История изменений
Исправление Shaman007, (текущая версия) :
Слышал звон, но не знает где он.
Короче, суть такова, что они теперь начинают сессию с очень маленьким окном, чтобы DPI не смог собрать SNI и тем самым заблокировать сайт с HTTPS. Потому что DPI не собирают фрагменты. Часто задаваемые вопросы:
- В: он первый такой умный? О: нет.
- В: а что будет, если DPI будет собирать фрагменты? О: можно будет смешно троллить его админа, отправляя пакеты минимального размера с множеством мусорных заголовков. Ну, то есть грубо: чтобы задетектить SNI в 150 байт заставить прожевать 150 пакетов. Звучит не очень страшно, пока не кончается control plane.
- В: а почему тогда у некоторых операторов все-таки блокируется? О: Давят мелкие пакеты, давят все фрагментированные пакеты, блокируют по IP, внедряют собственный корневой сертификат как в Казахстане. Все эти решения приносят разные проблемы.
- В: это что же получается, что системы глубокого анализа трафика уровня оператора - бесполезная трата денег? О: ну почему же бесполезная, интеграторы на этом хорошо заработали. А чего добился ты?
- В: где сейчас Вадим Ампелонский? Что-то давно его не видно. О: Он на сгущенке. Такие дела!
Исправление Shaman007, :
Слышал звон, но не знает где он.
Короче, суть такова, что они теперь начинают сессию с очень маленьким окном, чтобы DPI не смог собрать SNI и тем самым заблокировать сайт с HTTPS. Потому что DPI не собирают фрагменты. Часто задаваемые вопросы:
- В: он первый такой умный? О: нет.
- В: а что будет, если DPI будет собирать фрагменты? О: можно будет смешно троллить его админа, отправляя пакеты минимального размера с множеством мусорных заголовков. Ну то есть грубо: чтобы задетектить SNI в 150 байт заставить прожевать 150 пакетов. Звучит не очень страшно, пока не кончается control plane.
- В: а почему тогда у некоторых операторов все-таки блокируется? О: Давят мелкие пакеты, давят все фрагмегнтированные пакеты, блокируют по IP, внедряют собственный корневой сертификат как в Казахстане. Все эти решения приносят разные проблемы.
- В: это что же получается, что системы глубокого анализа трафика уровня оператора - бесполезная трата денег? О: ну почему же бесполезная, интеграторы на этом хорошо заработали. А чего добился ты?
- В: где сейчас Вадим Ампелонский? Что-то тавно его не видно О: Он на сгущенке. Такие дела!
Исходная версия Shaman007, :
Слышал звон, но не знает где он.
Короче, суть такова, что они теперь начинают сессию с очень маленьким окном, чтобы DPI не смог собрать SNI и тем самым заблокировать сайт с HTTPS. Потому что DPI не собирают фрагменты. Часто задаваемые вопросы:
- В: он первый такой умный? О: нет.
- В: а что будет, если DPI будет собирать фрагменты? О: можно будет смешно троллить его админа, отправляя пакеты минимального размера с множеством мусорных заголовков. Ну то есть грубо чтобы задетектить SNI в 150 байт заставить прожевать 150 пакетов.
- В: а почему тогда у некоторых операторов все-таки блокируется? О: Давят мелкие пакеты, давят все фрагмегнтированные пакеты, блокируют по IP, внедряют собственный корневой сертификат как в Казахстане. Все эти решения приносят разные проблемы.
- В: это что же получается, что системы глубокого анализа трафика уровня оператора - бесполезная трата денег? О: ну почему же бесполезная, интеграторы на этом хорошо заработали. А чего добился ты?
- В: где сейчас Вадим Ампелонский? Что-то тавно его не видно О: Он на сгущенке. Такие дела!