Comments 180
Полумера. Это должно быть на уровне роутера. В тот же Cмарт ТВ Хром не поставишь, если он не на Android.
Не сомневаюсь, что в роутерах это так же появится, текущая сложность пожалуй только в том, что роутер на данный момент не работает с HTTP/2 / HTTPS трафиком и скорее всего не обладает нужным софтом для установки такого соединения.
Кинетики вам в помощь, в моделях, поддерживающих прошивку v3, завезли и DoH и DoT.
Заюзал у себя уже несколько месяцев назад, всё норм…
Нагуглилась статья про Openwrt — What is DNS Privacy and how to set it up for OpenWRT. Надо пробовать.
А вот у меня не норм…
Роутер у меня весьма редкий и необычный. Synology RT2600ac
Сегодня перенастраивал его совершенно по другому поводу и случайно обнаружил что там есть поддержка DoH.
Включил.
На rutor.info прилетает Билайновская заглушка…
Роутер у меня весьма редкий и необычный. Synology RT2600ac
Сегодня перенастраивал его совершенно по другому поводу и случайно обнаружил что там есть поддержка DoH.
Включил.
На rutor.info прилетает Билайновская заглушка…
Я у себя дома развернул одноплатник с проксирующим DNS который через DoH запросы делает, а по сети уже видится как обычный DNS. Цена вопроса — один из дешевых одноплатников.
Не подскажите как вы это сделали?
Взял один из самых дешевых OrangePi. Далее на сайте dnscrypt.info/implementations можно выбрать проксирующий DNS сервер для себя. Я выбрал github.com/DNSCrypt/dnscrypt-proxy благо он уже собран под Linux/arm и он легко запустился на одноплатнике. На роутере в настройках DHCP сервера останется только указать, чтобы IP адрес DNS указывал на одноплатник.
Нагрузка при таком использовании минимальная. Настройки у dnscrypt-proxy перекрывают все мои потребности. Можно свои домены на нем создавать для внутренних нужд, черные списки есть.
Нагрузка при таком использовании минимальная. Настройки у dnscrypt-proxy перекрывают все мои потребности. Можно свои домены на нем создавать для внутренних нужд, черные списки есть.
А ещё есть AdGuard Home — ДНС сервер для домашней сети, с удобной вебмордой и кучей настроек. И с блокировкой рекламы, естественно.
Вроде бы, эта штука ничем особо не лучше pi-hole, в части блокировки рекламы и вебморды. А DNS-сервер (с поддержкой DoH или DoT) и самому поднять можно.
У меня Pi-hole работает. Оказалось к нему можно прикрутить DoH.
Хотя роутер у меня на Atheros AR9344 560MHz. И на его openwrt крутится Adblock. Хотелось бы нагрузить еще эту мощную железяку, чем разводить кучу коробочек с проводами.
Хотя роутер у меня на Atheros AR9344 560MHz. И на его openwrt крутится Adblock. Хотелось бы нагрузить еще эту мощную железяку, чем разводить кучу коробочек с проводами.
А что мешает? dnsmasq, который выступает в качестве DNS прокси на большинстве дешевых SOHO роутерах, легко настраивается на использование любого проксирующего DNS сервера, например — https_dns_proxy
Какая разница шифруется или нет если товарищЪ майор, не важно из КГБ или из АНБ, просто имеет кабель ко всем расшифрованным данным?
Как-то сразу вопрос.
А что помешает «резать» обращения к CDN?
Кстати, что-то запутался в аббревиатурах. Content Delivery Network — Сеть Доставки Контента. Функции обработки шифрованных DNS-запросов будут реализованы в «выносных точках присутствия (PoP) за пределами исходного сервера»?
Ну, будем мы периодически получать ту же картину, как при борьбе с «телегой» — огромное число недоступных серверов. Бить будут по площадям.
А что помешает «резать» обращения к CDN?
Кстати, что-то запутался в аббревиатурах. Content Delivery Network — Сеть Доставки Контента. Функции обработки шифрованных DNS-запросов будут реализованы в «выносных точках присутствия (PoP) за пределами исходного сервера»?
Ну, будем мы периодически получать ту же картину, как при борьбе с «телегой» — огромное число недоступных серверов. Бить будут по площадям.
Ну как бы в этом и смысл — поднять цену атаке, в случае с Google он будет приземлять трафик в GGC сервера которые стоят у провайдера.
Если вдруг оператор заблокирует доступ к этому серверу — у него будет рост международного трафика на 300-700% (YouTube перестанет кэшироваться) и при этом DNS (как и другие сервисы гугла будут обрабатываться просто другими серверами.
Перебанить весь Гугл? Отличная идея, хочу на это посмотреть.
Уже были попытки посадить операторов на бутылку за GGC на сайте, и я вполне допускаю, что может произойти и демонтаж. Шейпить абонентов оператору обойдётся при любом раскладе дешевле, чем бодаться.
Шейпить что? В случае отсутствия GGC весь трафик просто пойдёт до датацентра Google.
UFO just landed and posted this here
Ну и что? DOH будет работать.
А толку от него будет, если условный Ютуб будет загружаться по пять минут на страницу и едва-едва тащить 240p? При условии, что в одинаково фиговых условиях окажутся почти все домашние операторы, выбора-то у абонента не будет — уходить не к кому. Таким образом, мы получим вынужденную деградацию сервиса и отброс назад ко временам ADSL.
Какой смысл это делать оператору? Просто будет поднятие цен.
Клиент не заплатит больше, чем он готов платить сейчас, но если GGC уберут с площадок, в равном положении в этом контексте окажутся приблизительно все — и у клиента не будет выбора. Либо терпеть и платить, либо не пользоваться связью вовсе.
В свою очередь, даже повышение цен не гарантирует сохранения условий: провайдеру гораздо выгоднее одновременно и шейпить трафик клиентов, экономя на полосе, и повысить цены. В данной ситуации «голосовать ногами» уже не удастся, ибо некуда.
В свою очередь, даже повышение цен не гарантирует сохранения условий: провайдеру гораздо выгоднее одновременно и шейпить трафик клиентов, экономя на полосе, и повысить цены. В данной ситуации «голосовать ногами» уже не удастся, ибо некуда.
Ну как бы в этом и смысл — поднять цену атаке, в случае с Google он будет приземлять трафик в GGC сервера которые стоят у провайдера.
Тем кто составляют списки блокировок глубоко неинтересны цены этому у провайдера.
Те кто думает что таким способом вынудят государство оставить интернет без контроля глубоко заблуждаются.
Это просто приблизит введение белых списков и прочих общегосударственных сертификатов и фаерволов. Но от контроля не откажутся.
Не хотят чтобы фильтровали часть — будут фильтровать все.
Те кто думает что таким способом вынудят государство оставить интернет без контроля глубоко заблуждаются.
Не хотят чтобы фильтровали часть — будут фильтровать все.
Ну, пока еще не заблуждаются, и гугл никто блокировать не готов (доходит до прям таки вопиющей избирательности закона: сайты блокируют за встроенные ютубовские ролики с запрещенным контентом, сам же ютуб трогать и не пытаются).
как правильно отметили — забаньте целиком гугл, cloudflare, amazon ну и ещё кого-нить до кучи и тут уже станет вопрос о том, что мелкий бизнес отваливается целиком, трансграничный трафик повышается в разы, потому что перенаправляться через впн будет не часть сайтов, а ВСЁ. И в итоге смысла от РКН будет только, если включать ИЗОЛИРОВАННЫЙ рунет.
