Говнокод #21841 — bash — Говнокод.ру

CHayT 15.12.2016 23:56 # 0

Но зато они свято блюдут RFC!

Ответить

CHayT 16.12.2016 00:03 # 0

$ { printf 'GET / HTTP/1.1\r\nHost:  konachan.com\r\nUser-Agent: netcat\r\nAccept: */*\r\n\r\n'; } | nc konachan.com 80 | head -10
HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 5062
Connection: keep-alive
Vary: Accept-Encoding
Status: 200 OK
Cache-Control: max-age=0, private, must-revalidate
X-XSS-Protection: 1; mode=block
X-Request-Id: 157d3bcf-ea43-4125-a3d1-e0659f28f83b
X-UA-Compatible: chrome=1

А ещё можно так.

Ответить

CHayT 16.12.2016 00:43 # +1

Итак, опытным путём выяснилось, что "регулярка" у них точно такая, и работает она только в одном TCP сегменте: 'GET.*\nHost: %uri%\r\n'
Теперь смотрим HTTPшный RFC и замечаем, что:

4.2 Message Headers

HTTP header fields, which include general-header (section 4.5),
request-header (section 5.3), response-header (section 6.2), and
entity-header (section 7.1) fields, follow the same generic format as
that given in Section 3.1 of RFC 822 [9]. Each header field consists
of a name followed by a colon (":") and the field value. Field names
are case-insensitive. The field value MAY be preceded by any amount
of LWS, though a single SP is preferred.

Осталось пропатчить лису, чтобы выдавала произвольное число пробелов и кейз букв, и можно, в принципе, экономить пять баксов в месяц.
Ответить
- bayan 16.12.2016 01:07 # +2
  
  не надо патчить лису. Сделай просто прокси (можно прямо на баше и nc, ггг) локальный, который прнимает запросы от любого браузера, и шлет соответствующий запрос мимо росгомнасёра.
  Ответить
  - CHayT 16.12.2016 01:19 # +1
    
    Последняя фраза была зелёненьким.
    Ответить
- CHayT 17.12.2016 00:34 # +1
  
  Пропатчил, и, о чудо! Скрепы не выдержали.
  github.com/k32/wowdpi
  Ответить
  - guest 17.12.2016 13:34 # +1
    
    порт под хром
    github.com/qwemaze/chrome-such-rtk
    Ответить
    - TPAXHY_B_AHYC 17.12.2016 13:41 # 0
      
      В жопу трах.
      Ответить
  - 3.14159265 20.12.2016 21:12 # +1
    
    > if (header.name == "Host") {
    > header.value = ' ' + header.value;
    ЛолПиздец. Заshita.
    
    Ответить

dxd 16.12.2016 00:25 # 0

У МТС не работает, увы.

Ответить

CHayT 16.12.2016 00:48 # 0

Что выдают подобные скрипты? Или они тупо по IP блочат?
Ответить
- dxd 16.12.2016 01:06 # 0
  
  302 и страницу редиректа. Ошмётков родного пакета нет.
  Ответить
  - CHayT 16.12.2016 01:17 # 0
    
    Вот прямо все скрипты из треда? Даже те, что включают пробелы, слипы и прочие изменения? Может они не умеют в url и действительно тупо по айпи (или того лучше DNS) блочат?
    Ответить
    - bayan 16.12.2016 01:47 # 0
      
      >>действительно тупо по айпи
      нет, иначе лесом пойдут раундробины, зато обломаются шаред хостинги
      >>(или того лучше DNS
      нет, ибо 8.8.8.8
      
      Transparent proxy м.б, или какой-то DPI. Правда что они с TLS делать будут -- хз
      Ответить
      - guest 16.12.2016 02:39 # 0
        
        хттпс вроде по айпи банят
        Ответить
        
        barop 16.12.2016 03:39 # 0
        
        А если я на амазоне? Я могу завтра новую виртуальную машину завести с другим IP.
        А сеть по маске могут забанить?
        Ответить
        
        TPAXHY_B_AHYC 16.12.2016 06:34 # 0
        
        Завёл виртуальную машину с другим IP в твоём анусе, проверь.
        Ответить
        
        bormand 16.12.2016 06:48 # 0
        
        А у нас вообще перестали хттпс банить (новотелеком).
        Ответить
        
        TPAXHY_B_AHYC 16.12.2016 06:52 # −1
        
        Забанил твой анус, проверь.
        Ответить
        
        guest 16.12.2016 14:41 # 0
        
        обошел бан и снова зашел в его анус, проверь
        Ответить
        
        Dr_Stertor 17.12.2016 00:42 # 0
        
        Въебал плюс.
        Ответить
        
        TPAXHY_B_AHYC 17.12.2016 13:17 # −1
        
        В жопу трах.
        Ответить
        
        Vindicar 16.12.2016 09:03 # 0
        
        При установке SSL туннеля передаётся имя хоста открытым текстом (строго говоря, это расширение SSL, но все браузеры так делают, чтобы shared hosting работал), так что не совсем по IP. Хотя, это может отличаться у разных провайдеров.
        
        Скорее всего по IP заворачивают трафик на систему DPI, а дальше кто во что горазд.
        Ответить
      - Vindicar 16.12.2016 09:01 # 0
        
        >> нет, ибо 8.8.8.8
        нет, ибо UDP:53 часто заворачивают на свои DNS-сервера независимо от адреса назначения.
        Ответить
        
        3.14159265 20.12.2016 21:19 # 0
        
        Так ответ ведь придёт с другого ip, или нет?
        
