forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Великобритании Firefox не будет использовать DNS-over-HTTP..."
Отправлено Дон Ягон, 07-Июл-19 02:24

> Никогда не догадается. На IP-адресе не висит табличка "тут резолвер".
Не висит. Зато не резолверах "висит табличка с написанным IP".
> Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, что вы (DPI) знаете.
Это не просто хост гугла/клаудфлера, а конкретный хост. Конкретный ip. Ну там, 1.1.1.1, 4.4.4.4 - да что я рассказываю?
> Заглянуть в SNI и узнать домен вы тоже не можете - eSNI.
Причём тут eSNI вообще? Как ты заставишь его работать, когда злые дяди режут все запросы от тебя на 1.1.1.1:443 и т.п.?
> Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию:
> - рубить все соединения, где не видно SNI и надеяться, что приложение, не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к условному Ростелекому, который может себе позволить блокировать не так строго (и платить штрафы по 50к за пропуски хоть каждый день)
Или зарезать сам DoH? Кстати, браузеры пока отказываются не от fallback-поведения, а от DoH. Упс?
> - ставить соединение на паузу и обнюхивать запрошенный IP на наличие там веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, что это DoT и рубить. Вы снова в заднице, потому что абонентам такое тормощогло вместо интернета нафиг не нужно.
Или делать это отложенно. Задавать DoH-запрос во все 443 порты, что в логах попадаются и постепенно пополнять базу DoH-серверов, когда оно тебе ответило - это вообще ни разу не рокет сайенс. Моментальность тут и не нужна. Достаточно это делать быстрее, чем пользователь будет готов менять конфиг DNS на машине. Ведь обычно DNS-сервер описан ip-адресом, а не DNS-именем, по очевидным причинам.
> - составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько адресов, что он хоть каждые 5 минут может их менять. После того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся и... да, вы снова в жопе
Забанят подсетью сразу всю клаудфлеру, если будет такая задача. Проблема-то. Потом cloudflare удалит "проблемную запись из DNS" и разбанят обратно.
И в любом случае, вы предлагаете пользователям переписывать ip резолвера снова и снова, после каждой блокировки. Наивно надеяться, что кто-то будет так делать.

Исходное сообщение
"В Великобритании Firefox не будет использовать DNS-over-HTTP..." Отправлено Дон Ягон, 07-Июл-19 02:24
> Никогда не догадается. На IP-адресе не висит табличка "тут резолвер". Не висит. Зато не резолверах "висит табличка с написанным IP". > Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, что вы (DPI) знаете. Это не просто хост гугла/клаудфлера, а конкретный хост. Конкретный ip. Ну там, 1.1.1.1, 4.4.4.4 - да что я рассказываю? > Заглянуть в SNI и узнать домен вы тоже не можете - eSNI. Причём тут eSNI вообще? Как ты заставишь его работать, когда злые дяди режут все запросы от тебя на 1.1.1.1:443 и т.п.? > Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию: > - рубить все соединения, где не видно SNI и надеяться, что приложение, не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к условному Ростелекому, который может себе позволить блокировать не так строго (и платить штрафы по 50к за пропуски хоть каждый день) Или зарезать сам DoH? Кстати, браузеры пока отказываются не от fallback-поведения, а от DoH. Упс? > - ставить соединение на паузу и обнюхивать запрошенный IP на наличие там веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, что это DoT и рубить. Вы снова в заднице, потому что абонентам такое тормощогло вместо интернета нафиг не нужно. Или делать это отложенно. Задавать DoH-запрос во все 443 порты, что в логах попадаются и постепенно пополнять базу DoH-серверов, когда оно тебе ответило - это вообще ни разу не рокет сайенс. Моментальность тут и не нужна. Достаточно это делать быстрее, чем пользователь будет готов менять конфиг DNS на машине. Ведь обычно DNS-сервер описан ip-адресом, а не DNS-именем, по очевидным причинам. > - составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько адресов, что он хоть каждые 5 минут может их менять. После того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся и... да, вы снова в жопе Забанят подсетью сразу всю клаудфлеру, если будет такая задача. Проблема-то. Потом cloudflare удалит "проблемную запись из DNS" и разбанят обратно. И в любом случае, вы предлагаете пользователям переписывать ip резолвера снова и снова, после каждой блокировки. Наивно надеяться, что кто-то будет так делать.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру