индивидуальные-динамические-блокировки-по-триггерам-на-тспу

Ник	Пост	Дата
ValdikSS	Примерно с середины января 2024 обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились. При обращении: По HTTPS со SNI `(api\|checkip\|assets).windscribe.com` (и других доменов сервиса Windscribe) на порт 443 (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, `149.88.108.1`) (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты происходит блокировка на 5 минут: SNI по regexp `(api\|checkip\|assets)\.[0-9a-f]{40}\.com`, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. `https://api.abcdef0123456789abcdef012345678900000000.com` заблокируется, но `https://api.abc0000123456789222222012345678900000000.com` — нет Возможно, метод с триггерами используется в том числе для выявления новых VPN-серверов: если пользователь обратился на `(api\|checkip\|assets).windscribe.com` или на regexp-домен после его блокировки, а затем в течение 5 минут подключается по OpenVPN или WireGuard к какому-то неизвестному IP-адресу, то это, скорее всего, сервер Windscribe. Если это и происходит, то не в автоматическом режиме. По IPv6 regexp-домены заблокированы всегда.	2024-02-28T15:35:47.571Z
anon57137390	ValdikSS: {40} Если интересно, это 20 байт SHA1 в base16 (hex) кодировке Источник (Пароль для хэша скрыт в блобе, загружаемом под видом либы из интернета при компиляции. Им это не помогло, на проводе это бесполезно. Впрочем, в коде есть еще динамические домены подгружаемые через DNS записи)	2024-02-29T18:22:17.415Z
Fleymorx	Поможет ли вот этот скрипт GitHub - Feriman22/portscan-protection: This script helps to avoid portscanning on Linux systems. уберечь от данных сканирований?	2024-02-29T19:15:25.845Z
ValdikSS	О каком сканировании речь? Здесь ничего не сканировалось.	2024-02-29T19:21:47.427Z
ilyaigpetrov(ilyaigpetrov)	Telegram Tech Talk Сбой в работе рунета 27 февраля, когда многие юзеры не могли зайти на какой-либо сайт/воспользоваться мессенеджром или подключиться к VPN на своем сервере, мог произойти из-за массового тестирования Active Probing, который уже много лет успешно... При этом, в своей заметке на ресурсе ntc.party (Индивидуальные динамические блокировки по триггерам на ТСПУ) пишет о сканировании и ValdikSS[…]	2024-02-29T19:30:06.608Z
Fleymorx	ValdikSS: О каком сканировании речь? Здесь ничего не сканировалось. Вот выше прислали ссылку. Описывают как Active Probing.	2024-02-29T20:18:39.694Z
invictus(invictus)	ЗаТелеком в телеге у себя навыкладывал пачку конфигов, чтобы дропать всю эту любопытствующую плесень, плюс там пара ссылок на гитхаб, где уже люди покумекали заблаговременно.	2024-02-29T20:34:50.161Z
ValdikSS	Может эти события и связаны по времени, но не по принципу.	2024-02-29T21:23:41.712Z