Comments 129
Коснется конечно многих, но зашевелятся только тогда, когда именно коснется, а не прочитают в интернетах :(
+22
Это приведет к диаметрально противоположной работе роскомнадзора: будут вывешивать для провайдеров белые списки адресов. Но это же вообще сюр…
+22
UFO just landed and posted this here
Так уже даже законопроект есть.
+18
И мы по результату общественных обсуждений уже передали позицию в Думу в комитеты и депутатам.
+4
Шел 2017 год. Роскомнадзор разослал провайдерам белые списки.
+2
Ну все теперь и хабр запретят!
-10
Что-то непонятно про перенаправить заблокированный домен на IP неугодных блокирующих… Чем это поможет в случае, если оператор блокирует не по IP, а именно по домену?
+7
Не все такие провайдеры, а может даже и меньше половины.
+5
По словам Ксензова (зам.рук РКН): блокирующих по IP — примерно 50% операторов связи.
+4
Жесть однако, DPI копейки стоит. :(
0
Забавно, что ранее озвучивались совсем иные цифры, порядка сотен миллионов (уже не помню, долларов или рублей) за DPI-оборудование для крупного интернет-провайдера. Совсем не копейки, однако.
+2
Наверное смотря какой DPI и в каких количествах.
Да — величины сотни лямов денег для средних игроков.
Да — величины сотни лямов денег для средних игроков.
0
А как DPI к https применять?
0
И данный метод сработает исключительно если оператор при выгрузке реестра не смотрит на IP прописанные в реестре, а сам каждый раз разолвит все домены. Что я подозреваю редкость, наверняка те кто блокирует по IP будут просто брать его из реестра и вносить в ACL. Так что метод по задумке красивый, но судя по всему не особо реализуемый на практике.
+3
Ростелеком резолвит домены для блокировки по IP. Вот вам пруфлинк.
+9
Тогда это меняет дело, боюсь они правда могут изменить логику работы скрипта.
+1
И как часто он их резолвит? Там уже все предусмотрено, наверняка.
По крайней мере, был сайт trava.kiev.ua, который указывал на 127.0.0.1, и был еще сайт, который указывал на один из IP гугла. Ничего, вроде, не ломалось.
По крайней мере, был сайт trava.kiev.ua, который указывал на 127.0.0.1, и был еще сайт, который указывал на один из IP гугла. Ничего, вроде, не ломалось.
+1
Проверил историю изменения реестра, айпишки в нём ненадолго появлялись, так что блокировка была именно от Роскомнадзора.
А так — да, Ростелеком по айпишке режет даже транзит, зла не хватает.
А так — да, Ростелеком по айпишке режет даже транзит, зла не хватает.
+5
Я в своём DPI сделал это опцией на выбор провайдера, либо использовать те IP которые приходят от РосКомНадзора, либо резолвить все домены. Что забавно, порой результат резолва никак не пересекается с тем что пришло от РКН.
-1
Если возможность есть см. DPI (в Вашей терминологии «по домену») метод не сработает.
Очень даже сработает. Первая ступень фильтрации — трафик с подозрительным dst-ip роутится на машину с DPI. А там уже проверяется содержимое запроса, и если URL не запрещён, запрос обрабатывается прозрачным прокси, иначе HTTP 302 на заглушку. Если в фильтр первой ступени попадёт vk или youtube, DPI и прокси просто упадут прогонять через себя весь этот трафик.
+2
Не обязательно форсированно роутить, можно использовать WCCP для распределения нагрузки между многими проксями фильтрами и если они упадут трафик продолжит ходить напрямую, а не полностью дропнеться все.
Впрочем объем трафика по dst-ip из списка сейчас менее 0,1% от общего в сети оператора, разве что крупное попадет как вы сказали VK, youtube, etc.
Впрочем объем трафика по dst-ip из списка сейчас менее 0,1% от общего в сети оператора, разве что крупное попадет как вы сказали VK, youtube, etc.
+3
HTTPS как предполагаете вскрывать для извлечения URL?
0
Можно извлекать сам домен, уже не dst.ip.
+1
Домен внутри шифрования передаётся же.
0
Т.е., любой IE под WinXP будет обходить этот контроль?
0
Зачем? Нет SNI — заглушка.
Юзер обращается в поддержку провайдера — а они ему «установите современный браузер (firefox, chrome)»
О! Можно даже заглушку замутить: «Для просмотра требуется новый браузер» ))
И все довольны.
Юзер обращается в поддержку провайдера — а они ему «установите современный браузер (firefox, chrome)»
О! Можно даже заглушку замутить: «Для просмотра требуется новый браузер» ))
И все довольны.
0
А если он с телефона на старом Андроиде выходит? Да и WebDAV SNI не поддерживает.
0
Андроидам тот же ответ — «Вам шашечки или ехать?.. Ставьте хром, оперу, файрфокс».
А WebDAV
1. Малы шансы, что сервер окажется на одном IP с заблокированным сайтом
2. «Вам шашечки или ехать?.. Переключайтесь на режим без SSL».
А WebDAV
1. Малы шансы, что сервер окажется на одном IP с заблокированным сайтом
2. «Вам шашечки или ехать?.. Переключайтесь на режим без SSL».
0
SSL Bump как минимум.
Да и вендоры давно уже умеют SSL разбирать… www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/protocol_ref_guide/04_signatures.html
Да и вендоры давно уже умеют SSL разбирать… www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/protocol_ref_guide/04_signatures.html
-2
Ну во-первых: «завалить DPI/прокси» это все-же метод отличный от описанного в статье.
Теперь порассуждаем «за жизнь» :)
Во вторых: если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов. Так что уверяю Вас — они-то как раз и обрабатываются.
В третьих: как Вы сами сказали, фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный, что не завалит DPI, который думается стоит естественно не на магистрали, а на PE (provider edge) устройствах (в т.ч. именно к ним подключен ДЦ VK).
Теперь порассуждаем «за жизнь» :)
Во вторых: если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов. Так что уверяю Вас — они-то как раз и обрабатываются.
В третьих: как Вы сами сказали, фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный, что не завалит DPI, который думается стоит естественно не на магистрали, а на PE (provider edge) устройствах (в т.ч. именно к ним подключен ДЦ VK).
+1
Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов?
Парочка радикалов обычно тусует на шаред хостинге, и их блокировка накрывает ещё сотню сайтов. Большие сервисы ещё могут исправить ситуацию, а вот соседи поневоле…
А этот трафик (в отличие от обратного, с контентом) очень даже скромный
На скромность исходящего трафика не рассчитывайте, всё равно в один чудесный момент железки не хватит. Весь исходящий и потенциально блокируемый отличаются в тысячи раз, так что выгода налицо.
0
если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов.
Нет, делалось для запугивания, а не как техническое решение. vk понимает, что если его трафик будет проксироваться через DPI и загрузка страницы будет 10 секунд, трафик упадёт. С другой стороны, правительство как-бы не виновато, они запретили только одну страницу и она не открывается совсем. Поэтому всё народное недовольство достанется провайдерам и сервисам )) Это видно на примере vk — стараются убирать контент, а не становится в позу. А вот на примере википедии, которая не прогнулась и клала на блокировки — её просто удалили из списка.
фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромныйЭто не будет работать. Магические слова из rfc:
Connection: Keep-Alive
.GET+Host может быть в любом месте tcp-потока, причём просто на подстроку реагировать нельзя — надо парсить структуру HTTP-запросов, со всеми их волшебными chunked encoding и т.п., иначе можно завалить нормальный сайт, просто разместив стоп-фразу GET где-то в комментариях ))
+3
Кстати, Вы не в курсе — есть какие-нибудь софтверные DPI, работающие в Kernelspace и кидающие HTTP 302 оттуда?
