Тред обхода анальной цензуры №122 /freedom/
Аноним (Неизвестно: Неизвестно)
14/09/25 Вск 11:00:14
№
1
Если кто то спрашивает не сломалось ли XYZ не бегите убеждать что "всё работает, ты дурак", РКН устраивает A/B тесты уровня целой страны и в какую группу попал лично ты никто не скажет.
Реалии таковы, что всё сложнее и сложнее становится протолкнуть пакеты за границу, пути два:
- принять ГазпромМедиа в себя
- становиться сетевым инженером
https://telegra.ph/Obhod-belyh-spiskov-na-mobilnom-internete-2-chast-09-11
Выдыхаем.
Молодец. Вскоре эти методы обхода будут перекрыты. Хороший гой, облегчил РКН работу.
Правильная стратегия, в принципе.
Да, перекрой мне попытки зайти в личный кабинет моего же опсоса и в поиск яндекса, что может пойти не так.
Мань, они уже не такие тупые как лет 8 назад.
> Вскоре эти методы обхода будут перекрыты.
> vless
Верю. Я поверил.
>платно
Сразу нахуй.
Лови на парковке бесплатно, какие проблемы.
Изменилось то, что каждые несколько месяцев теперь дроч с бубнами. Им ебанутым нет покоя, так они и нам отдыхать теперь не особо дают.
> Насчёт чебупельнета, эти разговоры начались в 2014.
В 2012.
https://ru.wikipedia.org/wiki/Единый_реестр_запрещённых_сайтов
Лично для меня изменилось то, что раньше я мог спокойно сидеть где хочу и когда хочу, а теперь я должен подрубать ВПН, либо ДПИ-обходы, либо даже окей, накатывать антизапрет - менее удобно стало
У меня где-то 2 года назад только, когда заблочили deviantart за какой-то гребаный свастон. Так потихоньку они заблочили почти всё, где я обитаю, руководствуясь очевидно логикой "лес рубят щепки летят", только ее странно извращенной версией, где из-за щепки вырубают весь лес.
https://gfw.report/blog/geedge_and_mesa_leak/en/
Ну, году в 2019, видимо (т.к. в 2019 поставил гудбай). Но проблема в том, что я ничего не делал больше, а сейчас приходится прилагать усилия и думать, прежде чем куда-то зайти книжку скачать или на порносайт с каким-нить твиттером
Если когда будет, тогда и приходи, а пока это лишь пук в воду.
да можешь и сам покопаться
BitTorrent: https://enlacehacktivista.org/geedge.torrent
Direct HTTPS download: https://files.enlacehacktivista.org/geedge/
Gtagarage забанили из-за модельки Гитлера.
28.03.2024
заблокирован
https://www.gtagarage.com/mods/show.php?id=6036
188.114.96.1
188.114.97.1
2a06:98c1:3120::1
2a06:98c1:3121::1
Майнский районный суд - Ульяновская область
2а-2-75/2024
> Ставка на 1 сентября не сыграла, инсайдер пошел в школу.
РКН белые списки по SNI чтоли делают? Их все ещё корежит ПТСР с того момента когда телегу пытались блокнуть по IP, а в итоге наебнули полинтернета?
>забанили из-за модельки Гитлера
>РКН белые списки по SNI чтоли делают? Их
Нихуя. На мобилках sni не пашет, когда вырубают
> Так что изменилось?
Увеличилось количество "костылей", которыми приходится пользоваться цифровым инвалидам гражданам, чтобы попасть в привычную для них информационную экосистему — а она у каждого своя: кто-то в инете прокрастинирует по кд, кто-то обучается, кто-то работает, кто-то устраивает личную жизнь, кто-то сходит с ума, кто-то... что-то.
Как мне кажется, это общее и персональное инфополе раньше формировалось хаотично, по своим законам, которые в первую очередь задавались спецификой самих средств хранения, обработки и передачи информации и уровнем их развития на тот момент, а не чьей-то политической волей (например, прото-инет нулевых, "свобода" творчества в десятых годах и т.п.). Сейчас же это специфическое пространство всё больше предопределяется "сверху" — Паноптиконом с человеческим лицом и китайской прошивкой, которого официальные медиа преподносят как "необходимое, сверхэффективное и гуманное средство защиты от (вставьте любую форму социальной угрозы)".
Повторю уже сотни раз сказанное: стремление власти (в широком смысле) усилить контроль над виртуальной средой — общемировая тенденция. Хорошего в этом мало, но это неизбежно и нормально — так работает современная технократия. Мы тоже в ней живём, но она у нас специфическая, как и всё остальное.