        Как можно самому роутить dns, не сильно заморачиваясь?
        Ответить
        
        3_14dar 20.12.2016 21:38 # 0
        
        3,1415тух отлип.
        Ответить
        
        Vindicar 22.12.2016 09:38 # 0
        
        Не факт. Наверняка какой-нибудь маскарад имеет место быть.
        DNS не позволяет менять порт, DNSSEC ЕМНИП позволит только обнаружить подмену - и то, пойди найди клиент и сервер, который его умеет.
        Я просто поднял свой кэширующий DNS сервер рядом с VPN и настроил клиентов на его использование. Таким образом все DNS запросы гарантированно идут через туннель.
        Ответить
      - 3.14159265 20.12.2016 21:15 # +1
        
        >нет, ибо 8.8.8.8
        
        Кстати пару лет назад заметил что в хроме не работают /etc/hosts. Оказалось эта сука игнорит и юзает свой dns.
        
        Гугл следит за тобой и без всяких 8.8.8.8 юзернейм.
        Ответить
        
        bayan 27.12.2016 17:51 # 0
        
        всмысле он не юзает resolver(3)?
        Ответить
    - dxd 16.12.2016 01:50 # 0
      
      Вот прямо все. Блок не по айпи, на 5.178.68.88 открывается нгинксовая 404 с того конца. Видимо, эти люди либо нормально пишут регулярки, либо просто честно парсят протокол.
      Ответить
      - CHayT 16.12.2016 01:59 # 0
        
        Раз слипы не помогают, скорее всего пров заморочился с какой-то stateful системой. Это дороже, и в теории может выйти ему боком, если кто-то кучу висящих коннекшнов насоздаёт.
        Ответить
        
        bayan 16.12.2016 02:16 # +1
        
        Зато у них в DNS зоне прописана звездочка, а провайдер тупой, и потому можно зайти
        
        http://roskompozer-ebal-svoy-mamy.konachan.com/
        и оно откроется)
        
        Это с ходу опровергает рассуждения про DNS и IP
        Ответить
        
        inkanus-gray 26.12.2016 19:58 # 0
        
        Это не провайдер тупой. Это в реестре РКН (пока) не прописываются домены со звёздочкой.
        
        Говорят, какие-то сервисы этим пользовались («Грани», Фонд Навального), создавая 100500 поддоменов, пока их не начинали блокировать по IP.
        Ответить
        
        bayan 26.12.2016 21:43 # 0
        
        ну тогда нужно купить сетку и устроить раундробин. Или они умеют блочить не только по /32?
        Ответить
        
        inkanus-gray 26.12.2016 22:49 # 0
        
        Можно сделать сайт IPv6-only. Сейчас адреса IPv6 не вносятся в реестр Роскомнадзора, хотя провайдерские DPI с ними работать умеют.
        
        Заблокировать по URL или по домену Роскомнадзор может, а по айпишнику — нет, если сайт IPv6-only.
        Ответить
        
        bayan 26.12.2016 23:29 # 0
        
        а как туда люди будут ходить? toredo настраивать?
        Ответить
        
        inkanus-gray 26.12.2016 23:37 # 0
        
        Вариантов много: кто-то по Teredo, кто-то через провайдерский туннель, кто-то нативом... Ну не через прокси же туда ходить?
        
        Через сетку IPv4 можно собрать больше пользователей (особенно пользователей мобильников), но только с каждым днём такую сетку получить труднее.
        Ответить
        
        bormand 27.12.2016 17:26 # 0
        
        > сейчас адреса IPv6 не вносятся в реестр
        Да тупо потому что прецедентов нет, да и юзеры на эти ipv6 сайты только специально могут попасть. Добавить в базу/xml ещё одно поле несложно, особенно если "провайдерские DPI с ними работать умеют".
        Ответить
        
        bormand 27.12.2016 17:48 # 0
        
        > Зато у них в DNS зоне прописана звездочка
        Версия 4.7 от 04.07.2016
        В приложении 1 для атрибута blockType тега content добавлено дополнительное возможное значение «domain-mask», указывающее на блокировку реестровой записи по маске доменного имени. При этом значение доменного имени в реестровой записи с блокировкой типа «domain-mask» будет указано с маской в виде «*.domain.com».
        
        > умеют блочить не только по /32
        ipSubnet - подсеть (в формате «1.2.3.4/24»)
        Ответить
        
        bayan 27.12.2016 17:50 # 0
        
        ха, вот пидарасы
        Ответить
      - bayan 16.12.2016 02:17 # 0
        
        http://poo.konachan.com/
        а так?
        Ответить
CHayT 20.12.2016 00:46 # +1
Свистнул у знакомого мтс-овский свисток. C ним всё куда интереснее.
1) Они матчат поле Host в GET'ах, причём для всех IP-адресов и всех TCP-портов (!) (что, кстати, здорово упрощает реверсинг их питушни + ведь можно было деньги сэкономить, не пуская всё подряд через DPI):
```
$ { printf 'GET / HTTP/1.1\r\nHoSt:              '; sleep $sleep; printf 'konachan.com\r\n\r\n'; sleep $sleep2; } | nc google.com 80
HTTP/1.1 302 Found
Date: Fri, 14 Jun 2013 12:02:40 GMT
Server: Apache/2.2.9 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8o
X-Powered-By: PHP/5.3.3-7+squeeze14
Location: http://block.jumpit.ru:81
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: close
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
```
То же самое происходит, если запустить тупой эхо сервер на произвольном порту:
```
$ { printf "GET / fvfvdfvdfvdfvdfbfgbhfb f \t\nHost: konachan.com\r\n\r\n"; } | nc XXXXXXX 3000
HTTP/1.1 302 Found
Date: Fri, 14 Jun 2013 12:02:40 GMT
Server: Apache/2.2.9 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8o
X-Powered-By: PHP/5.3.3-7+squeeze14
Location: http://block.jumpit.ru:81
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: close
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
```
Но при этом они осилили RFC2616 лучше (полностью?), регулярка у них примерно такая:
^GET / .*\nHost: <badsite>\r?\n

