"Fhuair mé an praiseach seo le hoidhreacht,
ag tosú leis an Zello gan náire; LinkedIn
agus ag críochnú le "gach duine eile" ar an ardán Telegram
i mo domhan.Agus ansin bígí,
Dúirt an t-oifigeach go pras agus os ard:
ach cuirfidh mé rudaí in ord (anseo in IT)"
(...).
Creideann Durov, mar is ceart, gurb iad stáit údarásacha ar cheart eagla a bheith orthu roimhe, cipherpunk, agus ní bhacann Roskomnadzor agus sciatha órga lena scagairí DPI leis.
(Teicníc pholaitiúil)
Is é mo bheartas teicniúil níos simplí, is féidir liom cur síos a dhéanamh anseo ar mo chuid smaointe ar bhlocáil míchúramach i Runet, ach creidim go bhfuil saoránaigh fhorásacha úsáideoirí na Rúise Nua-Aimseartha agus Habr tar éis unprofessionalism an rialtais reatha a bhraith ina gcraiceann féin, mar sin teorannóidh mé mé féin go dtí seo. frása amháin: is é ár mbeartas teicniúil ná “Digital Resistance”. "cainéal cumarsáide cobhsaí a sholáthar do ghaolta agus do chairde."
Teileagram seachfhreastalaí MTProto a imscaradh
- Tá an leibhéal teicniúil castachta “éasca”, má leanann tú, mar shampla, an bhileog cheat seo.
- Tá an leibhéal iontaofachta “os cionn an mheáin”: oibríonn an íomhá docker go cobhsaí, ní gá é a atosú gach lá, mar a scríobh na forbróirí ina gcuid doiciméad oifigiúil Telegram, ach is dócha go bhfuil roinnt leochaileachtaí sa choimeádán.
- An leibhéal friotaíochta / imní - 10 gcomhaltaí ISIS fhí a gcuid comhcheilg "úsáid gaolta", níor tháinig an toirmeasc ón RKN fiú uair amháin an t-am ar fad (ó earrach).
- Is é an leibhéal iontaobhais ná "distrust leanbh poiblí", fadhb ar thaobh an chliaint (tá roinnt cairde amhrasach faoi mo MtprotoProxy).
- Leibhéil testosterone - "ní raibh a fháil níos airde."
- Costais airgeadais - "0₽".
- Luach saothair airgeadais - "nach bhfuil ag brath ar Durov saoránach." Cur Chun Cinn - an cumas fógraíocht a fhorchur.
Ardóimid ár TelegramProxy ar na cumais “saor in aisce / pearsanta” de Amazon-ec2: t2.micro. d'úsáid mé carr.
Ceart go leor, imscaradh do fhreastalaí saor in aisce, téigh go dtí an láithreán gréasáin oifigiúil agus íoslódáil an coimeádán docker.
Ní gá íomhá, comhad nó cnaipe draíochta a lorg - "níl siad ann", déantar an draíocht ar fad sa CLI:
$ docker pull telegrammessenger/proxy #образ скачан.Ach roimh "sin", suiteáil docker le haghaidh CLI:
sudo apt-get install docker.io dockerThairis sin, i gcáipéisíocht oifigiúil MtprotoProxyTelegram, tairgtear dúinn rud éigin mar seo a leanas a dhéanamh, déanaimid:
$ sudo su && docker run -d -p443:443 --name=mtproto-proxy --restart=always -v proxy-config:/data telegrammessenger/proxy:latest #запускаем наш контейнер «mtproto-proxy».
Tar éis an ordaithe seo, beidh teaghrán HEX le feiceáil san aschur teirminéil, ach níl suim againn ann.
Scríobhaimid i CLI:
$ docker logs mtproto-proxyAgus faighimid na sonraí riachtanacha:
In aschur an loga seo, taispeántar muid (smeartha):
A) ár n-ip freastalaí (ip freastalaí seachtrach);
B) agus rún randamach - teaghrán randamach i HEX.
