Содержание

  • 1.
  • 2.
  • 3.
  • 4.

Всех активных пользователей интернета на Украине шокировал указ президента о запрете российской социальной сети Вконтакте. Помимо этого, на Украине заблокировали Одноклассники, Мейл.ру, Яндекс, и все сопутствующие сервисы данных компаний.

Мы предлагаем вашему вниманию пошаговую инструкцию по разблокировке доступа к запрещенным сайтам. Данное руководство актуально и для российских пользователей интернета, с его помощью можно вернуть доступ к Рутрекеру, Флибусте и множеству других торрентов и полезных сайтов!

Предлагается несколько вариантов того, как обойти блокировку сайтов в Украине:

Как обойти блокировку сайтов провайдером с помощью VPN 

Виртуальная приватная сеть, также известная как VPN. С помощью такого подключения можно притвориться гражданином иных стран, в которых нужные вам сайты не запрещены. Таким образом, юзер, который использует такую сеть на Украине, может рассчитывать на шифрование абсолютно всех передаваемых и получаемых данных, а канал, по которому происходят такие манипуляции, является защищенным. Такая функция обеспечивается различными расширениями в браузерах, даже в таких как Яндекс.

Для установки такого соединения в браузере Google Chrome необходимо зайти в каталог расширений, путь к ним лежит через настройки.

Как только нужная опция будет найдена – необходимо зайти в поиск расширений, то есть попасть в интернет-магазин. В поисковой графе прописываем VPN и получим в ответ несколько расширений, которые помогут справиться с поставленной задачей.

Собственно говоря, откройте любое из них и устанавливайте, после включите и получите себе стабильную работу поисковика Яндекс и социальной сети Одноклассники как в былые времена.

Для примера, вам показано первое расширение из всех доступных – ZenMate. После установки нужно будет зарегистрироваться, используя электронную почту, а потом его функциональная кнопка будет светиться в правом верхнем углу экрана.

Как только все эти нехитрые операции будут проведены, необходимо выбрать страну, через которую пойдет трафик, а вопрос как обойти блокировку сайтов провайдером будет уже не актуальный.

Можно выбрать еще другое расширение под названием HOLA! Однако он имеет недостаток, связанный в нарушением внешнего вида некоторых страниц. Из преимуществ можно выделить возможность быстрого просмотра различного медиаконтента, так как ускоряется загрузка потокового видео путем использования компьютеров иных юзеров, которые также установили плагин.

Помимо этих расширений VPN-подключение можно использовать немного иначе, воспользовавшись таким браузером, как Opera. Для настройки соединения необходимо зайти в настройки, найти вкладку безопасность и там поставить галочку на VPN.

Читайте на сайтеКак можно зарегистрироваться в ВК без номера телефона

Обход блокировки на смартфоне (VPN-приложения)

Стоит отметить, что для обхода блокировки ВК и Одноклассников с телефона существуют аналогичные сервисы, такие как Opera VPN, Turbo VPN, TunnelBear, ZenMate и другие. Найдите их в Android маркете, установите и подтвердите регистрацию в самом приложении (при необходимости).

В зависимости от приложения вы либо сразу подсоединитесь к VPN при его запуске, либо будете вынуждены  выставлять необходимые настройки. Как только все это будет проделано, появится свободный доступ к заблокированным провайдером сайтов. Единственное неудобство такого решения — необходимость каждый раз запускать приложение VPN при использовании соц.сетей, что частично решается разрешением VPN работать в фоне без выгрузки из памяти.

Использование прокси-сервера

Прокси-сервер работает по принципу посредника. Проще говоря, человек отправляет запрос на нужные ему ресурсы, а прокси-сервер обрабатывает его и отправляет уже непосредственно на заблокированный сайт, после чего передает эту информацию обратно пользователю. Все эти махинации незаметны, конечно же, однако, с настройкой такого варианта доступа придется немного повозиться, а загрузка содержимого веб-страниц будет очень медленной.

Доступ к заблокированной странице получают следующим образом: найти в интернете прокси-сервер, примером которых могут служить ProxFree, Hide My Ass, Ninjacloak и т.д., после чего в поле ввести адрес интересующей страницы. Спустя несколько секунд запрос отобразится на экране. В целом, использование VPN видится нам гораздо более удобным решением

Как открыть заблокированный сайт с помощью Tor

Существует программа под названием Tor, она-то здесь и нужна. Анонимная сеть, что занимается передачей трафика в шифрованном виде, а также дает гарантии на абсолютную анонимность.

Работает система по принципу передачи запросов среди множества других пользователей, при этом количество отправок невозможно проследить. Только первый и конечный узел будет знать, какого рода информацию было запрошено. Для установки прописать в интернете запрос Tor Browser, зайти на официальный сайт проекта, выбрать последнюю версию загружаемого приложения и запустить ее после скачивания. После установки будет предложен вариант стандартных настроек, именно он и необходим.

Выбрав его, пройдет немного времени, конфигурация приложения будет завершена и готова к использованию. По сути это обычный браузер, в котором серфинг сети происходит аналогично Chrome, Opera, Яндекс-Браузер и т.д.

Теперь вы знаете, как зайти на заблокированные правительством сайты. Пользуйтесь свободным интернетом без абсурдных ограничений!

Каждый пользователь, собирая информацию в интернете, неоднократно сталкивался с проблемой, когда нужный сервер или ресурс по каким-либо причинам заблокирован провайдером или администратором домашней сети.

Возникает закономерный вопрос, как обойти блокировку сайтов провайдером? Для этого можно воспользоваться несколькими способами.

Анонимайзеры

Открыть заблокированный сайт позволяют специальные ресурсы, называемые анонимайзерами. Выбор анонимных прокси-серверов в сети достаточно широк (dustup.ru, proxfree.com, cameleo.ru, proxyweb.net и т. д.). Для работы с ними необходимо:

  1. в адресной строке браузера набрать адрес любого анонимайзера, например, https://www.proxfree.com/;
  2. в специальную строку ввести адрес сайта, блокировку которого нужно обойти;
  3. нажать на кнопку «Proxfree».
  4. в новом окне откроется главная страница заблокированного сайта.

Изменение прокси-сервера в настройках браузера

В решении проблемы, как обойти блокировку сайтов провайдером поможет изменение прокси-сервера в настройках браузера. Для этого нужно:

  1. найти и скачать в интернете списки бесплатных прокси-серверов (например, с ресурса http://proxy-besplatno.com/);
  2. запустить браузер;
  3. для Google chrome перейти в главное меню, щелкнув по значку, расположенному рядом с адресной строкой;
  4. открыть раздел «Настройки»;
  5. найти блок «Сеть»;
  6. нажать на кнопку «Изменить настройки прокси-сервера»;
  7. во вкладке «Подключения» в представленном списке выбрать провайдера;
  8. кликнуть мышкой по кнопке «Настройка»;
  9. в блоке «Прокси-сервер» поставить галочку напротив пункта «Использовать прокси-сервер для этого подключения»;
  10. в строку «Адрес» ввести новый прокси-сервер;
  11. подтвердить изменения нажатием на кнопку «Ок»;
  12. для Mozilla Firefox в верхнем меню щелкнуть по разделу «Инструменты»;
  13. перейти в подраздел «Настройки»;
  14. выбрать блок «Дополнительные»;
  15. переключиться во вкладку «Сеть»;
  16. нажать на кнопку «Настроить»;
  17. выбрать пункт «Ручная настройка прокси-сервера»;
  18. в строку «HTTP прокси» ввести новый прокси-сервер;
  19. в строку «Порт» значение «80»;
  20. кликнув по кнопке «Ок» сохранить внесенные изменения.
  21. Попробовать открыть заблокированный сайт.

Сеть Tor

На вопрос, как обойти блокировку сайтов провайдером, в полной мере отвечает специально разработанная сеть Tor. Для ее использования потребуется:

  1. скачать пакет «Tor Browser Bundle»;
  2. распаковать архив и запустить его;
  3. в новом окне настроить параметры сети при использовании корпоративного прокси-сервера или просто нажать на кнопку «Соединиться»;
  4. после подключения запустится браузер TorBrowser и появится окно приветствия;
  5. кликнуть мышкой по ссылке «Проверка интернет-настроек Tor», расположенной ниже;
  6. проверить, чтобы подставленный IP-адрес не совпадал с реальным;
  7. в адресную строку ввести адрес заблокированного сайта;
  8. нажать клавишу «Enter».

Плагин friGate

Решить проблему, как обойти блокировку сайтов провайдером можно с помощью специального расширения friGate, устанавливаемого в браузер Google chrome. Для этого необходимо:

  1. зайти в раздел «Настройки»;
  2. в боковом меню переключиться на блок «Расширения»;
  3. кликнуть по ссылке «Еще расширения»;
  4. в новом окне в строку поиска ввести название плагина «friGate» и нажать клавишу «Enter»;
  5. найти в списке нужное расширение;
  6. добавить плагин, щелкнув по кнопке «Бесплатно».

При желании можно воспользоваться другими плагина, например, расширение «hola!» или «ZenMate». Для мобильных устройств также разработаны специальные приложения (Onion для iPhone, orWeb для Android), позволяющие обходить блокировку сайтов, установленную провайдером.

—>—>Главная—> » 2017 » Май » 21 » Способы обхода блокировки сайтов!

21.05.2017

Всем привет, с каждым днем, различные государства, ограничивают доступ к сайтам которыми мы привыкли пользоваться. Правительство утверждает, что защищает нас от чего либо, но нам то не легче от этого. Сегодня я расскажу о все известных на данный момент способах обхода блокировки сайтов.

Изменение DNS серверов

Самый просто способ обхода большинства блокировок это изменение серверов DNS. Провайдеры чаше всего блокируют различные сайты на уровне DNS серверов. DNS сервера преобразовывают IP адрес сайта в URL с помощью которого сайт и открывается. Если заблокировать IP адрес сайта на уровне DNS сервера, то IP не будет превращаться в URL (адрес сайта) и таким образом доступ будет ограничен.

Но обойти такую блокировку очень легко, в сетевых настройках нужно использовать публичные ДНС сервера. Идем, панель управления — центр управления сетями —  изменение параметров адаптера — выбираете ваше подключение по сети — правой кнопкой, свойства — в списке находите Ipv4 — нажимаете свойства — ставите точку, использовать следующие адреса DNS — вписываете DNSы 8.8.8.8 и 8.8.4.4 (так же вы можете вписать любые другие публичные ДНС сервера). Далее вам нужно очистить кэш DNS на компьютере. Это можно сделать например через Ccleaner (установите галочку Кэш DNS и проведите очистку) или через командную строку от имени админа:

  • netsh winsock reset и нажмите Enter иногда может потребоваться перезагрузка компьютера.

Если у вас роутер, то эти настройки желательно делать на самом роутере, все настройки роутера делайте крайне осторожно. В адресной строке браузера напишите 192.168.0.1 или 192.168.1.1 и нажмите Enter. Впишите логин и пароль для доступа к роутеру. Далее найдите раздел настройки WAN подключения и впишите туда вручную DNS сервера — 8.8.8.8 и 8.8.4.4 На разных роутерах это может делаться по разному и если вы сомневаетесь лучше туда не лезьте.

Хочу отметить не у всех провайдеров пройдет такой фокус, некоторые провайдеры не позволяют менять ДНС сервера. Но на это есть другой выход.

Разблокируем доступ к сайту через файл HOSTS

Если провайдер не позволяет сменить ДНС сервер, то вы легко можете изменить файл hosts на собственном компьютере. Как это делать я показывал в своем очень старом видео — https://www.youtube.com/watch?v=KxrWGhXyNHA. Для того что бы разблокировать сайт нужно знать его IP адрес, в этом нам поможет этот сервис. Просто зайдите на сервис и впишите адрес нужного вам сайта, так вы узнаете IP. Дальше вам нужно отредактировать ваш файл hosts и вставить туда строку с соответствием IP сайта и адреса сайта, выглядеть это будет так:

Но случается так, что провайдеры блокируют полный доступ к сайтам и изменение DNS, и файла хостс не помогает. Тогда есть другие варианты обхода блокировки сайтов.

Использование браузеров с турбо режимом или встроенным VPN

Для этого можно использовать множество браузеров, но я расскажу только о двух: Opera и Яндекс Браузере. В браузере Opera вы можете использовать турбо режим, включатся в настройках или использовать встроенный в браузер VPN сервис. Включить его можно так:

  • Отметьте галочку Включить VPN

После это браузер будет работать в режиме VPN и вы сможете получить доступ к любым сайтам.

В яндекс браузере нужно активировать турбо режим:

Этот режим также получить доступ к заблокированным сайтам.

