A’ cleachdadh do MTProxy Telegram le staitistig

" shealbhaich mi 'n truaighe so,
a’ tòiseachadh leis an Zello gun nàire; LinkedIn
agus a 'crìochnachadh le "a h-uile duine eile" air àrd-ùrlar Telegram
anns an t-saoghal agam.

Agus an uairsin,
Thuirt an t-oifigeach gu sgiobalta agus gu làidir:
ach cuiridh mi rudan an òrdugh (an seo ann an IT)"
(...).

Tha Durov, gu ceart den bheachd gur e stàitean ùghdarrasach a bu chòir eagal a bhith orra, cypherpunk, agus Roskomnadzor agus sgiathan òir leis na sìoltachain DPI aca nach eil a’ cur dragh mòr air.
(Teicnigeach poilitigeach)

Tha am poileasaidh teignigeach agam nas sìmplidh, is urrainn dhomh cunntas a thoirt an seo air mo smuaintean mu bhacadh gun chùram ann an Runet, ach tha mi a’ creidsinn gu bheil saoranaich adhartach luchd-cleachdaidh Ruiseanach an latha an-diugh agus Habr air faireachdainn neo-phroifeasanta an riaghaltais gnàthach nan craiceann fhèin, agus mar sin bidh mi gam chuingealachadh fhèin gu aon abairt: is e am poileasaidh teignigeach againn “Digital Resistance”. “a’ toirt sianal conaltraidh seasmhach dha càirdean is caraidean.”

A’ cleachdadh MTProto neach-ionaid Telegram

• Tha an ìre theicnigeach iom-fhillteachd "furasta", ma leanas tu, mar eisimpleir, an duilleag meallta seo.
• Tha an ìre earbsachd “os cionn na cuibheasachd”: tha ìomhaigh an docker ag obair gu seasmhach, chan fheumar ath-thòiseachadh a h-uile latha, mar a sgrìobh an luchd-leasachaidh anns na sgrìobhainnean oifigeil Telegram aca, ach is dòcha gu bheil cuid de chugallachd anns a ’ghobhar.
• An ìre strì / iomagain - tha 10 ball ISIS a’ fighe an cuid co-fheall “cleachdadh chàirdean”, cha tàinig an casg bhon RKN eadhon aon uair fad na h-ùine (bhon earrach).
• Is e an ìre earbsa “mì-earbsa pàisde poblach”, duilgheadas air taobh an neach-dèiligidh (tha cuid de charaidean amharasach mu mo MtprotoProxy).
• Ìrean testosterone - "cha do dh'fhàs nas àirde."
• Cosgaisean ionmhais - "0₽".
• Duais ionmhasail - "chan eil e an urra ri saoranach Durov." Brosnachadh - an comas a bhith a 'sparradh sanasachd.

Togaidh sinn ar TelegramProxy air na comasan “an-asgaidh / pearsanta” aig Amazon-ec2: t2.micro. Chleachd mi seo càr.

Ceart gu leòr, cleachd am frithealaiche an-asgaidh agad, rachaibh chun làrach-lìn oifigeil dockerhub agus luchdaich sìos an docker container.

Chan fheumar coimhead airson ìomhaigh, faidhle, no putan draoidheachd - “chan eil iad ann”, tha a h-uile draoidheachd air a dhèanamh anns an CLI:

$ docker pull telegrammessenger/proxy #образ скачан.

Ach ro “sin”, stàlaich docker airson CLI:

sudo apt-get install docker.io docker

Nas fhaide, ann an sgrìobhainnean oifigeil MtprotoProxyTelegram, thathas a’ tabhann dhuinn rudeigin mar na leanas a dhèanamh, bidh sinn a ’dèanamh:

$ sudo su && docker run -d -p443:443 --name=mtproto-proxy --restart=always -v proxy-config:/data telegrammessenger/proxy:latest #запускаем наш контейнер «mtproto-proxy».

Às deidh an àithne seo, nochdaidh sreang HEX ann an toradh a’ chrìoch, ach chan eil ùidh againn ann.

Bidh sinn a’ sgrìobhadh ann an CLI:

$ docker logs mtproto-proxy

Agus gheibh sinn an dàta riatanach:

Ann an toradh an loga seo, tha sinn air ar sealltainn (smeared):

A) ip an fhrithealaiche againn (ip frithealaiche taobh a-muigh);
B) agus dìomhaireachd air thuaiream - sreang air thuaiream ann an HEX.

Mus clàraich thu ar MtproProxy, feumaidh tu am prìomh bhalla-teine ​​​​a rèiteachadh thairis air iptables (ge bith ciamar a nì thu ath-stiùireadh trafaic chun VPC seo, bidh e dona, leis gu bheil am prìomh bhalla-teine ​​​​ann an Amazon-EC2 suidhichte anns an eadar-aghaidh lìn agus tha prìomhachas nas àirde aige thairis air. iptables).

Bidh sinn a ’dol gu"console Amazon-EC2" anns a’ Bhuidheann Tèarainteachd agus fosgail port a tha a’ tighinn a-steach 443 (falach loidsigeach trafaic airson a’ chiad uair).

Bidh sinn a’ toirt ar dàta “ip and secret” bhon loga agus a’ dol gu teachdaire Telegram, lorg am Bot oifigeil MTProxy Admin (@MTProxybot) agus clàraich ar MtproProxy: ruith an àithne [/newproxy] agus cuir a-steach [our_ip:443], agus an uairsin ar [dìomhair / HEX].

Ma nì thu bùrach nuair a chuireas tu a-steach dàta, fàsaidh am bot feargach agus cuiridh e thu gu ...

Ma lìonas tu dà loidhne gun mhearachdan, gheibh thu cead agus ceangal obrach ris an MtprotoProxyTelegram gnàthach agad, as urrainn dhut a roinn le duine sam bith.

Cuideachd, tron ​​​​bot seo, faodaidh tu an sianal urrasachd agad a chuir ris (ach chan e cabadaich), far an cuir thu do bheachdan air luchd-cleachdaidh a tha air ceangal a dhèanamh ris an t-seirbheisiche agad, no chan urrainn dhut “spam” a dhèanamh agus nach cuir thu dragh air do luchd-ceannach a tha comasach às aonais a’ sealltainn an t-sianail air an liosta teachdaire pinned.

Beagan fhaclan eile mun bot, far an urrainn dhut staitistig iarraidh, ach “cuideachd donut”. A rèir coltais, tha "staitistig" ri fhaighinn nuair a tha "sluagh de luchd-saoraidh" air do chùlaibh Makhachkala.

Sgrùdadh

Cia mheud neach-cleachdaidh as urrainn dhuinn ceangal ris an t-seirbheisiche againn? Agus co-dhiù, cò/dè tha ann? Dè? Agus cia mheud?

Bidh sinn a’ coimhead air na tha ann a rèir na sgrìobhainnean oifigeil ... Yeah, seo, dèan mar seo:

$ curl http://localhost:2398/stats или вот так $ docker exec mtproto-proxy curl http://localhost:2398/stats # и нам выдадут статистику прямо в CLI.

“Cùm do phòcaid nas fharsainge” A rèir nan òrdughan a chaidh a mholadh, gheibh sinn an-còmhnaidh mearachd coltach ris:

«curl: (7) Dh'fhàillig ceangal ri port localhost 2398: Ceangal air a dhiùltadh»

Obraichidh an neach-ionaid againn. Ach! Bagel, chan e staitistig a gheibh sinn.

Faodaidh tu rudan a dhèanamh airson na sùilean dearga: thoir sùil

$ netstat -an | grep 2398 и...

An toiseach bha mi a ’smaoineachadh gur e jamb eile a bha seo air cùl luchd-leasachaidh Telegram (agus tha mi fhathast a’ smaoineachadh sin), an uairsin lorg mi fuasgladh math sealach: snas an Docker Container le faidhle.

Nas fhaide air adhart, ghlac leanabh mo shùil:

mu na dannsan stàite aig Roskomnadzor timcheall air “staitistigean”.

“Tha sinn air casg a chuir air cuid de na proxies poblach air na frithealaichean againn a’ cleachdadh stòran-dàta a ’phròiseict firehol. Bidh am pròiseact seo a’ cumail sùil air liostaichean le proxies poblach agus a’ dèanamh stòran-dàta leotha.

Bhon àm sin (is e sin, faisg air dà latha mu thràth), cha deach aon sheòladh IP den neach-ionaid Ruiseanach againn a bhacadh.

3. Tha sinn ag innse dhuibh mar a nì neach-ionaid a tha cha mhòr invulnerable gu Roskomnadzor agus a 'roinn sgriobt airson bacadh poblach proxies.