Sula gcláraíonn tú ár MtproProxy, ní mór duit an príomhbhalla dóiteáin a chumrú thar iptables (is cuma cén chaoi a atreoraíonn tú trácht chuig an VPC seo, beidh sé dána, ós rud é go bhfuil an príomh-bhalla dóiteáin in Amazon-EC2 suite sa chomhéadan gréasáin agus tá tosaíocht níos airde aige os a chionn. iptables).
Téimid go " Amazon-EC2" sa Ghrúpa Slándála agus oscail calafort isteach 443 (cumhdach loighciúil don chéad uair).
Tógann muid ár sonraí “ip agus rúnda” ón logáil agus téigh go dtí an teachtaire Telegram, aimsigh an MTProxy Admin Bot (@MTProxybot) agus cláraigh ár MtproProxy: reáchtáil an t-ordú [/newproxy] agus cuir isteach [our_ip:443], agus ansin ár [rún / HEX].
Má dhéanann tú praiseach agus tú ag iontráil sonraí, éireoidh an bot feargach agus seolfaidh tú chuig ...
Má líonann tú dhá líne gan earráidí, gheobhaidh tú formheas agus nasc oibre chuig do MtprotoProxyTelegram reatha, ar féidir leat a roinnt le haon duine.
Chomh maith leis sin, tríd an bot seo, is féidir leat do chainéal urraíochta a chur leis (ach ní comhrá é), áit a gcuirfidh tú do thuairimí i bhfeidhm ar úsáideoirí a bhfuil nasc acu le do fhreastalaí, nó ní féidir leat "turscar" a dhéanamh agus nach gcuirfidh tú isteach ar do chuid custaiméirí féideartha gan mhoill. ag taispeáint an chainéil sa liosta teachtairí pionáilte.
Cúpla focal eile faoin bot, áit ar féidir leat staitisticí a iarraidh, ach “donut freisin”. Réir dealraimh, tá "staitisticí" ar fáil nuair a tá tú "slua de freeloaders" taobh thiar duit Makhachkala.
Monatóireacht
Cé mhéad úsáideoir is féidir linn ceangal lenár bhfreastalaí? Agus mar sin féin, cé / cad atá ann? Cad? Agus cé mhéad?
Breathnaímid ar a bhfuil ann de réir na gcáipéisí oifigiúla ... Sea, anseo, déan mar seo é:
$ curl http://localhost:2398/stats или вот так $ docker exec mtproto-proxy curl http://localhost:2398/stats # и нам выдадут статистику прямо в CLI.“Coinnigh do phóca níos leithne” De réir na n-orduithe atá beartaithe, gheobhaidh muid earráid chomhchosúil i gcónaí:
«curl: (7) Theip ar nascadh le calafort localhost 2398: Diúltaíodh don nascadh»
Oibreoidh ár seachfhreastalaí. Ach! Bagel, ní staitisticí a fhaighimid.
Is féidir leat rudaí a dhéanamh don dearg-eyed: seiceáil
$ netstat -an | grep 2398 и...Ar dtús, shíl mé gur jamb eile é seo taobh thiar d'fhorbróirí Telegram (agus is dóigh liom fós), ansin fuair mé réiteach maith sealadach: snas an Coimeádán Docker le comhad.
Níos déanaí, ghlac naíonán mo shúil:
faoi na damhsaí stáit Roskomnadzor timpeall ar "staitisticí".
“Chuireamar bac ar chuid de na seachvótálaithe poiblí ar ár bhfreastalaithe ag baint úsáide as bunachair shonraí an tionscadail firehol. Déanann an tionscadal seo monatóireacht ar liostaí le seachvótálaithe poiblí agus déanann sé bunachair shonraí leo.
Ón nóiméad sin (is é sin, beagnach dhá lá cheana féin), níor cuireadh bac ar sheoladh IP amháin dár seachfhreastalaí Rúiseach.
3. Inseoimid duit conas seachfhreastalaí a dhéanamh atá beagnach dosháraithe do Roskomnadzor agus script a roinnt chun seachvótálaithe poiblí a bhlocáil.
