Эту статью вынудил написать сам Роскомнадзор, с его последними деяниями. Сам обход очень прост и незатейлив, как грабли. Тулза сделана для любого пользователя, который может кликнуть мышью два раза на екзешник. Настроек нет никаких, как говориться - все вшито. Короче говоря не тулза, а сказка. Называется эта программа GoodbyeDPI. Достоинство: Нет никаких потерь с пингом и со скоростью соединения. Абсолютно бесплатна. Это кошерно. Мы не обходим через прокси, ТОР, VPN. Мы идем напрямую через провайдера, как истинные юзеры. Разработана как Винду, так и на Линукс. Как её ставить я расскажу в конце статьи, а сейчас немного интересной " матчасти". - В топку матчасть не в институте, давай тулзу! Надоело учиться, хочу по порносайтам лазить, мне уже есть 18лет. Для чего она нам нужна твоя матчасть? - Для понтов! Что бы потом Вы могли гордо сказать, что обходите Роскомнадзор через DPI, как истинный юзер, а не как ламерюга через ТОР. И что бы хотя бы приблизительно знали как работает ваш зловещий СОРМ. Матчасть. Роскомнадзор составляет свои черные списки и отправляет их провайдеру, который на основании их и банит. У провайдера стоит система " СКАТ" Система Контроля и Анализа Трафика, который и блокирует сайты. Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы. Статистика применяемых блокировок https://habr.com/post/229377/ Существует два распространенных типа подключения DPI: пассивный и активный. Выглядет схематично это так. Пассивный DPI Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта. Активный DPI Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика. Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту. [/SPOILER] Не буду саморачивать читателей умными выражениями, скажу проще DPI -это как файервол, только круче, мощнее и страшнее. Эта та хрень, с помощью которой узнают, что вы качали пиратские фильмы с торренов. Кому будет интересно, а будет интересно ведь там СОРМ. Цитирую: Спецслужбы В конце хотелось бы сказать пару слов о том, для чего также закупается DPI, кроме как для издевательств над абонентами. Оборудование DPI, в связи со своим умением видеть всё и вся, что происходит на сети, является весьма интересным устройством для товарищей в погонах, без которых сейчас никуда. При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Можно перекрыть ему VPN, HTTPS и прочие прелести, делающие невозможным анализ контента. Разумеется, можно закрывать доступ пользователей к неугодным властям сайтам, что очень актуально в связи с последними событиями в законотворческой деятельности в России. Можете почитать тут https://habr.com/post/111054/ Итак долой матчасть, переходим к самой программе. Качаем для винды https://github.com/ValdikSS/GoodbyeDPI/releases Качаем для Линукса https://github.com/bol-van/zapret Распаковываем, запускаем. Вуаля. Как это работает? На простом народном языке идет что-то типа подмены запросов вашего компа СОРМу, не совсем так конечно, но близко к этому. Spoiler: Кому интересно, как это работает? https://habr.com/post/335436/ В конце статьи есть ссылка как она работает. Что умеет эта замечательная тулза? Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем. Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать. По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы. Запустите программу следующим образом, жмак два раза на екзешник который подходит вам. Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти. Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый). Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 . Короче говоря запускайте файлы ./cmd и смотрите, какой лучше работает. Статья не авторская, материалы взяты здесь: https://github.com/bol-van/zapret https://reqrypt.org/reqrypt.html https://github.com/ValdikSS/GoodbyeDPI https://habr.com/post/335436/ https://habr.com/post/111054/ https://habr.com/post/276141/ https://habr.com/post/229377/
