Проект Geneva развивает движок для автоматизации проверки систем инспектирования пакетов

24.01.2020 22:59

Исследователи из Мэрилендского университета в рамках проекта Geneva предприняли попытку создания движка для автоматизации определения методов, применяемых для ограничения доступа к контенту. Вручную пытаться перебрать возможные бреши систем глубокого инспектирования пакетов (DPI) достаточно трудный и долгий процесс, в Geneva попытались использовать генетический алгоритм для оценки особенностей DPI, определения ошибок в реализации и выработки оптимальной стратегии организации тестирования надёжности работы DPI на стороне клиента. Код проекта написан на языке Python.

Применяемое для блокировки DPI-оборудование имеет свои недоработки, позволяющие скрыть обращение к запрещённому ресурсу или избежать блокировки. Например, в простейшем случае при организации блокировки через подстановку фиктивного ответа (применяется пассивными DPI) достаточно на стороне клиента отбросить фиктивный ответ, отправленный DPI. В случае применения активного DPI можно попытаться скрыть сам факт обращения к заблокированному сайту, немного видоизменив параметры HTTP-запроса (например, добавив лишний пробел после "GET"), разделив на несколько пакетов данные согласования TLS-соединения или выполнив атаки TCB Teardown и TCB Desync. Суть упомянутых атак в отправке клиентом вначале фиктивного пакета с данными или флагами RST/ACK, который не получит целевой хост, но поймает DPI, примет на его основе решение и не станет анализировать идущий следом пакет с реальным запросом (например, в фиктивном первом пакете можно указать другой SNI, а для скрытия этого пакета от целевого хоста можно выставить низкий TTL, а также некорректную контрольную сумму, флаги или номер последовательности TCP).

Geneva пытается выработать рабочий метод обхода DPI, используя четыре базовые примитива для манипуляции с сетевыми пакетами - отбрасывание, изменение заголовков, дублирование и фрагментация. Для подбора оптимальной стратегии применяется генетический алгоритм, моделирующий процессы, сходные с естественным отбором, через случайное комбинирование различных вариантов манипуляций с пакетами. В конечном счёте, на выходе примитивы комбинируются в "дерево действий", определяющее алгоритм обхода DPI.

align=top

Работа Geneva успешно опробована в Китае, Индии и Казахстане, в том числе при помощи Geneva было выявлено несколько новых брешей, о которых не было известно до этого. При этом Geneva эффективен только для блокировок на основе DPI, при блокировании по IP-адресам он бесполезен и без VPN не обойтись. В ходе экспериментов выявлено несколько десятков типовых стратегий обхода DPI, которые можно протестировать сразу без проведения полного анализа, например:


   python3 engine.py --server-port 80 --strategy "[TCP:flags:PA]-duplicate(tamper{TCP:dataofs:replace:10} tamper{TCP:chksum:corrupt},),)-|" --log debug

   2020-01-24 20:54:41 DEBUG:[ENGINE] Engine created with strategy \/ (ID bm3kdw3r) to port 80
   2020-01-24 20:54:41 DEBUG:[ENGINE] Configuring iptables rules
   2020-01-24 20:54:41 DEBUG:[ENGINE] iptables -A OUTPUT -p tcp --sport 80 -j NFQUEUE --queue-num 1
   2020-01-24 20:54:41 DEBUG:[ENGINE] iptables -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 2
   2020-01-24 20:54:41 DEBUG:[ENGINE] iptables -A OUTPUT -p udp --sport 80 -j NFQUEUE --queue-num 1
   2020-01-24 20:54:41 DEBUG:[ENGINE] iptables -A INPUT -p udp --dport 80 -j NFQUEUE --queue-num 2

исправить +50 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52249-dpi

Ключевые слова: dpi, geneva, block

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (100)

1.1, Аноним (1), 23:56, 24/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+3 +/–
Раньше для обхода блокировки Ростелекома достаточно было дропнуть RST-пакеты, но с осени это работать перестало, видимо DPI сменили.

2.2, dimqua (ok), 00:03, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Похоже, скоро начнут все по IP блочить, а какие сайты (и другие ресурсы) на нем - без разницы. :(

3.14, тоже Аноним (ok), 01:26, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
Возможно, Ростелеком это не делает, но я на discuss.cocos2dx.org, например, получаю Unable to connect. Потому что когда-то один мудрец в погонах заметил на этом сервере Телеграм, а другой - вынес решение. И ни один не почешется, чтобы вернуть в Рунет ни в чем давно не повинный сервер.

4.17, Анонимун (?), 02:49, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–2 +/–
Из TLS 1.3 DPI провайдера не может вытащить доменное имя из пакета и ему приходится блочить по IP. Попробуй TLS 1.2. Настройка security.tls.version.max

5.22, dimqua (ok), 04:35, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+6 +/–
Не из-за 1.3 не может, а из-за eSNI, который не является обязательным.

4.44, Аноним (44), 11:37, 25/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
открылось, дропаю рст

4.98, Аноним (98), 05:18, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Телеграм? да не, очевидно же, что кокос - это на самом деле кокс, и это площадка по торговле наркотиками

3.58, заминированный тапок (?), 15:24, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

+1 +/–

добро пожаловать в 2020

они так пытались телегу прикрыть и сервера амазон блочили по ойпи

и доставили всем много лулзов, оконфузившись

4.61, Аноним (61), 16:43, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Думаешь там кого-то ***т карикатуры Ёлкина?

3.99, Аноним (98), 05:20, 28/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
вы так говорите, как будто они ни когда не блочили целые подсети гугла за просто так

2.5, Аноним (5), 00:28, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+3 +/–
РТК днище

3.12, Аноним (12), 01:01, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Отличная компания, всегда на стороне клиента </sarcasm>

3.18, Анонимун (?), 02:52, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
А много ли сейчас провайдеров, предлагающих белые IP? DPI же сейчас в основном у мобильных провайдеров? Не согласен, что РТК днище. Он даже рутрекеровские трекеры не блочит (по отзывам). Только тсс, никому не говорите.

4.19, Анонимун (?), 02:54, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
А иначе как в Tixati их блок обходить? Ведь Tixati с 2015 года не умеет пускать через прокси трекеры отдельно.

5.28, Аноним (28), 08:05, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Пускаешь весь торрент-трафик через ProtonVPN на максимальной скорости

6.34, Amphyby (ok), 09:55, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
там p2p платный

4.38, пох. (?), 10:41, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+3 +/–
каждый первый, не Интересно другое - много ли сейчас еще осталось провайдеров, ... большой текст свёрнут, показать

5.71, mommy (?), 19:17, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ла не у опсосов стоит чуть сложнее софт. Там разработаны и дорабатываются платы захвата трафа на 40 гбс. Спец прокси, спец машинки по анализу трафика. Интересный софт по анализу, и перехватк звонка. Опсосники не мелочатся на dpi как ни удивительно.

5.82, Аноним (82), 23:48, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>С чего их блочить, если они разрешены? Святая простота.

6.87, Аноним (87), 07:01, 26/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>>С чего их блочить, если они разрешены? >Святая простота. Это сказал памятник, ведь кто ж его посадит?

4.102, sage (??), 08:35, 28/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
>DPI же сейчас в основном у мобильных провайдеров? DPI сейчас, в основном, у всех провайдеров. Только у очень мелких его может не быть.

5.110, пох. (?), 16:28, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ровно наоборот - только очень мелкие могут страдать такой фигней. У крупных - a) очень дорого получится b) все равно лопнет Для исполнения указивок роспозора - [полноценный] dpi не нужен. Для влезания в http траффик с нужной и полезной (оператору) рекламой - тоже.

6.112, sage (??), 11:31, 29/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я занимаюсь исследованиями DPI в России и знаю, о чём говорю. У меня есть статистика. Провайдеров, у которых нет DPI, и которые блокируют по IP-адресам — единицы.

7.113, пох. (?), 18:44, 29/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Я занимаюсь исследованиями DPI в России и знаю, о чём говорю. У

прежде чем заниматься васян-исследованиями - не пытался просто поговорить с инженерами?

