Комментарии 27
Статья ни о чём. Это не описание реальной работы DPI, а просто какие-то общие рассуждения.
Похоже, вы ожидаете техническое описание DPI, но статья вообще не про это. Мы писали про механики блокировок протоколов и то, как это проявляется для пользователей/сервисов, а не про внутреннее устройство DPI.
Статья как раз о том, по каким признакам блокируют конкретно взятые VPN-протоколы и как их детектят. Про DPI у нас есть цикл статей про Китай, кстати, там подробнее :)
Опять «провайдер блокирует»! Какой он нехороший, а?
Я так понимаю, в заголовке промпт, а в теле статьи ответ ИИ?
А в чем смысл?
И если соотношение их количества в пакете примерно одинаково, то это серьезная аномалия, которой не может быть в легитимных протоколах (типа HTTPS).
Некорректное утверждение. У надёжно зашифрованного трафика (HTTPS) нормированная энтропия стремится к 1, так как шифртекст статистически близок к случайному.
Очередная мусорная статья в помоечном блоге. Нейроблев с кучей ошибок, неточности и откровенного бреда.
что в России блокируются только зарубежные соединения к этим протоколам. VPN до сервера внутри страны работает, а тот же VPN до сервера в Германии - блокируется. Это позволяет не ломатькорпоративные VPN внутри страны, но отрезает выход наружу.
В теории оно должно быть так, на практике есть уже довольно много случаев когда блокируются подключения чуть ли не в пределах города, а не наружу
Самый понятный и прямолинейный метод детекта для DPI - анализ пакетов и поиск в них характерных байтов в начале.
И ни слова про режим tls-crypt. Автору двойка
Второй фактор, используемый для блокировки - анализ TLS-отпечатка пакета. Более продвинутый метод.
DPI анализирует ClientHello и сравнивает отпечаток с базой известных.
В теории оно так и давно известно, вот только есть нюанс - РКН на ТСПУ не анализирует фингерпринты на «нестандартность». Там ровно наоборот, в ряде случаев был срабатывание на отдельные и специфичные фингерпринты (например старых версий библиотеки pion для webrtc). Только к OpenVPN никакого отношения это не имеет и никак не влияет.
Здесь стоит помнить о том, что DPI могут использовать постоянный анализ пакетов на наличие подозрительных признаков.
Могут, но не делают, слишком дорого выходит. ТСПУ анализируют только первые пакеты соединения.
В сравнении с OpenVPN, WG даже не позволяет косить под HTTPS трафик, ведь просто не позволяет использовать TCP.
Ну здрасте. Мы в 21 веке живем, в наше время HTTPS вполне себе бегает по UDP. Про QUIC автор видимо не слыхал. И варианты маскировки WG под QUIC как раз существуют.
Сделали это так: в DPI добавили правило, считающее количество нулей и единиц в байтах пакета. И если соотношение их количества в пакете примерно одинаково, то это серьезная аномалия, которой не можетбыть в легитимных протоколах (типа HTTPS).
Вот с этого я дико проорал. Чувак, как раз «примерно одинаковое среднее количество нулей и единиц» именно что должно наблюдаться в протоколах типа HTTPS, потому что там передается зашифрованный трафик.
Видимо нейронка которую насиловал автор ссылается на известное исследование GFW-Report про то как Китай блокировал Shadowsocks, но прочитала его задницей и ничего не поняла (там Китай тупо резал полностью шифрованный трафик незнакомых протоколов, но пропускал то что похоже на человеко-читаемый ASCII-текст, и именно в этом контексте шла речь про нули и единички).
Могут, но не делают, слишком дорого выходит. ТСПУ анализируют только первые пакеты соединения.
ну… ssh-сессии, подвисающие через некоторое время, говорят об обратном
Сам факт что это - SSH определяется в самом начале подключения, дальше вероятно идет уже просто оценка обьемов трафика без детального анализ пакетов
Напротив в случае в WG достаточно заслать «обманки» (маскирующиеся под QUIC) в самом начале и дальше спокойно гонять пакеты WG, которые по факту всетаки отличаются от QUIC определены и признаками. Или можно по TCP обмануть детектирование красивым HTTP-заголовком, а потом слать все что угодно.
Я не буду ничего рекламировать, но могу сказать, что как минимум все еще достаточно российских хостингов предлагают готовые решения с иностранными адресами..и они работают ни смотря на то что адреса иностранные. Ну и кроме того классические впн без маскировки очень легко блокировать это так..но есть варианты маскировки которые все еще работают и я думаю будут и далее работать..ну и по моему мнению самый главный вопрос зачем вообще использовать технологии которые не создавались для обхода чего либо если есть специализированные решения..которые еще при этом формально являясь UDP не попадают под всякие шейперы и не теряют свою производительность ..чего нельзя сказать о том же WG который быстрый только в хороших сетях при условии если udp не режется.
Да и провайдеры давно блокируют и корпоративный трафик на Wireguard и других криптосложных шифрованиях, если их не уведомила организация и соответствующие министерства, законом утвержденном порядке. Могут и не блокировать, а берут и блокируют так как есть постановление.
Нормально всё работает. Сотрудники, которые к корп. VPN на базе WG подключаются раскиданы по разным провайдерам внутри РФ и даже странам. Иногда проблемы бывают, да, но в среднем за прошедший год отваливалось так чтоб никто нормально работать не мог... может ну... раз пять.
у меня по работе несколько сотен туннелей внутри РФ, в основном openvpn, есть ipsev ikev2 и wg.
в целом всё работает, бывает что-то отваливается, но обычно через несколько часов восстанавливается.
никуда ничего не подавал, хотя мысли такие были )
а вот с туннелями за границу всё хуже
Копирайтеры Фемиды снова забыли сходить в туалет и решили засрать на хабр
Очень много утверждений из статьи - набрасывание на вентилятор. Т.е. тут не пахнет реальностью, хотя в названии статьи глагол в настоящем времени изъявительного наклонения. Ну да, опкод есть на самом деле... Но ведь спецификация OpenVPN значительно сложнее описанного! И встречаются также откровенно странные утверждения, например, про кол-во ноликов и единичек в TLS.
Если бы тут была статистика какая-то, можно бы было хоть о чём-то говорить.
Как. И главное зачем? Чтобы удаленный доступ совсем уничтожить?
С open vpn у меня реально были проблемы, и он работает нестабильно, заметила.
А вот на счёт wireguard... Что? Его кто-то пытался блокировать? Нет, возможно, его и блокируют, но... Чисто на моем опыте все работает без сбоев
Очередная мусорная статья от Femida Search с рекламой их телеги
Что это за высер из чат гпт?
Wg блочится и внутри РФ на ОПСОсах.
блокируются только зарубежные соединения к этим
И вг на Ростелекоме в северо-западе такой
Ага ага пошел....
Целая статья, о том, как и что происходит... не влияющая ровным счетом ни на что. Ведь все это читает и темная сторона (роскомнадзор если что)... не пора ли написать целую статью типа - "как вычислить по ip и набить ебало для чайников", только про роскомнадзор? .. мне кажется это будет более действенно 😄
Как блокируют OpenVPN и WireGuard