IT-эксперты: Роскомнадзор тестировал массовую блокировку публичных DNS-сервисов Google и Cloudflare

[Dabraleli]

Использую дома Mikrotik с настроенным DoH на doh.opendns.com. В качестве основного DNS используется 1.1.1.1. Вчера с 22:18 по МСК+2 до 00:18 был недоступен DoH, Mikrotik жаловался на SSL сертификат. Боюсь дальше будет хуже. Может кто-нибудь подскажет способ бороться с такими блокировками, уже судя по всему, и DoH?

[Alexsey]

Заворачивать весь трафик в VPN. Ну или как минимум трафик до DNS серверов. На Mikrotik делается относительно элементарно.

[Dabraleli]

Благодарю. Часть трафика и так избирательно уже заворачивается в VPN. Попробую завернуть туда и DNS. Уточню на будущее, провайдер Дом.ру.

[DaemonGloom]

Дом.ру и раньше трафик DNS заворачивал на себя. Учтите только, что если у вас VPN поднимается по имени, а не по ip — вам необходимо иметь DNS, который будет работать и вне туннеля. Или чуть более хитро настроенную маршрутизацию. Иначе после перезагрузки у вас не будет VPN из-за отсутствия DNS и не будет DNS из-за отсутствия VPN.

[Meklon]

Весь 53 порт туда кидай сразу.

[Silvarum]

Кроме VPN, ещё есть вариант с IPv6, его (пока) не блокируют — для 1.1.1.1 аналогом будет 2606:4700:4700::1111. Но это если провайдер умеет IPv6 (а если не умеет, то можно самому завести через Hurricane Electric)

[Livitin]

Способ бороться есть, только это противоречит существующим законам.

[Dabraleli]

К счастью, пока что частные VPNы не попадают под 276-ФЗ. Я конечно, не юрист, но эта тема уже много раз вроде поднималась. Или вы о другом?

[AADogov]

Ну и куда вы пойдете жаловаться если ваш частный VPN заблокируют?

[loskiq]

а зачем куда-то жаловаться? :)

всегда можно поднять другой частный vpn. и так до тех пор, пока не включат инет по белым спискам.

[n00b1k]

Год назад поднял собственный DNS сервер в локалке и на free Oracle как резервный на основе Pi-hole за 15 минут. Теперь озадачился созданием нескольких VPN серверов по разным стандартам с надеждой что все сразу прибить не смогут и это даст время на маневры.

[skozharinov]

теперь нужен не только свой vpn, но и свой dns

[Anderson]

надеюсь @pokamest_nikak из Amnezia VPN или аналогичные сервисы возьмут на заметку и будут давать настройку виртуалки из коробки

[maledog]

Ну можно же просто dns запросы гонять в внутри vpn. А к vpn подключаться по ip, если он свой.

[MRD000]

Поясните мне пожалуйста, может я что-то не понимаю. Куда можно жаловаться и есть ли в этом смысл когда определенные сайты блокируются государственной системой. Даже если это будет гугл в будущем, к примеру.

[maledog]

Подозреваю, что "в спортлото". Были уже здесь новости, когда люди теряли деньги от ковровых блокировок за компанию с телеграмом и пытались судиться с роскомадзором. Насколько помню это закончилось ничем. Если вы имеете в виду свой сайт и там нет ничего противозаконного, то проще переехать на какой-нибудь крупный хостинг, если из-за блокировок вы не можете куда-то попасть, то самым оптимальным будет купить копеечный хостинг за рубежом и настроить VPN. Сейчас судя по всему рано или поздно прилетает всем более или менее популярным сайтам, хоть пиратам, хоть порносайтам , хоть анимэшникам и даже чисто развлекательным.

[DeymonD]

Все верно.

Но посыл один. Дальше будет хуже.

Как в социальном плане так и в техническом.

Запрещая doh даёт теперь подспорье для возвращения во времена цицирона и В каменный век. Хотели защищаться от мошенников. Но государство возразило. Может уже пора задуматься кто оно - государство?

[ikush]

Смысл, зоны верхнего уровня для своего DNS Вы где будете брать?

