IR-GFW

@irgfw امروز به یک چیز جالب رسیدم. قبلا میشنیدم یا میخوندم که بعضی ها میگفتن ولی خودم تست نکرده بودم. من یک آیپی هتزنر فوق کثیف و سیاه دارم از قدیم که هیچ اپراتوری روی هیچ پروتکلی روش وصل نمیشه. از ssh تا ریلیتی یا هدر و ... . هیچی. خیلی رندوم چندجا دیدم که بعضی ها یک دامنه رو میگفتن که با استفاده از این دامنه بعنوان SNI یا هدر، سرور بلاک شده شون باز شده! این دامنه رو بعنوان هاست هدر تست کردم و به طرز عجیبی وصل شد. (vless-tcp-http) انگار این دامنه از قصد در whitelist هست که حتی بعضی آیپی های بلاک شده رو هم bypass میکنه. روی مخابرات و همراه اول تست گرفتم. آیپی فیبر مخابرات من با 89 شروع میشد که روی این هدر وصل میشد. بعد مودم رو خاموش روشن کردم تا رنج عوض شه که اینبار با 2 شروع شد. اینبار دیگه وصل نشد! دوباره چند بار مودم رو خاموش روشن کردم که برسم به 89 و رسیدم و دقیقا دوباره اون هدر بدون مشکل کار کرد! اینکار رو برای همراه اول و ایرانسل هم انجام دادم (هر اپراتور 4 بار و 4 آیپی متفاوت از رنج های مختلف) و دقیقا روی بعضی از رنج آیپی هاشون وصل نشد و روی بعضی آیپی هاشون بدون مشکل وصل شد... این ینی حتی توی آیپی اپراتور هم فرق هست... (یا حتی شاید اپراتور کلا مهم نیست و بجاش رنج آیپی ایرانی در زیرساخت از ریشه مهمه که چه Rule هایی داره در مبادی ورودی/خروجی فایروال ایران!) روی بعضی رنج های خونگی یا موبایل، بعضی پروتکل ها با بعضی sniها یا هدر های whitelist بازن و روی بعضی رنج ها، بسته. این داستان، کار رو به شدت پیچیده و سخت میکنه برای شناسایی الگوی فیلترینگ و یا کلا کسب اطلاعات در مورد اینترنت ایران ... @irgfw

