Pull to refresh

Comments 129

Коснется конечно многих, но зашевелятся только тогда, когда именно коснется, а не прочитают в интернетах :(
Это приведет к диаметрально противоположной работе роскомнадзора: будут вывешивать для провайдеров белые списки адресов. Но это же вообще сюр…
UFO just landed and posted this here
Тогда интернет просто обязан стать бесплатным для граждан, иначе никому такой интернет вовсе не нужен будет, если будут доступны только сайты из белого списка и никакой свободы… но тогда это не выгодно провайдерам. Шагнем обратно в сторону «каменный век».
Что-то непонятно про перенаправить заблокированный домен на IP неугодных блокирующих… Чем это поможет в случае, если оператор блокирует не по IP, а именно по домену?
Не все такие провайдеры, а может даже и меньше половины.
По словам Ксензова (зам.рук РКН): блокирующих по IP — примерно 50% операторов связи.
Жесть однако, DPI копейки стоит. :(
Забавно, что ранее озвучивались совсем иные цифры, порядка сотен миллионов (уже не помню, долларов или рублей) за DPI-оборудование для крупного интернет-провайдера. Совсем не копейки, однако.
Наверное смотря какой DPI и в каких количествах.
Да — величины сотни лямов денег для средних игроков.
[реклама]Достаточное для фильтрации HTTP, от 1000 до 25000р в месяц, в зависимости от ширины канала за суппорт. Железо какое угодно.[/реклама]

Не обязательно же аппаратную DPI покупать, программные тоже неплохи :)
Описанный метод применим для ресурса блокированного по IP (т.е. когда у оператора нет иной возможности заблокировать конкретную страницу).
Если возможность есть см. DPI (в Вашей терминологии «по домену») метод не сработает.
И данный метод сработает исключительно если оператор при выгрузке реестра не смотрит на IP прописанные в реестре, а сам каждый раз разолвит все домены. Что я подозреваю редкость, наверняка те кто блокирует по IP будут просто брать его из реестра и вносить в ACL. Так что метод по задумке красивый, но судя по всему не особо реализуемый на практике.
Тогда это меняет дело, боюсь они правда могут изменить логику работы скрипта.
И как часто он их резолвит? Там уже все предусмотрено, наверняка.
По крайней мере, был сайт trava.kiev.ua, который указывал на 127.0.0.1, и был еще сайт, который указывал на один из IP гугла. Ничего, вроде, не ломалось.
А поясните мне, пожалуйста, как переадресация заблоченного домена на 127.0.0.1 может что-то поломать? Ведь обращения по этому IP не выходят за пределы собственной машины, а значит не могут быть заблочены провайдером в принципе.
Имелось ввиду, поломать на стороне провайдера.
Проверил историю изменения реестра, айпишки в нём ненадолго появлялись, так что блокировка была именно от Роскомнадзора.
А так — да, Ростелеком по айпишке режет даже транзит, зла не хватает.
То есть вы, как оператор, не резолвите домены в айпи? И не обязаны?
Не резолвим, не обязаны.

Хотя, существуют рекомендации по блокировке, следуя которым можно резолвить домены (для снижения нагрузки на DPI). DPI в этом случае обязателен.
Я в своём DPI сделал это опцией на выбор провайдера, либо использовать те IP которые приходят от РосКомНадзора, либо резолвить все домены. Что забавно, порой результат резолва никак не пересекается с тем что пришло от РКН.
Если возможность есть см. DPI (в Вашей терминологии «по домену») метод не сработает.

Очень даже сработает. Первая ступень фильтрации — трафик с подозрительным dst-ip роутится на машину с DPI. А там уже проверяется содержимое запроса, и если URL не запрещён, запрос обрабатывается прозрачным прокси, иначе HTTP 302 на заглушку. Если в фильтр первой ступени попадёт vk или youtube, DPI и прокси просто упадут прогонять через себя весь этот трафик.
Не обязательно форсированно роутить, можно использовать WCCP для распределения нагрузки между многими проксями фильтрами и если они упадут трафик продолжит ходить напрямую, а не полностью дропнеться все.
Впрочем объем трафика по dst-ip из списка сейчас менее 0,1% от общего в сети оператора, разве что крупное попадет как вы сказали VK, youtube, etc.
HTTPS как предполагаете вскрывать для извлечения URL?
Можно извлекать сам домен, уже не dst.ip.
Домен внутри шифрования передаётся же.
Т.е., любой IE под WinXP будет обходить этот контроль?
Зачем? Нет SNI — заглушка.
Юзер обращается в поддержку провайдера — а они ему «установите современный браузер (firefox, chrome)»
О! Можно даже заглушку замутить: «Для просмотра требуется новый браузер» ))

И все довольны.