подождём, узнаем, но тенденция такая и она всегда была такой, что шифрование развивается на порядок быстрее, чем средства расшифровки и к тому моменту, как на сети провайдеров поставят это оборудование все мы будем, либо полностью за иностранными ВПНами, либо на полную начнётся использование DNSSEC, TLS 1.3 и DoH (или аналогов)
подождём, узнаем, но тенденция такая и она всегда была такой, что шифрование развивается на порядок быстрее, чем средства расшифровки и к тому моменту, как на сети провайдеров поставят это оборудование все мы будем, либо полностью за иностранными ВПНами, либо на полную начнётся использование DNSSEC, TLS 1.3 и DoH (или аналогов)
Что-то мне кажется, что «изолированный рунет» просто перестанут покупать и в прайсах операторов появится «неизолированный» продукт. Собственно для юрлиц это уже сейчас легко можно сделать: берется зарубежное юрлицо (дочка) с «нормальными» IP плюс «корпоративный канал» зарубеж.
Вы забыли eSNI.
Сходу два способа нейтрализовать DoH + eSNI:
1) используете вы DoH как клиент, а сертификат сервера в конфиге прописан? Мало у кого прописан по умолчанию, поэтому делаем MitM, блокируем запрос eSNI из DNS → профит
2) блокируем адрес DoH-резолвера, браузер клиента по умолчанию откатывается к обычному DNS, заворачиваем трафик на себя, разбираемся с eSNI → профит
Впрочем, есть ещё и самый простой способ, который годами с успехом применяют провайдеры, не обладающие DPI — если идёт обращение по HTTPS на IP-адрес, в который резолвится заблокированный домен, то рубим соединение. Если при этом отваливается доступ к какому-то ещё домену, что ж, ему не повезло.
1) используете вы DoH как клиент, а сертификат сервера в конфиге прописан? Мало у кого прописан по умолчанию, поэтому делаем MitM, блокируем запрос eSNI из DNS → профит
2) блокируем адрес DoH-резолвера, браузер клиента по умолчанию откатывается к обычному DNS, заворачиваем трафик на себя, разбираемся с eSNI → профит
Впрочем, есть ещё и самый простой способ, который годами с успехом применяют провайдеры, не обладающие DPI — если идёт обращение по HTTPS на IP-адрес, в который резолвится заблокированный домен, то рубим соединение. Если при этом отваливается доступ к какому-то ещё домену, что ж, ему не повезло.
Если используется CDN (Cloudflare, Google, etc.), то придется очень многое заблокировать.
UFO just landed and posted this here
12 миллионов адресов Amazon это много или нет? Их блокировку мы видели…
Вы не подумайте, я за РКН не топлю (по моим постам прекрасно видно, что я стремлюсь наоборот просвещать пользователей о том, какие компетентные спецы (нет) отвечают там за блокировки и как половчее нужно им ставить палки в колёса (грамотно посылать лесом незаконные запросы, направляемые провайдерам)), но вот эта вот эйфория, которая началась в интернетах «гудбай DPI, прощайте блокировки, мы свободны» мне кажется преждевременной. Побочный ущерб Роскомнадзор мало волнует.
Вы не подумайте, я за РКН не топлю (по моим постам прекрасно видно, что я стремлюсь наоборот просвещать пользователей о том, какие компетентные спецы (нет) отвечают там за блокировки и как половчее нужно им ставить палки в колёса (грамотно посылать лесом незаконные запросы, направляемые провайдерам)), но вот эта вот эйфория, которая началась в интернетах «гудбай DPI, прощайте блокировки, мы свободны» мне кажется преждевременной. Побочный ущерб Роскомнадзор мало волнует.
2) блокируем адрес DoH-резолвера, браузер клиента по умолчанию откатывается к обычному DNS, заворачиваем трафик на себя, разбираемся с eSNI → профитСтандартный резолвер Mozilla mozilla.cloudflare-dns.com уже заблокирован, давно
isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com
UFO just landed and posted this here
А мелкий бизнес разве не платит налоги? совсем нисколько?
Дело не в этом. Малый бизнес, как и пролетариат разобщён. Ни тот, ни другой не представляют из себя политической силы. А крупный бизнес представляет.
У крупного бизнеса есть своя армия, а что есть у барбершопа? Более того, владельцы барбершопов на соседних улицах могут иметь противоположенные политические взгляды, а политические взгляды крупного бизнеса очень даже ЕР-дины.
И да, не знаю ни одного «малого бизнесмена», который платит налоги не пытаясь сжульничать.
У крупного бизнеса есть своя армия, а что есть у барбершопа? Более того, владельцы барбершопов на соседних улицах могут иметь противоположенные политические взгляды, а политические взгляды крупного бизнеса очень даже ЕР-дины.
И да, не знаю ни одного «малого бизнесмена», который платит налоги не пытаясь сжульничать.
UFO just landed and posted this here
UFO just landed and posted this here
Так в этом и радость — чем дороже атака — тем лучше.
Как бы это не кончилось вводом "православных" DNS и блокировкой всех остальных. Или ещё какой-нибудь глупости в этом роде...
Только есть нюанс. Если на войне боевые действия оплачиваются из своего кармана (кармана союзника как вариант), то в данном случае оплата идёт из кармана противника (т.е. нашего с вами). Почувствуйте разницу :(
Вы не можете начать банить ip адреса, так как они вам не принадлежат, они принадлежат RIR и вообще вот например, rutracker блокируется по ip (ксати это не так у МТС (у него обходится по ipv6 к тому же), а только МГТС), а завтра они поменяют их и что? Огромное количество сервисов находится над cloudflare, ip которых всё время динамически изменяются и т.п. и т.д. Вы зашибетесь их блокировать… Сейчас-то все работает через SNI просмотр, таким образом ip не блокируется, связность сохраняется, плюс еще в помощь dns запросы, которые ускоряют дропинг трафика (типо подсказки). А теперь представьте подсказки нет, вы заблокировали ip, через пару секунд он достался другому сервису, а он например, раздает шрифты, которые много где используются. И сюрприз, все отвалилось. Или например, на одном ip сразу 10 разных сервисов. Или например, сделать так, чтобы ваш домен резолвился в адрес сайта фсб россии, пентагона, госуслуг, роскомнадзора. Вы заблокировали его. Или в ip google и в ip школы, универа. Все приехали, вы заблокировали google. Сразу иск в суд за недополученную прибыль. Нет, с приходом eSNI конец наступит Роскомнадзору.
Увы, но пострадают только обычные пользователи. Как это работает сейчас. Блокируют ip адрес. На этом адресе есть еще и обычный сайт, которые становится недоступен.
При запросе в роскомнадзор, они отвечают, что все в порядке, адрес заблокирован по решению суда (прокуратуры), а если другой сайт пострадал, то пусть переезжают на другой ip, если хотят быть доступными в России. А если не хотят, то мы без доступа.
Вот недавний случай habr.com/ru/news/t/467971
При запросе в роскомнадзор, они отвечают, что все в порядке, адрес заблокирован по решению суда (прокуратуры), а если другой сайт пострадал, то пусть переезжают на другой ip, если хотят быть доступными в России. А если не хотят, то мы без доступа.
Вот недавний случай habr.com/ru/news/t/467971
Увы, но пострадают только обычные пользователиЛибо эти обычные пользователи осилят обход блокировок, либо будут наслаждаться действиями власти. Когда интернет будет работать наполовину, а то и меньше, то это хороший повод задуматься. Особенно, если у кого-то рядом он работает целиком, а ркн признаёт свои ошибки.
UFO just landed and posted this here
Вот этот домен, заблокируете please, по ip!!! balling.duckdns.org резолвится в 213.24.76.23 так же как и фсб…
Во-первый домен моя собственность, я что хочу, то и делаю. Хочу заблокировать яндекс блокирую.