توضیحاتی در مورد اتفاقات اخیر روی اپراتور همراه اول @irgfw حدودا از 3 4 روز پیش، همراه اول به یکباره چندین آیپی و رنج های اونهارو بست. اکثر سرور هایی که اینکارو کرده، میشه دید که ترافیک به سرور ارسال میشه ولی به کلاینت برنمیگرده. ینی احتمالا روی ترافیک برگشت اختلال کل میندازه. حالا چرا؟ این برمیگرده به بحث آیپی و لیست آیپی خاکستری که تقریبا سیستم GFW ایران از یکسال پیش و خصوصا از یک الی دو ماه پیش (که همه میگفتن فیلترینگ شل کرده) داره تمامی لاگ ها (Log) های هندشیکهای تمامی پروتکل هارو جمع آوری میکنه. درواقع GFW شل نکرده بود، دقیقا داشت کار خودشو میکرد و لاگ از آیپی سرور ها جمع آوری میکرد. مثلا برای پروتکل Reality که ما از یک SNI استفاده میکنیم: فرض کنیم که ما از speedtest.net برای sni استفاده میکنیم. خب یک سرور برای مدت مثلا 3 ماه، هندشیک های موفق با Private key و Public Key به سرور speedtest داشته. سیستم GFW میاد این لاگ رو ذخیره میکنه و آیپی سرور رو میذاره تو لیست خاکستری. خاکستری شدن آیپی دلایل دیگه ای هم داره. مثلا: - استفاده از پروتکل های قدیمی و نا امن بصورت مستقیم مثل OpenVPN ، WireGuard ، شدوساکس ساده ، SSH ساده ، SSTP و ... - استفاده از کانفیگ های دارای ضعف امنیتی مثل vless tcp http یا Reality بدون اینکه flow برابر با vision باشه. - هندل نکردن درست پروب های سیستم GFW (که در آینده و در نتیجه ی تحقیق عظیم اکتیو پروبینگ سیستم GFW ایران گفته میشه) - استفاده از پروتکل های مبتنی بر UDP بدون داشتن رمزنگاری و TLS (مثلا استفاده از کانفیگ tuic ولی با allowinsecure=true) - و ... خب سیستم فیلترینگ بجای اینکه بیاد سریع سرور رو فیلتر کنه (با هر روشی که داره) میاد آیپی سرور هارو جمع آوری میکنه تا در مواقع نیاز بصورت گروهی کلا بلاک کنه. اینکار خیلی توی صرفه جویی هزینه ی فیلترینگ میتونه کمک میکنه. فعلا این روش رو همراه اول شروع کرده به انجام دادن. ولی اگر یادتون باشه دو ماه پیش همراه اول دقیقا همین کارو کرد: https://github.com/net4people/bbs/issues/277 https://github.com/XTLS/Xray-core/issues/2451 https://github.com/XTLS/Xray-core/discussions/2450 ولی چند روز (یا هفته) بعدش، همه ی اون سرور هایی که بلاک کرده بود رو دوباره آزاد کرد. میشه حدس زد که چند ماه قبل از اون داستان هم داشته log ذخیره میکرده و این سیستم جدید رو تست میکردن. الان هم دوباره همینکارو کرده ولی تا الان سروری رو باز نکرده. این نوع بلاک شدن، ربطی به پروتکل نداره و وقتی آیپی سرور شما بلاک میشه، تقریبا هیچ پروتکل دیگه ای وصل نمیشه (در بعضی مورد فقط SSH وصل شده ولی با محدودیت پهنای باند) طبق شواهد و گفته ها و تست هایی که با کمک دوستان گرفتیم (و داریم میگیریم) میشه به چندتا راه حل رسید: استفاده از Reality با flow=vision پیدا کردن SNI بر اساس رنج آیپی سرور و دیتاسنتر همسان بودن پورت کانفیگ با پورت SNI تعویض PrivateKey/PublicKey کانفیگها بطور تصادفی (مثلا هر ماه) یا تعویض SNI بطور تصادفی (مثلا هر هفته) یا اگر در پیدا کردن SNI تمیز و یا تعویضش مشکل دارید، بهترین راه حل الان ساختن و استفاده از SNI خودمون هست. طبق این آموزش: https://computerscot.github.io/vless-xtls-utls-reality-steal-oneself.html این روش لازمه ی داشتن یک دامنه ی تمیز و غیرفیلتر هست. همچنین پیشنهاد میشه دامنه Top Level باشه مثل com info net org biz xyz و ... با اینکار میتونید مثلا هر هفته یک ساب دامنه ی جدید درس کنید و از اون بعنوان SNI استفاده کنید تا آیپی سرور خاکستری نشه. ولی اصل و سختی کار پیدا کردن آیپی تمیز در وهله ی اول هست. الان سیستم GFW حدودا از یکسال پیش (شاید!) تمامی لاگ های آیپی هارو داره (مخصوصا بعد از اومدن Reality). متاسفانه تا شما روی سرور و آیپی، کانفیگ مورد نظر رو نسازید و تست نگیرید، نمیشه فهمید که این آیپی تمیز هست یا سیاه. پینگ گرفتن یا check-host و اینجور سایت ها هیچ چیزی رو به ما در مورد آیپی نمیگه. پس به این ابزار ها اکتفا نکنید. اگر الان آیپی سرور شما روی همراه اول کلا با هر پروتکلی وصل نمیشه (یا اولش اوکیه و بعد چند ساعت بلاک میشه) یعنی اینکه آیپی سرور شما یا از قبل از خرید شما، خاکستری بوده یا اینکه شما پروتکل های نا امن داشتید و خاکستری شده. این قضیه ربطی به تعداد یوزر و یا ترافیک نداره. چون حتی یک سروری هم که هیچ ترافیکی نداشته هم بلاک شده. @irgfw

نتایج اولیه ی تحقیق عظیم روی فایروال ایران و Active-Probing. تعداد آیپی ها بسیار زیاده. قسمتیش با پایتون تمیز و فیلتر شده اما بقیه اش رو بصورت دستی و خیلی ریز اسکن کردم. تا اینجا میشه گفت که به احتمال 99درصد، ایران دارای Active-Probing هست که تحت یک شرایط خاصی فعال میشه و سرور رو تست میکنه. (خیلی شبیه به فایروال چین) توضیحات به زودی ... @irgfw