2) Самое интересное. У них полноценный TCP session hijacking, впрочем, судя по проскакивающим иногда пакетам со странными sequence-numbers, шанс локального (без прокси) опетушивания этой системы может быть. Позже попробую потыкать их через raw sockets.
Ответить
- CHayT 20.12.2016 01:08 # +3
  
  Свистнул у знакомого мтс-овский свисток. C ним всё куда интересное. У них полноценный TCP session hijacking, впрочем, судя по проскакивающим иногда пакетам со странными sequence-numbers, шанс локальный, которые отдавали тело документа))
  Видимо, эти люди либо нормально пишут регулярки, либо просто прокси) опетушивания этой системы может выйти ему боком, если запустить тупой эхо сервер на произвольное число пробелов и кейз букв, и можно, в принципе, экономить пять баксов в мес, не понял? за впн > за впн > за впн
  Тост? Нет, выпью я сегодня за Путина, потому можно зайти
  
  http://roskompozer-ebal-svoy-mam#вореции
  Ответить
  - 3_14dar 20.12.2016 18:53 # 0
    
    #скрылбота долбоеба
    Ответить
  - 3.14159265 20.12.2016 21:23 # 0
    
    Ха! Кстати, каких высот добились коллеги в вореционном исчислении за последние полгода?
    Ответить
    - CHayT 20.12.2016 21:31 # 0
      
      Кто-то должен запилить аналог deep dream для текстов.
      Ответить
      - 3.14159265 20.12.2016 21:55 # +1
        
        Слышал вореционная установка от MS еще весной предсказала победу Трампа и её отключили.
        
        http://protivkart.org/main/7963-iskusstvennyy-intellekt-microsoft-za-sutki-vyyasnil-realnye-nastroeniya-v-ssha-za-chto-i-byl-zakryt.html
        Ответить
  - roman-kashitsyn 20.12.2016 23:38 # 0
    
    Понял, что вореции, по несбалансированным скобкам, которые не похожи из контекста на смайлики.
    Ответить
- bormand 20.12.2016 06:27 # +1
  
  Просто у опсосов DPI появился задолго до запрета няшек. Они же его для своих грязных целей юзали - брать плату за посещение некоторых урлов, шейпить трафик в зависимости от протокола и т.п.
  Ответить
  - 3_14dar 20.12.2016 18:53 # 0
    
    >брать плату за посещение некоторых урлов
    Што?
    Ответить
    - bormand 20.12.2016 19:10 # +1
      
      Есть у них платные говносайты. А за джва входа на некоторые - вообще подписку вешают рублей на 20 в день. Я однажды случайно ткнул в рекламный баннер и словил себе такую говноподписку.
      Ответить
      - 3_14dar 20.12.2016 21:35 # 0
        
        Лол, это их собственные или от третьих лиц?
        Ответить
        
        bormand 21.12.2016 06:23 # 0
        
        Мне попадался собственный, но вроде и сторонние могут договориться.
        Ответить

bayan 16.12.2016 01:09 # +2

у меня тоже не работает

АФАЙК росгомпозёр имеет говноапи со списком гнущих скрепы сайтов, а каждый горе говноадминушка сам по нему настраивает оборудование. Ну вот в каких ISP более лучшие админы, в каких-то нет.

ps: была еще байка про чуваков, которые отдавали 302, и в ТОМ ЖЕ ответе отдавали тело документа))

Ответить

WGH 16.12.2016 02:32 # +3

Видимо, провайдер ОПа реализовал блокировку через баш-скрипт в кроне вида

curl http://eais.rkn.gov.ru/... | grep | sed | perl | awk '{ print "Host:",$1; }' | xargs -I{} iptables -A FORWARD -p tcp -m tcp --dport 80 -m string --string '{}' -j КУКАРЕКУ

Ответить

3_14dar 16.12.2016 09:50 # 0

Объясните, что происходит. На чем "экономить пять баксов в месяц"? В этом треде пидорашек опять выебало их правительство?

Ответить

bormand 16.12.2016 10:13 # 0

На просмотре анимешных няшек.
Ответить
- 3_14dar 16.12.2016 17:09 # 0
  
  За что платить пять баксов в мес, не понял?
  Ответить
  - guest 16.12.2016 17:18 # 0
    
    за впн
    Ответить
    - bormand 16.12.2016 17:28 # +1
      
      > за впн
      Тост?
      Ответить
      - guest 16.12.2016 17:31 # −1
        
        Нет, выпью я сегодня за Путина, потому что он ради всех анимешников сейчас Абэ минетит. Уже почти безвиз наминетил.
        Ответить
        
        Dr_Stertor 16.12.2016 17:39 # 0
        
        Въебал тебе минус.
        Ответить
        
        guest 16.12.2016 18:07 # 0
        
        въебал тебе членом по лбу
        Ответить
        
        Dr_Stertor 16.12.2016 19:12 # 0
        
        Въебал тебе лбом по члену, беги в реанимацию, проверь.
        Ответить
        
        TPAXHY_B_AHYC 16.12.2016 22:04 # 0
        
        В жопу трах.
        Ответить
        
        Dr_Stertor 20.12.2016 23:04 # 0
        
        Трах в жопу.
        Ответить
      - CHayT 13.01.2017 21:56 # +1
        
        "Накатим конфигу! За впн! Пакеты форвардили!"
        Ответить
        
        barop 13.01.2017 22:05 # +1
        
        >>Пакеты форвардили
        Ты свитч третьего уровня чтоли?
        Ответить
        
        BJlADuMuPCKuu_nemxy 01.12.2020 23:34 # 0
        
        Какой barop )))
        Ответить
        
        Fainal_kantdaun 29.11.2020 14:55 # 0
        
        Ну как, накатили?
        Ответить
    - 3_14dar 16.12.2016 17:45 # 0
      
      А сколько в рашке за тор платят? Я как-то тест скорости сделал - метр в секунду получилось.
      Ответить
      - Dr_Stertor 16.12.2016 17:46 # 0
        
        Гугли Hamanchi
        Ответить
        
        3_14dar 16.12.2016 17:46 # 0
        
        Што?
        Ответить
      - guest 16.12.2016 18:07 # 0
        
        при чем тут тор? наркоман?
        Ответить
        
        3_14dar 16.12.2016 18:12 # 0
        
        Заберите мудака, пусть работает.
        Ответить
        
        guest 16.12.2016 18:30 # +1
        
        что ты несешь, наркоман?
        Ответить
      - bormand 16.12.2016 18:18 # +1
        
        > метр в секунду
        Секунд по 8-10 ждать пока картинка прогрузится?
        