А то слепые, ощупывавшие слона, были немного удивлены, когда один из них, случайно, обнаружил слоновий х...й.

> меня есть статистика. Провайдеров, у которых нет DPI, и которые блокируют
> по IP-адресам — единицы.

другие варианты, похоже, тебе не приходят в голову, видимо, потому что ты в нее - ешь?

3.89, Онаним (?), 10:56, 26/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Днище немножко другое (конкретная геосоцполитическая локация), РТК тут только часть целого

4.106, РТК (?), 11:11, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Дорожная.mp3

2.32, Могиль (?), 09:51, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Всё ещё работает, но несколько сайтов, например 7-zip.org всё равно не открываются (не с осени, а с тех пор как заблокировали) Почему есть несколько "избранных" которые заблокировали качественно, а для всех остальных достаточно дропа rst, не понятно.

3.43, Аноним (44), 11:30, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
на моём РТК https://www.7-zip.org/ открывается

3.103, sage (??), 08:36, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
На Ростелекоме можно обойти блокировку по IP-адресам: https://ntc.party/t/dpi/85

2.101, sage (??), 08:35, 28/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
См. https://ntc.party/t/dpi-telegram/62/11

2.107, freehck (ok), 11:14, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Раньше для обхода блокировки Ростелекома достаточно было дропнуть RST-пакеты, но с осени это работать перестало, видимо DPI сменили.

Это не DPI, это банальный iptables.

А что работало и работает до сих пор -- это взять в DO дроплет за $6 в месяц, развернуть там VPN и выставить MTU 1400.

1.7, Аноним (7), 00:40, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–10 +/–
Зря это они. Меньше знаешь - крепче спишь. Знание полезным только избранным

2.9, Аноним (12), 00:56, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+6 +/–
А чего с толпой бесполезных идиотов делать? Столько сторожей и кассиров в природе не нужно.

3.50, Аноним (50), 13:40, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+6 +/–
Можно подумать, миллионы погромистов кому-то нужны.

4.60, Аноним (61), 16:37, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
Я тебе больше скажу - нужны миллиарды. Софт сам собой не напишется.

5.65, JL2001 (ok), 17:28, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
> Я тебе больше скажу - нужны миллиарды. Софт сам собой не напишется. у вас софт приходится переписывать каждую новую версию электрона?

6.68, Аноним (68), 18:16, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+5 +/–
Нет дело не в этом. Если предварительно продумать всё то 90% нынешних погромистов можно выгнать охранниками в пятерочку. Хотя, упс, они и там не нужны. Но так в отрасли сверху донизу поголовная безграмотность вот и получаем: аджайл; канбан; ещё парочку, ещё парочку миллиардов погромистов.

5.115, Аноним (115), 08:12, 01/02/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> Софт сам собой не напишется.

Это неправда, уже с конца 1960-годов софт пишется софтом, - компилятор.

А 10 лет. Назад IBM запустила Watson.

Нужны грамотные программисты, а не кодеры после техникума.

4.114, Аноним (115), 08:06, 01/02/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Изучи историю развития ПО, 1960-тые годы США проект MULTICS (Multiplexed Information and Computing Service) не потянули из-за нехватки математиков-програмистов.

2.33, Аноним (33), 09:55, 25/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
абсолютный вахтер

2.40, пох. (?), 10:45, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

присоединяюсь. Потому что теперь китайский файрвол просто будут переделывать с учетом того факта, что где-то работает подобный ИИ. ВСЕМ станет хуже. Включая тех, кто вообще ничего не собирался противозаконного открывать.

Но это ж прожектец sjwшников и борцунов за все хорошее против всего плохого, так что чего еще от них ждать?

Я думаю, где-то в Реутове уже собирают лабораторию с этой хренью для углубленного тестирования и разработки новых рекомендаций по улучшению великого чебурнетского файрвола.

3.46, Аноним (46), 12:10, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как по вашему отделить мух от котлет? То есть отделить ихнюю борьбу за мой счет, от моего счета? Вдруг вероятность наступления в моей жизни того события (событий), против чего они (sjwшники и борцуны) борютюся, очень мала? Или мне не просто не нужна, а и может быть даже вредна их борьба? Что такое понятие счет (деньги), мы покуда опустим.

