Суть в том, что mtproxy умеют детектировать некоторые dpi (https://github.com/TelegramMessenger/MTProxy/issues/35 )

Почитал,не нашел,где это утверждается,там все на уровне только предположений.

 

Сомнения в dpi создают еще такие моменты:

 

1. Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси?

 

2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем? Скорее похоже на бота. Ну можно конечно предложить,что жаровцы список потенциальных прокси вручную проверяют перед занесением в реестр.

 

Но вот кстати высказанная там идея с переводом телеграм на TLS с целью сокрытия от dpi вместо изобретения своих велосипедов типа mtproto вполне здравая.

 

З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом.

 

22 hours ago, s.lobanov said:

крыса-кун с DPI-ем (не будем здесь указывать номера AS, но догадаться не сложно) сливает IP хостов с mtproxy для дальнейшей их блокировки

Не так уж и сложно догадаться

 

22 hours ago, Ivan_83 said:

Пользуйтесь TOX, Briar, джаббером, не страдайте массовой идиотией.

Для личных целей может быть. Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).

Изменено пользователем zdutpdzi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, zdutpdzi сказал:

Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).


Записал в цитатник..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, zdutpdzi сказал:

Для бизнес целей исключительно годится именно то,что является предметом массовой идиотии ))).

Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@kibermaster ,попробуйте shadowsocks и отпишитесь по результатам тут. Есть плагин для обсфускации чтобы закосить под TLS/SSL.

 

35 minutes ago, Ivan_83 said:

Так полтора дебила начали и теперь все страдают, вы же даже на визитке не удосужились ничего написать альтернативного, чтобы с телеги попробовать соскочить.

ЯННП. Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?)))

Изменено пользователем zdutpdzi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 18.01.2019 в 08:00, kibermaster сказал:

Коллеги приветствую! Столкнулся с проблемой уже дважды за месяц, каким-то образом РКН находит и банит частный прокси для телеги.

Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, zdutpdzi сказал:

Вроде спрос всегда диктовал предложение,а не наоборот? ))). Предлагаете не под клиентов подстраиваться,а клиентов под себя подстраивать?)))

Вы в ловушке: курица или яйцо.

Я вам предлагаю завести и остальные каналы общения, потому что выбора или-или не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, zdutpdzi сказал:

Почитал,не нашел,где это утверждается,там все на уровне только предположений.

Там в комментах того тикета указывают на явные изъяны протокола, которые позволяют его идентифицировать, для вендоров dpi этого достаточно, чтобы добавить очередной протокол к себе в копилку. Ситуация в Иране указывает именно на пассивное сканирование mtproxy (без ботов)

 

10 часов назад, zdutpdzi сказал:

Если трафик детектируется dpi и адрес назначения попадает в реестр,как он оттуда удаляется,если прокси закрывают? По истечению определенного интервала,в течении которого нет активности,то есть трафика на этот прокси?

С этим (разблокировкой после устранения "нарушения") у РКН всё плохо. Есть даже рынок заблокированных доменов (ну т.е. попасть под бан РКН не так уж и плохо - можно потом продать свой домен борцам с РКН - они начнут развлекаться и издеваться над операторами, блокирующими https по IP)

 

https://vc.ru/flood/24357-revizor-rkn-collapse

Цитата

В Роскомнадзоре не стали комментировать ситуацию, но Здольников обратил внимание, что ведомство начало чистить реестр запрещенных сайтов от разделегированных доменов. Однако потом ИТ-специалист сказал, что Роскомнадзор удалил из перечня только часть доступных для регистрации адресов.

Короче говоря, это known issue у них. Разделегированные домены я привёл для примера. Есть куча контента в dump.xml, которые уже давно 404 и т.п., но из реестра эти url-ы удалять никто не спешит

 

10 часов назад, zdutpdzi сказал:

2. Топикстартер пишет,что с момента смены адреса до бана прошла неделя. Это что,автоматика так работает при детекте трафика dpi-ем?

В подобных системах мало кто совершает действие при первом же чихе, иначе можно получать много ошибочных результатов и "выбросов". Т.е. например, в критериях на блокировку указано что-то типа "100 подтверждённых сессий mtproxy", кроме того там интеграция мониторящей системы и внесением в dump.xml скорее всего на ручном приводе с учётом того что мониторящая система не в РКН находится, да и РКН/их подрядчик уже много раз обсирался с автоматизацией, например когда они заблокировали ntp.msk-ix.ru. Если б они этим занимались, то в РФ можно было бы нормально пользоваться Интернетом без обхода блокировок (сейчас за пределами рунета постоянно что-то не работает)

 

 

10 часов назад, zdutpdzi сказал:

З.Ы. Кстати,прокси с паролем отсечет минимум версию с ботом.

В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе

 

10 часов назад, zdutpdzi сказал:

Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки

У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут

 

Сам не имею к мейлру никакого отношению. Даже если они ***ы, это надо доказать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, disappointed сказал:

Не увидел информации, прокся размещена у себя или на хостинге, если на хостинге то где?

Там хуже, ребята кажется и в логи то не смотрели, их поднятиым только для своих проксей поди уже пользуется пол интернета и на каждом втором заборе его реквизиты указаны. Ну и да, ой, его там же и РКН нашел. И забанил.

Прокси поднятые так, что посторонние ими воспользоваться не могут никакие РКНы не банят..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 hours ago, s.lobanov said:

Прекратите читать советские газеты (а точнее недакветного графомана ведущего канал ЗаТелеком), которые пиарит свою говноверсию что мейлру помогает РКН. Нет ни единого доказательства этому. Надеюсь что мейлру его засудит за клевету и репутационные издержки

У мейлру нет транзита трафика, т.е. пассивное детектирование они сделать не могут

Нет,речь была не про мрг,о провайдерах же речь шла? ))). Перечитайте ;).

 

7 hours ago, s.lobanov said:

В mtproxy тоже есть пароль (secret), по крайней мере оф. клиент не даёт настроить proxy в режиме mtproxy без пароля. Дело не в пароле, а в протоколе

Тогда не socks5 и не mtproto нужно использовать,а любое,что может косить под TLS. Выше ссылка на shadowsocks.

 

7 hours ago, s.lobanov said:

Даже если они ***ы, это надо доказать

Они это доказывали сами неоднократно ))). И чувак с зателекома здесь  - капля в море ))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 hours ago, Ivan_83 said:

Вы в ловушке: курица или яйцо.

Да что вы говорите ))). Мы просто пользуем то,что популярно,то,что пользуют клиенты. Завтра клиенты захотят хоть icq - будем пользовать icq ))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.