Привет, Хабр! На днях AdGuard выложил в открытый доступ свой VPN-протокол, который назвал TrustTunnel. В статье разберемся, чем он отличается от того же VLESS и как устроен на самом деле.
Проблема любых VPN-протоколов
AdGuard в своем анонсе заявляют, что любой VPN-протокол - это компромисс. Он либо быстрый, но легко детектится (WireGuard, OpenVPN, etc.), либо маскируется под обычный трафик, но тормозит.
Главная проблема тормозов в классическом подходе «устойчивых» протоколов - они обертывают VPN-данные в TCP-соединение и мимикрируют под HTTPS. Выглядит это в итоге как обычный веб-трафик, но TCP добавляет проблем со своим обязательным подтверждением доставки паке��ов. При таком подходе, при потере одного пакета встаёт вся очередь пакетов, что приводит к классическому head-of-line blocking, жутко замедляя соединение.
Оповещаем о действиях РКН и новых блокировках в нашем телеграм
Как это работает в VLESS
VLESS (V2Ray/Xray) - популярный выбор для обхода блокировок. Протокол лёгкий, имеет минимумом фич, которые бы его замедляли и умеет маскироваться под HTTPS через TLS.
Но есть у него и нюанс - VLESS работает поверх TCP. Конечно можно использовать WebSocket, gRPC или QUIC как транспорт, но всё же для упрощения возьмем базовую схему - это TCP-обёртка со всеми вытекающими.
Плюс VLESS сам по себе не шифрует, а полагается на внешний TLS. Это гибко, но добавляет слой абстракции, а пользователи не всегда заморачиваются с этим.
Как это хочет решить TrustTunnel?
На официальном сайте компании написано:
"Unlike traditional VPNs that operate on packets, TrustTunnel operates on data streams. This design enables packet buffering — multiple packets can be combined before transmission, dramatically reducing confirmation overhead"
Звучит так, будто они объединяют несколько VPN-пакетов в один блок и так экономят на ACK'ах (подтверждениях доставки). Грубо говоря так и есть, но с небольшими оговорками.
Как реализовали
Смотрим PROTOCOL.md:
Для TCP-соединения каждое туннелируемое TCP-соединение получает отдельный HTTP stream через стандартный метод CONNECT:
CONNECT example.com:443 HTTP/2
:method: CONNECT
:authority: example.com:443
proxy-authorization: Basic <credentials>
После ответа 200 OK протокол начинает общение по HTTP/2 стримингу двунаправленным байтовым потоком. Данные просто текут туда-сюда, не дожидаясь ACKов.
В UDP-трафике все поинтереснее: вся UDP-дата мультиплексируется в один HTTP stream (_udp2). Каждый пакет оборачивается в структуру:
[Length 4B][Src IP 16B][Src Port 2B][Dst IP 16B][Dst Port 2B][App Name Len 1B][App Name][Payload]
Аналогично для ICMP - один stream _icmp для всех пингов.
Таким образом, трафик, проходящий через туннель, смешивается с обычным легитимным, ведь по сути им и является. И, опять же, в отличии от обычных «оберток», по умолчанию оборачивает все в streamы.
А где буферизация-то?
В спецификации протокола нет собственного механизма буферизации. TrustTunnel не оверинжинирит, а использует буферизацию, в которую уже умеют HTTP streamы.
┌─────────────────────────────────────────────────────────┐
│ TrustTunnel │
│ (любая дата, передаваемая через туннель) │
└────────────────────────┬────────────────────────────────┘
│ write()
▼
┌─────────────────────────────────────────────────────────┐
│ HTTP/2 (h2) / HTTP/3 (quinn) стрим │
│ flow control window в 131072 байт │
│ Собирается фрейм с max_frame_size до 16384 байт │
└────────────────────────┬────────────────────────────────┘
▼
┌─────────────────────────────────────────────────────────┐
│ TLS / QUIC │
│ + Записывают несколько запросов в один │
│ + Свои буферы отправки │
└────────────────────────┬────────────────────────────────┘
▼
┌─────────────────────────────────────────────────────────┐
│ TCP / UDP │
└─────────────────────────────────────────────────────────┘
Конфигурационные параметры
В CONFIGURATION.md описаны параметры, влияющие на агрегацию:
Параметр |
Значение по умолчанию |
Описание |
|---|---|---|
|
16384 байт |
Максимальный размер HTTP/2 фрейма |
|
1350 байт |
Размер UDP-датаграммы для QUIC |
|
1350 байт |
Размер исходящих UDP-пакетов |
|
65536 байт |
Таблица сжатия HPACK |
|
131072 байт |
Окно flow control |
И сколько пакетов влезает в один фрейм?
Окей, возьмем значения по умолчанию.
Раз max_frame_size = 16384 байт, можно посчитать:
HTTP/2 со стандартными пакетами (~1400 байт MTU):
16384 / 1400 ≈ 11 пакетов на фрейм
HTTP/2 с мелкими пакетами (VoIP, ~200 байт):
16384 / 200 ≈ 81 пакет теоретически
(Но на практике VoIP-пакеты не буферизируются так агрессивно из-за требований к latency - отправляются по 1-3 штуки)
QUIC с крупными пакетами:
1350 / 1400 < 1 — нужна фрагментация
QUIC с мелкими пакетами:
1350 / 200 ≈ 6-7 пакетов
Динамический батчинг
Тут важно понимать: такой расчет типа «сколько пакетов отправится за раз» - это то, сколько может быть отправлено их максимально в одном фрейме. На деле же это динамическая величина.