        З.Ы. А, тьфу, ты имел в виду мегабайт, не мегабит.
        Ответить
        
        3_14dar 16.12.2016 18:44 # 0
        
        Не, ну если мало можешь конечно и за vpn заплатить. Кстати, как сделать чтобы vpn работало только для определенных сайтов/программ?
        Ответить
        
        bormand 16.12.2016 19:07 # +2
        
        > чтобы vpn работало только для определенных сайтов/программ
        Самое тривиальное и надёжное - юзать эти проги/сайты в виртуалке.
        Ответить
        
        3_14dar 20.12.2016 00:57 # −3
        
        Еще охуительнее истории будут?
        Ответить
        
        bormand 20.12.2016 06:41 # +2
        
        Я тебе предложил тривиальное, надёжное и проверенное на практике(!) решение.
        
        Боюсь, что другого под вендой ты и не найдёшь. Ну кроме грубого и муторного роутинга по айпишкам. Или какой-нибудь прокси на роутере, если любишь ёблю с пингвинами и проги умеют прокси.
        Ответить
        
        dxd 20.12.2016 07:33 # +1
        
        А нельзя какими-нибудь хитрыми политиками запретить отдельным прогам обращаться к настоящему интерфейсу? Селинукс такое вроде умел, будет странно, если лучшая система без ебли и прыщей не умеет.
        Ответить
        
        bormand 20.12.2016 08:03 # +1
        
        > запретить
        Запретить то можно, штатный бредмауер умеет, но нам же надо чтобы они работали, просто через другой интерфейс.
        Ответить
        
        dxd 20.12.2016 09:42 # 0
        
        А рероутить штатный брандмауэр при этом не умеет?
        Ответить
        
        bormand 20.12.2016 18:12 # 0
        
        Дык в линухе тоже поздно рероутить, когда выходной интерфейс уже выбран.
        
        Но там можно по приложению/адресу/порту пометить пакет в прероутинге, а роутинг, видя эту метку, отправит пакет в нужный интерфейс.
        Ответить
        
        barop 23.12.2016 13:33 # 0
        
        Да, айпитейблсом можно.
        
        А еще можно сурс роутинг, айпироут2 уиеет
        Ответить
        
        dxd 20.12.2016 09:59 # +1
        
        Вообще, эталоном были бы джейлы, не?
        Ответить
        
        3_14dar 20.12.2016 18:48 # 0
        
        >тривиальное
        >виртуалка
        Ахуеть. Тривиальное - это http прокси. А что будет если vpn отвалится? Напрямую пойдет?
        Это к вопросу почему все предлагают именно vpn.
        Ответить
        
        bormand 20.12.2016 19:08 # +1
        
        > А что будет если vpn отвалится?
        Просто перестанет работать, если ты не забыл убрать дефолтный маршрут на настоящий шлюз :)
        
        > Тривиальное - это http прокси.
        Да ну, там маны читать надо и т.п., проги настраивать. Плюс не все проги через проксю можно пустить. А новая виртуалка клонируется из снепшота за пару минут.
        Ответить
        
        bormand 20.12.2016 19:14 # +4
        
        З.Ы. Параноики могут поставить vpn на внешней машине а в виртуалку vpn интерфейс забросить мостом на хост-онли сетевуху. Тогда виртуалка вообще не сможет в обычный инет попасть, даже если захочет. Но это сложнее.
        Ответить
        
        3_14dar 20.12.2016 21:36 # +1
        
        >если ты не забыл убрать дефолтный маршрут на настоящий шлюз :)
        Как это на венде делается? В консольке, поди?
        
        Чтобы прописать http прокси надо маны читать? о_О
        Ответить
        
        bormand 21.12.2016 06:26 # +1
        
        Можно и в гуе поле стереть в настройках сетевухи.
        Ответить
        
        3_14dar 21.12.2016 16:36 # +1
        
        Какой сетевухи?
        Ответить
        
        bormand 21.12.2016 21:03 # +1
        
        Очевидно, что той, из которой обычный инет идёт (не vpn).
        Ответить
        
        3_14dar 22.12.2016 01:29 # +1
        
        Мням, а как vpn узнает, как ей в инет выходить?
        Ответить
        
        bormand 22.12.2016 06:30 # +1
        
        На соседней вкладочке для нее добавишь один маршрут к ойпи впн сервака.
        Ответить
        
        3_14dar 22.12.2016 13:23 # 0
        
        А после отключения vpn все это ручками обратно?
        Ответить
        
        bormand 22.12.2016 18:06 # +1
        
        > А после отключения vpn все это ручками обратно
        > А что будет если vpn отвалится? Напрямую пойдет?
        Ну ты выбери что-то одно.
        Ответить
        
        3_14dar 23.12.2016 00:21 # 0
        
        А так чтобы одной кнопкой переключалось низя?
        Ответить
        
        barop 22.12.2016 02:33 # 0
        
        Пичаль в том, что ни PPTP ни L2TP _по_сспецификации_ не умеют передавать роутинг. Вопреки расхожему заблуждению IP адрес клиент получает не по DHCP а по IPCP (это часть PPP) а потому у клиента есть 4 опции:
        
        1) добавить 0.0.0.0 (он же дефалт, он же last resort) и дальше весь траффик пойдет через VPN. У винды это называется "use default gateway on remote network", погугли эту опцию, она ставится в настройках IP у VPN
        2) не добавлять 0.0.0.0, и надеяца что пользователь руками добавит нужные маршруты с помощью route add (да, это делается с соснольке)
        3) пользователь может написать файл типа route.bat. Винда его запустит, передаст туда аргументом шлюз, и пользователь сам должен написать в нем route add.. В старых виндовых сетях админы раздавали иногда такие файлики пользователям.
        