Использование плагинов к браузерам

В браузер можно установить плагины: friGate, ZenMate, Browsec или Data Saver. Данные плагины работают по принципу VPN но только для браузера. Эти плагины легко могут открыть доступ к заблокированным сайтам, это самый легкий способ обхода блокировки. За VPN я расскажу ниже.

Использование VPN сервисов

Следующая возможность обхода блокировки сайтов это использование VPN сервисов. Подключая VPN весь ваш интернет трафик шифруется, а доступ к любым сайтам открывается так трафик проходит через сервера других стран где нет запретов для наших сайтов. Однако, при использовании VPN могут наблюдаться просадки в скорости подключения. Приводить список VPN сервисов я не буду так как их много. Просто гуглите — VPN или бесплатный VPN. На данный момент таких сервисов много и вам не составит труда найти нужный, лично я рекомендую CyberGhost VPN или Open VPN (бесплатный). А тут я расскажу о топ 7 лучших бесплатных VPN!

Использование Tor браузера

Еще один хороший способ для обхода блокировки сайтов — использование веб-браузера Tor Browser. Tor браузер создает анонимную сеть которая шифрует все передаваемые данный в том числе и от провайдера, так же использует серверы разных стран для подключения к интернету. Для обеспечения конфиденциальности пользователей используется многоуровневое шифрование и маршрутизация вашего сетевого трафика по распределенной сети.Данная технология предотвращает возможность внешнему наблюдателю вашего интернет-соединения узнать какие веб-сайты вы посещаете, предотвращает возможность сайтам узнать ваше физическое местоположение, а также позволяет получить доступ к заблокированным веб-ресурсам.Но у Tor есть недостаток это низкая скорость подключения. Браузер можно использовать абсолютно бесплатно и без ограничений. О нем я более подробно рассказывал тут.

Более подробно о обходе блокировки сайтов я расскажу в своем видео:

Анонимайзеры

Что бы заходить на любы сайты можно использовать специальные сервисы анонимайзеры, они изменяют URL адрес нужного вам сайта, таким образом можно получить доступ к любому сайту. Лучшие и известные мне анонимайзеры это: Хамелион и noblockme.ru, остальные можете загуглить сами. Просто заходите на сайте анонимайзер и в строке пишете нужный вам сайт, он откроется в анонимном режиме.

Надеюсь, вам поможет обойти блокировку сайтов, один из способов описанных выше. если вы знаете еще какие либо методы, пишите их в комментариях и я добавлю этот метод в статью!

—>Категория—>:Новости Software(софт) | —>Просмотров—>:202317 | | |
—>Всего комментариев—>: 19 Есть вопросы? Задавайте их на форуме. 12»
1-1011-14

—>

Расширения для браузеров

Установка расширения для браузера — это один из самых быстрых и простых способов обойти блокировку. Расширения не требуют от пользователя практически никаких действий и чрезвычайно просты в настройке.

«Доступ к Рутрекеру» (Chrome, Opera, Firefox, «Яндекс.Браузер»)

Специальное расширение для доступа к самому популярному торрент-трекеру Рунета.

Официальный сайт: dostup-rutracker.org.

Доступ к Рутрекеру Разработчик: Сайт Цена: 0
Доступ к Рутрекеру Разработчик: proartex Цена: Бесплатно
Доступ к Рутрекеруот Artex Разработчик: Разработчик Цена: Бесплатно

anonymoX (Chrome, Firefox)

Официальный сайт: anonymox.net.

anonymoX Разработчик: https://anonymox.net Цена: 0
anonymoXот anonymoX GmbH Разработчик: Разработчик Цена: Бесплатно

Browsec (Chrome, Opera, «Яндекс.Браузер»)

Официальный сайт: browsec.com.

Browsec VPN — Free and Unlimited VPN Разработчик: browsec.com Цена: 0
Browsec Разработчик: browsec Цена: Бесплатно

FriGate (Chrome, Opera, Firefox)

Официальный сайт: fri-gate.org.

friGate CDN — smooth access to websites Разработчик: https://fri-gate.org Цена: 0

FriGate для Opera можно скачать отсюда.

friGateот Frigate Разработчик: Разработчик Цена: Бесплатно

Ещё у friGate есть расширение Proxy для Chrome с набором дополнительных функций для продвинутых пользователей.

friGate3 proxy helper Разработчик: fri-gate.org Цена: 0

Privatix (Chrome, Opera, Firefox)

Официальный сайт: privatix.com.

Privatix — Kostenlos VPN und Unlimited Proxy Разработчик: https://privatix.com Цена: 0
Privatix for Opera Разработчик: privatix Цена: Бесплатно
Privatix, a free privacy protection add-onот Privatix Разработчик: Разработчик Цена: Бесплатно

ZenMate (Chrome, Opera, Firefox)

Официальный сайт: zenmate.com.

ZenMate VPN — лучшее решение для интернет-безопасности Разработчик: zenmate.com Цена: 0
ZenMate VPN Разработчик: zenguard Цена: Бесплатно
ZenMate VPNот ZenMate Разработчик: Разработчик Цена: Бесплатно

Браузеры со встроенным VPN

Существуют браузеры, в которых VPN присутствует изначально. В таком случае пользователю не нужно ничего дополнительно устанавливать, достаточно лишь выбрать необходимую опцию в настройках. На данный момент наиболее популярным десктопным браузером со встроенным VPN является Opera.

Хорошей практикой является использование двух браузеров: основной, к которому вы привыкли и используете для всего, и дополнительный со встроенным VPN для посещения заблокированных сайтов.

VPN-сервисы

Если говорить просто, VPN в контексте обхода блокировки — это способ подменить своё местоположение, притворившись жителем страны, в которой нужный вам сайт не запрещён. В качестве бонуса пользователь получает защищённый канал с шифрованием всех передаваемых данных.

Надёжность и скорость канала зависят от поставщика услуг. Ключевое отличие VPN-сервисов от перечисленных выше плагинов в том, что первые требуют провести хоть и простую, но всё-таки настройку, зато работают не только при сёрфинге через браузер, но и вообще для всей передаваемой и получаемой из Сети информации.

7 мифов о VPN и причины начать им пользоваться →

Обзоры популярных VPN на Лайфхакере:

  • Betternet;
  • HideMe;
  • Privatix;
  • TunnelBear;
  • VPN Unlimited;
  • VPN99.

Прокси-серверы

Прокси — это ещё один простой способ обойти блокировку, позволяющий выходить в интернет через удалённый сервер, из-за чего все сайты думают, что вы на самом деле находитесь в той стране, где этот сервер располагается. Соответственно, если в той стране нужный вам сайт не запрещён, то вы сможете на него зайти.

Что такое прокси и зачем он обычному пользователю →

RuTracker Proxy →

TOR и другие распределённые сети

TOR — это сеть маршрутизаторов и программное обеспечение, разработанное специально для обеспечения анонимности пользователей. Грубо говоря, при использовании этой технологии ваш запрос к сайту и ответ от него проходят настолько извилистым и сложным путём через цепочку прокси-серверов, что вычислить клиента практически невозможно.

Самый простой способ начать использовать эту технологию — скачать и установить Tor Browser, специальную сборку Firefox cо всеми необходимыми дополнительными компонентами, в том числе аддонами NoScript, Torbutton и HTTPS Everywhere. Перед скачиванием не забудьте выбрать во всплывающем списке нужный язык.

Обход блокировки на смартфонах и планшетах

Браузеры

Один из лучших способов обойти блокировку сайта на смартфоне или планшете — это использование режима экономии трафика в Chrome, Opera, UC Browser и других мобильных браузерах с аналогичной функцией.

Для Android

Google Chrome: быстрый браузер Разработчик: Google LLC Цена: Бесплатно
Браузер Opera с бесплатным VPN Разработчик: Opera Цена: Бесплатно
UC Browser — быстрый браузер & Видео скачать😍 Разработчик: UCWeb Singapore Pte. Ltd. Цена: Бесплатно
Puffin Web Browser Разработчик: CloudMosa, Inc. Цена: Бесплатно

Orfox — это Android-браузер со встроенным Tor. Позиционируется как мобильная версия десктопного Tor Browser.

Скачать в googleplay

Для iOS

Onion Browser Разработчик: Mike Tigas Цена: Бесплатно Скачать в appstore

Для Windows Phone

Opera Mini Разработчик: Opera Software Цена: Бесплатно

VPN

Почти все актуальные мобильные операционные системы располагают встроенными средствами создания VPN. Если вы предпочитаете VPN-сервисы, то сможете настроить соединение и на мобильных устройствах.

Если же ковыряться с настройками не хочется, можно установить мобильное приложение для более простого создания VPN-соединения на смартфоне или планшете.

