Банхаммером по Амазону. Объяснение блокировок целыми подсетями простым и понятным языком (для чайников™)

  • Tutorial
В данном учебнике даются предельно простые и понятные ответы на следующие вопросы:

  1. Почему Амазон не идёт на сотрудничество с Роскомнадзором?
  2. Сколько стоит постоянный перенос серверов Телеграма на другие IP-адреса внутри облака?
  3. Почему невозможно банить сервисы, хостящиеся на Амазоне, конкретными IP, а не подсетями сразу?

А начнём мы, пожалуй, с такой картинки:



Когда запускаешь свой сервис на Амазоне, обычно это происходит так:

а) настраиваешь какую-то виртуальную машину,
б) устанавливаешь на неё свой сервис,
в) проверяешь, что всё работает, а потом
г) делаешь из неё AMI — полный слепок, образ твоего сервиса вместе с операционной системой и всем прочим, что там есть.

Он сохраняется в облаке, а затем при необходимости очень легко и просто (и, главное, автоматически) тиражируется в любом разумном масштабе с автоматической же донастройкой. На скриншоте как раз приведён интерфейс, в котором задаются некоторые дополнительные настройки для запуска множества экземпляров заранее сконфигурированного слепка.

Стрелочкой отмечена опция «Автоматически назначить внешние IP-адреса для каждого экземпляра».

Так вот. Когда запускаешь свой сервис в большом масштабе, Амазону можно указать, чтобы при определённой нагрузке на процессор виртуальной машины он разворачивал рядом ещё один экземпляр твоего сервиса. Или, например, сразу сто штук. Или не при нагрузке на процессор, а, допустим, при паре сотен одновременно активных сетевых соединений. Таких метрик для автоматического масштабирования очень много, и правила для автозапуска можно настроить тоже довольно гибко.

Посмотрим теперь на такой вот график:



Это аппроксимированное количество одновременно активных пользователей всемирных интернет-сервисов в рабочее время. В Тихом океане почти никто не живёт, в Китае интернет свой собственный, а наибольшее количество пользователей приходится на Европу, и — в особенности — запад США. Это верно почти для любого сервиса со всемирным охватом, хоть Стима, хоть Нетфликса, хоть Википедии, хоть Телеграма.

Как мы видим, разница между максимумом и минимумом раза в полтора. Буквально это значит, что если ты работаешь на весь мир, то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое больше мощностей, чем другую половину суток, когда день в Азии. Вот и настраиваешь себе соответствующие правила автоматического масштабирования, чтобы не тратить процессорное время (и свои деньги — в облаках как нигде время=деньги) понапрасну в то время, когда оно не нужно.

И половина экземпляров твоего сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно услужливо тебе их снова поднимет.

Теперь ответим на вопрос 3). Стрелочка на скриншоте не просто так нарисована. Опция «Автоматически назначить внешние IP-адреса для каждого экземпляра» берёт адреса из доступного пула адресов — Амазону принадлежит несколько миллионов, и ещё несколько он арендует у других владельцев. Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).

И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно. Может быть, тебе, а может быть другому клиенту, который тоже автоматически масштабирует свой сервис, а может и эфемерному экземпляру сервиса самого Амазона. Таким образом, ответ на вопрос 3) тривиален: потому что сегодня этот IP-шник твой, а через пару часов чей-то ещё. Если твой сервис кому-то неугоден, но автоматически масштабируется, то забанить его по IP можно, но только если запретить весь пул.

И на вопрос 2) ответ тоже тривиален: нисколько не стоит. Облако само назначит следующему экземпляру какой-то другой адрес из доступного ему пула, хочешь ты этого или нет.

Теперь про первый вопрос.

Ответ не так очевиден, но попробуем сделать то, что называется educated guess (не знаю, как это лучше сказать по-русски, «предположение на основании опыта», наверное?).

Амазон — это самое старое из больших облаков. Программная обвязка, которая занимается всеми этими автоматическими масштабированиями, написана ещё лет десять назад, и с тех пор работает как часы. Сам гигантский сервис Амазона работает ровно в том же самом облаке. Обвязка эта не сломана, её не надо чинить, а любые изменения, которые пишут люди, имеют риск внесения ошибок. Поэтому фича по изоляции пулов адресов под клиента, если начать её разрабатывать прямо сейчас, займёт до чёртиков времени, и если вдруг приведёт к большим изменениям, то цена возможных последствий будет исчисляться миллиардами долларов. В самом прямом смысле.

И ответ на 1) звучит так: Для Амазона попросту невыгодно переделывать свою инфраструктуру под требования спятившего надзорного органа государства, все клиенты из которого не приносят столько денег, чтобы скомпенсировать возможный риск для самого себя и клиентов из других стран. Звучит жёстко, но это, к сожалению, бизнес.

Кстати, с остальными облаками всё ровно то же самое. Ютюб оказался забаненым потому, что сервисы самого Гугля не отделены от сервисов клиентов Гугля, и работают в том же облачном пространстве с единым пулом адресов. И с сервисами Майкрософта аналогично.

Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…
Поделиться публикацией
Комментарии 149
    0
    Небольшое отличие в том, что у МС указывается регион для каждого инстанса и айпишники жестко привязаны к выбранному региону и уже внутри региона плавают по Availability Zone — группам IP адресов. Конечно же, это решается поднятием инстансов в каждом регионе, коих всего 40 штук (технически чуть меньше, некоторые закрыты для обычных юзеров).
      +1
      Так и отличий и нет. В AWS все тоже самое. Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой. Разве что из одного рядом стоящего датацентра в другой в том же городе или стране(?).
        0
        В документации не расписано, но у aws по факту есть какой-то резервный или мобильный пул, который принадлежит Амазону как регистратору. Адреса из него выделяются в любом регионе, если вдруг заканчивается пул региона. Ну или это так выглядит. Довольно неожиданно может быть.
          +2
          Все можно, в OVH можно арендовать IP из любой страны откуда у них есть IP для одной и той же машины.
            0

            Не совсем так, адреса любые, но выбранного региона. Например, в европейском ДЦ только европейские IP у них.

