В Казахстане обязали устанавливать государственный сертификат для MITM

ну, я общалась с людьми из Китая. обходили и обходят этот хвалёный файрвол. более того, китайских ботов больше всего в сети. именно потому, что ищут дыры для обхода. такая страна становится токсичной в сети. ничего хорошего из этого не выходит.

а «DDOS с IP конечного пользователя» - это обычно дырявый проприетарный софт, который тупо ломают и используют. причём использует эти дыры кто попало. тут не надо искать «большого брата».

а «DDOS с IP конечного пользователя» - это обычно дырявый проприетарный софт, который тупо ломают и используют. причём использует эти дыры кто попало. тут не надо искать «большого брата».

Я не так в этом уверен, их файрволл не пассивно фильтрует трафик, а очень даже активно сканит сервера, к которым подсоединяются люди из Китая.

ну, я общалась с людьми из Китая. обходили и обходят этот хвалёный файрвол.

Наша VPN технология тоже его обходит, не зря изучаем его специфики. Играем в кошки-мышки.

очень даже активно сканит сервера, к которым подсоединяются люди из Китая

кто сканит? не надо везде искать «большого брата». 90% сканов - это всякая школота. а самый тупой и эффективный дидос вообще позволяет спуфить IP и не заморачиваться с каким-то взломом.

однако, если какое-то говно валится с пула динамических айпишников, то админ не станет мудрствовать лукаво и забанит весь диапазон. я лично так и делаю у себя на серверах. и если Казахстан будет источником какого-то вредоносного трафика, его просто забанят везде - вот и всё. Китай забанен практически везде.

в общем, я хочу сказать, что разводить такую помойку на государственном уровне чревато для самой страны-источника проблем. но миру это не угрожает.

кто сканит? не надо везде искать «большого брата». 90% сканов - это всякая школота. а самый тупой и эффективный дидос вообще позволяет спуфить IP и не заморачиваться с каким-то взломом.

Я вроде бы дал понять, что компания где я работаю профессионально занимается VPN и сопутствующим антиблокингом, как думаете, у нас работают люди которым надо объяснять виды DOS и как работает IP спуфинг, или тем более, как устроены цензоры в разных странах?

Еще раз повторю, что китайский VPN при подключении из страны сканит сервер и если видит на нём рабочие протоколы типа IPSEC/OpenVPN банит IP сразу, так что следующие подключения не работают. Это результаты конкретных экспериментов. Если не может определиться что это за сервер, начинает сильно throttle'ить соединения.

А вот у вас какая была методика определения, что «90% сканов - это всякая школота»? А то похоже на голословное утверждение.

как только кто-то начинает что-то сканить - он обычно попадает в бан. и, как правило, порты VPN не открывают на весь мир. я тоже работаю в компании, которая занимается защитой от тех самых дидосов. я видела немало всякого барахла в сети, и не только на этой работе, а наблюдала всё это на самых разных уровнях. я и сама админю многие сервера и не вижу особых проблем при правильной настройке сервера.

сканирование портов просто не нужно никому, кроме школоты. по указанной выше причине: нормальный админ не открывает порты всему миру. и скан моментально определяется и блокируется. также если с какой-то подсети повалит какой-то шлак, то её просто заблокируют целиком, вот и всё. никто не будет разбираться, что там за особенности национальных файрволлов. как-то был даже случай конфискации диапазонов выданных айпишников. именно по причине вредоносной активности.

если даже какие-то тупые китайцы сканируют порты, то это просто означает, что они уровнем не ушли далеко от школоты. ну, бывает. и хрен с ними, если честно. наши тоже как какой-нибудь маразм придумают - так никаких фейспалмов не хватает. но это никому не мешает использовать интернет.

но вообще так, мой опыт наблюдения за китайскими ботами показывает, что они чаще всего просто ищут известные дыры в безопасности для рассылки спама, либо пытаются захватить ресурс с целью использования его как бесплатного VPN для обхода своего дурного файрволла. но я не слишком углублялась в вопрос. на серверах с какими-то общественными ресурсами я чаще всего сразу китайские диапазоны баню: ты ещё домен не успел зарегистировать, а китайские боты уже тут как тут. чтобы не создавать лишнюю нагрузку на сервер, их проще сразу отсекать. безусловно, в сети полно и других ботов. но почему-то китайские особо настырные и тупые.

Когда в России?

Настолько сильно хочется?

как только кто-то начинает что-то сканить - он обычно попадает в бан.

Поздравляю. Во первых, вы только что сделали уязвимость в вашей компании, позволяющую удалённо вырубить произвольный диапазон через засылку, например, SYN-скана со спуфленных адресов. Во-вторых, это абсолютно бесполезно так как не-школота давно знает как использовать Stealth Scanning - https://www.giac.org/paper/gsec/1985/stealth-port-scanning-methods/103446

как правило, порты VPN не открывают на весь мир.

Мы вроде здесь говорим про открытый для людей VPN и про частный VPN для себя? Так вот при попытке подключения из Китая, файрволл использует IP этого юзера для скана, там не совсем не идиоты это проектировали. Так что это будет работать с любым VPN, к которому имеете доступ именно вы.

я тоже работаю в компании, которая занимается защитой от тех самых дидосов

Если ваша методика это добавление IP сканеров в бан, то я бы не хотел работать с такой «защитой»

если даже какие-то тупые китайцы сканируют порты, то это просто означает, что они уровнем не ушли далеко от школоты.

Вопрос про школоту был риторическим, у вас, как я понимаю, данных никаких нет. Так вот, по данным наших SecOps большинство сканов идёт не от школоты а от вполне идентифицируемых по паттерну ботнетов, которые постоянно ищут уязвимые системы в сети. Из недавних например было хорошо видно Mirai и подобные https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html Эти же ботнеты потом создают трафик для DDOS, далеко не школота этим занимается и вполне себе зарабатывает на этом.

во-первых, мы не говорили про какую-либо компанию. форум - это не то место, где я бы стала обсуждать какие-либо рабочие вопросы. во-вторых, скан адресов с целью выяснения каких-то протоколов - это не syn-флуд, далеко не. в третьих, ботнетов в основном и запускает школота на калолинюксе.

в общем, я вижу, что дальнейшее обсуждение неконструктивно и бесполезно.

в общем, я вижу, что дальнейшее обсуждение неконструктивно и бесполезно.

Не могу с этим не согласиться.

во-первых, мы не говорили про какую-либо компанию. форум - это не то место, где я бы стала обсуждать какие-либо рабочие вопросы. во-вторых, скан адресов с целью выяснения каких-то протоколов - это не syn-флуд,

Так как собеседник не знает отличия TCP SYN Stealth scan от SYN flood attack: https://nmap.org/book/synscan.html - может пригодится. Если что в nmap это «SYN scan is the default and most popular scan option for good reason».

Неподкупных организаций не бывает. Покупается всё. Только суммы разные.

Увидимся! Я вам объясню, в чём вы неправы...

Мозилла — организация лицемерия и двойных стандартов.

Я это должен комментировать?...

Это твои подельники или кто?

Нет. С такими как ты, в цивилизованном мире никто давно уже не общается. Сообщается в порядке информации...

Извините, у Китая вроде вполне получилось, у них там свои сборочки со своими бэкдорами и свои браузеры. Американские спецслужбы в прошлый раз по-моему не оценили когда Китай пытался с помощью своих регистраторов залезть в компьютеры всему миру (и даже у кого-то лицензии отозвали), но я уверен с тех пор у них всё получилось. У России же вроде тоже получилось что-то, раз левые сертификаты без вопросов за валидные считаются (или там специально для Россиюшки отдельный серт с ключами у тов. майора я не разобрался до конца).

