HTTP/3 Работает :D

sergerdn

@FastSpace said in HTTP/3 Работает :D:

Если у вас есть белый ip, то сложностей не должно возникнуть, однако если ip за NAT нужен некий танец с бубном, вот этому шопы с прокси (особенно с резидентами или серверными прокси) не будут парится с этим UDP. Люди массово не покупают у провайдра услугу белый ip.

Не только в этом проблема. Если попытаться найти прокси, который можно самому устанавливать на свой сервер, столкнешься с отсутствием софта с поддержкой UDP.
Есть вещи, которые архитектурно не понятно как решать, если проксировать UDP трафик, если это не well-known DNS(53-й порт), который достаточно простой.

Proxying UDP traffic is generally considered to be a harder task than proxying TCP traffic for a few reasons:

• Connectionless Protocol: UDP is a connectionless protocol, which means that each packet is sent independently and there is no inherent order or reliability to the delivery of packets. This makes it more difficult to track and route packets in a proxy environment.

• NAT Traversal: Network Address Translation (NAT) is commonly used to allow multiple devices to share a single IP address. This can make it difficult to route UDP packets, as the NAT device may not know which device to send the response packet to.

• Statelessness: UDP is stateless, which means that there is no inherent state information maintained between packets. This can make it more difficult to track and manage packets in a proxy environment.

• Low-Level Protocol: UDP is a low-level protocol, which means that it operates closer to the network layer of the OSI model. This can make it more difficult to intercept and modify packets in a proxy environment.

All of these factors make proxying UDP traffic a more challenging task than proxying TCP traffic. While it is possible to proxy UDP traffic, it often requires specialized knowledge and techniques to overcome these challenges.

FastSpace

@sergerdn Я на 3proxy всё сделал.

A Former User

@FastSpace а они выкатили обнову с поддержкой ? или танцы с бубном ?

FastSpace

@Bigma said in HTTP/3 Работает :D:

@FastSpace а они выкатили обнову с поддержкой ? или танцы с бубном ?

Нет, там и работало. Надо 3 вещи сделать не очевидные + 1 в BAS.

Плюс
В следующей обнове будет поддержка UDP для WEB RTC (Это другая фича, для неё тоже нужен UDP как и для QUIC) . Доп. условие что кроме UDP у прокси должен быть родной DNS от модема (копии привет 3proxy, а для линукса очень важно будет resolv конфиг настроить, кто в теме поймет). Для винды я так решения и не нашел и к LAN цеплялось кучу DNS (пофиг, я на линуксе).

FastSpace

@sergerdn said in HTTP/3 Работает :D:

• Connectionless Protocol: UDP is a connectionless protocol, which means that each packet is sent independently and there is no inherent order or reliability to the delivery of packets. This makes it more difficult to track and route packets in a proxy environment.

• Statelessness: UDP is stateless, which means that there is no inherent state information maintained between packets. This can make it more difficult to track and manage packets in a proxy environment.

• Low-Level Protocol: UDP is a low-level protocol, which means that it operates closer to the network layer of the OSI model. This can make it more difficult to intercept and modify packets in a proxy environment.

All of these factors make proxying UDP traffic a more challenging task than proxying TCP traffic. While it is possible to proxy UDP traffic, it often requires specialized knowledge and techniques to overcome these challenges.

ну да понимаю, продавцам тяжелее будет, нежели чем для себя поднять. Сначала надо проверить конечный ПК юзера, есть ли у него белый ip или нет. В зависимости от этого пойдут 2 ветки логики )) Потом еще гемор с подсчетом соединений )) в TCP это легко, по кол-ву соединений, а в UDP пинг нолевой всегда и соединения мгновенные, а то как ограничивать всех то )

sergerdn

@FastSpace said in HTTP/3 Работает :D:

ну да понимаю, продавцам тяжелее будет, нежели чем для себя поднять. Сначала надо проверить конечный ПК юзера, есть ли у него белый ip или нет. В зависимости от этого пойдут 2 ветки логики )) Потом еще гемор с подсчетом соединений )) в TCP это легко, по кол-ву соединений, а в UDP пинг нолевой всегда и соединения мгновенные, а то как ограничивать всех то )

Не будут ничего продавцы прокси ничего делать. Даже пытаться не будут, так как слишком сложно.
У поставщиков софта для DPI(Deep Packet Inspection) есть простое решение проблемы - просто блокировать этот протокол, так как у них нет решения по анализу пакетов и, когда будет, никто не говорит.

FastSpace

@sergerdn said in HTTP/3 Работает :D:

@FastSpace said in HTTP/3 Работает :D:

ну да понимаю, продавцам тяжелее будет, нежели чем для себя поднять. Сначала надо проверить конечный ПК юзера, есть ли у него белый ip или нет. В зависимости от этого пойдут 2 ветки логики )) Потом еще гемор с подсчетом соединений )) в TCP это легко, по кол-ву соединений, а в UDP пинг нолевой всегда и соединения мгновенные, а то как ограничивать всех то )

Не будут ничего продавцы прокси ничего делать. Даже пытаться не будут, так как слишком сложно.
У поставщиков софта для DPI(Deep Packet Inspection) есть простое решение проблемы - просто блокировать этот протокол, так как у них нет решения по анализу пакетов и, когда будет, никто не говорит.

Хорошая универсальная проверка для отсева ботов.

A Former User

@FastSpace said in HTTP/3 Работает :D:

Хорошая универсальная проверка для отсева ботов.

Чушь. Я сижу за обычным роутером, обычные браузеры, почти все, две системы и мак и винда, все по http 2.0 по твоей проверке. И чё? Меня кто-то банит?

В любом деле есть избыточность рвения и достаточность. Не в обиду, но есть такая русская поговорка - заставь дурака богу молиться, он и лоб расшибет...

А ещё есть в психиатрии понятие - мания приследования 😁 ну не обижайся. Это так к слову.

FastSpace

@Bigma said in HTTP/3 Работает :D:

@FastSpace said in HTTP/3 Работает :D:

Хорошая универсальная проверка для отсева ботов.

Чушь. Я сижу за обычным роутером, обычные браузеры, почти все, две системы и мак и винда, все по http 2.0 по твоей проверке. И чё? Меня кто-то банит?

В любом деле есть избыточность рвения и достаточность. Не в обиду, но есть такая русская поговорка - заставь дурака богу молиться, он и лоб расшибет...

А ещё есть в психиатрии понятие - мания приследования 😁 ну не обижайся. Это так к слову.

Ты это образец для мерила 😁, ведь у нас в стране каждая домохозяйка кастомит роутер, а сверху систему. Да ещё скриптики сверху написывает.

Ты не забывай, что 1 проверки недостаточно, а вот двух уже да. UDP, DRM, ну и моник чекнуть наличие. Все 3 фейла, бот

A Former User

@FastSpace а зачем тебе две если одной достаточно - она однозначна, а вторая сомнительна, и может привести к ложным срабатываниям...

FastSpace

@Bigma в сумме две и не дадут ложного срабатывания

sergerdn

@FastSpace said in HTTP/3 Работает :D:

Ты не забывай, что 1 проверки недостаточно, а вот двух уже да. UDP, DRM, ну и моник чекнуть наличие. Все 3 фейла, бот

Я думаю, что в реальной жизни все проще. Так как работает машинное обучение с подкреплением на стороне антифрода, а вот это решение уже может легко пометить всех пользователей без QUIC как подозрительных. Так как по другим показателям среди таких пользователей, к примеру, 70% фродеры.
Мое мнение - да, проблема есть. И, вероятно, проблема серьёзная.

A Former User

@sergerdn я зашел с мобилы с chrome браузера с мобильного интернета - на данную ссылку, и у меня выдает что нет поддержки квика, перезагрузил страницу, тоже самое - я бот ?

sergerdn

@Bigma said in HTTP/3 Работает :D:

@sergerdn я зашел с мобилы с chrome браузера с мобильного интернета - на данную ссылку, и у меня выдает что нет поддержки квика, перезагрузил страницу, тоже самое - я бот ?