            0
            > Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой

            Да ладно, прекрасно американские адреса юзаются в европе и наоборот. И radb как irr, вместо ripe, arin, apnic и т.д.
              0

              С тем, чтобы получить route block "из америки" и использовать его "в европе" проблем нет. После того, как блок Вам выделен любым из регистраторов, его можно аннонсировать откуда угодно — никаких ограничений на это нет. Более того, его можно разбить на части и аннонсировать эти части из разных мест.

                0
                Допустим, что клиенту выделили два ип из одной подсети. Один он решил дать серверу в США, другой отдать серверу в Европе. Каким образом это будет работать, если маршрутизация приводит трафик всегда в одно место? У меня есть предположение, что сам AWS может туннелировать/перенаправлять трафик из одного датацентра в другой. Но ведь это доп. расходы.
                  0
                  Выше речь идет не про отдельные IP адреса, а про выделенные блоки. Блок будет маршрутизироваться туда, откуда его анонсируют.
                  А вот IP из этого блока географически разнести без различных туннелей нельзя.
                    0
                    Если заморочится — можно. Блоки они ведь тоже разных размеров бывают, меньшие всегда больший приоритет при роутинге имеют. Опять же один и тот же адрес может присутствовать в таблице маршрутизации несколько раз с разными гетевеями и метриками. Anycast ведь как-то так и работает.
                      0
                      Да, но тут все упирается в то, что у вас никто не примет анонс сети менее /24.
            –22
            Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно.

            Во-первых, если заблокировать, например, весь Амазон (не в курсе так ли это сейчас), то никакие скрипты внутри него блокировку не обойдут. Так что "война с алгоритмами" будет только если блокировать одиночные адреса (и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети).


            Во-вторых, алгоритмы — это вовсе не законы физики. Не приписывайте этим конструкциям ("облакам") каких-то эксклюзивных свойств. Они просто большие и ничего кроме этого. Во всём остальном это всё так же продукт чьего-то организационного решения и чьего-то кодинга.

              +6
              Вы невнимательно читали текст что ли?
                +18
                Нет, он просто на работе.
                  –6
                  Он работает на кремль? И у тебя есть доказательства этого? Или ты балабол?
                    +3
                    Можно я за него отвечу? Мне тоже приятнее думать, что некоторые люди за комментарии получают деньги. И именно поэтому в комментариях бывают проблемы с логикой и прямые противоречия здравому смыслу — для доказательства оплаченной точки зрания. Мне не хочется верить что человек может такое писать на полном серьезе.

                    Это мало относится к firk, он и правда просто пост по диагонали прочитал, похоже.
                      0
                      А лично вас, после одного нашего с вами разговора, я прошу больше никогда со мной в разговор не вступать. Все равно не отвечу.
                    –5
                    Нельзя ли пояснить?
                      +9
                      Проблема не в алгоритмах и облаках. Проблема в том, что РКН — это псих, который за самолётом бегает, пытаясь его сбить граблями.

                      С одной стороны, можно заставить самолёт летать пониже, но проще игнорировать болезного.
                        –2
                        Вы как-то идеализируете облака. На самом деле это просто большая инфосистема, у которой есть ограниченое число точек входа, перекрыть которые физически осуществимая задача. РКН осторожничает. Мог бы на уровне AS решать. А он что-то там выковыривает.
                          +5
                          > Мог бы на уровне AS решать.

                          Не мог бы. Тогда точно всё навернётся, где тогда Димон будет кроссовки покупать?, ему ломать интернет не разрешали, так что из подручных инструментов только грабли. Поэтому РКН и вынужден фигурно вырезать. Хотя, чисто технически, — мог, мог бы и push-сервера гугла забанить. Но не может.

                          > перекрыть которые физически осуществимая задача

                          Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков. Вот наш чебурнет отключить физически от их интернетов, облаков и телеграмов можно. Но, опять же, нельзя.

                          Да и проблема не в облаках, купить IP и развернуть инстанс можно у любого хостера.

                          А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?

                          А если этот образ ботнет подберёт и «у вас запущен прокси телеграма, заплатите нам 1 BTC или вас забанит РКН»?

                          И это мы про p2p и IPv6 не вспоминали.
                            0
                            Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков.
                            Их возражения на физику отключения не влияют. У каждого сервис-провайдера, облачного или приземлённого не важно, конечное число ип (даже если это число большое). Так что, на первом же рутере после границы разворачивать анонсы их систем в блэкхол и, как говорила учительница по математике, теорема доказана.
                              0
                              А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?

                              Кто-нибудь уже предложил Дурову или он сам догадывается об этом веселом варианте?
                    0
                    и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети

                    Только сейчас откатился на бан отдельных айпишников.
                      +3
                      Совершенно верно! Алгоритмы это не законы физики, это — законы математики. Если с физикой еще как-то можно поспорить (высокие давления там, да прочие пограничные условия), то с математекой спорить может только законченый дебил
                        +1

                        Алгоритмы часто базируются на математике, но законами математики не являются. И если уж на то пошло, то на алгоритмы "производимые" отдельными личностями без боли смотреть сложно :)

                          0
                          Не путайте программы и алгоритмы. Все программы написаны людьми, и людьми же могут быть переписаны. В том числе, с использованием других алгоритмов если нынешние оказались под запретом.
                            0
                            Всё-таки вы путаете алгоритмы и законы. Алгоритм — путь до решения задачи. А путей может быть много.
                        –38
                        Амазону достаточно в термсах запретить ставить впн на своем облаке и все. Дуров не рискнет нарушать закон ТАМ.
                        Имхо можете сколько угодно изголятся над РКН, но анонимность и приватность уйдет из интернета, как только нейросети в сети станут неотличимы от живого человека.
                        Я так и вижу будущее, поднял нейросеть где-нибудь на сервере в Бангладеше, натренировал её на нужной выборке и послал в сеть, создавать террористические ячейки. Удобно, дешево и эффективно.
                          +25
                          Обколются своим впном и блокируют друг другу очко!
                            +7
                            Ничего себе у вас там методички забористые. Тут машины ездить полностью безопасно никак не научат, а у вас нейросети уже скоро смогут людей организовывать да тест тьюринга проходить безупречно.

                            Не выглядит это ни удобным (уж очень сложно технически, на данный момент невыполнимо), ни дешево (вычислительная мощность нужная не говоря уже о квалификации специалистов, да еще чтоб они на карандаше у правительства не были), эффективно (на данный момент эффективность нулевая).
                              +1
                              эм суда по тебе и ещё одному перцу тут в комментах у вас свежую дурь на фабрику завезли?)
                                0
                                Амазону достаточно в термсах запретить ставить впн на своем облаке и все.

                                На мой взгляд, в этом нет смысла, так как ВПН требуется очень многим клиентам. То есть это очень востребованная услуга.
                                  0
                                  2035 год выдался переломным. Какая-то шайка скрипт-киддисов дорвалась до заблокированного росимперкомнадзором StackOwerflow и скопипастила оттуда удачный сниппет для тренировки нейросетей. Масштабная атака нацеливалась на очередную ассамблею по правам всех меньшинств, в число коих с недавних пор стали входить и натуралы. Нейронные сети гнали в соц-сети поток мемчиков с фейковых эккаунтов, подбирая последовательность на основе обратной связи из твиттеров и инстаграммов участников ассамблеи.
                                  Эволюционные механизмы, заложенные в основу атакующего ботнета зародили в умах землян саморазмножающийся мемо-вирус, который оказался достаточно живучим, чтобы искоренить здравый смысл на планете. С этого момента в галактическом содружестве принято считать Solar-3 безопасной планетой, населенной жизнью без зачатков самосознания.
                                    –1
                                    Согласен, а еще Амазону стоило бы запретить открывать порты кроме 80 на виртуалках. И специальный бот должен проверять что на 80 порту виртуалка отдает HTTP контент, а иначе виртуалку банят сразу.

                                    Еще лучше бы конечно разрешить запускать только специально созданный амазоном образ виртуалки и запретить пользователю его менять, дабы не вышло чего.
                                      0
                                      В Ольгино, похоже, совсе не пиццы бесплатные на работе дают.
                                        0
                                        террористические ячейки создаются когда очередной идеалист-террорист-тракторист пытается внедрить чистую реализацию одной священной книги, тупо как написано в тексте. Которая находится в белом списке по распространению, несмотря на очень очень экстремистское содержимое.

                                        Номпьютерные нейросети тут ваще не нужны, как и компьютеры. Это операционная система, работающая напрямую в мозгах людей
                                          0
                                          Амазону достаточно в термсах запретить ставить впн на своем облаке и все
                                          Действительно.
                                          Только это упущенная прибыль, которую амазон захочет компенсировать. В состоянии ли РКН заплатить за запрет пользоваться VPN ту сумму, которую затребует один только Амазон? Для одной страны России? Для всех стран мира? А в состоянии ли Амазон точно обнаруживать использование проксирующих и впн сервисов? А если они частные, мелкие, по типу кооперативов принадлежащие физлицам на 10-60 человек пользователей, где все друг друга знают и по принципу круговой поруки будут друг друга оправдывать?
                                          А ведь есть еще и Микрософт и гугл и digital ocean с их облаками.
                                          И облачные провайдеры поменьше.
                                          Имхо ркн денег не хватит честно оплатить свои хотелки даже одному крупному облачному сервису.
                                          Поэтому и продолжают действовать бесчестно, продолжают бороться с ветряными мельницами, раз за разом выставляя всё своё ведомство бездарными идиотами. А заодно и тех, кто подобные меры узаконил и приказал осуществить.

                                          P.S.
                                          Такая "модель кооперативных впн" мне очень напоминает партийные ячейки, которые создавались, например большевиками. Для свержения тогдашнего законного правительства. Так что молодцы, РКН, продолжайте в том же духе.
                                          И, разумеется, это всего лишь моя фантазия. В реальности всё наверняка будет иначе.

                                          0
                                          И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно.

                                          Я плохо знаком с облачными сервисами и вот это вызывает у меня вопросы. Есть мессенджер с сервером и клиентом. Клиент должен подключиться к серверу, но для этого он ведь должен знать адрес этого сервера. А если облако постоянно подставляет серверу мессенджера адрес какой попадется из свободных — как клиент будет узнавать этот адрес?
                                          Ну или пусть это будет очень нагруженный посетителями сайт — нельзя же ему менять случайным образом свой IP каждые несколько часов, записи на серверах DNS просто не будут успевать обновляться.
                                          Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?

                                            +3
                                            Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

                                            DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.
                                              0
                                              Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

                                              Тогда понятно, раз клиент имеет возможность получать адреса другими путями.


