Имеется ли в ip пакетах что-то, что может идентифицировать девайс?

Зайди на 2ip.ru и посмотри сведения о браузере.

Там есть строка useragent, в которой указывается версия браузера, дополнительно передается локаль, время, версия операционной системы косвенно, внешний ip адрес.

Сайту, куда ты заходишь этой информации или части достаточно, чтобы идентифицировать тебя, даже если ты сменишь браузер или будешь за ВПН, достаточно совокупности прочих параметров.

в пакетах что-то укаывает на девайс

мак-адрес передается, те провайдер видит айпи и мак-адрес… но там просто пакеты анализируются, их структура, и их отправка блокируется, если распознается протокол wireguard

Скорее всего провайдер различает разные девайсы по ttl.

MAC-адрес работает на короткой дистанции - от одного хопа до следующего.

Там есть строка useragent

И она идет незашифрованной в трафике? Предположително доступ резал не сайт, к которому я коннектился, а посредники со своими dpi

Оборудование провайдера может расшифровывать https / ssl пакеты даже не имея закрытого ключа ssl.

В контексте блокировок, помню видел, что мол кто-то юзал телефон как модем для ПК, и последнему блочили доступ на условный ютуб, хотя для телефона блоков нет.

Если опсос в этом деле замешан, то он может использовать ttl для определения того, что телефон используется как модем.

не может. иначе бы парашную рекламу встраивали как в http

Может ))) Задача провайдера анализировать трафик.

Плюс имя домена, к которому даже в рамках ssl пакета отправляется запрос передается в открытом виде.

Я тебе не говорю про подмену ssl сертификата, а про то, что оборудование провайдера, конечно не твоего оконечного, а магистрального может дешифровать ssl пакет.

Плюс доменное имя сайта, куда идёт запрос передается в открытом виде.

Иначе бы меня давно расстреляли. Там все работает так: сервер тебе шлет публичный ключ, ты генерируешь сессионный и отправляешь ему, затем сервер расшифровывает его закрытым, а потом клиент и сервер оба используют этот сессионный ключ для кодирования/декодирования сообщений. Отсюда это казахское ноу-хау с подменой сертификатов (предустановленными сертификатами)

Только если не используется Encrypted Client Hello (ECH).

Нет. Доменное имя зашифровано. В заголовках айпи-адрес сервера, а по нему и так ясно на какой сайт запрос, так как на одном айпи сидят говно-сайты на шаред хостингах

И что ))) Верь дальше, что твою переписку никто не читает. Просто ты нафиг никому сейчас не нужен, как неуловимый Джо.

Повторяю ещё раз, ssl шифрование может дешифровываться оборудованием сетей магистральных провайдеров.

Инкапсулируйся глубже.

Этому столику больше не наливать.

Под пакетом подразумевается тело, в которое можно понапихать что угодно на уровне приложения, или заголовок, описание структуры которого можно легко загуглить?

Как минимум при установке client hello tls 1.2 ты в явном виде передаешь на ip сервера с каким доменом ты хочешь установить ssl соединение и в client hello в открытом виде передается имя домена.

Нет. Не может. Сессионный ключ расшифровать нельзя… ну сбрутить. Но я не исключаю то, что конторы, выпускающие сертификаты типа REG.RU и тп тупо сливают их гебне, те весь трафик такой скорее всего расшифровывается… Если ты про это, то оно очевидно. Если же про случаи, когда сертификат выпустила не шаражкина контора с гебней в руководстве, то там никак не расшифровать… И трафик либо метаданные (данные о сессии) хранят провайдеры, их обязывают это делать в ряде государств: Китай, Индия, США, РФ, Франция, Германия и Великобритания. Остальные 300 стран мира в тч Нидерланды, не парятся по этому поводу

Это всё передаётся в поле юзерагента браузером а не ip пакета. По теме, в ip пакете можно по полю времени жизни ttl угадать os (оно меняется вовремя прохождения но всёже).

Очевидно, что интересует незашифрованная часть.

или заголовок, описание структуры которого можно легко загуглить?

А толку? Ну вот гугление даёт инфу, что с 160 по 448 бит заголовка можно напихать любую инфу в ip заголовок, и как это используется (и используется ли вообще) у меня никакой инфы нет. Мож современные браузеры решили пихать туда session id для «better experience for end user». А есть ещё вышестоящие протоколы - tcp, https, и наверняка и туда можно сунуть какой-нибудь шлак

Wireshark запусти и проверь. (Но смысла в этом нет, если бы это вскрылось, то вонь бы на весь инет стояла)

Доменное имя передается в открытом виде

Я тебе не говорю про подмену ssl сертификата, а про то, что оборудование провайдера, конечно не твоего оконечного, а магистрального может дешифровать ssl пакет.

Твоё утверждение ставит под сомнение вообще всю ассиметричную криптографию как явление. Поэтому тебе его надо как-то обосновать получше.

Скорее всего провайдер различает разные девайсы по ttl.

ЕМНИП ещё есть ряд критериев по TCP заголовкам, под разными ОС иногда по-разному выбирается sequence number и клиентские порты, так можно андройд от винды отличить например.

да. это специально внедренная в шифроканал дырка называется Server Name Indication дозволяющая на одном ip иметь несколько https со своими доменнными именами и своими сертификатами. в ней имя домена передавалось в открытую.

прикрыта сия дырка раcширением SNI до eSNI (Encrypted SNI) draft-ietf-tls-esni в котором сначала скачивается ключ, потом шифруется имя и в соединении отправляется уже шифрованное имя, сервер расшифровывает имя и выдает соединение с нужным сайтом со всеми своими сертификатами на имя.
кое-где уже пользуется и давно.

он просто в это верит :)
математики же покамест не нашли варианта вскрыть tls за удобоваримое время даже на оборудовании размером в страну…

В теле DNS-запроса, если не используются DoH, DoT, DoQ. При запросе же к сайту, имя хоста передается в заголовках, те оно будет зашифровано при использовании https, но так как айпи сервера все равно виден, то это уже не важно.

прикрыта сия дырка раcширением SNI до eSNI (Encrypted SNI)

Это вариант. Нашёл различие между двумя девайсами: первый - винда с хромым, на нём SNI по дефолту; Второй - линукс с лисой, на ней, оказывается, eSNI по дефолту. Как вариант - DPI смотрит и думает: «ах ты, сцука, вздумал шифровать от меня что-то, хрен тебе, а не скорость»

PS: проверить eSNI у себя здесь

что мол кто-то юзал телефон как модем для ПК, и последнему блочили доступ на условный ютуб, хотя для телефона блоков нет

C где то 4+ версии андроида операторы попросили гугла навести порядок среди пользователей модемов, и гугл придумал пометить режим модема отдельным интерфейсом и адресом. Т.к. это на этапе андроид-оператор - весьма сложно от этого избавиться. Скорее всего тут нужен или хитрый тунель или кастомная прошивка на эту тему. Но может хватит и файервол покрутить на рутованом андроиде.

По исходящему ip. Андроиды поднимают отдельный интерфейс с отдельным адресом для режима модема.

Не важно, какой используется резолвер, доменное имя передается в запросе к сайту в открытом виде

Там в этой концепции есть понятие доверенного сервера ключей. да не, быть не может что кто то положит туда свои ключи, сервер распостранит их как доверенные, а этот кто то использует их для атаки «человек посередине» зашифровав соединение своим ключом и общаясь с целью от твоего имени.

может расшифровывать https / ssl пакеты даже не имея закрытого ключа ssl.

Кхм. Нет. Более того, даже имя закрытый ключ, расшировать TLS не получится. Возможно, ты говоришь про ранние версии SNI

для телефона блоков нет

Это не так

Следовательно гипотеза - в пакетах что-то укаывает на девайс

Да, но не в этом дело. Возьми tcpdump/wireshark и проверь

начти читать с GoodbyeDPI, дальше разберешься

libastral.so и не такое может

Доверенные сертификаты определяются поставщиком обновлений на твою ОС, например в виде пакета ca-certificates на линуксах, а также вручную добавленными в хранилище центрами сертификации. Ни твой непосредственный провайдер, ни магистральный провайдер, не имеют туда доступа.

Откуда такие сведения? Не вижу никаких отдельных интерфейсов.

Носители «мифологического сознания» всегда возмещают недостаток знания верой. Причём для них разницы между верой и знанием нет, однажды уверовав во что то они уже не подвергают эти догмы сомнению.

В этом нет ничего плохого кстати, при таком способе мышления жизнь становится простой и удивительной как в сказке.

Твоё утверждение ставит под сомнение вообще всю ассиметричную криптографию как явление

С появлением квантовых компьютеров ассиметричной криптографии остались считаные годы. При большом желании расшифровать наверное могут уже сейчас. Но уж точно не в потоке всех, как бредит kostik87

З.Ы. загугли постквантовую криптографию. Последние несколько лет идет выбор и стандартизация новых алгоритмов (чсх, пытались с бэкдорами, но их спалили)

Тот который 192.168.42.129 со стороны ПК. На сторон оператора он выглядит не так же как приложения андроида. Тема немного обсуждалась ~5-7 лет назад, но всем как всегда было пофиг, ведь пострадавших максимум пара процентов.

Ни твой непосредственный провайдер, ни магистральный провайдер, не имеют туда доступа.

Теоретически. Если туда и туда не внедрено своего человека...

Блин, да у нас в законах чётко прописано: предоставить возможность такой подстановки по запросу органов/спецслужб. А в Казахстане ещё и юзеры обязаны установить правильный сертифиикат в систему - там меньше денег на оборудование выделено, нужно было атаку упростить.

А в Казахстане ещё и юзеры обязаны установить правильный сертифиикат в систему

Да и рф с этой задачей неплохо справляется

Теоретически. Если туда и туда не внедрено своего человека…

Если внедренный агент ФСБ все же попытается добавить свои сертификаты в какую-нибудь убунту, его остановят внедренные туда агенты ЦРУ и Моссада, все логично

С такой паранойей лучше проверять купленное мороженное на наномашины

Если я не ошибаюсь, то на втором уровне модели OSI (если смотреть в wireshark), по маку в source высвечивается производитель девайса

P.S> а вообще глупый конечно вопрос. Большой брат всё видит…=)

Мак только в ethernet живёт. Да, по маку можно производителя угадать, но мак устройства дальше роутера не уходит.

Большой Брат, который в оригинале Старший, видит не всё, а только то что технически может.

Демонизировать и мифологизировать контроль не надо, это не Всевидящее Око, которое видит как ты трогаешь себя там...

Хм. Вообще интересно. Видимо я нашёл себе занятие в выходной день. Сдую пыль, расчехлю сниффер и поиграюсь с параметрами…
Так сказать освежу базовые компетенции по сетям.

Если внедренный агент ФСБ все же попытается добавить свои сертификаты в какую-нибудь убунту, его остановят внедренные туда агенты ЦРУ и Моссада, все логично

Ну если СА отечественный, то к ним можно наведаться на огонёк с пустой пол литрой. Зря что ли ЦОДы строили. И ничего никуда внедрять не нужно (кроме пол литры)

вонь бы на весь инет стояла

Heartbleed так быстро проветрился, что твое поколение даже не в курсах чо там было.

ЗЫ ты в разделе «о нас» хотя бы по ширине текст растяни, или сейчас лесенкой модно?