From 109c18b75d472c3cdaa7c3d34e981d9a05ca12de Mon Sep 17 00:00:00 2001 From: ValdikSS Date: Mon, 18 Feb 2019 01:31:19 +0300 Subject: [PATCH] =?UTF-8?q?Updated=20=D0=98=D0=BD=D1=82=D0=B5=D1=80=D0=B5?= =?UTF-8?q?=D1=81=D0=BD=D0=BD=D0=B0=D1=8F=20=D0=BE=D1=81=D0=BE=D0=B1=D0=B5?= =?UTF-8?q?=D0=BD=D0=BD=D0=BE=D1=81=D1=82=D1=8C=20DPI=20=D0=A0=D0=BE=D1=81?= =?UTF-8?q?=D1=82=D0=B5=D0=BB=D0=B5=D0=BA=D0=BE=D0=BC=D0=B0=20(markdown)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- Интереснная-особенность-DPI-Ростелекома.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/Интереснная-особенность-DPI-Ростелекома.md b/Интереснная-особенность-DPI-Ростелекома.md index 59764d8..64b26f2 100644 --- a/Интереснная-особенность-DPI-Ростелекома.md +++ b/Интереснная-особенность-DPI-Ростелекома.md @@ -1,4 +1,4 @@ -У **Ростелекома** обнаружилась интересная деталь: соединения на заблокированные *IP-адреса* успешно устанавливаются, если размер пакета TCP SYN меньше 62 байт. При этом соединение идет через DPI (видно по дополнительному хопу в TTL), разрывается через 10 секунд неактивности, и TCP RST всё равно нужно блокировать. SYN-пакеты размером более 62 байта отбрасываются, ACK на них не приходит. Предполагаю, это какая-то дополнительная система обнаружения трафика, которая перенаправляет соединение через другой маршрут, т.к. до этого у Ростелекома был только «пассивный» (out-of-band) DPI, а это похоже на «активный» (in-band). +У **Ростелекома** обнаружилась интересная деталь: соединения на заблокированные **IP-адреса** успешно устанавливаются, если размер пакета TCP SYN меньше 62 байт. При этом соединение идет через DPI (видно по дополнительному хопу в TTL), разрывается через 10 секунд неактивности, и TCP RST всё равно нужно блокировать. SYN-пакеты размером более 62 байта отбрасываются, ACK на них не приходит. Предполагаю, это какая-то дополнительная система обнаружения трафика, которая перенаправляет соединение через другой маршрут, т.к. до этого у Ростелекома был только «пассивный» (out-of-band) DPI, а это похоже на «активный» (in-band). Как бы то ни было, одновременной блокировкой TCP RST от DPI и уменьшением размера TCP SYN можно обойти сетевые блокировки TCP на Ростелекоме, независимо от порта и протокола. Чтобы уменьшить TCP SYN до 62 байт, достаточно отключить две TCP-опции: TCP Timestamps и TCP SACK: