ну, пока не ругаются. начнут ругаться - dot можно на любой порт повесить

на 443 публичные сервисы есть, приватные тем более

можно то можно, но обыватели вряд ли будут крутить настройки для подключения себе dot

chrome же овверайдит настройки dns и ломится куда сам хочет, насколько я знаю, например

а там еще такого не реализовано? https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet

У меня есть кое какие мысли на счет dot, владельцев dns и dpi

есть - делись :)

Чуть попозже, в конфу заскакиваю :)

возможно тут будет больше по он-топику https://telegram.me/joinchat/AL6jEUFFW5TFS1s3pZMMjg

Через часик отпишусь

так вот, когда я ездил в минсвязи на обсуждение топика TLS 1.3 и DOH/DOT, разговоры были, само собой, о том как это запретить. ФСБ, МВД и некоторые вендоры систем DPI, там присутствующие (в коих числе был и я), уже делали какие-то лабораторные тесты в попытках детектирования с последующей блокировкой. У МВД, по их словам, даже что-то получалось.

поначалу я скептически к этому относился, все эти вещи придуманы для безопасности, но потом я вспомнил, что в крайних версиях спецификаций 3GPP для мобильных сетей появились новые функциональные элементы:

1. SCEF - штука для провижининга пулов IP адресов с привязкой к некоему сервису от 3rd-party в автоматическом режиме извне сети оператора на TSSF
2. TSSF - штука, которая должна принимать эти пулы, органичивать скорость, делать тарификацию

но как мы знаем, этими вещами в мобильных сетях занимается обычно PCEF, иногда со встроенным TDF и именно PCEF+TDF обычно и называют DPI в контексте мобильных сетей; при этом спеки пишут, что логичным выглядит втащить TSSF в PCEF, т.к. они выполняют крайне похожие функции

так же мы знаем, что часть браузеров овверайдит настройки DNS (о чем я выше писал), которые спровижинил оператор, и ходят на свои "вшитые" в код сервера

типичный обыватель никаких настроек на компе и в приложениях не трогает, поэтому отключив доступ на прописанных в баузерах DNS (коими обычно являются google, cliudflare etc), например, по IP (РФ), можно действительно лишить большую часть населения интернета по щелчку пальцев

или же, например, поскольку они являются владельцами DNS, они могут начать продавать за бабки маппинг IP:сервис со своих DNS операторам, чтобы они могли и дальше продолжать предоставлять service-based, а не (volume|speed)-based услуги; в таком ключе DPI становится не нужен, этот рынок отожмут владельцы DNS и отрубить инет действительно становится возможным и это уже не нравится вендорам таких систем

можем обсудить, у меня такие мысли на этот счет сложились :)

> в таком ключе DPI становится не нужен
в этой парадигме - ровно до момента когда платить уже не хочется. а он может наступит, когда нужен будет "маппинг" не на свой сервис, приносящий денех, а на заглушку ркн например

алсо, операторам значительно проще настроить канареечный домен и отключить у большинства пользователей doh полностью

>а на заглушку ркн например

ну...этот момент обсуждаемый и здесь еще можно пофантазировать, т.к. мы пока не знаем, к какому решению по TLS 1.3 и DOH/DOT придут наши самые светлые умы )))

согласен, а весь остальной DNS на DPI перенаправляют на свои сервера путем замены dst IP

по крайней мере так делает Мегафон, насчет остальных - не знаю

но Мегафон крайне интересные вещи на сети для оптимизации использует

офтопик, конечно, но пусть бы он крайне интересный (мне) ipv6 использовал )

я могу узнать, когда планируется :))

пока у них головная боль основная - переход на сервисную модель Yota для контроля перегрузок на разных участках своей сети

знаю чатик где будут рады таким инсайдам