TrustTunnel написан на Rust с асинхронным Tokio. По сути, всю софтварную задержку этим убрали:
Нет блокирующего потока, который «сидит и ждёт» N пакетов
Все данные сразу копируются в буфер библиотеки h2/quinn
Сама библиотека решает, когда делать flush и отправлять данные в фрейме
При медленной же сети TCP-буфер заполняется, а пакеты накапливаются в RAM. Когда сеть освобождается, TrustTunnel может отправить сразу серию фреймов
В конфиге max_frame_size (что очевидно из названия, такто!) задаёт верхний предел одного фрейма данных, а не фиксированный размер батча.
Выводы и сравнения
Просуммируем весь кайф протокола, который уменьшает его задержку еще раз:
Мультиплексирует много TCP-соединений в одну TLS-сессию. Не надо делать отдельный TLS handshake на каждое соединение.
Поддержка QUIC (HTTP/3) при использовании QUIC получаем отсутствие head-of-line blocking. Потеря пакета в одном stream не блокирует другие.
То, за что изначально боролась компания - энергоэффективность на мобильных устройствах - агрегация в HTTP стримы позволяет LTE-модему передавать данные одним разом и быстрее уйти в режим пониженного энергопотребления, вместо того чтобы посылать по одному пакету и не давать продыху.
И при всем этом он идеально маскируется под HTTPS: ведь буквально весь трафик выглядит как обычные CONNECT-запросы. DPI видит стандартный HTTP/2 over TLS.
И всё это теперь открыто под лицензией Apache 2.0 - можно форкать и использовать. Красота.
Сравнение с VLESS
VLESS + TCP/TLS |
TrustTunnel |
|
|---|---|---|
Маскировка |
Похож на HTTPS |
Стандартный HTTP/2 CONNECT |
Транспорт |
TCP (+ WS/gRPC/QUIC) |
HTTP/2 или QUIC |
TCP-туннели |
Своя реализация |
HTTP CONNECT per connection |
UDP |
Своя реализация (XUDP) |
Мультиплекс через один stream |
Head-of-line blocking |
Есть (на TCP) |
Нет (при QUIC) |
Шифрование |
Внешнее TLS |
TLS 1.2+ обязателен |
Макс. размер батча |
Зависит от транспорта |
16384 байт (HTTP/2) / 1350 байт (QUIC) |
Буферизация |
Своя или транспорта |
Полностью на уровне HTTP/2/QUIC |
Таймауты по умолчанию
Connection timeout: 30 сек
Health check: 7 сек
TCP idle: 2 часа
UDP idle: 120 сек
TrustTunnel - это HTTP/2 CONNECT прокси с поддержкой UDP/ICMP через мультиплексированные streams. Главное преимущество - не какая-то революционная архитектура, а то что протокол использует стандартные HTTP-методы (CONNECT), что делает трафик максимально похожим на обычное проксирование, а сам трафик идет через стримы.
Полезные ссылки: Спецификация протокола, Конфигурация, TrustTunnel на GitHub, Сайт проекта, Обсуждение на HN
Оповещаем о действиях РКН и новых блокировках в нашем телеграм
Комментарии (121)
achekalin
24.01.2026 07:49AdGuard на своем анонсе заявляют
"В" анонсе, не "на". Не в обиду, но когда в блоге компании "Фемида что-то там" начинают с ошибками в русском рассуждать про vpn-протоколы, не верится ни языку, ни обсуждению.
David_Osipov
24.01.2026 07:49Я тупо минусую все их статьи и новосгенерированных юзеров. Люди заминусовывают одного юзера, так они генерят другого и пишут под ним.
dsoastro
и что, метод CONNECT, который всем виден не вызывает подозрений??? Это ж прям красный флаг
kcalgo
Вы путаете, в TrustTunnel (и в HTTP/2 / HTTP/3) ситуация принципиально иная благодаря многослойной структуре протокола.
Распишу вам немного про OSI
IP/TCP Виден всем. DPI видит установку соединения с IP-адресом сервера.
TLS Handshake L5
Виден частично. DPI видит приветствие (ClientHello), доменное имя в SNI и сертификат сервера. На этом этапе клиент и сервер договариваются о шифровании.
Encrypted Tunnel L6
Все, что происходит после рукопожатия, зашифровано сессионными ключами.
HTTP/2 Framing L7
Именно здесь находится метод CONNECT.
Ну так почему же ТСПУ не видит CONNECT?
Метод CONNECT в HTTP/2 это не текстовая строка, передаваемая в открытом виде, а обычный бинарный фрейм заголовка, находящийся внутри зашифрованного TLS-туннеля. С точки зрения ТСПУ соединение выглядит так:
Клиент соединился с сервером по 443 порту.
Произошло TLS-рукопожатие.
Пошел поток зашифрованных бинарных данных.
ТСПУ физически не может отличить фрейм CONNECT (открывающий VPN-туннель) от фрейма GET /index.html, так как оба они зашифрованы одним и тем же ключом TLS.
Arioch
После чего правительство видит, что "простой Васян" месяц подряд "смотрит кошечек" исключительно с одного никому неизвестного сайта, игнорируя весь остальной интернет.
Ждём, когда "устаревание серверов" начнет происходить по чисто статистическим признакам, без даже попыток забить гвозди микроскопом DPI. Или опять "они не посмеют" ?
И поэтому как-то напрягает обилие статей "а вот мы ещё такой пароль хитрый придумал" и почти полное отсутствие статей на тему избежать обнаружение, размышление можно сделать практически доступный пользователям распределённый VPN, который статистически будет слабо отличим от простого траффика.
При всем геморрое с постоянными перенастройками маскировщиками траффика типа почившего GoodbyeDPI, мир ему, они хотя бы работали с этой первичной проблемой, а не пытались все яйца в одну VPN-корзину сложить.
ShadF0x
А почему почивший? На гитхабе последний коммит пять дней назад был.
Arioch
а релиз когда последний? может и стоит снова посмотреть...
dartraiden
Можете не смотреть, там исправление опечаток в ридми.
wepp
А зачем вам новый релиз? Проблем в работе нет. Для поиска стратегий уже сторонние разработчики прикрутили другую обёртку для Win/Android.