0
И еще. Я думаю, что ІР берется раз(если берется), в момент блокировки. И более не обновляется.
+5
Обновляется, пишут. Если б не обновлялся, сайты так и прыгали бы с IP на IP для ухода от блокировки. Сколько сейчас простецкий VPS стоит с отдельным IP? Да нисколько, практически. Менять можно хоть каждый день как перчатки. Понятное дело РКН должен устранить такой уход от блокировки, иначе грош ему цена.
IP точно берется и передается операторам. Это видно в документации на протокол.
IP точно берется и передается операторам. Это видно в документации на протокол.
+8
Эй, не надо мотивировать создавать белые списки! Иначе из такой временной меры, они когда нибудь превратятся в полноценные.
0
Нужен p2p-прокси. Без центральной точки входа. С замаскированным трафиком.
+5
Вопрос не в точках входа, а в точках выхода. Они должны быть не в России, и при этом владельцы должны быть почему-то заинтересованы в этом прокси. Если это цензура ГосДепа — да, она может поднять сеть точек выхода. Но также эта сеть будет лакомым куском для мошенников, которые с радостью перепродадут выходящие личные данные, а то и просто блоки AdSense заменят на свои.
+5
Ну это не прокси, это Интернет 2.0.
0
У меня, кстати, есть мысль, что это тот самый случай мною названой "естественной депонополизации". В общем, технологии меш-сетей пока не годятся заменить связь между городами и странами, НО как средство обеспечения связи на последней миле уже годится. Т.е. обеспечить внутри городов такую независимую связь, а уже на уровне более высоком пока технологии не вышли на этот уровень и нет правовой поддержки, можно морочиться с оверлэйными способами связи, как это уже сделано в том же CJDNS.
Проблема, как всегда в людях. Любые распределенные решения требуют развития узлов, а не центра. Т.е. у нас требуется образованноть людей и активность. Хотя можно пробовать налаживать продажи таких прошитых роутеров и распространение сетей среди неспециалистов.
Ну и еще меня немного смущает вайфай: чтобы не было проблем с перегруженными каналами связи, надо что-то делать.
Проблема, как всегда в людях. Любые распределенные решения требуют развития узлов, а не центра. Т.е. у нас требуется образованноть людей и активность. Хотя можно пробовать налаживать продажи таких прошитых роутеров и распространение сетей среди неспециалистов.
Ну и еще меня немного смущает вайфай: чтобы не было проблем с перегруженными каналами связи, надо что-то делать.
0
Прокидывать провода сильно сложнее. Но cjdns, теоретически, позволяет любой канал использовать — хоть вайфай, хоть оптику, хоть спутники.
Для массового использования нужны предпрошитые роутеры, ресурсы внутри сети (чтобы люди стремились купить такой роутер) и нормальную распределённую DNS (пока что она на этапе разработки, насколько я знаю).
p.s.
На русском форуме cjdns поставили офигенный эксперимент – в cjdns-точку можно превратить любой вайфай роутер, у которого открыто подключение непосредственно к вайфай сети без ведома владельца роутера. Т.е., например, точки Макдональдса или любые другие, которые предлагают авторизацию внутри сети, уже после физического подключения.
Для массового использования нужны предпрошитые роутеры, ресурсы внутри сети (чтобы люди стремились купить такой роутер) и нормальную распределённую DNS (пока что она на этапе разработки, насколько я знаю).
p.s.
На русском форуме cjdns поставили офигенный эксперимент – в cjdns-точку можно превратить любой вайфай роутер, у которого открыто подключение непосредственно к вайфай сети без ведома владельца роутера. Т.е., например, точки Макдональдса или любые другие, которые предлагают авторизацию внутри сети, уже после физического подключения.
+2
Я работал над проектом порта для Android. Считаю, что для распространения этой прекрасной сети нужно выводить ее на мобильные устройства. Но другие важные дела меня подкосили и я пока отложил это в ящик.
Как-нибудь я все-таки решусь и закончу это дело.