Тред добавлен в архивач — https://arhivach.vc/thread/1232395/
>Нихуя. На мобилках sni не пашет, когда вырубают
Все работают, кроме обоссаного козла билайна, но на билайне я в собственно в приложение билайна не могу войти во время белых списков.
Даже с network_mode: host в компоуз файле. Пол дня ебли с чатжпт нихуя не дали. Думал даже провайдера впс сменить, но это единственный из дешевых (~500р/мес) который можно оплатить без ебли и который на мгтс дает скорость 300мбит+. По крайней мере все остальные что я пробовал даже юпуп в 1080р нормально не вытягивали. Ладно хуй с ним, работает не трогай
>>3641265
А где?
> Хорошего в этом мало, но это неизбежно и нормально — так работает современная технократия. Мы тоже в ней живём, но она у нас специфическая, как и всё остальное.
Факт. Однако самое хуевое (для общества), когда в итоге окажется, что это только ухудшит то, с чем боролись. Невероятное количество людей, гигантское, из-за подобных "проблем", которые приносит нам условное "государство" - учатся обходить этим "проблемы". Что приведёт в итоге к чему-то плохому для этого самого государства. Даже сам факт использования DoH ссаного, не говоря уж о VPN - снижает в долгосрочной переспективе возможности отслеживания реальных действий пользователя в инете
Да, я тоже об этом думал. Государство по сути говорит, что больше не хочет заниматься теми местами, которое оно запретило, но ведь юзеры оттуда не уходят, а просто ищут и находят обходы. В итоге львиная доля волнующего государство трафика просто уходит из их поля зрения и влияния. Зачем так делать - мне вообще не ясно, но я уже лет пять как понял, что искать высший смысл в действиях других людей - не имеет смысла. Вся ситуация напоминает игру в волшебников, машущих палочками в ожидании непонятного результата.
> Мне местные шизики
> напоминают идиотов
А ты получается тот самый нормальный и умный?
Не можешь ты не отделить себя от общей массы, подчеркнув собственную исключительность. На дваче.
Такой ты человечек.
Там где и положено быть, молодой человек.
>Верю. Я поверил.
### Руководство по блокировке для РКН (сентябрь 2025)
Вводная:
Анализ показывает, что к 2025 году методы обхода блокировок, использующие протокол VLESS (включая модификацию XTLS-Reality), достигли высокой степени мимикрии под легитимный TLS-трафик. Простая блокировка IP-адресов и поверхностный анализ SNI более не являются эффективными мерами. Для обеспечения устойчивости «белых списков» требуется внедрение многоуровневой системы глубокого анализа трафика (Multi-layered Deep Analysis, MDA).
Ниже представлена трехуровневая стратегия (три эшелона защиты).
---
### Эшелон 1: Фундаментальный контроль (Тактический уровень)
Цель этого эшелона — отсечь наиболее простые и массовые попытки обхода, создав базовый уровень «гигиены» трафика.
1. Интеллектуальная блокировка по IP-адресам и Автономным Системам (ASN):
* Техническая суть: Вместо ручного внесения отдельных IP-адресов, внедряется автоматизированная система, анализирующая репутацию целых сетей.
* Программная реализация:
* Создается постоянно обновляемая база данных «токсичных» ASN. В нее вносятся ASN хостинг-провайдеров, открыто рекламирующих услуги обхода блокировок, а также те, где аномально высокая концентрация VLESS/Shadowsocks/Trojan серверов.
* Источники данных: парсинг общедоступных конфигураций с GitHub, Pastebin, Telegram-каналов; данные от систем киберразведки; анализ трафика на предмет исходящих соединений на данные ASN с нетипичным поведением.
* Действие: Трафик на IP-адреса из этих ASN блокируется по умолчанию или подвергается принудительному анализу Эшелона 2.
2. Гранулярная валидация «белого списка» SNI:
* Техническая суть: «Белый список» доменов перестает быть плоским. Он становится структурированным, с пониманием того, какой тип трафика для какого домена является легитимным.
* Программная реализация:
* Каждый домен в списке (`*.vk-portal.net`, `mc.yandex.ru` и т.д.) профилируется. Определяются его легитимные IP-адреса, типичный размер сессий, используемые application-level протоколы.
* Действие: Если SNI указывает на домен, который используется только для загрузки статики (картинки, скрипты), а DPI фиксирует долгоживущую TCP-сессию с интенсивным двунаправленным обменом данными (характерную для VPN), такая сессия помечается как аномальная и разрывается.
---
### Эшелон 2: Проактивная защита (Основной операционный уровень)
Это ядро системы блокировки, нацеленное на выявление замаскированного трафика VLESS в режиме реального времени.