4.62, пох. (?), 17:01, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

Мне кажется, вероятность наступления в твоей жизни события, когда ты начнешь всерьез бороться за свое право ходить в женский туалет, но писать там непременно стоя (не потому что зacpaли мужской, а потому что ты внезапно ощутил себя ОНО) - действительно с хорошей точностью равна нулю. Она обычно определяется воспитанием и окружением еще в раннем возрасте, а в наших краях "я ответил им, что если они не перестанут валять дурака - я пepeeбу их лопатой!" гораздо популярнее.

А последствия их борьбы для тебя лично - да, безусловно вредны. Вот, например, теперь у товарищмайоров есть отличный инструмент для тестирования своих поделок. И они им, разумеется, будут с удовольствием пользоваться.

1.8, Аноним (82), 00:54, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
А так можно обходить запрет при отрицательном балансе? На йоте, например, некоторые виды UDP (dnscrypt) на низкой скорости все-таки проходят. Интерес чисто спортивный. А раньше даже UDP OpenVPN держался, сейчас уже нет. По TCP RST сыпятся.

2.11, Аноним (12), 01:00, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Зависит от фактической реализации отключки при этом. Некоторые вообще весь траф грохают, там упс. Некоторые не весь - там уже разные варианты есть. Есть и другие варианты наелова dpi, например с левыми хидерами - найдешь если сильно интересно.

2.25, Онаним (?), 06:11, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Теле2 например блокирует доступ ко всему кроме своих серверов + серверов для пополнения баланса. Можно например по wifi подключиться по wireguard vpn, отключить wifi и продолжать пользоваться полным интернетом через vpn правда с адскими лагами и рандомными скачками скорости (реальную скорость не замерял).

3.36, Аноним (36), 10:10, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вообще-то, речь идёт об обходе цензуры, а не о халявном интернете при минусовом балансе.

4.41, пох. (?), 10:48, 25/01/2020 Скрыто ботом-модератором [к модератору]	–8 +/–

1.13, б.б. (?), 01:25, 25/01/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–5 +/–

2.15, Аноним (15), 01:46, 25/01/2020 Скрыто ботом-модератором [к модератору]	+/–

2.21, AI (?), 03:42, 25/01/2020 Скрыто ботом-модератором [к модератору]	+2 +/–

3.27, б.б. (?), 07:48, 25/01/2020 Скрыто ботом-модератором [к модератору]	+/–

4.54, Anonymoustus (ok), 14:16, 25/01/2020 Скрыто ботом-модератором [к модератору]	+1 +/–

1.16, Аноним (16), 02:17, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+17 +/–
Супер, теперь цензоры смогут автоматически определять дыры в своей блокировке

1.24, Онаним (?), 06:09, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–2 +/–
Есть ли докер образ готовый? Они хотят питон 3.6 и только его иначе одни ошибки при установке.

2.59, Аноним (59), 16:26, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Virtualenv спасёт отца русской демократии

3.63, пох. (?), 17:03, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

Впопеннетовские борцуны за шва6одку не умеют virtualenv.
Им доскер в доскере под доскером подавайте.

(они даже FROM: pyhton3.9 не могут сами - давайте им готовенькое, на халявку - ужо они потом за шва6одку-то поборются)

1.26, Василий (??), 06:50, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Есть конкурент у Geneva, проект BlockCheck от ValdikSS https://github.com/ValdikSS/blockcheck

2.29, Аноним (1), 08:32, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
> Есть конкурент у Geneva, проект BlockCheck от ValdikSS > https://github.com/ValdikSS/blockcheck blockcheck только простейшие вещи проверяет, типа разбивки GET на части или указание "host:" вместо "Host:". Geneva пытается через манипуляции с пакетами, не привязываясь с протоколу уровня приложения, делать запросы невидимыми для DPI. Да и отправка телеметрии по умолчанию по всем выполненным проверкам на внешний сервер в BlockCheck очень смущает.

