Эльбрус и FreePascal

[Alex2013]

Тут надо отметить что со стороны пользователя в России наблюдаются два вида блокировок, первый от РКН, сопровождается заглушкой с соответствующим текстом и второй, просто отказ в обслуживании в виде таймаута, ендоффайл, сайт прервал соединение и т.п., так вот, второй вариант это блокировка со стороны ресурса для пользователей с ру сегмента и такого подавляющее большинство, у РКН новых блокировок по минимуму.

В РФ есть такая гадость как системы глубокого анализа трафика (DPI, Deep Packet Inspection) что впрочем успешно "лечится" через программу GoodbyeDPI .

При этом по максимуму заблокированы сайты с ру сегмента на стороне запада, причина (по утверждению в западных сми) - запад пытается оградится от проникновения информации со стороны РФ, а вот зачем они ограничивают доступ к своим сайтам, включая новостные, не совсем понятно.

Это немного ерунда ( пользуюсь западными VPN и прокси и явных блокировок там нет а "по таймауту" кот наплакал, но вот подтормаживать трафик с РФ там могут и любят ну или как вариант вся "халява" забита )

а вот зачем они ограничивают доступ к своим сайтам, включая новостные, не совсем понятно

Ага... Но если к сайтам типа "Русской службы ББС" то это вполне понятно пропаганда на подобных сайтах учитывает " настроение аудитории" да и вообще использует то что западному обывателю как-бы "знать не полагается" а в РФ безобидное "общее место" . И особенно дико сравнивать контент "Русской" и "Украинской" службы ББС там такие "перекрестные перлы" вылезают мама не горюй .

[sts]

Это немного ерунда ( пользуюсь западными VPN и прокси и явных блокировок там нет а "по таймауту" кот наплакал, но вот подтормаживать трафик с РФ там могут и любят ну или как вариант вся "халява забита" )

Постоянно с этим сталкиваюсь

[Shleps]

РФ, а вот зачем они ограничивают доступ к своим сайтам, включая новостные, не совсем понятно.

на самом деле вариантов блокировки больше: помимо сайтов блокируются и многие сервисы vpn, tor, proxy которые не хттпшной природы и страницу-заглушку на них не повесишь. они рубятся с помощью правил reject или deny на файрволах, а поскольку многие сервисы живут на облачных площадках, то такое ограничение может бить по cdn крупных сервисов и как следствие давать частичные непрогрузы страниц или их фрагментов, распространяющихся через cdn. и еще вражьи dns могут рубить.

[sts]

В РФ есть такая гадость как системы глубокого анализа трафика (DPI, Deep Packet Inspection) что впрочем успешно "лечится" через программу GoodbyeDPI .

Для того чтобы прозрачно работало DPI нужно ставить спец сертификат в доверенные иначе будут предупреждения соответствующие, да такие случаи были но буквально единичные - 3-5 за два последних года, видимо просто сайты на которые я захожу не попадают в сферу интересов DPI.

[Shleps]

В РФ есть такая гадость как системы глубокого анализа трафика (DPI, Deep Packet Inspection) что впрочем успешно "лечится" через программу GoodbyeDPI .

при чем тут РФ? DPI придумало Cisco 100500 лет назад. только для перлюстрации трафика требуется такие процессорные мощности, что у провайдеров такого практически не бывает или за отдельные деньги как сервис. в основном это ставится перед выходом из сети организации (или прямо на нем, если в качестве маршрутизатора используется cisco ASA или аналоги)

провайдер может максимум завернуть интересующую часть трафика на ферму DPI, но сначала ктото должен сформулировать обьект интереса в терминах адресов, подсетей и масок.

Добавлено спустя 37 минут 41 секунду:

Для того чтобы прозрачно работало DPI нужно ставить спец сертификат в доверенные иначе будут предупреждения соответствующие, да такие случаи были но буквально единичные - 3-5 за два последних года, видимо просто сайты на которые я захожу не попадают в сферу интересов DPI.

не нужно никаких сертификатов для DPI. и оно вообще не про сайты, а про любой трафик.
сертификаты в доверенные прописываются если орпоративный прокси сервер перехватывает и расшифровывает https, перлюстрирует его, а потом зашифровывает уже со своим ключом и отправляет далее, например на сайт банка.

а DPI - это например разрешить хттп, но запретить смтп, базируясь не на номерах портов, а на ключевых словах протокола. или запретить ssh и rdesktop, radmin и teamviewer. по сайтам ходить можно, а отдать управление своим рабочим столом - нельзя. пусть даже прококол тимвьюера инкасулирован внутрь хттп. ну и эпичная битва скайп vs DPI

[sts]

а DPI - это например разрешить хттп, но запретить смтп, базируясь не на номерах портов, а на ключевых словах протокола. или запретить ssh и rdesktop, radmin и teamviewer. по сайтам ходить можно, а отдать управление своим рабочим столом - нельзя. пусть даже прококол тимвьюера инкасулирован внутрь хттп. ну и эпичная битва скайп vs DPI

чтобы запретить "на ключевых словах протокола" надо расшифровать трафик чтобы эти слова узнать

Добавлено спустя 3 минуты 1 секунду:

Deep Packet Inspection (сокр. DPI) — технология проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика

содержимое зашифровано так как большинство ходит по httpS

[Shleps]

чтобы запретить "на ключевых словах протокола" надо расшифровать трафик чтобы эти слова узнать

вообще необязательно. если угодно - ключевое слово заменяется фингерпринтом набором произвольных характеристик.
инспектор может зарубить openvpn и оставить ipsec, хотя оба протокола предназначены для установки туннеля и шифрут трафик.