- Ùraich an inneal docker proxy MTProto (no daemon) chun dreach as ùire: bidh RKN a ’tomhas seann dhreach leis a’ phort staitistig, a bha ceangailte ri 0.0.0.0 agus air a chomharrachadh gu sònraichte airson an eadar-lìn gu lèir. Nas fheàrr fhathast, fosgail na puirt riatanach a ’cleachdadh iptables, agus dùin an còrr (cuimhnich gum bu chòir dhut an riaghailt FORWARD a chleachdadh a thaobh inneal docker).

- Dh’ ionnsaich Roskomnadzor mar a dhumpadh tu trafaic o chionn fhada: chì iad fiosan taobh a-staigh luchd-ionaid HTTP agus SOCKS5, agus chì iad cuideachd an seann dreach de obfuscation neach-ionaid MTProto.

Nuair a chuir luchd-dèiligidh cuid de sholaraichean aig a bheil dumps mar sin a-steach cothrom air Telegram tro luchd-ionaid mar sin, bidh an RKN a ’faicinn iarrtasan mar sin agus a’ cuir casg air na proxies sin sa bhad. Tha an aon rud a’ dol airson neach-ionaid MTProto le seann obfuscation.

Fuasgladh: sgaoil dìomhaireachd a-mhàin le dd aig an toiseach gu teachdaichean a tha a’ ceangal ris an neach-ionaid (chan fheumar litrichean a bharrachd dd a shònrachadh ann an roghainnean an neach-ionaid mtproto fhèin). Leigidh seo le dreach de obfuscation nach urrainn dumppiles a lorg.

Agus chan eil proxies HTTP no SOCKS5 ann.

- Atharrachadh, le cuideachadh a tha gach sealbhadair neach-ionaid teileagram, a tha gu cunbhalach a thoirmeasg leis an RKN, gu tur (no cha mhòr gu tur) stad a chur air bacadh (agus aig an aon àm dèanamh cinnteach gu bheil an RKN na laighe).

Sgriobt a chuireas casg air luchd-ionaid poblach agus leabhar-làimhe beag air a shon.

→ Stòr

Tha an neach-ionaid againn pro-Western, cha do thachair mi ri duilgheadasan / bacaidhean sam bith as t-earrach agus làithean fionnar samhraidh, cha do tharraing e gnìomh cruthachail nas motha, agus mar sin cha do chaill mi astar agus cha do chuir mi an ro-leasachan dd * ris an iuchair.

Chan eil an leabhar-làimhe “faighinn staitistig / sgrùdadh” a rèir stiùireadh oifigeil MtprotoProxyTelegram ag obair / seann-fhasanta, feumaidh tu ìomhaigh an docker a chàradh.

Bidh sinn ga chàradh.

Tha an soitheach fhathast ag obair:

$ docker stop mtproto-proxy #останавливаем наш запущенный docker-контейнер и запускаем новый образ с пропущенным флагом статистики

$ docker run --net=host --name=mtproto-proxy2 -d -p443:443 -v proxy-config:/data -e SECRET=ваш_предыдущий_секрет_hex telegrammessenger/proxy:latest

Feuch an toir sinn sùil air na staitistig:

$ curl http://localhost:2398/stats

curl: (7) Dh'fhàillig ceangal ri 0.0.0.0 port 2398: Ceangal air a dhiùltadh
Chan eil staitistig fhathast ri fhaighinn.!..

Faigh a-mach ID an t-soithich docker:

$ docker ps

ID CONTAINER IMAGE Òrdugh CRUTHACHADH AINMEAN POST STATUS
f423c209cfdc telegrammessenger/proxy: as ùire "/bin/sh -c'/bin/ba…" Mu uair a thìde air ais Suas Mu mhionaid 0.0.0.0:443-> 443/tcp mtproto-proxy2

Bidh sinn a’ dol leis a’ chùmhnant againn taobh a-staigh an docker container:

$ sudo docker exec -it f423c209cfdc /bin/bash

$ apt-get update
$ apt-get install nano
$ nano -$ run.sh

Agus anns an loidhne mu dheireadh den sgriobt “run.sh”, cuir a’ bhratach a tha a dhìth ris:

«--http-stats»
"exec /usr/local/bin/mtproto-proxy -p 2398 -H 443 -M "$ LUCHD-OBRACH" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD"

Cuir "-http-stats" ris, bu chòir dha rudeigin mar seo obrachadh:

«exec /usr/local/bin/mtproto-proxy -p 2398 --http-stats -H 443 -M "$WORKERS" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD»

Ctrl + o / Ctrl + x / Ctrl + d (sàbhail / fàgail nano / soitheach fàgail).

Ath-thòisich an soitheach docker againn:

$ docker restart mtproto-proxy2

A h-uile càil, a-nis air òrdugh:

$ curl http://localhost:2398/stats #получаем объемную статистику

Tha tòrr “sgudal” anns na staitistig (tha 1/3 dheth air an sgrion), cruthaich alias:

$ echo "alias telega='curl localhost:2398/stats | grep -e total_special -e load_average_total'" >> .bashrc && bash

Bidh sinn a’ faighinn na bha an soitheach docker air a lìomhadh airson: an àireamh de cheanglaichean agus an luchd:

$ telega

Tha an soitheach Docker a ’ruith, tha na staitistigean a’ snìomh.

Goireasan air an caitheamh

Cho fionnar ‘s a tha thu Stuart Redman, eadhon bidh thu a’ fàgail comharra air na panties agad. Bidh ìomhaigh ruith Docker a’ fàgail lorg mòr.

Chan eil e ciallach cunntas a thoirt air na buannachdan agus na h-eas-bhuannachdan a tha an cois ìomhaighean docker, is e inneal beag mas fhìor a th’ ann an inneal docker a bhios ag ithe nas lugha de ghoireasan na inneal brìgheil “fìor”, leithid VirtualBox, ach tha e a’ dèanamh.

1) Air a chuir air bhog le no às aonais staitistig ìomhaigh docker, bidh dà neach-dèiligidh frolic no deich - goireasan air an cleachdadh ~ san aon dòigh: 75% de choileanadh CPU t2.micro gu lèir.

2) Bidh sinn a’ coimhead air sgrùdadh an fhrithealaiche VPC:

Bhon ghraf cleachdadh ghoireasan air an VPC, chì sinn gu bheil an inneal docker an-còmhnaidh ag ithe ~ 7,5% den iomlan as àirde. Chaidh stad a chuir air coileanadh CPU agus air 28 Cèitean leam a dh’aona ghnothach / airson ùine (Thoir an aire - tha OpenVPN & ppp a’ ruith air an fhrithealaiche cuideachd).

Carson a tha cleachdadh seasmhach CPU 10% na chrìoch airson an fhrithealaiche seo?

Leis gu bheil cuingealachaidhean ann bho Amazon EC2 agus tha iad air an tomhas ann an creideasan:

Creideas 1 CPU = 1 CPU ag obair aig luchd 100% airson aon mhionaid, agus tha creideasan 6 againn (is e sin, aig stùcan, tha cleachdadh 100% CPU comasach taobh a-staigh 6 mionaidean, agus an uairsin lughdaichidh cumhachd an CPU). Cothlamaidhean eile: mar eisimpleir, creideas 1 CPU = 1 CPU a 'ruith aig luchd 50% airson dà mhionaid (ie is urrainn dhuinn an CPU a chleachdadh aig luchd 50% airson 12 mionaidean), no, mar eisimpleir, 10% seasmhach - th CPU load rè fad na h-ùine, etc.

toraidhean

• Tha sinn mar phàirt den "Digital Resistance". Thug iad seachad sianal conaltraidh earbsach dha na “athraichean is màthraichean”.
• Ma tha MtprotoProxyTelegram agus OpenVPN air an cleachdadh air an t-seirbheisiche, ach gun a bhith nas motha, cha bhith dàil / pings / fàilligidhean ann, ach ma tha thu an-còmhnaidh a’ feuchainn leis an t2 / micro agad, an uairsin feitheamh ri breicichean conaltraidh.
• Is e am ping thall thairis agam ~ 100-250ms, chan eil dàil sam bith ann an conaltradh guth.
• Cosgaisean ionmhais airson a h-uile “seo” (a’ gabhail a-steach goireasan VPC) = 0₽.

Ath-chlò-bhualadh den artaigil agad.

UPD: Taing do chuid de luchd-brathaidh airson beachdan feumail, gu dearbh, tha e comasach (a bheil na staitistig a ’faighinn taic?), Tha analogues nas fheàrr ann de dh’ ìomhaigh oifigeil neach-ionaid Mtproto Telegram docker.

Source: www.habr.com