Для Android

Orbot Прокси в комплекте с Tor Разработчик: The Tor Project Цена: Бесплатно
Samsung Max — Data Savings & Privacy Protection Разработчик: Samsung Max apps Цена: Бесплатно
Hotspot Shield Free VPN прокси и защита Wi-Fi Разработчик: AnchorFree GmbH Цена: Бесплатно
CyberGhost VPN Разработчик: CyberGhost SA Цена: Бесплатно
Бесплатный VPN/ВПН – Betternet WiFi Прокси Разработчик: Betternet LLC Цена: Бесплатно
Бесплатный VPN сервис от Privatix Разработчик: Privatix Limited Цена: Бесплатно
Psiphon Разработчик: Psiphon Inc. Цена: Бесплатно

Для iOS

VPN/ВПН прокси Betternet Разработчик: Betternet LLC Цена: Бесплатно
Browsec VPN — Безлимитный VPN Разработчик: Browsec, LLC Цена: Бесплатно
Unlimited VPN Proxy — Privatix Разработчик: Privatix LTD Цена: Бесплатно

Что дальше?

Воспользовавшись одним из предложенных методов обхода блокировки, вы снова получите доступ к желаемому сайту, а соответственно, и к более детальным руководствам к действию от администрации или пользователей ресурса. Практически все попавшие в немилость ресурсы размещают на главной странице актуальные новости и информацию о способах противодействия блокировке. Изучите их и выберите наиболее подходящий вам.

Помимо этого, не будет лишним подписаться на официальные сообщества любимых сайтов в социальных сетях. Если доступ к ресурсу снова пропадёт, вы сможете получить свежие инструкции через социалки.

После прочтения статьи уважаемого решил изучить DPI своего провайдера и, при благоприятном развитии событий, найти пути его обхода. Ниже — результаты моих изысканий. Итак, провайдер — ТТК Ульяновск (бывш. DARS Telecom), PPPoE-подключение с выделением внешнего IP на время сессии. Блокировка осуществляется заворачиванием заблокированных подсетей/хостов на свой DPI. DNS не подменяется.

% traceroute ya.ru traceroute to ya.ru (87.250.250.242), 64 hops max, 40 byte packets  1  bras.ulttk.ru (79.132.125.1)  0.899 ms  0.787 ms  0.817 ms  2  ulk06.ulk26.transtelecom.net (217.150.41.98)  1.552 ms  1.536 ms  1.536 ms  3  * * *  4  Yandex-gw.transtelecom.net (188.43.3.213)  21.828 ms  15.955 ms  17.003 ms  % traceroute rutracker.org traceroute to rutracker.org (195.82.146.214), 64 hops max, 40 byte packets  1  bras.ulttk.ru (79.132.125.1)  1.778 ms  0.843 ms  0.751 ms  2  ulk06.ulk26.transtelecom.net (217.150.41.98)  1.656 ms  1.698 ms  1.439 ms  3  * * *  4  188.43.0.18 (188.43.0.18)  16.589 ms     BlackList-gw.transtelecom.net (188.43.30.130)  16.435 ms     BL-gw.transtelecom.net (188.43.31.170)  16.377 ms  5  Filter-gw.transtelecom.net (188.43.30.33)  17.006 ms  16.859 ms  17.080 ms  % traceroute kinozal.tv traceroute: Warning: kinozal.tv has multiple addresses; using 104.24.107.53 traceroute to kinozal.tv (104.24.107.53), 64 hops max, 40 byte packets  1  bras.ulttk.ru (79.132.125.1)  0.810 ms  0.809 ms  0.739 ms  2  ulk06.ulk26.transtelecom.net (217.150.41.98)  1.653 ms  1.802 ms  1.736 ms  3  * * *  4  Filter-gw.transtelecom.net (188.43.30.34)  16.451 ms     BL-gw.transtelecom.net (188.43.31.170)  16.405 ms  16.418 ms  5  Filter-gw.transtelecom.net (188.43.30.33)  99.751 ms  78.541 ms  17.021 ms  6  Cloudflare-msk-gw.transtelecom.net (188.43.3.65)  212.754 ms  107.803 ms  117.062 ms  7  104.24.107.53 (104.24.107.53)  28.015 ms  17.216 ms  17.357 ms

Причем некоторые сайты просто и незатейливо заблокированы по IP (спасибо хоть RST присылают). Например, bt-анонсеры Рутрекера:

