Много где слышал про comss dns, пробовал его использовать. Он действительно помогает решать многие проблемы с доступом к ряду сайтов. Но я в какой-то степени параноик и есть у меня определенное недоверие к сторонним инструментам под чужим управлением. Очень интересна практическая реализация их настроек и как это можно повторить самостоятельно, пусть даже используя тот же control-d. Может кто знает, как они добиваются например этого:
- Обход блокировки доступа до сервисов с AI чатами (ChatGPT, Google Gimini etc), даже без использования VPN.
- Обход блокировки скачивания образов с сайта Microsoft.
В чем хитрость? В попытке разрешить имена с серверов на другом континенте, например из США?
В концепции DNS есть механизм “проброса” адреса клиента в DNS пакет – EDNS Client Subnet (ECS – в дальнейшем)
Да, но как это влияет на результат?
Например, я иду на сайт Quad9 DNS, сюда Service Addresses & Features | Quad9
Четко написано там, что первый блок адресов работает с выключенным ECS, а второй с включенным (Secured w/ECS: Malware blocking, DNSSEC Validation, ECS enabled). Но прописывание ни тех, ни других не дают того же результата, как у comss. Или я не правильно понимаю принцип этой технологии?
Да, не правильно понимаете. Comss выдает адреса своих серверов и пропускает трафик через них.
не comss, а control d. Comss всего лишь покупает у них услугу на сколько я понимаю
Вопрос был про comss, и эти ребята можно сказать, что “натят” через свои серверы. Да, это сделано на платформе (технологии) Control D.
У Control D тоже есть такая услуга https://controld.com/free-dns?freeResolverType=uncensored&helpPane=dns, но там сайтов много меньше
Кажется я понял. Хитрость не столько в dns, сколько в том, какие они адреса отдают через этот свой dns. А адреса этот dns возвращает не реального сервиса, а собственных серверов, на которых они выполняют определенную фильтрацию трафика. Стало быть вся хитрость именно в фильтрующих серверах, а не в хитрой работе dns. Занимательно, однако. Такой расклад мне даже в голову не приходил. Спасибо за разъяснения!
С точки зрения применения как я понял ставится днс сервер с поддержкой прокси и прокси отдает клиенту свой адрес, а сам работает с доменом.
Вариант для “бедных”, помогает понять общий смысл
Полноценный вариант
Учитывая, что многие провайдеры в РФ перехватывают весь DNS-трафик и резолвят принудительно сами, имеет смысл сразу прикручивать DoH/DoT. Иначе, вместо вашего DNS вам ответит DNS провайдера и магия не сработает.
Как я понимаю, большинство доменов DNS резолвит в их реальные адреса, а избранные домены резолвит в адрес прозрачного прокси, запущенного там же. В итоге, трафик до избранных доменов бегает через этот прокси, соответственно, эти домены считают, что перед ними не “грязный русский”, а европеец.
Если я прав, то так можно сделать и аналог АнтиЗапрета. Правда, разблокируется лишь то, что заблокировано по доменным именам, но не то, что заблокировано по IP или подсети. Но зато это можно настроить практически на любом утюге, т.к. требуется лишь, чтобы этот утюг поддерживал DoH/DoT.
Пользуясь случаем: если у кого-то есть полный список доменов (не просто названия сервисов, а именно домены), которые “разблокирует” Comss, просьба поделиться.
Известные домены я публиковал в конце этого поста
Наоборот же.
Было бы неплохо, если бы кто-нибудь проверил как влияют фейковые пакеты badsum, wongseq на sniproxy. Фейки с ttl должны работать.
Хочу попробовать провернуть это с dnscrypt-proxy, он умеет с прокси работать. А в адгард хоум для тестовых доменов указать этот днс.
Написал мини-прогу. Делает запрос с контрлд/комсс, получает айпи, а потом делает whois и смотрит кому айпи принадлежит. Если принадлежит контролд - то там, скорее всего, работает региональная разблокировка. Можно это дело автоматизировать и прогнать по какому-нибудь списку, но какой именно список взять, и где?