                                              DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.

                                              Спасибо. Век живи — век учись :)

                                                0
                                                А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

                                                Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.
                                                Интересно, как проходят пуши, и что нужно, чтобы их заблокировать?
                                                Деклаймер. Я не из РКН, просто интересуюсь технологиями :)
                                                  0

                                                  Есть несколько адресов которые пуши рассылают, если заблокировать их, то пропадут вообще все пуши. Ущерб в деревянных сами считайте от такого.

                                                    –8
                                                    Ущерб — 0. Какую вы критически важную информацию через пуши получаете?
                                                      0

                                                      Если вы не пользуйтесь пушами, то это не значит, что другие такие же. Даже тут немало статей было о том, как использовать пуши в вашем бизнесе.

                                                        0
                                                        Так а в чём метериальный ущерб-то? Функционал пуша всегда дублируется через другие средства.
                                                          +1
                                                          Другие средства денег стоят. Миллион пушей в firebase не стоят ничего, миллион смсок обойдется вам где-то в миллион рублей (сумма взята с первого попавшегося в гугле смс-гейта).
                                                            0
                                                            Зачем смс? Почему не через приложение напрямую?
                                                              +3
                                                              Поднимать свои сервера, высаживать батарейку смартфона работой приложения в фоне? Да вы сами взвоете от разрядки за пять часов в ноль.
                                                                –8
                                                                Еще немного «зачем»: зачем работать приложению в фоне? Если пользователь его прикрыл, так и нечего ему фонить. Следующий раз откроет — посмотрит. Все эти пуши это определёный, не критический, уровень удобства, не более. Если же для вашего приложение это прям критично, то у вас проблемы с архитектурой.
                                                                  +1
                                                                  Да я понимаю, вам уведомления не нужны, либо вы открыли приложение мессенджера и в нём, либо вас нет вообще, и вы конечно же не проч переключать разные мессенджеры только для того чтобы проверить, нет ли там чего нового. Может вам ещё СМС по требованию сделать?
                                                                    –2
                                                                    смс оставьте. оно для посылающего стоит денег, поэтому используют его обдумано.
                                                                      0
                                                                      Мне иногда казалось, что по СМС я получал больше спама, чем по email. Сейчас в спаме один МЧС да сбер с уведомлениями об автоплатеже (обдумано? ни капли), так что сейчас до мыла не дотягивает.
                                                                        0
                                                                        файлы тоже по смс высылать?
                                                                      +2
                                                                      У всех мессенжеров проблемы с архитектурой, похоже.
                                                                        –3
                                                                        а вы отключите пуши, и сразу поймёте, есть проблемы или нет.
                                                                          +3
                                                                          А вы, отключите себе унитаз, это
                                                                          определёный, не критический, уровень удобства, не более.

                                                                          и ходите в лес, или в дырку во дворе, или в речку.
                                                                            0
                                                                            Мне казалось в Андроиде вообще фоновое лазанье в интернете запрещено. Ну, тупо планировщик приложение без пушей будить не будет.
                                                                              +1
                                                                              В новых да, а раньше можно было что угодно делать. Видимо, gto симпатизирует модели андроида 2.1 или около того, когда никаких пушей отродясь не было.
                                                                          0

                                                                          Чтобы не пропустить уведомления (представляете, некоторым оно для работы нужно, а не только для котиков).


                                                                          у вас проблемы с архитектурой

                                                                          Если пользователю нужно держать открытым приложение, которое непрерывно нагружает сервер левыми запросами, то проблема с архитектурой у вас (или вас заморозили 25 лет назад, когда другого способа не было, что не отменяет кривой архитектуры).

                                                                        0
                                                                        в андроид операционка погасит твоё приложение и оно порвёт коннект.

                                                                        Кроме того современные версии андроида насколько помню будут твоё приложение наоборот прессовать в фоновом режиме, упаковывая запуск интентов в блок, который выполняется очень редко, чтобы оно не насиловало сеть и не трогало батарею.

                                                                        Китайские андроиды вообще могут вырубить приложение, которое озверело и держит подключение.

                                                                        Поэтому ты просто потеряешь нормальную работу мобильного приложения.

                                                                        Ну и да, в iOS нет прямого фонового режима, приложение в фоне работать не будет вообще в общем случае. IOS сильно опирается на APN и её поломка вызовет по сути поломку айфонов
                                                                      +3
                                                                      Уведомления от банк-клиента, одноразовые пароли, любые уведомления не через СМС.
                                                                      Пуши являются триггерами для приложений сходить в API и получить порцию свежих данных. С одной стороны — никакого материального ущерба. С другой — деградация функциональности любого приложения так или иначе их использующего.
                                                                      Иногда можно обойтись без пушей — раз в N секунд ходить на сервер с вопросом «есть чо новое?», но это повышенная нагрузка на API и высаживание батареи девайса. Ну либо заходите в свой инстаграм, почту, ВК<подставить название приложения дергающего данные из интернетов> и раз в 5 минут обновляйте ленту сами.
                                                                        +1

                                                                        Например, подтвердения операций в мобильном банке Райффайзена идут через пуши. Переключение на СМС будет прямыми финансовыми затратами, потому что операций очень много

                                                                          0
                                                                          Как пример любая фритуплей игра с пуш-сообщением «Супер акиця, только сегодня купи N золота и получи M золота в подарок». Нет пушей, следовательно меньше покупок, следовательно потери денег. Gorthauer87 вроде не писал что это ущерб для пользователя. И это только один пример, что быстро в голову пришло.
                                                                        0
                                                                        Множество приложений получают уведомления через push, тысячи их, например тот же whatsapp. Если заблокировать все адеса push серверов, на телефон перестанут приходить уведомления от таких приложений.
                                                                          0
                                                                          лягут все мобильные приложения, которые опираются на пуши — а именно банк клиенты, вконтактик, мессенджеры итд. Телега при этом может быть обладает ещё и какой нибудь dht реализацией и может оказаться что после блокировки пушей телега работать будет, а остальное — нет
                                                                            0

                                                                            Банк-клиент, например. Ущерб 0 только для получающих наличку в кассе РКН.