Arioch
есть, хотя ещё и не на всех провайдерах. Валдик на форуме и не скрывает, что подход gdpy быстрый, но ограниченный, и не у всех работает, но поскольку он "запустил волну" и появились более продвинутые программЫ, то онг уже ничего исправлять не будет, устал
fobrst
Дайте пжл наводку под вин
dartraiden
Потому что не умеет UDP и не будет уметь, т.к. поддержки нет в используемом стороннем драйвере
Соответственно, все, кто хотел, уже давно переползти на zapret, который умеет сильно больше, да ещё и мультиплатформенный.
Arioch
да этот драйвер вроде у всех один и тот же, и у bolvan и у KMS
Popadanec
Неудобен он. Проще было один раз наморщить извилину и поставить в роутер аналог. Не нужно включать выключать, не нужно отдельные устройства настраивать.
Arioch
Вот это и плохо. Потом домой приходит внучка или бабушка, достаёт телефон с Максом, и он проводит бесплатный пентест, что у такого-то провайдера у такого-то клиента работает ютюб, а используется для этого такая и такая обфускация трафика (отправить тестовые последовательности на тестовый сервер не сложно).
Не секрет, что есть провайдеры, у которых ютюб просто не устаревает.
И недавно была новость, что РКН таким провайдерам впаял многомиллионные штрафы.
Интересно, как он их нашёл?..
Вы личяно, конечно, не провайдер, не тот размер. Но ведь не просто так с провайдеров требовали отчетов, какое оконечное устройство у их абонентов. Значит, готовятся и частый невод делать, на уровне отдельных квартир...
exeonid
это подтвержденный факт или яркая фантазия?
Аппаратный комплекс "Ревизор" называется
Arioch
А провайдеры конечно про него не знали, и включая своим пользователям мультики не сделали так, чтобы шпион в датацентре был в правильной безмультяшной пробирке? Разумеется изоляция и нейтрализация внутреннего шпиона была важнейшей задачей всех провайдеров, которые посмели.
Это очевидное полезное использование ботнета после его развёртывания. Оно, конечно, может не сбыться, но рациональных причин для этого нет. Верить в чудо, безусловно, никому не запрещено.
Про моральный облик разработчиков можно не говорить, после того как они намеренно сломали программы конкурентов.
А за эту услугу с них попросят встречную, раньше или позже. В "Крёстном отце" механизм таких услуг и взаимных долгов описан.
Макс уже сейчас, пока ботнет неактивeн, заранее забронировал себе довольно интересные права, https://habr.com/ru/articles/939006/
1. Скачивать файлы в тайне от владельца телефона. Довольно удобно для обновлений модулей и задач ботнета. Безусловно, не обязательно. Связываться с управляющими серверами чат-программа может и иначе. Но видимо так было проще. Очень специфическое право. Не на само скачивание, повторюсь, а конкретно чтобы втайне от владельца.
2. Включать Wi-Fi. Даже если вы такой очень умный и дома телефон держите на мобильном интернете - ничего, он вам поможет и включит на минутку, пока вы спите. Для того чтобы защитить вас от недостоверной информации, конечно. Вполне вероятно что пока, до развёртывания ботнета, такой команды ещё нет. Но см. п.1
3. Изменять системные настройки телефонов OPPO. Здесь интересно даже не сам факт, что оказывается нельзя обменяться анекдотами с соседями без перенастройки телефона, но свидетельство трудолюбия. Ботнет не писали на отвали, где-то сработает и ладно, а тщательно проверяли и затачивали даже под нестандартные малораспространённые устройства. Пусть их мало, но и они тоже должны попасть под внешний контроль, никаких неподконтрольных мелочей не должно остаться. One ring to bind them, да. Или что-там полагается цитировать из гаррипоттера.
4. Ну и ещё такой вопрос, если чтобы обменяться анекдотами позарез нужно тайно от владельца менять системные настройки телефона - то не появятся ли завтра у Макса другие разрешения, которых не было в первых APK, но которые должны появиться позже, тихо, не задавая владельцу телефона ненужных ему беспокоящих вопросов? Нет, если вы точно знаете, что менять системные настройки нужно исключительно, чтобы фотографировать любимую кошку с большем разрешении - тогда конечно и спорить не о чем. Изменение системных настроек требуют всегда исключительно только ради кошек, а кто же в интернетах посмеет спорить с котегами?..
mvv-rus
То есть, констатируем: ответ на конкретно заданный вам вопрос
- "это не факт".
А то, что вам там что-то "очевидно" - это ничего не доказывает ибо errare humanum est (вы же, надеюсь, человек, а не LLM?). Если чо, у нас тут на Хабре уже есть один писатель-фантаст (некто Алексей Сергиенко), который не умеет видеть альтернативные ветки рассуждений/сюжетов, а потому, например, я не буду играть в RPG по его сценариям - ибо это будут рельсы, а рельсы и RPG есть две вещи несовместные. Ну а вы, наверное, вторым таким "очевидцем" тут будете.
Ну, а в рациональных рассуждениях, чтобы они действительно были рациональными, надо опираться только на факты и ограничиваться только логическими выводами из фактов и других таких же выводов. Всё остальное - это ни разу не рациональные рассуждения.
Arioch
факты:
1. группа лиц с особенно правильными лицами запрещает гражданам России смотреть мультики там, где они сами хотят, игнорируя законы и навязывая их собственные услуги типа vkvideo
2. та же группа лиц заставляет граждан России отказаться от мессенжеров, который они сами хотят, игнорируя законы и навязывая их собственную услугу (аффилированный с vkvideo Макс)
3. в аффилированный с vkvideo мессенжер уже заложили функции никак не ненужные ни одному мессенжеру
Ваш "логический вывод" правая рука этих лиц никогда и никак не будет помогать их собственной левой руке, а волосатые руки эти никогда не будут пользоваться уже заложенными "расширенными функциями", на придумывание и воплощение которых уже потрачены их деньги. Они это все ради нас глупых делают, потому что известные альтруисты и филантропы.
