Что на самом деле произошло с Telegram 1 апреля
Коллеги, если первого апреля вы решили, что проблемы с доступом к Telegram — это чья-то неудачная шутка или локальный сбой маршрутизации, то реальность оказалась куда серьезнее. Это был спланированный удар от РКН, и мы с вами наблюдали одну из самых технически интересных схваток этого года.
Давайте разберем инцидент по слоям.
Как развивалась атака:
В полночь 1 апреля на оборудование ТСПУ начали прилетать правила жесткой блокировки всех IP-подсетей мессенджера. Никакого искусственного замедления — только полный сброс соединений на сетевом уровне.
Одновременно с этим вендоры систем DPI развернули новые эвристические алгоритмы. Они научились безошибочно детектировать MTProxy, работающий в режиме Fake-TLS. Как итог, тысячи прокси-серверов по всей стране легли за считанные минуты.
В чем была техническая загвоздка:
DPI сменил тактику. Анализаторы перестали смотреть исключительно на серверную часть и начали жестко профилировать поведение клиента при установке соединения.
Выяснилось, что Telegram формирует пакет приветствия не так, как это делают стандартные браузеры вроде Chrome или Safari. Паттерн TLS ClientHello у мессенджера имел специфический отпечаток. Системы DPI начали отлавливать эту аномалию и резать сессии по клиентскому фингерпринту.
Ответ комьюнити:
Разработчики из проекта telemt (одна из ведущих реализаций MTProxy на Rust) разобрали дамп трафика и локализовали проблему за несколько часов. В тот же день исследователь alexbers продемонстрировал концепт: если модифицировать ClientHello в самом приложении Telegram, замаскировав его под стандартный браузерный запрос, DPI пропускает трафик.
Команда мессенджера отреагировала с беспрецедентной скоростью. На GitHub оперативно открыли pull request, и уже 3 апреля в релиз ушел Telegram Desktop версии 6.7.2 с нужным фиксом ClientHello для работы с EE-MTProxy. Обновление сразу покрыло Windows, Linux и macOS.
На сегодняшний день исправление уже внедрено в бета-версию Android 12.6.4. Клиент для iOS пока висит на проверке в Apple.
Последствия для инфраструктуры:
Пока инженеры чинили протоколы, ковровые блокировки VPN-протоколов зацепили смежные отрасли. Павел Дуров отметил в своем заявлении, что попытки заблокировать трафик привели к кратковременному банковскому кризису — во многих местах отвалились терминалы оплаты, и наличные деньги внезапно стали единственным рабочим средством расчета.
По его статистике, 65 миллионов россиян ежедневно используют Telegram через VPN. Дуров резюмировал ситуацию коротко: «Добро пожаловать обратно в цифровое сопротивление».
Итог:
Блокировщики долго готовили комбинированный удар по IP-адресации и сигнатурам MTProxy. Однако open-source сообщество провело реверс-инжиниринг новых правил DPI за 48 часов, а разработчики доставили патч конечным пользователям за 72 часа.
Гонка систем глубокого анализа трафика и методов маскировки продолжается. Проверяйте версии своих клиентов и следите за тем, как ваш корпоративный трафик проходит через шлюзы.
#telegram #networking #dpi #mtproxy #security #rkn #admin_future
Коллеги, если первого апреля вы решили, что проблемы с доступом к Telegram — это чья-то неудачная шутка или локальный сбой маршрутизации, то реальность оказалась куда серьезнее. Это был спланированный удар от РКН, и мы с вами наблюдали одну из самых технически интересных схваток этого года.
Давайте разберем инцидент по слоям.
Как развивалась атака:
В полночь 1 апреля на оборудование ТСПУ начали прилетать правила жесткой блокировки всех IP-подсетей мессенджера. Никакого искусственного замедления — только полный сброс соединений на сетевом уровне.
Одновременно с этим вендоры систем DPI развернули новые эвристические алгоритмы. Они научились безошибочно детектировать MTProxy, работающий в режиме Fake-TLS. Как итог, тысячи прокси-серверов по всей стране легли за считанные минуты.
В чем была техническая загвоздка:
DPI сменил тактику. Анализаторы перестали смотреть исключительно на серверную часть и начали жестко профилировать поведение клиента при установке соединения.
Выяснилось, что Telegram формирует пакет приветствия не так, как это делают стандартные браузеры вроде Chrome или Safari. Паттерн TLS ClientHello у мессенджера имел специфический отпечаток. Системы DPI начали отлавливать эту аномалию и резать сессии по клиентскому фингерпринту.
Ответ комьюнити:
Разработчики из проекта telemt (одна из ведущих реализаций MTProxy на Rust) разобрали дамп трафика и локализовали проблему за несколько часов. В тот же день исследователь alexbers продемонстрировал концепт: если модифицировать ClientHello в самом приложении Telegram, замаскировав его под стандартный браузерный запрос, DPI пропускает трафик.
Команда мессенджера отреагировала с беспрецедентной скоростью. На GitHub оперативно открыли pull request, и уже 3 апреля в релиз ушел Telegram Desktop версии 6.7.2 с нужным фиксом ClientHello для работы с EE-MTProxy. Обновление сразу покрыло Windows, Linux и macOS.
На сегодняшний день исправление уже внедрено в бета-версию Android 12.6.4. Клиент для iOS пока висит на проверке в Apple.
Последствия для инфраструктуры:
Пока инженеры чинили протоколы, ковровые блокировки VPN-протоколов зацепили смежные отрасли. Павел Дуров отметил в своем заявлении, что попытки заблокировать трафик привели к кратковременному банковскому кризису — во многих местах отвалились терминалы оплаты, и наличные деньги внезапно стали единственным рабочим средством расчета.
По его статистике, 65 миллионов россиян ежедневно используют Telegram через VPN. Дуров резюмировал ситуацию коротко: «Добро пожаловать обратно в цифровое сопротивление».
Итог:
Блокировщики долго готовили комбинированный удар по IP-адресации и сигнатурам MTProxy. Однако open-source сообщество провело реверс-инжиниринг новых правил DPI за 48 часов, а разработчики доставили патч конечным пользователям за 72 часа.
Гонка систем глубокого анализа трафика и методов маскировки продолжается. Проверяйте версии своих клиентов и следите за тем, как ваш корпоративный трафик проходит через шлюзы.
#telegram #networking #dpi #mtproxy #security #rkn #admin_future