        4) Следующая опция это расширение протокола от MS: Там сервер может заслать клиенту DHCP опцию с default gateway сразу после выдачи IP по IPCP и настроить клиента как угодно. Это поскольку никто кроме виндовых клиентов не ждет DHCP, то работает это только если сервер и клиент у тебя виндовые. В прыщах и ябле обычно используют route.sh, правда в современных ОС его можно собирать через GUI вроде как.
        
        Ну есть еще всякие другие впны типа OpenVPN которые умеют много гитик, но их клиенты не встроены (а в L2TP и PPTP встроены).
        Ответить
        
        3_14dar 22.12.2016 13:24 # 0
        
        pptp же дырявый как жопа Кирка.
        Ответить
        
        barop 22.12.2016 15:01 # 0
        
        Да, и через наты плохо ходит ибо gre. L2tp \ipsec наш выбор
        Ответить
        
        3_14dar 22.12.2016 15:10 # 0
        
        l2tp как там с шифрованием? ipsec как настраивается?
        Ответить
        
        barop 22.12.2016 15:17 # 0
        
        Никак с шифрованием. Оно только в ipsec
        Ответить
        
        3_14dar 22.12.2016 15:38 # 0
        
        Че-то я про ipces для обычных юзеров тоже не слышал. Где ты это говно раскопал?
        Ответить
        
        subaru 22.12.2016 16:34 # 0
        
        лол
        Ответить
        
        bayan 22.12.2016 16:40 # +1
        
        Пиздец) Это самый рекомендуемый способ для установки VPN что для server-server что для client-server. PPTP давно уже депрекейтед, даже в последней макоси не работает.
        
        PPTP был проклят его создателями еще в начале нулевых и Cisco с MS на пару запилили L2TP/IPSec где L2TP отвечает ТОЛЬКО за тунелирование, а IPSec за шифрование (потому что IPSec уже очень mature и умеет много всего)
        
        https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol#L2TP.2FIPsec
        
        Во многих железках (например Zyxel zwall и последних cisco) только L2TP/IPSec и есть.
        
        И конечно его клиент есть во всем: от айфона до винды, причем он встроенный.
        
        IPSec прекрасно работает в сетях обычных юзверей, и политики IPSec позволяют тонко настраивать шифрование и подписи (например можно шифровать только трафик на SQL или только подписыватьитд), но в L2TP/IPsec от IPSecа используется примерно 10%.
        
        В отличии от PPTP это обычный UDP а не GRE, и не требуется особенной настройки NATа.
        
        У виндовых серверов есть некоторые проблемы если они стоят за натом и некоторые проблемы с не виндовыми клиентами (там ipsec политики надо настраивать вручную) но всё это решается.
        Ответить
        
        3_14dar 23.12.2016 00:20 # 0
        
        Да, и много предлагают vpn сервисов на ipsec? Это конечно класно что ты своими знаниями в этой отрасли выебнулся, но разговор был не об этом.
        Ответить
        
        bayan 23.12.2016 00:26 # 0
        
        Ну я бы сказал тебе что можно купить виртуалку и поднять там любой VPN, но ты опять скажешь что я выёбываюсь и то-сё
        Ответить
        
        3_14dar 23.12.2016 00:38 # 0
        
        А на виртуалках трафик безлимитный? VPN / прокси разрешены? VPN аккаунты не дешевле?
        
        МНЕ оно сейчас, кстати, не надо.
        Ответить
        
        bayan 23.12.2016 00:43 # 0
        
        >>А на виртуалках трафик безлимитный?
        Смотря где. Обычно там ограничена ширина, а не кол-во трафика.
        
        >> VPN / прокси разрешены?
        Не понимаю вопроса. А веб сервера там разрешены? А питон там разрешен?
        А FTP?
        
        Если это моя виртуалка и у меня там рутовый доступ, то какая разница что я там поставлю?
        У меня на амазоне сквид стоял, это никого не волновало.
        
        >>VPN аккаунты не дешевле?
        Не знаю, может быть дешевле. Но виртуалка это не только впн, это и захостить что-то, и автоматизировать проверку чего-нибудь удаленно, и вообще
        Ответить
        
        huesto 23.12.2016 00:45 # 0
        
        И у хецнера, и у ДО трафик ограничен вроде.
        Ответить
        
        3_14dar 23.12.2016 01:29 # +1
        
        Ну на тарифе за 1,5 евро прокси вроде как не разрешены были, что это значит - хз.
        
        >Но виртуалка это не только впн, это и захостить что-то, и автоматизировать проверку чего-нибудь удаленно, и вообще
        А если человеку только vpn и нужен, а настраивать он не умеет? Или впнами только программисты пользуются?
        Ответить
        
        bayan 23.12.2016 01:40 # 0
        
        >>Ну на тарифе за 1,5 евро прокси вроде как не разрешены были, что это значит - хз.
        ХЗ, да. Наверное если они видят что у тебя много исходящего траффика то закрывают тебя.
        
        У меня за амазоне на самой дешевой тарифе все работало.
        
