forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Великобритании Firefox не будет использовать DNS-over-HTTP..."
Отправлено Anonymous45486, 07-Июл-19 01:46

Никогда не догадается. На IP-адресе не висит табличка "тут резолвер".
Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, что вы (DPI) знаете. Заглянуть в SNI и узнать домен вы тоже не можете - eSNI.
Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию:
- рубить все соединения, где не видно SNI и надеяться, что приложение, не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к условному Ростелекому, который может себе позволить блокировать не так строго (и платить штрафы по 50к за пропуски хоть каждый день)
- ставить соединение на паузу и обнюхивать запрошенный IP на наличие там веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, что это DoT и рубить. Вы снова в заднице, потому что абонентам такое тормощогло вместо интернета нафиг не нужно.
- составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько адресов, что он хоть каждые 5 минут может их менять. После того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся и... да, вы снова в жопе

Исходное сообщение
"В Великобритании Firefox не будет использовать DNS-over-HTTP..." Отправлено Anonymous45486, 07-Июл-19 01:46
Никогда не догадается. На IP-адресе не висит табличка "тут резолвер". Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, что вы (DPI) знаете. Заглянуть в SNI и узнать домен вы тоже не можете - eSNI. Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию: - рубить все соединения, где не видно SNI и надеяться, что приложение, не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к условному Ростелекому, который может себе позволить блокировать не так строго (и платить штрафы по 50к за пропуски хоть каждый день) - ставить соединение на паузу и обнюхивать запрошенный IP на наличие там веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, что это DoT и рубить. Вы снова в заднице, потому что абонентам такое тормощогло вместо интернета нафиг не нужно. - составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько адресов, что он хоть каждые 5 минут может их менять. После того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся и... да, вы снова в жопе

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Никогда не догадается. На IP-адресе не висит табличка "тут резолвер".

> Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, 
> что вы (DPI) знаете. Заглянуть в SNI и узнать домен вы 
> тоже не можете - eSNI.

> Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию:

> - рубить все соединения, где не видно SNI и надеяться, что приложение, 
> не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только 
> основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг 
> у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к 
> условному Ростелекому, который может себе позволить блокировать не так строго (и 
> платить штрафы по 50к за пропуски хоть каждый день)

> - ставить соединение на паузу и обнюхивать запрошенный IP на наличие там 
> веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, 
> что это DoT и рубить. Вы снова в заднице, потому что 
> абонентам такое тормощогло вместо интернета нафиг не нужно.

> - составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько 
> адресов, что он хоть каждые 5 минут может их менять. После 
> того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся 
> и... да, вы снова в жопе

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру