Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

gosuslugi.ru перестали открываться при запущенном GoodbyeDPI с 16.07.2021 #217

Closed
SHRDLU19 opened this issue Jul 17, 2021 · 20 comments
Closed

gosuslugi.ru перестали открываться при запущенном GoodbyeDPI с 16.07.2021 #217

SHRDLU19 opened this issue Jul 17, 2021 · 20 comments
Labels
Fragmentation not our bug

Comments

@SHRDLU19
Copy link

GoodbyeDPI работает как сервис в Windows 10 LTSB:
goodbyedpi.exe -1 --blacklist C:\ProgramData\blacklist.txt

Со вчерашнего дня (16.07.2021) перестал открываться сайт Госуслуг:

При соединении с www.gosuslugi.ru произошла ошибка. PR_CONNECT_RESET_ERROR

Остановка службы GoodbyeDPI решает проблему.
Провайдер Билайн.

P.S. Всегда думал, что goodbyedpi с опцией --blacklist работает только с сайтами из списка blacklist.txt. Получается, что нет? Иначе бы не возникало проблем с сайтом Госуслуг, который в списке, естественно, отсутствует?
@r4sas
Copy link
Contributor

r4sas commented Jul 17, 2021

#213 (comment)

@SHRDLU19
Copy link
Author

#213 (comment)

Насчет --blacklist понятно.

@IlyaMrz

This comment has been minimized.

Sign in to view
@woland-szr

This comment has been minimized.

Sign in to view
@WenFox

This comment has been minimized.

Sign in to view
@ValdikSS
Copy link
Owner

ValdikSS commented Jul 23, 2021
edited
Loading

Это проблема сайта, а не GoodbyeDPI.
См. #4

Необходимо написать письмо администраторам сайта, чтобы они устранили неработоспособность ресурса с фрагментированными пакетами.

@ValdikSS
Copy link
Owner

Ранее подобная проблема была с ГИС ЖКХ (dom.gosuslugi.ru) #169

Я не вижу вариантов связи для сообщения об ошибке на сайте Госуслуг. Чат доступен только для зарегистрированных пользователей (очевидно, только россиян), email и форма контактов отсутствует, поэтому бремя сообщения об ошибке ложится на пользователей.

@SHRDLU19
Copy link
Author

ValdikSS, спасибо!
Снял дамп трафика, как описано у вас, попробую достучаться до их техподдержки.
Но по опыту прошлого общения с госуслугами по поводу технических проблем могу сказать, что дело это, скорее всего, абсолютно бесперспективное.

@ValdikSS
Copy link
Owner

Вот вам шаблон, который я отправлял в ГИС ЖКХ:

На веб-сайте https://gosuslugi.ru/ ошибка технического плана в настройке веб-сервера или балансировщика — на него невозможно зайти, если при установке HTTPS-соединения клиент отправляет первый TLS-пакет (ClientHello) в фрагментированном виде (не одним целым пакетом, а двумя или более): веб-сервер gosuslugi.ru отправляет пакет завершения соединения (TCP RST), и соединение не устанавливается.
Пользователи, использующие интернет-канал с очень низким MTU или браузер, отправляющий очень большой ClientHello, не могут зайти на сайт.

Прикладываю дамп трафика в формате PCAP (можно открыть в Wireshark), где видна проблема: клиент отправляет ClientHello в двух пакетах (2 байта в первом пакете, 515 байт во втором пакете), а сервер закрывает соединение. Тестировалось в браузере Microsoft Edge 91 и Firefox 90.

gosuslugi-fragmentation-issue.zip

@SHRDLU19
Copy link
Author

Благодарю!
Насколько я понимаю, нужно снять дамп сессии, запустив goodbyedpi с параметром -e 2, чтобы дамп соответствовал описанию "клиент отправляет ClientHello в двух пакетах (2 байта в первом пакете, 515 байт во втором пакете)"?

@ValdikSS
Copy link
Owner

Файл уже прикреплен к сообщению, отправьте его.

@SHRDLU19
Copy link
Author

Да я так и сделал, это я для себя интересуюсь.
Результат немного предсказуем - см.картинку
1

@nightrider77
Copy link

nightrider77 commented Aug 13, 2021
edited
Loading

Да я так и сделал, это я для себя интересуюсь.
Результат немного предсказуем - см.картинку

Мне тоже самое пришло. Типа слишком много сообщений, и сразу закрылось)

@RFlector
Copy link

крайне сомнительно, что они исправят это. я даже подозреваю, что это сделано специально, чтобы не пользовались обходом блокировок. так что вопрос - как-нибудь можно игнорировать госуслуги?

@ValdikSS
Copy link
Owner

ValdikSS commented Oct 5, 2021

крайне сомнительно, что они исправят это. я даже подозреваю, что это сделано специально, чтобы не пользовались обходом блокировок. так что вопрос - как-нибудь можно игнорировать госуслуги?

На данный момент GoodbyeDPI не поддерживает фильтр по TLS SNI — ждите новой версии.

@madicines
Copy link

Такая же петрушка с https://online.sberbank.ru/
Причем, раньше все работало нормально. Вообще не шарю, но, похоже, гос. ресурсы прикрутили нечто, мешающее работе обходов dpi. С сайтами, не отсосящимися к правительству, проблем не замечал.

@nightrider77
Copy link

Такая же петрушка с https://online.sberbank.ru/ Причем, раньше все работало нормально. Вообще не шарю, но, похоже, гос. ресурсы прикрутили нечто, мешающее работе обходов dpi. С сайтами, не отсосящимися к правительству, проблем не замечал.

У меня сбер открывается.

@RangerRU RangerRU mentioned this issue Nov 11, 2021
Closed
@RangerRU
Copy link

Результат немного предсказуем - см.картинку

не туда пишите
надо писать в ТП сайта или сразу в ситуационный центр

@RangerRU
Copy link

RangerRU commented Dec 3, 2021

Написал в суппорт:
По Вашему обращению заведён инцидент INC000014295852 . Пожалуйста, ожидайте.

@ValdikSS
Copy link
Owner

Проблемы с TCP-фрагментацией должны быть решены в версии GoodbyeDPI 0.1.7, опцией --reverse-frag.

TCP fragmentation issues should be solved in GoodbyeDPI 0.1.7, by using --reverse-frag option.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
Fragmentation not our bug
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
10 participants
@RangerRU @ValdikSS @r4sas @WenFox @RFlector @IlyaMrz @nightrider77 @woland-szr @madicines @SHRDLU19