Jump to content
Калькуляторы
Блокировка веб ресурса  

536 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

11 часов назад, dee сказал:

хитрые ребята держат его блог ( постоянно меняют ip , вот ещё и хрень какую то сделали , что бы DPI не ловил) ...

На каждую хитрую жепу найдется болт с резьбой. Тем более,что блокировку фактически осуществляют провайдеры,а не некомпетентный Роскомнадзор.

 

P.S.Минута гугления и,о сколько открытий чудных,статья прошлого года https://habrahabr.ru/post/335436/

 

Цитата

Спускаемся на уровень TCP

Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

Вот такие вот мамкины "кулхацкеры".Чистый 0day,лол.

 

P.P.S. А главхомяк-то раздухарился - держите меня семь омоновцев. С таким бы задором они бы на своих митингах-петтингах отпор давали )))

Edited by alexwin

Share this post


Link to post
Share on other sites
В 2/15/2018 в 12:06, oleg_n сказал:

Это и пихает. А дальнейшее поведение зависит от libcurl :-).

 

Проверено, пихает as is... 

 

Цитата

 


GET / HTTP/1.1
Host: eleanorbethanie.ru\
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Accept-Encoding: identity;q=1.0, *;q=0
Accept-Charset: utf-8;q=1.0, *;q=0.1
 

 

 

Да, может и либкурл... покрайней мере 


curl -v -o /dev/null -H'Host: eleanorbethanie.ru\' http://eleanorbethanie.ru/

выдает 

Цитата

 


> GET / HTTP/1.1
> Host: eleanorbethanie.ru\
> User-Agent: curl/7.57.0
> Accept: */*
 

 

Share this post


Link to post
Share on other sites
В ‎15‎.‎02‎.‎2018 в 11:39, oleg_n сказал:

Кто на встречу едет 28-ого в Чехов?

 

Более чем на 100% уверен, что, как обычно, это не РКН, а какая-то контора, которая выиграла разработку/поддержку этого чуда по тендеру. РКН всего лишь заказчик без технических знаний.

 

У них, вообще, большие проблемы с этапом добавления в реестр. Одни домены кириллицей, другие idn. Пипец просто.

не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши?

 

В ‎16‎.‎02‎.‎2018 в 11:32, max1976 сказал:

Тем самым, подставляя операторов связи под штрафы.

И что делают наши доблестгые управление К ? Почему Ркн нарушителей туда не сливает?

Share this post


Link to post
Share on other sites
3 часа назад, Галушко Дмитрий сказал:

И что делают наши доблестгые управление К ? Почему Ркн их туда не сливает?

Скоро похоже их там всех начнут потихоньку сливать,после выборов. Я не злорадствую,просто похоже на то.

 

@max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter?

Edited by alexwin

Share this post


Link to post
Share on other sites
37 минут назад, alexwin сказал:

@max1976 ,скажите а спуфинг днс-запросов не планируете приделать в ваш extfilter?

На данный момент фильтр полностью справляется со своей задачей. Практической пользой от спуфинга днс может быть только работа с https ресурсами. Но тут могут быть проблемы из-за использования dnssec.

Share this post


Link to post
Share on other sites
15 hours ago, st_re said:

Проверено, пихает as is... 

Ага, вижу. Это оно только в результате ночного захода проверяет. А раз в час - нет. Стганная когобка.

 

6 hours ago, alexwin said:

скажите а спуфинг днс-запросов не планируете приделать в ваш

Про спуфинг в "рекомендациях" ничего не говориться. А вот про то, что "ограничить доступ" - это да. С dnssec такое не прокатит, но с другой стороны ответить ICMP type 3 с host unreach или port unreach всегда можно.

 

Share this post


Link to post
Share on other sites

Мамкин кулхацкер негодуэ,что обосрался:

 

Провайдеры,у него,понимаешь,виноваты. У мамкина кулхацкера,должно быть,дохера денег,чтобы оплатить штрафы всем провайдерам?

Edited by alexwin

Share this post


Link to post
Share on other sites
14 minutes ago, Bat said:

Вот снял trace с core после падения:



 

там-же в gdb:

fr 4

print *act_node

 

Share this post


Link to post
Share on other sites
35 минут назад, alexwin сказал:

Провайдеры,у него,понимаешь,виноваты.

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

Share this post


Link to post
Share on other sites
41 минуту назад, flow-control сказал:

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

Хрен этих клоунов разбереш: то у них реестр - зло,то добро...

 

 
P.S. Ладно,ок,давайте обойдемся без политоты тут,на этом форуме это не приветствуется.

 

Edited by alexwin

Share this post


Link to post
Share on other sites

То же мне важный ресурс :-). Ладно б действительно там было что-то полезное :-). Мне кажется я уже по памяти могу пересказать все тезисы любых речей тов.Навального. Ничего нового.

