تحول معماری فیلترینگ اینترنت در ایران
از مسدودسازی صریح تا تخریب هوشمند کیفیت ارتباط
نویسنده: یاشار اسمعیل دخت
چکیده
در روزهای اخیر، بهدنبال بروزرسانی فایروالهای اپراتور همراهاول و زیرساخت، الگوی فیلترینگ اینترنت در ایران دستخوش تغییر بنیادین شده است. برخلاف رویکردهای پیشین که مبتنی بر مسدودسازی صریح دامنهها و قطع کامل اتصال بودند، معماری جدید بر کاهش هدفمند کیفیت ارتباط (Degradation-Based Filtering) تمرکز دارد. این مقاله به بررسی فنی این تغییر، پیامدهای آن بر پروتکلها و CDNها، و محدودیتهای راهکارهای دورزدن میپردازد.
1. تغییر پارادایم: فیلترینگ دیگر «قطع اتصال» نیست
در مدلهای سنتی فیلترینگ، تصمیمگیری باینری بود:
Allow / Deny
Accept / Drop
Pass / Reset
اما در معماری جدید، فیلترینگ به کنترل تجربه کاربر تبدیل شده است.
ویژگیهای مدل جدید:
اتصال TCP برقرار میشود
و TLS Handshake آغاز میشود
اما:
در واقعRTT بهصورت مصنوعی افزایش مییابد
وPacket Delay و Jitter تزریق میشود
وPacket Loss بهصورت احتمالی اعمال میگردد
نتیجه:
ارتباط «وجود دارد»، اما «قابل استفاده نیست»
این تغییر نهتنها فنی، بلکه سیاستمحور است؛ زیرا اثبات فیلترینگ را دشوارتر و هزینه اعتراض را بالاتر میبرد.
2. تمرکز فایروالها بر لایه 7 و Fingerprint ارتباط
برخلاف تصور رایج، فایروالهای جدید دیگر صرفاً به SNI یا Host Header متکی نیستند. آنها بهدنبال امضای رفتاری اتصال هستند.
عناصر کلیدی Fingerprinting:
TLS ClientHello
Extension Order
Cipher Suites
Supported Groups
ALPN (h2, http/1.1)
الگوی زمانبندی Packetها
طول عمر Connection
الگوی Retry و Reconnect
بهعنوان مثال:
ا. WebSocket با الگوی Upgrade مشخص
ا. gRPC با HTTP/2 long-lived streams
این ویژگیها باعث میشود حتی بدون شناسایی دقیق دامنه، نوع کاربرد تشخیص داده شود.
3. چرا CDNها و Cloudflare بیشترین آسیب را دیدند؟
ا. Cloudflare و CDNهای مشابه به دلایل زیر هدفی ایدهآل برای Degradation هستند:
Shared Infrastructure
یک IP، هزاران دامنه
Anycast Routing
تشخیص مقصد واقعی دشوار
TLS 1.3 + ESNI
محتوای متادیتا پنهان
در چنین شرایطی، فایروال بهجای فیلتر دامنه، کل مسیر یا ASN را دچار افت کیفیت میکند.
نتیجه عملی:
ا. WebSocket دائماً قطع میشود
ا. gRPC Streamها Reset میشوند
ا. CDN از مزیت Performance به Liability تبدیل میشود
4. پایان تمایز .ir و Root Domain
یکی از مهمترین نشانههای این بروزرسانی، حذف تمایز میان دامنههای داخلی و خارجی است.
قبل:
Whitelist ضمنی برای:
.ir
Root Domains
سرویسهای داخلی
اکنون:
Domain-Agnostic Filtering
رفتار ارتباط مهمتر از هویت دامنه
این تغییر نشان میدهد فایروالها دیگر درگیر «چه چیزی» نیستند، بلکه «چگونه وصل شدن» را هدف قرار دادهاند.
5. TLS ClientHello Fragmentation: راهکار موقت، نه پایدار
ا. Fragmentation در TLS Hello یکی از روشهای رایج برای اختلال در DPI است.
