Фил Кулин описал механизм добавления в неофициальный чёрный список Socks-прокси Telegram

У Фила Кулина опубликовано описание доклада Леонида Евдокимова, в котором постулируется следующее:

  1. У некоторых провайдеров установлен DPI выявляющий IP-адреса с трафиком типичным для Telegram.
  2. Эти IP-адреса куда-то отдаются
  3. Они кем-то проверяются на работу на них открытых Socks5-proxy Telegram
  4. Если прокси выявлен, адреса незамедлительно начинают блокироваться частью провайдеров, в основном — сотовые операторы.
  5. Через некоторое время IP-адреса попадают в выгрузку Роскомнадзора и начинают блокироваться всеми операторами

Пункт четвёртый, мягко говоря, не очень законный.

В целом же владельцам прокси имеет смысл задумываться о том, чтобы перейти на MTProto, и, в любом случае, использовать парольную защиту на Socks-прокси.

Добавить 4 комментария

  • Ответить

    хммм. отличный способ завалить конкурентов. Главное на некоторое время поднять socks proxy. Хотя купить и повесить домен из ЧС на конкурентов проще

  • Ответить

    во-первых, после этого (конкретно этого сканирования на предмет открытого прокси) — не значит вследствие этого (не обязательно сканирование привело к блокировке, как не обязательно что сканировавший и блокировавший это одно лицо), а на этом и строится всё доказательство.

    во-вторых, один пример доступа с адреса Мегафона нам ничего не говорит, а я думаю, будь у рассказчика больше образцов одинакового поведения — он бы не преминул их предоставить. того что все доступные диапазоны в сети регулярно сканируются различными предприимчивыми санитарами леса на предмет открытых дыр, особенно если уж вообще всякая простота вроде открытых socks5, этого автор может и не знать, конечно. могу только сказать что сканируют не только в поисках socks5, но даже и SIP. а найдя — немедленно начинают звонить черт знает куда, во Вьетнам какой-то.

    в-третьих, адрес префикса с картинки находится в AS25159, описание лаконочное — PJSC MegaFon. черт его знает, что за этим скрывается, но префикс длинный, /19. одно можно сказать наверняка — это не диапазон какого-то одного клиента, там может быть кто угодно, и по нескольку раз за день всё время разный. если смотреть из МТС, то трейс до адреса обрывается на 37.29.105.82 [AS 8359 — МТС], то есть на стыке с сетью мегафона. значит, на стыке ничего не знают о маршруте на адрес 178.176.30.221 — ну, как если бы стыковой маршрутизатор не знал маршрута на этот конкретный адрес или префикс — иначе мы бы увидели адрес пограничного маршрутизатора Мегафона. как если бы клиент с этим адресом не был бы в сети. оставляем за скобками всю конспирологию про «а вот этот конкретный адрес или даже сеть — её всю-всю фильтруют, потому что этот префикс в сети Мегафона должен быть тайным!».

    сценарий может быть например таким — человек открывает у себя socks5, его сканирует бот, по обнаружению немедленно передает адрес матке ботов, которая сразу же начинает слать через этот открытый socks5 лучи смерти. эти лучи смерти ловит сервер обнаружения подозрительного трафика на сети оператора передаёт эту инфу уже своей матке, и та даёт приказ по периферии блокировать адрес этого открытого socks5.

    чтобы было эпичнее, вместо «сервера обнаружения подозрительного трафика на сети оператора» можно подставить «щупальце кровавой гебни ГосСОПКА».

    через время другой человек выключает свой подключенный к инету через йоту зараженный трояном ноут, выключает и саму йоту (или что там у него) и идёт пить пиво. боты и сервера обнаружения подозрительного трафика продолжают сбор и обработку информации в глобальной сети.