2.79, дохтурЛол (?), 22:38, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
владик, конеш, молодец, но одно дело хоть и талантливый, но прогер-одииночка, а другое - полноценный проект

1.30, Аноним (30), 09:13, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
А этот проект работает над направлением устранения цензурирования доступа к содержимому сайта самими сайтовладельцами? Тут друг просил, ему надо некоторые графичечкие данные получить с сайта, а там владельцы ценник вывесили в BTC.

2.80, Анонимун (?), 23:00, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
А ты проверь, возможно они доступны по прямому запросу. Некоторые сайтовладельцы просят пароль на сайт, а контент заблочить забывают.

1.31, Аноним (31), 09:32, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]

–1 +/–

Не blockcheck,а GoodbyeDPI

https://github.com/ValdikSS/GoodbyeDPI

https://habr.com/ru/post/335436/

2.35, Аноним (35), 09:58, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Не blockcheck,а GoodbyeDPI GoodbyeDPI только для Windows и является переработкой WinDivert. "Windows 7, 8, 8.1 and 10 with administrator privileges required"

3.42, Аноним (61), 10:48, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
>является переработкой WinDivert не является. GoodByeDPI использует WinDivert как библиотеку. но GoodByeDPI бесполезна и не нужна, ибо работает только для plain http.

4.104, sage (??), 08:39, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вполне себе работает и для HTTPS на многих провайдерах.

3.45, Oleg (??), 11:41, 25/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Для линукса есть аналог - reqript. https://reqrypt.org/reqrypt.html

4.105, AnonPlus (?), 09:46, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

Это не аналог. Аналог для линукса - https://github.com/bol-van/zapret

ReQrypt это совершенно отдельный метод. Во-первых, там только олна техника (в отличие от GoodbyeDPI/zapret, которые умеют использовать кучу трюков), во-вторых, он гонит трафик через сторонний сервер (опять-таки в отличие от упомянутых утилит, которые модифицируют трафик локально), в-третьих, он не для активных DPI (которые пытаются разбирать пакеты на лету), а для случаев, когда блокировка идёт тупо по айпи-адресам.

Таким образом, это не аналог, а более узкопрофилтный инструмент (который работает в случаях, когда упомянутые утилиты пссуют - при блокировке по айпи-адресам)

1.37, Аноним (46), 10:20, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Да, Интернет уже не торт! А интересно, есть ли Интернет без IP протокола (раз уж некоторые мудецы, додумались отключить доставку датаграм от одного IP к другому :( Похоже я плачу провайдеру за резиновую...

2.52, JL2001 (ok), 14:00, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> Да, Интернет уже не торт! > А интересно, есть ли Интернет без IP протокола (раз уж некоторые мудецы, > додумались отключить доставку датаграм от одного IP к другому :( > Похоже я плачу провайдеру за резиновую... ну есть инеты с IP, но с возможностью ходить к серверам этого инета неблокируемыми (полностью) путями: i2p, tor-onion, retroshare, ipfs,... имена интересных серверов тамошних где взять - не знаю

3.53, JL2001 (ok), 14:10, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> ну есть инеты с IP, но с возможностью ходить к серверам этого
> инета неблокируемыми (полностью) путями: i2p, tor-onion, retroshare, ipfs,... имена интересных
> серверов тамошних где взять - не знаю

если рассматривать только доступность сайта (без анонимности)
интересно во сколько обойдётся включение для opennet.ru входа через i2p/tor-onion (остальные технологии вроде не позволяют напрямую засунуть обычный сайт?) в режиме 1) readonly, 2) полном ?
кто-то имел опыт перевода обычных сайтов общего назначения на такие транспорты? на сколько проблемно/дорого?

зы: у опеннета даже ipv6 нет, одно неловкое движение и судьба 7zip ?
зыы: вот за эту новость и внесут

4.76, Аноним (76), 21:09, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
А можно ж просто reverse-proxy устроить, или не тру?:)

4.100, Аноним (98), 05:27, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
и что по вашему случилось с 7зип?

5.108, JL2001 (ok), 11:27, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> и что по вашему случилось с 7зип? он утонул^w забанен ркн за соучастие в распространении терроризма с помощью архивов с паролем^wwwwwwwww то, что расположен не на том ip

2.56, Сейд (ok), 14:42, 25/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+2 +/–
Флоппинет.

