В сети стали появляться новости о том, что провайдеры закупают DPI оборудование, для того чтобы блокировать VPN. В этой статье я хочу поделиться своим мнением в целом о блокировках и конкретно о DPI.
Как у нас происходят блокировки сейчас?
Роскомнадзор вносит нежелательный ресурс в черный список. Провайдеры вынуждены подчиняться и не пропускать запросы к такому ресурсу. Например, при попытке зайти в твиттер, наш браузер отправляет DNS запрос провайдеру для получения IP-адреса твиттера. Провайдер, поняв то, что этот IP-адрес в черном списке, отдает нам свою страницу, где сообщается о том, что доступ невозможен.
Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес. Мы такое наблюдали в 2018, когда РКН блокировал телеграм. Телеграм же просто менял адреса. А учитывая, то что телеграм хостился на AWS (Amazon Web Services), где кроме него хостилось огромное количество сайтов, в том числе и сам РКН. В итоге мы получили ситуацию, когда РКН заблокировал всё, что можно, в том числе и себя, а телеграм так и остался не заблокированным.
Но если ресурс, как твиттер не собирается менять IP-адрес, мы все равно можем попасть на него большим количеством способов: использовать другой DNS, прокси, VPN и др. А учитывая то, что в 2023 VPN используют почти все, то у РКН не остается шансов.
И тут на помощь приходит DPI (Deep Packet Inspection) - это технология, которая анализирует содержание сетевых пакетов, позволяя определять и блокировать определенные типы трафика. То есть DPI заглядывает в каждый пакет, и если ему, что-то не нравится он просто его не пропускает. Например, может взять и отфильтровывать все пакеты которые идут по OpenVPN протоколу.
— Но ведь если мы используем VPN, то наши пакеты зашифрованы. Как DPI сможет заглянуть в них?
Да, в такие пакеты DPI заглянуть не сможет, но он сможет по метаданным и другим характеристикам понять, что этот пакет принадлежит VPN трафику. Например, возьмем протокол OpenVPN, это опенсорс протокол, и все могут посмотреть как он устроен. OpenVPN использует порт 1194, и встретив зашифрованный пакет с таким портом, DPI поймет, что это OpenVPN трафик и при желании заблокирует его.
Также DPI может определять к какому протоколу принадлежит пакет, на основе анализа различных аспектов пакета, таких как заголовки и характеристики трафика, а также на основе сравнения с сигнатурами или шаблонами известных протоколов.
— Так, что получается, DPI сможет заблокировать весь VPN трафик?
Нет. Всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации (запутывание) трафика.
Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика.
Цель обфускации - маскировка VPN трафика, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные можно скрыть под видом изображений или звуковых файлов. Обфусцирующие протоколы (Shadowsocks, obfs4, Cloak, Stunnel, OpenVPN Scramble) уже реализовали у себя крупные VPN сервисы.
К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы. Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика. Ну и для глобальных блокировок нужны огромное количество дорогостоящего оборудования.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Комментарии (92)
Neikist
20.10.2023 09:32+8Кроме Китая есть еще пара примеров. Кроме совсем экстремального в виде КНДР есть еще Туркменистан.
MrB4el
20.10.2023 09:32+6есть еще Египет, про который редко пишут. И именно там "цивилизованные и гуманные" европейские компании вроде Nokia обкатывают свои технологии по контролю за интернетом. Причем весьма успешно. Ни WG, ни L2TP/IPSec не поднимались до Турции буквально месяц назад оттуда, и до других локаций соединения явно троттлили. Да местные мумии говорят, что анализ идёт по поведению трафика (то есть последними версиями DPI).
yoz
20.10.2023 09:32+4Прекрасно работали коллеги из Турции и Египта с помощью openvpn, завернутого в stunnel. А это далеко не такой серьезный способ скрытия, как cloak, например.
truthseeker
20.10.2023 09:32+1Ну, экспериментировать там начали давно с подобным. В своё время там не работали некоторые мессенджеры, при том что другие приложения подобного рода работали на ура. Оказалось, что у них DPI, режущий лишь некоторый трафик от неугодных им приложений. Viber работал, а Skype нет, ещё что-то не работало, а его аналог — работал(список всего, что не работало, уже за давностью лет не помню). Тогда это было удивительно, так как подобных блокировок в других странах(за исключением Китая) нигде ещё не было. Местные объясняли блокировки "борьбой с террором". Зачем на самом деле блокировали некоторые мессенджеры, файлообменники, и некоторые сайты товарищи-майоры из Египта, не знаю, но официальное объяснение явно притянуто за уши...