Настолько сильно хочется?

Так прикола ради спросил

ХЗ где вы работаете, но показываете весьма странные знания. Простой список всех нод, включая те, которые доступны через бриджи, получить невозможно. Можно только постараться вычислить трафик тора через DPI и лочить его по признакам протокола (как и всё что не распознаётся как известные соединения).

Страны Океании ориентируются на Китай. За пять лет много чего запретили. Сайты, мессенджеры, местами даже ssh.

Итог? Любимый порносайт не работает, пришлось 5 минут гуглить рабочий. Всё остальное решается с помощью vpn.

Мне кажется, они просто пилят деньги. Эти ограничения даже не могу назвать жалкой попыткой.

Не могу с этим не согласиться.

Ты в принципе зря начал диалог с поленом.

Почитай её сообщения хотя бы в этом треде, уровень знаний о том, как устроен окружающий мир, очевиден.

А причем тут я? Ненавидь лучше себя, безаккаунтный.

Вот и я об этом. Сама Мозилка мухлевала что-то с адварью и телеметрией. Подробностей не помню потому что мне неинтересны эти подковерные игры Мозилки и разведслужб, но люди разбирающиеся в данном вопросе, знают, что из себя представляет mozilla и кому она подчиняется. Верить в честность какой-либо, пусть некоммерческой, организации в 2019 — святая наивность.

А ты сам казах?

Я=русский, гражданин Республики Казахстан, живу в столице страны городе Нур-Султан...

Пускай казахи тоже почитают, а то что всё только анбшники меня палят.

Кому ты нахрен нужен, чмо...

Кому ты нахрен нужен, чмо...

Он платит налоги, значит нужен. Дёшего рабочасы отрабатывает - нужен.

Я смотрю ты в край поехал, а ведь был нормальным. Одиночество довело?

да будет тебе известно, что сервисы не привязаны к портам. внезапно. и ты никаким образом не выяснишь, что установлено на сервере и на каких портах, если ты не откроешь сессии. и syn-ов тебе не хватит, и никакого стелса. но, во-первых, тебя никто не пустит на те порты, на которые ты ломишься с левых адресов, а во-вторых твои попытки будут моментально засечены и забанены на большинстве серверов. так что школоло-разведка не пройдёт.

и это я не говорю про маскировку трафика, юзерские сертификаты, туннели, TLS 1.3, QUIC, multipath и многое другое. я работаю с сетевыми протоколами на низком уровне много лет и в деталях знаю, как и что работает в TCP и не только в нём. я могу много чего обойти. точнее, я не могу назвать ничего, что нельзя было бы обойти, теоретически. так устроен интернет: он хорошо защищён от сбоев и возможных умышленных попыток его сломать. примитивные китайские боты меня никоим образом не волнуют. это такая шелуха, на которую только школота и начинающие админы локалхоста возбуждаются.

Чсв тебе конечно не занимать, как и скудоумия.

Так голос же тогда будет подписан сертификатом-посредником. Легко проверить.

Голос будет учтён по иному пути аутентификации, не с помощью общепринятой PKI (распределённой системы доверия на основе публичных и приватных ключей). А это — риск того, что голос при голосовании может быть подделан. Ведь он больше ничем не защищён, кроме «честного слова» разработчика системы голосования.

Это результаты конкретных экспериментов. Если не может определиться что это за сервер, начинает сильно throttle'ить соединения.

Самое лучшее - это если он ошибочно определит сервер как безопасный для цензуры, такое возможно?

Каникулы. Мозг отдыхает.

Если система голосования открытая, то это несложно решается. Во-первых ведётся открытый лог выпущенных сертификатов, во-вторых к голосованию допускаются только сертификаты, выпущенные не позднее недели до голосования, чтобы каждый гражданин мог проверить лог на предмет выпуска несанкционированных им сертификатов и отозвать их.