1.39, Аноним (61), 10:43, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Это дерьмо ведь работает только для нешифрованных сайтов А с нешифрованными сай... большой текст свёрнут, показать

2.48, Pofigis (?), 12:15, 25/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> Поэтому использование нешифрованного http следует вообще не рассматривать как вариант, а всё остальное, что DPI анализировать не умеет, просто блокирутся по IP, и контрмеры бесполезны. Я правильно понял что ты веришь в сказку что DPI не умеют анализировать HTTPS?

3.49, Аноним (61), 12:50, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну как не умеют? IP виден, sni видны, задержки видны, размеры с гранулярностью до блока видны. Большие файлы, наверное, можно идентифицировать, после того, как они уже загружены, если их размеры в блоках уникальны. То есть для реалтаймовой цензуры не подходит. MITM не рассматриваем вообще - если есть MITM, то можно считать что вообще доступ к инету обрубили.

4.96, RHEL Fan (?), 10:23, 27/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Скоро по закону о "безопасном Интернете" всем операторам вкорячат "технические средства предотвращения угроз", которые устанавливаются строго в разрыв и будут среди всего прочего заниматься блокировкой доступа к ресурсам из реестра запрещенных сайтов.

5.97, пох. (?), 14:40, 27/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

пока что получился только автостучащий tp-link за три миллиона ржублей.

Непригодный ни для чего - "подключение должно быть осуществлено тем же способом, что и для обычных клиентов". Ээй, ребята - "обычные клиенты" у меня по lte подключались! КУДА я вам должен всунуть этот ваш тyполинк с его единственным интерфейсом rj45?

Так что на эту тему можете не переживать - отключит вас от интернета ваш любимый ростелеком, и он это сделает гораздо проще.

2.69, Аноним (68), 18:21, 25/01/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Может наконец хоть этот аноним предоставит нам судебную практику с такими вот исходами?

1.51, Anonymoustus (ok), 13:54, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
> Код проекта написан на языке Python. Почему-то я не удивлён.

2.66, Аноним84701 (ok), 18:06, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

>> Код проекта написан на языке Python.
> Почему-то я не удивлён.

Ну, не всем охота писать реализацию генет. алгоритма для проблемы X с нуля на сишечке.
Это довольно сомнительное удовольствие само по себе, а уж при необходимости реализации (причем - нескольких вариантов) наследования, отбора, мутации и "скрещивания" из "популяции" с последовательностью "базовых примитивов" в качестве генома …
А геном конкретно тут - кодирует последовательность примитивов-действий, т.е. является "виртуальным" опкодом, котрый придется для оценки эффективности таки прогнать через интерпретатор.

С другой стороны, никто никому не запрещает взять вот это вот готовое решение и переписать хоть на расте, если уж не смогли создать что-то свое сразу на правильном ЯП :)

> Geneva re-derived virtually all previously published evasion strategies within hours, and has discovered new ways of circumventing censorship in China, India, and Kazakhstan.
>

3.70, JL2001 (ok), 19:13, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>>> Код проекта написан на языке Python.
>> Почему-то я не удивлён.
> Ну, не всем охота писать реализацию генет. алгоритма для проблемы X с
> нуля на сишечке.
> Это довольно сомнительное удовольствие само по себе, а уж при необходимости
> реализации

да вы зае со своей сишечкой (и питоном как "правильным" выбором для прототипирования)

rust, D, go, java - куча возможностей, не сложные языки, куча библиотек
какого хрена выбор между C и Python ?!

4.74, KonstantinB (??), 19:54, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Для около-AI штук на питоне выбор библиотек намного больше. Так уж сложилось.

4.77, Аноним84701 (ok), 21:12, 25/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

> да вы зае со своей сишечкой

А на опеннете зае со своим вечным "почему в шап^W питон?! Почему не <вставить нужное - на опеннете это обычно 'сишечка'>"

> (и питоном как "правильным" выбором для прототипирования)

А еще на опеннете зае вычитывать между строк или приписывать то, о чем не писалось.

