IR-GFW

اختلالات پهنای باند بین‌المللی و اتصالات TLS در ایران


در ساعات گذشته تغییرات محسوسی در پهنای باند اینترنت ایران و میزان تاخیر در ارتباطات به آی‌پی‌های خارجی مشاهده شده است. به‌طور کلی، سرعت و پهنای باند ارتباطات خارجی کاهش یافته و تاخیر به سطوحی بالاتر از مقدار معمول رسیده است.

از سوی دیگر، این تغییرات عمدتاً در ارتباطات TLS نمایان است. به نظر می‌رسد فایروال ایران مانع از باز ماندن طولانی مدت اتصالات TCP-TLS می‌شود، به طوری که این اتصالات پس از چند دقیقه دچار اختلال یا محدودیت می‌گردند. با این حال، بلافاصله پس از ایجاد یک اتصال جدید و انجام فرآیند هندشیک، تونل به درستی عمل می‌کند، تا زمانی که پس از چند دقیقه دوباره با محدودیت مواجه شود. این وضعیت در همه آی‌پی‌های خارجی مشاهده نمی‌شود، بلکه بیشتر مربوط به دیتاسنترها و محدوده‌های CIDR معروف خارجی است که تحت نظارت فایروال ایران قرار دارند.

با این حال، به‌طور دقیق نمی‌توان گفت که این تغییرات عمداً اعمال شده یا به دلیل افزایش بار ترافیکی اینترنت و یا حتی سیستم Anti-DDoS در شرایط امنیتی، رخ داده است. اما محدودیت در اتصالات TCP-TLS بیشتر به نظر می‌رسد که ناشی از تنظیم قوانین خاص در فایروال باشد (یا فیلترینگ، و یا قوانین DDoS-Protection برای جلوگیری از حملات سایبری) و ارتباط چندانی با افزایش بار ترافیکی نداشته باشد.


irgfw.report
@irgfw

در چند ساعت گذشته، به دنبال اتفاقات اخیر، خبرهایی بدون منبع مشخص در مورد قطعی یا اختلالات اینترنتی در ایران منتشر شده. اما تا این لحظه، اطلاعیه‌ی رسمی‌ای از سوی مرکز افتا و پدافند غیرعامل منتشر نشده.

تنها شرکت زیرساخت، اعلام کرده که به دیتاسنترهای ایرانی مثل آروان، آسیاتک، پیشگامان و هاستیران اطلاع داده شده که از ساعت ۱۲ شب تا حوالی ۸ صبح، به علت "تغییرات زیرساختی" ممکن است سرورها و سرویس‌های ایرانی دچار اختلال شوند. این "تغییرات زیرساختی" شامل خیلی از فرآیند‌ها و معانی میتونه باشه و قطعی نمیشه گفت که حتما برای فایروال ایران و Iran-Access کردن اکثر پهنای باند ایران باشه.

ولی از چند دقیقه پیش، افزایش پینگ به سمت برخی از آی‌پی‌های خارجی (خصوصا کلادفلر) طبق رادار مهسا مشاهده شده.

به طور کلی، هنوز اختلال چشمگیری توی اینترنت ایران دیده نمیشه، ولی این به این معنی نیست که توی چند ساعت یا روز آینده اوضاع تغییر نکنه.


Website: irgfw.report
Telegram: @irgfw

از حدود ساعت 10 شب به وقت ایران، اختلال شدیدی از سمت زیرساخت به بعضی از دیتاسنتر های خارجی از جمله Akamai و Vultr ایجاد شده. این اختلال در رادار آروان و همینطور رادار مهسا هم دیده میشه.

این اختلالات هم در اتصالات Non-TLS دیده میشه و هم در TLS. بطوریکه در بعضی از سرور های ایرانی (با فایروال زیرساخت) اتصال هیچگونه پروتکلی به این رنج های خارجی میسر نیست. درحالی که نسبتا ترافیک QUIC و UDP بدون مشکل متصل هست.

چند روز پیش هم فایروال اصلی زیرساخت آپدیت شده و بسیار سختگیر تر به نسبت آیپی های خارجی عمل میکنه. به اینگونه که کلا مهم نیست چه پروتکلی استفاده میکنید، بعد از تعداد هندشیک و حجم بسیار کمی، آیپی خارجی به کل و از ریشه بلاک میشه.