«А если кто-то сделает прикол забанив сайт фсб через ркн» Вы вообще в курсе какой процент дел по киберпреступлениям расследуется до конца с успехом? Погуглите.
И еще мне не нужно даже домен покупать. www.duckdns.org и все.
От кого? Это шутка? как вы думаете, сколько денег потерял ru.linkedin.com a? А www.7-zip.org?
А теперь смотрите, фокус. www.lumendatabase.org/notices/search?utf8=%E2%9C%93&sort_by=date_received+desc&term=roskomnadzor
Вот этим сервисом пользуется google, когда удаляет информацию из поисковой выдачи. Как вы думаете, насколько это понравится другим компаниям, а?
Во-первый домен моя собственность, я что хочу, то и делаю. Хочу заблокировать яндекс блокирую.
«А если кто-то сделает прикол забанив сайт фсб через ркн» Вы вообще в курсе какой процент дел по киберпреступлениям расследуется до конца с успехом? Погуглите.
И еще мне не нужно даже домен покупать. www.duckdns.org и все.
От кого? Это шутка? как вы думаете, сколько денег потерял ru.linkedin.com a? А www.7-zip.org?
А теперь смотрите, фокус. www.lumendatabase.org/notices/search?utf8=%E2%9C%93&sort_by=date_received+desc&term=roskomnadzor
Вот этим сервисом пользуется google, когда удаляет информацию из поисковой выдачи. Как вы думаете, насколько это понравится другим компаниям, а?
А если кто-то сделает прикол забанив сайт фсб через ркн, то довольно оперативно окажется в сизо.Особенно если он вне РФ
UFO just landed and posted this here
Как вы думаете, что скажет на это Евтушенков, а? Тем более они не смогут сделать автономный интернет. Интернет по определению сеть Автономных систем. Соответственно он и так автономен, а без всех автономных систем это Интранет. Тем более если это произойдет, ООН будет вынуждена ввести войска на территорию РФ. Так как они дали права контроля над нумерационными ресурсами интернета только совету RIR (Number Resource Organization, NRO en.wikipedia.org/wiki/Regional_Internet_registry#Number_Resource_Organization), и если Россия попытается использовать их полномочия, они обратятся в Международный суд ( en.wikipedia.org/wiki/International_Court_of_Justice ) и все: РФ конец.
UFO just landed and posted this here
Сказки? Просто почитайте, чем занимается всемирный суд. Все ссылки есть на википедии. Вот на русском. ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%8B%D0%B9_%D1%81%D1%83%D0%B4_%D0%9E%D0%9E%D0%9D
Для всех тех, кто минусит. Пишите, что вам не нравится. Если вы не знаете, как все это работает, это не значит, что это сказки, это просто значит, что для вас это сказачно звучит. И все. Это все правда. Лучше минусите господина «Англичанка гадит».
Самый тупой пример rutracker.nl уже можно открывать через Firefox, так как они включили eSNI (надо с настройками поиграться), ясно вам, умные вы мои. Я прав, а вы не правы.
И вообще просто представьте, что произойдет, если мы перейдём в автономный Интернет. Да там уже надо будет не войска вводить, а планетарную бомбардировку делать)))
Эх, пойти что ли статью написать про rutracker. Поднять карму с колен)))
Самый тупой пример rutracker.nl уже можно открывать через Firefox, так как они включили eSNI (надо с настройками поиграться), ясно вам, умные вы мои. Я прав, а вы не правы.
И вообще просто представьте, что произойдет, если мы перейдём в автономный Интернет. Да там уже надо будет не войска вводить, а планетарную бомбардировку делать)))
Эх, пойти что ли статью написать про rutracker. Поднять карму с колен)))
UFO just landed and posted this here
UFO just landed and posted this here
И по Китаю, наверное, тоже, да? Проблема заключается в том, что у них изначально всё так было.
UFO just landed and posted this here
Эхх… Учитывая, что именно вас плюсуют, то я даже готов поверить, что «матушка-россия окуклится в чебурнете». Ну хоть на Alphabet не гоните. Ну я понимаю, они обосрались с manifest V3, который все еще может сломать блокировщики рекламы, но google это же все же святое. Если вы не верете, что google компания добра, то я уж и не знаю, что вам противопоставить.
UFO just landed and posted this here
Я выше говорил про 7zip. У меня он до сих пор заблокирован, если что я даже писал в Роскомнадзор, чтобы они его разблокировали.
Выпали из времени вы. Роскомнадзор не имеет право регулировать интернет. Как вы думаете, почему Google решила запустить шифрование DNS, а потом и eSNI? Потому что им не нравится это, и это происходит по приказу региональных интернет регистраторов, если не в курсе это глобальная интрига. Дело в том, что единственный вариант хоть как-то наказать Российскую Федерацию это отобрать автономную систему у любого провайдера, ну, например, у МТС, после этого МТС потеряет цену своим акциям и прекратит свое существование, как оператор, потому что ни один из IP адресов, принадлежащим им уже не будет работать, ну во всяком случае потеряет глобальную связность. Но это уже какой-то терроризм, они на это не пойдут скорее всего, во всяком случае до тех пор, пока они не проверят, как будет работать eSNI, в любом случае, как только включится eSNI, оборудование, которое работает сейчас можно будет просто выбросить на помойку, а ведь это миллиарды потерянных денег, это недоверие от клиентов и так далее.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть. А ведь есть еще страшные вещи вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple, есть адреса, которые используют атомные электростанции, представьте к чему это может привести, а?
Выпали из времени вы. Роскомнадзор не имеет право регулировать интернет. Как вы думаете, почему Google решила запустить шифрование DNS, а потом и eSNI? Потому что им не нравится это, и это происходит по приказу региональных интернет регистраторов, если не в курсе это глобальная интрига. Дело в том, что единственный вариант хоть как-то наказать Российскую Федерацию это отобрать автономную систему у любого провайдера, ну, например, у МТС, после этого МТС потеряет цену своим акциям и прекратит свое существование, как оператор, потому что ни один из IP адресов, принадлежащим им уже не будет работать, ну во всяком случае потеряет глобальную связность. Но это уже какой-то терроризм, они на это не пойдут скорее всего, во всяком случае до тех пор, пока они не проверят, как будет работать eSNI, в любом случае, как только включится eSNI, оборудование, которое работает сейчас можно будет просто выбросить на помойку, а ведь это миллиарды потерянных денег, это недоверие от клиентов и так далее.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть. А ведь есть еще страшные вещи вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple, есть адреса, которые используют атомные электростанции, представьте к чему это может привести, а?
UFO just landed and posted this here
На территории России в соответствии с российскими же законами, к сожалению, имеет полное право.
Не имеет. Ст. 29 Конституции России.
И, по поводу "законности", хочу напомнить, что евреев в печах нацисты тоже жгли по закону.
Нет не имеет, если российские законы нарушают вышестоящие законы организации объединённых наций. ЕСПЧ, например, или Международный суд может отменить эти законы или решения по этим законам. В любом случае может быть провайдеры как хозяйственные общества и подчиняются законам Российской Федерации, но провайдеры как «провайдеры» законам Российской Федерации не подчиняется, они подчиняются только совету нумерации и отчитывается только перед LIR, RIR, операторами вышестоящего Tier уровня, которые и решают их судьбу, выдают им нумерационные ресурсы, но ведь они могут и отобрать их.
Даже Роскомнадзор перекладывает обязанности блокировки на провайдеров, вам это ни о чём не говорит, а?
Даже Роскомнадзор перекладывает обязанности блокировки на провайдеров, вам это ни о чём не говорит, а?
UFO just landed and posted this here
А если это не понравится rir они отберут у них нумерационный ресурсы, провайдеры
точно также прекратят свое существование. А вот если государство отберет у них лицензию, то они не прекратят существование, потому что у них останется нумерационный ресурс, и они всё равно смогут продолжить работу, раздавать айпи адреса, переехать в другую страну, вообще я думаю у Евтушенкова достаточно ресурсов, чтобы не подчиняться нашим законам, а то и создать конгломерат)))
точно также прекратят свое существование. А вот если государство отберет у них лицензию, то они не прекратят существование, потому что у них останется нумерационный ресурс, и они всё равно смогут продолжить работу, раздавать айпи адреса, переехать в другую страну, вообще я думаю у Евтушенкова достаточно ресурсов, чтобы не подчиняться нашим законам, а то и создать конгломерат)))
UFO just landed and posted this here
Наше государство вообще успело засадить дофига людей, как на это отреагировало общество на выборах в Московскую Думу, а?
«со всей своей огромной сетевой инфраструктурой в другую страну» Вот именно, это их сетевая инфраструктура.
«чтобы засадить его в тюрьму» это вообще очень весёлая история))) почитайте все подробности, вы ахренеете, там триллер какой-то, в любом случае на ПАО АФК Система это как-то отразилось? Да фиг. И почитайте вот это www.apnic.net/get-ip/faqs/asn/#change-upstream-providers
Првайдер может перенести свою автономную систему хоть в другую страну.
«со всей своей огромной сетевой инфраструктурой в другую страну» Вот именно, это их сетевая инфраструктура.
«чтобы засадить его в тюрьму» это вообще очень весёлая история))) почитайте все подробности, вы ахренеете, там триллер какой-то, в любом случае на ПАО АФК Система это как-то отразилось? Да фиг. И почитайте вот это www.apnic.net/get-ip/faqs/asn/#change-upstream-providers
Првайдер может перенести свою автономную систему хоть в другую страну.
И что, у многих уже отобрали, из-за ковровых блокировок миллионов IP?
Пока только в планах. За все время совет отобрал только 5 AS. Поймите, это катастрофическая вещь… Ведь информация не сможет доходить до отозванных систем. Это катастрофа, которая также приведет с перестройке BGP связей интернета (как в DHT торрентов). Я не могу показать вам внутреннюю переписку NRO, но кое-что можно найти в инете, погуглив по их письмам. Ну просто, чтоб вы поняли масштабы, вот MGTS автономная система. bgp.he.net/AS25513
Видите, сколько информации? И это есть по всем провайдерам мира.
А ведь есть еще страшные вещи вроде вроде адреса, через которые рассылаются Push от сервисов Google или сервисов AppleА их уже блокировали, кстати.
Я в курсе, именно поэтому Google в спешном порядке поменял всю систему push-сообщения на новую firebase.google.com
en.wikipedia.org/wiki/Firebase_Cloud_Messaging
Её так просто не заблокируешь, потому что она работает в каждом адресе, принадлежащим Google. Ну по-моему, я пока не разбирался. Причём он уже выключил старую GCM, вроде… Именно поэтому некоторое время назад всё отвратительно работало и push постоянно не приходили. Ну сейчас все уже работает. И теперь фиг их заблокируешь.
en.wikipedia.org/wiki/Firebase_Cloud_Messaging
Её так просто не заблокируешь, потому что она работает в каждом адресе, принадлежащим Google. Ну по-моему, я пока не разбирался. Причём он уже выключил старую GCM, вроде… Именно поэтому некоторое время назад всё отвратительно работало и push постоянно не приходили. Ну сейчас все уже работает. И теперь фиг их заблокируешь.
«Firebase Cloud Messaging (FCM), formerly known as Google Cloud Messaging (GCM)»
Тот же GCM, только в составе отдельного набора сервисов.
Клиентов 5 лет мигрировали, какое «в спешном»?
Тот же GCM, только в составе отдельного набора сервисов.
в спешном порядке
Клиентов 5 лет мигрировали, какое «в спешном»?
Они его купилив 2014. Но aws.amazon.com/ru/blogs/messaging-and-targeting/the-end-of-google-cloud-messaging-and-what-it-means-for-your-apps
Но они deprecated google cloud messaging в апреле 2018 и убрали 11 апреля 2019. Может и не спешно, конечно, но совпало как раз))
Но они deprecated google cloud messaging в апреле 2018 и убрали 11 апреля 2019. Может и не спешно, конечно, но совпало как раз))
я даже писал в Роскомнадзор, чтобы они его разблокировали.
Ну, и как, разблокировали?
Роскомнадзор не имеет право регулировать интернет.
Не имеет, но "регулирует". Поэтому 7zip у вас по-прежнему заблокирован. Выпали из времени вы.
отобрать автономную систему у любого провайдера, ну, например, у МТС, после этого МТС потеряет цену своим акциям и прекратит свое существование
детские сказки какие-то. Или влажные мечты.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть
А все и не надо. Это же белые списки. В них только "нужные" адреса.
А ведь есть еще страшные вещи вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple
Ой, роскомпозор напугался этих страшных адресов и забоялся! Блин, вы в каком классе учитесь?
есть адреса, которые используют атомные электростанции, представьте к чему это может привести, а?
Ага, понял. Примерно в пятом. В шестом такую чушь уже не городят.
Кто сказал, что рутрекер блокируют по IP? Должны резать по доступ по домену.
Это только у МГТС было так, у них там какой-то focus, там даже ping не работал какое-то время назад, но сейчас по домену, так-то да. И попробуйте открыть www.7-zip.org, там тоже вроде что-то такое есть… без заглушки, я имею в виду. То есть без redirect…
P.S. Я перепутал, это не у самого рутрекера блокировка по IP, а у трекеров рутрекера (извините за каламбур). То есть именно тот сервис, который (ну это кроме DHT для публичный торрентов) предоставляет облака пиров, когда вы хотите скачать торрент. У rutracker это
195.82.146.120 bt.t-ru.org
195.82.146.121 bt2.t-ru.org
195.82.146.122 bt3.t-ru.org
195.82.146.123 bt4.t-ru.org
Попробуйте пропинговать их, и… нифига. Они не пингуются.
P.S. Я перепутал, это не у самого рутрекера блокировка по IP, а у трекеров рутрекера (извините за каламбур). То есть именно тот сервис, который (ну это кроме DHT для публичный торрентов) предоставляет облака пиров, когда вы хотите скачать торрент. У rutracker это
195.82.146.120 bt.t-ru.org
195.82.146.121 bt2.t-ru.org
195.82.146.122 bt3.t-ru.org
195.82.146.123 bt4.t-ru.org
Попробуйте пропинговать их, и… нифига. Они не пингуются.
Непонятно зачем блокировать ICMP запросы.
Ну вообще-то ICMP запросы достаточно просто заблокировать и многие так делают, например попробуйте пропинговать kremlin.ru
Но здесь вроде другое. Ладно, я опять ошибся, у них просто заблокирован ICMP, как можно проверить по ссылке… Блин, что-то я сегодня туплю((( ping.pe/195.82.146.120
Но в любом случае, вот пинг из разных мест до www.7-zip.org, он не работает только в России, класс да?
ping.pe/www.7-zip.org
Но здесь вроде другое. Ладно, я опять ошибся, у них просто заблокирован ICMP, как можно проверить по ссылке… Блин, что-то я сегодня туплю((( ping.pe/195.82.146.120
Но в любом случае, вот пинг из разных мест до www.7-zip.org, он не работает только в России, класс да?
ping.pe/www.7-zip.org
Блокируют по IP-диапазонам, на уровне маршрутов, а не протоколов.
www.7-zip.org попадает в заблокированный диапазон 159.65.0.0/16.
www.7-zip.org попадает в заблокированный диапазон 159.65.0.0/16.
это ретрекеры.
Нет, retracker это другое, это так называемый Local peer Discovery. Когда у вас есть локальная сеть большая и вы можете обмениваться данными внутри локальной сети, за это отвечает трекер retracker.local/announce
А эти сверху называются просто tracker или в стандарте список announce url torrent-a.
ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
А эти сверху называются просто tracker или в стандарте список announce url torrent-a.
ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
А 7zip никто и не блокировал, он "случайно" под раздачу попал. Когда блок по IP, то и нет никаких заглушек, что само по себе уже ужасно.
Да в курсе я. Смотрите, кстати как красиво во всем мире работает ping до www.7-zip.org кроме как в России, круто правда. ping.pe/www.7-zip.org
Короче классная новость. На rutracker.nl включили eSNI теперь через firefox можно (и на Android) заходить без проблем с включенным DoH и eSNI (там настройки).
Забавно, ну хоть тут мы на 100% первые, после идёт Китай и слегка Канада.
Мой провайдер не смотрит в SNI (нет оборудования), а конец ему не пришёл. Тупо блокирует доступ по HTTPS ко всем IP-адресам, в которые резолвятся домены из реестра.
Провайдер живёт и здравствует, клиенты не разбегаются.
Провайдер живёт и здравствует, клиенты не разбегаются.
Если он сам резолвит запрещенные домены, то он уязвим перед "атакой", когда мы покупаем такой запрещенный домен и указываем в нем IP-адрес первого канала или мэйл ру. В этом случае такой уязвимый провайдер лишит своих пользователей доступа к госпропаганде. Потому, я думаю, он не резолвит домены сам, а все же использует предоставляемые РКН IP-адреса. А эти адреса обновляются не мгновенно, что позволяет сайтам уходить от блокировок, меняя их ежесуточно.
Не понимаю, почему все так радуются, считая что это поможет «борьбе с цензурой».
Потому что на какое-то время поможет.
А что это не устоит перед ковровыми бомбардировками (или отдельным уютненьким собственным интернетом) — разумеется, не устоит. Но что делать. Доступ к интернету медленно, но верно (и абсолютно необратимо) превращается в зарегулированный и забюрократизированный процесс, и происходит это далеко не силами только РФ, это общемировой тренд.
Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник на уровне провайдера или государства может отслеживать содержимое DNS-пакетов и даже подменять их.
А у меня вот тут возник вопрос: а всякие "аппаратные" адблокеры это случайно не будет "устранять"? Ну то есть adguard или блокеры, которые встроены не в браузер, а скажем в рутер?
Хм. Ну в теории на роутере можно поднять свой, добрый, MITM DoH с фильтром, но это конечно посложнее.
Я бы вообще сказал, что наверное полезнее доверять своему роутеру по обычному DNS (и пусть фильтрует рекламу, защищает от DNS rebinding, например), а вот мимо провайдера уже DoH/DoT.
Вопрос в том сколько обычных пользователей смогут и будут таким заниматься. Ведь сейчас тоже есть варианты как всё самому настроить чтобы блокировки обходить.
П.С. И я понимаю что это наверное уже из разряда паранои, но отдельным корпорациям я доверяю меньше чем отдельным государствам/правительствам. И честно говоря если бы инициатива шла только от гугла, то я бы наверное очень скептически к ней отнёсся. Но Mozilla вроде бы поадекватнее и к ней у меня в этом плане особых претензий нет.
Я думаю они все будут использовать APNIC + Cloudflare dns. Оно быстрее и ресурсов у RIR APNIC больше, чем у Google и Cloudflare вместе. «Но Mozilla вроде бы поадекватнее» — но они же оба с открытым кодом.
Это не возможно. Дело в том, что в случае DoH там 443 порт, причем на ip, который используется и для web ресурсов и который меняется. И трафик не отличим.
Кстати, всякие «аппаратные» адблокеры это случайно не будет «устранять»
Это не возможно. Дело в том, что в случае DoH там 443 порт, причем на ip, который используется и для web ресурсов и который меняется. И трафик не отличим.
Да, это одна из известных проблем DoH.
Вся индустрия «фильтрации через DNS» накрывается медным тазом.
Либо у вас свой роутер, которому вы доверяете, либо внедряйте AdBlock в каждый браузер.
Дядьки решили, что это меньшее из зол
Вся индустрия «фильтрации через DNS» накрывается медным тазом.
Либо у вас свой роутер, которому вы доверяете, либо внедряйте AdBlock в каждый браузер.
Дядьки решили, что это меньшее из зол
Государство и предыдущие вызовы (от challenge) не смогло толком победить. А тут новые прилетают ) Но ничего. Мы за ценой не постоим (ц). Будут еще от 50 млрд потрачены.
Не понимаю, чему тут радоваться?
Т.е. для того, что бы разрозненные локальные интернет-провайдеры не банили вам торенты (без сбора информации о вас или с минимальной доступной), вы готовы добровольно централизованно вливать в крупнейшие инетрнет-шпионы (CloudFlare, Cisco) и рекламные сети (Google) всю информацию о вашем серфинге, причём per browser, что бы у них был максимально полный ваш «электронный портрет»?
Мир сошёл с ума!
PS. Жду анонса, что Facebook запускает свой DoH сервис. А то весь рекламный/BigData пирог переделят без него…
Т.е. для того, что бы разрозненные локальные интернет-провайдеры не банили вам торенты (без сбора информации о вас или с минимальной доступной), вы готовы добровольно централизованно вливать в крупнейшие инетрнет-шпионы (CloudFlare, Cisco) и рекламные сети (Google) всю информацию о вашем серфинге, причём per browser, что бы у них был максимально полный ваш «электронный портрет»?
Мир сошёл с ума!
PS. Жду анонса, что Facebook запускает свой DoH сервис. А то весь рекламный/BigData пирог переделят без него…
Google/CloudFlare DNS как то лучше чем DNS от провайдера и по скорости и по приватности.
У меня ноут на Windows и телефон на Android, браузер Chrome, почта на gmail, Skype…
Гугл и так меня как облупленного знает. А чего не знает Google — знает Microsoft.
Поздно пить Боржоми…
PS Ну и Яндекс уже неплохо меня знает.
PPS Facebook запускает свой Internet! На дронах.
Гугл и так меня как облупленного знает. А чего не знает Google — знает Microsoft.
Поздно пить Боржоми…
PS Ну и Яндекс уже неплохо меня знает.
PPS Facebook запускает свой Internet! На дронах.
Рекламу от гугла можно залочить разными способами и юзать его DNS. Залочить же товарища майора намного сложнее.
Если заблокировать рекламу Google, то он не перестанет следить за пользователем, в т.ч. посредством DNS.
Последствия от слежки сильно разные. Гугловская, хоть и мало приятная, однако почти наверняка останется без последствий. Майорская же, бывает, доходит до реальных сроков. Не считая других, более мелких возможных 'плюшек'.
1. Скольких из ваших друзей, только не виртуальных, а в самом что ни на есть оффлайне, посадил на кукан на основании DNS запроса товарищ майор, скажем, за последний год?
2. Если товарищу майору очень захочется посадить вас на кукан на основании DNS запроса, теперь он возьмёт эту информацию в Гугле, Клаудфларе или Циско, с их содействием или вопреки ему. Теперь вместе с сопутствующей информацией в одном месте, с полным вашим цифровым портретом.
2. Если товарищу майору очень захочется посадить вас на кукан на основании DNS запроса, теперь он возьмёт эту информацию в Гугле, Клаудфларе или Циско, с их содействием или вопреки ему. Теперь вместе с сопутствующей информацией в одном месте, с полным вашим цифровым портретом.
Кто вам не дает поднять свой DoH-сервер где-то в «цифровом офшоре», настроить его в FF / Chrome и не сливать инфу в корпорации? Технология не прибита к ним гвоздями, просто чтобы не сделать ее игрушкой для гиков, by default там сейчас CDN CloudFlare.
Мне, очевидно, и раньше никто не мешал поднять в «цифровом офшоре» обычный DNS-прокси и туннелировать запросы через SSH.
Я говорю о интегрированном в браузер, и включенном по-умолчанию, методе передачи всех ваших DNS-запросов, в дополнение к прочему трекингу, в копилочку ряда мегакорпораций, для тех пользователей, кто радеет за «безопасность», но не в состоянии «поднять что-то где-то в цифровом офшоре».
Я говорю о интегрированном в браузер, и включенном по-умолчанию, методе передачи всех ваших DNS-запросов, в дополнение к прочему трекингу, в копилочку ряда мегакорпораций, для тех пользователей, кто радеет за «безопасность», но не в состоянии «поднять что-то где-то в цифровом офшоре».
Ну очевидно что неосведомлённость об всех тонкостях + не все являются програмистами, хоть и понимают некоторые, что это надо, но КАК?
Мир сошёл с ума!Я не сошёл с ума, поэтому предпочитаю, чтобы обо мне знал CloudFlare, а не провайдер, который сольёт меня по первому запросу из органов. CloudFlare от меня далеко и ничем не угрожает, а органы могут возбудиться на смешной мемасик про церковь или на матерные слова в адрес президента.
Кроме того, Mozilla обещает наблюдать за тем, чтобы CloudFlare соблюдал приватность пользователей DoH-сервера Mozilla, а за моим провайдером разве что товарищ майор в своих интересах наблюдает.
По той же причине я старательно избегаю ГОСТ-овских алгоритмов шифрования.
чтобы CloudFlare соблюдал приватность пользователей
Вы последние лет 5, а то и все 10, проспали в криокамере?
Пролистайте последние новости.
Об «утечках» пользовательских данных менее, чем нескольких десятков миллионов пользователей, уже и стыдно упоминать в новостях.
О «глобальной дыре» любого сервера в виде Intel Management Engine всем набило оскомину и тему замяли в угоду более горячим новостям.
А дядя Трамп победил только благодаря разжёванных Cambridge Analytica больших данных «оттуда» и «отсюда».
Но вы продолжайте верить, что «Mozilla обещает наблюдать»!
И что «органам» это усложнит, а не упростит проверку мемасиков про церковь.
А что может сделать гугл со мной используя эту информацию? Ну максимум покажет контекстную рекламу, которую я, к тому же, и так режу. Вот и всё. А вот что может сделать локальный провайдер, тут сами догадайтесь. Начиная с шага передачи её местным правоохранителям. Хотя какая передача, они же автоматически и так всё получают. Ну и самое забавное, в интернет я хожу гугловским же хромом. Так что они и так в курсе куда я хожу, если захотят, безо всяких лишних телодвижений.
А что может сделать гугл со мной используя эту информацию? Ну максимум покажет контекстную рекламу, которую я, к тому же, и так режу.
Он вам например может "выставить" завышенные цены на определённые товары или услуги, которые вы ищите. Или даже просто начать "скрывать" от вас информацию. Или наоборот показывать что-то другое и необязательно правдивое.
П.С. И я понимаю что это всё скорее из разряда вещей а ля" Чёрное зеркало", но кто его знает что будет через пару десятилетий…
Это не ''черное зеркало'', это называется ''пузырь фильтров''.
Это, конечно, проблема, согласен. Хотя нет, так себе проблемка. Так как по сравнению со другим сценарием она представляет собой скорее неудобство, чем реальную проблему. Скажем, лично я никогда ничего не покупаю дороже десяти баксов без исследования хотя бы трёх независимых альтернатив.
А "независимые альтернативы" вы как находите? А как находите информацию что они действительно независимые? Случайно не с помощью гугла? :)
И я естественно преувеличиваю и мы ещё даже близко не подошли к такой ситуации. Но я уже выше писал что это конечно можно назвать параноей, но отдельным концернам я уже доверяю меньше чем отдельным правительствам.
В чем-то вы правы, но нашему правительству, очень далеко до того, чтобы оказаться в этом списке. Пока Гугл и Ко гораздо меньшее зло, имхо. И как верно заметил red_andr у него есть альтернативы. Пускай они все не идеальны и не идеально независимы, но всё равно, какая-то система сдержек и противовесов работает. Это примерно как на выборах выбирать из трех так себе партий или вообще не выбирать. Ну понимаете
Я всё это понимаю и поэтому и писал в не особо категоричных формулировках. И да, для жителей России гугл это меньшая беда по сравнению с правительством. Но скажем для жителей какой-нибудь Швейцарии скорее наоборот. И в отличии от власти и возможностей швейцарского правительства, власть и возможности гугла растут относительно быстро.
А где пункт опроса «предпочитаю собственный DNS сервер»?
На этой странице вы можете проверить, поддерживает ли ваш браузер ESNI и другие стандарты шифрования.
У меня локально настроен unbound но этот тест ругается, что Secure DNS и Encrypted SNI не работает.
Вот интересно что в конфиг нужно добавить? Не сильно в этом шарю
Заголовок спойлера
server:
access-control: 10.0.0.0/8 allow
access-control: 192.168.0.0/16 allow
access-control: fddd::/48 allow
aggressive-nsec: yes
root-hints: root.hints
trust-anchor-file: "trusted-key.key"
cache-max-ttl: 18000
cache-min-ttl: 300
chroot: /etc/unbound
directory: /etc/unbound
do-ip4: yes
do-ip6: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
interface: 127.0.0.1
interface: ::1
# pidfile: /var/run/local_unbound.pid
port: 53
prefetch-key: yes
prefetch: yes
rrset-roundrobin: yes
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
use-caps-for-id: yes
username: unbound
do-daemonize: no
verbosity: 1
use-syslog: yes
logfile: "/etc/unbound/unbound.log"
remote-control:
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 1.1.1.1@853#one.one.one.one
forward-addr: 8.8.8.8@853#dns.google
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 1.0.0.1@853#one.one.one.one
forward-addr: 8.8.4.4@853#dns.google
forward-addr: 149.112.112.112@853#dns.quad9.net
eSNI можно включить в Firefox, но только, если включить еще и DoH. Но даже так, тест будет ругаться на Secure DNS, если не использовать сервер по-умолчанию (т.е. Cloudflare).
А с чего вы взяли, что Unbound умеет ESNI? Его вообще никто из доступного массам серверного софта на сегодня не умеет.
Поддержка ESNI со стороны DNS не нужна, используется обычная TXT-запись. Или вы о DoH/DoT?
Да, про поддержку ESNI в DNS over TLS (включая HTTPS прослойку) и TLS в общем. Или я неправильно понял?
Все закончится тем, что сделают реестр разрешенных для пользования в РФ доменов (белый список), а все остальное закроют. К этому все идет.
Блокируют по айпишникам, какой прок от шифрования днс для обхода блокировок, неясно. Я врубил дох и есни у себя в браузере и как блочились некоторые сайты с онлайн киношками, так и блочатся.
Сейчас всё это работает в альфа-версии Firefox Nightly.
Вообще-то, уже есть даже в релизной версии, так как появилось достаточно давно. Суть в том, что скоро это будет включено по умолчанию.
1. В России заблокирован стандартный DoH-резолвер, вписанный в Firefox, mozilla.cloudflare-dns.com.
isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com
Один адрес, 104.16.249.249, внесён в реестр для домена ineedusersmore.net (многие провайдеры не будут блокировать другие сайты на этом IP-адресе, но не все).
