Veil
26.04.2018, 20:33
Эту статью вынудил написать сам Роскомнадзор, с его последними деяниями.
Сам обход очень прост и незатейлив, как грабли. Тулза сделана для любого пользователя, который может кликнуть мышью два раза на екзешник. Настроек нет никаких, как говориться - все вшито.
Короче говоря не тулза, а сказка. Называется эта программа GoodbyeDPI.
Достоинство:
Нет никаких потерь с пингом и со скоростью соединения.
Абсолютно бесплатна.
Это кошерно. Мы не обходим через прокси, ТОР, VPN. Мы идем напрямую через провайдера, как истинные юзеры.
Разработана как Винду, так и на Линукс.
Как её ставить я расскажу в конце статьи, а сейчас немного интересной " матчасти".
- В топку матчасть не в институте, давай тулзу! Надоело учиться, хочу по порносайтам лазить, мне уже есть 18лет. Для чего она нам нужна твоя матчасть?
- Для понтов! Что бы потом Вы могли гордо сказать, что обходите Роскомнадзор через DPI, как истинный юзер, а не как ламерюга через ТОР. И что бы хотя бы приблизительно знали как работает ваш зловещий СОРМ.
Матчасть.
Роскомнадзор составляет свои черные списки и отправляет их провайдеру, который на основании их и банит.
У провайдера стоит система " СКАТ" Система Контроля и Анализа Трафика, который и блокирует сайты.
Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.
Статистика применяемых блокировок https://habr.com/post/229377/
Существует два распространенных типа подключения DPI: пассивный и активный.
Выглядет схематично это так.
Пассивный DPI
Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.
Активный DPI
Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.
Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.
[/SPOILER]
Не буду саморачивать читателей умными выражениями, скажу прощеDPI -это как файервол, только круче, мощнее и страшнее. Эта та хрень, с помощью которой узнают, что вы качали пиратские фильмы с торренов.
Кому будет интересно, а будет интересно ведь там СОРМ.
Цитирую:
Спецслужбы
В конце хотелось бы сказать пару слов о том, для чего также закупается DPI, кроме как для издевательств над абонентами. Оборудование DPI, в связи со своим умением видеть всё и вся, что происходит на сети, является весьма интересным устройством для товарищей в погонах, без которых сейчас никуда. При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Можно перекрыть ему VPN, HTTPS и прочие прелести, делающие невозможным анализ контента. Разумеется, можно закрывать доступ пользователей к неугодным властям сайтам, что очень актуально в связи с последними событиями в законотворческой деятельности в России.
Можете почитать тут https://habr.com/post/111054/
Итак долой матчасть, переходим к самой программе.
Качаем для винды https://github.com/ValdikSS/GoodbyeDPI/releases
Качаем для Линукса https://github.com/bol-van/zapret
Распаковываем, запускаем. Вуаля.
Как это работает?
На простом народном языке идет что-то типа подмены запросов вашего компа СОРМу, не совсем так конечно, но близко к этому.
.SpoilerTarget" type="button">Spoiler: Кому интересно, как это работает?
https://habr.com/post/335436/
В конце статьи есть ссылка как она работает.
Что умеет эта замечательная тулза?
Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.
По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы.
Запустите программу следующим образом, жмак два раза на екзешник который подходит вам.
Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 .
Короче говоря запускайте файлы ./cmd и смотрите, какой лучше работает.
Статья не авторская, материалы взяты здесь:
https://github.com/bol-van/zapret
https://reqrypt.org/reqrypt.html
https://github.com/ValdikSS/GoodbyeDPI
https://habr.com/post/335436/
https://habr.com/post/111054/
https://habr.com/post/276141/
https://habr.com/post/229377/
Сам обход очень прост и незатейлив, как грабли. Тулза сделана для любого пользователя, который может кликнуть мышью два раза на екзешник. Настроек нет никаких, как говориться - все вшито.
Короче говоря не тулза, а сказка. Называется эта программа GoodbyeDPI.
Достоинство:
Нет никаких потерь с пингом и со скоростью соединения.
Абсолютно бесплатна.
Это кошерно. Мы не обходим через прокси, ТОР, VPN. Мы идем напрямую через провайдера, как истинные юзеры.
Разработана как Винду, так и на Линукс.
Как её ставить я расскажу в конце статьи, а сейчас немного интересной " матчасти".
- В топку матчасть не в институте, давай тулзу! Надоело учиться, хочу по порносайтам лазить, мне уже есть 18лет. Для чего она нам нужна твоя матчасть?
- Для понтов! Что бы потом Вы могли гордо сказать, что обходите Роскомнадзор через DPI, как истинный юзер, а не как ламерюга через ТОР. И что бы хотя бы приблизительно знали как работает ваш зловещий СОРМ.
Матчасть.
Роскомнадзор составляет свои черные списки и отправляет их провайдеру, который на основании их и банит.
У провайдера стоит система " СКАТ" Система Контроля и Анализа Трафика, который и блокирует сайты.
Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.
Статистика применяемых блокировок https://habr.com/post/229377/
Существует два распространенных типа подключения DPI: пассивный и активный.
Выглядет схематично это так.
Пассивный DPI
Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.
Активный DPI
Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.
Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.
[/SPOILER]
Не буду саморачивать читателей умными выражениями, скажу прощеDPI -это как файервол, только круче, мощнее и страшнее. Эта та хрень, с помощью которой узнают, что вы качали пиратские фильмы с торренов.
Кому будет интересно, а будет интересно ведь там СОРМ.
Цитирую:
Спецслужбы
В конце хотелось бы сказать пару слов о том, для чего также закупается DPI, кроме как для издевательств над абонентами. Оборудование DPI, в связи со своим умением видеть всё и вся, что происходит на сети, является весьма интересным устройством для товарищей в погонах, без которых сейчас никуда. При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Можно перекрыть ему VPN, HTTPS и прочие прелести, делающие невозможным анализ контента. Разумеется, можно закрывать доступ пользователей к неугодным властям сайтам, что очень актуально в связи с последними событиями в законотворческой деятельности в России.
Можете почитать тут https://habr.com/post/111054/
Итак долой матчасть, переходим к самой программе.
Качаем для винды https://github.com/ValdikSS/GoodbyeDPI/releases
Качаем для Линукса https://github.com/bol-van/zapret
Распаковываем, запускаем. Вуаля.
Как это работает?
На простом народном языке идет что-то типа подмены запросов вашего компа СОРМу, не совсем так конечно, но близко к этому.
.SpoilerTarget" type="button">Spoiler: Кому интересно, как это работает?
https://habr.com/post/335436/
В конце статьи есть ссылка как она работает.
Что умеет эта замечательная тулза?
Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.
По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы.
Запустите программу следующим образом, жмак два раза на екзешник который подходит вам.
Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 .
Короче говоря запускайте файлы ./cmd и смотрите, какой лучше работает.
Статья не авторская, материалы взяты здесь:
https://github.com/bol-van/zapret
https://reqrypt.org/reqrypt.html
https://github.com/ValdikSS/GoodbyeDPI
https://habr.com/post/335436/
https://habr.com/post/111054/
https://habr.com/post/276141/
https://habr.com/post/229377/