Вслед за Linux Foundation, сообщество StackOverflow вводит нормы поведения

Спасибо тебе ещё раз.

не, бота на гугл натравить сложно: гугл тебя быстро вычислит и забанит

Бот может слать запросы со скоростью человека, а если что, есть сервисы «антикапча», которые рассеют любые подозрения гугла.

не сдержался, не долюбливаю его

Сделали бы подвал с аналогичным дизайном за пределами юрисдикции и не выёживаись.

Подвал за пределами юрисдикции может забанить роскомнадзор, а тор забанен на самом лоре, а значит, из России в такой подвал смогут залезать только владельцы платных впнов.

я не страдаю ожирением. чего смотреть не понял, какой свет, какой шланг, объясни толком.

ничего он забанить не может. хожу на «забаненные» ресурсы без тор, vpn и proxy. посмотри tcpdump'ом каким образом эти лузерки «банят» и всё поймёшь.

нет. таки они на гугл наезжают и гугл с ними точно не сотрудничает. он их посылает лесом. с чего гуглу сотрудничать с какими-то дикарями из страны третьего мира, которые ещё и нагло требуют с гугла бабла?

А каким образом банят, и каким ходишь ты? Просто неохота разбираться в дампах, если ответ на поверхности, да и другим, наверно, интересно будет.

не все так банят. точнее, раньше так делали мелкие провайдеры. сейчас у них более изощрённые методы. но и они не работают.

Не знаю, как наших майоров, а китайских майоров гугл стопудово уважает.

Сралина или светова,упитаный ты наш? Крукс-то поставил хоть? В общем ты обычный пиздобол,но надо признать маскировался под нуба хорошо.Сначала за генту топил,на следующий день за крукс,тут бы тебя и спалить,но я ошибся...Это огорчает меня.Буду лучше стараться.Тебе 20 плюс-минус пару-тройку лет.

посмотри tcpdump'ом каким образом эти лузерки «банят»

не все так банят.

Ты уже tcpdump посмотрела или я не знаю какого-то общеизвестного секрета? Как банят?

Подвал за пределами юрисдикции может забанить роскомнадзор, а тор забанен на самом лоре, а значит, из России в такой подвал смогут залезать только владельцы платных впнов.

В подвале тор можно и разбанить.Да и вообще ресурс айтишный,что нибудь придумают любопытные.

насколько я знаю, только на территории китая. и то гугл оттуда грозился уйти, потому что китайские майоры его достали своими вы*бонами. он не принял их требований, кстати.

ты не знаешь «какого-то общественного секрета». я столько tcp-дампов за свою жизнь пересмотрела, что аж жуть. но можешь не беспокоиться, этот метод уже не применяют практически нигде. если тебе так любопытно, гугли на предмет фальшивых RST пакетов.

Не страдал.

сралина знаю. кто такой светов без понятия. какой крукс? ты что шпионишь за мной что я ставлю? не помню что бы я вообще его собирался ставить. ну круто чё, у меня появился личный летописец правда анонимный.

Если честно,гугл вызывает у меня симпатию не больше чем майкрософт.РФ,как бы ты к ней не относилась не является страной третьего мира.И гугл очень послушен,когда дело касается его доходов,естественно он будет прислушиваться к требованиям рф.

Не забудь,что илюха16 тролль.

лично мне помогает отсекать вот эти пакеты которые вставляются перед оригинальным пакетом от забаненного адреса который всё равно доходит:

iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru" --algo bm -j DROP
iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP
[/quote]

кто знает а UDP они банят вообще? лень разбираться.

пфф!! какие доходы? в этой стране - доходы? не смешите мои тапки.

я думаю, что любая страна Европы, какой бы мелкой она ни была, приносит айтишникам больше доходов, чем наша необъятная одна шестая часть суши (или сколько там?).

даже наши айтишники делают бизнес за рубежом.

Илюха16 тролль,прикинувшийся нубом и по совместительству знатный пиздобол.Никуда он не ходит,сидит за прокси.Никакой линукс он не ставил,а если ставил снёс через день.Возможно сидит на дваче в б и с

какие доходы в рашке не смешите, население небольшое, бедное, платить за онлайн сервисы не приученное. сомневаюсь что гугл сильно расстроится если его тут забанят ахаха причём даже забанить нормально не могут лузеры с погонами

Не корми.

одна шестая часть суши

и большая часть тайга и тундра а мишки не особо платят гуглу ни бурые ни белые

кто знает а UDP они банят вообще?