Второй адрес, 104.16.248.249, внесён уже чисто по IP-адресу, на основании «суд;2-946/13», и доступ к нему должен блокироваться полностью.
Не удивляйтесь, если DoH в Firefox будет работать через раз или не работать вовсе.
2. На данный момент, использование ESNI у многих провайдеров, применяющих DPI, ухудшает доступность сайтов, вопреки ожиданиям.
Причина в отсутствии SNI в пакете TLS ClientHello.
DPI многих провайдеров настроены так, что когда они не могут определить, к какому домену производится доступ, они блокируют соединение, и фактически получается блокировка по IP.
Реестр запрещенных сайтов состоит из следующих элементов:
Пример:
Есть в реестре заблокированный домен w1.mobgo1azino.site, с IP-адресами 104.28.26.13 | 104.28.27.13. Он заблокирован по доменному имени (реестр содержит IP-адреса даже для типа блокировки type=domain).
Вы хотите зайти на незаблокированный сайт bo0om.ru, у которого те же IP-адреса, потому что оба сайта находятся за Cloudflare.
Если вы используете браузер без ESNI, то DPI провайдера увидит, что вы пытаетесь зайти на bo0om.ru по этим IP-адресам, и разрешит соединение.
Если вы будете использовать ESNI, то в TLS ClientHello-пакете не будет поля SNI, и DPI заблокирует ваше соединение.
Пример таких провайдеров:
Я сейчас провожу эксперимент с разной компоновкой пакета TLS ClientHello, с целью обхода DPI для HTTPS. Если кому интересно поучаствовать в тесте — присоединяйтесь.
Также запустил форум для исследователей блокировок и разработчиков программ для обхода цензуры: NTC Community. Давайте соберёмся вместе, чтобы эффективно общаться, делиться новостями, знаниями и идеями.
isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com
Один адрес, 104.16.249.249, внесён в реестр для домена ineedusersmore.net (многие провайдеры не будут блокировать другие сайты на этом IP-адресе, но не все).
Второй адрес, 104.16.248.249, внесён уже чисто по IP-адресу, на основании «суд;2-946/13», и доступ к нему должен блокироваться полностью.
Не удивляйтесь, если DoH в Firefox будет работать через раз или не работать вовсе.
2. На данный момент, использование ESNI у многих провайдеров, применяющих DPI, ухудшает доступность сайтов, вопреки ожиданиям.
Причина в отсутствии SNI в пакете TLS ClientHello.
DPI многих провайдеров настроены так, что когда они не могут определить, к какому домену производится доступ, они блокируют соединение, и фактически получается блокировка по IP.
Реестр запрещенных сайтов состоит из следующих элементов:
- Тип блокировки: default (обычно используется для конкретных HTTP URI), domain, ip
- Домен
- IP-адрес/адреса
- Другая нетехническая информация, вроде судебного решения и органа, добавившего элемент в реестр
Пример:
Есть в реестре заблокированный домен w1.mobgo1azino.site, с IP-адресами 104.28.26.13 | 104.28.27.13. Он заблокирован по доменному имени (реестр содержит IP-адреса даже для типа блокировки type=domain).
Вы хотите зайти на незаблокированный сайт bo0om.ru, у которого те же IP-адреса, потому что оба сайта находятся за Cloudflare.
Если вы используете браузер без ESNI, то DPI провайдера увидит, что вы пытаетесь зайти на bo0om.ru по этим IP-адресам, и разрешит соединение.
Если вы будете использовать ESNI, то в TLS ClientHello-пакете не будет поля SNI, и DPI заблокирует ваше соединение.
Пример таких провайдеров:
Yota
Тис-Диалог
Мегафон
LANTA Ltd
Теле2
OOO KDMS/ IP-Home
Омские Кабельные Сети
LINK-NET/ ЛинкЯ сейчас провожу эксперимент с разной компоновкой пакета TLS ClientHello, с целью обхода DPI для HTTPS. Если кому интересно поучаствовать в тесте — присоединяйтесь.
Также запустил форум для исследователей блокировок и разработчиков программ для обхода цензуры: NTC Community. Давайте соберёмся вместе, чтобы эффективно общаться, делиться новостями, знаниями и идеями.
То есть Firefox собирается без предъявления дополнительного соглашения, хоть какого-нибудь запроса к пользователю начать с дня X передавать всю его приватную информацию о посещении сайтов, в том числе, возможно, составляющую коммерческую тайну, даже из глубин корпоративных интранетов от каждого браузера напрямую третьим лицам?
Они вообще в своём уме? Я не против этой функции — пусть, кто хочет, её включает. Им мало скандала с телеметрией, они по второму разу на те же грабли идут?
Элементарный, достаточно распространённый, пример: обычный корпоративный доступ в Internet. Chrome забанен как spyware, из всех зол выбран Firefox, чтоб минимизировать утечки информации, но при этом не сидеть на IE11. Скажем, идёт тайная подготовка к большой сделке. Десятки или даже сотни сотрудников постоянно обращаются к сайту партнёра по сделке (в том числе, возможно, Extranet-сайту с говорящим названием вроде merger.extranet.companyname.com). Настроена система внутренних кэширующих DNS-серверов, напрямую (без forwarder-ов) идущих по иерархии DNS-серверов от корня. Возможно с партнёром DNS-резолвинг идёт даже через Extranet. Может быть, ещё какие предприняты меры, чтобы спрятать DNS-трафик. В худшем случае, раз, например, в сутки, кэширующий DNS-сервер предприятия шлёт один запрос на резолвинг A-записи домена партнёра, наряду с тысячами таких же запросов по другим сайтам. И тут с понедельника сотни браузеров вдруг превращяются в шпионские устройства и начинают отчитываться в Cloudflare о каждом сотруднике, зашедшем на сайты партнёра. Если бы это было opt-in функцией, то решение принимали бы в самой фирме, мол, так — мы доверяем CloudFlare эту информацию? — Yes/No. Но сейчас ситуация такова, что некогда безопасная программа с дня X становится шпионской, маскируя свои шпионские действия под легальный веб-трафик. Успеют ли админы предотвратить утечку информации тем или иным способом? Это похоже на бег наперегонки с новой 0-day уязвимостью.
Они вообще в своём уме? Я не против этой функции — пусть, кто хочет, её включает. Им мало скандала с телеметрией, они по второму разу на те же грабли идут?
Элементарный, достаточно распространённый, пример: обычный корпоративный доступ в Internet. Chrome забанен как spyware, из всех зол выбран Firefox, чтоб минимизировать утечки информации, но при этом не сидеть на IE11. Скажем, идёт тайная подготовка к большой сделке. Десятки или даже сотни сотрудников постоянно обращаются к сайту партнёра по сделке (в том числе, возможно, Extranet-сайту с говорящим названием вроде merger.extranet.companyname.com). Настроена система внутренних кэширующих DNS-серверов, напрямую (без forwarder-ов) идущих по иерархии DNS-серверов от корня. Возможно с партнёром DNS-резолвинг идёт даже через Extranet. Может быть, ещё какие предприняты меры, чтобы спрятать DNS-трафик. В худшем случае, раз, например, в сутки, кэширующий DNS-сервер предприятия шлёт один запрос на резолвинг A-записи домена партнёра, наряду с тысячами таких же запросов по другим сайтам. И тут с понедельника сотни браузеров вдруг превращяются в шпионские устройства и начинают отчитываться в Cloudflare о каждом сотруднике, зашедшем на сайты партнёра. Если бы это было opt-in функцией, то решение принимали бы в самой фирме, мол, так — мы доверяем CloudFlare эту информацию? — Yes/No. Но сейчас ситуация такова, что некогда безопасная программа с дня X становится шпионской, маскируя свои шпионские действия под легальный веб-трафик. Успеют ли админы предотвратить утечку информации тем или иным способом? Это похоже на бег наперегонки с новой 0-day уязвимостью.
blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default
We plan to gradually roll out DoH in the USA starting in late September. Our plan is to start slowly enabling DoH for a small percentage of users while monitoring for any issues before enabling for a larger audience. If this goes well, we will let you know when we’re ready for 100% deployment. For the moment, we encourage enterprise administrators and parental control providers to check out our config documentation and get in touch with any questions.