        >> Или впнами только программисты пользуются?
        Понятия не имею что делают непрограммисты.
        Ответить
        
        3_14dar 23.12.2016 02:22 # 0
        
        Может, входящего? Исходящий для сервера нормален.
        
        Сколько самый дешевый тариф на амазоне?
        
        >Понятия не имею что делают непрограммисты.
        Пожрать мамка приносит? Ты это, из дому выходи хоть иногда.
        Ответить
        
        barop 23.12.2016 02:53 # 0
        
        15 баксов в месяц.
        
        Меня на работе в столовой супом кормят
        Ответить
        
        3_14dar 23.12.2016 02:54 # 0
        
        Ну ты надеюсь понимаешь, что для vpn 15 баксов в месяц - недопустимо много? Тем более у вас рублик там упал.
        
        А дома ты что жрешь? Что с работы принесешь?
        Ответить
        
        barop 23.12.2016 02:55 # 0
        
        Много, но во первых амазон дорогой, во ыторых там не тока впн.
        
        У меня магаз прямо в доме
        Ответить
        
        3_14dar 23.12.2016 17:00 # 0
        
        А, то есть ты таки выходишь из дома и иногда общаешься с непрограммистами?
        Ответить
        
        bayan 23.12.2016 21:57 # 0
        
        Конечно, я часто с ними общаюсь. Но обычно мы не обсуждаем обходы блокировок
        Ответить
        
        Vindicar 23.12.2016 09:42 # 0
        
        Там, где я гнездюсь, запрещено поднимать публичные прокси. Т.е. если прокся не пускает всех подряд с внешнего интерфейса, то это норм.
        
        Но вообще зависит от провайдера.
        Ответить
        
        bormand 20.12.2016 19:23 # 0
        
        > почему все предлагают именно vpn
        Потому что любые протоколы и проги поддерживает.
        Ответить
        
        3_14dar 20.12.2016 21:36 # 0
        
        А для чего он нужен?
        - Для браузеров
        - Для торрентов
        Что-то забыл?
        Ответить
        
        bormand 21.12.2016 06:27 # 0
        
        Торрент умеет прокси?
        Ответить
        
        3_14dar 21.12.2016 12:52 # 0
        
        В принципе, умеет, вопрос в том, может ли он гонять весь трафик через прокси.
        Ответить
        
        inkanus-gray 21.12.2016 21:53 # 0
        
        Vuze (бывший Azureus) умеет гонять трафик через I2P и через Tor. Да и в обычном Интернете может работать через IPv6. Так что если ему вырубить IPv4, то и прокси не нужен.
        Ответить
        
        3_14dar 22.12.2016 01:29 # 0
        
        >Так что если ему вырубить IPv4, то и прокси не нужен.
        Не понел.
        Ответить
        
        inkanus-gray 20.12.2016 08:06 # +1
        
        Ещё можно запускать эти проги на отдельном компьютере.
        Ответить
        
        inkanus-gray 20.12.2016 08:22 # +2
        
        Можно сделать, чтобы прокси-сервер работал только для определённых сайтов:
        https://en.wikipedia.org/wiki/Proxy_auto-config
        
        http://antizapret.prostovpn.org/
        
        Для плагинов Flash, Silverlight, Java придётся сеть настраивать отдельно, чтобы они тебя не спалили.
        
        Ещё есть внешняя программа «Широкая шапочка»:
        http://www.anonym-surfen.de/help/proxifier3.html
        Есть одна проблема: у меня после установки «Широкой шапочки» перестал запускаться Eclipse и ещё какое-то тормозное говно на Java, пока я шапочку не снёс.
        Ответить
        
        bormand 20.12.2016 08:28 # 0
        
        Ему же впн надо, а не прокси.
        Ответить
        
        inkanus-gray 20.12.2016 09:55 # 0
        
        Ну тогда не остаётся ничего, кроме грубого и муторного роутинга по айпишкам.
        
        Есть ещё вариант с менее грубым роутингом: поднять у себя локальный прокси-сервер, который в Интернет будет выходить через VPN благодаря грубому и муторному роутингу, а программы уже более тонко направлять на локальный прокси-сервер через PAC или WideCap.
        
        Что-то я запутался, но копать можно примерно в этом направлении.
        Ответить
        
        3_14dar 20.12.2016 18:52 # 0
        
        Это не мне надо, а ты упомянул именно vpn.
        Что мне пока пришло в голову - vpn из-под какой-то легкой оси в виртуалке, там же ставим прокси и его прописываем в программах.
        Ответить
        
        bormand 20.12.2016 19:12 # 0
        
        Нормальный вариант.
        Ответить
        
        bormand 20.12.2016 19:30 # 0
        
        З.Ы. Но куда проще открыть в этой виртуалке браузер и забыть о проксях как о страшном сне :)
        Ответить
        
        3_14dar 20.12.2016 21:37 # 0
        
        Не забудь все настройки и плагины туда перенести, ага.
        Ответить
        
        bormand 21.12.2016 06:30 # 0
        
        > настройки
        > плагины
        О_о. У вас на винде браузеры настраивать надо?
        Ответить
        
        inkanus-gray 21.12.2016 10:21 # +3
        
        Наверняка мануалы читать надо, а то ещё и заканчивать платные курсы Микрософта по настройке браузеров.
        
        И групповые политики по приколу придумали, и синхронизации в виндовых браузерах нет, и папку с профилем нельзя скопировать, потому что в Проводнике с дефолтными настройками её не видно.
        Ответить
        
        dxd 21.12.2016 10:33 # +3
        
        Но это же прыщепроблемы, Инканус.
        Ответить
        
        inkanus-gray 21.12.2016 10:56 # 0
        
        Да вообще Интернет придуман прыщеблядьми. В 70-х и Виндуса не было.
        Ответить
        
        kipar 21.12.2016 11:44 # +1
        
        Прыщеблядей тоже не было. Интернет военные придумали.
        Ответить
        
        inkanus-gray 21.12.2016 12:43 # 0
        
        Военные из закрытых территориальных образований?
        Ответить
        
        barop 22.12.2016 02:40 # +1
        
        Я тебе больше скажу: не только линукс (которого тогда не было), но и юникс не имел отношения к Интернету изначально.
        