> rust, D, go, java - куча возможностей, не сложные языки, куча библиотек какого хрена выбор между C и Python ?!

Наверное, того же самого хрена, какого опеннетчики, с их извечным "это неправильный ЯП! Нужно было <ценные указания>…", не написали (прототип) сабжа на "правильном"?

1.55, Аноним (55), 14:21, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Да здравствует гонка вооружений!

2.93, Ммнюмнюмус Сверхновый (?), 18:15, 26/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Можно догадаться, в какой стране родится скайнет 2.0 (который типа VM).

1.57, Аноним (57), 15:03, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+2 +/–
> Исследователи из Мэрилендского университета в рамках проекта Geneva а какой DARPA contract number у этого проекта ?

1.67, Аноним (67), 18:16, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–
> оптимальной стратегии обхода блокировки > написан на языке Python. поперхнулся минералкой

1.75, Аноним (75), 20:17, 25/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+2 +/–
Как в Малайзии комментируют введение цензуры: "не противоречит принципам свободы и позволяет задерживать нарушителей, которые провоцируют возникновение конфликтов, а также искажают официальные показатели экономического роста страны".

2.88, Аноним (57), 08:53, 26/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
это правильная-демократическая цензура. Прямо как в google / facebook по запросу единственно правильного правительства сами все цензурируют. А это обычный DARPA контракт для помощи молодым неокрепшим демократиям.

1.83, Аноним (82), 02:45, 26/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–2 +/–
>iptables -A INPUT -p tcp --dport 80 Куда это вписа́ть, чтобы сохранилось после перезагрузки? Система с systemd.

2.94, Аноним (75), 18:52, 26/01/2020 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
Тут цензурно не написать, удаляют сразу.

3.95, пох. (?), 20:54, 26/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

цензурно-то написать, но ход ваших мыслей мне нравится.

Туда, угу, именно туда. И поглубже, пока не научится чему-то кроме "с системде".
(ну или systemd-firewalld или еще какая хрень - научится за него, верю, чо. Правда, это туда тоже некуда будет засунуть, потому что ее конфиг совершенно не правила устаревшего нимодна-нимодна-мамонтов-кал iptables содержит)

4.109, Аноним (109), 13:09, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Да ладно, что сте..сь над человеком :) И да, что то торкнуло, не ужели system-ды сожрало rc.local?

5.111, пох. (?), 16:57, 28/01/2020 [^] [^^] [^^^] [ответить] [к модератору]

+/–

ну, в общем, да.

То есть где-то, наверное, ты еще найдешь юнит, его воскрешающий, но я таких не наблюдаю.

К тому же твой совет товарисчу-с-сыстемде будет вреден еще и тем, что у него вполне может вообще не быть iptables, или быть shittyd-firewalld, ufw и хрен его еще знает что.

Ну вы ж хотели "как в винде"?

2.116, artenox (?), 03:46, 15/02/2020 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> iptables -A INPUT -p tcp --dport 80
> Куда это вписать, чтобы сохранилось после перезагрузки?

Для Ubuntu 16.04:

sudo apt-get install iptables-persistent netfilter-persistent
sudo iptables -A OUTPUT -s 1.2.3.4 -j DROP (добавить)
sudo iptables -D OUTPUT -s 1.2.3.4 -j DROP (удалить)
sudo iptables -L OUTPUT -v -n (посмотреть)
sudo nano /etc/iptables/rules.v4
sudo netfilter-persistent save
sudo netfilter-persistent reload

3.117, artenox (?), 03:50, 15/02/2020 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это фильтрация исходящих соединений на IP 1.2.3.4 TCP и UDP на любом порту.

1.90, Анонимун (?), 13:49, 26/01/2020 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–1 +/–
Цензура это не всегда плохо. Например, если бы не было цензуры, не сняли бы второй фильм - "Каникулы Петрова и Васечкина", который оказался лучше первого. Режиссеру сказали "если не снимете продолжение, больше ничего не дадим снимать". Вот так вот бывает. Правда, потом не хотели на экраны выпускать, лол, но это удалось разрулить.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: