На просторах сети всплыл шикарный обучающий материал, детально разбирающий архитектуру тех самых ТСПУ (но материал не самый свежий). И с инженерной точки зрения это весьма масштабный и грамотно спроектированный комплекс. Если кому лень смотреть пятичасовой видос на ютубах (ссылка в комментах), то читаем ниже.
Физически система состоит из нескольких сущностей... аппаратных байпасов, балансировщиков на базе мощных чипов Tofino (переваривающих до 3.2 Тбит/с) и самих серверов фильтрации. Железо под DPI-ноды выбрано грамотное... платформы на 24-ядерных Xeon Gold с сотнями гигабайт оперативки. Ставятся эти коробки в разрыв операторского линка, причем продумано несколько схем установки. Идеальный для товарища майора вариант - это когда до CGNAT, где системе видны серые IP конкретных абонентов, но можно воткнуть и после, разбирая уже транслированный белый трафик провайдера 👮♂️
Вся магия происходит на балансировщиках. Чтобы система DPI могла нормально разбирать сессии на седьмом уровне модели OSI, ей нужно видеть пакеты в обе стороны. Балансировщик берет на себя выравнивание асимметричного трафика, раскидывая его по конкретным ядрам фильтров на основе хеша от IP-адресов и портов. Сами фильтры работают на прошивках EcoFilter и EcoDPI, получая списки блокировок из центральной системы управления через изолированный ГОСТовый VPN Континент. И да, в настройках есть встроенная опция деградации протоколов (от 0 до 100), которая позволяет изящно увеличивать процент дропнутых пакетов 😭. Именно этой опцией условный Ютуб или Телега элегантно превращают в нерабочее.
Интересна и защита от падений самого ТСПУ. Разработчики понимали, что их серверы будут ложиться под нагрузкой или кривыми апдейтами, поэтому запилили немного отказоустойчивости. Если фильтр не отвечает на keepalive-пакеты или дропает больше 20% сессий от перегруза, балансировщик автоматически пускает трафик в обход без флапа линков у провайдера. А если в стойке тупо пропадает питание, срабатывает оптическое реле в пассивном байпасе, аппаратно замыкая линию связи напрямую. То есть, если ТСПУ умирает, интернет не пропадает, он просто становится кристально свободным как юные годы
По итогу получился вполне себе серьезный программно-аппаратный конвейер. Со своей подсистемой мониторинга (умеют даже деградацию оптики на SFP-трансиверах смотреть), продвинутым CLI и двойным резервированием. Этот глобальный бэкенд сформировал поверх сетей провайдеров еще одну параллельную, централизованно управляемую инфраструктуру гигантских масштабов. Изучая эти логи, понимаешь, что плясать с бубном с этим на уровне любительских прокси будет всё сложнее, потому что по ту сторону работает очень качественный сетевой инжиниринг... было бы любопытно взглянуть на самые свежие разборы с новыми фичами ТСПУ, но увы.
Зависла Телега на отправке? Спонсор этого картизола - packet drop 40%, изящно примененный в соседней стойке...
Физически система состоит из нескольких сущностей... аппаратных байпасов, балансировщиков на базе мощных чипов Tofino (переваривающих до 3.2 Тбит/с) и самих серверов фильтрации. Железо под DPI-ноды выбрано грамотное... платформы на 24-ядерных Xeon Gold с сотнями гигабайт оперативки. Ставятся эти коробки в разрыв операторского линка, причем продумано несколько схем установки. Идеальный для товарища майора вариант - это когда до CGNAT, где системе видны серые IP конкретных абонентов, но можно воткнуть и после, разбирая уже транслированный белый трафик провайдера 👮♂️
Вся магия происходит на балансировщиках. Чтобы система DPI могла нормально разбирать сессии на седьмом уровне модели OSI, ей нужно видеть пакеты в обе стороны. Балансировщик берет на себя выравнивание асимметричного трафика, раскидывая его по конкретным ядрам фильтров на основе хеша от IP-адресов и портов. Сами фильтры работают на прошивках EcoFilter и EcoDPI, получая списки блокировок из центральной системы управления через изолированный ГОСТовый VPN Континент. И да, в настройках есть встроенная опция деградации протоколов (от 0 до 100), которая позволяет изящно увеличивать процент дропнутых пакетов 😭. Именно этой опцией условный Ютуб или Телега элегантно превращают в нерабочее.
Интересна и защита от падений самого ТСПУ. Разработчики понимали, что их серверы будут ложиться под нагрузкой или кривыми апдейтами, поэтому запилили немного отказоустойчивости. Если фильтр не отвечает на keepalive-пакеты или дропает больше 20% сессий от перегруза, балансировщик автоматически пускает трафик в обход без флапа линков у провайдера. А если в стойке тупо пропадает питание, срабатывает оптическое реле в пассивном байпасе, аппаратно замыкая линию связи напрямую. То есть, если ТСПУ умирает, интернет не пропадает, он просто становится кристально свободным как юные годы
По итогу получился вполне себе серьезный программно-аппаратный конвейер. Со своей подсистемой мониторинга (умеют даже деградацию оптики на SFP-трансиверах смотреть), продвинутым CLI и двойным резервированием. Этот глобальный бэкенд сформировал поверх сетей провайдеров еще одну параллельную, централизованно управляемую инфраструктуру гигантских масштабов. Изучая эти логи, понимаешь, что плясать с бубном с этим на уровне любительских прокси будет всё сложнее, потому что по ту сторону работает очень качественный сетевой инжиниринг... было бы любопытно взглянуть на самые свежие разборы с новыми фичами ТСПУ, но увы.
