Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 122
РосГосФишинг? 😂
Добавить сюда "сертификаты Минцифры", и тот факт, что никто не будет проверять, какой именно сертификат считается доверенным для конкретного сайта.
в точку! если можно убрать адрес, то есть можно и подменить. какой-нибудь Яндекс-"заменитель браузера идентичный натуральному" запросто такое скушает. вот так однажды идёшь на ютюб а попадаешь на рутюб… 🤷🏻♂️
Если в https://habr.com/ru/companies/yandex/articles/655185/ Яндекс написал правду про то как у них реализована поддержка сертификатов Минцифры и реализация не поменялась - то не скушает (ну кроме сайтов которые реально запрашивали себе этот сертификат). Патчи к Chrome у них на github тоже лежат.
А вот Chrome (если эти сертификаты поставить руками) как раз скушает (гугл ж не знает что надо специфическую обработку делать).
Ну и - от Роскомсвободы новость старую смотрим https://roskomsvoboda.org/ru/post/gossertifikaty-tolko-dlya-gosov/ (копия на хабре https://habr.com/ru/news/689078/ ) - там кратко - если вам край надо на сайты где эти сертификаты есть - лучше яндекс чем ставить в систему.
Вопрос с Касперским (и его веб-фильтром) вот более интересен.
Деградация зарубежных серверов заразна, теперь и DNS от Роскомнадзора деградируют. Как уберечь домашний компьютер от этого?
Всем владельцам AS (автономных систем) в конце 2023 пришло требование из ГРЧЦ переключиться на НСДИ, иначе "отключат газ". Провайдеры, предоставляющие телематические услуги, скорее всего по-умолчанию их используют.
Это всё понятно, можно и транзитный трафик завернуть. а где сей час нешифрованный днс используется по умолчанию? я про существование провайдерских днс уже много лет не вспоминал.
Да-да, я вот всё еще не понимаю смысла, хотя прошло сколько лет. Если это "владелец AS" лично себе должен прописать днс на устройстве, то это такое... а если обеспечить что все юзеры в его AS будут только на НСДИ - то "ну вы поняли!"
Черт с ним с домашним компьютером. Самому то как спастись?
Вспомнить мудрость брежневских времен про три выхода из любой безвыходной ситуации.
"Хоть тушкой, хоть чучелом", а третий способ как?
Из любой ситуации есть минимум три выхода: Внуково, Шереметьево и Домодедово
Неправильный и очень старый анекдот. Правильная версия: «Выход есть — „Шереметьево-2“». Потому что только оттуда летали куда надо, когда стало очень плохо.
Я бы отнес это к естественной фольклорной изменчивости - потому как свою версию я слышал на рубеже семидесятых и восьмидесятых.
А Пулково и Толмачево не подходят?
Просто перенесите его в другую юрисдикцию
Это DNS а не какой то там вирус, он не заразит твой пк
8.8.8.8, 8.8.4.4 ?
У Билайна при их DNS-серверах 194.226.144.117, 195.58.1.122 на роутере вот так выдаёт:
Сразу на роутере прописывать гугловве dns
Сразу на роутере прописывать гугловве dns
На практике это не гарантирует безопасности или неизменности запросов. Любое обращение к DNS легко перехватить или подменить на уровне сети: между вашим роутером и сервером могут находиться провайдерские или промежуточные узлы, которые способны изменить ответы.
Если нужно действительно защищённое решение, то стоит использовать DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT), а не полагаться на простой прямой указатель IP сервера DNS на роутере.
Вы звучите, как нейронка =/
Простите, не хотел звучать как нейронка :)
Пишу так уже более 10-ти лет — с абзацами, типографикой, выделением болдом и расшифровкой терминов (особенно медицинских). Если нейросети теперь так же структурируют мысли — значит, это было не зря. Если интересно, могу показать статьи десятилетней давности — стиль тот же. Ничего нового, всё по-старинке.
И длинные тире?
Есть такая привычка — набирать тире через комбинацию alt+0151, сам так делаю.
Блин, я всегда руками вот длинные типе ставлю. И что?
И длинные тире, и ёлочки, и даже знак копирайта ©. А ещё есть типографские раскладки клавиатуры. Сейчас в Windows появилось сочетание Win + -, но мне не нравится, это N-dash, а я привык к M-dash.
Скрытый текст
Моя раскладка с правым альтом для русского языка. А Win+- у меня почему-то не работает. А раньше как и @faraway_lee набирал код. Многоточие до сих пор кодом набираю. Последнее обновление — ₸енге три года назад...