[ivanovdev]

Озаботился этим вопросом еще год назад и развернул свой dns в европе с DoT

[nukee]

Вчера работало, не работает сегодня

[ky0]

У нас ещё в ходе прошлой модернизации инфраструктуры введён в эксплуатацию локальный dnscrypt-proxy. Начитавшись последних новостей о борьбе с неправильными DNS-серверами, добавили к стандартному набору резолверов из официального репозитория ещё пару своих, развёрнутых на европейском хостинге и нигде не засвеченных.

Чем чёрт не шутит, вдруг осеннее предвыборное обострение доберётся и до DNSCrypt`а...

[SerjV]

Ну сколько уже говорили, и вот снова нам показывают, что "технические средства противодействия угрозам" ставят не того, чтобы обеспечить устойчивость Рунета в случае, если злобные иностранцы нам провода из-за границы перережут, а чтобы создать "кнопку" отключения Рунета от Интернета.

Кто-то еще верит уверениям властей, что это всё - на самом деле для устойчивости и безопасности?

[Ul3ainee]

Я верю. Это на самом деле для устойчивости и безопасности власти. Представители которой думают, судя по всему, что это ещё и сработает.

[SerjV]

а, ну да. с таким замечанием трудно не согласиться

[aliend]

На удивление «сработало».

Принципиально не буду затрагивать политическую составляющую момента, но если вдруг товарищ «Гоголь» решит нас, то выход есть.

Чуть ниже мой комментарий чувствую полетит в глубокий минус, стоило, наверное, добавить закрывающуюся скобку или тег сарказм, ну да Бог с ним.

Так вот, господа из РКН вполне себе предлагают нам корневые DNS серверы, которые в данном случае оправдали свое предназначение. Что и как с этими серверами будет в дальнейшем, не буду обсуждать по выше обозначенному.

[SerjV]

Да бросьте вы эту лапшу.

Да это еще на этапе законопроекта всё было понятно, что лапша, но… Власти ж уверяют в обратном, и кто-то же до сих пор им верит? Что вон даже опросы проводят, что якобы народ поддерживает цензуру в Интернете…

[Dragon_Lord]

>и кто-то же до сих пор им верит?

Верят. Кто? Ну, к примеру, люди в возрасте/пенсионеры, которые особо-то и в вопросе не разбираются/интернетом не пользуются/может два раза в жизни его видели ...

[Alonerover]

Маловероятно, что прям так уж граждане и верят в заботу буржуинства о народе. Скорее это результат пропагандистского воздействия. Даже беглый взгляд на крупные левые паблики в ВК обнаруживает, что ~20-50% подписчиков этих групп являются элементарными ботами. Причём ботоводы там настолько нагло и топорно работают, что даже невооружённому глазу становится очевидным — градус принятия решений влacтей накручивают вполне себе искусственно.

И применение таких методов явственно говорит за то, что это уже приближение к крайним мерам. После них кранику останется всего один оборот до упора.

[aliend]

Да переходите уже на DNS-серверы 195.208.*.*, хватит изворачиваться . . .

[Glumist]

Сегодня во второй половине дня некоторые сайты не открываются через интернет Билайна.

[Sequoza]

Билайн вообще не работает во второй половине.

[alexEtse]

Сегодня ж была новость про то, что «Блокировки VPN через DPI задели сайты Twitch и протокол Bittorrent», и вот не терпится же РКНу в очередной раз нам напоминают о том, зачем на самом деле нужен «суверенный Интернет». Можно смело повторять то, что под прошлой новостью писалось, теперь и тут…

[nApoBo3]

Вообще странно, что у каких бы то ни было службы есть полномочия блокировать произвольные адреса и интернете или произвольные протоколы без каких либо судебных решений.

[doctorw]

Вас только это смущает и только сейчас? :)

[nApoBo3]

Нет меня смущает не только это. Понятно когда "кривой" суд выносит кривое судебное решение, но на него хотя бы формально можно опереться. Но похоже различные ведомства уже на закон даже оглядываться перестали выдавая инструкции вида я художник я так вижу подчиняйтесь.

[doctorw]

А какая Вам разница лишат Вас доступа без суда сегодня или с кривым судом и кривым решением завтра?

Если закон не соблюдается, то уже не суть важно как он не соблюдается.