        Юникс и Интернет слились когда берклевцами дали тендер на запиливание "универсального API" и они выдумали берклевые сокеты.
        До этого на юниксе развечто UUCP был
        Ответить
        
        barop 22.12.2016 02:37 # 0
        
        >> а то ещё и заканчивать платные курсы Микрософта по настройке браузеров
        
        Меж полчим в экзаменах типа desktop support типа 70-685 есть разделы про настройку эксплоррера, encahcned security, итд
        Ответить
        
        3_14dar 21.12.2016 12:50 # 0
        
        Не обязательно, но можно. Плюс закладки, знаешь ли.
        
        Остальной высер не понял, да и хуй с ним.
        Ответить
        
        1024-- 21.12.2016 13:26 # +1
        
        Так там все логины и пароли кроме настроек. Если тупо переносить, можно репостнуть код с ГК со своей твиттерной учётки, если не ту кнопку нажать. А ещё автоматически синхронизировать гоатсе из виртуалочки с рабочим компом.
        Ответить
        
        huesto 20.12.2016 23:44 # +1
        
        Лолблядь, нахуя такие геморои? Чем ссх-тунель не угодил?
        Ответить
        
        CHayT 20.12.2016 23:52 # +1
        
        "SSH туннели как насилие -- если они не помогают, значит вы их используете недостаточно обширно". Ссх сессии по природе нестабильны, и сделать тунели персистентым можно, но только костыликами. Плюс приложение должно уметь в SOCKS. (?)
        
        OpenVPN же, ну.
        Ответить
        
        huesto 21.12.2016 00:20 # 0
        
        Я там отвечал на идею семы поднять опенвпн в виртуалке и в ней же запустить проксю (тот самый сокс), на которую натравливать проги с хоста.
        Ответить
        
        3_14dar 21.12.2016 12:52 # 0
        
        Никогда не слышал о vpn аккаунтах? ssh там тебе не дадут. Интересно, почему.
        Ответить
        
        Vindicar 23.12.2016 09:51 # 0
        
        Ну я примерно так и делаю. Опять же, проксик можно сжимающий/кэширующий поставить, и proxy.pac по крону обновлять, чтобы ручками прокси не переключать каждый раз.
        Возни с настройкой больше, но и возможностей тоже.
        А для времянки на один-два раза SSH port forwarding достаточно, да.
        Ответить
        
        inkanus-gray 21.12.2016 21:47 # 0
        
        Неумение в SOCKS не проблема. Можно запустить прокси-реверс-прокси. Почти как трап-реверс-трап в х/ф «Викто́р, Виктория».
        
        Опера до версии 10.50 не умела SOCKS, поэтому пакет Operator (для подключения Оперы к Тору) включал некую программу Polipo, которая одним концом коннектилась к SOCKS-прокси (хоть к Тору, хоть к произвольному), а другой конец предоставлял интерфейс для старых браузеров, не умеющих SOCKS.
        Ответить
        
        bayan 22.12.2016 18:08 # +3
        
        можно еще прямо в стек IP врезаться и направлять трафик куда следует прозрачно для программ
        
        Winsock так умеет. Через это работает, например, wingate.
        на линуксе надо через netfilter, наверное.
        Ответить
        
        inkanus-gray 22.12.2016 18:12 # +1
        
        Есть такая штука: layered socket providers. Помню, как запускал LSPFIX, чтобы вернуть доступ в Интернет после удаления какого-то «антивируса».
        
        Но LSP придётся писать самому. Или есть готовые реализации универсального LSP, в который можно добавлять свои правила?
        Ответить
        
        bayan 22.12.2016 18:15 # +3
        
        >>layered socket providers
        От именно о них и речь.
        
        >>LSPFIX
        а "netsh int ip reset" не помогает ращве?
        Он же ресетит каталог, или где там это говно храница.
        
        Кстати, LSP уже депрекейтед в послдених виндах. Никому не нравится что хуйзнает кто может сломать твой TCP/IP стек.
        Ответить
        
        3_14dar 23.12.2016 00:19 # 0
        
        Был какой-то компрессор трафика в свое время. А потом я его неправильно удалил и у меня вообще пропал инет.
        Ответить
        
        Vindicar 22.12.2016 09:59 # 0
        
        SSH-туннель это хорошо, но через него DNS не пустишь без геммороя. Я на OpenVPN перешел когда количество сервисов на VPSке начало разрастаться, и меня заколебало пробрасывать новые порты. =)
        Ответить
        
        3_14dar 22.12.2016 13:22 # 0
        
        Или проги должны уметь в socks4a, или упомянутый выше polipo
        Ответить
        
        3_14dar 20.12.2016 18:49 # 0
        
        В контексте треда речь пока идет об обходе блокировок.
        В прыщелисе есть плагин proxyfoxy с правилами. PAC тоже рабочий.
        Ответить
      - BJlADuMuPCKuu_nemxy 01.12.2020 23:36 # 0
        
        Жалко Сёмы нету (((
        Ответить
        
        MAKAKA 05.12.2020 16:42 # +1
        
        Давайте я буду сёмой, пока его нет.
        
        Пидарахи, купил роутер за $ 0.99 на али, настроил его по статье пидаархи с 4pda, и у него отсостная скорость: файлы с Winows XP вообще медленно качаются.
        
