alexwin Опубликовано 16 февраля, 2018 (изменено) · Жалоба 11 часов назад, dee сказал: хитрые ребята держат его блог ( постоянно меняют ip , вот ещё и хрень какую то сделали , что бы DPI не ловил) ... На каждую хитрую жепу найдется болт с резьбой. Тем более,что блокировку фактически осуществляют провайдеры,а не некомпетентный Роскомнадзор. P.S.Минута гугления и,о сколько открытий чудных,статья прошлого года https://habrahabr.ru/post/335436/ Цитата Спускаемся на уровень TCP Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете. Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре. Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами: Вот такие вот мамкины "кулхацкеры".Чистый 0day,лол. P.P.S. А главхомяк-то раздухарился - держите меня семь омоновцев. С таким бы задором они бы на своих митингах-петтингах отпор давали ))) Изменено 16 февраля, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 февраля, 2018 · Жалоба В 2/15/2018 в 12:06, oleg_n сказал: Это и пихает. А дальнейшее поведение зависит от libcurl :-). Проверено, пихает as is... Цитата GET / HTTP/1.1 Host: eleanorbethanie.ru\ Connection: close User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36 Accept-Encoding: identity;q=1.0, *;q=0 Accept-Charset: utf-8;q=1.0, *;q=0.1 Да, может и либкурл... покрайней мере curl -v -o /dev/null -H'Host: eleanorbethanie.ru\' http://eleanorbethanie.ru/ выдает Цитата > GET / HTTP/1.1 > Host: eleanorbethanie.ru\ > User-Agent: curl/7.57.0 > Accept: */* Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 17 февраля, 2018 · Жалоба В 15.02.2018 в 11:39, oleg_n сказал: Кто на встречу едет 28-ого в Чехов? Более чем на 100% уверен, что, как обычно, это не РКН, а какая-то контора, которая выиграла разработку/поддержку этого чуда по тендеру. РКН всего лишь заказчик без технических знаний. У них, вообще, большие проблемы с этапом добавления в реестр. Одни домены кириллицей, другие idn. Пипец просто. не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши? В 16.02.2018 в 11:32, max1976 сказал: Тем самым, подставляя операторов связи под штрафы. И что делают наши доблестгые управление К ? Почему Ркн нарушителей туда не сливает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 17 февраля, 2018 (изменено) · Жалоба 3 часа назад, Галушко Дмитрий сказал: И что делают наши доблестгые управление К ? Почему Ркн их туда не сливает? Скоро похоже их там всех начнут потихоньку сливать,после выборов. Я не злорадствую,просто похоже на то. @max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter? Изменено 17 февраля, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 17 февраля, 2018 · Жалоба 37 минут назад, alexwin сказал: @max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter? На данный момент фильтр полностью справляется со своей задачей. Практической пользой от спуфинга днс может быть только работа с https ресурсами. Но тут могут быть проблемы из-за использования dnssec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 17 февраля, 2018 · Жалоба 15 hours ago, st_re said: Проверено, пихает as is... Ага, вижу. Это оно только в результате ночного захода проверяет. А раз в час - нет. Стганная когобка. 6 hours ago, alexwin said: скажите а спуфинг днс-запросов не планируете приделать в ваш Про спуфинг в "рекомендациях" ничего не говориться. А вот про то, что "ограничить доступ" - это да. С dnssec такое не прокатит, но с другой стороны ответить ICMP type 3 с host unreach или port unreach всегда можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 18 февраля, 2018 (изменено) · Жалоба Мамкин кулхацкер негодуэ,что обосрался: Провайдеры,у него,понимаешь,виноваты. У мамкина кулхацкера,должно быть,дохера денег,чтобы оплатить штрафы всем провайдерам? Изменено 18 февраля, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 18 февраля, 2018 · Жалоба 14 minutes ago, Bat said: Вот снял trace с core после падения: там-же в gdb: fr 4 print *act_node Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 18 февраля, 2018 · Жалоба 35 минут назад, alexwin сказал: Провайдеры,у него,понимаешь,виноваты. Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 18 февраля, 2018 (изменено) · Жалоба 41 минуту назад, flow-control сказал: Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте... Хрен этих клоунов разбереш: то у них реестр - зло,то добро... P.S. Ладно,ок,давайте обойдемся без политоты тут,на этом форуме это не приветствуется. Изменено 18 февраля, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 19 февраля, 2018 · Жалоба То же мне важный ресурс :-). Ладно б действительно там было что-то полезное :-). Мне кажется я уже по памяти могу пересказать все тезисы любых речей тов.Навального. Ничего нового. On 2/17/2018 at 7:40 AM, Галушко Дмитрий said: не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши? Я даж знаю что они на это ответят. Я им в прошлый слёт в Люберцах задавал вопрос про РКН с провайдерами вскладчину купить СОРМ, раз противодействие терроризму, педофили и т.п., это дело общее, как сказал представитель РКН или фсб(не помню кто там тогда отвечал на конкретно этот вопрос). Но, дело общее, а платить за это надо провайдерам одним :-). На данный момент у меня вопросы по поводу реестра и ревизора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 19 февраля, 2018 · Жалоба 20 часов назад, flow-control сказал: Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте... а могли заопенсорсить велосипед с win=2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 19 февраля, 2018 · Жалоба 58 минут назад, ^rage^ сказал: а могли заопенсорсить велосипед с win=2 ну так и сделали ли же так , с этого то и началась демагогия про его блог Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 19 февраля, 2018 · Жалоба 46 минут назад, dee сказал: ну так и сделали ли же так , с этого то и началась демагогия про его блог сделать - не значит заопенсорсить решение, чтобы каждый мог повторить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hirurg2000 Опубликовано 19 февраля, 2018 · Жалоба Добрый день. Поделка для работы по новой схеме РКН, для работы с "delta" пакетами (спасибо за помощь max1976) zapret_v1.2-test Там же zond для резолвинга domain и url. (сам использую nfqfilter по схеме "bgp offramp") Может кому пригодится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 19 февраля, 2018 · Жалоба 5 minutes ago, ^rage^ said: сделать - не значит заопенсорсить решение, чтобы каждый мог повторить. Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 19 февраля, 2018 · Жалоба 12 минут назад, oleg_n сказал: Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит. нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 19 февраля, 2018 · Жалоба 1 hour ago, ^rage^ said: нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой. Ну, а дальше что? Провайдеры перестанут фильтровать? Нет конечно. Ерунда это всё. Пока закон обязывает фильтровать - будут фильтровать. И все эти пляски это бесконечная борьба снаряда и брони. И всё к чему это может привести, так это к тому, что с рынка уйдут маленькие провайдеры и останется в пределе один Ростелеком и школьники будут плакать, что монополист цены крутит и качество не повышает. Сами себе яму и выкопают, короче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 19 февраля, 2018 · Жалоба 3 часа назад, ^rage^ сказал: чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой. Мне кажется тотально сломать - не выйдет. Ну удорожите Вы жизнь провайдерам. Платить то абонентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 19 февраля, 2018 · Жалоба 4 часа назад, ^rage^ сказал: нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой. Че там ресурсоемкого? Режется первая строка http-запроса,состоящая из метода и url,рассчитано на dpi,которые коряво работают с фрагментированными пакетами. Чтобы выковырять урл из заголовка,нужно 2 пакета собрать. Эта же фишка и замедляет работу с сайтом для пользователя,если он с сайтом мелкими tcp-пакетами обменивается (если дальше win не понимается),но скорее всего далее win увеливается. Не ну можно,конечно win=1 выставить,тогда при определенном pps будет нагрузка на dpi,но и юзеры плеваться будут из-за того,что сайт грузиться в час по чайной ложке. 4 часа назад, ^rage^ сказал: сделать - не значит заопенсорсить решение, чтобы каждый мог повторить. Скорее всего там сделано стандартным средствами файервола. Так все это или нет,мне честно лень проверять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 19 февраля, 2018 · Жалоба подскажите с PPPoE extFilter в связке с DPDK работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 19 февраля, 2018 (изменено) · Жалоба Вот такие смешные клоуны. Поняли,что обосрались с маканием РКН мордой в гуано обходом блокировок и переводят внимание на блокировку поддомена 2018.navalny.com Изменено 19 февраля, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 19 февраля, 2018 · Жалоба 32 минуты назад, nevsik сказал: подскажите с PPPoE extFilter в связке с DPDK работает? Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 19 февраля, 2018 (изменено) · Жалоба 12 минут назад, hsvt сказал: Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP. т.е. в процессе зеркалирования надо убирать этот заголовок? Изменено 19 февраля, 2018 пользователем nevsik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 19 февраля, 2018 · Жалоба 23 минуты назад, nevsik сказал: т.е. в процессе зеркалирования надо убирать этот заголовок? Это означает,что вам не нужно зеркалить трафик до браса. Зеркальте прямо с браса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...