Пояснение по ClientHello и ECH

Навеяно этой темой и вопросом от пользователя CarabineR

в двух словах, что это ваще
1. Ты хочешь зайти на youtube с браузера.
2. Браузер посылает ClientHello на сайт youtube.
3. Сервер - "ты кто и че тебе надо?"
4. Бразуер - хочу на youtube зайти. Он есть на этом ip-адресе? Вот SNI (ютюб.ком). И вот, ктсати. мои данные (движок браузера, разрешение экрана, cookies - пол, возраст, история поисковых запросов (данные из соцсетей в кэше браузера).
5. Сервер - да, есть такой сатй ютьюб.ком на этом серверве, можно установить соединение (происходит Handshake - рукопожатие).
____________________
Че делал РКН
1. Какой нахуй ютьюб.ком? Не пущу!!!111
Способ обхода.
Ок, давай попробуем бить ClientHello на две части - "ють + юб.ком", а сервер соберет на месте и поймет куда мы хотим.
Итог: Первое время канало, пришлось увеличить мощность оборудования, чтобы собирать SNI из двух частей и понимать, куда лезет пользователь, чтобы блокировать неугодные ресурсы. Перестало канать.
2. Ок, давай сделаем по другому. Каждый посылаемый пакет имеет время жизни (TTL - time to live), после которого должен исдохнуть. Определяется в хопах (прыжках) по количеству переходов от одного коммутатора к другому. Твой роутер это первый хоп. Сейчас проверил трассировкой - до ютьюбчика 21 хоп (ближайший сервер Google Global Cache, где вообще кроме ютьюба всё. что есть от гугла, там и андроид приложения и прочее... т.е. тупо забанить по ip, значит окирпичить все телефоны ). Значит делаем так - при запросе от браузера к youtube шлём ебать какое количество пакетов и запросов к нему же, параллельно, но с TTL, допустим, 5. Это как ебучая DDOS-атака, но только она до гугла не доходит, а "сдыхает" где-то на полпути. Но она успеват доходить до ТСПУ РКН, и там оборудование начинает охуевать просто. Т.е. ты в одно лицо хочешь зайти на ютьюбчик, а выглядит как 100500 человек. Да еще и с разбитым на части ClientHello. К чему это приводит?
а) оборудование ТСПУ думает, что дохуя людей пытается зайти на ютьюб и пытается сложить паззл. Чтобы понять, куда пускать, а куда не пускать? Оно начинает охуевать и перегружаться. Из-за этого иногда в регионах приходится выбирать один из 2 вариантов - либо выключить блокировку на время, либо вырубить весь инет. Пока выбирали первый вариант. (Поэтому иногда с регионов проходит новость, мол, всё без впн заработало вдруг).
б) Оборудование видит, что ты пытаешься зайти на ютьюб дохуякратно. Какие-то пакеты пролетают. Ты смотришь ютьюб, допустим, 1 час. Оборудование думает - уже час я успешно блокирую попытку зайти на этот сайт. Ну пусть думает дальше.
3. Что решает Encrypted Client Hello?
Браузер: Ты обращаешься к сайту.
РКН: Че там?
Браузер: Это не тебе.
РКН: А че там?
Браузер: На, смотри...
РКН: Че за абракадабра?
Браузер: Говорил же, не тебе
РКН: Ну ок.

Перевод на татарский выполнен с помощь. гугл-транслейт. Спецом для юзера CarabineR

Кыскасы, бу нәрсә?
1. Сез YouTube'ка браузер аша керергә телисез.
2. Браузер YouTube сайтына ClientHello җибәрә.
3. Сервер: "Сез кем һәм сезгә нәрсә кирәк?"
4. Браузер: Мин YouTube'ка керергә телим. Ул бу IP адресында бармы? Менә SNI (youtube.com). Ә менә ул, әйтик. Минем мәгълүматларым (браузер двигателе, экран чишелеше, cookie файллары - җенес, яшь, эзләү тарихы (браузер кэшындагы социаль челтәрләрдән алынган мәгълүматлар).
5. Сервер - әйе, бу серверда youtube.com дип аталган сайт бар, тоташу урнаштырылырга мөмкин (кул кысу була).
________________________
Роскомнадзор нәрсә эшләде?
1. YouTube.com нәрсә ул? Мин сезне кертмәячәкмен!!! 111
Уйналып үтү ысулы.
Ярар, ClientHelloны ике өлешкә бүлеп карыйк - "youtube + youtube.com", һәм сервер аны шунда ук яңадан җыячак һәм без кая барырга теләгәнебезне аңлаячак.
Нәтиҗә: Башта ул эшләде, безгә ике өлештән SNI җыю һәм кулланучының кая керүен аңлау өчен җиһазларның сыйдырышлыгын арттырырга туры килде, кирәксез ресурсларны блоклау өчен. Ул эшләүдән туктады.
2. Ярар, моны башкача эшлик. Җибәрелгән һәр пакетның яшәү вакыты бар (TTL - яшәү вакыты), аннан соң ул юкка чыгарга тиеш. Ул сикерүләр санына нигезләнеп билгеләнә. бер коммутатордан икенчесенә күчү. Сезнең маршрутизатор беренче сикерү урыны. Мин яңа гына traceroute белән тикшердем - ул YouTube'ка 21 сикерү (иң якын Google Global Cache серверы, анда YouTube'тан тыш, Google'дан бар нәрсә дә бар, шул исәптән Android кушымталары һәм башкалар... шуңа күрә IP аша тыю барлык телефоннарны да блоклау дигән сүз). Шулай итеп, без нәрсә эшлибез - браузер YouTube'ка сорау биргәндә, без аңа параллель рәвештә бик күп пакетлар һәм сорау җибәрәбез, ләкин TTL, әйтик, 5. Бу DDOS һөҗүме кебек, ләкин ул Google'га барып җитми, ә ярты юлда "үлә". Ләкин ул Роскомнадзорның TSPU'сына барып җитә, һәм андагы җиһазлар эштән чыга башлый. Шулай итеп, сез YouTube'ка керергә телисез, ләкин ул 100 500 кеше кебек күренә. Һәм ул кисәкләргә бүленгән килеш тә. КлиентИсәнмесез. Бу нәрсәгә китерә?

а) TSPU җиһазлары YouTube'ка керергә тырышкан кешеләр күп дип уйлый һәм башваткычны чишәргә тырыша. Аларны кая кертергә һәм кайда блокларга икәнен аңларгамы? Ул курка башлый һәм артык йөкләнә. Шуңа күрә, кайвакыт төбәкләрдә ике вариантның берсен сайларга туры килә: я вакытлыча блоклауны сүндерергә, яисә бөтен интернетны сүндерергә. Әлегә алар беренче вариантны сайладылар. (Шуңа күрә кайвакыт төбәкләрдән VPNсыз барысы да кинәт эшләгән дигән хәбәрләр килә.)

б) Җиһазлар сезнең YouTube'ка берничә тапкыр керергә тырышканыгызны күрә. Кайбер пакетлар үтә. Сез, әйтик, бер сәгать YouTube карыйсыз. Җиһазлар: "Мин бу сайтка керү омтылышларын бер сәгать буе уңышлы блокладым", - дип уйлый. Әйдәгез, уйланып карыйк.
3. Шифрланган Клиент Сәлам нәрсә хәл итә?
Браузер: Сез вебсайтка керәсез.
RKN: Нәрсә булды?
Браузер: Бу сезнең өчен түгел.
RKN: Анда нәрсә бара?
Браузер: Менә карагыз...
RKN: Нәрсә ул?
Браузер: Мин сезгә әйттем, сезнең өчен түгел.
RKN: Ярар, алайса.

___________

Минуту назад на хабре вышел пост "Роскомнадзор, вероятно, начал блокировать подключение к CloudFlare с использованием TLS ECH (Encrypted Client Hello)"
А это уже пахнет чебурнетом и цифровым гулагом :-(

Это сообщение отредактировал Squ1sh - 4 апр. 2026 г. в 14:27