Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

11 часов назад, dee сказал:

хитрые ребята держат его блог ( постоянно меняют ip , вот ещё и хрень какую то сделали , что бы DPI не ловил) ...

На каждую хитрую жепу найдется болт с резьбой. Тем более,что блокировку фактически осуществляют провайдеры,а не некомпетентный Роскомнадзор.

 

P.S.Минута гугления и,о сколько открытий чудных,статья прошлого года https://habrahabr.ru/post/335436/

 

Цитата

Спускаемся на уровень TCP

Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

Вот такие вот мамкины "кулхацкеры".Чистый 0day,лол.

 

P.P.S. А главхомяк-то раздухарился - держите меня семь омоновцев. С таким бы задором они бы на своих митингах-петтингах отпор давали )))

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 2/15/2018 в 12:06, oleg_n сказал:

Это и пихает. А дальнейшее поведение зависит от libcurl :-).

 

Проверено, пихает as is... 

 

Цитата

 


GET / HTTP/1.1
Host: eleanorbethanie.ru\
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Accept-Encoding: identity;q=1.0, *;q=0
Accept-Charset: utf-8;q=1.0, *;q=0.1
 

 

 

Да, может и либкурл... покрайней мере 


curl -v -o /dev/null -H'Host: eleanorbethanie.ru\' http://eleanorbethanie.ru/

выдает 

Цитата

 


> GET / HTTP/1.1
> Host: eleanorbethanie.ru\
> User-Agent: curl/7.57.0
> Accept: */*
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ‎15‎.‎02‎.‎2018 в 11:39, oleg_n сказал:

Кто на встречу едет 28-ого в Чехов?

 

Более чем на 100% уверен, что, как обычно, это не РКН, а какая-то контора, которая выиграла разработку/поддержку этого чуда по тендеру. РКН всего лишь заказчик без технических знаний.

 

У них, вообще, большие проблемы с этапом добавления в реестр. Одни домены кириллицей, другие idn. Пипец просто.

не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши?

 

В ‎16‎.‎02‎.‎2018 в 11:32, max1976 сказал:

Тем самым, подставляя операторов связи под штрафы.

И что делают наши доблестгые управление К ? Почему Ркн нарушителей туда не сливает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Галушко Дмитрий сказал:

И что делают наши доблестгые управление К ? Почему Ркн их туда не сливает?

Скоро похоже их там всех начнут потихоньку сливать,после выборов. Я не злорадствую,просто похоже на то.

 

@max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter?

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

37 минут назад, alexwin сказал:

@max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter?

На данный момент фильтр полностью справляется со своей задачей. Практической пользой от спуфинга днс может быть только работа с https ресурсами. Но тут могут быть проблемы из-за использования dnssec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 hours ago, st_re said:

Проверено, пихает as is... 

Ага, вижу. Это оно только в результате ночного захода проверяет. А раз в час - нет. Стганная когобка.

 

6 hours ago, alexwin said:

скажите а спуфинг днс-запросов не планируете приделать в ваш

Про спуфинг в "рекомендациях" ничего не говориться. А вот про то, что "ограничить доступ" - это да. С dnssec такое не прокатит, но с другой стороны ответить ICMP type 3 с host unreach или port unreach всегда можно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мамкин кулхацкер негодуэ,что обосрался:

 

Провайдеры,у него,понимаешь,виноваты. У мамкина кулхацкера,должно быть,дохера денег,чтобы оплатить штрафы всем провайдерам?

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 minutes ago, Bat said:

Вот снял trace с core после падения:



 

там-же в gdb:

fr 4

print *act_node

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, alexwin сказал:

Провайдеры,у него,понимаешь,виноваты.

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

41 минуту назад, flow-control сказал:

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

Хрен этих клоунов разбереш: то у них реестр - зло,то добро...

 

 
P.S. Ладно,ок,давайте обойдемся без политоты тут,на этом форуме это не приветствуется.

 

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То же мне важный ресурс :-). Ладно б действительно там было что-то полезное :-). Мне кажется я уже по памяти могу пересказать все тезисы любых речей тов.Навального. Ничего нового.

 

On 2/17/2018 at 7:40 AM, Галушко Дмитрий said:

не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши?

Я даж знаю что они на это ответят. Я им в прошлый слёт в Люберцах задавал вопрос про РКН с провайдерами вскладчину купить СОРМ, раз противодействие терроризму, педофили и т.п., это дело общее, как сказал представитель РКН или фсб(не помню кто там тогда отвечал на конкретно этот вопрос). Но, дело общее, а платить за это надо провайдерам одним :-).

  На данный момент у меня вопросы по поводу реестра и ревизора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, flow-control сказал:

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

а могли заопенсорсить велосипед с win=2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 минут назад, ^rage^ сказал:

а могли заопенсорсить велосипед с win=2

ну так и сделали ли же так , с этого то и началась демагогия про его блог

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

46 минут назад, dee сказал:

ну так и сделали ли же так , с этого то и началась демагогия про его блог

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Поделка для работы по новой схеме РКН, для работы с "delta" пакетами  (спасибо за помощь max1976)

zapret_v1.2-test

Там же zond для резолвинга domain и url. (сам использую nfqfilter по схеме "bgp offramp")

 

Может кому пригодится...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 minutes ago, ^rage^ said:

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, oleg_n сказал:

Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит.

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, ^rage^ said:

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Ну, а дальше что? Провайдеры перестанут фильтровать? Нет конечно. Ерунда это всё. Пока закон обязывает фильтровать - будут фильтровать. И все эти пляски это бесконечная борьба снаряда и брони. И всё к чему это может привести, так это к тому, что с рынка уйдут маленькие провайдеры и останется в пределе один Ростелеком и школьники будут плакать, что монополист цены крутит и качество не повышает. Сами себе яму и выкопают, короче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, ^rage^ сказал:

чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Мне кажется тотально сломать - не выйдет. Ну удорожите Вы жизнь провайдерам. Платить то абонентам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, ^rage^ сказал:

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Че там ресурсоемкого? Режется первая строка http-запроса,состоящая из метода и url,рассчитано на dpi,которые коряво работают с фрагментированными пакетами. Чтобы выковырять урл из заголовка,нужно 2 пакета собрать. Эта же фишка и замедляет работу с сайтом для пользователя,если он с сайтом мелкими tcp-пакетами обменивается (если дальше win не понимается),но скорее всего далее win увеливается.

 

Не ну можно,конечно win=1 выставить,тогда при определенном pps будет нагрузка на dpi,но и юзеры плеваться будут из-за того,что сайт грузиться в час по чайной ложке.

 

4 часа назад, ^rage^ сказал:

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Скорее всего там сделано стандартным средствами файервола.

 

Так все это или нет,мне честно лень проверять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите с PPPoE extFilter в связке с DPDK работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Вот такие смешные клоуны. Поняли,что обосрались с маканием РКН мордой в гуано обходом блокировок и переводят внимание на блокировку поддомена 2018.navalny.com

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, nevsik сказал:

подскажите с PPPoE extFilter в связке с DPDK работает?

Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, hsvt сказал:

Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP.

т.е. в процессе зеркалирования надо убирать этот заголовок?

Изменено пользователем nevsik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 минуты назад, nevsik сказал:

т.е. в процессе зеркалирования надо убирать этот заголовок?

 

Это означает,что вам не нужно зеркалить трафик до браса. Зеркальте прямо с браса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.