содержимое зашифровано так как большинство ходит по httpS

интернет вебом не ограничивается.
как правило инспекция ставится для предотвращения несанкционированного доступа и утечки данных. то есть как раз чтобы зарубить возможность шифрованных соединений. и если на прокси можно включить подмену сертификата, то надо зарезать попытки передачи данных внутри других протоколов. хуже всего
со скайпом - эта тварь через все работать умеет. еще есть вариант очень медленно, но скрытно передавать информацию через dns.а его зарубить целиком нельзя. еще можно разрывать сессию в момент переключения режима сокета или прохождения ключевого слова (ни одно письмо с секретной фамилией не уйдет через штатный почтовый сервер, никто не сможет подумать об обезьяне с зеленым задом).

можно менять класс трафика в зависимости от обнаруженных приложений.
например при обнаружении шифрованного трафика или трафика игр, или торрента - снижать его скорость. или блокировать трафик приложений, ищущих в сети определенное оборудование (очень любят принтеры и беспроводное оборудование)
можно изменять класс трафика в зависимости от его статистических характеристик - например увеличить задержки для ldap, если частота запросов превышает порог. этакий локальный антиддос против контроллера домена.
особо виден трафик мультимедийных приложений, мультикаст, ip- телефония

dpi любят опсосы и владельцы приложений и облаков, причем в этом случае dpi стоит уже позади терминации ssl и получает расшифрованный трафик. например чтобы решить, что добавить в местный кэш сети CDN, а что из него выкинуть. т.е. DPI, стоящий где нить в гугле или клаудфларе может собирать например статистику и геолокацию запросов на тему нужных фамилий или названий организаций. как в "превосходстве Борна" црушники быстро грохнули журналиста, засветившего кодовое слово blackbriar

[sts]

интернет вебом не ограничивается.

и? тут то веб обсуждают

Добавлено спустя 6 минут 41 секунду:
кстати, думаю посмотрю долю https в трафике, radar.yandex.ru/https - 97,71 %

[Alex2013]

Основной прикол чуть в другом утилита GoodbyeDPI успешно дурит систему запросов пакетов и ловит реальный ответ сервера который все-же идет следом за "ответом" от DPI . Если первое более менее понятно то втрое нет . Разумеется, что-то похожее на DPI могут поставить на "международных шлюзах" в духе "великого китайского файервола" и не пускать "чужой непроверенный трафик" в нац. сеть "от слова совсем" . Но это дорого и как ни странно менее надежно ( стоит найти способ туннелирования и "кили нац юзер файервол"). А DPI как я понял стоит у ключевых провайдеров и может "работать точечно" ( чуть ли не индивидуально ) не мешая общему функционированию сети .

Разумеется дырка GoodbyeDPI может быть закрыта, но хуже другое с помощью похожей технологии можно реализовывать концепцию " персональной матрицы" (точнее рассчитанную на несколько "целевых групп" в духе старины Хаксли ) о самом существании которой фиг догадаешься. ( Если все работает то никто не почешется что-то проверять ) Ага эдакая "теория мертвого интернета" на минималках.
В принципе мы и сами обычно не плохо "замыкаем круг". ( Например затыкая выдачу нежелательного контента на разных агрегаторах типа яндекс-дзена, в баннерных сетях и используя при веб-серфинге в основном собственную коллекцию ссылок. ) Но концепция "персональной матрицы" опасна в основном тем что ее очень трудно выявить. И более того разные предложения "перейти в Зеон" могут отказаться ловушкой только усиливающей уровень изоляции. (И как показвает моментально почти полностью заткнутый ТорБраузер это уже отнюдь не теория )

[Shleps]

кстати, думаю посмотрю долю https в трафике, radar.yandex.ru/https - 97,71 %

аберрация наблюдателя.
глупо спрашивать об обьеме нехттп трафика у хттп-провайдера.
это надо смотреть у провайдеров, а там картинка радикально другая: пиринговые сети, туннели, телефония и iptv едва ли не половина.

Добавлено спустя 16 минут 57 секунд:

Основной прикол чуть в другом утилита GoodbyeDPI успешно дурит систему запросов пакетов и ловит реальный ответ сервера который все-же идет следом за "ответом" от DPI .

она дурит только тех у кого фильтр настроен дерьмово для ускорения обработки.
единственное надежное средство - туннель с нестандартным шифрованием или стеганографически-подобные вещи.

а вот персональные матрицы уже давно в ходу у поисковиков. поиск ограничивается пузырем документов, сформированных на базе личных предпочтений. лекарство на данный момент - сервис duckduckgo

[Alex2013]

Упс! Разговор опять свернул куда-то "не туда" ? Какое все это имеет отношение к теме "Эльбрус и FreePascal" ? "Сия тайна велика есть "
В разделе "потрепаться" уже есть подходящая тема ( Развитие IT в период перемен.)
Ответил там