[nApoBo3]

Разница достаточно большая, если формальные процедуры сохранены их можно использовать, если они разрушены и работа ведется без оглядки на формальные процедуры их использование невозможно.

При сохранений формальных процедур различные "противообщественные" действия власти значительно затруднены и замедленны, любое подобное решение проводиться через ряд ведомств и судов в каждом из которых есть сроки обжалования, не качественные судебные решения не позволяют их применять против всего подряд, крайне затрудненно действие по ситуации, поскольку ситуация она меняется быстрее чем работает эта машина. Вот нужно вам 19 числа заблокировать youtube, а вы не можете только 19 числа его заблокировать, потому как за три месяца до этого вам нужно начать суд, потом после 19 числа вам нужен еще один суд который отменит первый, итог у вас не будет youtube минимум 1-2 месяца( и это очень оптимистично ), это большие издержки, на этот шаг решиться очень не просто. А вот заблокировать по звонку youtube только на 19, это уже проще, это не страшно, а нужный эффект достигнут, это выводит различные злоупотребления властью на значительно более высокий уровень.

[doctorw]

Я считаю, что проблема в том, что если дана установка гасить, то никакие формальные процедуры Вам не помогут в силу противоречия с установкой.

[nApoBo3]

Это зависит от степени разложения государственной системы и от степени воздействия этого "гасить" на общество в целом.

[i9i6]

когда нужно - суд могут провести хоть в туалете аэропорта через час после появления необходимости. И вступит в действие сразу.

[mocsom]

Это Россия, детка ;-)

[ifap]

У каких-то служб есть полномочия, а какие-то компании, хлебнувшие этих полномочий, не кричат на всех углах о нарушении связности сетей, не подают заявления в органы по признакам диверсии, совершенной группой лиц с использованием служебного положения, а сидят молча и не отсвечивают. Ну разве что рассказывают про боручую борбу с самой страшной DDoS со времен динозавров… В этой истории все друг друга стоят.

[darkAlert]

на выборы вся надежда...
Хотел бы увидеть как бульдозерами давали бы все оборудование РКН

[loderunner84]

Эх. Совсем не оборудование надо давить бульдозерами...

[General_Failure]

В России две беды. И если с первой можно справиться с помощью бульдозеров и катков, то с дорогами придётся повозиться…

[General_Failure]

Сегодня день тестировщика — вот и тестируют чебурнет. К выборам ждём первый релиз.

[iiwabor]

Это все для защиты детей, говорили они...

[Goupil]

И все прекрасно знают чьи это дети и в каких странах они живут.

Но глубинный народ безмолвствует.

[unsweet]

Мне всегда казалось, что такие вещи, как отключение от интернета целой страны должны решаться не в кабинетах кучкой людей, которые, собственно, интернет застали в уже довольно пожилом возрасте и по этой причине относятся к нему, как к чему-то непонятному/необъятному, а значит опасному, а в форме более подобающей демократическому государству. Правда, если данный вопрос вынести на общее голосование, то подавляющее большинство просто покрутит пальцем у виска и скажет: «Уважаемые депутаты, займитесь, пожалуйста, медициной, образованием, дорогами, в конце концов, и не мешайте камням лежать, а людям спокойно жить» и проголосует против. Поэтому им проще исподтишка баловаться с кнопкой, а что там у кого отвалится — дело десятое.

[SerjV]

Мне всегда казалось, что такие вещи, как отключение от интернета целой страны должны решаться не в кабинетах кучкой людей

Так и в Конституции сказано, что источником власти является народ… А по факту кое-кто эту конституцию назвали «оккупационной», и вот имеем что имеем, зато исконно-посконно-суконное.

[MRD000]

Проблема как раз в том, что кто-то кричит только когда его задели. Если задели соседа (или пришли за соседом) - то и ладно, меня то не тронули. Нету общества просто по факту (не будем углубляться почему).

[ifap]

Гугловские DNS стоило заблокировать не в тестовых целях, а навсегда, еще с тех пор, когда эти гнуси начали их прошивать в Андроиде как дефолтные. Хочешь-не хочешь, а рассказывай нам обо всем, куда ходишь. И после этого Роскомпозор — плохой, а Гугл — Корпорация добра. Ага.