Отличная логика, выгодная.
mvv-rus
По существу того, что вы называете фактами.
Казус YouTube - это про бабло. Имеем блокировку монополиста на мировом рынке видеохостинга (то есть, размещения рекламы). Факт состоит в том, что государство препятствует работе этого монополиста, отказывающегося работать на российском рынке, подчиняясь властям России, и который в ответ, потеряв возможность поднимать бабло от рекламы в России сам, "выжигает поляну", предоставляя возможность просмотра контента без рекламы - тем самым препятствуя развитию российских субъектов этого рынка (мало найдется потребителей, готовых смотреть контент с рекламой, когда он легко доступен без рекламы). То есть, налицо типичное использование market power, что антимонопольщикам всегда не нравится. Но поскольку YouTube отказывается подчиняться антимонопольным регуляторам РФ, то блокировка - это елинственный способ защиты внутреннешо рынка. Так что альтернативная трактовка очевидна: государство прибегло к протекционизму, чтобы защищать свой внутренний рынок, вырастить на нем свои сервисы видеохостинга. Причем, обратитие внимание: решения о блокировке приняли одни люди, а бабло получили возможность поднимать другие группы людей, и не одна - кроме vkvideo есть, ещё, как минимум? Газпром-Медиа с его RuTube.
Опять-таки, государство тут навязывает, прежде всего MAX как средство коммуникации с ним, вместо того же WhatsApp, который принадлежит организации - врагу народа (не помню, как это точно называется, но смысл тот), скандально известной своим сотрудничестом с иностранной спецслужбой NSA. Ну и желает увести с него коммуникации граждан между собой, чтобы не кормить спецслужбы США. Уже к независимому Telgram отношение властей не столь однозначно: голосовую связь заблокировали, да, но лично я в этом вижу козни скорее сотовых операторов, а не VK, а так вон вице-спикер Думы Даванков (лидер "Новых людей") в предверии выборов в Думу пиарится на кампании по недопущению блокировки Telegram при условии, что тот будет полностью соблюдать законы РФ, в частности - откроет официальное представительство, наличие которого эти законы требуют.
Известные мне исследования MAX независимыми группами (в том числе и выходцами из НКО-иноагента "Роскомсвободы"), опубликованные, в частности, здесь, на Хабре, показали, что в него заложены примерно те же функции, что и в остальные мессенджеры. По крайней мере - в плане требуемых разрешений. Если у вас есть другие результаты исследований (именно иссследований, а не пророчеств на тему, что может появиться в MAX в будущем)- огласите их, пожалуйста, а не ссылайтесь как на общеизвестный факт - он, как минимум, не общеизвестен, а то и вообще может не существовать.
А в целом, я вижу, что вы плохо различаете факты и свои интерпретации.
У вас в голове существует неверная модель устройства России: если у Толкина были "две башни" ("две сорванные башни", если в гоблинском переводе), то в России у Кремля башен значительно больше, и отношения между ними сложнее. А по поводу вашего "вывода" - он логически не обоснован (надеюсь, я вам это смог покзать выше), то есть, из имеющихся фактов не вытекает, ибо имеем мы тут, как минимум, не пару рук, а много башен, находящихся между собой в непростых отношениях.
PS Вот в чем я не сомневаюсь - это в том, что VK будет вовсю пользоваться предоставленными им возможностями по сбору персданных для продажи рекламы - в этом они от Google или Meta(враги народа), наверняка, ничем не отличаются. Но как я писал в комментариях здесь же, мне вопросы рекламы фиолетовы.
PPS А ещё лично я пользуюсь MS Teams, на ПК через браузер, а потому мне лично эти мессенджерные войны пока что безразличны, и гнать волну (анекдот этот помните, да?) я из-за них не собираюсь.
HungryCat
Соловьева каждый день смотришь?
mvv-rus
Как принято говорить в Доме Нашем Общем в таких случаях - с какой целью интересуешься?
Вопрос резонный, поскольку аргументом в рациональной дискуссии мои предпочтения по источникам информации служить не могут в принципе.
А по жизни я видео (и телевизор) в качестве источника информации не люблю - слишком низка концентрация. Официоз же, если кому интересно, отслеживаю по РИА в интернетах. А вообще я отслеживаю много разных источников.
Arioch
"Примерно" - это отличное слово, в него так много всунуть можно. Вот вы "примерно" такой же, как Навальный. НУ правда же. Руки вон есть, ноги есть. ПРИМЕРНО одно и то же.
Я вам выше со ссылкой на исследование привёл конкретный список разрешений. Вы делаете вид, что ничего не было, и начинаете методичку с начала. Знакомо.
Но мало. Теперь вы должны рассказать, почему те конкретные выше перечисленные разрешения - именно все сразу, в таком сочетании - нужны каждому мессенжеру.
Не "прежде всего", а Макс и исключительно Макс.
Или каким другим, "не прежде всего" мессенжером я могу войти на Госуслуги и подтвердить покупку водки? Вы же не соврали, когда сказали что Макс "прежде всего" - но есть и другие такие же, то самое "всего" которого он "прежде" .
Это уже шизофрения какая-то. Так государство "про NSA" или сотовые операторы "про бабло"???
Если сотовые операторы - то они и Макс бы зарубили, им он тоже прибыль будет уменьшать. Если сотовые операторы, то они бы давно начали, а не только после того как VKVideo выкатило Макс.
> кроме vkvideo есть, ещё, как минимум? Газпром-Медиа с его RuTube.
Если Вася и Петя обворовали чей-то дом, это не значит что Вася не вор. Это значит только то, что Петя тоже вор.
А в мессенжерах, кстати, тоже есть реклама, не только на ютюбах. Поэтому не надо приплетать сюда телефонистов. Они всегда хотели заблочить мессенжеры, пока не научились продавать мобильный интернет. Но сначала им не давали, а потом им стало уже не очень и нужно.
В данном случае одна и та же VKVideo, одновременно мультиках и в анекдотах:
1. уничтожает конкурентов
2. мешает гражданам пользоваться чужим, лучшим продуктов
3. мешает незаконными способами, мафиозными. Приходит к дельцам с предложением "Будешь делать по закону - у тебя все сгорит и сломается" - чисто как Дон Корлеоне
Было бы очень странно думать, что один отдел VKVideo будет вставлять палки в колёса другому отделу, вместо синергии.
Было бы очень странно думать, что Дон Корлеоне оказав услугу по устранению конкурента про это забудет и никогда не попросит встречной услуги.
mvv-rus
Не, я от покойного сильно отличаюсь. Я не поднимал, как он, бабло с помощью коррупционных схематозов (возможно, потому что я не был на нужном для этого уровне власти, но тем не менее). Я не писал кляузы на политических противников и не натравливал на них репрессивные органы (я имею в виду кейс Билингвы, и закрытого по его итогам Максима "Тесака" Марцинкевича, тоже покойного). Мне в голову не приходила идея поднимать бабло с помощью гринмейлинга, а уж тем более - оправдание этой идеи борьбой за всё хорошее (кейс Транснефти). И ещё, у меня нет такой лапы, которая, в случае чего, помогла бы мне получить семь лет именно условно, а не топтать зону - а у покойного така лапа явно была.
А вот вы, похоже, с реальной личностью покойного знакомы плохо - возможно, потому что вы, в отличие от меня, не отслеживали его деятельность с давних времен, когда ещё он был членом партии Явлинского (кейс Билингвы, например, относится именно к тем временам), не читали в те времена "Новую газету", где всё это описывалось - сочувственно, но с такими фактами, которые сами за себя говорили , и т.д.
А что до списка разрешений по ссылке, то я его читал. И я в непонятках, как вы сделали из него вывод о ботнете (всё подозрительное там вполне оправдано соображениями заботы о пользовательском опыте - например, чтобы ловилось на парковке). В частности, многие вполне мирные приложения в наше время имеют свойство обновляться втихую, не беспокоя пользователя (если чо, мне это тоже не нравится, мне, к примеру, надоело на своих виртуалках воевать на эту тему с Acrobat Reader), Так что поясните, что именно вас привело к выводу о ботнете. А то, как я виду, этот вывод - результат применения вашей неспособности отличать факты от своих убеждений.
У вас неверная метафора, она подобна котенку с дверцей. Мне по этому поводу в голову приходит совсем другая метафора, из "Великолепной семерки": "Техасские банки должны грабить только техасцы". Причилное название этого - "приоритет национального бизнеса": государство способствет своим, а своими оно считает свое податное население - всех, кто ему за крышу платит и делает это с уважением. Альфабет же за крышу платить не хочет (ему западло, его, типа, вашингтонские федералы крышуют), потому и имеет проблемы.
Это, к счастью, выходит за пределы их воможностей: помешать становлению национального мессенджера они не в силах, потому что эта задача - политическая, поставленная с самого верха. Но вот вести пропаганду против национального мессенджера - это запросто (и вы, кстати, не на них ли работаете? ;-) )
Ну, в этом она не отличается от любой другой корпорации. Они все такие.
У вас явно не хватает опыта жизни в кровавом энтерпрайзе или другой бюрструктуре: внуткорпративные войны за ресурсы там дело вполне обычное. А уж, тем более, в данном случае: тут нет даже формального единства - от участников синергии никто не требует, им бороться друг с другом за бабло совершенно открыто позволено.
Тут есть существенная разница: государство, в отличие от этнокриминальной "семьи" покровительствует не диаспоре своей национальности, а всему податному населению контролируемых им территорий (а иногда и не только). Разница, может быть, выглядит количественной, но тут количество переходит в качество. Государство же, которое отказывается покровительствовать всему населению (как минимум - существенной его части) уменьшает свою ресурсную базу, и это снижает его конкурентоспособность по отношению к другим государствам, с соответствующими последствиями.
В целом, я, конечно, подожду вашего объяснения, как вы из одного и того же текста, что и я, умудрились сделать не те выводы, что из него возникают чисто из фактов и логики, но сильно на него не надеюсь. Видимо, дальше смысла мне общаться с вами нет.
Inflame
Главная причина блокировки YouTube не бабло, а то, что это неконтролируемый властями канал распространения информации с альтернативными точками зрения. То есть та же причина, что и у блокировки независимых от государства СМИ.
mvv-rus
Это ваше личное мнение, плохо соответствующее всем имеющимся фактам. Например, YouTube существовал и проводил свою информационную политику уже довольно давно (помню, например, как он весной-летом 2022, ещё до Харьковской перегруппировки, настойчиво сносил канал Юры из Сум, где тот рисовал свои стрелочки - а мне как раз было интересно поглядеть на то, как Юрий Иванович эти свои стрелочки рисует). А взялись за него - причем сначала по-легкому, ухудшением потребительских качеств его сервиса путем деградирования кэш-серверов - сильно позже. Так что налицо ситуация, что взялись за него, когда он реально стал мешать развивать локальный бизнес: альтернативным-то каналом информации он был и раньше.