ЕЖ_репост_в_массы_несешь дэтэктэд полезное дело делает - выжимки сути из длииинных статей для типичного ачат-обитателя самое то
мне недавно братишка хвастался, что поборол пассивный ДПИ прова из под линуха...пакеты с определенным ТТЛ и каким-то еще признаком отфильтровал (у прова пакет "разрывного вклинивания"\перенаправления от ДПИ приходил не с тем же ТТЛ что норм пакеты от сервера)
может и не врет...ДПИ чтоб разорвать генерит пакет с айпи и тисипи_сиквенс сервера потом эта "перенаправляющая" IP-датаграмма летит через несколько рутеров к абоненту, на каждом рутере ттл уменьшается... получается, что ДПИ-железке надо дохуя усилий, чтоб мимикрировать помимо ТСР-сиквенса еще и ТТЛ - ей надо учитывать ТТЛ с сервера (на который клиент цепляется) И! количество хопов от ДПИ до клиента...а до разных сегметов с клиентами они разные...кароч, слишком дохуя ненужной работы...похоже, братан не пиздит
кароч дозвонился братишка довольно грубо поступил, но в его случае с натяжкой канает... он фильтрует пакеты Только по ТТЛ в провайдере вклинивающиеся пакеты, разрывающие соединения, летят с TTL=77 это конкретное значение 77 в реальном трафике редко попадается, так что грубовато, но можно в его конкретном случае и так от ДПИ избавиться...горжусь братишкой, хуле - еще не всех у вас там одебилили p/s/ пишет "эти ваши ачаты, хабры и прочие ресурсы для недолугих не читаю, я самородок умный и скромный" )))))))))))))))))))))))))))))))))
Надо у своих "друзей" провайдера спросить. думал что весь Ру инет делиться на 1- максимум 3 провайдеров, так называемых " межконтинентальныx провайдеров" И им проще и разумней блокировать , я так думал)
Поначалу подумал статья для Офисного планктона аля как юзать ВПН\Проски... а нет! Зачёт хоть и репост. Я вот чо подумал... этот СОПР можно как то идентифицировать... я так понял СКАТ работает на 3 и выше уровнях ОСИ, т.е. раскрывает айпи адреса. Должны быть порты управления (для связи со штабом КоКонадзора), айпи, мак адрес у железяки и прочее .. нутыпонял))))
Роскомнадзор просто проверяет через Ревизор роутеры провайдера блокируют ли они и всё ли блокируют. Наш админ начинает каждое утро с черного списка. Как подключен СОРМ никто не знает. Просто приехали чекисты поставили свой "черный ящик", кстати довольно большой, больше чем компьютер. И сами его подключили, больше к нему никто не подходит, так и жужит в углу.
По-любому должен как то управлятся и мониторится, вангую snmp и порт управления. Ведь черный список нужно изменять...
Это делаем мы провайдеры, у нас сидит жопорукий админ и этим с утра занимается.. Если мы это не сделаем или прошляпим с оборудованием, нам тут же штраф прилетает 500 тысяч. А следит за черным списком Ревизор, он и передает РКН, что мол черный список не работает.
А что будет если обмануть "ревизора", сделать так, что бы ревизор получал инфу что всё заблочено, а юзеры посещали сайты нормально ?
Мысль конечно хорошая. Но данная тулза так и делает. Ревизор видит, что все сайты в черных списках есть. Он постоянно мониторит это. Но мы его ( не ревизор конечно, этот только следит) а СКАТ обходим. Так что все что ты предлагаешь уже есть. Обход Ревизор нужен только провайдерам, что бы их не штрафовали. Я уже подал мысль шефу, но он сказал что не надо. А то КГБ за жопу возьмет и там штрафом не отделаешься, а получишь реальный и громадный срок.
Ревизор контролирует только СКАТ и не более. Я раньше тоже думал , что он снифит весь запрещенный трафик - ан нет. только провайдера. Юзеру по закону не парит запрет. Ему разрешено смотреть запрещенные сайты, пока разрешено. Так что на свой паленый Ip можно забить. За это даже штрафа нет. Храбро юзай пучину интернета.
Ежи запезделсо )) Ревизор не мониторит СКАТа )) Ревизор эмулирует пользователя - прост пробует цепляться к запрещенке удалось - штрафф
Возможно его нет в черном списке. Надо пополнить список. Попробуй забить ручками. Там вроде есть такая опция.