                                                                            Почему не через приложение напрямую?

                                                                            Вы только что заблокировали пуши. Ущерб — разработка приложения, поддержание серверов для постоянного опроса. 0 рублей ущерба — так понимаю вы готовы подарить всё это нуждающимся (подсказка — их много, очень)

                                                                          +1
                                                                          Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.

                                                                          А так же последних новостей, обновлений софта и всего остального, что использует пуши на смартфонах.
                                                                            0
                                                                            адреса сервером они могут по dht узнать
                                                                              0
                                                                              Конечно. От блокировки пушей пострадает всё, кроме ТГ.
                                                                        +1
                                                                        Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?
                                                                        Если не ошибаюсь, то с самого начала существования DNS такие механизмы есть.

                                                                        Например
                                                                        >nslookup google.com
                                                                        ╤хЁтхЁ: UnKnown
                                                                        Address: 192.168.1.1

                                                                        Не заслуживающий доверия ответ:
                                                                        ╚ь : google.com
                                                                        Addresses: 2a00:1450:4010:c0a::8a
                                                                        173.194.221.139
                                                                        173.194.221.138
                                                                        173.194.221.113
                                                                        173.194.221.101
                                                                        173.194.221.100
                                                                        173.194.221.102

                                                                          0
                                                                          Обычно дополнительно подымают экземпляры, которые обрабатывают бизнес-логику, генерят какие-то странички — в общем взаимодействуют с пользователем. Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов. Когда они подымаются — у балансировщика обновляются таблицы балансировки и он начинает распределять запросы по новым экземплярам.
                                                                            0
                                                                            Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов.

                                                                            Да, про подобные механизмы я знаю, но тут достаточно заблочить адрес балансировщика чтобы вес сервис для пользователей пропал.
                                                                            Но и все равно остается вопрос с адресами этих инстансов, которые за спиной балансировщика — он же должен знать их IP. Или их IP должны резолвиться DNS-серверами. А если эти IP будут непредсказуемо меняться несколько раз в день из пула в десятки тысяч, то как это может работать — не представляю.

                                                                              0
                                                                              Да легко. Инстанс поднимается, и сразу пишет свой IP в базу, например, как часть скрипта разморозки. Откуда её и читает балансер. А когда инстанс дохнет, балансер может это прочухать периодическим опросом, например, и вынести запись из базы.
                                                                                0
                                                                                Инстанс поднимается, и сразу пишет свой IP в базу

                                                                                Да, я уже и сам сообразил что-то подобное :) Торможу, спать пора.

                                                                                  0
                                                                                  Это называется Service Discovery
                                                                                0
                                                                                Да легко. Простейший пример — риал (то, что за балансером на HA-языке) может ходить в балансер с токеном и добавлять себя в соответствующий пул сам. Уязвимая схема, конечно, но вариантов autodiscovery достаточно.
                                                                            +3
                                                                            > И ответ на 1) звучит так: Для Амазона попросту невыгодно
                                                                            Почти. Только всё проще — амазону в принципе запрещено санкциями общаться с представителями РКН по каким-либо вопросам.
                                                                              –1
                                                                              Раскажите это ребятам из Zello.
                                                                                0
                                                                                На тот момент санкций не было. Да и не собирался их никто выселять, если внимательно почитать. Перестать скакать по адресам — попросили, да.
                                                                                  0
                                                                                  Мы не знаем подробностей, но звучит вся эта история так, как будто Зелло выпросило себе много Elastic IP и постоянно по ним скакало. Это на самом деле свинство.
                                                                                    0
                                                                                    Так на этот момент тоже санкции только против Жарова, а он же не один там жарит. Тем более мы же говорим не о выселении, а об ощении с РКН. Амазон просто посчитал копеечку и решил не заморачиваться.
                                                                                      0
                                                                                      Санкции распространяются и на подконтрольные людям из последнего списка компании. Почитайте про русал.
                                                                                        0
                                                                                        А РКН уже частная компания что ли? )
                                                                                          +3
                                                                                          на самом деле соль получается в чём… РКН таки надавил на амазон, что бы обезвредить зелло. амазон не знакомы с нашими методами и поэтому подумали что один раз не жалко. РКН же почувствовали слабину, и теперь долбят на постоянке.