Я этого не говорил. А говорил, что отсутствие поддержки QUIC может свидетельствовать о том, что ты подозрительный, а в совокупностями с другими признаками, с точки зрения машинного обучения, пометить тебя как бота.
Вроде на одном языке говорим, а такое непонимание.

A Former User

@sergerdn может лет через 10 это и можно будет использовать однозначным способом, а пока это лишь технология, которая мало ещё поддерживается. Вот как клаудфлер начнет пинать по этому признаку, вот тогда это звоночек 🧐

sergerdn

@Bigma said in HTTP/3 Работает :D:

@sergerdn может лет через 10 это и можно будет использовать однозначным способом, а пока это лишь технология, которая мало ещё поддерживается. Вот как клаудфлер начнет пинать по этому признаку, вот тогда это звоночек 🧐

Можно не гадать, сам Cloudflare дает статистику и тенденция заставляет напрягаться.

https://blog.cloudflare.com/cloudflare-view-http3-usage/

FastSpace

@Bigma said in HTTP/3 Работает :D:

@sergerdn я зашел с мобилы с chrome браузера с мобильного интернета - на данную ссылку, и у меня выдает что нет поддержки квика, перезагрузил страницу, тоже самое - я бот ?

Ссылка тестовая и нужно сначала разобратся как работает. Если начать детектить UDP это будет сделано без той ссылки.

A Former User

@FastSpace по тенденции, которая по статистики Клауда есть ещё как минимум три года, хотя все стремительней развивается технологии... Но это не касается РФ. А свои фермы вы очевидно в РФ тюнити...

A Former User

@FastSpace ты смотрел слив по Яше? Там очень все забавно 🧐

sergerdn

Решил не создавать новую ветку и написать сюда.

Целью данного сообщения является демонстрация способа определения поддержки протокола QUIC браузером со стороны антифрод систем очень незаметно для пользователя. Так как факт проверки не будет виден в developer tools Chrome, потому что сайт не доступен по протоколу QUIC.

Множество подробностей реализации я опускаю ради упрощения. Описываю ниже возможную(я ее протестировал) логику реализации такой проверки.

Подготовка на стороне сервера:

1. Веб-сервер (в моем случае nginx, но можно использовать любой).
2. Инструмент для мониторинга и захвата UDP-пакетов с признаками QUIC (в моем случае, собственное решение на базе eBPF/pcap). Альтернативы: стандартный tcpdump или Wireshark.

Основная логика:

1. При первом запросе страницы отправлять специальные заголовки Alt-Svc и Critical-CH.
2. В ответ на это, браузер (Chrome) попытается установить QUIC-соединение перед повторным запросом страницы. Повторный запрос страницы Chrome делает потому что получил заголовок Critical-CH.
3. К моменту повторного запроса на сервере уже известно, был ли отправлен UDP-пакет с QUIC-признаками.

Последовательность работы Chrome:

1. Исходный запрос страницы.
2. Попытка установления QUIC-соединения.
3. Повторный запрос страницы.

Теоретически, существует вероятность, что QUIC-пакет не успеет дойти до сервера до повторного запроса, но это маловероятно и решаемо.

Дополнительно для браузеров без поддержки Critical-CH или для надежности можно использовать внутренние редиректы, чтобы браузер успел отправить QUIC пакет к моменту анализа на сервере.

В качестве побочного эффекта можно также относительно незаметно получить реальный ip пользователя, если он использует прокси, не отключил QUIC, и устанавливает прокси в браузер стандартным способом. BAS этому не подвержен.

Выводы:

Всем капец 😁

P.S.
Стал собирать статистику по поддержке протокола QUIC в живой природе. Предварительные результаты не утешительные. Я давал выше ссылку на анализ Cloudflare. Cloudflare мягко говоря немного манипулирует статистикой, так как не дает данных в разрезе операционных систем и версий браузеров. Если выкинуть старые версии браузеров и операционных систем, то будет совсем другая история.

P.P.S
Может быть добавлю позже статистику, что сейчас собирается на трафике у меня.