Ivan22
20.10.2023 09:32ну там сперва революция, потом военный переворот. Еще удивительно что там вообще какие-то мессенжеры работают
truthseeker
20.10.2023 09:32Тогда понятно, почему бедная страна с не очень развитой на то время IT-инфраструктурой вдруг так вложилась в DPI. Но, зачем народу байки скармливают, что это всё против неведомых, якобы засевших где-то в пещерах в пустыне, бородачей направленно, не понятно. Кстати, видел, как в пустыню военная техника ехала, видать мифических бородачей ловить. Хотя, когда был в пустыне, бородачей там не было. Были какие-то мелкие грызуны и ящеры, и такие же мелкие хищники из породы кошачьих, на этом всё, больше там ничего, кроме редких бедуинов, не было...
MiraclePtr
20.10.2023 09:32+41Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес.
Это если не банить сразу целыми подсетями и AS'ками, как это делают, например, в Туркменистане.
К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы.
Да им пофиг. Недавно Минцифры разъясняло для юрлиц, мол, если ваш корпоративный впн случайно заблокировали, отправьте нам заявление, мы подумаем и можем быть внесем его в белые списки.
Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика.
Вы бы хоть разобрались как это работает. Не требуется проверять каждый пакет в сети, обычно анализируются только первые пакеты (хендшейк) после установления соединения.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Опыт Китая и Ирана показывает, что на каждую новую технологию обфускации цензоры придумывают более изощренные диагностики, и эта битва щита и меча продолжается уже много лет с переменным успехом.
FakeOctopus
20.10.2023 09:32-59В России не тоталитарный режим как в Китае и Иране. Если бы властям это было нужно то давно бы всё заблокировали. Просто полная блокировка не нужна самим властям. Чиновникам самим нужен интернет и блокировка вызовет их неудовольствие. А они основа власти.
MiraclePtr
20.10.2023 09:32+40Чиновникам самим нужен интернет и блокировка вызовет их неудовольствие
Пффф. Ну что вы как маленький, для чиновников и приближенных лиц запросто могут быть специальные тарифы/аккаунты для доступа в интернет без ограничений.
Alexsey
20.10.2023 09:32+1К сожалению нет возможности проверить так как уже много лет не связан с этим, но я более чем уверен что у RSNet трафик не фильтруется от слова вообще. И все органы власти пользуются либо ими, либо ростелекомом.
Gryphon88
20.10.2023 09:32+2Не фильтрует. И "Медузу" дважды блокировали, и видно, как Медведев сидит в твиттере, когда его будят на заседаниях)
Volodichev
20.10.2023 09:32+10тоталитарный режим как в Китае и Иране
Так и Иран с Китаем - не тоталитарные режимы. Там, как и в России есть частный бизнес, например. Наличие оголтелой цензуры вовсе не равносильно тоталитаризму.
Если бы властям это было нужно
Это не недосмотр, а продуманная стратегия. Если бы в 2013-м году людям сказали, что сайты будут блокировать за любой чих против российской власти, то митинги начались бы ещё на уровне обсуждения в СМИ. А сейчас... Лягушку, так сказать, нужно уметь варить.
Чиновникам самим нужен интернет
Помнится до СВО публиковали тендеры на предоставление услуг VPN для обхода блокировок в различных гос.учреждениях, вроде УМВД. Себе, если понадобится, они свободный доступ обеспечат. Даже если доступ в интернет заблокируют с той стороны границы.
Более того, чиновник лишь опора, а не источник власти. Скажут сидеть без интернета - сядет. Главное делать это не резко, а то лягушка может выпрыгнуть.M_AJ
20.10.2023 09:32+21Там, как и в России есть частный бизнес, например
В таких классических тоталитарных режимах, как итальянский фашизм Муссолини, и национал-социализм Гитлера вполне себе был частный бизнес. Да, тоталитарные режимы довольно активно вмешиваются в экономику, но это совершенно не означает, что они обязательно ликвидируют частный бизнес.
saboteur_kiev
20.10.2023 09:32+7Главное, чтобы владелец бизнеса полностью поддерживал партию, а иначе владелец быстро сменится.
sYB-Tyumen
20.10.2023 09:32+4публиковали тендеры на предоставление услуг VPN для обхода блокировок в различных гос.учреждениях, вроде УМВД
Это где такое было именно что про обход блокировок? Мне такое попадалось только в виде "учёный изнасиловал журналиста". Когда неграмотный человек, увидев тендер на L2 и L3-VPN решает, что это для "обхода блокировок", хотя это просто выделенные каналы связи, вообще никак не связанные с Интернетом.
UGivi
20.10.2023 09:32+8Медицина (которую "отптимизируют") им тоже нужна, про спецклиники слышали? И, конечно, марьиванна из сельской администрации никого не интересует, ей интернет с медициной достанутся "народные", но кому надо (себя оберегать), тот получит нужное независимо от остальной страны. Наивные заявления из первой половины поста выглядят сейчас, скорее, провокацией, чем наивностью.
ALexhha
20.10.2023 09:32+7В России не тоталитарный режим как в Китае и Иране.
мне просто интересно, а какой же тогда режим, с учетом того, что последние 23 года нет сменяемости власти, от слова совсем ? И только не надо про Медведева
Если бы властям это было нужно то давно бы всё заблокировали.
так они потихоньку это и делают, а потом смотрят реакцию людей
Просто полная блокировка не нужна самим властям.
откуда такая уверенность ?
Чиновникам самим нужен интернет и блокировка вызовет их неудовольствие. А они основа власти.
)))))
garwall
20.10.2023 09:32ну чисто технически, РФ (имхо) лучше всео описывается политологически термином "правоконсервативный авторитаризм". От тоталитаризма, например, отличается как раз невключением всех и каждого в правильное политическое действие - наоборот, скорее есть стремление максмально деполитизировать массы.
sHaggY_caT
20.10.2023 09:32+4ну чисто технически, РФ (имхо) лучше всео описывается политологически термином "правоконсервативный авторитаризм"
Уже давно не информационная автократия, а диктатура. Это уже мягкий фашизм, что прекрасно предсказал Б. Стругацкий ещё в 1996м году. Даже недолюдей давно назначили: это украинцы, кто отказывается считать себя русскими, ЛГБТ и свидетели иеговы, в дополнение к врагам народа (иностранным агентам, экстримистам).
От тоталитаризма, например, отличается как раз невключением всех и каждого в правильное политическое действие - наоборот, скорее есть стремление максмально деполитизировать массы.
Да, такая есть особенность у рашизма (российского фашизма). Но, возможно, это временный пережиток, легаси перед переходом от диктатуры страха к тоталитаризму.
По определению Б. Стругацкого, фашизм это национализм + диктатура. Обычно люди путают национализм в целом, который бывает этническим(национализм этнической группы) и политическим (национализм политической нации), с национализмом этническим. Тогда как в третьем рейхе, например, в основе нацизма (=немецкий фашизм) был политический национализм, а не этнический: сверхлюдьми назначили не немцев, а химеру "ариев"(реальные арии,группа языков, существует, но совсем не то, что думали нацисты), которых социально сконструировали из немцев, жителей бенелюкса, скандинавов и других людей, даже многих этнических русских. В этом плане российский политнационализм даже чуть ближе к этническому: кажется, в третьем рейхе не пытались ликвидировать местные языки в пользу немецкого в завоёванных Дании и Норвегии, а РФ уже денонсировала конвенцию по защите национальных меньшинств.
Нацисты начали войну во имя "расовой теории" - псевдонаучной концепции, а рашисты начали войну во имя "геополитики", к научности которой были вопросы даже у РАН
gamolinf
20.10.2023 09:32Это если не банить сразу целыми подсетями и AS'ками, как это делают, например, в Туркменистане.
Россия, таки, не Туркменистан и блокируют у нас часто для галочки и отчета. Отчитались, мол заблокировали такой-то недружественный ресурс, а что блокировку обойдут - побоку.
Да им пофиг. Недавно Минцифры разъясняло для юрлиц, мол, если ваш корпоративный впн случайно заблокировали, отправьте нам заявление, мы подумаем и можем быть внесем его в белые списки.
Одно дело случайно заблочить айпишник, другое дело начать войну с целой технологией на которой завязаны многие бизнес-процессы, в том числе и гос.структуры
Опыт Китая и Ирана показывает, что на каждую новую технологию обфускации цензоры придумывают более изощренные диагностики
Тут, даже спорить не буду - это факт, вопрос в том, готовы ли у нас действительно вкладываться в это. Все же это колоссальные средства и настолько ли плешь проел условный твиттер или инстаграмм, чтобы потратить на это просто кучу денег.
grokinn
20.10.2023 09:32+17На сегодня можно уверенно утверждать, что блокируют уже совсем не для галочки, работа идет активная. Примерно с конца лета начала осени тот vpn, которым я пользуюсь, перестал работать, после чего его авторы начали активно пилить обновления для обхода блокировок, за пару месяцев вышло уже около 10 новых версий приложения и теперь им можно пользоваться, но не 100% времени, иногда все же отваливается. Это свидетельствует о том, что борьба с обходом блокировок идет серьезная и если находится возможность сделать больше, они делают больше. Конечно невозможно объять необъятное и есть ещё приложения работающие стабильно, но опросам знакомых таких приложений все меньше.
gamolinf
20.10.2023 09:32-10Не наблюдал пока проблем ни на ваергварде ни на опенвпн, все работает прекрасно и без сбоев. Но я не пользуюсь своим впн, арендовал впс в Нидерландах и проблем не наблюдаю
M_AJ
20.10.2023 09:32+4Не наблюдал пока проблем ни на ваергварде ни на опенвпн
Очень много людей сообщают о проблемах с WG и OpenVPN при использовании мобильных операторов. Причем даже внутри страны, а не только при подключении к зарубежным серверам.
MiraclePtr
20.10.2023 09:32+6другое дело начать войну с целой технологией на которой завязаны многие бизнес-процессы, в том числе и гос.структуры
Проблемы для гос.структур и бизнесов будут решать белыми списками.
gamolinf
20.10.2023 09:32-3Я за несколько лет еще не столкнулся с проблемой в использовании OpenVPN или wg, звучит все печально, конечно
vadimr
20.10.2023 09:32Одно дело случайно заблочить айпишник, другое дело начать войну с целой технологией на которой завязаны многие бизнес-процессы, в том числе и гос.структуры
Госструктуры (в идеале) не маршрутизируют свой трафик через интернет, им вообще это пофиг.
Popadanec
20.10.2023 09:32А как к примеру, налоговая(и все остальные) базы синхронизируют?
Только в нашем областном городе на 300тыс. населения, одних налоговых с десяток.
vadimr
20.10.2023 09:32У них корпоративная сеть передачи данных, для которой оператор предоставляет выделенные каналы на том или ином уровне. В общем, они не смешиваются с интернетом.
Popadanec
20.10.2023 09:32Но связь то идёт по тем же самым каналам, что и у всех остальных.
Выделенные спец линии только у военных и учёных, на сколько я знаю, есть.
vadimr
20.10.2023 09:32Абонентская линия КСПД у госучреждений (в идеале) всегда выделенная. На магистрали Ростелеком может замешивать, например, на уровне L2, в зависимости от условий, но пакеты IP КСПД и Интернета всё равно не могут встретиться.
Antra
20.10.2023 09:32Авторизацию через ЕСИА пропагандируют юзать изо всех сил, отнюдь н нетолько госам. Требования "хочешь авторизоваться через ЕСИА, купи спец канал, изолированный от Интернета" вроде как отсутствует.
Можно спорить, что должно хватать обычного HTTPS (REST API), а не Site-to-Site VPN. Но по-любому, даже организации с "выделенками" сплошь и рядом настраивают резервный канал через Интернет. А зачастую еще и по видам трафика разделяют, чтобы поменьше за трафик платить (через VPN over Интернет существенно дешевле).
MiraclePtr
20.10.2023 09:32Не обязательно выделенная физическая линия, может быть просто выделенный VLAN.
18741878
20.10.2023 09:32-7Да бог с ними - твиттераторами, инстаграторами и фейсбукаторами. А вот если чья-то "умная" голова заблокирует репозиторий maven. Или kernel.org. Или что-то еще подобное
Breathe_the_pressure
20.10.2023 09:32+10Скачают всё и заблокируют. Вон на Кубе ездят 50-летние машины.
Xenotester
20.10.2023 09:32Куба новые машины не блокировала - это Кубу "заблокировали снаружу".
И вот такая ситуация может оказаться труднее
nidalee
20.10.2023 09:32Собственно говоря, NVIDIA 4090 и старше заблокировали вот только что :)
BugM
20.10.2023 09:32Точно заблокировали? На развалах ими завалено все. Можно оптом если надо.
nidalee
20.10.2023 09:32Точно, в Китае цены уже в 2 раза подскочили, наши еще репу чешут.
The US Department of Commerce has announced new export restrictions on a range of Nvidia GPUs, with the focus primarily on preventing shipments to China. Predictably, the list of chips acquiring export-contraband status include Nvidia AI-optimized hardware. But a gaming GPU has made the list for the first time, too. Yup, no more GeForce RTX 4090 cards for China.
https://www.pcgamer.com/no-more-nvidia-rtx-4090-gpus-for-china-after-new-us-export-ban/
BugM
20.10.2023 09:32Точно подскочили?
https://aliexpress.ru/wholesale?SearchText=rtx4090
https://www.alibaba.com/trade/search?searchText=GeForce+RTX+4090
Все завалено. В том числе и оптом.
Цены примерно как рекомендуемые. Ничего особого в ценах не видно.
nidalee
20.10.2023 09:32Точно. Хотя да, не в 2 раза, это кто-то приврал.
Даже на убогую турбину (это я как бывший владелец турбины говорю!) цена уже 1,890 долларов. На amazon-е AIB можно купить за 1700.
А ведь это три дня только прошло, дальше карт будет только меньше.
В том числе и оптом.
Это, конечно, утешает. Но я не уверен, что найду 10 единомышленников, когда свою 4090 буду обновлять.
UP: впрочем, я глянул ссылку на aliexpress, которую вы дали - там да, больше чем в 2 раза цены выросли. Цены 213-379 тысяч. Зимой в Москве можно было 4090 купить за 120 тысяч. Я лично покупал позже, за 140.
BugM
20.10.2023 09:32впрочем, я глянул ссылку на aliexpress, которую вы дали - там да, больше чем в 2 раза цены выросли. Цены 213-379 тысяч. Зимой в Москве можно было 4090 купить за 120 тысяч. Я лично покупал позже, за 140.
Вы курс рубля видели? Рост может и есть, но в пределах погрешности.
Даже на убогую турбину (это я как бывший владелец турбины говорю!) цена уже 1,890 долларов. На amazon-е AIB можно купить за 1700.
10% это несерьезно. Сезонные колебания и то больше. Распродажи, затоваривание или наоборот крупняк который выгреб все склады.
nidalee
20.10.2023 09:32Вы курс рубля видели? Рост может и есть, но в пределах погрешности.
Видел. 213 тысяч это 2100 долларов. Очень удобно теперь рубли в доллары в уме пересчитывать.
Даже у нас в ритейле дешевле получается, чем на али. Да и на тао, чего уж там...
BugM
20.10.2023 09:32Ну и нормально. Рекомендованная цена 1600. Добавляем всякие НДС и особенности с гарантией и получается примерно что так и есть. х2 не видно даже близко.
nidalee
20.10.2023 09:32Нифига себе "нормально"...
Я же говорю, в Москве в DNS не турбину можно купить за 1800 долларов. Пока еще. Не оптом, а одну.
А на али уже предлагают минимум за 213.
На тао еще можно найти что-то за 1900, но у меня есть некоторые сомнения, что они за столько привезут. Потому что там какие-то подозрительные лоты, в которых вообще вся линейка 4ХХХ и часть 3ХХХ карт прописана, не факт, что они этот ценник про 4090 пишут.
И снова: это третий день бана.
BugM
20.10.2023 09:32Я бы на месте продавцов под такое заявление еще сильнее цены задрал. Дефицит грядет! Прибыль сама идет в руки.
Давайте вернемся к вопросу ближе к НГ. Посмотрим. Я бы поставил на то что все как обычно всё проигнорируют и цены будут как и раньше везде +- одинаковыми.
nidalee
20.10.2023 09:32Я бы поставил на то что все как обычно всё проигнорируют и цены будут как и раньше везде +- одинаковыми.
Да я только за. Но что-то сомневаюсь.
А по поводу "вернемся к вопросу" - я точно забуду :)
Daimos
20.10.2023 09:32+6AstraLinux и прочие поделки будете использовать, со внутренними репозиториями. Чебурнет вполне реален.
BoogieMan75
20.10.2023 09:32И зависнем на 6 ядре?)
UGivi
20.10.2023 09:32+1Как будто это что-то плохое. Ядро, в отличии от машин 50х, не ржавеет и не изнашивается и будет работать, пока живо сегодняшнее железо (с новым массовых проблем не будет, т.е. нового массового не будет). Ну будет ядрёное НИИ пилить форк ядра ни шатко, ни валко, надо же ентих дармоедов, работавших на мировой империализм, чем-то занять.
BoogieMan75
20.10.2023 09:32+1Конечно прекрасно. команда kernel.org дураки какие то. остались бы на на 1 версии, ан нет... Корячатся, выдумывают.
M_AJ
20.10.2023 09:32В Северной Корее, есть "специально обученные люди", которые заливают в местную сеть одобренный контент, так и тут — "кто надо" в любом случае получит доступ в нормальный интернет, чтобы скачать исходники нового ядра, заниматься OSINTом и прочее, тут у них проблемы не будет.
Daimos
20.10.2023 09:32На флешке будем возить, как контрабанду )
Эх, как некоторых корячит от такого, аж в карму нагадили.
jershell
20.10.2023 09:32+14Личное мнение. Есть предел, когда блокировки начнут существенно сказываться на возможности работать. У меня не редко ссылки из гугл ведут на заблокированный медиум. Ресурс некритичный + есть впн, но как мне видится, это сейчас так, вероятно тенденция продолжится, ресурсы типа гитхаб\гитлаб попадут так же в блокировку, впн скорее всего туда же. Как будем работать, непонятно. Придется однозначно уезжать, проживание в России становися экономически нецелесобразно, если вообще возможно. Такие уехавшие, небольшой процент от общих поступлений. Государству они(мы) не нужны, поэтому не вижу причин к изменению этой тенденции. Сейчас больше стоит вопрос, когда наступит этот предел. После "выборов" процесс вероятно ускорится и вероятно в течении следующих 10 лет достигнет предела. Сейчас это видится именно так, понятно, что еще что-то поменяется, сложно прогнозировать, но риски стоит учитывать. Поэтому ИМХО, надо не о впн думать, а плакать и закладываться, что мигрировать придется.
develmax
20.10.2023 09:32+18Как же до вас долго доходит.
sshemol
20.10.2023 09:32+7Не "долго доходит", а простой подсчет целесообразности. Когда кому то целесообразнее остаться - он остается, когда становится нецелесообразно - уезжает.
blind_oracle
20.10.2023 09:32+1Проблема в том, что может быть поздно. Нужно немножечко уметь экстраполировать в будущее...
Neuronix
20.10.2023 09:32-6Одни уже поэкстраполировали и, таки уехали в мирный Израиль
blind_oracle
20.10.2023 09:32+5Ну, кто считал Израиль, который всё своё существование отбивается от окружающих арабов, подвергается ракетным обстрелам и изобрёл свой Iron Dome - тихим местом... в общем, наверное это не самый умный вывод.
justfox2
20.10.2023 09:32+18Нет, мы продолжим думать как обходить VPN и смеяться над РКН пока не закроют и интернет, и границы. А потом будем "Ой, ***, а мы и не думали!"
Breathe_the_pressure
20.10.2023 09:32Так ещё не забывайте про внешние блокировки. QT Installer заблокирован уже для РФ например.
Как только массово побегут, закроют границу как в 20-х прошлого века. Реакция одна и та же будет. Просто сейчас ещё можно рассказывать, что всё не так плохо. А как будет, то придется реагировать.
ALexhha
20.10.2023 09:32+1Есть предел, когда блокировки начнут существенно сказываться на возможности работать
а у правительство будет один ответ - "если нет работы - иди на фронт, там работа всегда будет. Но есть нюанс"
net_racoon
20.10.2023 09:32+1А где ссылка на телеграмм в конце? DPIем они ничего не заблокируют т.к. всегда есть обходной путь.
Единственный выход- это белые списки. Я думаю что в какой-то момент мы к ним придем, если все так же будет продолжаться. Ну либо ответственность за использование, это тоже не исключено.
UGivi
20.10.2023 09:32Доктор стимулирует создание белых списков, пока тыкая иголочкой и спрашивая "где болит", чтобы потом сказать "кто хотел - заранее озаботился биркой 'мы хорошие'".
Samodelkin333
20.10.2023 09:32+1Пока что в случае чего на компе включаю Lantern и читаю всякие там форумы Cisco или качаю драйвера Dell. Epic browser стух, прокси работают абы-как. В случае чего будет VPS и мини сервер с Linux для различных целей.
segment
20.10.2023 09:32+10Да, заблокируют. И да, все пойдут "занимать очередь с пятницы".
dartraiden
20.10.2023 09:32+9Уже идут. Какая-то очередная ассоциация (я после появления ассоциации профессиональных пользователей соцсетей со здоровым скепсисом отношусь ко всяким ассоциациям) организовала чат (ссылка вчера уже разлетелась по профильным каналам, так что утаивать её смысла нет) и пытается собрать предложения, которые передаст Минцифре.
Предложения там разнятся от "используйте технические средства противодействия угрозам для противодействия атакам, а не блокировки протоколов" (ага, эти средства изначально ставились с задумкой блокировок, так что это не баг, это фича) до "не блокируйте юрлицам, а физлиц, так и быть, кошмарьте". Ну и всякие мелкие обсуждения того, в каком направлении желателен рост сучков на швабре, которой нас насилуют, и какой сорт вазелина порекомендуют опытные коллеги.
При этом, кроме тех, кому VPN нужен по работе, есть ещё и простые люди, которым тоже нужен VPN. Например, кто-то работает по удалёнке на зарубежную компанию, а кто-то просто хочет скачать для своего устройства на своё устройства Lenovo/Dell/Intel драйверы, которые недоступны с российских адресов.
vadimr
20.10.2023 09:32Lenovo почему в этом контексте?
dartraiden
20.10.2023 09:32+2До недавнего времени download.lenovo.com блокировал россиян (мне приходится периодически скачивать драйверы оттуда по прямым ссылкам, при заходе без прокси/VPN посылали лесом). Сейчас блок сняли.
Я для удобства веду список таких доменов, который загоняю в расширение браузера, перенаправляющее их через прокси.
Popadanec
20.10.2023 09:32+2Да даже внутри РФ случайно и специально блокируют сайты. Взять тот же чпда, который заблокировали за то что какой то чувак на форуме, выкладывал плейлисты, содержащие один из спортивных телеканалов. Два года прошло, домен они так и не вернули.
За трансляцию спорта(только у Матч ТВ 175 дел) сотни сайтов позакрывали даже не разбираясь.
«Матч ТВ» в ответ назвал свои претензии «превентивной политикой защиты собственного контента от неправомерного использования».
Забавно то что Матч ТВ, тоже пытались заблокировать за то же самое.
В некоторых случаях трансляции велись какие то минуты или даже секунды, после чего были прибиты модератором, но борцунов с "незаконным" контентом, это не смущало. Даже стриминговые площадки летели на обочину от этого паравоза.
alexEtse
20.10.2023 09:32+3Да даже внутри РФ случайно и специально блокируют сайты
Да даже внутри РФ случайно на день-другой блокируют VPNы, ни в какую заграницу не ведущие, а потому не используемые для обхода блокировок (т.к. ТСПУ всё равно доступ к заблокированным сайтам порежет после выхода из VPN внутри страны).
Причём в отличии от "чпда", где под такую борьбу подвели формально законное основание, а тут просто "а не докажете, что это мы".
Просто всех, кроме особо крупного бизнеса и особо важных госов, записали в "приемлемый сопутствующий ущерб" блокировок.
quakin
20.10.2023 09:32+6Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Как раз наоборот: опыт Китая показывает, что обфускация - не панацея.
Есть как минимум два механизма блокировки обфусцированных протоколов в Китае:
1) Статистические данные о подключении:
-- a) посещение подконтрольного системе сайта через прокси. Идёт коннект за границу а оттуда одновременно коннект на сайт внутри страны? Значит прокси, блокируем.
-- б) статистика соединений с IP-адресом отличается от статистик всех известных сервисов и очень похожа на статистику использования прокси? Значит прокси, блокируем.
Китайцы рассказывают на форумах про оба варианта.
2) DPI с помощью нейросетей. Это дорого и непросто, но уже есть варианты (пруф, сайт на китайском, смотреть с переводчиком)
Обмануть человека с помощью обфускации намного проще, чем обмануть нейросетку, которая находит совсем неочевидные признаки маскировки.
---
Я встречал мнение, что цель цензуры - не "запретить" запрещённую информацию, а усложнить к ней доступ настолько, что возиться с обходом становится нецелесообразно.
Так что всегда будут гики, которые найдут лазейку и изобретут новые механизмы доступа. Вопрос в том, насколько мы сможем находить работающие на текущий момент методы обхода цензуры и популяризировать их для масс.
P.S. считаю VLESS+Reality достойной технологией, которая будет работать в РФ ближайшие несколько лет.BIG666
20.10.2023 09:32-1Был в Китае, исследовал работу их фаервола.
DPI есть, но банальное шифрование нивелирует эту проблему.
Подробнее тут https://habr.com/ru/articles/710980/comments/#comment_25125762
samponet
20.10.2023 09:32+2У одного предприятия буквально недавно внезапно перестал работать PPTP через сотового оператора, по назмеке работало. Выяснение обстоятельств привело к такому ответу ОПСОСа: https://t.me/mintsifry/2028.
Здравствуйте белые списки.Компании, которые используют в своей работе VPN-сервисы для удалённого доступа сотрудников или объединения серверов в одну сеть, могут испытывать трудности из-за блокировок запрещённых ресурсов. VPN-протоколы могут подпадать под ограничения Роскомнадзора, но блокировку можно снять, если сервис нужен для рабочих целей.
Что делать, чтобы снять ограничения
Если компания сталкивается с трудностями при работе с VPN, нужно обратиться в Роскомнадзор.
Как правило, списки компаний подаются в Роскомнадзор через профильные ведомства. Например, телеком-оператор должен сначала обратиться с такой проблемой в Минцифры.
Если ведомство не уведомило Роскомнадзор о вашей компании, сделать это можно самостоятельно, позвонив по телефону 8-495-748-13-18 или направив письмо на адрес supervising@noc.gov.ru.
Что указать в обращении:
➖ название компании
➖ IP-адреса
➖ типы используемых VPN-сервисов и протоколовРоскомнадзор проверит информацию и внесёт IP-адреса компании в «белый список», разблокировав для них доступ к VPN. Однако если компания обращалась в Роскомнадзор самостоятельно, данные о ней в течение месяца всё равно должно подтвердить профильное ведомство.