- Nuashonraigh an coimeádán (nó an deamhan) seachfhreastalaí MTProto go dtí an leagan is déanaí: ríomhann RKN seanleaganacha ag an gcalafort staitisticí, a bhí faoi cheangal go 0.0.0.0 agus a shainaithnítear go uathúil é féin don Idirlíon ar fad. Níos fearr fós, oscail na calafoirt riachtanacha ag baint úsáide as iptables, agus dún an chuid eile (cuimhnigh gur chóir duit an riail FORWARD a úsáid i gcás coimeádán docker).
— D'fhoghlaim Roskomnadzor conas trácht a dhumpáil i bhfad ó shin: feiceann siad iarratais taobh istigh de sheachvótálaithe HTTP agus SOCKS5, agus feiceann siad freisin an seanleagan de obfuscation seachfhreastalaí MTProto.
Nuair a chuireann cliaint de chuid soláthraithe áirithe a bhfuil dumpaí den sórt sin isteach acu rochtain ar Telegram trí sheachvótálaithe den sórt sin, feiceann an RKN iarratais den sórt sin agus cuireann sé bac ar na seachvótálaithe seo láithreach. Is é an rud céanna a bhaineann le seachfhreastalaí MTProto le sean-obfuscation.
Réiteach: ná déan rún a dháileadh ach le dd ag an tús do chliaint a nascann leis an seachfhreastalaí (ní gá litreacha breise dd a shonrú i socruithe an tseachfhreastalaí mtproto féin). Cumasóidh sé seo leagan de chuisle nach féidir le dumppiles a bhrath.
Agus gan aon seachfhreastalaí HTTP nó SOCKS5.
- Coigeartú, le cabhair óna bhféadfaidh gach úinéir seachfhreastalaí teileagraim, a chuireann an RKN toirmeasc go rialta, stop a chur go hiomlán (nó beagnach go hiomlán) blocáil (agus ag an am céanna déan cinnte go bhfuil an RKN suite).
Script a chuireann cosc ar sheachvótálaithe poiblí agus lámhleabhar beag dó.
→
Tá ár seachfhreastalaí pro-Iarthair, níor tháinig mé ar aon fhadhbanna / bacainní le linn laethanta an earraigh agus laethanta fionnuara an tsamhraidh, níor tharraing sé tasc cruthaitheach ach an oiread, mar sin níor chaill mé luas agus níor chuir mé an réimír dd* leis an eochair.
Níl an lámhleabhar “staitisticí a fháil / monatóireacht” de réir threoracha oifigiúla MtprotoProxyTelegram ag obair / as dáta, beidh ort íomhá an docker a dheisiú.
Déanaimid é a shocrú.
Tá an coimeádán fós ag rith:
$ docker stop mtproto-proxy #останавливаем наш запущенный docker-контейнер и запускаем новый образ с пропущенным флагом статистики
$ docker run --net=host --name=mtproto-proxy2 -d -p443:443 -v proxy-config:/data -e SECRET=ваш_предыдущий_секрет_hex telegrammessenger/proxy:latest
Déanaimis na staitisticí a sheiceáil:
$ curl http://localhost:2398/stats
curl: (7) Theip ar nascadh le 0.0.0.0 port 2398: Ceangal diúltaíodh
Níl staitisticí ar fáil go fóill.!..
Faigh amach ID an choimeádáin docker:
$ docker ps
Aitheantas coimeádán AINMNEACHA AINMNEACHA PHORT AINMNEACHA Aitheantais CHRUTHAITHE
f423c209cfdc teileagrammessenger/seachfhreastalaí: is déanaí "/bin/sh -c '/bin/ba…" Timpeall uair an chloig ó shin Suas Thart ar nóiméad 0.0.0.0:443->443/tcp mtproto-proxy2
Téann muid lenár gcairt taobh istigh den choimeádán docker:
$ sudo docker exec -it f423c209cfdc /bin/bash
$ apt-get update
$ apt-get install nano
$ nano -$ run.sh
Agus sa líne dheireanach den script "run.sh", cuir an bhratach atá ar iarraidh leis:
«--http-stats»
"exec /usr/local/bin/mtproto-proxy -p 2398 -H 443 -M "$ OIBRITHEOIRÍ" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD"
Cuir "--http-stats" leis, ba cheart go n-oibreodh rud éigin mar seo:
«exec /usr/local/bin/mtproto-proxy -p 2398 --http-stats -H 443 -M "$WORKERS" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD»
Ctrl+o/Ctrl+x/Ctrl+d (sábháil/amach nana/coimeád scoir).
Atosaigh ár gcoimeádán docker:
$ docker restart mtproto-proxy2Gach rud, anois ar ordú:
$ curl http://localhost:2398/stats #получаем объемную статистику
Tá go leor “truflais” sna staitisticí (tá 1/3 de ar an scáileán), cruthaigh ailias:
$ echo "alias telega='curl localhost:2398/stats | grep -e total_special -e load_average_total'" >> .bashrc && bashFaighimid cad chuige a snastaíodh an coimeádán docker: líon na nasc agus an t-ualach:
$ telega
Tá an coimeádán Docker ag rith, tá na staitisticí ag sníomh.
Acmhainní caite
Chomh fionnuar mar atá tú Stuart Redman, fiú fhágann tú marc ar do mionbhrístíní. Fágann íomhá Docker reatha lorg mór.
Ní dhéanann sé aon chiall cur síos a dhéanamh ar na buntáistí agus na míbhuntáistí a bhaineann le híomhánna duga, is meaisín fíorúil é coimeádán docker a ídíonn níos lú acmhainní ná meaisín fíorúil “fíor”, mar VirtualBox, ach déanann sé.
1) Arna sheoladh le nó gan staitisticí íomhá docker, úsáidtear dhá chliant frolic nó deich - acmhainní ~ ar an mbealach céanna: 75% de fheidhmíocht iomlán t2.micro LAP.
2) Breathnaímid ar mhonatóireacht an fhreastalaí VPC:
Ón ngraf úsáide acmhainní ar an VPC, feicimid go n-ídíonn an coimeádán docker ~ 7,5% den uas iomlán i gcónaí. Stop mé feidhmíocht LAP agus ar 28 Bealtaine go hintinneach / go sealadach (Tabhair faoi deara - Tá OpenVPN & pptp ag rith ar an bhfreastalaí freisin).
Cén fáth a bhfuil úsáid tairiseach LAP 10% mar an teorainn don fhreastalaí seo?
Toisc go bhfuil srianta ó Amazon EC2 agus ríomhtar iad i gcreidmheasanna:
Creidmheas 1 LAP = 1 LAP ag obair ar ualach 100% ar feadh nóiméad amháin, agus tá 6 chreidmheas againn (is é sin, ag buaicphointí, is féidir úsáid a bhaint as 100% LAP laistigh de 6 nóiméad, agus ansin laghdóidh an chumhacht LAP). Comhcheangail eile: mar shampla, creidmheas 1 LAP = 1 LAP ag rith ag ualach 50% ar feadh dhá nóiméad (i.e. is féidir linn an LAP a úsáid ag ualach 50% ar feadh 12 nóiméad), nó, mar shampla, ualach tairiseach 10% - ú LAP le linn an t-am ar fad, etc.
Torthaí
- Táimid mar chuid den "Digital Resistance". Ar choinníoll a n-"aithreacha agus máithreacha" le cainéal cumarsáide iontaofa.
- Má tá MtprotoProxyTelegram agus OpenVPN imscaradh ar an bhfreastalaí agat, ach nach bhfuil níos mó, ní bheidh aon mhoill / pings / teipeanna, ach má tá tú i gcónaí ag tástáil le do t2 / micrea, ansin fanacht ar choscáin cumarsáide.
- Is é mo phing thar lear ná ~100-250ms, níl aon mhoill ar chumarsáid ghutha.
- Costais airgeadais "seo" ar fad (lena n-áirítear acmhainní VPC) = 0₽.
Athchló de do alt.
UPD: Buíochas le roinnt habrausers le haghaidh tuairimí úsáideacha, go deimhin, is féidir (an bhfuil tacaíocht ag na staitisticí?), Tá analógacha níos fearr ann d'íomhá oifigiúil docker Telegram seachfhreastalaí Mtproto.
Foinse: will.com