[ifap]

Ваше полное право так считать и выбирать, какие DNS использовать.

[bgBrother]

Именно. У вас есть возможность выбирать или гугловый (я против), или любой другой. Вам никто не запрещал. А сейчас появился РКН и делает явный запрет. Из-за этого то он и плохой (с чем вы, как я понял, не согласны).

[ifap]

Выбирать — это когда при первом включении: укажите DNS или используйте наш прекрасный, быстрый, лучший в мире и т.д. А когда втихую без ведома (большинства) пользователей шпионят — за это ссаными тряпками со сторон регулирующих органов, для того они и нужны. РКН плохой, но по другой причине: он делает то же самое, но не в интересах граждан, на деньги которых существует, а группы лиц, которая захватила власть.

[bgBrother]

Выбирать — это когда при первом включении: укажите DNS или используйте наш прекрасный, быстрый, лучший в мире и т.д

В отличии от Firefox, Chrome проверяет умеет ли провайдер в DoH и если бы он это умел, то DoH работал бы в первую очередь с ним, а не с серверами Google. Цитирую:

Браузер будет по умолчанию использовать DoH для провайдера DNS, установленного в систему, при условии, что он поддерживает этот протокол

Кроме этого, интерфейс для смены вам добавили. Самой функции DoH/DoT нельзя было избежать, т.к. иначе всем нужные eSNI/ECH реализовать не получится (без аналогов DoH реализация бессмысленна). Т.е. Google не мог просто взять и оставить всё как есть при том, что провайдер не удосужился поднять свой DoH сервер.

А когда втихую без ведома (большинства) пользователей шпионят

Без ведома пользователя шпионят все крупные телекомы. А потом всем подряд эту информацию продают (в том числе и Гуглу). На этом ловили многих телекомов. Многие телекомы из-за того и против DoH и ECH. Собственно, сам Comcast выступал против этой технологии, а потом решил её же и подключить. Пользователи были недовольны. А русские провайдеры ещё и модифицируют нешифрованый трафик (реклама, подписки, встраивание моб. номера в трафик, MITM анализ СОРМ-2/3). В том числе и DNS.

РКН плохой, но по другой причине: он делает то же самое

Нет! Он делает не то же самое. РКН блокирует, явно запрещая использовать конкретные DNS. Гугл же никакой DNS не запрещал. РКН делает намного хуже. Более того, при DoH даже с «Google DNS по умолчанию» (что явно не так) схема более безопасна, поскольку данные всё равно массово продавались Гуглу и другим, а нешифрованные данные видели вообще все в цепочке сети. Теперь же у пользователя выбор: или только Google + DoH (+ DoH операторов, если настроили), или же любой DoH-сервер и никто кроме него ничего не узнает, или отключить шифрование и каждый в цепочки сети будет видеть всё как и раньше.

Я не люблю Google и избавляюсь от него где могу, но конкретно в этой дискуссии DoH в Chrome плохо не сделал. Сделал плохо именно РКН. Очень плохо.

[ifap]

Вы не забыли, что мы говорим про DNS и «вшивание» гугловских DNS в некоторые версии Андроида? Причем тут Хром? Причем тут Файрфокс?!

Без ведома пользователя шпионят все крупные телекомы.

Так я совсем не против, чтобы РКН рубил все шпионские хосты, а не только гугловские. Вот есть у него черные списки ЦП, вареза, инакомыслящих, с кем он там еще борется — пусть лучше сделает список «телеметрия».

но конкретно в этой дискуссии DoH в Chrome плохо не сделал

Еще раз, я говорил о принудительном и безальтернативном использовании гугловских DNS в Андроид. Что там с Хромом происходит — я не в курсе, трояны сам себе не ставлю. Вот как только Гугл выкатил версию Андроида с hardcoded своими DNS, так РКН и стоило их заблокировать. И раз уж зашла речь — и сервера телеметрии мелкомягких, и мордокниги, и того же Яндекса с его Метрикой. Потому что право одних «собирать информацию о пользователях своего сайта» не перевешивает права других не желать своего «профилирования» со стороны третьих лиц.