А если он с телефона на старом Андроиде выходит? Да и WebDAV SNI не поддерживает.
Андроидам тот же ответ — «Вам шашечки или ехать?.. Ставьте хром, оперу, файрфокс».

А WebDAV
1. Малы шансы, что сервер окажется на одном IP с заблокированным сайтом
2. «Вам шашечки или ехать?.. Переключайтесь на режим без SSL».
А заодно выкинуть все устройства с прошитой сетевой функциональностью через SSL. IP-телефоны там, всякие, трекеры, etc.
Не понял, в чём проблема. SNI надо использовать только в случае, когда сработал фильтр по dst-ip. Зачем телефону делать коннект на адрес, прописанный в реестре?
Речь разве не о том, чтобы перенаправить блокируемый домен на посторонний адрес, сделав его «подозрительным»?
Ага, теперь понял. Да, dos-атака через реестр может отрубить некоторые сервисы, и никакой DPI не поможет.
Bump не работает без подтверждения пользователем доверия подменённому сертификату. И по вашей ссылке не увидел разбора SSL, только определение «SSL это или нет».
Ну во-первых: «завалить DPI/прокси» это все-же метод отличный от описанного в статье.
Теперь порассуждаем «за жизнь» :)

Во вторых: если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов. Так что уверяю Вас — они-то как раз и обрабатываются.
В третьих: как Вы сами сказали, фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный, что не завалит DPI, который думается стоит естественно не на магистрали, а на PE (provider edge) устройствах (в т.ч. именно к ним подключен ДЦ VK).
Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов?

Парочка радикалов обычно тусует на шаред хостинге, и их блокировка накрывает ещё сотню сайтов. Большие сервисы ещё могут исправить ситуацию, а вот соседи поневоле…

А этот трафик (в отличие от обратного, с контентом) очень даже скромный

На скромность исходящего трафика не рассчитывайте, всё равно в один чудесный момент железки не хватит. Весь исходящий и потенциально блокируемый отличаются в тысячи раз, так что выгода налицо.
если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов.

Нет, делалось для запугивания, а не как техническое решение. vk понимает, что если его трафик будет проксироваться через DPI и загрузка страницы будет 10 секунд, трафик упадёт. С другой стороны, правительство как-бы не виновато, они запретили только одну страницу и она не открывается совсем. Поэтому всё народное недовольство достанется провайдерам и сервисам )) Это видно на примере vk — стараются убирать контент, а не становится в позу. А вот на примере википедии, которая не прогнулась и клала на блокировки — её просто удалили из списка.

фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный
Это не будет работать. Магические слова из rfc: Connection: Keep-Alive.
GET+Host может быть в любом месте tcp-потока, причём просто на подстроку реагировать нельзя — надо парсить структуру HTTP-запросов, со всеми их волшебными chunked encoding и т.п., иначе можно завалить нормальный сайт, просто разместив стоп-фразу GET где-то в комментариях ))
Кстати, Вы не в курсе — есть какие-нибудь софтверные DPI, работающие в Kernelspace и кидающие HTTP 302 оттуда?
Увы, я не знаю, как это работает изнутри.
Приходится изучать по внешнему поведению.
а зачем именно в ядре?
А удобно же. Одним правилом iptables всё фильтровать, например :)
в ядре — медленно. никто не делает dpi в ядре.
И еще. Я думаю, что ІР берется раз(если берется), в момент блокировки. И более не обновляется.
Обновляется, пишут. Если б не обновлялся, сайты так и прыгали бы с IP на IP для ухода от блокировки. Сколько сейчас простецкий VPS стоит с отдельным IP? Да нисколько, практически. Менять можно хоть каждый день как перчатки. Понятное дело РКН должен устранить такой уход от блокировки, иначе грош ему цена.

IP точно берется и передается операторам. Это видно в документации на протокол.
Эй, не надо мотивировать создавать белые списки! Иначе из такой временной меры, они когда нибудь превратятся в полноценные.
Вопрос не в точках входа, а в точках выхода. Они должны быть не в России, и при этом владельцы должны быть почему-то заинтересованы в этом прокси. Если это цензура ГосДепа — да, она может поднять сеть точек выхода. Но также эта сеть будет лакомым куском для мошенников, которые с радостью перепродадут выходящие личные данные, а то и просто блоки AdSense заменят на свои.
Ну это не прокси, это Интернет 2.0.
В качестве прокси тоже можно использовать.
Нет нельзя, только как транспорт, до вашего шлюза Гипербория<>Интернет.
У меня, кстати, есть мысль, что это тот самый случай мною названой "естественной депонополизации". В общем, технологии меш-сетей пока не годятся заменить связь между городами и странами, НО как средство обеспечения связи на последней миле уже годится. Т.е. обеспечить внутри городов такую независимую связь, а уже на уровне более высоком пока технологии не вышли на этот уровень и нет правовой поддержки, можно морочиться с оверлэйными способами связи, как это уже сделано в том же CJDNS.

Проблема, как всегда в людях. Любые распределенные решения требуют развития узлов, а не центра. Т.е. у нас требуется образованноть людей и активность. Хотя можно пробовать налаживать продажи таких прошитых роутеров и распространение сетей среди неспециалистов.
Ну и еще меня немного смущает вайфай: чтобы не было проблем с перегруженными каналами связи, надо что-то делать.
Прокидывать провода сильно сложнее. Но cjdns, теоретически, позволяет любой канал использовать — хоть вайфай, хоть оптику, хоть спутники.

Для массового использования нужны предпрошитые роутеры, ресурсы внутри сети (чтобы люди стремились купить такой роутер) и нормальную распределённую DNS (пока что она на этапе разработки, насколько я знаю).

p.s.
На русском форуме cjdns поставили офигенный эксперимент – в cjdns-точку можно превратить любой вайфай роутер, у которого открыто подключение непосредственно к вайфай сети без ведома владельца роутера. Т.е., например, точки Макдональдса или любые другие, которые предлагают авторизацию внутри сети, уже после физического подключения.
Я работал над проектом порта для Android. Считаю, что для распространения этой прекрасной сети нужно выводить ее на мобильные устройства. Но другие важные дела меня подкосили и я пока отложил это в ящик.
Как-нибудь я все-таки решусь и закончу это дело.
uppit.us в android
image
Не забудьте предложить ее f-droid, если лицензия позволяет.
Там не полноценная точка получается — она может только трафик перекидывать между двумя полноценными точками, если я правильно понял.
Полноценная cjdns-точка получилась. Фишка в том, что авторизация там происходит уже после физического подключения к wi-fi сети. А для cjdns-траффика никакая авторизация не нужна, нужно лишь физическое подключение.
Прошу простить мою безграмотность, но я пока не увидел внятного объяснения как работает блокировка по IP для сайтов, существующих только на IPv6. Как работает блокировка и работает ли в этом случае?
UFO just landed and posted this here
Как-то вы слишком верите в добродетель людскую.
Люди соглашаются на убийства, грабежи, предательства — а вы не можете поверить, что кто-то согласился на профильную работу, только потому, что она создаст проблемы коллегам по цеху.
Система серьезная, деньги тоже серьезные.
UFO just landed and posted this here
Больше. Но неужели вы думаете, что люди технического склада ума не совершают преступлений? В том числе и банально ради наживы.
Внезапно:

Реестр как средство пропаганды повышения интернет-грамотности и осознания своих гражданских прав:
(такой вариант заглушки установил мой интернет-провайдер)

image
(линк из заглушки)
Респект и уважуха такому провайдеру!
Почему-то постоянно читаю адрес сайта zapret-info с норвежским доменным именем
Тонко)
Хороший бы мем получился при грамотной раскрутке)
Я такое предлагал и развил мысль ещё дальше: habrahabr.ru/post/193848/

Это только начало, надо перебором подобрать, чего бы такого размещать на заглушках, чтобы блокировать разхотелось.
UFO just landed and posted this here
Только теперь они ссылку на РКН поставили, как сказали, во время проверки, но уже давно висит так.
UFO just landed and posted this here
Видел ее всего пару раз, какие же сайты вы посещаете? =)
UFO just landed and posted this here
С каждым днем охват реестром сайтов и, соответственно, их аудитории становится всё шире, так что рано или поздно и вы будете видеть такие заглушки всё чаще.
И второе — необязательно посещать именно запрещенные ресурсы — достаточно, чтобы ваш оператор связи блочил их по IP и тогда вы вообще не будете понимать — почему у вас перестали быть доступны порталы программистов, переводчиков, сайты детских садиков и т.д.
Хорошо, что наш провайдер блокирует только ссылки на контент. =)
А это вот тоже стратегически не очень хорошо, когда государство вплотную займется DPI.
Так что в итоге еще неизвестно что окажется хуже — блокировка по IP или глубокий анализ пакетов))
Да, и так и эдак — плохо.
Государство вплотную занимается и более серьезными вещами, посмотрите на продукцию Центра Речевых Технологий. От их возможностей становится даже немного не по себе.
Ну не знаю — тестовый стенд VoiceKey меня признавать решительно не желает.
Направление не ново, но развивают активно и целеустремленно, простым морфированием уже давно не отделаешься.
Вот интересный вопрос — можно ли в суде использовать как доказательство запись голоса, пережатого G.723.1 на 5 кбит/сек,

Или даже ИМХО «лучше» Speex настроенном на узкополосный режим, 5 кбит/сек.
UFO just landed and posted this here
Попробуйте разные варианты
Тут уж с наскока не подскажешь вам какой инструмент сработает, а какой — нет.
А что, VPN у Вас уже запретили?

А вообще такое годно ищется по запросу online cgi proxy
белых списков не будет.

скорее будет специальная статья в УК или КоАП «О противодействии и нарушении работы Единого реестра запрещенных сайтов». это так в духе наших законников.

p.s. статьи по ссылке смотрел
да есть же…
273. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации

274. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб
в 273 речь про вирусы.
мне кажется правка днс это скорее 274, правда непонятно на какие правила эксплуатации они ссылаются

ну и скажите под какую статью попадает использование прокси для обхода? ни под какую. а скоро может
«Создание и использование компьютерных программ… заведомо предназначенных для несанкционированного блокирования компьютерной информации» — Программы использовали? Использовали. Блокировали сайты? Блокировали. Шах и мат.
Блокировал? С чего бы это? Блокировал провайдер по распоряжению РКН.
Этак можно и мышьяк в муку насыпать. А я что? Ничего! Это хлебокомбинат булку испёк, продавец продал, а пострадавший сам съел, никто его не заставлял.
Не, давай уже до конца доводить аналогию — этак можно и за подсказку как пройти в булочную лет 5 впаять, как за причинение особо тяжкого вреда здоровью, потому что в булочной человека избили копы, так как подумали, что у него в зубе мышьяк.
Если копы избили в ходе следственных мероприятий (искали террориста с мышьяком), то наказывать некого — всё законно.
Если избили незаконно, тут всё от умысла зависит.
Если советчик знал, чем закончится поход в булочную, видимо он был в сговоре с плохими копами.
Ну почему — копы избивают абсолютно законно — на то они и копы. В данном случае разумеется. Кроме того никакого сговора и подавно нет — скорее наоборот.
Проблема в том, что нельзя прибегать к логике когда пытаешься описать абсолютно бредовую ситуацию или систему. Здесь логическая ошибка в самом законе, и как ее не штопай, не увешивай мишурой она так или иначе вылезет наружу. GIGO во всей красе.
Тут разница в том, что когда провайдером блокируется хороший сайт из-за подставы IP, это делает робот по заданному алгоритму. Субъект, принявший решение о блокировке — не на стороне провайдера.
Конечно нет. Субъект принявший решение о блокировке это РКН.
Принявший решение о блокировке «хорошего» сайта или «плохого»?
Ну и что, пропишете вы такое… Во-первых, веб-сервер знает список хостнеймов, на которых конкретный сайт (скажем, сайт Роскомнадзора) открывается (если же нет, то привет админу, да). На сервер, настроенный отдавать сайт «aaa.ru», прилетит «GET /» для хоста «bbb.ru» — отработается настройка для дефолтного сайта, которая, по идее, должна отдавать что-то статическое и легкое (как раз на такой случай — только прежде всего имеется в виду не случай «атаки», а случай кривых настроек одного из пионэр-админов по всеми инету).

Затем, если у провайдеров стоит что-то вроде либо прозрачного прокси (да, есть и такие), либо развернут DPI — т.е. что-то, что умеет читать заголовки, то сам факт наличия в запросе имени (и, возможно, URI) заблокированного сайта/страницы зарубит этот запрос (точнее, отдаст вместо него документ с указанием причин блокировки).

Я к тому, что тупым CNAME-ом Вы ничему не поможете. К сожалению. Пока Вы не будете контролировать сеть (напр., ваша сеть пока не будет в туннеле внутри обычного инета), Вы не сможете быть уверены, что запрос ваш ушел на нужный сервер и вернулся с него же.
Неужели только мой провайдер блокирует сайты не по IP, а по URL? Ведь в реестр добавляют именно URL, а IP идёт скорее как дополнение.
Про подобную схему атаки уже давно говорилось. Самым сильным является приём, когда «обычной аудитории» отдаётся один IP, а Роскомнадзоровским роботам — другой. Делается в шесть строчек в бинде (из которых 4 — открывающие/закрывающие скобочки). Выяснить адреса роботов не так уж сложно.

Дальше простая схема:

Запретителю отдаётся сайт с суициидальными порнографическими оппозиционерами экстремистки нарушающими копирайт на детсткую порнографию, запретитель пишет в роскомнадзор, роскомнадзор ресолвит, получает другой IP (атакуемой компании), вносит в реестр. ИП в бане.
Это всё значит, что можно заткнуть ip от микрософт.ком, уйти в https и больше тебе никто ничего никогда не сделает?
Нет, просто провайдеры втихую внесут microsoft.com в ALLOW выше, чем все DENY от реестра.
Этот простой трюк минимизирует потери от хулиганства.
Но вылезти из бана значит можно без особых усилий?
Нет, нельзя. Если вы на свой сайт badsite.com повесите IP от микрософта 64.4.11.37, этот IP сначала заблокируют, а потом внесут в белый список, это не значит, что вы сможете захостить на этом IP свой контент.
Можно перебирать все IP серверов майкрософта. CDN'а какого-нибудь.
Тогда админ провайдера просто внесёт в белый список всю подсеть CDN-а (если он кому-то нужен и будут жалобы).
Нет, amarao скзал что можно настроить бинд так, что смертные пойдут на правильный айпи, а надзиратели лесом — на зеркальный сайт, а, насколько я понимаю — никто урл вытаскивать из https не умеет. Так получается, что нет способа залочить сайт в лоб.
Во-первых, в реестр попадает как IP, так и домен.
Поэтому то, что реестр попадёт левый IP, не спасёт от блокировки по домену, которую делают даже провайдеры без DPI (пруф).
А насчёт https — здесь.
Это если у CDN все IP в одной подсети. Да и вообще — блокируемый сайт может и сам пользоваться CDN. Cloudflare, например.
1. Неважно, одна подсеть или 10 (1 строка в ACL или 10) — все сети перечислены в ripe db.
2. Странная ситуация — сайт из CDN делает DoS-атаку через реестр на другой сайт в CDN. Реестр не сможет надёжно заблокировать по IP ни первый, ни второй сайт.
А подумалось по заголовку, что речь пойдёт о законодательном запрете блокировок. Можно же в Конституцию ввести доступ к интернету как право граждан наравне с другими правами.
Описанный в статье троллинг уже сработал Пруф

Выше в топике жалобы других провайдеров, которые не разобрались.
Ну теперь главное чтобы до корневых DNS не дошло.
В общем, выгрузки реестра берутся по адресу vigruzki.rkn.gov.ru/. nap.rkn.gov.ru/reestr/, eais.rkn.gov.ru/, 398-fz.rkn.gov.ru/ имеют этот же IP-адрес.
Домен, который забанили, navalny.zona.me, поставил этот IP себе, и реестр заблокировали!
На наге провайдеры не могли выгрузку получить, лол.
UFO just landed and posted this here
Sign up to leave a comment.

Articles