                                                                                          амазону не выгодно соглашаться не из за санкций, а из за того что тогда они согласятся с возможностью РКН их шантажировать. экономически и политически санкции тут маловероятно что имеют отношение.
                                                                                  –3
                                                                                  Я бы на месте РКН наоборот заворачивал бы побольше трафика на aws инстасы Телеграма. Как правильно сказано в статье, ресурсы это деньги, а в амазоне, к тому же, не малые.
                                                                                    0
                                                                                    И как это можно было бы сделать?
                                                                                      –1
                                                                                      пакеты на блоке не отбрасывать, а менять получателя. серверам всё-равно прийдётся их получать и обрабатывать.
                                                                                        0
                                                                                        Спуфинг? Это незаконно.
                                                                                          –1
                                                                                          вообще это адресс транслейшн.
                                                                                            0
                                                                                            NAT это когда один адрес внутренний, или приватный, а другой внешний.
                                                                                              –1
                                                                                              нет, NAT это когда клиент пакет с одними адресами собрал, а рутер их на другие поменял (см. DNAT, SNAT, а есть еще PAT).
                                                                                                0
                                                                                                А что тогда? Выдумали какую-то фигню непонятно зачем.
                                                                                                  0
                                                                                                  Вы о чём? NAT, network address translation, замена адресов 3-го уровня. А адреса у нас бывают отправителя (source, поэтому SNAT) и получателя (destination, поэтому DNAT). Такую вот фигню придумали сетевые инженеры на заре интернета, чтобы ipv4 адреса быстро не заканчивались, но не помогло. IPv6, по идее, делает NAT ненужным, кроме особых случаев. Поэтому NAT6 всё-таки еще существует.
                                                                                                    0
                                                                                                    Хорошо. И как это относится к «заворачивал бы побольше трафика на aws инстасы Телеграма»?
                                                                                                      –1
                                                                                                      Менял бы адреса получателя на адреса из as aws на которых были замечаны инстанцы телеграма. Чтобы побольше клиентов подключалось к ним, чтобы телеграмщикам это чуть больше денег стоило.
                                                                                                        +1
                                                                                                        Так это и есть спуфинг. Никто о такой замене не просил.
                                                                                                          –2
                                                                                                          Спуфингом это можно было бы назвать, если бы он на себя замыкал. А так это оптимизация трафика. Ближе к QOS. Этим же ваш провайдер занимается когда ваши локальные адреса в интернет адреса переделывает.
                                                                                                            0
                                                                                                            Я до сих пор не могу понять, к чему всё это, и как оптимизация трафика связана с «побольше трафика на aws инстасы Телеграма». Какой трафик вы собрались туда направлять, с какого перепуга?
                                                                                                              –1
                                                                                                              Ну, давайте разбираться. Оптимизацией трафика это всё дело можно назвать официально. В реале же запросы с телеграм клиентов которые идут на сервера дешёвых провайдеров направлять на адреса инстанций телеграма на амазоне вместо их блокировки.
                                                                                                                +1
                                                                                                                Если бы так легко было определить запросы от ТГ, никто бы не мучился с банами ни в чём не повинных подсетей.
                                                                                                                  –2
                                                                                                                  А чего там мучиться, ставите себе телеграм и ловите конфиги которые он вам присылает и ип из конфигов заворачиваете.
                                                                                                                    +1
                                                                                                                    А чего там мучиться, ставите себе телеграм и ловите конфиги

                                                                                                                    Ставьте себе 10000 экземпляров телеграма, размещайте в разных сетях, настраивайте, заводите 10000 кодов из СМСок… Настроили? Начинайте ловить ;)
                                                                                                                    0
                                                                                                                    То что вы предлагаете, по сути DDOS на гос.уровне. За такое вполне могут инет кабель обрубить со стороны Запада, назначить штрафы, или в свою очередь DDOSить будут критичную инфрастуктуру в РФ (банки, гос.сайты и т.п.) Это по-сути уже полноценная кибервойна будет.
                                                                                                              0
                                                                                                              Странную схему вы придумали.
                                                                                                              Хотите предложить кому-то (не РКН, у него нет этого оборудования) самовольно направить некий траффик по неким адресам.
                                                                                                              То есть хотите, чтобы чьи-то запросы с котиками спамили чьи-то сервера?
                                                                                                                0
                                                                                                                Идея в принуждении к использованию экономически невыгодного варианта. Если развивать идею, то РКН мог бы блокировать всё кроме амазона. Знаете же, что про амазон говорят: «Когда бюджет фирмы в AWS достигает 100к они присылают специалиста, чтобы помочь оптимизировать расходы, когда бюджет достигает 1М они не присылают никого, они знают, что вы уже никуда не денетесь»
                                                                                                                  0
                                                                                                                  А разве у ТГ есть ещё хостинги кроме Амазона? На других хостингах только прокси. То есть нагрузку вы никак не повысите.
                                                                                                          0

                                                                                                          То есть, организовал бы DOS атаку?

                                                                                          0
                                                                                          2019 год, из прессы:
                                                                                          Хакеры из России DOSят сервера Amazon. IP адреса хакеров
                                                                                          принадлежат
                                                                                          допустим, mailru.

                                                                                          Пока что до насколько активных кибервойн еще не дошли.
                                                                                            0

                                                                                            И как это сделать (подсказка — на месте РКН у вас только список для блокировки), провайдерам это тоже не упало, осуществлять DOS самолично — малоэффективно (забанят как досеров и на этом закончится) и можно огрести, т.к. законности ещё меньше, чем в блокировках (прокуратура санкции на хулиганство не давала).

                                                                                            0
                                                                                            то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое меньше мощностей, чем другую половину суток, когда день в Азии.

                                                                                            И половина экземпляров <...> сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно <...> их снова поднимет.

                                                                                            Скажите пожалуйста, здесь, вероятно, ошибка в тексте? Одно другому противоречит, т.к. когда Западное полушарие освещено и максимум количества людей активны, то нужно больше мощностей.
                                                                                              0
                                                                                              Спасибо, сейчас поправлю.
                                                                                              0
                                                                                              Вообще-то Amazon давно уже умеет выделять кастомные пулы адресов под клиента: docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html
                                                                                              Так что техническая возможность изолировать Телегам есть, только с чего бы это им вдруг делать.
                                                                                                +4
                                                                                                При создании VPC создается личный пул с локальными IP адресами. Глобальные IP с акаунтом не связаны, собственно, как там и написано.
                                                                                                  0
                                                                                                  Там же:
                                                                                                  If you require a persistent public IP address allocated to your account that can be assigned to and removed from instances as you require, use an Elastic IP address instead.