Как-нибудь я все-таки решусь и закончу это дело.
uppit.us в android
+1
Там не полноценная точка получается — она может только трафик перекидывать между двумя полноценными точками, если я правильно понял.
0
Прошу простить мою безграмотность, но я пока не увидел внятного объяснения как работает блокировка по IP для сайтов, существующих только на IPv6. Как работает блокировка и работает ли в этом случае?
+3
UFO just landed and posted this here
Как-то вы слишком верите в добродетель людскую.
Люди соглашаются на убийства, грабежи, предательства — а вы не можете поверить, что кто-то согласился на профильную работу, только потому, что она создаст проблемы коллегам по цеху.
Система серьезная, деньги тоже серьезные.
Люди соглашаются на убийства, грабежи, предательства — а вы не можете поверить, что кто-то согласился на профильную работу, только потому, что она создаст проблемы коллегам по цеху.
Система серьезная, деньги тоже серьезные.
+6
Внезапно:
Реестр как средство пропаганды повышения интернет-грамотности и осознания своих гражданских прав:
(такой вариант заглушки установил мой интернет-провайдер)
(линк из заглушки)
Реестр как средство пропаганды повышения интернет-грамотности и осознания своих гражданских прав:
(такой вариант заглушки установил мой интернет-провайдер)
(линк из заглушки)
+42
Респект и уважуха такому провайдеру!
+32
Почему-то постоянно читаю адрес сайта zapret-info с норвежским доменным именем
+6
Я такое предлагал и развил мысль ещё дальше: habrahabr.ru/post/193848/
Это только начало, надо перебором подобрать, чего бы такого размещать на заглушках, чтобы блокировать разхотелось.
Это только начало, надо перебором подобрать, чего бы такого размещать на заглушках, чтобы блокировать разхотелось.
0
UFO just landed and posted this here
UFO just landed and posted this here
Видел ее всего пару раз, какие же сайты вы посещаете? =)
-8
UFO just landed and posted this here
С каждым днем охват реестром сайтов и, соответственно, их аудитории становится всё шире, так что рано или поздно и вы будете видеть такие заглушки всё чаще.
И второе — необязательно посещать именно запрещенные ресурсы — достаточно, чтобы ваш оператор связи блочил их по IP и тогда вы вообще не будете понимать — почему у вас перестали быть доступны порталы программистов, переводчиков, сайты детских садиков и т.д.
И второе — необязательно посещать именно запрещенные ресурсы — достаточно, чтобы ваш оператор связи блочил их по IP и тогда вы вообще не будете понимать — почему у вас перестали быть доступны порталы программистов, переводчиков, сайты детских садиков и т.д.
+4
Хорошо, что наш провайдер блокирует только ссылки на контент. =)
-3
А это вот тоже стратегически не очень хорошо, когда государство вплотную займется DPI.
Так что в итоге еще неизвестно что окажется хуже — блокировка по IP или глубокий анализ пакетов))
Да, и так и эдак — плохо.
Так что в итоге еще неизвестно что окажется хуже — блокировка по IP или глубокий анализ пакетов))
Да, и так и эдак — плохо.
+1
Государство вплотную занимается и более серьезными вещами, посмотрите на продукцию Центра Речевых Технологий. От их возможностей становится даже немного не по себе.
+1
UFO just landed and posted this here
турбо-режим в опере
0
Попробуйте разные варианты
Тут уж с наскока не подскажешь вам какой инструмент сработает, а какой — нет.
Тут уж с наскока не подскажешь вам какой инструмент сработает, а какой — нет.
0
А что, VPN у Вас уже запретили?
А вообще такое годно ищется по запросу online cgi proxy
А вообще такое годно ищется по запросу online cgi proxy
0
белых списков не будет.
скорее будет специальная статья в УК или КоАП «О противодействии и нарушении работы Единого реестра запрещенных сайтов». это так в духе наших законников.
p.s. статьи по ссылке смотрел
скорее будет специальная статья в УК или КоАП «О противодействии и нарушении работы Единого реестра запрещенных сайтов». это так в духе наших законников.
p.s. статьи по ссылке смотрел
0
да есть же…
273. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации
274. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб
+1
в 273 речь про вирусы.
мне кажется правка днс это скорее 274, правда непонятно на какие правила эксплуатации они ссылаются
ну и скажите под какую статью попадает использование прокси для обхода? ни под какую. а скоро может
мне кажется правка днс это скорее 274, правда непонятно на какие правила эксплуатации они ссылаются
ну и скажите под какую статью попадает использование прокси для обхода? ни под какую. а скоро может
0
«Создание и использование компьютерных программ… заведомо предназначенных для несанкционированного блокирования компьютерной информации» — Программы использовали? Использовали. Блокировали сайты? Блокировали. Шах и мат.
+2
Блокировал? С чего бы это? Блокировал провайдер по распоряжению РКН.
0
Этак можно и мышьяк в муку насыпать. А я что? Ничего! Это хлебокомбинат булку испёк, продавец продал, а пострадавший сам съел, никто его не заставлял.
+1
Не, давай уже до конца доводить аналогию — этак можно и за подсказку как пройти в булочную лет 5 впаять, как за причинение особо тяжкого вреда здоровью, потому что в булочной человека избили копы, так как подумали, что у него в зубе мышьяк.
0
Если копы избили в ходе следственных мероприятий (искали террориста с мышьяком), то наказывать некого — всё законно.
Если избили незаконно, тут всё от умысла зависит.
Если советчик знал, чем закончится поход в булочную, видимо он был в сговоре с плохими копами.
Если избили незаконно, тут всё от умысла зависит.
Если советчик знал, чем закончится поход в булочную, видимо он был в сговоре с плохими копами.
0
Ну почему — копы избивают абсолютно законно — на то они и копы. В данном случае разумеется. Кроме того никакого сговора и подавно нет — скорее наоборот.
Проблема в том, что нельзя прибегать к логике когда пытаешься описать абсолютно бредовую ситуацию или систему. Здесь логическая ошибка в самом законе, и как ее не штопай, не увешивай мишурой она так или иначе вылезет наружу. GIGO во всей красе.
Проблема в том, что нельзя прибегать к логике когда пытаешься описать абсолютно бредовую ситуацию или систему. Здесь логическая ошибка в самом законе, и как ее не штопай, не увешивай мишурой она так или иначе вылезет наружу. GIGO во всей красе.
0
Тут разница в том, что когда провайдером блокируется хороший сайт из-за подставы IP, это делает робот по заданному алгоритму. Субъект, принявший решение о блокировке — не на стороне провайдера.
0
Ну и что, пропишете вы такое… Во-первых, веб-сервер знает список хостнеймов, на которых конкретный сайт (скажем, сайт Роскомнадзора) открывается (если же нет, то привет админу, да). На сервер, настроенный отдавать сайт «aaa.ru», прилетит «GET /» для хоста «bbb.ru» — отработается настройка для дефолтного сайта, которая, по идее, должна отдавать что-то статическое и легкое (как раз на такой случай — только прежде всего имеется в виду не случай «атаки», а случай кривых настроек одного из пионэр-админов по всеми инету).
Затем, если у провайдеров стоит что-то вроде либо прозрачного прокси (да, есть и такие), либо развернут DPI — т.е. что-то, что умеет читать заголовки, то сам факт наличия в запросе имени (и, возможно, URI) заблокированного сайта/страницы зарубит этот запрос (точнее, отдаст вместо него документ с указанием причин блокировки).
Я к тому, что тупым CNAME-ом Вы ничему не поможете. К сожалению. Пока Вы не будете контролировать сеть (напр., ваша сеть пока не будет в туннеле внутри обычного инета), Вы не сможете быть уверены, что запрос ваш ушел на нужный сервер и вернулся с него же.
