Провайдер блочит https или же просто тупит сервер?

https, роскомнадзор, ростелеком, цензура

0

2

Предыстория:

Перестала работать сетевая игра (LoL) сразу на двух компах в сетке.
Выяснил что это из-за того что игра не может соединиться по https с сервером обновлений.

Проблема в том что невозможно установить соединение с https://riotgamespatcher-a.akamaihd.net
Это какой-то контент провайдер, и там видимо используется GeoIP, т.к. со своего компа и с VPS в другой стране получаю разные ip для этого хоста.
Выбираю IP 88.221.144.146 для чистоты эксперимента.

Делаю:

openssl s_client -connect 88.221.144.146:443

Вывод:

CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1463088856
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Вывод tcpdump:

01:53:12.535528 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [S], seq 1174005864, win 29200, options [mss 1460,sackOK,TS val 148474721 ecr 0,nop,wscale 7], length 0
01:53:12.617011 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [S.], seq 3327165184, ack 1174005865, win 28960, options [mss 1460,sackOK,TS val 1808023594 ecr 148474721,nop,wscale 5], length 0
01:53:12.617045 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [.], ack 1, win 229, options [nop,nop,TS val 148474802 ecr 1808023594], length 0
01:53:12.617614 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [P.], seq 1:309, ack 1, win 229, options [nop,nop,TS val 148474803 ecr 1808023594], length 308
01:53:12.699505 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [.], ack 309, win 939, options [nop,nop,TS val 1808023676 ecr 148474803], length 0
01:53:12.701212 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327165185, win 0, length 0
01:53:12.701365 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327166625, win 0, length 0
01:53:12.701425 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327168065, win 0, length 0

В конце три подозрительных RST пакета.
Такое бывает при нормальном закрытии соединения?

Тоже самое с VPS проходит без ошибок.
Это меня провайдер фильтрует как-то криво или может просто akamaihd.net тупит?
Провайдер - Башинформсвязь, он вроде под Ростелекомом.

К сожалению на следующий день всё уже заработало, так что теперь возможен только ретроспективный анализ. Помечаю как «решённое», хотя конечно ничего не решено.

Ссылка

←	phpVirtualBox ошибка

Подскажите программу для визуализации точек на сетке

→

Другие сайты с https доступны?

Vsevolod-linuxoid ★★★★★
(13.05.16 01:01:26 MSK)

У меня ссылка открывается. Ростелеком.

mittorn ★★★★★
(13.05.16 01:01:40 MSK)

Ссылка

Открывается, чебурашка. Наверное тебя просто админ забанил.

anonymous
(13.05.16 01:03:45 MSK)

Было бы хорошо tcpdump с ключиком -v, чтобы было видно ttl. Потом сравнить результат с соединениями на другие порты - 22, 80, 3306, можно вообще от балды какой-нибудь взять, главное чтобы ответ был. Если особых различий не будет, то сравнить все это с каким-нибудь другим IP из того же /24 блока.

anonymous
(13.05.16 01:54:02 MSK)

Ответ на: комментарий от anonymous 13.05.16 01:03:45 MSK

админ забанил

На CDN'е, ага.

i-rinat ★★★★★
(13.05.16 02:56:54 MSK)

Ссылка

Ответ на: комментарий от Vsevolod-linuxoid 13.05.16 01:01:26 MSK

Да, другие вроде все работают, не заметил больше проблем.

Nao ★★★★★
(13.05.16 08:03:04 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 13.05.16 01:03:45 MSK

Да я сам себе админ локалхоста, выше меня только провайдер.

Nao ★★★★★
(13.05.16 08:05:49 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 13.05.16 01:54:02 MSK

К сожалению сегодня всё уже работает. Дамп я вчера всё же сохранил, вот выхлоп с -v:

01:53:12.535528 IP (tos 0x10, ttl 64, id 25353, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [S], cksum 0x9de8 (correct), seq 1174005864, win 29200, options [mss 1460,sackOK,TS val 148474721 ecr 0,nop,wscale 7], length 0
01:53:12.617011 IP (tos 0x0, ttl 52, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [S.], cksum 0xa989 (correct), seq 3327165184, ack 1174005865, win 28960, options [mss 1460,sackOK,TS val 1808023594 ecr 148474721,nop,wscale 5], length 0
01:53:12.617045 IP (tos 0x10, ttl 64, id 25354, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [.], cksum 0x483e (correct), ack 1, win 229, options [nop,nop,TS val 148474802 ecr 1808023594], length 0
01:53:12.617614 IP (tos 0x10, ttl 64, id 25355, offset 0, flags [DF], proto TCP (6), length 360)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [P.], cksum 0x212e (correct), seq 1:309, ack 1, win 229, options [nop,nop,TS val 148474803 ecr 1808023594], length 308
01:53:12.699505 IP (tos 0x0, ttl 52, id 50042, offset 0, flags [DF], proto TCP (6), length 52)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [.], cksum 0x43f1 (correct), ack 309, win 939, options [nop,nop,TS val 1808023676 ecr 148474803], length 0
01:53:12.701212 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xf123 (correct), seq 3327165185, win 0, length 0
01:53:12.701365 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xeb83 (correct), seq 3327166625, win 0, length 0
01:53:12.701425 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xe5e3 (correct), seq 3327168065, win 0, length 0

Соединение на 80 порт по TCP, а так же ICMP ping тоже возращает пакет с TTL 52.
На других IP из этого блока разный ttl, например на 88.221.144.145 ttl тоже 52, а на 88.221.144.1 уже 244.
А что это даёт? Это могут быть разные машины или разные ОС, они вроде как не обязаны давать одинаковые TTL.

Nao ★★★★★
(13.05.16 08:27:50 MSK) автор топика

Ответ на: комментарий от Nao 13.05.16 08:27:50 MSK

Думал, что если провайдер вылавливает трафик на 443 порт/этот IP, то будет другой ttl. А так - все выглядит на удивление валидно.

Адреса вида X.X.X.1 зачастую принадлежат всяким роутерам, у cisco и d-link'а, в частности, дефолтный ttl равен именно 255.

anonymous
(13.05.16 09:44:51 MSK)

Ответ на: комментарий от anonymous 13.05.16 09:44:51 MSK

Ясно.
Меня только смущают три подряд идущих RST. Зачем их три штуки? И это не случайность, я вчера дампил это подключение несколько раз и везде оно заканчивалось тремя RST.

Nao ★★★★★
(13.05.16 10:00:00 MSK) автор топика

Ответ на: комментарий от Nao 13.05.16 10:00:00 MSK

Есть pcap? Если в IP-пейлоаде по смещению 4 было 4 байта нулей, и по 0x20 было 0x50140000, то это был DPI Ростелекома.

ValdikSS ★★★★★
(15.05.16 03:28:11 MSK)

Ответ на: комментарий от Nao 13.05.16 10:00:00 MSK

На всякий случай, чтобы таких казусов больше не происходило:

# iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP DPI" -j DROP

# iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS DPI" -j DROP

ValdikSS ★★★★★
(15.05.16 03:29:56 MSK)

Ссылка

Ответ на: комментарий от ValdikSS 15.05.16 03:28:11 MSK

по смещению 4 было 4 байта нулей

Поле IP Identification? Нет, оно имеет значение отличное от нуля (кроме второго пакета в дампе), на листинге которое я приводил выше обозначено как «id».