میشه گفت با توجه به نزدیک شدن سالگرد مهسا امینی، این رفتار ها از اینترنت ایران و فایروالهاش، طبیعی هست! و در دوران نرمال و پایداری نیستیم.


Website: irgfw.report
Telegram: @irgfw

حدودا از سه روز پیش، فایروال‌های همراه اول و زیرساخت به‌روزرسانی شدن که تغییرات قابل توجهی در عملکرد آن‌ها ایجاد شده. به جای مسدود کردن کامل ساب‌دامنه‌ها، اکنون در اتصالات HTTP و HTTPS، شاهد افزایش چشمگیر در پینگ، هندشیک، و جیتر هستیم. این تغییرات به حدی است که استفاده از ترنسپورتهای WebSocket و gRPC برای اتصال به CDN کلودفلر یا حتی ارتباطات مستقیم بین‌المللی را به شدت محدود کرده. قبلا این سابدامنه های مورد استفاده در Host/SNI، بلاک کامل و فیلتر میشدن ولی الان از نظر سرعت و پینگ، محدود میشن.

پیش‌تر، با تغییر ساب‌دامنه، دوباره از دامنه ی اصلی میشد استفاده کرد. اما با این آپدیت جدید، فایروال‌ها بدون تمایز میان دامنه‌های .ir و سایر دامنه‌های سطح بالا، همه را به طور یکسان و حتی Root Domain رو محدود می‌کنند.

یکی از راه های دور زدن این محدودیت ها استفاده از Fragment در tlshello هست. به این صورت که فایروالهای ایران، نمیتونن کامل سابدامنه/دامنه ی مورد استفاده رو شناسایی و لیمیت کنند. البته باید توجه داشت که این روش‌ها همیشه قابل اعتماد نیستند و ممکن است به‌زودی دوباره توسط فایروال‌ها شناسایی و مسدود شوند.

@irgfw

طی تست هایی که داشتیم، متوجه شدیم امروز صبح فایروال ایرانسل آپدیت شده.

این آپدیت به گونه ای هست که درخواست های HTTP رو بلاک کرده که در نتیجه روی tcp-http با Host header ها تاثیر گذاشته. بعضی کاربر ها هم گزارش کردن که اگر Host header حذف بشه، مجدد اتصال برقرار میشه. اما خب میشه روند پیشرفت فایروال ایران خصوصا ایرانسل رو دید. فعلا روی HTTP کار میکنن و در تلاشن که باگ های قسمت Host و HTTP رو برطرف کنند. تقریبا در زمینه ی HTTP به همراه اول شبیه میشه.

این بلاک شدن HTTP میتونه موقتی و در حد تست باشه، ولی تا اینجا که تست صورت گرفته، آپدیت عمدی فایروال ایرانسل (و فایروال های شبیه بهش مثل آسیاتک، پیشگامان، مبین نت و ...) هست.


@irgfw

بر اساس تحلیل‌ها و گزارش‌های اخیر، به نظر می‌رسه که محدودیت‌های مربوط به پروتکل UDP در سیستم فایروال ایران کاهش یافته‌. این امر باعث شده که حتی اتصالات ساده ی WireGuard نیز به خوبی برقرار بشن و سرعت آپلود و جیتر در سطح قابل قبولی باشه. همچنین، این تغییرات موجب شده‌اند که راه هایی نظیر WARP (حتی از طریق کلاینت‌ 1.1.1.1) و OpenVPN مبتنی بر UDP نیز به راحتی وصل بشن.

با این وجود، توصیه میشه که به این پروتکل‌ها بیش از حد تکیه نشود. در شرایط حساس و امنیتی، فایروال میتونه با انسداد کامل UDP، تمام این روش‌های اتصال را به سرعت قطع کند. (درست مثل 9 ماه پیش به قبل)

کاهش اختلالات در پروتکل UDP ممکنه نشان‌دهنده‌ی این باشه که سیستم فیلترینگ در حال آموزش و شناسایی دقیق‌تر این نوع از ترافیک‌ها است. در گذشته، به علت ناتوانی در تشخیص دقیق ترافیک‌های مختلف، فایروال به سادگی کل ترافیک UDP را مسدود می‌کرد. اما اکنون، به نظر می‌رسد که با باز گذاشتن این پروتکل، فایروال قصد داره داده‌های بیشتری جمع‌آوری کند و به صورت موثرتری ترافیک‌های VPN و پروکسی رو شناسایی کنه.