چرا مؤثر است؟
ا. DPI کلاسیک انتظار ClientHello یکپارچه دارد
و Fragmentation باعث:
شکستن SNI
بههمریختن Extension Parsing
اختلال در Signature Matching
اما محدودیتهای جدی دارد:
ا. DPIهای Stateful امکان Reassembly دارند
ا. ML-based classifiers حتی بدون SNI الگو را تشخیص میدهند
ا. Overhead و Latency را افزایش میدهد
نتیجه:
ا. Fragment یک مُسکن است، نه درمان
6. چرا این معماری خطرناکتر از فیلترینگ کلاسیک است؟
قابل اندازهگیری نیست
قابل اثبات حقوقی نیست
تجربه کاربر را فرسایشی میکند
ابزارهای مانیتورینگ سنتی آن را «اختلال طبیعی شبکه» تلقی میکنند
بهعبارت دیگر:
فایروال دیده نمیشود، اما اثرش همهجا هست
7. مسیرهای مقاومتر
بدون اغراق، هیچ راهکار دائمی وجود ندارد؛ اما برخی مسیرها هزینه شناسایی را بالا میبرند:
وجود Protocol Mimicry واقعی
تطبیق کامل با JA3/JA4 مرورگر
Transport Obfuscation
QUIC / MASQUE-based tunneling
Adaptive Routing و Path Rotation
Decentralized Egress Points
نتیجهگیری
آنچه امروز در زیرساخت اینترنت ایران مشاهده میشود، نه اختلال موقت و نه خطای فنی است؛ بلکه تحول معماری کنترل ارتباطات است. این مدل جدید، فیلترینگ را از یک عمل آشکار به یک پدیده نامرئی اما فراگیر تبدیل کرده است.
در چنین شرایطی، اتکا به راهکارهای سطحی نهتنها ناکارآمد، بلکه گمراهکننده است. فهم عمیق رفتار فایروال، تنها پیشنیاز طراحی ارتباطات پایدار در این محیط است.
از مسدودسازی صریح تا تخریب هوشمند کیفیت ارتباط
نویسنده: یاشار اسمعیل دخت
چکیده
در روزهای اخیر، بهدنبال بروزرسانی فایروالهای اپراتور همراهاول و زیرساخت، الگوی فیلترینگ اینترنت در ایران دستخوش تغییر بنیادین شده است. برخلاف رویکردهای پیشین که مبتنی بر مسدودسازی صریح دامنهها و قطع کامل اتصال بودند، معماری جدید بر کاهش هدفمند کیفیت ارتباط (Degradation-Based Filtering) تمرکز دارد. این مقاله به بررسی فنی این تغییر، پیامدهای آن بر پروتکلها و CDNها، و محدودیتهای راهکارهای دورزدن میپردازد.
1. تغییر پارادایم: فیلترینگ دیگر «قطع اتصال» نیست
در مدلهای سنتی فیلترینگ، تصمیمگیری باینری بود:
Allow / Deny
Accept / Drop
Pass / Reset
اما در معماری جدید، فیلترینگ به کنترل تجربه کاربر تبدیل شده است.
ویژگیهای مدل جدید:
اتصال TCP برقرار میشود
و TLS Handshake آغاز میشود
اما:
در واقعRTT بهصورت مصنوعی افزایش مییابد
وPacket Delay و Jitter تزریق میشود
وPacket Loss بهصورت احتمالی اعمال میگردد
نتیجه:
ارتباط «وجود دارد»، اما «قابل استفاده نیست»
این تغییر نهتنها فنی، بلکه سیاستمحور است؛ زیرا اثبات فیلترینگ را دشوارتر و هزینه اعتراض را بالاتر میبرد.
2. تمرکز فایروالها بر لایه 7 و Fingerprint ارتباط
برخلاف تصور رایج، فایروالهای جدید دیگر صرفاً به SNI یا Host Header متکی نیستند. آنها بهدنبال امضای رفتاری اتصال هستند.
عناصر کلیدی Fingerprinting:
TLS ClientHello
Extension Order
Cipher Suites
Supported Groups
ALPN (h2, http/1.1)
الگوی زمانبندی Packetها
طول عمر Connection
الگوی Retry و Reconnect
بهعنوان مثال:
ا. WebSocket با الگوی Upgrade مشخص
ا. gRPC با HTTP/2 long-lived streams
این ویژگیها باعث میشود حتی بدون شناسایی دقیق دامنه، نوع کاربرد تشخیص داده شود.
