Имеется ли в ip пакетах что-то, что может идентифицировать девайс?

Это не так. Есть ещё CDN типа cloudflare

Так инет мобильный?

Наглость мобильных интернет провайдеров

Не обходится ограничение MTS на раздачу интернета при смене TTL

и пр.

Не, два пк. Телефон просто вспомнился как пример того, что оператор умеет его отличать от десктопа. Как я понял из постов выше - в случае с телефоном создается два различных интерфейса в сеть опсоса, дальше тупо мониторится откуда трафик течет

два пк

А смысл тогда провайдеру резать скорость? Может настройки какого-нибудь MTU разные?

А смысл тогда провайдеру резать скорость?

Например - наказать за слишком активное использование трансграничных каналов, дать по рукам за обход чебурнетных блокировок, ну и данные каналы разгрузить. Чем не причина? Может обкатывают какую-нибудь новую хрень

Может настройки какого-нибудь MTU разные?

Не знаю, может вообще с моим маршрутизатором проблемы, была странная ерунда, пытаюсь понять что это было

Ютуб блокируют по https и не блокируют по quic. Не могут отличить трафик от плей мркета.

И мне ещё вот что думается - очень странно, что до сих пор в рф не догадались пихать в заголовки ip пакетов id’шники. Тупо обязать провайдеров присваивать каждому регистранту уникальный номер, который будет добавляться в заголовки всех пакетов, перед переходом границы данный номер можно удалять. Так можно выявить львиную долю всех vpn/proxy, которые, очевидно, имеют уникальный почерк. Ну а дальше от бана, до 5 лет строгача

Heartbleed так быстро проветрился, что твое поколение даже не в курсах чо там было.

опять пассивная агрессия… много, наверное, было трусторей как читая по 64 килобайта данных из памяти пентагон взломали, ну или хотя бы базу сдампили…

хотя бы по ширине текст растяни

не буду

Что такое NAT ты не знаешь, верно?

Имеется ли в ip пакетах что-то, что может идентифицировать девайс?

Самое очевидное - TTL. Кроме TTL опсосы могут использовать идентификацию десктопного подключения по имени домена на которые идёт то, или иное подключение, по используемым протоколам, и паттернам нагрузки. Способов однозначной идентификации девайса нет. Видимость MAC-адреса не выходит за пределы канального уровня, и, следовательно, отдельной LAN. Кроме того, MAC-адрес легко можно изменить на большинстве ОС.

При чём тут убунту? Убунту возьмёт сертификаты из центров сертификации, тех, где сидят нужные агенты. А нету других центров и других сертификатов!

Который настраивается двумя заинтересованными в идентификации субъектами? Да, там определённо нет маркировки модемного трафика!

Который настраивается двумя заинтересованными в идентификации субъектами?

Вы о чём?

Голоса в голове видимо

Я же писал: некоторые крупные операторы в США были заинтересованы в способе отделять модемный трафик и гугл сделал им хорошо.

А кроме тебя кто-то это писал?

и гугл сделал им хорошо.

А ссылочкой на исходный материал поделиться можете?

https://browserleaks.com/

Технически сложно весь стек протокол на разных устройствах переделать. В Китае ЕМНИП попытка такого была, не знаю вышло или нет

присваивать каждому регистранту уникальный номер, который будет добавляться в заголовки всех пакетов

Вообще-то это давно часть стандартов IPv4 и IPv6. Адрес источника называется. В качестве побочной задачи, этот номер подсказывает приемнику, куда слать пакеты с ответом.

TTL. Могут быть и другие признаки, но чаще всего распознают именно по TTL. А так посмотри на Википедии формат IP пакета, там не так много полей.

Ага, только машину времени прогрею чтобы загуглить в инете ~2015 года где именно я это читал.

Что мы имеем по факту: Есть задача от как минимум AT&T в 2013 году (см примечания к версиям андроида 2.2...5 на википедии), персонально для которых гугл реализовал отключение юсб-модема при втыкании их симок. Есть поля tcp/ip, которые могут отличаться для тех и этих пакетов (не считая очевидного ttl, которого хватает оператору в большей части случаев). Есть возможность установить DPI и не усложнять ему работу. И разумеется есть свидетельства успешного ограничения операторами розданного трафика. Под этот вопрос даже Госдума в 2023 году проснулась.