А что до роли альтернативных точек зрения, то у вас тут явно превратные представления. В нынешней ситуации, когда в российском обществе господствует, говоря словами поэта, "полный гордого доверия покой" (не верите - смотрите социологию, например, для убедительности лично для вас - на сайте иноагента "Левада-центр") альтернативные точки зрения сами по себе угрозы для власти не представляют: они маргинальны. Они были бы угрозой, если бы в этой стране была, что называется, антинародная диктатура - но у властей хватает в целом (отдельных периферийных деятелей, вроде вологодского губернатора, можно в расчет не брать) ума ее не устраивать. Угрозой было бы, если бы этот неконтролируемый канал информации воспользовался бы своим монопольным положением и стал вести настойчивую массовую пропаганду как положено, например - по рецептам из книги "Моя борьба", но это - вроде бы (я сам не отслеживал, а патриотам, которые об этом сигнализировали, я как источникам не доверяю), не случай YouTube. Так что, похоже, дело тут в бабле - эта гипотеза лучше описывает имеющиеся факты.
Inflame
Если бы всё было так, как вы описываете, то не было бы блокировок СМИ, объявлений иноагентами, нежелательными организациями, экстремистами за распространение информации, которая расходится с официальной линией. Ведь помимо YouTube блокировкам и цензуре подвергается много чего другого. Только лишь на основе времени блокировки нельзя делать выводы о её причинах. У того, почему его не сразу заблокировали, есть другое объяснение — готовили российский аналог. Блокировка YouTube вполне вписывается в общий тренд по усилению цензуры.
mvv-rus
Информация информации рознь. Как правило, там распространение информации на этих ресурсах относится к другой категории - пропаганда и агитация. И их блокируют весьма быстро.
Массовую вражескую пропаганду государство да, не разрешает. Никакое - вон, RT тоже быстренько лишили лицензий на вешание во всяких Европах. Принцип свободы слова, увы, нарушается. Почему - это отдельная история, которую я тут на Хабре обсуждать не хочу.
Но на случай конкретно YouTube это непохоже.
Российский аналог был уже в 2022 году. К примеру, упомянутый выше Юра из Сум именно тогда переехал (вынужденно) на RuTube, и я смотрел, как он рисует стрелочки уже там.
А Instagram, наоборот, заблокировали ещё в марте 2022, безо всякой подготовки российского аналога. И пострадало от этого немало, типа, бизнесов, которые через него велись. По крайней мере, стон и скрежет зубовный в интернетах стоял такой, что я его заметил - хотя я такими бинесами никогда не интересовался.
shopstyle
"У того, почему его не сразу заблокировали, есть другое объяснение — готовили российский аналог." ))))) Да, нечего жителям РФ пользоваться мерседесами, с них и "запорожца ушастого" хватит.
Inflame
Ну так YouTube и является каналом распространения "пропаганды и агитации" с точки зрения власти.
И по поводу того, что YouTube вдруг внезапно начал мешать развивать локальный бизнес. А раньше не мешал разве? Он и раньше был монополистом. Так что я не вижу никаких весомых оснований у вашей версии про бабло.
shopstyle
"Например, YouTube существовал и проводил свою информационную политику" Так YouTube за кого?
shopstyle
"Но поскольку YouTube отказывается подчиняться антимонопольным регуляторам РФ, то блокировка - это единственный способ защиты внутреннего рынка. " ))))))
Darkness_Paladin
Отличный перевод стрелок. Вместо очевидного "когда власти рф запретили ютубу продавать рекламу российским компаниям, он перестал её показывать", вы прям целую теорию заговора сочинили.
Одна беда -- ЛЮДЯМ эти "свои сервисы" нафиг не нужны. В принципе. Не будет тот парень из англии, который вручную делает неоновые индикаторы и влог которого я смотрю на ютубе, выкладывать свои видосы на вконтактик, и ещё сто человек со всего мира, кого я тоже смотрю на ютубе, тоже не будут. Ну и кого мне тогда смотреть на ВК?
[CENSORED]!!!!! То есть, если по башке вам стукнет Васёк, а карманы обчистит Колян -- они КОНЕЧНО ЖЕ действовали не в сговоре, совместно совершая разбой (по десятке каждому, ст. 162), а ПРОСТО ТАК СОВПАЛО, что один без корыстного мотива вас стукнул на почве внезапно возникшей неприязни (ст. 116, максимум два года), а второй вас обокрал (ст. 158, не больше пяти лет.).
Дружочек, это так не работает. Случайно только убытки бывают, а если кто-то с прибылью -- тут о случайности речи быть не может, прибыль только намеренно получается.
Коммуникации НАШИХ граждан между собой спецслужбам США интересны примерно никак, равно как и коммуникации условных американцев условным "нашим" спецслужбам. Любой спецслужбе интересно слушать СВОИХ граждан, а не чужих. Что можно узнать, почитав переписки условного фермера из Айовы? Цены на местном рынке и его мнение о местечковом шерифе?
Ага. А в меч заложены ПРИМЕРНО ТЕ ЖЕ ФУНКЦИИ, что и в кухонный нож. И боевой пистолет с газовым ПРИМЕРНО ОДИНАКОВЫЕ, зачастую всего одна деталька и различается.
Это никому, кроме живущих в этих башнях, неинтересно, и абсолютно никак не влияет на предмет обсуждения.
Отношения между членами банды могут представлять какой-то интерес для суда, но гражданину. которого эта банда грабит, это фиолетово.
exeonid
ну потому что вы ограниченный чел =) в той же Москве не во все районы можно дотянуть оптику. Или даже больше я вам скажу: есть дачные посёлки очень уважаемых людей (типа Мосрентген) куда не заходит Ростелеком. Но заходил VirginConnect.
Ваши рассуждения без понимания контекста -- убоги
Arioch
Вы сейчас сказали, что из-за того, что РосТелеком не заходил в Мосрентген админы VirginConnect не знали, что у них в сети есть "Ревизор", который спалит разрешение смотреть мультики.
Да вы бредите!