3. چرا CDNها و Cloudflare بیشترین آسیب را دیدند؟
ا. Cloudflare و CDNهای مشابه به دلایل زیر هدفی ایدهآل برای Degradation هستند:
Shared Infrastructure
یک IP، هزاران دامنه
Anycast Routing
تشخیص مقصد واقعی دشوار
TLS 1.3 + ESNI
محتوای متادیتا پنهان
در چنین شرایطی، فایروال بهجای فیلتر دامنه، کل مسیر یا ASN را دچار افت کیفیت میکند.
نتیجه عملی:
ا. WebSocket دائماً قطع میشود
ا. gRPC Streamها Reset میشوند
ا. CDN از مزیت Performance به Liability تبدیل میشود
4. پایان تمایز .ir و Root Domain
یکی از مهمترین نشانههای این بروزرسانی، حذف تمایز میان دامنههای داخلی و خارجی است.
قبل:
Whitelist ضمنی برای:
.ir
Root Domains
سرویسهای داخلی
اکنون:
Domain-Agnostic Filtering
رفتار ارتباط مهمتر از هویت دامنه
این تغییر نشان میدهد فایروالها دیگر درگیر «چه چیزی» نیستند، بلکه «چگونه وصل شدن» را هدف قرار دادهاند.
5. TLS ClientHello Fragmentation: راهکار موقت، نه پایدار
ا. Fragmentation در TLS Hello یکی از روشهای رایج برای اختلال در DPI است.
چرا مؤثر است؟
ا. DPI کلاسیک انتظار ClientHello یکپارچه دارد
و Fragmentation باعث:
شکستن SNI
بههمریختن Extension Parsing
اختلال در Signature Matching
اما محدودیتهای جدی دارد:
ا. DPIهای Stateful امکان Reassembly دارند
ا. ML-based classifiers حتی بدون SNI الگو را تشخیص میدهند
ا. Overhead و Latency را افزایش میدهد
نتیجه:
ا. Fragment یک مُسکن است، نه درمان
6. چرا این معماری خطرناکتر از فیلترینگ کلاسیک است؟
قابل اندازهگیری نیست
قابل اثبات حقوقی نیست
تجربه کاربر را فرسایشی میکند
ابزارهای مانیتورینگ سنتی آن را «اختلال طبیعی شبکه» تلقی میکنند
بهعبارت دیگر:
فایروال دیده نمیشود، اما اثرش همهجا هست
7. مسیرهای مقاومتر
بدون اغراق، هیچ راهکار دائمی وجود ندارد؛ اما برخی مسیرها هزینه شناسایی را بالا میبرند:
وجود Protocol Mimicry واقعی
تطبیق کامل با JA3/JA4 مرورگر
Transport Obfuscation
QUIC / MASQUE-based tunneling
Adaptive Routing و Path Rotation
Decentralized Egress Points
نتیجهگیری
آنچه امروز در زیرساخت اینترنت ایران مشاهده میشود، نه اختلال موقت و نه خطای فنی است؛ بلکه تحول معماری کنترل ارتباطات است. این مدل جدید، فیلترینگ را از یک عمل آشکار به یک پدیده نامرئی اما فراگیر تبدیل کرده است.
در چنین شرایطی، اتکا به راهکارهای سطحی نهتنها ناکارآمد، بلکه گمراهکننده است. فهم عمیق رفتار فایروال، تنها پیشنیاز طراحی ارتباطات پایدار در این محیط است.
💔62👍10❤9
به vpn فروش ها بگید که نوع سیستم عامل هیچ ربطی نداره. فقط ممکنه کلاینتی که میخوان استفاده کنن یکم فرق داشته باشه.
😁116👍21👏5❤1👎1
میدونستید به خاطر mitivpn(همون که به بالا وصله) کاری کرد بعضیا فکر کنم کلاینت npv خیلی خاص و خفنه و قطع نمیشه:)))))))))))))))))))))))))))
👌44😁24👎3👍1
Forwarded from mind / log
تلگرام آپدیت جدید داده
از این به بعد همه میتونن استوری بذارن
( هر ۲۴ ساعت یدونه استوری )
ظاهر اندروید هم کپی آیفون شده
از این به بعد همه میتونن استوری بذارن
( هر ۲۴ ساعت یدونه استوری )
ظاهر اندروید هم کپی آیفون شده
❤33👍11
This media is not supported in your browser
VIEW IN TELEGRAM
سعید سوزنگر
کنشگر حقوق کودکان و حق اینترنت آزاد
ویدیویی که میبینید، برشی از صحبتهای سعید سوزنگر، در نشستهای مختلف کافهرویداد کارزار است.
متاسفانه سعید سوزنگر در روز یکم بهمنماه در تهران، بازداشت شد.
کنشگر حقوق کودکان و حق اینترنت آزاد
ویدیویی که میبینید، برشی از صحبتهای سعید سوزنگر، در نشستهای مختلف کافهرویداد کارزار است.
متاسفانه سعید سوزنگر در روز یکم بهمنماه در تهران، بازداشت شد.
1💔100❤5😁2👍1
Forwarded from محتوای آزاد سهراب (Sohrab)
متاسفانه باخبر شدم عرفان (Erfoux) از تیم توسعه پارچ دستگیر شده و خبری ازش نیست.
از شنیدن این خبر خیلی ناراحت شدم و درحال پیگیری شرایط عرفان هستم که ببینم در چه وضعیتی هستش الان.
#فراموش_نمیکنیم
@SohrabContents
از شنیدن این خبر خیلی ناراحت شدم و درحال پیگیری شرایط عرفان هستم که ببینم در چه وضعیتی هستش الان.
#فراموش_نمیکنیم
@SohrabContents
💔80❤4😁4
اگر میکروتیک دارید، L2TPv3 udp رو تست کنید.
چند روز تست شد و نتیجه خوبی داشت.
روی لینوکس هم پیشنهاد دوستان پنل به پنل سنایی هستش.
اگر شما هم روشی رو تست کردید و نتیجه گرفتید، میتونید تو کامنت ها بگید که بقیه هم بتونن استفاده کنن.
چند روز تست شد و نتیجه خوبی داشت.
روی لینوکس هم پیشنهاد دوستان پنل به پنل سنایی هستش.
اگر شما هم روشی رو تست کردید و نتیجه گرفتید، میتونید تو کامنت ها بگید که بقیه هم بتونن استفاده کنن.
❤23👍7👎4
مجازات استفاده شخصی از استارلینک در قوانین جمهوری اسلامی چیست؟
منبع خبر
به گزارش تابناک به نقل از مهر؛ یک وکیل پایه یک دادگستری با اشاره به قانون مشخص درباره اینترنت ماهوارهای، اظهار کرد: برخلاف تصور عمومی، تا قبل از تصویب قانون تشدید مجازات جاسوسی در ۶ مهرماه ۱۴۰۴، هیچ مصوبه مستقلی درباره استارلینک وجود نداشت و برخوردها عمدتاً مبتنی بر قوانین قدیمی مرتبط با ممنوعیت تجهیزات ماهوارهای بود.
وی با اشاره به ماده ۵ این قانون افزود:مجلس در این ماده، ابزارهای الکترونیکی اینترنتی ماهوارهای فاقد مجوز از جمله استارلینک را جرمانگاری کرده و مرتکبان را به سه دسته تقسیم کرده است.
استفاده شخصی؛ حبس ۶ ماه تا دو سال و ضبط تجهیزات
به گفته این وکیل، دسته نخست شامل افرادی است که اقدام به استفاده، حمل، نگهداری، خرید، فروش یا واردات این تجهیزات برای مصرف شخصی میکنند که مطابق قانون، به حبس تعزیری درجه ۶ (۶ ماه تا ۲ سال) و ضبط تجهیزات محکوم میشوند. دسته دوم مربوط به افرادی است که این تجهیزات را تأمین، تولید، توزیع، نصب، راهاندازی یا واردات به قصد توزیع انجام میدهند که برای آنان حبس تعزیری درجه ۵ (۲ تا ۵ سال) پیشبینی شده است.
این وکیل دادگستری با اشاره به بخش پایانی ماده ۵ تصریح کرد:در ادامه این ماده، قانونگذار انجام این اعمال را در صورت ارتکاب به قصد مقابله با نظام یا جاسوسی، مشمول مجازاتهای بسیار سنگین از جمله اعدام یا حبس تعزیری درجه ۴ (۵ تا ۱۰ سال) دانسته است.
وی خاطرنشان کرد: با وجود تمام این ابهامات، در حال حاضر تنها مبنای قانونی برای مجازات استفادهکنندگان و قاچاقچیان استارلینک، همین ماده ۵ است.
منبع خبر
💔30👎8😁5👍3❤1
مهدی امیری، مدیر فنی دفتر معاونت فضای مجازی دادستانی کل کشور
جواد بابایی، معاون فنی امور فضای مجازی دادستانی کل کشور
شهاب وهاب زاده، مدیر ارشد فناوری و معتمدی آذری جهرمی
حسین اسکاره طهرانی، مدیرعامل پیشین مبین نت و باران تلکام
محمد حسین مددی، مدیر عامل شرکت QBIC
محمد حسین سلیمانیان، مدیر عامل جدید ایرانسل
بهزاد اکبری نودوزقی، مدیر عامل شرکت ارتباطات زیرساخت
محمد امین آقامیری، دبیر شورای عالی فضای مجازی و رئیس مرکز ملی فضای مجازی
محسن دهنوی، از مدیران ارشد شبکه پژوهشکده شهید رضایی
علی آرام، معاون فناوری اطلاعات و فضای مجازی در دبیرخانه شورای عالی امنیت ملی
اشخاصی که نقش مستقیم و فعال در قطع اینترنت و ارتباط کل کشور داشتند.
جواد بابایی، معاون فنی امور فضای مجازی دادستانی کل کشور
شهاب وهاب زاده، مدیر ارشد فناوری و معتمدی آذری جهرمی
حسین اسکاره طهرانی، مدیرعامل پیشین مبین نت و باران تلکام
محمد حسین مددی، مدیر عامل شرکت QBIC
محمد حسین سلیمانیان، مدیر عامل جدید ایرانسل
بهزاد اکبری نودوزقی، مدیر عامل شرکت ارتباطات زیرساخت
محمد امین آقامیری، دبیر شورای عالی فضای مجازی و رئیس مرکز ملی فضای مجازی
محسن دهنوی، از مدیران ارشد شبکه پژوهشکده شهید رضایی
علی آرام، معاون فناوری اطلاعات و فضای مجازی در دبیرخانه شورای عالی امنیت ملی
اشخاصی که نقش مستقیم و فعال در قطع اینترنت و ارتباط کل کشور داشتند.
1👍77❤7🔥5
شاید برای بعضیا سوال باشه که مگه میشه از لینک Vless روی سرور استفاده کرد؟
باید بگم بله.
ابتدا لازمه که xray core روی سروز نصب بشه.
نصب روی ubuntu:
سپس باید کانفیگ vless رو بسازیم و اطلاعات لینک (UUID، پورت، TLS، WS/TCP…) رو بذاریم داخل:
و خب نحوه استفاده هم که به این صورت هستش:
توجه کنید که:
پورت فایروال Ubuntu باز باشه.
اگر هم tls داریم که مشخصه دامنه و سرتیفیکیت لازم داریم.
لینکVLESS معمولاً با Xray بهتر و بروزتر از V2Ray کار میکنه.
این اقدام هم برای Proxy، تانل ترافیک و اتصال کلاینت های دیگه به این سرور کاربرد داره.
باید بگم بله.
ابتدا لازمه که xray core روی سروز نصب بشه.
نصب روی ubuntu:
bash <(curl -Ls https://github.com/XTLS/Xray-install/raw/main/install-release.sh)
سپس باید کانفیگ vless رو بسازیم و اطلاعات لینک (UUID، پورت، TLS، WS/TCP…) رو بذاریم داخل:
/usr/local/etc/xray/config.json
و خب نحوه استفاده هم که به این صورت هستش:
systemctl enable xray
systemctl restart xray
systemctl status xray
توجه کنید که:
پورت فایروال Ubuntu باز باشه.
(ufw allow PORT)
اگر هم tls داریم که مشخصه دامنه و سرتیفیکیت لازم داریم.
لینکVLESS معمولاً با Xray بهتر و بروزتر از V2Ray کار میکنه.
این اقدام هم برای Proxy، تانل ترافیک و اتصال کلاینت های دیگه به این سرور کاربرد داره.
👍16❤11