Так что не, разумеется там ничего такого нету.

QsUPt7S Нет, извиняйте, я не буду вычёсывать всё что я читал с 2012 по 2017.

«Адрес источника» может быть одинаковым для разных (географически даже) серверов

Нет, извиняйте, я не буду вычёсывать всё что я читал с 2012 по 2017.

Просто я ни о чём таком ни разу не слышал, и смог лишь нагуглить упоминание, что операторы связи просили Google удалить возможность тетеринга. Либо сами устанавливали ограничивающее ПО на залоченные под оператора устройства.

Чисто теоритически, маркировка разных видов трафика, возможна на канальном уровне, при поддержке как со стороны прошивки, так и со стороны оборудования опсоса, однако в реальности, такое сложно представить.

«Адрес источника» может быть одинаковым для разных (географически даже) серверов

Речь, насколько я понимаю, шла об идентификации клиентов посредством маркировки трафика, а не о том, что целевой сервер может быть за CDN. Сочетание клиентского ip-адреса, номер порта, и времени подключения позволяют в точности идентифицировать клиента провайдеру, ведущему логи, даже в случае NAT от провайдера и динамической выдачи адресов.

Если же Вы об IP-спуфинге, то большинство провайдеров тупо режет трафик с неправильным адресом источника. Вроде даже на оффтопике порезали возможность открытия raw-сокетов. Кроме того, ip-спуфинг подходит для для атак, но малопригоден для организации связи.

Ну, кроме ttl есть ещё исходящий адрес пакета и кажется ничто не мешает одному устройству создавать 2 потока трафика или напримр (теоретически) не применять NAT к транзитному потоку и пусть он идёт с ПК от адреса 192,168,42/43,1 прямо к оператору. Там сервер разберётся. Ещё думаю можно поиграть портами, выделив один диапазон для приложений андроида и другой для модема. Или замаркировать один из потоков характерным размером пакетов например.

Насчёт «трудно представить» не согласен. Вот этот базовый трюк с ttl это именно оно и есть. Очень просто и легко обходимо, но в принипе работает до сих пор. Особенно когда смартфоны стали почти нерутуемые.

Ага, только машину времени прогрею чтобы загуглить в инете ~2015 года где именно я это читал.

Т.е. фантазии, ясно.

не применять NAT к транзитному потоку

И как Вы себе это представляете? Телефон в режиме моста? Я о таком ни разу не слышал, да и сильно вряд ли, что такое вообще возможно, так как десктопу нужно знать, как минимум, адрес шлюза.

и пусть он идёт с ПК от адреса 192,168,42/43,1 прямо к оператору. Там сервер разберётся.

Не разберётся. Диапазон 192.168.0.0/16 зарезервирован для организации частных сетей.

Ещё думаю можно поиграть портами, выделив один диапазон для приложений андроида и другой для модема. Или замаркировать один из потоков характерным размером пакетов например.

Что опять же, потребует поддержки как со стороны прошивки, так и со стороны оборудования опсоса. Потому и сложнопредставимо в реальном мире.

трюк с ttl

Этот «трюк» ни разу не маркировка, тем более специальная, а уродливый костыль, придуманный в приступе амфибиотропной асфиксии, и маркетинга головного мозга. Основан на предположении, что все ip-пакеты будут иметь начальный TTL равный 64. Костыль, как Вы верно заметили, ломается как настройкой телефона, так и настройкой десктопа, но весьма уродлив, так как основан на предположениях и не может отличить даже traceroute от тетеринга.

Также андройд поднимает NAT и дальше уже фигурирует ip-адрес внешнего интерфейса андройда.

Если, конечно, он не поставил корневой сертификат Минцифры…

В сеть оператора смотрит только один интерфейс.

А не стоит ли на телефоне приложение провайдера? Если да, то при включении тетеринга лучше его принудительно останавливать. С Йотой работает (по крайней мере у меня).

нахера какие-то id придумывать. :)
сам задумка ip была в этом чтобы всякий пользователь использовал свой статичный ip адрес, но ipv4 быстро кончился и темка «не проканала». и провайдеру приходится хранить логи под какими динамическими ip и портами выходил в сеть каждый пользователь.
с ipv6 авось все прощее будет.

ну вы блин месье прям америгу открыли !!
не может быть адрес источника идентичен для разных серверов. эт физиологическая потребность сети.
вы наверн с балансировщиком нагрузки / реверс-прокси спутали.

С появлением квантовых компьютеров ассиметричной криптографии остались считаные годы

Осталось только отделить результаты расшифровки от белого шума и как только, так сразу. С квантовыми компьютерами «в железе», а не в теории, пока ещё сильно так себе, насколько я в курсе.

Всё гораздо проще.

Сам процессор, согластно задания внутренней прошивки, регулярно, минуя и установленную ОС и БИОС системы отравляют достаточно полную инфо на сайты производителя чипсетов. Причём в открытом виде, без шифрования, только определённое кодирование.

Этим «балуется» большинство,- и многие версии Квалкома/Снапдраконы, и Мотороллы, и китайско/корейские процы.

Если есть у кого желание, поищите, где-то год назад была подробная инфо о моделях и версиях процев/чипсетов.

Провайдеру остаётся только отследить такой пакет ….

Писали, что отправлялись, в том числе: ИМСИ, версия операционки, МАК и ИП-адрес, сеть оператора, язык системы, и т.д.

Если есть у кого желание, поищите, где-то

Уважаемый (нет), если вы приносите куда либо конспирологический бред, потрудитесь самостоятельно снабдить его ссылками. Бремя предъявления доказательств или источников информации лежит на вас, а не на читателях вашего бреда.

Так что потрудитесь самостоятельно найти ту самую «подробную инфу» и на неё сослаться. А до этого момента лично я буду считать вас долбозвоном в шапочке из фольги.

Я не думаю, что это бред…, а тем более конспирология.

Как Вы видели, я упоминал, что писали.

Ниже прикладываю «упрощённую» ссылку, без тех.деталей. https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/

Более расширенную не сохранил, Уважаемый.

Ссылкой удовлетворён, благодарю. На будущее, никогда не посылайте читателей самостоятельно искать подтверждение ваших же слов (так только режиссёру Михалкову и Сергею Дружко можно поступать), прикладывайте ссылку на источник самостоятельно, вам же это было не трудно? Это собсно то на что я бомбанул. Очень не люблю вот этого вот я.

Но я не исключаю то, что конторы, выпускающие сертификаты типа REG.RU и тп тупо сливают их гебне, те весь трафик такой скорее всего расшифровывается…

Чтобы слить что-то гебне, надо иметь закрытые ключи. Которых у рег.ру, разумеется, нет.

Давай ты перестанешь путать сертификаты и ключи. Не существует доверенного сервера ключей, ключи вообще не покидают сервер.

Повторяю ещё раз, ssl шифрование может дешифровываться оборудованием сетей магистральных провайдеров.

Класс, а можно мне тоже такое оборудование?

не может быть адрес источника идентичен для разных серверов. эт физиологическая потребность сети.

Вот это поворот! NAT вышел из чата.

Да уже, с такими девайсами и враги не нужны

Но по твоей ссылке написано совсем другое. Запросы делает драйвер, запущенный на самом устройстве. Никаких процессоров, минующих установленную ОС, тут нет.

Блин, да у нас в законах чётко прописано: предоставить возможность такой подстановки по запросу органов/спецслужб. А в Казахстане ещё и юзеры обязаны установить правильный сертифиикат в систему - там меньше денег на оборудование выделено, нужно было атаку упростить.

В Казахстане на практике обломались с этой обязательной установкой просто потому, что есть кучи девайсов куда что-то добавить сильно непросто - от игровых приставок до автомобильных компов и промышленного оборудования.

С такой паранойей лучше проверять купленное мороженное на наномашины

Или купленные девайсы на взpвчaтку в аккумуляторе, хотя постой...

https://github.com/Kicksecure/tirdad

А вот такое любишь?)))

расскажи как NAT может сделать чтобы «Адрес источника» может быть одинаковым для разных (географически даже) серверов :)

Зачем айдишники какие-то? Надо просто красить пакеты, если красный, значит свой отечественный, а вражеские синие блокировать. Жёлтые можно пускать, но проверять.