این تغییر میتونه برای تمام پروتکل های دیگه هم صدق کنه (مثل Cisco/SSTP/SoftEther و ...) برای همین نمیشه گفت که مثلا فیلترینگ "شل" کرده. بلکه برعکس، احتمالا داره نمونه دیتای زیادی جمع میکنه و آموزش میبینه.


@irgfw

در روزهای اخیر پست ها و آموزش های زیادی منتشر میشن مبنی بر ایران اکسز کردن سرور خارجی برای جلوگیری از فیلترینگ های فایروال جدید ایران. خواستم یک توضیحاتی بدم در این مورد و شفاف سازی هایی انجام بدم.

ما یک بحث Probe داریم و یک بحث Brute-Force

خب فرض کنید یک سرور داریم که میخوایم به‌عنوان یک WebServer جا بزنیم (یعنی تقریبا تمام ترکیباتی که با Vless/Vmess/Trojan/Naive و... ساخته میشه). این‌وب‌سرور قراره از هرکجای دنیا قابل دسترسی باشه و نه فقط ایران، مگر اینکه لوکیشن خود سرور ایران باشه (مثل سایت‌های دولتی و ... که ایران‌اکسس شدن). حالا درنظر بگیرین سروری (وبسرور یا وبسایت ساده) که مثلاً در آلمان هست و تمام دنیا بهش دسترسی دارن رو با هر روشی فقط و فقط به آی‌پی‌های ایران محدود کنیم؛ آیا فریاد نمیزنه که من یک سرور VPN هستم؟ (بحث در مورد کشورهای چین و روسیه فرق میکنه)

حالا میرم سر بحث اون 2 مورد.
داستان بروت‌فورس (تمام پورت‌ها از جمله SSH/FTP/HTTPS/RDP و...) از ابتدای ساخته‌شدن VPSها و ماشین‌های مجازی وجود داشته، که افرادی با ربات تلاش می‌کنن رمز روت سرور یا یک‌سری ضعف‌های امنیتی پیدا کرده (اکسپلویت) و از اون‌ سرور سوءاستفاده کنن. این‌قضیه ربطی به فیلترینگ نداره و اتفاقا برای همین‌موضوع پیشنهاد میشه یک فایروال (مثلUFW) روی سرور نصب باشه که باهاش تمام پورت‌های فاقداستفاده بسته بشن، پورت SSH تغییر کنه و فقط از SSH Key برای ورود به سرور استفاده بشه، و دسترسی به چین و روسیه مسدود بشه.

ما باید همیشه با Fact و چیزهایی که تست و اثبات شدن جلو بریم. درحال‌حاضر سند و مدرکی مبنی‌بر اینکه از چین و روسیه، سرورهارو برای فیلترینگِ ایران، پروب میکنن وجود نداره. بر مبنای تست‌هایی که در اسکیل بزرگ داشتیم، سرورها کاملا از ایران و به موازاتش از چین و روسیه هم پروب شدند، اما اکثر این کانفیگ‌های پابلیش‌شده (پروب شده) هم سر از گروه‌های چینی درآورده بودن!
بله درسته که ایران با روسیه در زمینه ی امنیت اطلاعات توافق کرده ولی اگر تحقیق کنید میبینید که فیلترینگ روسیه اونقدرها هم سفت و سخت نیست. فایروال روسیه بعنوان Roskomnadzor ازش یاد میشه که محدودیت هاش در گزارش های ایرانی و خارجی از چین و ایران کمتر بوده! خب اگر قرار باشه فایروال ایران هم مثل روسیه باشه، طبیعتا محدودیت های کمتری داشتیم. پس زیاد نمیشه روی این قضیه حساب باز کرد.

حالا این آی‌پی‌هایی که ما داریم، نمیدونیم واقعا در قدیم چجوری ازش استفاده شده! شاید یک چینی/روسی، شدوساکس ران کرده بوده و پروب شده (ریشه ی Active-Probe، از چین و سال 2019 با پروتکل شدوساکس شروع شد). چون وقتی یک آیپی پروب میشه، احتمالا آی‌پی سرور در یک دیتابیسی ذخیره میشه که بعدا بتونن دوباره پروب یا سرور رو تست کنن. در مجموع متغیرهای بسیار زیادی این‌وسط هست، که ما عمدتا نمی‌تونیم ببینیمش. شبکه اینترنت چین، خیلی گسترده‌تر از این‌حرفهاست و شبکه ایران واقعا جلوش هیچه. برای همین نباید تصمیم بگیریم که چین اومده به فیلترینگ ایران داره کمک میکنه! میتونیم صرفا احتمال بدیم که به‌خاطر هیستوری آی‌پی بوده که قبلا در چین خاکستری شده، حالا تو ایران یک‌دفعه ترافیک میگیره و همون پروب‌های چینی (بعلاوه ی پروب های ایرانی) دست به‌کار میشن!

خلاصه بخوایم بگیم:
بلاک کردن کشور های چین و روسیه، کار خوبی هست و در جهت Security Hardening، امنیت سرور رو بالا میبره. ولی دلیلی بر فیلتر نشدنِ سرور نمیشه. بلکه اون پروب های اصلی ای که از فایروال ایران میان، آیپی های ایرانی دارن. پروب ها باید هندل بشن و به جوابی که میخوان برسن. یکی‌از کارهایی که Reality با پارامتر dest انجام میده دقیقا همینه. یکی از قوی‌ترین anti-probe هارو همین Reality داره که بدون مشکل، درخواست‌های غیرپروکسی رو به dest هدایت میکنه و پروب‌ها، جواب مدنظرشون رو میگیرن.

بحث Probe ها، حدودا 4 ماه پیش خیلی داغ بود و فایروال ایران کاملا ازش استفاده میکرد (دست و پا شکسته). ولی با آپگرید های اخیر فایروال، هم Passive هست و هم Active. و حتی میشه گفت وزن Passive هم الان بیشتره همونطور که میبینیم کورکورانه بعضی از وبسایت های ساده هم بلاک شدن و از هفته های گذشته تا الان تعداد پروب ها به نسبت 4 ماه پیش خیلی کمتر شدن.

درحال حاضر، رفتار های فایروال ایران در حال تغییر و آپدیت هست و کاملا مشخصه که درحال تست هستند. اگر دقت کنید پیام های "آپدیت پهنای باند" و "بروزرسانی زیرساخت" و از این قبیل پیام ها از سوی دیتاسنترها و شرکتهای ایرانی زیاد شدن. این نشون میده فعلا فایروال ایران به پایداری نرسیده و درصد خطای بسیار بالایی در تشخیص سرور های VPN داره.


@irgfw

با سلام خدمت همه

اولین پست این کانال، درباره ی Active-Probe گذاشته شد اما تحقیق این موضوع طولانی شد بخاطر اینکه فایروال ایران چندین بار آپگرید شده و یا تغییر پیدا کرده و همینطور اواسط تحقیق، گروهی با gfw-report برای بررسی های بیشتر این تغییرات تشکیل شد.

به همین دلیل نتایج این تحقیق با تحقیقات بیشتری کامل خواهد شد و فقط بررسی های Active-Probe نیست. به این دلیل که فایروال ایران از روش های Passive هم در کنار Active استفاده میکند.
اما این به این معنی نیست که فایروال ایران به شدت هوشمند و پیشرفته شده (و حتی از چین جلو زده باشه!). چون طی تست هایی که در حال انجام هست، خیلی Ruleهای ساده و کورکورانه برای شرط بلاک شدن یک آیپی وجود داره. طی هفته و هفته های گذشته، خیلی از وبسایت های ساده هم بلاک شدن که هیچ ربطی به سرور VPN (از هر نوعی) نداشتن. این به این معنیست که فایروال ایران آپگرید شده اما به شدت درصد خطای بالایی داره. تا جایی که حتی بعضی سرویس های داخلی هم دچار اختلال شدن.
برای همین داستان ها هست که زمان تحقیقات و تست طولانی میشه.

اما تا جایی که الان میتونیم بگیم، این بلاکی ها ربطی به پروتکل نداره و مهم نیست که Reality باشه یا WS یا ocserve یا هرچیز دیگری. هرچیزی که TLS-Based باشه (یا همون پروتکل Stealth شبیه به پروتون و یا ویندسکرایب و...)، بلاک میشه طی چند شرط که اجرا میشه روی آیپی سرور ها.

