Форум МАКАТЕЛ
Оборудование и SOFT => Интернет => Тема начата: Alexam от 27.02.2024, 16:24
-
Блокировки отключились, ТСПУ в байпасе, Телеграм не грузит медиа.
Вот так вот у них всё.
-
https://t.me/federalpress/41645
ШЛюзы подключили не в ту дверь.
-
https://t.me/ru_tech_talk/486:
Сбой в работе рунета 27 февраля, когда многие юзеры не могли зайти на какой-либо сайт/воспользоваться мессенеджром или подключиться к VPN на своем сервере, мог произойти из-за массового тестирования Active Probing, который уже много лет успешно работает в Китае или какой-то другой похожей на Active Probing технологии.
Вчера с IP-адреса из группы AS61280 проводили сканирование 443 порта у многих серверов (они могли быть пустые или на них мог быть установлен VPN). Данный адрес принадлежит ГЧРЦ.
При этом, в своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. В заметке говорится, что Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.
Данные блокировки происходят следующим образом:
При обращении:
- По HTTPS со SNI (api|checkip|assets).windscribe.com (и других доменов сервиса Windscribe) на порт 443
- (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, 149.88.108.1)
- (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты
происходит блокировка на 5 минут:
- SNI по regexp (api|checkip|assets)\.[0-9a-f]{40}\.com, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. https://api.abcdef0123456789abcdef012345678900000000.com заблокируется, но https://api.abc0000123456789222222012345678900000000.com — нет
Также он подметил, что метод с триггерами используется в том числе для выявления новых VPN-серверов, но если это и происходит, то не в атематическом режиме.
Таким образом получается, что в каком-то виде Active Probing уже минимум месяц работает в России точечно. Падение во вторник возможно было из-за попытки раскатать Active Probing в автоматическом режиме на весь рунет.
-
и таки да - по всем ресурсам ползают - сканят f_emo_14 порты:
( чтобы поблочить f_emo_14 ненужные вам сервисы )
212.192.158.118 - - [18/Feb/2024:22:34:57 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.114 - - [18/Feb/2024:22:40:21 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.119 - - [18/Feb/2024:23:08:06 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.117 - - [18/Feb/2024:23:09:52 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.114 - - [18/Feb/2024:23:14:16 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.121 - - [18/Feb/2024:23:17:14 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.115 - - [18/Feb/2024:23:17:41 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.122 - - [18/Feb/2024:23:19:21 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
212.192.158.118 - - [18/Feb/2024:23:21:00 +0300] "GET / HTTP/1.0" 400 362 "-" "-"
Проверить кто то :
$ echo '-i origin AS61280' | nc whois.radb.net 43 | grep -E '^route:' | awk '{ print $2 }'
185.224.228.0/24
185.224.229.0/24
185.224.230.0/24
185.224.231.0/24
195.209.120.0/22
195.209.120.0/24
195.209.121.0/24
195.209.122.0/24
195.209.123.0/24
212.192.156.0/22
212.192.156.0/24
212.192.157.0/24
212.192.158.0/24
212.192.159.0/24
$ echo '-i origin AS61280' | nc whois.radb.net 43 | grep -E '^route:' | awk '{ print $2 }' | aggregate6
185.224.228.0/22
195.209.120.0/22
212.192.156.0/22