        Прыщеблядская прошивка роутера соснула, видимо. Прыщебляди, почему вы делаете такое говно?
        Ответить
        
        jojaxon 05.12.2020 16:50 # +1
        
        представь роутер на винде (с русской локализацией) и попробуй не заплевать стены
        Ответить
        
        guest6 05.12.2020 16:51 # +1
        
        в моем децтве кстати были вроутеры на писи и винде.
        
        Была программа вингей-т, вин-в-роут и еще ISA
        Ответить

inkanus-gray 26.12.2016 01:12 # +3

Проверил на DPI МТС/МГТС. Нашёл в Rublacklist запись о блокировке по конкретному URL, а не по домену/IP. Проверил, действительно блокируется только конкретный URL, код 302 c Location на заглушку провайдера и на всякий случай короткий HTML-код длиной 224 байта с текстом, дублирующим заглушку.

Проверяем метод Снаута:
1. Изменение регистра загловка Host: не снимает блокировку.
2. Добавление пробелов после Host: не снимает блокировку.
3. Добавляем пробелы после слова GET... блокировка снята. Спустя несколько минут повторяем... уже заблокировано.
4. Изменение регистра команды, регистра заголовков, порча названия протокола, добавление пробелов во всевозможные места не помогают.

У них самообучаемый DPI что ли?

Ответить

dxd 26.12.2016 07:00 # 0

Во фряху, кажется, лет шесть назад приехал патч к фаерволлу для байесовского анализа. Но тут как-то совсем сурово.
Ответить
- inkanus-gray 26.12.2016 09:29 # 0
  
  А есть среди запрещённых сайтов что-нибудь не на 80-м порту?
  Ответить
- barop 26.12.2016 14:00 # 0
  
  Щито?
  
  А можно поуф?
  Ответить
  - dxd 26.12.2016 15:21 # 0
    
    Можно расслабиться, я таки нагуглил, что же это было. Проект назывался DIFFUSE и был попыткой неких академиков прикрутить machine learning к ipfw. Что характерно - за пять лет до хайпа.
    Ответить
bormand 26.12.2016 17:05 # 0

> самообучаемый DPI
Берут пример с китайцев? У них то самообучаемый, да ещё и аномалии в запросах детектить умеет...
Ответить
- inkanus-gray 26.12.2016 19:14 # +1
  Попробовал отправить два заголовка Host примерно так:
  
  GET /news/url/pravyj_sektor_prizyvaet_svoih_aktivistov_byt_nacheku HTTP/1.1 Host: example.com Host: pik.ua
  
  Менял заголовки местами. Выяснил, что и DPI, и сервер реагируют только на последний заголовок Host, а предыдущие игнорируют.
  
  Перемежал заголовки безобидными (User-Agent, Accept, Accept-Language, Accept-Charset, Accept-Encoding, Connection). DPI всё равно извлекает последний заголовок Host.
  Ответить
  - bormand 26.12.2016 19:15 # 0
    
    А что о таких заголовках говорит RFC?
    Ответить
    - inkanus-gray 26.12.2016 19:23 # 0
      
      Во-первых, имена полей, а также схема и домен в URL могут быть в любом регистре, а перед значением поля может быть дофига пробелов.
      
      Во вторых, самое интересное про множественные заголовки:
      Multiple message-header fields with the same field-name MAY be
      present in a message if and only if the entire field-value for that
      header field is defined as a comma-separated list [i.e., #(values)].
      It MUST be possible to combine the multiple header fields into one
      "field-name: field-value" pair, without changing the semantics of the
      message, by appending each subsequent field-value to the first, each
      separated by a comma. The order in which header fields with the same
      field-name are received is therefore significant to the
      interpretation of the combined field value, and thus a proxy MUST NOT
      change the order of these field values when a message is forwarded.
      Ответить
      - bormand 26.12.2016 19:24 # +1
        
        Ну т.е. джва хоста - это UB (т.к. host - не comma-separated list)?
        Ответить
        
        inkanus-gray 26.12.2016 19:27 # 0
        
        Да, именно так.
        
        Но тут логика DPI и логика сервера (Apache за nginx) совпала. Если бы не совпала, ресурс был бы доступен.
        
        Кстати, попытался заменить букву «a» в запросе на %61. Не прокатило: DPI расшифровывает такие значения.
        Ответить
  - bormand 27.12.2016 17:56 # 0
    
    Ответить
    - ProctologistForYou 29.12.2016 22:54 # 0
      
      ðŸ‘¬ðŸ³ï¸â€ðŸŒˆ
      Ответить
      - bayan 30.12.2016 17:48 # 0
        
        https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BE%D0%BB%D0%B5%D0% B2%D1%81%D1%82%D0%B2%D0%BE_%D0%B3%D0%B5% D0%B5%D0%B2_%D0%B8_%D0%BB%D0%B5%D1%81%D0 %B1%D0%B8%D1%8F%D0%BD%D0%BE%D0%BA
        Ответить
- inkanus-gray 26.12.2016 19:31 # +1
  
  А так ресурс доступен:
  http://pik.ua./news/url/pravyj_sektor_prizyvaet_svoih_aktivistov_byt_nacheku
  
  Просто точка после домена. Оказывается, для DPI pik.ua и pik.ua. — это разные домены (как и для cookies в браузере).
  Ответить
  - bormand 26.12.2016 19:32 # 0
    
    Ох лол.
    Ответить
    - inkanus-gray 26.12.2016 19:34 # +1
      
      Проверил ещё адресок: http://risovach.ru/ у меня заблокирован, а http://risovach.ru./ доступен.
      Ответить
      - guest3 05.12.2020 19:41 # 0
        
        Странно. У тебя две файки на 1 лицо?
        Ответить

Говнокод: по колено в коде.

bash / Говнокод #21841

Комментарии (180) RSS

Добавить комментарий