НУ ил крайне неловко пытаетесь подменить тему разговора
DarkSavant
Возможно глупый вопрос, но, что если не давать сомнительных разрешений? Я так постоянно делаю, особенно банковские приложения пошли любопытные и тп. Не разрешил и все.
Или оно отказывается работать в таком случае?
Popadanec
Зависит от создателя приложения. Некоторые приложения просто молча вычёркивают пункт: "Прокатило". Некоторые перестают работать.
DarkSavant
Само собой зависит от приложения. Возможно я промахнулся комментарием, но думал, что пишу в ветку про всеми любимый МАХ.
Явно же уже испытали, что если не давать/позабирать руками все права, что не нравятся. Работает тогда?
mayorovp
Уровень достоверности - "пару раз в комментариях на Хабре написали список серверов, куда он стучится". То есть, с одной стороны, подтверждение слабое и может быть вбросом. С другой стороны, уже есть люди, которые заявляют что поймали его за руку когда он этот "бесплатный пентест" проводил.
Popadanec
У меня стоит некое средство обхода и с момента установки СКАМа родственникам, лог неудачных подключений вырос просто на пару порядков. Причём ни я, ни родственники туда точно не ходят и не ходили.
Причём это именно пен тест. Каждый адрес проверяется ровно один раз. Реальный пользователь будет ломится до последнего в надежде на чудо.
Darkness_Paladin
В вопросах безопасности всегда следует опираться на презумпцию вины: любой объект или субъект, безопасность которого не доказана, считается заведомо опасным, пока не будет доказано обратное.
Мессенджер Скам МОЖЕТ это делать технически, существуют убедительные мотивы, объясняющие, ЗАЧЕМ он это будет делать -- и этого достаточно, чтобы предполагать, что он БУДЕТ это делать. Не будет -- ну и хорошо. Но когда он это сделает -- не говорите, что это было внезапно.
iamkisly
О боже мой да всем насрать на отдельно взятого Васяна! Стрельба по одиночным мешеням никому не интересна. Блочатся регулярные массовые подключения. Именно поэтому решения на дефолтном WG c индивидуальных VPS в третьих странах работают. И цена у них меньше пачки сигарет.
kuraga333
Уже не работают в отдельные промежутки времени. И не факт, что не по такой схеме.
iamkisly
Возможно, я не мониторил суточную доступность, у меня тут один KPI: либо работает (сейчас) либо нет )
dartraiden
Настолько насрать, что Роскомнадзор хостерам рассылает письма "вот список ваших IP, на которых мы нашли VPN, убейте их". Серверы при этом арендованы частными лицами.
А сегодня была новость, что отечественным хостерам, у которых хостятся ресурсы из "белого списка" поступила настоятельная рекомендация белые адреса частным лицам не выдавать, а то повадились таким образом эти списки обходить.
MountainGoat
У вас получился диалог "У нас в селе свинок не обижают" - "А в Африке негров бьют!"
iamkisly
Хостеры в какой стране находятся?
Arioch
А какая разница? вы обсуждаете-то что, "РКН может" или "РКН хочет" ?
Что РКН "не может" дотянуться до зарубежных хостеров - никто не оспаривает.
Но вы утверждали, что РКН "не захочет" дотянуться до "маленького Васяна" даже когда "может". И вам дали пример, когда глушат не многотысячные бизнесы, а как раз отдельных маленьких васянов. Ещё не всегда могут, но уже хотят.
iamkisly
Похоже что вы почему-то уверены что за каждым адресом который передали хостеру сидят исключительно одни маленькие Васяны, а не, например, мутные конторы продающие роутеры с openwrt на ozon, и генерирующие на несколько порядков больше трафика. Хотя это для нас неизвестная переменная.
Опыт подсказывает, что при поиске кандидатов выборка должна быть отранжирована. В данном случае, проще всего сделать дрилдаун по трафику за период, получить топ самых жирных.. и с ним работать. Именно поэтому я считаю, что маленький Васян никому не интересен, очередь до него дойдет очень не скоро.. если вообще дойдет.
Arioch
в статье про аезу был один комментарий про "кого" и там уверяли, что частных лиц загребли
один комментарий - это мало, но все же это бесконечно больше нуля комментариев, утверждавших, что частных лиц не трогали
AVikont
В России.
Этих хостеров используют как Jump-сервер для выхода зарубеж, потому что они в "белых списках", т.е. работают даже тогда, когда интернет отключают регионально.
Возможно вы не знаете, а на юге РФ периодически полностью отключают мобильный интернет.
iamkisly
Знаю, я тут живу, еще и возле больничного комплекса. Регулярно даже из белого списка не работает ничего.
theult
Доброго времени суток! Чтобы к Васяну не было вопросов, почему у него все соединения только с одним хостом, нужно настроить маршрутизацию, что пускать напрямую, а что заворачивать в подкоп. На vless на многих клиентах это есть, тут я думаю тоже очень быстро появится. Тогда останется только по объему трафика отличать что за соединение, но тут может быть больше вреда, что под раздачу попадут те, кого не замедляют. Естественно, мы говорим про Ютуб, который не заблокирован и не замедлен, мы просто обсуждаем как обойти деградацию кэширующих серверов.
hard_sign
Это, конечно, была бы идеальная картинка. И даже технически это реализовать не так сложно. Сложность в том, чтобы найти компанию, которая договорится между собой «вот наши серверы, вот вам точка доступа на моём сервере в обмен на ваши, давайте дружить семьями». Это должны быть какие-то очень близкие друзья. А уж запилить такую штуку в масштабах достаточно большого сообщества вообще не реально :((
Arioch
с одной стороны - да, проблемы личеров-халявщиков кажется совсем не технической
с другой - есть же реальные примеры решения таких проблем
1. Мобильная телефония - еще не так давно Россия состояла из десятка маленьких местных провайдеров. Роуминг был дорогой, но он работал.
2. P2P файлообменники, самый известный - BitTorrent
3. с оговоркой - BitCoin. Оговорка потому, что пропагандисты обещали перевести весь мир на BitCoin, включая хотдог с кофе на остановке утреннего автобуса плюс анонимность. Этого не случилось, и не могло случиться, а вот автоматические конвертации и "созвездия" маленьких, привязанных к небольшим сообществам криптовалют никто не стал делать, вместо этого идёт очередная борьба за власть над всем миром сразу, Etherium против BitCoin, они вместе против Chia и Doge и так далее. Все против всех вместо все со всеми. Но с другой стороны, внутри каждого одного из них это же получилось? Внутри каждой сети отдельно - десятки программ, десятки тысяч пользователей - и они работают совместно.
Просто мне кажется это не sexy. Сделать ещё одну зубодробительную формулу для шифрования - это да, это nerdy, тебя сразу приглашают на сипозиумы, о тебе пишет Стерлинг. А вот использовать старые формулы но так, чтобы все начали играть по общим для всех полезным правилам, победить Трагедию Общин - оно не sexy...
hard_sign
Даже этих «мелких провайдеров» было меньше, чем необходимо людей, чтобы сделать сколько-нибудь заметную «распределённую сеть». Ну и директора компаний — это всё-таки не рядовые люди, они обучены договариваться.
Всё до тех пор, пока не надо платить заметных денег и делиться сколько-нибудь чувствительной информацией.
MountainGoat
А потому что никак. Это надо уходить от использования провайдеров. Жду, называется, предложений.
AVikont
Этот "простой Васян" находится за NAT. Даже в домашнем сегменте с выделенным IP, за одним адресом будут десятки устройств. Разбирать всё это будет способен лишь LLM.
На текущий момент контроль Рунета устроен по аналогии с Ираном. В обычном режиме есть некоторые ограничения, а в случае тревоги переходим на белые списки, которые будут обходиться только спутниковой связью.
cyberplebeian
Скажем, трафик миллиона "простых Васянов" в одном крупном городе составляет десятки терабит в секунду. Делать сложные анализы кто куда как часто заходит и писать на диск БД в реальном времени без ущерба пингу невозможно. Максимум что можно сделать, посмотреть совпадает ли IP с цензурируемым и послать RST. Ни о какой статистике в реальном времени на таких пропускных способностях речи быть не может.
Arioch
А почему обязательно в реальном времени?
Если Васяна "возьмут на карандаш" в течении недели, после чего именно на его поток поставят приоритетный мониторинг с повышенной агрессивностью и быстрым шейпингом - Васяну хватит. Это VPN-ку можно за неделю поменять, и то каждую неделю будет непросто. А вот каждую неделю перезжать из одной квартиры в другую - несколько сложнее.
Сюда же и требование к ОПСОСас сообщить какие у их абонентов оконечные устройства. Если стандартная фигня из магазина - то анализ по остаточному принципу, насколько ресурсов хватит. Если зловредная хакерская приблуда типа микротика или OpenWRT - то в список на особое наблюдение.
Причем списки можно заранее составлять, не объявляя это самим Васянам новыми блокировками. Сначала собрать на всех досье, а замедлять их можно потом.
Сначала отработают одну небольшую улицу, прикинут на практике сколько нужно ресурсов на быстрое реагирование, определят какой процент мыслепреступников считать оголтелыми и требующими такого быстрого реагирования. Потом постепенно расширят и углубят на всю страну.
ColorPrint
Тут скоро помощнее микроскоп в виде ИИ завезут за 2 ярда.. И тогда непонятно что из протоколов вообще сможет выжить
Arioch
ИИ не вытянет поток в реальном времени. Даже огромный DeepSeek, у которого ферма стоит больше небольшого российсколго городка, отвечает со скоростью 3-4 байта в секунду.
Вот когда локальный без сети DeepSeek будет в каждом телефоне - тогда можно будет начинать думать. А когда такой - строго локальный - DeepSeek начнёт еще и писать со скоростью 3-4- МЕГАбайта в секунду, т.е. в миллион раз быстрее, чего сегодня пишет его глобальная мега-ферма, тогда это уже станет реальной возможностью.
Если же про анализ статистики задним числом, не блокировки в реальном времени, а отложенный поиск "до чего наши фильтры будут прикапываться завтра", то Data Mining не вчера изобрели, там уже и без ИИ неплохо. И опять же, ИИ скорее всего не поможет - слишком у него маленький Context Window для обработки даже маленьких БД.
ColorPrint
так не обязательно в реальном времени... берем фрагмент (хоть в реальном, хоть нет), анализируем, детектим, баним.
hochbar
Во-первых, почему Васян смотрит месяц кошечек с ОДНОГО сайта? Он что, кроме заблокированных ресурсов другими сайтами не пользуется?
Во-вторых, понятно когда этих васянов тысяча, понятно когда 10 тысяч, даже когда 100к я как-то могу понять, но когда васянов миллионы (уже, это статистический факт- на сегодня ВЧС используют десятки миллионов), и серверов десятки и сотни тысяч...ну флаг им в руки с их анализами.
mayorovp
Потому что сейчас, когда сайты блокируются не по спискам, а по желанию левой пятки - отличить заблокированный ресурс от незаблокированного затруднительно, особенно если это не веб-страница. А потому популярным решением является направлять вообще весь трафик в VPN. да и инструментов для выборочного перенаправления трафика как-то маловато.
MoonArsenii
Речь, думаю, про active-probing: если условный ркн отправит connect на сайт, то прокся себя выдаст, отправив 407 Proxy Authentication Required.
StarJohn
Кстати, да, а xtls-rprx-vision-то отработает как надо
dorne
Вообще-то может. По размеру фрейма. Или статистическим анализом трафика.