[bgBrother]

Вы не забыли, что мы говорим про DNS и «вшивание» гугловских DNS в некоторые версии Андроида? Причем тут Хром? Причем тут Файрфокс?!

Да, из-за знаний о DNS spoofing (MITM) как без указания РКН, так и с ним на протяжении более 9ти лет и невозможности это обойти без шифрования, я и переключился на тему DoH. В этом виноват. Я предполагаю, что «пользователь получил возможность сменить DNS» и предполагал, что «Google получил DNS трафик» с момента появления DoH.

По теме Android — мне не удалось найти информацию о добавлении Google DNS в Android по инициативе Google. Нашлись рассуждения на Reddit с конкретным брендом устройства и начиная с Android 8. Кроме этого — ничего. У вас есть какие-либо доказательства?

Так я совсем не против, чтобы РКН рубил все шпионские хосты, а не только гугловские

Предлагаете РКН заблокировать самого себя, рос. спец. службы, Ростелеком, Мегафон, Билайн и других плохих операторов, использующих, модифицирующих трафик и продающих данные о пользователях брокерам данных, у которых потом покупает Google? Я об этом и писал. Кстати, насколько мне известно, «деанонимизация» осуществляется хешированием отдельных строк перс. данных (включая IP, номер телефона), перебрать которые не составляет труда.

принудительном и безальтернативном использовании гугловских DNS в Андроид

Ещё раз:
1) не доказано, что это инициатива Google, а не бренда устройства;
2) они не принудительные и не безальтернативные, изменить можно на любые другие в настройках WiFi;
3) судя по словам с Реддита, мобильную связь не затрагивает;
4) на момент события DNS spoofing в России уже много лет существовал, но, вы правы в том, что Google получает то, что ранее не получал (осталось узнать кто это ввёл);

Что там с Хромом происходит — я не в курсе, трояны сам себе не ставлю

Я тоже, но информацией обладаю.

Потому что право одних «собирать информацию о пользователях своего сайта» не перевешивает права других не желать своего «профилирования» со стороны третьих лиц

Чтобы минимизировать проблему было введено DoH с шифрованием. Без него кроме владельца сайта информацией обладают все по цепочке сети до ресурса, включая полицию. И вот пришёл РКН, начал блокировать популярные DoH-серверы и будет это делать и с другими, работающими по DoH (т.к. невозможно делать MITM для блокировки) и вы их поддерживаете, параллельно предлагая блокировать ресурс уже тогда, когда ситуация стала лучше, чем прежде (во времена без шифрования, когда информация была у всех). Я всё верно понял?

[ifap]

По теме Android — мне не удалось найти информацию о добавлении Google DNS в Android по инициативе Google. Нашлись рассуждения на Reddit с конкретным брендом устройства и начиная с Android 8. Кроме этого — ничего. У вас есть какие-либо доказательства?

Заканчивая Android 8, с 9 версии бобры выпилили эту «фичу» из-за волн говносрача. Вот на XDA forum.xda-developers.com/t/q-hardcoded-8-8-8-8-and-8-8-4-4.2710710 обсуждают ту же историю. Сам могу подтвердить, что мой Galaxy A7 пытался лезть на гугловские DNS, пока не получил по соплям. Было ли официальное посыпание головы пеплом со стороны Гугла — не помню, помню как общее место: с 9-й версии выпилили.

[bgBrother]

Заканчивая Android 8, с 9 версии бобры выпилили эту «фичу» из-за волн говносрача

Начиная с какой и почему ни я, ни мои знакомые, на это не попали, если это действительно инициатива Google, а не Samsung?

Вот на XDA

Обсуждение в апреле 2014го. Тогда ещё даже Android 5.0 не вышла, а она у меня к Google DNS точно не обращалась.

Было ли официальное посыпание головы пеплом со стороны Гугла

Так и не факт, что это дело Google, а не производителя телефона. Я более чем уверен, что во времена Android 5/5.1 у меня запросы уходили на локальный DNS. Google и не должен посыпать голову пеплом, если это не он. Пока что мы не доказали, что это он.

[ifap]

Я не припомню, чтобы видел заявления именно Гугла по этому поводу, но «Гугл перестал хардкодить свои DNS с 9-й версии» помню как общее место, не требующее доказательств. Кажется, я еще видел это утверждение в английской Вики, но сейчас его там нет.