فعلا در حال تست و تحقیقات بیشتر هستیم تا به نتیجه ی مطلوب برسیم.

گزارش انگلیسی در گیتهاب:
https://github.com/XTLS/Xray-core/issues/2778


@irgfw

@irgfw

امروز به یک چیز جالب رسیدم. قبلا میشنیدم یا میخوندم که بعضی ها میگفتن ولی خودم تست نکرده بودم.

من یک آیپی هتزنر فوق کثیف و سیاه دارم از قدیم که هیچ اپراتوری روی هیچ پروتکلی روش وصل نمیشه. از ssh تا ریلیتی یا هدر و ... . هیچی.

خیلی رندوم چندجا دیدم که بعضی ها یک دامنه رو میگفتن که با استفاده از این دامنه بعنوان SNI یا هدر، سرور بلاک شده شون باز شده!
این دامنه رو بعنوان هاست هدر تست کردم و به طرز عجیبی وصل شد. (vless-tcp-http)
انگار این دامنه از قصد در whitelist هست که حتی بعضی آیپی های بلاک شده رو هم bypass میکنه.
روی مخابرات و همراه اول تست گرفتم.

آیپی فیبر مخابرات من با 89 شروع میشد که روی این هدر وصل میشد.

بعد مودم رو خاموش روشن کردم تا رنج عوض شه که اینبار با 2 شروع شد.
اینبار دیگه وصل نشد!

دوباره چند بار مودم رو خاموش روشن کردم که برسم به 89 و رسیدم و دقیقا دوباره اون هدر بدون مشکل کار کرد!

اینکار رو برای همراه اول و ایرانسل هم انجام دادم (هر اپراتور 4 بار و 4 آیپی متفاوت از رنج های مختلف) و دقیقا روی بعضی از رنج آیپی هاشون وصل نشد و روی بعضی آیپی هاشون بدون مشکل وصل شد...

این ینی حتی توی آیپی اپراتور هم فرق هست... (یا حتی شاید اپراتور کلا مهم نیست و بجاش رنج آیپی ایرانی در زیرساخت از ریشه مهمه که چه Rule هایی داره در مبادی ورودی/خروجی فایروال ایران!) روی بعضی رنج های خونگی یا موبایل، بعضی پروتکل ها با بعضی sniها یا هدر های whitelist بازن و روی بعضی رنج ها، بسته.

این داستان، کار رو به شدت پیچیده و سخت میکنه برای شناسایی الگوی فیلترینگ و یا کلا کسب اطلاعات در مورد اینترنت ایران ...


@irgfw

توضیحاتی در مورد اتفاقات اخیر روی اپراتور همراه اول

@irgfw


حدودا از 3 4 روز پیش، همراه اول به یکباره چندین آیپی و رنج های اونهارو بست. اکثر سرور هایی که اینکارو کرده، میشه دید که ترافیک به سرور ارسال میشه ولی به کلاینت برنمیگرده. ینی احتمالا روی ترافیک برگشت اختلال کل میندازه. حالا چرا؟

این برمیگرده به بحث آیپی و لیست آیپی خاکستری که تقریبا سیستم GFW ایران از یکسال پیش و خصوصا از یک الی دو ماه پیش (که همه میگفتن فیلترینگ شل کرده) داره تمامی لاگ ها (Log) های هندشیکهای تمامی پروتکل هارو جمع آوری میکنه. درواقع GFW شل نکرده بود، دقیقا داشت کار خودشو میکرد و لاگ از آیپی سرور ها جمع آوری میکرد.
مثلا برای پروتکل Reality که ما از یک SNI استفاده میکنیم: فرض کنیم که ما از speedtest.net برای sni استفاده میکنیم. خب یک سرور برای مدت مثلا 3 ماه، هندشیک های موفق با Private key و Public Key به سرور speedtest داشته. سیستم GFW میاد این لاگ رو ذخیره میکنه و آیپی سرور رو میذاره تو لیست خاکستری.