02:48:58.530078 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)     ip109.176.ulttk.ru.22099 > bt.rutracker.org.http: Flags [S], cksum 0xd538 (correct), seq 3425095266, win 65535, options [mss 1452,nop,wscale 6,sackOK,TS val 1991139339 ecr 0], length 0 02:48:58.546482 IP (tos 0x0, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 40)     bt.rutracker.org.http > ip109.176.ulttk.ru.22099: Flags [R.], cksum 0x13b9 (correct), seq 0, ack 3425095267, win 0, length 0

Для тех же сайтов, где нужно показать страничку блокировки работает пассивный DPI. Рассмотрим на примере Рутрекера:

02:27:28.605860 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)     ip109.176.ulttk.ru.27338 > rutracker.org.http: Flags [S], cksum 0xeafc (correct), seq 3703194126, win 65535, options [mss 1452,nop,wscale 6,sackOK,TS val 1989849414 ecr 0], length 0 02:27:28.646812 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 48)     rutracker.org.http > ip109.176.ulttk.ru.27338: Flags [S.], cksum 0x81d2 (correct), seq 2683499593, ack 3703194127, win 14600, options [mss 1400,nop,wscale 8], length 0 02:27:28.646913 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)     ip109.176.ulttk.ru.27338 > rutracker.org.http: Flags [.], cksum 0xe266 (correct), seq 1, ack 1, win 1028, length 0 02:27:28.647281 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 117)     ip109.176.ulttk.ru.27338 > rutracker.org.http: Flags [P.], cksum 0xb1d5 (correct), seq 1:78, ack 1, win 1028, length 77: HTTP, length: 77         GET / HTTP/1.1         Host: rutracker.org         User-Agent: curl/7.56.0         Accept: */* 02:27:28.663665 IP (tos 0x0, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 286)     rutracker.org.http > ip109.176.ulttk.ru.27338: Flags [FP.], cksum 0xf88c (correct), seq 1:247, ack 78, win 0, length 246: HTTP, length: 246         HTTP/1.1 301 Moved Permanently 02:27:28.663724 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)     ip109.176.ulttk.ru.27338 > rutracker.org.http: Flags [.], cksum 0xe126 (correct), seq 78, ack 248, win 1024, length 0 02:27:28.664047 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)     ip109.176.ulttk.ru.27338 > rutracker.org.http: Flags [F.], cksum 0xe121 (correct), seq 78, ack 248, win 1028, length 0 02:27:28.695429 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)     ip109.176.ulttk.ru.42348 > dib-filtr-gw.transtelecom.net.http: Flags [S], cksum 0x0556 (correct), seq 2835326510, win 65535, options [mss 1452,nop,wscale 6,sackOK,TS val 1989849504 ecr 0], length 0

Посмотрим на данный вывод подробнее. С момента 605860 до 646913 клиент осуществляет тройное рукопожатие с «настоящим» Рутрекером. В 647281 клиент посылает HTTP-запрос Рутрекеру длинной 77 байт, но вместо обычного ACK получает от «поддельного» Рутрекера FPA с HTTP-перенаправлением длинной 246 байт. Причем, заметьте, с корректным ACK 78, но левым, в рамках данного TCP-соединения, номером последовательности SEQ. Далее клиент закрывает соединение и переходит куда сказали. ACK и HTTP-ответ от Рутрекера так и не приходят. В принципе, понятно зачем провайдеру потребовался этот странный TCP с флагами FPA: FIN для начала завершения соединения со стороны клиента, PUSH для проталкивания этого сегмента в TCP-очереди клиента, а корректный ACK чтоб всё выглядело красиво и этот «поддельный» TCP-сегмент не был отброшен TCPIP-стеком клиента. Но этот FPA его же и погубил. Итак, основная стратегия — отбрасывать TCP-сегменты с установленными флагами FPA, как-бы приходящие с адресов заблокированных ресурсов. В качестве роутера в моей домашней сети трудится FreeBSD на старом Атоме, пакетным фильтром работает pf. Основной проблемой стало то, что pf — это statefull-фаервол, т.е. после первого же нашего разрешенного исходящего SYN в адрес Рутрекера в таблицу состояний фаервола заносится запись (state) и все последующие запросы и, что нам особенно важно, ответы в пределах данного TCP-соединения ни через какие правила фаервола более не проходят, они все разрешены. Подобное поведение сильно увеличивает производительность брандмауэра и сокращает количество правил, но в нашем случае препятствует эффективной фильтрации. Поэтому все запросы/ответы к заблокированным ресурсам будем производить в stateless-режиме, т.е. без сохранения состояния. В pf правила получились такие:

WAN="ng0" LAN="re0" Blocked="{ заблок.IP1, заблок.IP2, заблок.IP3, и т.д. }" ... # -UNBLOCK- # for LAN hosts pass in quick on $LAN proto tcp from $LAN:network to $Blocked no state block drop out quick on $LAN proto tcp from $Blocked to $LAN:network flags FPA/FPA pass out quick on $LAN proto tcp from $Blocked to $LAN:network no state # -UNBLOCK- # for me (router itself, for testing) pass out quick on $WAN proto tcp from ($WAN) to $Blocked no state block drop in quick on $WAN proto tcp from $Blocked to ($WAN) flags FPA/FPA pass in quick on $WAN proto tcp from $Blocked to ($WAN) no state ...

Директива no state в разрешающих правилах запрещает сохранение состояния, первое правило в блоке UNBLOCK разрешает исходящие на заблокированный ресурс, второе правило блокирует «поддельные» входящие с установленными флагами FPA, третье — разрешает все остальные входящие. Директива quick во всех правилах прекращает просмотр фаерволом всех последующих правил фильтрации при совпадении с данным правилом. Результат (тройное рукопожатие пропущено):

01:48:10.221343 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 117)     ip109.176.ulttk.ru.42714 > rutracker.org.http: Flags [P.], cksum 0xccb6 (correct), seq 1:78, ack 1, win 1028, length 77: HTTP, length: 77         GET / HTTP/1.1         Host: rutracker.org         User-Agent: curl/7.56.0         Accept: */* 01:48:10.237686 IP (tos 0x0, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 286)     rutracker.org.http > ip109.176.ulttk.ru.42714: Flags [FP.], cksum 0x136e (correct), seq 1:247, ack 78, win 0, length 246: HTTP, length: 246         HTTP/1.1 301 Moved Permanently 01:48:10.563977 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 117)     ip109.176.ulttk.ru.42714 > rutracker.org.http: Flags [P.], cksum 0xccb6 (correct), seq 1:78, ack 1, win 1028, length 77: HTTP, length: 77         GET / HTTP/1.1         Host: rutracker.org         User-Agent: curl/7.56.0         Accept: */* 01:48:10.604853 IP (tos 0x0, ttl 58, id 42669, offset 0, flags [DF], proto TCP (6), length 40)     rutracker.org.http > ip109.176.ulttk.ru.42714: Flags [.], cksum 0x00c5 (correct), seq 1, ack 78, win 58, length 0 01:48:10.605043 IP (tos 0x0, ttl 58, id 42670, offset 0, flags [DF], proto TCP (6), length 422)     rutracker.org.http > ip109.176.ulttk.ru.42714: Flags [P.], cksum 0x9bc5 (correct), seq 1:383, ack 78, win 58, length 382: HTTP, length: 382         HTTP/1.1 301 Moved Permanently         Server: nginx         Date: Thu, 26 Oct 2017 21:48:10 GMT         Content-Type: text/html         Content-Length: 178         Location: http://rutracker.org/forum/index.php         Connection: keep-alive

221343 — HTTP-запрос к Рутрекеру 237686 — ответ от провайдерского DPI с флагами FPA (дамп с внешнего интерфейса роутера, поэтому он тут виден; клиент его не получает) 563977 — клиент ответа так и не дождался, повторяет запрос 604853 — настоящий Рутрекер присылает ACK 605043 — настоящий Рутрекер присылает HTTP-ответ P.S. То же самое можно проделать с помощью любого современного фаервола, pf здесь только потому, что я его использую. Так же внимательный читатель мог заметить, что IP-спуфинг, осуществляемый DPI провайдера, элементарно детектируется по IP TTL (58 против 61). Но pf не умеет фильтровать все поля IP-пакетов, только основные. При использовании других фаерволов несовпадение IP TTL можно использовать как дополнительный признак «поддельного» пакета, наряду с TCP FPA. That’s All Folks! 82 20.6k 82

ОСТАВЬТЕ ОТВЕТ

Please enter your name here
Please enter your comment!