1. Неукоснительная корреляция SNI, IP и Сертификата сервера (Правило «Тройного соответствия»):
* Техническая суть: Это ключевая мера против Domain Fronting и Reality. При установке TLS-соединения DPI-система оператора выполняет три проверки одновременно:
1. SNI: Имя хоста, переданное клиентом (e.g., `allowed-domain.com`).
2. IP-адрес назначения: Реальный IP-адрес сервера, к которому идет подключение.
3. Сертификат: Поле `Subject Alternative Name` (SAN) в сертификате, который возвращает сервер.
* Программная реализация:
* РКН поддерживает централизованную, обновляемую в реальном времени базу данных `[SNI <-> Valid IP Ranges/ASNs]`.
* В момент прохождения пакета `ClientHello`, DPI делает запрос к этой базе. Если IP-адрес назначения не соответствует разрешенным для данного SNI — немедленный разрыв соединения (TCP RST).
* Далее, DPI получает ответный пакет `ServerHello` и анализирует сертификат. Если домен из SNI отсутствует в SAN сертификата — немедленный разрыв соединения. Это эффективно нейтрализует Reality, где SNI подменяется, а сертификат принадлежит другому домену (например, `microsoft.com`). Соединение, где клиент просит `vk.com`, а сервер отвечает сертификатом `microsoft.com`, является нелегитимным с точки зрения TLS и должно быть заблокировано.
2. **Динамическое TLS-фингерпринтирование (JA3/JA4S):**
* **Техническая суть:** Анализ уникального «отпечатка» TLS Handshake для идентификации не браузера, а конкретного приложения (v2ray, Nekobox и т.д.).
* **Программная реализация:**
* DPI вычисляет JA3-хеш (отпечаток клиента) и JA4S-хеш (отпечаток ответа сервера) для каждой сессии.
* Ведется база данных хешей, принадлежащих популярным инструментам обхода. Соединения с такими отпечатками блокируются.
* **Противодействие рандомизации:** Разработчики VLESS-клиентов будут рандомизировать параметры для имитации браузеров. Система РКН должна использовать ML-модели, которые выявляют не конкретные хеши, а *статистические аномалии* в параметрах TLS. Например, комбинация шифров, которую предлагает клиент, не встречается ни у одного реального браузера, даже если отдельные части выглядят легитимно.
3. **Поведенческий анализ сессий (Heuristics):**
* **Техническая суть:** Трафик, прошедший первичные проверки, анализируется на предмет аномалий в поведении, не свойственных обычному веб-серфингу.
* **Программная реализация:**
* DPI отслеживает параметры сессии: продолжительность, объем переданных данных (Up/Down), распределение размеров пакетов (entropy analysis).
* **Триггеры блокировки:**
* **Длительность/Объем:** Сессия к IP-адресу CDN-сервиса длится несколько часов с постоянным потоком данных. Это нетипично.
* **Симметричность:** Соотношение Upload/Download близко к 1 (характерно для видеозвонков или торрентов внутри VPN, но не для серфинга).
* **Энтропия:** Высокая энтропия данных в обе стороны, указывающая на передачу уже зашифрованного трафика внутри TLS-туннеля.
* При превышении пороговых значений сессия принудительно разрывается.
---
### **Эшелон 3: Стратегический контроль (Гарантированная блокада)**
Применяется в случаях, когда меры Эшелонов 1 и 2 оказываются недостаточными. Требует значительных ресурсов.
1. **Распределенное активное зондирование (Active Probing 2.0):**
* **Техническая суть:** Для противодействия маскировке Reality, когда сервер отдает разный контент в зависимости от источника запроса, используется глобальная сеть зондирования.
* **Программная реализация:**
* Если DPI фиксирует подозрительную сессию (например, прошедшую Эшелон 1, но с флагами от Эшелона 2), IP-адрес назначения отправляется в систему активного анализа.
* Система мгновенно инициирует несколько TLS-соединений к этому IP с разных точек мира (например, из Франкфурта, Москвы, Сингапура).
* Если ответы сервера (сертификаты, HTTP-заголовки) различаются в зависимости от геолокации запроса, сервер классифицируется как прокси для обхода блокировок, и его IP немедленно вносится в черный список.
2. **Принудительный государственный MitM (Man-in-the-Middle):**
* **Техническая суть:** Финальный и самый радикальный метод. Весь TLS-трафик терминируется на оборудовании оператора, анализируется в расшифрованном виде и зашифровывается заново.
* **Программная реализация:**
* Требует законодательного обязательства установки национального корневого сертификата на все устройства граждан.
* На стороне оператора устанавливаются комплексы TLS Termination.
* **Действие:** Система видит внутреннее содержимое туннеля. Вместо ожидаемого протокола HTTP/2 она обнаруживает структуру протокола VLESS. Пакет не соответствует политикам «белого списка» и отбрасывается.
* **Статус на 2025:** Этот метод, несмотря на его 100% эффективность, сопряжен с колоссальными техническими, юридическими и репутационными издержками, что делает его применение маловероятным в массовом масштабе, но возможным на отдельных сегментах сети.
**Заключение:**
Эффективная блокировка VLESS в 2025 году — это не одиночное действие, а непрерывный, автоматизированный процесс, основанный на данных. Ключ к успеху лежит в **Эшелоне 2**, а именно в **неукоснительной проверке «Тройного соответствия» (SNI-IP-Cert)**. Эта мера делает классический Domain Fronting и протокол Reality практически неработоспособными. Остальные меры служат для укрепления обороны и борьбы с будущими эволюциями протоколов маскировки.
Благодарим за столь ценные знания! В случае успешного их внедрения мы удостоим вас наградой. Вместе сделаем Рунет безопаснее!
Ух ты, оказывается, нейросети тоже умеют влажно мечтать.
Когда читаешь этот набор баззвордов, просто держи в уме, что антизапрет до сих пор работает. Если не помогает - сходи на улицу, потрогай говно.
Испытывал похожие чувства, когда читал разборы ужасных разрешений MAX исходя из манифеста андроид приложения на хабре c 300 (sic!) апвоутами. https://habr.com/ru/articles/945306/
Но здесь другой подход конечно, но чувства похожие.
> баззвордов
>теперь я должен подрубать ВПН
а ты сидишь в интернетах без впн? че дурак?
сейм. когда 24 декабря тред ютуба закрыли, по странному стечению обстоятельств, интернеты перестали шатать. У меня даже гудбайдипиай на старом конфиге прошлого года до сих пор работает, а я его писал от балды
> пук
Усё работает. А перестанет, тогда
Vless+Reslity+MultiHop
А зачем делать такой дорогостоящий процесс блокировок, если можно просто заставить всех сидеть с Яндекс-браузере с зондами в виде обязательных сертификатов?
очевидно, чтобы попилить
а так вообще в самих блокировках мало смысла
Попилить можно на всём. Что мешает сказать, что разработка обязательного сертификата обошлась в 100 миллиардов баксов?
в это сложнее поверить, и тебе перестанут платить, как только ты его разработаешь
Видимо у билайна по дефолту и стоит эта проверка, лол.
А обходит этот >>3641218 аезовсский инсайдер ее видимо через какой-то отечественный CDN мультихопом.
Убери этот нейрокал.
Поясните, это именно потому что он французский, или в интернет уже впринципе бесполезно заходить, и менять его скажем на американский не имеет смысла?
Ограничения по возрасту в Евросоюзе с лета этого года гугли. Не только французские.
сука,что с двачом на десктопе опять, хуле не грузится? макаки мать ебал
А если я калифорнии возьму ип, заглушек не будет.
Просто я знаю, что в техасе такие же как и франция.
Просто вот есть клиент hiddify, и у него два режима впн и прокси. И если поставить впн, то весь трафик системы идет через впн. А мне надо что бы и обычная сеть работала.
Но если поставить hiddify по прокси, то перестают работать всякие разные другие приблуды, типа нейросетей, которые висят на локалхосте, но его как-то занимает или типа того.
>типа нейросетей, которые висят на локалхосте, но его как-то занимает или типа того.
Порт менял?
>Но если поставить hiddify по прокси, то перестают работать всякие разные другие приблуды, типа нейросетей
Что-то не то, должно работать и так. Приведи конкретный пример что именно перестает работает и как конкретно ты это запускаешь.
если хиддифай занимает системный прокси перестают работать нейросети. ну я чё помню, фейсфьюжен перестает грузиться например.
и не только еще всякая шляпа в браузерах отваливается типа антизапрета.
короче прокси не вариант, можно как то разгородить траффик. может второй сетевухой как нибудь.
Видимо, скоро будет
>Глава ЦИК РФ Элла Памфилова назвала интернет «недружественной России паутиной».
Нейросети какие - чатжпт, гемини, грок, клод, дипсик?
Или у тебя локальные нейронки настроены, это тогда совсем другая история.
Если первое, то проверь, что показывает browserleaks.com/webrtc.
Разгородить трафик в тун-режиме можно. Но ты сначала это проверь.
[email protected]
Просто напомню что перенос своего номера с еблайна на любого другого опсоса всё ещё работает. На остальных сапог ещё не так глубоко в жопу загнали.
Аж захотелось билайн попробовать.
Мне кажется вы чето недоговариваете или вообще пиздите, со мной на vless около 20 тел, есть билайн, не жужжат ютуб работает