Что делать, если остаются проблемы
Если после обращения в Роскомнадзор трудности с использованием VPN-сервисов остаются, нужно обратиться в Минцифры, написав на адрес vpn@digital.gov.ru.
PavelMos
20.10.2023 09:32+1В борьбе меча и щита в данном случае меч имеет несопоставимо более мощные ресурсы за счёт контроля провайдеров с помощью государственного аппарата принуждения.
Изучение технических возможностей обхода блокировок - это лишь часть дела.
Вторая часть - организованные, скоординированные действия против РКН, его лоббистов и властей. Именно их действия несут явную, а не вымышленную угрозу каждому или практически каждому пользователю рунета. Т.к. практически каждый юзер хотя бы раз сталкивался с невозможностью получить доступ к ресурсу из-за блокировок.
Предлагаю, например, руководителям российских ИТ-компаний принять негласное соглашение не принимать на работу сотрудников, работавших в РКН или компаниях/организациях, участвующих в реализации блокировок. Эти люди совершенно осознанно, за деньги и без принуждения угрозами работают над тем, чтобы мешать обычным юзерам рунета пользоваться сетью.
raspberry-porridge
20.10.2023 09:32+1Была ещё здравая идея внести всех этих людей поимённо в санкционные списки. Чтобы не грели жопу в Европе, нагадив в России.
Popadanec
20.10.2023 09:32Вспомните сколько раз заявляли что телегу заблокировали, пол интернета перебанили, порушили кучу бизнеса, даже частично онлайн кассы и банкоматы не работали, нанесли гигантские убытки индустрии, а пользователи телеги испытывали лишь временные трудности. Некоторые даже возмущались, что телега не должна дёргаться, уходить от "ответственности"(а с неё требовали ключи которые не существуют, если кто забыл) и подставляет их, хотя она то никого не блокировала и не заставляла.
Xambey97
20.10.2023 09:32+1В этом шизофреническом мире блокировок (я не только про Россию, это общемировая политика роста контроля за жизнью граждан, кто-то просто почти впереди планеты всей...) обществу становятся жизненно необходимы полностью автоматизированные децентрализованные площадки/инструменты/протоколы для передачи различной информации, будь то валюта (крипта), блоги или черный юмор. Радует, что хотя бы с криптой власть имущие поторопились с контролем, не выманив ее всю в белый сектор, куда она стремилась (и где казалось что осталось чуть-чуть), и теперь она снова уходит в черный сектор подальше от диктата, а вместе с этим и энтузиасты начинают создавать все больше DeFi инструментов, что не может не радовать. Пример Tornado Cash, с лютой жопо-болью у американских служб безопасности показывает, что гос-ва их боятся как огня и развивать Defi инструменты определенно стоит, т.к без них лет через 10-15 наш нынешний уровень контроля от гос-ва за обществом покажется детским утренником... Кто знает, может в скором времени мы все будем сидеть в какой-нибудь меш сети аля 'neiro-yggdrasil' с кустарно установленными 'телеграммами', где по какому-нибудь особенному жесту на экране (вне товарища майора на улице) будет работать переход в скрытую программу-мессенджер за которую будут сажать просто за факт установки, когда ты всего лишь хотел отправить другу мем с винни-пухом или похвалить партию за работу... Желаю всем спокойного неба над головой!
P.S В окончание вспомнил старый баянистый ролик
Travisw
20.10.2023 09:32Что мешает сделать впн мимикрирующий под https?
Antra
20.10.2023 09:32+1Так и делают. Вон у MIraclePtr был прекрасный цикл статей на эту тему. Какое-то время можно будет в таком режиме поработать.
Тем не менее, нужно понимать, что развиваются не только проверки протокола, но и анализ всяких паттернов трафика. К примеру, если от вас весь трафик https уходит на какой-то забугорный IP, и с этого IP куча запросов по https возвращается в РФ умная железка вполне может понять, что "это жжж не спроста".
Понятно, что можно накручивать на клиенте "слать через VPN не весь трафик", и это даст дополнительную отсрочку. А ведь есть и другие способы выявления осбых паттернов в траффике.
В общем, я лишь хочу показать, что "мимикрировать под https" - отнюдь не панацея.
blind_oracle
20.10.2023 09:32Большинство корпоративных VPN и так работают по TLS (всякие Cisco Anyconnect, SSTP и прочие) на 443 порту. Но как выше сказали - это не панацея, DPI смотрит на пакетные интервалы, размеры и прочие метаданные. Да, она не всегда угадывает - но властьимущим насрать на сопутствующий ущерб.
MiraclePtr
20.10.2023 09:32всякие Cisco Anyconnect, SSTP и прочие
и тот и тот за секунду детектируется active probing'ом.
Lev3250
Да