ComssAnalyzer.zip (6,2 МБ)
Не забудьте ДНСы свои про апгрейдить заодно.
А то вдруг они подавятся количеством запросов
Я проверил и выяснил, что фейки md5sig, badseq, badsum и разбивка split2, disorder2 работают с прокси controld.
Не завёлся только autottl.
Для проверки использовал:
curl -Sv --connect-to ::206.253.91.89 https://ntc.party/
curl -Sv --connect-to ::51.38.99.209 https://ntc.party/
Спасибо. Скомпилировал для линукса dns-check.zip (3,2 МБ). Вписал в браузере dns
https://freedns.controld.com/uncensored
пробовал также https://freedns.controld.com/p0
по dnsleak IP резолвера 45.159.98.186 Польша.
Пинг в 1,75 выше, чем у 1.1.1.1.
Возвращаемые IP адреса сайтов принадлежат CONTROLD INC., согласно проге, но гео блок не обходится. Пробовал intel.com, elevenlabs.io.
А почему бы не написать ребятам с comss такой вопрос? Раньше в комментариях они охотно отвечали на такие вопросы. Может дали бы такой список и объяснили, как их сервер работает для обхода блокировок. Я использовал их сервер для того, чтобы пользоваться ИИ.
https://www.comss.ru/disqus/page.php?id=12919
А ничего что после таких вот выкрутасов РосКом***** внесёт в баню Комсы ?
Весёлые ребята. 
Вы в комментарии хоть загляните, я же дал выше ссылку. Пользователи там им пишут - и они публично вносят домены для обхода. Можно написать им в личку, попросить почту для этого.
Проблема в том…
Что почта в зоне РУ и так под контролем.
Вы только можете за себя отвечать, а не за идиотов. Появиться пост идиота о красоте обхода где-нить на открытых ресурсах и будет всем грустно сразу
А также, видимо, и убирают ) Инста больше не работает ни через один из их адресов. Ну или РТК все IP вообще перебанили.
о блокировке SNI роскомнадзором не забывайте
Естественно с обходом проверял
ну так выше скидывали ip controld, через первый инста доступна
Для начала https://tranco-list.eu/
Ну так, если вы если компилили, то код открывали, наверное? Не видела какой там ДНС вписан? Там не сам контролд, а комсс, который их услугами пользуется. С обычным контролд у меня тоже нифига не работает.
Флаг в руки.
Спс. Реально полезный лист. Воспользуюсь, если буду дорабатывать прогу.
Альтернатива: GitHub - DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2 - A flexible DNS proxy, with support for encrypted DNS protocols.
В утилите можно прописать любой сервер DNS с DoH:
Там есть и бесплатные от ControlD
Не догадался глянуть.
Сделал. Прогнал по первой тысяче самых популярных доменов из этого поста.
Результат:
microsoft.com
bing.com
goo.gl
sentry.io
cisco.com
googleblog.com
stripe.com
avast.com
openai.com
weather.com
pixabay.com
chatgpt.com
dell.com
avcdn.net
sophos.com
intel.com
qualtrics.com
newrelic.com
microsoftapp.net
intercom.io
healthline.com
bitdefender.com
upwork.com
unpkg.com
supercell.com
segment.io
vmware.com
pexels.com
Дальше проверять не буду, т.к. лень.
Вот прога + код. На линуксе и остальных ОС тоже должна завестить, но компильте уже сами.
ComssAnalyzer2.zip (6,2 МБ)
Использование: ComssAnalyzer2 название_листа_со_списком_доменов
У меня предложение по usability для первого ComssAnalyzer. Если вводится в аргументе не доменное имя, а например
ComssAnalyzer https://ottplayer.tv/
или
ComssAnalyzer http://ottplayer.tv
то отсекать лишнее, чтобы не было ошибки Critical error: no IP found. Чтобы сама прога отсекала.
И ещё вопрос. Если IP несколько, берётся первый?
Можешь попробовать кросскомпилировать:
set CGO_ENABLED=0
set GOARCH=386
set GOOS=linux
go build -ldflags="-s -w"
GOARCH=386 значит будет работать и на 32 и на 64 битных линуксах (статический бинарник). CGO_ENABLED=0 можно не указывать.
Я вот чего не понимаю. Есть к примеру игра Brawl stars, где блокировка стоит с российских ip. Умелец сделал днс и с его помощью обходит блокировку (dns.nullsproxy.com). Сказал что поднял сервер и прокси буквально на коленке. Ч как и автор темы хочу сделать своё и не понимаю как оно работает. У меня есть впс и там стоит адгард, для доменов supercell.com и brawlstarsgame.com указано правило ходить через этот днс сервер. Но как самостоятельно сделать такое , мозгов совершенно не хватает:( Есть идеи?
А почему бы не написать ребятам с comss такой вопрос?
Они уже 7 месяцев “думают” над этим вопросом и всё никак не придумают.
Я веду свой список, но у комсы пользовательская база больше и домены, не желающие видеть “грязных русских” они находят быстрее (плюс у них отдельный список для Крыма и подобных мест). Жаль дублировать усилия, было бы куда проще, если бы они сделали свои списки публичными.
Как раз поэтому они и не разблокируют доступ к ресурсам, заблокированным РКН (хотя технически могли бы).
Насколько я понял из комментариев с их сайта, у них там куча разных списков с учётом того, где находится клиент. Условно: для Москвы это один список, а для Крыма другой, потому что ряд сервисов блокирует доступ именно со спорных территорий но не из России в целом.
Иногда whois возвращает NetName, иногда netname. Прога это не учитывает. Если netname, то не возвращает результат. Нужен регистронезависимый grep.
Мне ChatGPT написал прогу на Си с обычным nslookup и whois, которая это учитывает. Но правда избавиться от префиксов https:// и http:// у него не получилось.
Это сделать достаточно просто, но, мне кажется, это переизобретение велосипеда. Та прога, которая ComssAnalyzer, это просто был тест концепта, который я доработал в ComssAnalyzer2.
Функционал, который вы хотите, уже есть во всем известных утилитах. Которыми вы и воспользовались.
Хз крч. Попозже пофикшу и выложу. Наверн.
Написал.
ResolveAndWhois_1.2.zip (6,2 МБ)
Использование:
USAGE: PROGRAMNAME +<IPv> +<RESOLVER> <ADDRESS TO RESOLVE>
EXAMPLE 1: ResolveAndWhois.exe +4 +dns.google example.com
EXAMPLE 2: ResolveAndWhois.exe +8.8.8.8:53 https://example.com/
Если не указывать айпи версию - предполагается 4.
Если не указывать адрес - предполагается example.com. Адрес автоматически чистится от префиксов и т.д.
Если не указывать резолвер - используется системный. Если не использовать точный адрес резолвера, предполагается https и /dns-query (doh). Поддерживается plain, в этом случае обязательно указывать в виде айпи:порт.
Справка по -? или --help
Механику whois переделал. Выкинул модуль с гитхаба, который использовал до этого, т.к. он результаты выдает неустойчиво. Вместо этого прикрутил бутстрап-запрос к ARIN, который возвращает унифицированную запись Registration Data Access Protocol (RDAP) в виде json и потом просто её запарсил.
UPD 1.1:
- теперь показывает источник whois записи
- показывает страну (если есть соответствующее поле)
- показывает дату регистрации, с поправкой на местное время
- показывает данные по всем enitites
- лучше форматирование
UPD 1.2
- добавил вывод наличия ECH
Может ли данный способ оживить ech?
Создать свой comss dns и проксировать cloudflare-ech.com
нет, ech outer sni с днс не связан
Спасибо. Хорошо получилось. Вот только whois фейлится, если часто запросы отправлять. Зато результаты точнее, чем у системного whois. Системный whois почему-то для filezilla-project.org возвращает netname: STUB-49-12SLASH15.
Могу рассказать как скомпилировать для Linux, там немного хитро. Ну, или спросите у ChatGPT.
Закатываю глаза: а если ещё и проверку http3?
Ну, с фейлами к ARIN я ничего сделать не смогу.
Насчет http3 не уверен. На данный момент утилита обращается только к ДНС и к whois сервису. Насколько мне известно, в них нет информации по поводу поддержки http3 ресурсом. Значит придется делать запрос непосредственно к целевому сайту. А он может быть заблочен или типа того. В итоге, чтобы получить плюс-минус объективный результат, придется сначала делать обычный запрос - чтобы узнать доступен ли сайт в принципе. Короче, морока. Не знаю, нужно ли такое переусложнение?
Насчет компиляции под линукс. У меня нет виртуалки или второй системы. Линукс есть на другом ноуте, но мне впадлу его включать. А выкладывать файл, который может даже не запустится ни у кого - ну такое. Надо всё-таки проверить работоспособность того, что накомпилировал. Поэтому и выкладываю только под винду.
Можно, конечно, загрузиться с флешки, но, опять-таки, мне впадлу.
Из под WSL собирается, писать код можно там же через vscode. Я собрал, но у меня выдает ошибку, но на Винде при этом работает 
.
DNS: https://dns.controld.com/comss
URL: intel.com
ERROR response received addr=https://dns.controld.com:443/comss proto=tcp status="requesting https://dns.controld.com:443/comss: Get \"https://dns.controld.com:443/comss?dns=AAABAAABAAAAAAAABWludGVsA2NvbQAAAQAB\": context deadline exceeded"
Critical error: can't finish DNS lookup: can't resolve 'intel.com': requesting https://dns.controld.com:443/comss: Get "https://dns.controld.com:443/comss?dns=AAABAAABAAAAAAAABWludGVsA2NvbQAAAQAB": context deadline exceeded
upd: а, всё норм, надо было таймауты подкрутить (timeout и timeout whois на шестерку выставил, хз норм нет, не шарю)
resolvee.zip (6,3 МБ)
Да скомпилить то я могу. Проблема в том, что мне надо включать другой комп, чтобы проверить работоспособность. Потому что непроверенное я выкладывать не хочу.
ну дык wsl тупо установить, go накатить туда, шо там проверять-то
Места нет на ноуте уже 
Ведь прога может обращаться и к TLS резолверам и в обычных резолверах есть информация о http3, если отправить HTTPS запись.
dig -t https rutracker.org +short | grep h3
Если в ответе alpn=“h3,h2”, то h3 это оно.
Ну вот, например, ответ от резолвера. https://dns.google/resolve?name=www.google.com&rr_type=HTTPS&ecs=
На что тут смотреть? Я не вижу alpn=
Или это нужно именно DoT? DoH не сработает?
DoT и DoH необязательны, но и через них можно посмотреть. И через обычный DNS (UDP), если сделать HTTPS запись.
Видимо, dns.google возвращает не все записи. Вот, что dig показывает:
dig -t https rutracker.org
; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> -t https rutracker.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54838
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;rutracker.org. IN HTTPS
;; ANSWER SECTION:
rutracker.org. 263 IN HTTPS 1 . alpn=“h3,h2” ipv4hint=104.21.32.39,172.67.182.196 ech=AEX+DQBBNgAgACD74YZqyZEVewMdSfVXmeZegG6qwHUf9n++UZnZabTBLwAEAAEAAQASY2xvdWRmbGFyZS1lY2guY29tAAA= ipv6hint=2606:4700:3031::6815:2027,2606:4700:3034::ac43:b6c4
;; Query time: 215 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Sat Nov 09 18:34:15 +07 2024
;; MSG SIZE rcvd: 190
Более того, браузеры могут использовать запись из DNS и сразу коннектиться по HTTP3.
Нашел. Там действительно есть эта запись, даже от гугл.днс. А в браузере, через их сайт - нет. Странно.
Короче, хз. Вроде сделал, но alpn запись настолько редко встречается… Я её только у гугла и у сайтов с ech наблюдаю. Не уверен, что оно того вообще стоило.
ResolveAndWhois_1.3.zip (6,2 МБ)
Спасибо. http3 уже много где используется, но видимо не все анонсируют alpn. По идее, надо также отправлять запрос специальной сборкой curl:
curl --http3-only
Но это, конечно, сложно. Например, домен rr1---sn-aigl6nze.googlevideo.com не имеет h3 записи, но по http3 соединяется.
Бывает даже, что главный сервер http3 не поддерживает, а его cdn соединяется. Например, v19-webapp-prime.tiktok.com
Но всё равно полезно знать хотя бы о явной поддержке http3 в dns. Ещё раз спасибо за труды.
Интересно, что tiktok.com хостится на Amazon, www.tiktok.com на Akamai, а v19-webapp-prime.tiktok.com на Fastly.
А вообще-то информацию о h3 можно узнать из заголовков сервера при коннекте к нему.
Правда, эти два домена не возвращают их и там.
Так что есть 3 варианта:
- dns
- заголовки сервера
- curl --http3-only
Я, кстати, собрал uGet с libcurl/http3. Первая многопоточная качалка с поддержкой QUIC.
Всего-то вставил строчку curl_easy_setopt (curl, CURLOPT_HTTP_VERSION, 30); в исходники и закомментил запрет проверки сертификатов.
Ждал помощи от ChatGPT, но у него лимиты истекли до следующих суток. В результате сам разобрался. Ну, конечно, ещё нужен shared curl с http3, у меня с quiche.
Самое главное нет размышлений на тему технологии создания своего “собственного” comss dns 
Условия: есть арендованный зарубежный VPS.
Задача: создать свой DNS на базе VPS для открытия нужных сайтов прописанных в AdGuard Home такового вида:
[/example.com/example2.com/example3.com/]x.x.x.x
Вариант минимум - выдача адресов от DNS только для прописанных доменов на VPS для прокси. Для всех других сайтов DNS работать не будет.
Вариант максимум - выдача адресов от DNS как для прописанных доменов на VPS для прокси, так и для всех других сайтов только уже с реальными адресами без прокси.
То есть как сейчас работает сам comss.
Буду очень рад обсудить возможные способы реализации 
Nginx sni proxy
Adguard home
уже оставлял сообщение в начале темы
Помогите пожалуйста разобраться.
Есть VPS с Adguard Home + Sing-Box.
В AGH прописано так:
94.140.14.14
94.140.15.15
[/canva.com/browserleaks.com/2ip.ua/2ip.ru/]127.0.0.1:443
В Sing-Box прописано так:
{
"dns": {
"servers": [
{
"address": "94.140.14.14",
"detour": "direct",
"strategy": "prefer_ipv4",
"tag": "dns-remote"
}
]
},
"inbounds": [
{
"domain_strategy": "prefer_ipv4",
"listen": "0.0.0.0",
"listen_port": 443,
"sniff": true,
"sniff_override_destination": true,
"tag": "direct-proxy",
"type": "direct"
}
],
"log": {
"level": "debug"
},
"outbounds": [
{
"tag": "direct",
"type": "direct"
},
{
"tag": "block",
"type": "block"
},
{
"tag": "dns-out",
"type": "dns"
}
],
"route": {
"final": "block",
"rules": [
{
"outbound": "dns-out",
"protocol": "dns"
},
{
"domain": [
"2ip.ru",
"2ip.ua",
"canva.com",
"browserleaks.com"
],
"outbound": "direct"
}
]
}
}
В Adguard Home уже на своем роутере прописано так:
[/2ip.ru/2ip.ua/browserleaks.com/canva.com/rutracker.org/]XX.XXX.XXX.XX (мой внешний IP VPS)
nslookup на роутере дает так:
traceroute to 2ip.ru (127.0.0.1), 30 hops max, 60 byte packets
1 localhost.localdomain (127.0.0.1) 0.058 ms 0.027 ms 0.026 ms
Почему AGH на VPS не передает запрос на Sing-Box, а отвечает точным адресом 127.0.0.1?
он не должен это делать, днс сервер никак не связан с sing-box, он должен только подменять ответы на нужные вам домены и возвращать vps_ip. Правило в днс сервере должно быть “address 2ip.ru / vps_ip”, а не “server 2ip.ru / 127.0.0.1:443”