A pesar del titular amarillo, no habrá más artículo amarillo. Todos nosotros (espero que sea aquí donde finalmente pueda decir de toda la comunidad) ya hemos recibido las acciones de Roskomnadzor. Y también su aspecto constante en recomendado en un habr. Por lo tanto, te gustará esta noticia. Al menos algo importante.
Noticias por el camino de diciembre de 2018.
En pocas palabras, ahora el principal método efectivo de DPI es verificar el campo SNI en el paquete. Para no repetirme, te enviaré al
artículo de ValdikSS . No es que toda la información esté allí, pero los puntos principales están establecidos correctamente. Solo agregaré que ahora el equipo del operador ha aprendido a insertar un certificado https TLS 1.2, que no pasa la validación en el navegador y tiene el nombre común MGTS. (Ni siquiera mgts.ru, jaja, es decir, ni siquiera es un dominio, no es que puedan lograr crearlo, con todos estos
certificados de transparencia , que Google creó). Además, ahora no está claro si la IP está bloqueada completamente Es decir todos los puertos, por ejemplo, como
ping.pe/www.7-zip.org . o DPI te responde. Solo hay una solución para los sitios: cambiar constantemente la dirección IP.
Rutracker tiene solo tres espejos oficiales (aunque puede crear
su propio , personal, solo necesita su propio dominio):
rutracker.net rutracker.nl y
rutrackerripnext.onion . Todos ellos tienen una cierta relación con Cloudflare (servidor DNS autorizado de cloudflare o tor, y rutracker.nl e ip de cloudflare
bgp.he.net/ip/104.28.16.16 ):
root@kali:~# dig @8.8.8.8 IN SOA rutracker.nl && dig @8.8.8.8 IN A rutracker.nl
;; ANSWER SECTION:
rutracker.nl. 3599 IN SOA buck.ns.cloudflare.com. dns.cloudflare.com. 2031873434 10000 2400 604800 3600
;; ANSWER SECTION:
rutracker.nl. 231 IN A 104.28.17.16
rutracker.nl. 231 IN A 104.28.16.16
;; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Sep 23 16:46:24 MSK 2019
;; MSG SIZE rcvd: 73
,
habr.com/ru/post/424857 habr.com/ru/company/globalsign/blog/427563 . , cloudflare… , 35% cloudflare (en. wiki), , - . eSNI, … .
, : eSNI (encrypted Server Name Indication) Cloudflare ( _esni
TXT , SNI, IETF IN TXT IN ESNI
github.com/tlswg/draft-ietf-tls-esni/pull/144).
root@kali:~# dig @8.8.8.8 IN TXT _esni.rutracker.nl
; <<>> DiG 9.11.5-P4-5.1+b1-Debian <<>> @8.8.8.8 IN TXT _esni.rutracker.nl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33017
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_esni.rutracker.nl. IN TXT
;; ANSWER SECTION:
_esni.rutracker.nl. 3599 IN TXT "/wF+a004ACQAHQAgtyygbWc/bwQo5RPSszvuzK+0BIucwJhOLHZ0iCqrCjsAAhMBAQQAAAAAXYTNUAAAAABdjLZQAAA="
;; Query time: 42 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Sep 23 16:54:07 MSK 2019
;; MSG SIZE rcvd: 152
, ? -, eSNI Mozilla Firefox. Chromium ( Chrome) , , Google
IN ESNI , Google ( cloudflare, Firefox ). IETF. google / github .
: firefox about:config network.security.esni.enabled true. eSNI ( , : windows (IN TXT)
bugzilla.mozilla.org/show_bug.cgi?id=1500289) DNS over HTTPS, sni _esni.example.com IN TXT, dns,
. network.trr.mode 2 ( 3, TRR), network.trr.uri
https://mozilla.cloudflare-dns.com/dns-query (
https://dns.google.com/experimental https://1.0.0.1/dns-query)
network.trr.bootstrapAddress, resolve
mozilla.cloudflare-dns.com resolver DoH DNS, , Firefox ( 1.0.0.1, 1.1.1.1 2606:4700:4700::1111 2606:4700:4700::1001 dig
mozilla.cloudflare-dns.com. ( , cloudflare.)) trr resolver:
github.com/bagder/TRRprefs, ))
cloudflare.com/ssl/encrypted-sni Check My Browser.
cloudflare.com/cdn-cgi/trace, sni=plaintext vs. sni=encrypted.
, ,
rutracker.nl, (2-6-20/ 2019-04-25-699- 29.05.2019 ). … ! : Android , . , DNS over TLS Android 9 eSNI, TRR . . , , .
bugzilla.mozilla.org/show_bug.cgi?id=1542754, DPI (
NRO) RIR . , , . APNIC DNS ( ip Cloudflare DNS , ) eSNI , ip , looking glass , RIR.
, SNI
DPI .. .
.