[Goupil]

Мне тоже неприятно что некий инженер Гугла может иметь доступ к моим личным данным, но справедливости ради, с паяльником, бутылкой и утюгом ко мне придёт не инженер Гугла.

[ifap]

Если Вы не используете ESNI/ECH/VPN, то с паяльником к Вам придет все тот же персонаж, просто еще и инжинер Гугла будет в курсе, за что паяльник. Не надо этого выбора между гигантской клизмой и сэндвичем с дерьмом.

[Goupil]

Выбора не надо, а нужен прагматизм. Мой прагматизм - поменьше дел делать в России. В России родные и берёзки, и банька, и институтские друзья, а работа в других краях.

[ifap]

Это уже другой уровень абстракции, не каждому подходит.

[MRD000]

Главное, чтобы не слишком много человек так сделали. Иначе в том месте, куда они приехали, появится новый РКН.

[dartraiden]

Гугловские DNS стоило заблокировать

Те, кто покушаются на связность сети — вредители. Мотивы вредителей (хоть они и полярные — на одном конце вы с благими намерениями, с другой РКН) значения не имеют, мы все прекрасно знаем, куда вымощена дорога благими намерениями. Стоит только начать что-то блокировать и аппетит придёт во время еды.

Механизм блокировок не должен существовать. Никаких исключений и компромиссов.

[ifap]

Для Вас связность сети — неприкосновенная святыня, для меня — лишь технический термин. Если выбирать между связностью и защитой граждан от шпионажа корпораций, для меня выбор очевиден.

[lonesimba]

А на практике одна корпорация замещается другой. Тогда уж все пакеты шифровать, как в качественных VPN сервисах

[bgBrother]

1. Какая из этих корпораций преследовала и наказывала граждан РФ больше, чем правоохранительные органы РФ?

2. Почему вы не отстаиваете идеи p2p вместо блокировок, чтобы шпионаж властью РФ не был возможен?

[ifap]

1. См. дилему сендвича и клизмы.
2. Почему я должен отстаивать какие-то идеи, или объяснять кому-то, почему я их (предположительно) не отстаиваю?

[bgBrother]

1. Она не отвечает на мой вопрос, а лишь проясняет кто получает данные. Лучше дайте ответ от чьих действий, обладая информацией, граждане пострадали больше. Вы же решаете какую-то проблему, а не сам факт обладания данных. Тем более, что Гугл не может идентифицировать пользователя (видит IP за NAT), а оператор и власть — могут.

2. Потому что вы неизвестно из-за чего решили, что есть выбор только между «связностью» (блокировками) и защитой граждан, тогда как есть и альтернативные пути, когда блокировки не нужны. Если вы позволяете себе указывать, что нужно блокировать и не рассматриваете иные варианты, пытаясь уйти от ответа («почему я должен объяснять»), то это, я считаю, вполне можно расценить как не аргументированную позицию, необъективность и, как заметил, dartraiden, вероятно, вредительство.

[tror76]

«Никаких компромиссов, даже перед лицом Армагеддона» Роршах

[Admz]

Это всё результат пассивности населения и выливания недовольства "на кухнях и форумах". Что сделано для того чтобы такого не случилось? Кто-то свалил из страны, а кто-то установил ВПН: поворчали и успокоились посматривая видосы и играя в онлайн игры.

Мы теперь даже от Гвинеи отстали.

[Serg10]

Я чё то тут подумал. Ну вот запретят нам выплескивать свои эмоции на форумах. Не сработает ли эффект, обратный ожидаемому. Ведь людям нужно где-то высказать свои возмущения. И пойдут люди по улочкам, да по закоулочкам, да с плакатами, а может и чего серьезней прихватят

[Dabraleli]

Чтобы запретить выплескивать эмоции на форумах, нужно запретить интернет в целом. Мне кажется здесь уже и без народа одним только бизнесом вопрос решится.

[Goupil]

Не пойдут. Пассионариев мало, очень жесткий был отбор против них.

[silentiumnoxe]

"Он нам и н**** не нужон, ваш интернет" 😂😂😂

[SharUpOff]

РКН вообще не видит берегов.