Зависла Телега на отправке? Спонсор этого картизола - packet drop 40%, изящно примененный в соседней стойке...
YouTube
Архитектура и принципы работы ТСПУ
Архитектура и принципы работы автоматизированной системы обеспечения безопасности российского сегмента сети Интернет и ТСПУ (Технические средства противодействия угрозам). Видео 2021 года.
🤬4🤯1
This media is not supported in your browser
VIEW IN TELEGRAM
Обстановка на окраинах Москвы сегодня вечером.
🤔8😱1
Про саму блокировку Белые списки - Cheburcheck
Прим. : реальный диапазон блокировок ~14-25 КБ, для http может быть ~24-32 КБ
Инструменты для проверки на “16кб” блок:
RU :: TCP 16-20 DPI Checker - показывает, на каких CDN и хостингах есть “16 кб” блок
CLI-инструмент для тестирования DPI-блокировок: домены, TLS, TCP 16-20KB, DNS - аналогично, но плюс еще проверка на перехват DNS провайдером, диагностика типов блокировок для списка доменов (есть версии для Windows, Linux, macOS)
16kbCheck.zip (1,5 МБ) - батник для windows, проверяет список ссылок на скачивание n КБайт (задается в 16kb-Checker.ini), определяет cdn для каждой ссылки, плюс проверка на блок по ip
Список блокируемых хостеров от 0ka Блокировка Cloudflare, OVH, Hetzner, DigitalOcean... 09.06.2025 - xx.xx.xxxx - #725 by 0ka
Прим. : реальный диапазон блокировок ~14-25 КБ, для http может быть ~24-32 КБ
Инструменты для проверки на “16кб” блок:
RU :: TCP 16-20 DPI Checker - показывает, на каких CDN и хостингах есть “16 кб” блок
CLI-инструмент для тестирования DPI-блокировок: домены, TLS, TCP 16-20KB, DNS - аналогично, но плюс еще проверка на перехват DNS провайдером, диагностика типов блокировок для списка доменов (есть версии для Windows, Linux, macOS)
16kbCheck.zip (1,5 МБ) - батник для windows, проверяет список ссылок на скачивание n КБайт (задается в 16kb-Checker.ini), определяет cdn для каждой ссылки, плюс проверка на блок по ip
Список блокируемых хостеров от 0ka Блокировка Cloudflare, OVH, Hetzner, DigitalOcean... 09.06.2025 - xx.xx.xxxx - #725 by 0ka
👍3
🧻 @loop_uh | Канал для умных манулов
Про саму блокировку Белые списки - Cheburcheck Прим. : реальный диапазон блокировок ~14-25 КБ, для http может быть ~24-32 КБ Инструменты для проверки на “16кб” блок: RU :: TCP 16-20 DPI Checker - показывает, на каких CDN и хостингах есть “16 кб” блок…
Обход “16кб” блока заключается в отправке белого sni (домена, входящего в белый список для CDN, на эти домены не распространяется “16кб” блок)
Для zapret это будет стратегия со sni/hex/bin
Для GoodbyeDPI аналогично
Для byedpi
Для singbox (и подобных утилит) на tls
Для zapret это будет стратегия со sni/hex/bin
--dpi-desync=fake --dpi-desync-fake-tls-mod=sni=домен_из_белого_списка
--dpi-desync=fake --dpi-desync-fake-tls=0x1603....
--dpi-desync=fake --dpi-desync-fake-tls=tls_домен_из_белого_списка.bin
Для GoodbyeDPI аналогично
--fake-with-sni домен_из_белого_списка --auto-ttl
--fake-from-hex 1603... --auto-ttl
Для byedpi
--fake -1 --fake-sni домен_из_белого_списка --ttl 5
--fake -1 --fake-data домен_из_белого_списка.bin --ttl 5
--fake -1 --fake-data :\x16\x03... --ttl 5
Для singbox (и подобных утилит) на tls
🧻 @loop_uh | Канал для умных манулов
Обход “16кб” блока заключается в отправке белого sni (домена, входящего в белый список для CDN, на эти домены не распространяется “16кб” блок) Для zapret это будет стратегия со sni/hex/bin --dpi-desync=fake --dpi-desync-fake-tls-mod=sni=домен_из_белого_списка…
Для singbox (и подобных утилит) на tls
"tls":
Для awg1.5+ нужно задать i1 = <b 0xc7000000010>, где c7000000010 - это hex значение пейлоада
"tls":
{
"enabled": true,
"insecure": true,
"server_name": "домен_из_белого_списка",
"disable_sni": false
}Для awg1.5+ нужно задать i1 = <b 0xc7000000010>, где c7000000010 - это hex значение пейлоада
🔥3
Россия обретёт цифровую независимость от мирового интернета к 2028 году.
Россия обретёт аграрную независимость от мирового агрокомплекса к 2030 году.
Россия обретёт суверенную независимость от мирового суверенитета к 2040 году.
Россия обретёт грыжу от постоянных попыток обрести независимость к 2050 году.
Россия обретёт аграрную независимость от мирового агрокомплекса к 2030 году.
Россия обретёт суверенную независимость от мирового суверенитета к 2040 году.
Россия обретёт грыжу от постоянных попыток обрести независимость к 2050 году.
😁14🤬4🌚1
России есть чему поучиться в опыте специальных военных операций у США
😁12👍4🤡2