Это IP. С IP всё сравнительно просто в "обычных" случаях. Мне интересно поведение приложения, если случится на NAT изменение source port, которое в случае с docker носит вероятностный характер.
Код берёт его из getsockname(). Но из этого следует, что MTProxy адекватно работать не должна за почти любым NAT, в том числе и за докерным. А она вроде как работает.
Надо проверить что ли :-)
В данном случае магии не было. После срабатывания MTProto "триггера" пара ${IP}:${TCP_port} отправлялась в бан на час-другой. Заикания такая упячка вызывать не должна была.
Это должны поддерживать и клиент и сервер. Теоретически ещё можно устраивать случайную фрагментацию запросов (в духе GoodbyeDPI имени ValdikSS), в этом случае будет достаточно поддержки на клиенте.
Я не успел ночью проверить, работает ли фрагментация. К утру эту подпольную DPI-лабораторию уже "сожгли" — автоблокировка была отключена. Мне не очень понятно, было это сделано специально или по какой-то случайности.
Хостить выходную ноду дома в России — да, это перебор для обычного пользователя инета. Как минимум стоит уметь читать текст на мой взгляд.
Хостить обычный промежуточный релей или мост — почему бы и нет.
Вот только при переезде ссылки с #anchor поломались, как минимум — на комментарии. Их бы через javascript-based редирект сделать было б возможно (если базу ещё не дропнули), но может быть не очень тривиально...
Я старался сделать так, чтоб даже суд с потенциальным приписыванием хулиганки к обсуждаемому инциденту превратился в "шапито по фактам". Надеюсь, впрочем, проверять не получится.
А если DNS-атака выведет из строя… доказать могут
Конечно. Поэтому если цели хулиганские — то заметать следы всячески начинает иметь смысл. Я же говорю:
У меня ничего нигде не скрыто намеренно — шутка сия ничего сломать не должна, но вдруг сломает. Пусть уж лучше будет прозрачным образом написана почта и телефон, чтоб я быстро мог её потушить в случае проблем.
А вот глушить интернет-магазины конкурентов для клиентов по всей России так уже не получится. Ну по крайней мере — тривиальным образом не должно. Тут, кажется, провайдеры потратили кучу инженеро-часов, чтоб это не было возможным. По своей инициативе или по наказу РКН? Этого не знаю. Тут лучше провайдеров спрашивать.
Это IP. С IP всё сравнительно просто в "обычных" случаях. Мне интересно поведение приложения, если случится на NAT изменение source port, которое в случае с docker носит вероятностный характер.
Код берёт его из
getsockname()
. Но из этого следует, что MTProxy адекватно работать не должна за почти любым NAT, в том числе и за докерным. А она вроде как работает.Надо проверить что ли :-)
Почитал. "Проверяет". Но используется не ip:port "сервиса", а ip:port исходящего соединения mtproto proxy в сторону middle proxy.
А проверяет ли middleProxy то, что по переданному IP:port слушает именно этот сервис?
А что говорят про IP этого VPS разные боты с https://usher2.club/ ?
Это правда. Тот же самый meet.jit.si был какое-то время разломан. Предположительно, из-за амазона.
В данном случае магии не было. После срабатывания MTProto "триггера" пара
${IP}:${TCP_port}
отправлялась в бан на час-другой. Заикания такая упячка вызывать не должна была.Это должны поддерживать и клиент и сервер. Теоретически ещё можно устраивать случайную фрагментацию запросов (в духе GoodbyeDPI имени ValdikSS), в этом случае будет достаточно поддержки на клиенте.
Я не успел ночью проверить, работает ли фрагментация. К утру эту подпольную DPI-лабораторию уже "сожгли" — автоблокировка была отключена. Мне не очень понятно, было это сделано специально или по какой-то случайности.
Я, кажется, ответил комментарием выше на вопрос "почему?"
Не знаю. Спросите лучше у самого Димы или у его жены. :-)
Хостить выходную ноду дома в России — да, это перебор для обычного пользователя инета. Как минимум стоит уметь читать текст на мой взгляд.
Хостить обычный промежуточный релей или мост — почему бы и нет.
Технически, конечно, могу — но не хочу :-)
Я считаю, что это ответная шутка, т.к. выносились они будто бы не одной выгрузкой, а двумя разными.
Вкратце — внедрением разных вариаций на тему DPI у провайдеров. Разработкой сообществом, покупкой у вендоров, внедрением… Всё за деньги с клиентов.
Вот только при переезде ссылки с #anchor поломались, как минимум — на комментарии. Их бы через javascript-based редирект сделать было б возможно (если базу ещё не дропнули), но может быть не очень тривиально...
Пост, кстати, переехал на habr с geektimes с поломкой ссылок. Поэтому приходится обновлять ссылку "сделать так" отдельным комментарием :-/
Я старался сделать так, чтоб даже суд с потенциальным приписыванием хулиганки к обсуждаемому инциденту превратился в "шапито по фактам". Надеюсь, впрочем, проверять не получится.
Конечно. Поэтому если цели хулиганские — то заметать следы всячески начинает иметь смысл. Я же говорю:
А вот глушить интернет-магазины конкурентов для клиентов по всей России так уже не получится. Ну по крайней мере — тривиальным образом не должно. Тут, кажется, провайдеры потратили кучу инженеро-часов, чтоб это не было возможным. По своей инициативе или по наказу РКН? Этого не знаю. Тут лучше провайдеров спрашивать.
Может и 6, может и дюжина — смотря как считать.