                                                                                                  Т.е. есть все необходимые технологии, чтобы окуклиться, это не техническая проблема, как описано в статье.
                                                                                                    0
                                                                                                    Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).

                                                                                                    — это я как раз про Elastic IP говорю.

                                                                                                +1
                                                                                                Есть еще один важный момент, к сожалению упущенный в этой статье.
                                                                                                Теоретически Амазон мог бы выгнать Телеграм и даже пойти на сотрудничество с РКП (как правильно, всё-таки — РК позора или надзора?). Это было бы, на первый взгляд, оправданное бизнес-решение, ориентированное на прибыль — потеря всего российского рынка vs потеря 1 клиента. Так в чём же дело? Дело в репутации. Как бы там не виделось в России, в Америке СМИ играют одну из ключевых ролей и общественное мнение вполне может обратить нынешних клиентов Амазона против самого Амазона, если за Амазоном будет признаны, скажем так, какие-то непопулярные действия. Второе — это вопрос внутрикорпоративной политики. Если в компании изначально постулировались свободомыслие и ориентация на прогресс, очень сложно продолжать мотивировать сотрудников в этом ключе, если дела начнут резко расходиться со словами. Третье. Если американская компания будет уличена в коррупции, или, например, в гонениях на свободу — ее не составит большого труда засудить в американском же суде, несмотря на то, что действия происходили не только на территории США.
                                                                                                Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.
                                                                                                  0
                                                                                                  Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.

                                                                                                  Будут всячески идти наповоду у ркн, лишь бы не потерять рынок. Да и им не в первой являться большим бэкдором для государства
                                                                                                  0
                                                                                                  Объясните чайнику, а какой механизм разблокировки ip и доменов? Ведь доменные имена оплачиваться на год обычно, через год владелец может смениться. Новый владелец должен доказывать что он не верблюд?
                                                                                                  И ещё вопрос. Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?
                                                                                                    0
                                                                                                    Это один из тех моментов, которые не продуманы от слова совсем. Сейчас в блоклисте несколько тысяч доменных имён, которые доступны для регистрации кому угодно. И ими вполне можно так злоупотребить. Другое дело, что большая часть таких доменов в зоне .ru, и регистраторы могут самостоятельно вести какой-то свой реестр и отказывать в делегации. Вероятно, такая практика имеет место.
                                                                                                      0
                                                                                                      Было около года назад — начали массово регистрировать заблокированные домены и указывать в них адреса разных сервисов, заблокировали таким образом много чего, платёжные системы и т.п. В ответ ввели белые списки неприкосновенных.
                                                                                                        +1
                                                                                                        Т.е. все таки белые списки есть, но далеко не для всех, т.к. нет механизма в него включиться?

                                                                                                        И можно так все еще «гасить» конкурентов или тех, кто еще не в белом списке через РКН? Прикольный инструмент.
                                                                                                          0
                                                                                                          Белые списки как ввели так и отменили опосля. Уж не говоря о том что их введение через постановление исполнительного органа (РКН) противоречит формулировке федерального закона, что как бы само по себе говорит об их легитимности.
                                                                                                          Многие провайдеры собственно проигнорировали эти белые списки. Юридической значимости эти постановления против закона не имели.
                                                                                                        0

                                                                                                        А можно, пожалуйста, узнать, как они становятся доступными для регистрации? Ведь DNS записи то остаются или регистраторы при проверке на свободность домена просто спрашивают сервер, который резолвится?

                                                                                                          0
                                                                                                          Когда срок подходит регистратор из своего каталога запись удаляет и домайн становится свободным.
                                                                                                        +2
                                                                                                        Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?

                                                                                                        Именно таким образом в прошлом году клали сервера самого позора, какие-то правительственные в довесок. Брали и прописывали в ДНС заблокированного домена «левые» для этого сервиса ip. После этого и ввели белые списки, насколько помню
                                                                                                        P.S. жми F5 до отправки
                                                                                                        +1
                                                                                                        «Звучит жёстко, но это, к сожалению, бизнес.» — а может к счастью?
                                                                                                          0
                                                                                                          «можно только уйти под землю, чтобы их никогда не видеть…»

                                                                                                          Нет ли тут скрытого призыва похоронить РКН?
                                                                                                            0

                                                                                                            Хуже. Тут призыв сделать [РосКомНадзор] РКН-у.