We’re also working with providers of parental controls, including ISPs, to add a canary domain to their blocklists. This helps us in situations where the parental controls operate on the network rather than an individual computer. If Firefox determines that our canary domain is blocked, this will indicate that opt-in parental controls are in effect on the network, and Firefox will disable DoH automatically.
Similarly, Firefox will detect whether enterprise policies have been set on the device and will disable DoH in those circumstances. If an enterprise policy explicitly enables DoH, which we think would be awesome, we will also respect that. If you’re a system administrator interested in how to configure enterprise policies, please find documentation here. If you find any bugs, please report them here.
Respect user choice for opt-in parental controls and disable DoH if we detect them;
Respect enterprise configuration and disable DoH unless explicitly enabled by enterprise configuration; and
Fall back to operating system defaults for DNS when split horizon configuration or other DNS issues cause lookup failures.
Я и написал — успеют ли все админы увидеть эту запись в блоге и тем или иным способом предотвратить? В том числе, путём отключения через Group Policy.
Сама по себе «Enterprise Configuration» не появится. Если случайно была необходимость ранее (всего лишь с мая 2018 года, когда это функция появилась!) какую-то настройку по умолчанию изменить именно через этот новый механизм, то, похоже, оно само не включится. А если не успели, а настройки делали каким-то другим образом или вообще на настройках по умолчанию сидели — никакой вы не «Enterprise».
Сама по себе «Enterprise Configuration» не появится. Если случайно была необходимость ранее (всего лишь с мая 2018 года, когда это функция появилась!) какую-то настройку по умолчанию изменить именно через этот новый механизм, то, похоже, оно само не включится. А если не успели, а настройки делали каким-то другим образом или вообще на настройках по умолчанию сидели — никакой вы не «Enterprise».
Я полагаю, что речь об Enterprise Configuration в смысле «компьютер в домене», а не о каких-то настройках конкретно Firefox.
В том самом блоге написано противоположное:
Ссылка на механизм Enterprise Policies, впервые появившийся в мае прошлого года.
Firefox will detect whether enterprise policies have been set on the device and will disable DoH in those circumstances. If an enterprise policy explicitly enables DoH, which we think would be awesome, we will also respect that. If you’re a system administrator interested in how to configure enterprise policies, please find documentation here.
Ссылка на механизм Enterprise Policies, впервые появившийся в мае прошлого года.
Да, в таком случае ваши опасения оправданы.
Еще можно заблокировать домен use-application-dns.net, и тогда DoH не включится.
support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
Еще можно заблокировать домен use-application-dns.net, и тогда DoH не включится.
support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
Если предположить, что такой сценарий возможен для компании X, разве не должна эта самая компания запрещать обновления ПО (браузеров в том числе) без надлежащей проверки этих самых обновлений?
Почему какая-то компания кому-то что-то должна? В каждой компании свои методы поддержки инфраструктуры. Эту функцию вообще не с новой версией включают, а, насколько я понимаю, через механизм studies, начиная с США и далее везде. В текущей версии.
Вопрос не в том, что нельзя успеть предотвратить каким-то образом — можно,ведь «все чертежи, планы и распоряжения о сносе висели на доске объявлений в местном отделении по планированию на Альфе Центавра» если в течении пару недель прочитать блог Mozilla. Просто существовал продукт, который, в отличие от конкурентов, ничего никуда не слал, за что, не в последнюю очередь, его использовали пару десятилетий. Внезапно он превращается в классическое spyware.
Вопрос не в том, что нельзя успеть предотвратить каким-то образом — можно,
Очень странное поведение товарища майора, он сам стимулирует развитие разных скрытных путей доступа к информации. Не эффективнее ли переписать активных посетителей сих неугодных ресурсов и оп?
Объясните мне пожалуйста:
— прописан DNS на сетевом соединении хоста 1.1.1.1, а на роутере 8.8.8.8, какой DNS сервер использоваться будет?
— не прописано никакого DNS сервера на сетевом соединении хоста (типа, использовать DNS провайдера), а на роутере 8.8.8.8. Какой DNS сервер будет использоваться?
— прописанный DNS сервер 1.1.1.1 на хосте, что вообще даёт? Шифрование моих DNS запросов? Шифрование по DOT, или DOH?
— прописан DNS на сетевом соединении хоста 1.1.1.1, а на роутере 8.8.8.8, какой DNS сервер использоваться будет?
— не прописано никакого DNS сервера на сетевом соединении хоста (типа, использовать DNS провайдера), а на роутере 8.8.8.8. Какой DNS сервер будет использоваться?
— прописанный DNS сервер 1.1.1.1 на хосте, что вообще даёт? Шифрование моих DNS запросов? Шифрование по DOT, или DOH?
1 — будет использоваться 1.1.1.1 (если роутер, конечно, не переадресует все пакеты DNS принудительно)
2 — если DNS не прописан, то будет использован тот, который получен через автонастройку (например, по DHCP). Обычно роутеры имеют свой DNS-форвардер и сообщают машинам в сети его адрес, а дальше уже пересылают DNS-запросы дальше, куда настроены.
3 — Ничего не даёт, для шифрования по DoH или DoT нужен специальный DNS-клиент.
2 — если DNS не прописан, то будет использован тот, который получен через автонастройку (например, по DHCP). Обычно роутеры имеют свой DNS-форвардер и сообщают машинам в сети его адрес, а дальше уже пересылают DNS-запросы дальше, куда настроены.
3 — Ничего не даёт, для шифрования по DoH или DoT нужен специальный DNS-клиент.
спасибо
Какой клиент если не секрет?
Их много, я использовал unbound для DNS-over-TLS и stubby для DNS-over-HTTPS. Устанавливается это обычно на роутере дома/в офисе и DNS-форвардер роутера настраивается на апстрим-сервер в лице unbound или stubby.
Ещё пробовал cloudflared от Cloudflare и doh-proxy от Facebook, но остановился на тех, что выше.
Ещё пробовал cloudflared от Cloudflare и doh-proxy от Facebook, но остановился на тех, что выше.
А на Малинку или аналогичный одноплатник можно установить?
Да, у меня как раз так сделано.
Спасибо за информацию.
Ещё такой момент, я просто ещё не знаю, можно ли держать на Малинке сайт и одновременно DNS-клиент?
Ещё такой момент, я просто ещё не знаю, можно ли держать на Малинке сайт и одновременно DNS-клиент?
А что государству мешает обязать провайдеров cloudflare-dns.com/dns-query блочить?
А обоснование какое? Обычно блочат за что-то, или потому что на том же IP есть запрещённый контент.
Если же внаглую заблочить, то выходит 9-й Android, в котором DNS уже работает через гугловский DoH и никак иначе, и все андроиды в стране превращаются в тыкву. DoH разблочивают.
Если же внаглую заблочить, то выходит 9-й Android, в котором DNS уже работает через гугловский DoH и никак иначе, и все андроиды в стране превращаются в тыкву. DoH разблочивают.
Поставим вопрос шире — что мешает государству заблокировать 1.1.1.1/1.0.0.1 прямо вот сейчас?
Sign up to leave a comment.
Firefox и Chrome будут шифровать DNS-запросы и обходить цензуру