Если топорно его забанить полинтернета отвалится,толстяк.

А чего там мочь?Забанить гугль для физлиц как два пальца,гораздо легче чем тор.Гугль могуч только в голове его холуёв-недоайтишников.

они вообще ничего не могут забанить. пакет доходит и остаётся только отсекать то говно которое они вставляют. соответственно и гугл так же неумело «забанят».

если тебе так любопытно, гугли на предмет фальшивых RST пакетов.

Спасибо за наводку. Нашёл не только про rst, но и другие похожие способы бана.

да и двуногие здесь не очень расположены платить. где-то мне попадалась статистика, что в IT-секторе даже Эстония (вот же великая держава!) обгоняет нас раз так в десять по оборотам в IT.

да и мелкософт намекал, что у них практически нет прибыли в этой стране, что они тут почти что благотворительностью занимаются, ещё и цены снижают, а за софт всё равно никто не платит. это когда были скандалы с пиратскими копиями.

я работала в компаниях, которые продавали софт в РФ и за рубежом. продажи в РФ составляли от 1 до 5% прибыли. и это российские компании.

iptables -I INPUT -p tcp --sport 80 -m string --string «Location: http://warning.rt.ru" --algo bm -j DROP

iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

Спасибо за инфу.

но ты смотри, таким образом все сессии, на самом деле оборванные по RST, зависают пока у них таймаут по TCP не закончится. а он большой. так что если долго идёт такой обмен, накапливается куча сессий-зомби.

логично было бы ждать оригинальный пакет и отбрасывать RST только если тот в итоге пришёл но я не знаю как это сделать и пока времени особо не было разбираться

ну да, но это потребует уже нетривиальной логики. простой метод работает. но если это происходит, например, на роутере, то у него мало ресурсов и количество висящих сессий начинает его тормозить со временем. помогает перезагрузка. ну или сократить таймаут в настройках.

Для 90-а процентов населения он будет забанен.

но ты смотри, таким образом все сессии, на самом деле оборванные по RST, зависают пока у них таймаут по TCP не закончится.

Тут есть 2 варианта:

1. Прописывать drop для rst только с блокируемых адресов, по мере надобности добавляя их в iptables.

2. Будет ли работать этот способ с браузерами — точно не знаю, надо продумать детали и потестировать. Нечто подобное я делал для корпоративного ПО, в котором иногда подвисал tcp: простой скрипт сканирует с некоторой периодичностью процессы с открытым tcp соединением, и если какой-то процесс слишком долго висит с одними и теми же src и dst портами и dst-адресом, то просто прибиваем его. С тем ПО это работало на ура, но как будет с браузерами, точно не знаю.

iluha16 написал:

логично было бы ждать оригинальный пакет и отбрасывать RST только если тот в итоге пришёл но я не знаю как это сделать и пока времени особо не было разбираться

Чисто на вскидку, в качестве непродуманного «мозгового штурма», можно выделить пк-роутер, который будет дропать rst-пакеты и одновременно их снифить. Снифер же, прочитав rst-пакет (iptables ему, по идее, не помеха, т. к. он должен читать все пакеты, пришедшие на сетевуху, хотя этого я не проверял), ждёт некоторое время нормальный пакет с того же адреса и порта, и если нормальный пакет не пришёл (т. е. rst не поддельный), то шлёт клиентскому компу специальный пакет, в котором этот rst пакет содержится как данные. Этот спец пакет принимает другое приложение на клиентском компе (тоже написанное тобой), которое создаёт сырой поддельный пакет rst с нужного адреса. Т. к. этот пакет создаётся уже внутри сети, за пк-роутером, то он не дропается. Хотя, конечно, это геморно.

Для идиотов не способных пользоваться tcpdump'ом он будет забанен.

*fixed

Правильно говорить «Это называется лоренцева инвариантность и ковариантность. Поищите в интернете статьи на эту тему — они помогут намного больше, нежели можем мы здесь, в комментариях».

можно ещё модифицировать код в самом ядре обрабатывающий TCP. такой патч примут интересно в ядро официально.

по опыту использования на компе (на роутерах не пробовал) могу сказать что проблем не доставляли заметных зомбисессии

Сомневаешься,что 90 процентов не знают таких страшных заклинаний?

не сомневаюсь. сейчас модно быть глупым/ленивым и не стремится познать инструмент которым пользуешься каждый день. хотя если подумать в изучении этих инструментов нет ничего требующего очень высокого IQ, это же не высшая математика. в любом случае это не должно меня беспокоить так как если гугл забанит роскомпозор я всё равно смогу им пользоваться.

я даже думаю, что такой модуль наверняка уже написан и где-нибудь на гитхабе лежит. «всё написано до нас». идея тривиальна, а проблема с фейковыми RST у наших провайдеров появилась лет пятнадцать назад, емнип. в ядро это не примут, ибо это сугубо местная попаболь и никого в мире она не интересует. так что в ядре это точно не нужно.

а китайский роскомпозор поумнее не так примитивно банит?

можно было бы 2 опции конфигурации например tcp.drop_rst_if_followed_by и tcp.drop_rst_if_followed_by.time_to_wait_following_packet

можно ещё модифицировать код в самом ядре обрабатывающий TCP. такой патч примут интересно в ядро официально.

Насколько мне известно, они вообще очень неохотно принимают сторонние патчи, поэтому вряд ли.

Iron_Bug написала:

это сугубо местная попаболь и никого в мире она не интересует. в ядре это точно не нужно.

А вот с этим не согласен. Это защита от одной из разновидностей атак «человек посередине», а значит подобная возможность в iptables, который и должен защищать от таких атак, актуальна для всего мира.

китайский вообще только копрорациям даёт полноценный выход в сеть, насколько мне известно. остальные как-то сильно урезаны. я одно время общалась с китайским музыкантом и он говорил, что там как-то всё сильно хреново с сетью для частных лиц. но общение с ним было затруднено по причине того, что по-английски он очень слабо изъяснялся. я думаю, поэтому китайские боты так старательно лезут в сеть и ищут дыры в серверах, чтобы использовать их как vpn.

а китайский роскомпозор поумнее не так примитивно банит?

Тут дело не в уме, а в ресурсах. У китайцев их больше, поэтому они и тор забанили, а белорусы с казахами не могут. И наши не смогут, даже если попытаются (ну разве что ценой разорения половины провайдеров и удорожания интернета минимум раза в 2, а то и больше).

нет, это не mitm. это просто разрыв соединения. тут нет перехвата данных и угрозы безопасности. и iptables не защищает от mitm. от mitm защищают настройки CA. не надо принимать левые сертификаты. я, кстати, российский CA у себя забанила, ибо хрен его знает, что он там может выдать. у него даже доменного имени нет, только IP. ну и прописала стратегически важные домены у себя локально. ибо не раз видела атаки с отравлением dns и прочими перенаправлениями куда попало. в нашей стране это обычное дело. да и китайцы тут недавно гуголь перехватывали на геолокейшене.

а ещё вот гуголь обосрался со своими ботами. занятно так обосрался, хотя тут не только вина гугла: https://www.netsparker.com/blog/web-security/using-google-bots-attack-vector/

нет, это не mitm. это просто разрыв соединения. тут нет перехвата данных и угрозы безопасности.

Всё-таки чисто технически — это поддельный пакет, генерируемый левым компом, находящимся посередине, а не просто разрыв, а значит — чисто формально — атака. Да и неформально тоже. Данные действительно не перехватываются, но меня-то они обманывают, пытаясь внушить, что это тот сервер глючит.

не раз видела атаки с отравлением dns и прочими перенаправлениями куда попало. в нашей стране это обычное дело.

А при чём тут российский центр? Или он подтверждает сертификаты этих кого попало?

Или он подтверждает сертификаты этих кого попало?

ну, пока я такого не засекла. но я подозреваю, что запросто может. в государстве с такими низкими моральными планками это более чем возможно. лучше быть начеку. я один раз видела перехват гугловского ру домена на какой-то левый сервер в Москве. я после этого отгородилась от ру домена гугла вообще. во избежание. мне он не нужен: я всё равно по-русски там практически ничего не ищу. и я заметила, что ру-гугл находит не все варианты. причём эта выборка касается только новостей про политику и сильно коррелирует с политикой одной партии с очень плохой репутацией. так что всё, что находится в домене ру, лучше проверять дважды. а в идеале вообще надо избегать этого домена.

надеюсь вы правы. а дропать пакеты на роутерах тем же iptables вместо того что бы вставлять RST разве дорого или я чего то не понимаю об их оборудовании? да или просто инвалидировать таблицу роутинга для неугодных адресов разве не проще?