خاکستری شدن آیپی دلایل دیگه ای هم داره. مثلا:
- استفاده از پروتکل های قدیمی و نا امن بصورت مستقیم مثل OpenVPN ، WireGuard ، شدوساکس ساده ، SSH ساده ، SSTP و ...
- استفاده از کانفیگ های دارای ضعف امنیتی مثل vless tcp http یا Reality بدون اینکه flow برابر با vision باشه.
- هندل نکردن درست پروب های سیستم GFW (که در آینده و در نتیجه ی تحقیق عظیم اکتیو پروبینگ سیستم GFW ایران گفته میشه)
- استفاده از پروتکل های مبتنی بر UDP بدون داشتن رمزنگاری و TLS (مثلا استفاده از کانفیگ tuic ولی با allowinsecure=true)
- و ...

خب سیستم فیلترینگ بجای اینکه بیاد سریع سرور رو فیلتر کنه (با هر روشی که داره) میاد آیپی سرور هارو جمع آوری میکنه تا در مواقع نیاز بصورت گروهی کلا بلاک کنه. اینکار خیلی توی صرفه جویی هزینه ی فیلترینگ میتونه کمک میکنه. فعلا این روش رو همراه اول شروع کرده به انجام دادن. ولی اگر یادتون باشه دو ماه پیش همراه اول دقیقا همین کارو کرد:
https://github.com/net4people/bbs/issues/277
https://github.com/XTLS/Xray-core/issues/2451
https://github.com/XTLS/Xray-core/discussions/2450

ولی چند روز (یا هفته) بعدش، همه ی اون سرور هایی که بلاک کرده بود رو دوباره آزاد کرد. میشه حدس زد که چند ماه قبل از اون داستان هم داشته log ذخیره میکرده و این سیستم جدید رو تست میکردن. الان هم دوباره همینکارو کرده ولی تا الان سروری رو باز نکرده.

این نوع بلاک شدن، ربطی به پروتکل نداره و وقتی آیپی سرور شما بلاک میشه، تقریبا هیچ پروتکل دیگه ای وصل نمیشه (در بعضی مورد فقط SSH وصل شده ولی با محدودیت پهنای باند)

طبق شواهد و گفته ها و تست هایی که با کمک دوستان گرفتیم (و داریم میگیریم) میشه به چندتا راه حل رسید:
استفاده از Reality با flow=vision
پیدا کردن SNI بر اساس رنج آیپی سرور و دیتاسنتر
همسان بودن پورت کانفیگ با پورت SNI
تعویض PrivateKey/PublicKey کانفیگها بطور تصادفی (مثلا هر ماه) یا تعویض SNI بطور تصادفی (مثلا هر هفته)

یا اگر در پیدا کردن SNI تمیز و یا تعویضش مشکل دارید، بهترین راه حل الان ساختن و استفاده از SNI خودمون هست. طبق این آموزش:

https://computerscot.github.io/vless-xtls-utls-reality-steal-oneself.html

این روش لازمه ی داشتن یک دامنه ی تمیز و غیرفیلتر هست. همچنین پیشنهاد میشه دامنه Top Level باشه مثل com info net org biz xyz و ...
با اینکار میتونید مثلا هر هفته یک ساب دامنه ی جدید درس کنید و از اون بعنوان SNI استفاده کنید تا آیپی سرور خاکستری نشه.


ولی اصل و سختی کار پیدا کردن آیپی تمیز در وهله ی اول هست.
الان سیستم GFW حدودا از یکسال پیش (شاید!) تمامی لاگ های آیپی هارو داره (مخصوصا بعد از اومدن Reality). متاسفانه تا شما روی سرور و آیپی، کانفیگ مورد نظر رو نسازید و تست نگیرید، نمیشه فهمید که این آیپی تمیز هست یا سیاه. پینگ گرفتن یا check-host و اینجور سایت ها هیچ چیزی رو به ما در مورد آیپی نمیگه. پس به این ابزار ها اکتفا نکنید. اگر الان آیپی سرور شما روی همراه اول کلا با هر پروتکلی وصل نمیشه (یا اولش اوکیه و بعد چند ساعت بلاک میشه) یعنی اینکه آیپی سرور شما یا از قبل از خرید شما، خاکستری بوده یا اینکه شما پروتکل های نا امن داشتید و خاکستری شده. این قضیه ربطی به تعداد یوزر و یا ترافیک نداره. چون حتی یک سروری هم که هیچ ترافیکی نداشته هم بلاک شده.


@irgfw