                                                                                                            –2
                                                                                                            Кто не захочет терять деньги на рашен трафике — скорей всего это будут русскоязычные сервисы уйдет и не будет платить за хостинг амазону и гуглу, альтернтив хостингов и дата центров много в мире которые дают один айпишник одному владельцу.И все будет работать.Не вижу проблем.
                                                                                                              –22
                                                                                                              Последний абзац вообще некорректен. РКН воюет против деструктивной деятельности на территории вашего же государства. Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах. В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа. И возможность забрать личную переписку граждан РФ у АНБ США просто исчезнет. Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране? Или вы уверены что американском ПО нету закладок скрытно отправляющих секретный ключ по нужному адресу при установлении сессии? Или вот нечаянно вы обсудили что-то важное для страны, и вы уверены что завтра его не получат США и не используют против страны?
                                                                                                                +9
                                                                                                                Я сегодня ехал и полиция останавливала многих. Но один на белом Х6 с номером 007 только открыл дверцу, закрыл и поехал дальше. Вот такой товарищ имеет право, а точнее возможность купить ВСЮ вашу переписку и разговоры. А завтра ваш бизнес становится его дочерней структурой. В США всё немного сложнее, там законы работают
                                                                                                                  0
                                                                                                                  Вы знаете, если вы обсудите что-то важное даже внутри страны, это можно будет использовать против вас. Потому что это что-то, например, находится в списке информации защищаемой государством, но список этот тоже является секретной информацией, к которой у вас доступа нет.
                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                      +1
                                                                                                                      Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах.
                                                                                                                      По мне Telegram и так вполне российский. Другое дело, что вести бизнес в России часто бывает небезопасно. Как российскому пользователю, мне спокойней, когда мои данные хранятся подальше от наших датацентров.
                                                                                                                      В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа.
                                                                                                                      ФСБ нам долгие годы всячески показывала, что́ они на самом деле считают своей работой (внезапно, это ни разу не жизни и безопасность людей).
                                                                                                                      Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране?
                                                                                                                      АНБ действительно занимается разными непотребствами, народу это не нравится, с ними судятся. Спецслужбы любят распускать руки, а общество должно давать им по рукам. Для этого, в частности, и нужны независимые суд, СМИ и прочие демократические инструменты. Проблема (наша) в том, что в США они как-то работают, а у нас — нет. :-(
                                                                                                                        +3
                                                                                                                        Проблема (наша) в том, что в США они как-то работают, а у нас — нет.

                                                                                                                        в США они не как-то, а вполне четко работают потому что власть сменяемая и, как следствие, руководство служб — сменяемое. Если вы думаете, что тут не бывает коррупции, то сильно ошибаетесь — бывает. Вот до Джулиани в НьюЙорке чёрти-что творилось. Но пришел Джулиани, т.е. власть в очередной раз сменилась, и всех перетрясли. А Джулиани, вписав себя в историю, а дальше вовсе не остался сидеть. После него уже был Блумберг, сейчас — Деблазио.
                                                                                                                        Это всё не данность свыше, не добрая воля властей. Будь на то их воля — они, не исключено, никуда бы не уходили. Всё дело в традициях, в системе и, главное, в упорстве народа отстаивать эту систему, гарантирующую ему свободы, а стране — порядок. К примеру, сейчас набирает силу волна против NRA. Похоже, не за горами более жесткий контроль за оружием. Во всяком случае, молодежь активно этого добивается. Митинги недавно в DC были — под полмиллиона.
                                                                                                                        В России принято ждать милости властей. Это другая традиция, не имеющая ничего общего со свободами. Отюда и результат. И в этои и проблема.
                                                                                                                        В 91м, я прекрасно помню это время в Москве, мне кажется переворот совершился не потому, что народ хотел свобод. А потому что ГКЧП не обладало сакральной легитимностью в глазах народа. Народ был возмущен этой подменой. Подмену смели. Ельцин, наоборот, смог набрать такю легитимность, но народ, подарив ему власть, успокоился и перестал следить за происходяшим перерождением. А перерождение было на лицо — расстрел парламента, фальсификации выборов, кризис, никакая борьба с коррупцией, и наконец, преемник. Ни в один из этих ключевых моментов народ, по сути, ни проронил ни слова, за исключением, пожалуй, расстрела парламента, но и этот голос был слишком слаб.
                                                                                                                        Есть русская пословица — каждый народ имеет ту власть, которая его имеет. Так вот в Штатах это совсем не так — вот и вся разница. Не давайте себя поиметь. И будет всё хорошо.
                                                                                                                        +1
                                                                                                                        Страннаая идея. Мы разбомбим этот город чтобы его не разбомбил враг. Враг, при этом, может и вовсе не в курсе что он собирался что-то бомбить. В общем с такими друзьями враги не нужны.
                                                                                                                          +1

                                                                                                                          У вас почуму-то вместо "ведёт деструктивную деятельность" получилось "борется". T9?

                                                                                                                          0
                                                                                                                          educated guess — эмпирический опыт
                                                                                                                          не?
                                                                                                                            0
                                                                                                                            эмпирический опыт — тавтология. тут скорее компетентная догадка, хотя как-то не по-русски звучит.
                                                                                                                              +3
                                                                                                                              По русски — «научный тык».
                                                                                                                            +1
                                                                                                                            Возможно кому-нибудь будет интересно, составил список заблокированных и не заблокированных подсетей амазона, с группировкой по локации и сервису.
                                                                                                                              0
                                                                                                                              Очень интересно. Схоронил в таблице маршрутизации роутера. Расскажите, как именно составляли пожалуйста.
                                                                                                                                0
                                                                                                                                Адреса сетей амазона взял отсюда, список заблокированного отсюда, и применил к ним магию.
                                                                                                                              +1
                                                                                                                              Ксеркс 1 высек море потому что шторм утопил переправлявшиеся войска. Роскомнадзор пытается отменить (плюёт в ) облака потому что несколько капель воды из этого облака отказались упасть на землю перед ним.
                                                                                                                                +1
                                                                                                                                Хорошее логичное объяснение, спасибо. Тем временем в интернет я уже выхожу через VPN потому что у меня уже накопился список любимых сайтов, который пал под ковровыми ударами РКН по площади Амазона.
                                                                                                                                  +1
                                                                                                                                  Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…


                                                                                                                                  Из легенды о персидском царе Ксерксе, который в 480—479 гг. до н. э. возглавил поход персов в Грецию, окончившийся поражением. Когда готовилось сражение при Саламине, Ксеркс приказал устроить понтонный мост, чтобы скорее перебросить свои воинские силы к месту битвы. Но поднялся ветер, мост был разрушен. Разъяренный царь приказал наказать море, и персидские палачи, бывшие при войске, высекли морскую воду. Море было «наказано».

                                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                  Самое читаемое