Затем, если у провайдеров стоит что-то вроде либо прозрачного прокси (да, есть и такие), либо развернут DPI — т.е. что-то, что умеет читать заголовки, то сам факт наличия в запросе имени (и, возможно, URI) заблокированного сайта/страницы зарубит этот запрос (точнее, отдаст вместо него документ с указанием причин блокировки).
Я к тому, что тупым CNAME-ом Вы ничему не поможете. К сожалению. Пока Вы не будете контролировать сеть (напр., ваша сеть пока не будет в туннеле внутри обычного инета), Вы не сможете быть уверены, что запрос ваш ушел на нужный сервер и вернулся с него же.
0
Неужели только мой провайдер блокирует сайты не по IP, а по URL? Ведь в реестр добавляют именно URL, а IP идёт скорее как дополнение.
0
Про подобную схему атаки уже давно говорилось. Самым сильным является приём, когда «обычной аудитории» отдаётся один IP, а Роскомнадзоровским роботам — другой. Делается в шесть строчек в бинде (из которых 4 — открывающие/закрывающие скобочки). Выяснить адреса роботов не так уж сложно.
Дальше простая схема:
Запретителю отдаётся сайт с суициидальными порнографическими оппозиционерами экстремистки нарушающими копирайт на детсткую порнографию, запретитель пишет в роскомнадзор, роскомнадзор ресолвит, получает другой IP (атакуемой компании), вносит в реестр. ИП в бане.
Дальше простая схема:
Запретителю отдаётся сайт с суициидальными порнографическими оппозиционерами экстремистки нарушающими копирайт на детсткую порнографию, запретитель пишет в роскомнадзор, роскомнадзор ресолвит, получает другой IP (атакуемой компании), вносит в реестр. ИП в бане.
+5
Это всё значит, что можно заткнуть ip от микрософт.ком, уйти в https и больше тебе никто ничего никогда не сделает?
0
Нет, просто провайдеры втихую внесут microsoft.com в ALLOW выше, чем все DENY от реестра.
Этот простой трюк минимизирует потери от хулиганства.
Этот простой трюк минимизирует потери от хулиганства.
0
Но вылезти из бана значит можно без особых усилий?
0
Нет, нельзя. Если вы на свой сайт badsite.com повесите IP от микрософта 64.4.11.37, этот IP сначала заблокируют, а потом внесут в белый список, это не значит, что вы сможете захостить на этом IP свой контент.
0
Можно перебирать все IP серверов майкрософта. CDN'а какого-нибудь.
0
Тогда админ провайдера просто внесёт в белый список всю подсеть CDN-а (если он кому-то нужен и будут жалобы).
0
Нет, amarao скзал что можно настроить бинд так, что смертные пойдут на правильный айпи, а надзиратели лесом — на зеркальный сайт, а, насколько я понимаю — никто урл вытаскивать из https не умеет. Так получается, что нет способа залочить сайт в лоб.
0
Это если у CDN все IP в одной подсети. Да и вообще — блокируемый сайт может и сам пользоваться CDN. Cloudflare, например.
0
А подумалось по заголовку, что речь пойдёт о законодательном запрете блокировок. Можно же в Конституцию ввести доступ к интернету как право граждан наравне с другими правами.
+1
В общем, выгрузки реестра берутся по адресу vigruzki.rkn.gov.ru/. nap.rkn.gov.ru/reestr/, eais.rkn.gov.ru/, 398-fz.rkn.gov.ru/ имеют этот же IP-адрес.
Домен, который забанили, navalny.zona.me, поставил этот IP себе, и реестр заблокировали!
На наге провайдеры не могли выгрузку получить, лол.
Домен, который забанили, navalny.zona.me, поставил этот IP себе, и реестр заблокировали!
На наге провайдеры не могли выгрузку получить, лол.
+4
UFO just landed and posted this here
Хватит и нескольких зеркал одного запрещенного прокуратурой блога-оффтопика.
0
Sign up to leave a comment.
«Запретите им запрещать» или обратная сторона реестра запрещенных сайтов