 

On 2/17/2018 at 7:40 AM, Галушко Дмитрий said:

не смогу, расскажите потом, что было, и прошу им про 1 мес по Яровой хранить на какие шиши?

Я даж знаю что они на это ответят. Я им в прошлый слёт в Люберцах задавал вопрос про РКН с провайдерами вскладчину купить СОРМ, раз противодействие терроризму, педофили и т.п., это дело общее, как сказал представитель РКН или фсб(не помню кто там тогда отвечал на конкретно этот вопрос). Но, дело общее, а платить за это надо провайдерам одним :-).

  На данный момент у меня вопросы по поводу реестра и ревизора.

Share this post


Link to post
Share on other sites
20 часов назад, flow-control сказал:

Он и его фанаты только и способны что языком чесать да поднимать шумиху на пустом месте...

а могли заопенсорсить велосипед с win=2

Share this post


Link to post
Share on other sites
58 минут назад, ^rage^ сказал:

а могли заопенсорсить велосипед с win=2

ну так и сделали ли же так , с этого то и началась демагогия про его блог

Share this post


Link to post
Share on other sites
46 минут назад, dee сказал:

ну так и сделали ли же так , с этого то и началась демагогия про его блог

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Share this post


Link to post
Share on other sites

Добрый день.

Поделка для работы по новой схеме РКН, для работы с "delta" пакетами  (спасибо за помощь max1976)

zapret_v1.2-test

Там же zond для резолвинга domain и url. (сам использую nfqfilter по схеме "bgp offramp")

 

Может кому пригодится...

 

Share this post


Link to post
Share on other sites
5 minutes ago, ^rage^ said:

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит.

Share this post


Link to post
Share on other sites
12 минут назад, oleg_n сказал:

Нефиг плодить скипткидиесов. Пусть сами ковыряются, если кому нужно. К тому же, это всё не работает на фильтрах, которые tcp-сессии собирают. И если такие фокусы с tcp win будут повсеместны, то это всего лишь приведёт к тому, что все фильтры будут собирать сессии. Короч, не стоит.

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Share this post


Link to post
Share on other sites
1 hour ago, ^rage^ said:

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Ну, а дальше что? Провайдеры перестанут фильтровать? Нет конечно. Ерунда это всё. Пока закон обязывает фильтровать - будут фильтровать. И все эти пляски это бесконечная борьба снаряда и брони. И всё к чему это может привести, так это к тому, что с рынка уйдут маленькие провайдеры и останется в пределе один Ростелеком и школьники будут плакать, что монополист цены крутит и качество не повышает. Сами себе яму и выкопают, короче.

Share this post


Link to post
Share on other sites
3 часа назад, ^rage^ сказал:

чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Мне кажется тотально сломать - не выйдет. Ну удорожите Вы жизнь провайдерам. Платить то абонентам.

Share this post


Link to post
Share on other sites
4 часа назад, ^rage^ сказал:

нууу... небольшой реордеринг и такие фильтры начнут жрать память. тут идея в том, чтобы сделать фильтрацию силами dpi либо неэффективной, либо ресурсоёмкой.

Че там ресурсоемкого? Режется первая строка http-запроса,состоящая из метода и url,рассчитано на dpi,которые коряво работают с фрагментированными пакетами. Чтобы выковырять урл из заголовка,нужно 2 пакета собрать. Эта же фишка и замедляет работу с сайтом для пользователя,если он с сайтом мелкими tcp-пакетами обменивается (если дальше win не понимается),но скорее всего далее win увеливается.

 

Не ну можно,конечно win=1 выставить,тогда при определенном pps будет нагрузка на dpi,но и юзеры плеваться будут из-за того,что сайт грузиться в час по чайной ложке.

 

4 часа назад, ^rage^ сказал:

сделать - не значит заопенсорсить решение, чтобы каждый мог повторить.

Скорее всего там сделано стандартным средствами файервола.

 

Так все это или нет,мне честно лень проверять.

Share this post


Link to post
Share on other sites

подскажите с PPPoE extFilter в связке с DPDK работает?

Share this post


Link to post
Share on other sites

 

Вот такие смешные клоуны. Поняли,что обосрались с маканием РКН мордой в гуано обходом блокировок и переводят внимание на блокировку поддомена 2018.navalny.com

Edited by alexwin

Share this post


Link to post
Share on other sites
32 минуты назад, nevsik сказал:

подскажите с PPPoE extFilter в связке с DPDK работает?

Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP.

Share this post


Link to post
Share on other sites
12 минут назад, hsvt сказал:

Если зеркалировать на фильтр трафик с ppp\pppoe заголовками то не это не работает, только чистый IP.

т.е. в процессе зеркалирования надо убирать этот заголовок?

Edited by nevsik

Share this post


Link to post
Share on other sites
23 минуты назад, nevsik сказал:

т.е. в процессе зеркалирования надо убирать этот заголовок?

 

Это означает,что вам не нужно зеркалить трафик до браса. Зеркальте прямо с браса.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now