Нет. Кстати, в рунете некоторые операторы тоже шейпят трафик, если не могут его чекнуть.

Самое лучшее - это если он ошибочно определит сервер как безопасный для цензуры, такое возможно?

Именно так, если там будет открыт только порт 443/TCP и привязан частный не сильно подозрительный домен. Наличие SSH, 8080 proxy итд - шанс на троттлинг. SSH тоже замедляется, для консоли достаточно, для ssh TCP forwarding уже проблемы. Полностью обфусцированные протоколы типа Signal тоже были не так давно забанены, если память не изменяет, поэтому только мимикрия.

Полностью обфусцированные протоколы типа Signal тоже были не так давно забанены, если память не изменяет, поэтому только мимикрия.

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

Старые пердуны тормозят прогресс. Никогда такого небыло и вот опять.

у взрослых людей не бывает каникул, детка. у нас работа.

Я еще маленький, в сентябре в школуВ сентябре начну принимать заказы...

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

Не банят а замедляют, то есть соединение есть, но с течением времени оно сильно замедляется (тк основной признак туннеля это долгая сессия). По ssh сидеть в консоли можно, но форвардить TCP - уже нет. Думаю icmp пропускать 1 пакет в секунду еще более вероятный шейпинг, так как серия пакетов icmp больше трёх уже будет вызывать подозрения.

Забанили они по моему полностью обфусцированные протоколы, но не все. Если я не ошибаюсь, shadowsocks в Китае еще жив, а это наводит на подозрения по поводу его потенциального взлома.

тупые китайцы уровнем ушли недалеко от школоты

А ты тоже распространяешься на этом форуме как бот, иди лучше рептилий покорми.

Сертификат безопасности применяется для расшифровки зашифрованного трафика и блокировок только к деструктивным страницам и контенту, сообщил заместитель директора Республиканского государственного предприятия «Государственная техническая служба» Комитета Национальной безопасности Республики Казахстан Зекен Исмаилов на пресс-конференции в Службе центральных комуникаций.

Источник: https://informburo.kz/novosti/zamdirektor-gostehsluzhby-knb-perepisku-paroli-...

Ой, очень надеюсь, что они будут использовать другой софт, а не тот, который используют в госорганах. Там порой вылезают всякие прикольные SSL Tag Mismatch Error в логах, с которыми фиг пойми что делать.

в логах, с которыми фиг пойми что делать.

Удаление логов в некоторых дистрибутивах Linux: # rm /var/log -R

А в Windows 2003 как?

А в Windows 2003 как?

Не знаю. У меня стоит Parrot OS, пишу с него...

Я, кстати, пишу из города Нур-Султан (Республика Казахстан)...

К стати да, надо бы задать вопрос в технической поддержке о том, что они по этому поводу делать будут.

а ничего, там давным давно - если они поймут что у тебя был MITM, то ты не можешь оспорить ни одну свою транзакцию

Я про то, чтобы они доступ в кабинет из потенциально опасных сетей закрыли,
но лучше бы просто дали указать список IP и подсетей с которых можно в него заходить.

А ещё лучше активировали такое ограничение по дефолту составляя профиль на основе здравого смысла.

Например человек будет ходить на сайт только с пулов сотовых операторов которые указал при регистрации и если он дальше Москвы раз в 20 лет не ездит то видимо ему не нужно ходить на сайт из, скажем Финляндии.

Ну конечно у человека должна быть возможность всё это перенастроить по себя.

А причем тут я? Ненавидь лучше себя, безаккаунтный.

Разница между мной и тобой на этом сайте: у меня здесь удаляют все аккаунты и удаляют огромное количество сообщений, а у тебя - 5 звезд (★★★★★)...

В сентябре начну принимать заказы...

От меня заказов не дождешься. Ни в сентябре, ни сейчас...

От неграждан РК мы не принимаем.

И меня удалят, если у модератора пятка зачешется.