Как, блин, если уже добавил спойлер и загрузил картинку, написать что-то в этом редакторе до спойлера?!
Как, блин, если уже добавил спойлер и загрузил картинку, написать что-то в этом редакторе до спойлера?!
Ввести текст. Создать новый спойлер. Подцепить содержимое предыдущего спойлера мышкой (шесть точек слева), перетащить в новый спойлер. Старый спойлер удалить (три точки справа).
Может кто-то подскажет что-то более эффективное. Я додумался только до такого метода.
Картинку прилагаю
PS: Можно схватить весь спойлер за шесть точек и перетащить. Только что сейчас попробовал. Работает.
Можно схватить весь спойлер за шесть точек и перетащить.
Чёрт возьми, действительно. Я так упорно пытался создать пустое текстовое поле перед спойлером, что не догадался сначала ввести хоть какой-то текст после спойлера, а затем перетащить спойлер вниз или текст вверх, поменяв блоки местами. Неочевидно, но просто, если играть в этот редактор как в текстовый процессор.
Спасибо!
Это не те длинные тире.
Потому что это грамотно! и теперь за грамотность принято обвинять в том что это похоже на нейросеть ;(
PS. А при установке типографской раскладки эти знаки вообще в лёгкую проставляются и через некоторое время уже просто автоматом — не задумываясь.
PPS. + автору текстов с «абзацами, типографикой, выделением болдом» за грамотную речь ;)
Начальное извинение и конечное предложение " Если интересно, могу" тоже нейросетевые! Вот с кого они учились! Образцово-показательный 2medic получается :)
Надо было ответить:
Да, вы правы. Мой стиль действительно может напоминать «нейронный». Сейчас попробую исправить.
...
Теперь лучше? Если есть идеи, как сделать мой стиль более «человечным», просто скажи.
Если на роутере OpenWrt, желательно сделать: opkg install stubby
А потом установить DNS Forwards на: 127.0.0.1#5453
Тогда запросы будут идти через шифрованный DoT, на сервер 1.1.1.1
А вы не поясните, пожалуйста? Я просто после новости про Ютюб сегодня полночи настраивал DoH оставшимся в РФ на Кинетиках (там не всё просто оказалось), и вот сижу смотрю на ваш комментарий стеклянными глазами и пытаюсь понять, а всё ли я сделал как надо.
#Устанавливаем stubby
opkg update && opkg install stubby
#Отключаем присланные DNS провайдера и игнорим /etc/resolv.conf
uci set dhcp.@dnsmasq[0].noresolv="1"
#Делаем stubby резолвером по умолчанию
uci -q delete dhcp.@dnsmasq[0].server
uci add_list dhcp.@dnsmasq[0].server="127.0.0.1#5453"
#Применяем изменения
uci commit dhcp
#Перезагружаем сервисы
service stubby restart
service dnsmasq restart
Если вы настроили DoH, то это даже гораздо лучше, чем stubby c DoT, т.к. последний палится по 853 порту и легок для блокировки. Проверьте https://one.one.one.one/help/ и посмотрите, что в итоге у вас настроено.
Спасибо за пояснения, я рад. На сайте CF конечно же проверял. Везде настраивал CF, Google, Comss.
У меня вот так.
Debug Information Connected to 1.1.1.1 Yes Using DNS over HTTPS (DoH) Yes Using DNS over TLS (DoT) No Using DNS over WARP No AS Name Google LLC AS Number XXXX Cloudflare Data Center AKX Connectivity to Resolver IP Addresses 1.1.1.1 Yes 1.0.0.1 Yes 2606:4700:4700::1111 No 2606:4700:4700::1001 No
MitM днс-запросов? А DoH, DoT к тому же сервису не режутся часом?
У меня режут только DoH к CloudFlare: https://1.1.1.1/dns-query и к Quad9: https://8.8.8.8/dns-query. Для Google: https://8.8.8.8/dns-query пока работает
У меня режут только DoH к CloudFlare: https://1.1.1.1/dns-query и к Quad9: https://8.8.8.8/dns-query.
Да, прямо серьёзно кромсают — со всех четырёх девяток по единице срезали.
Виноват, извините, заблоченный Quad9 выглядит так: https://9.9.9.9/dns-query
У меня гугл тоже режут, как обычный 8.8.8.8, так и DoT/DoH. 1.1.1.1 и 9.9.9.9 - аналогично. Другие не проверял, просто завернул всю троицу в туннель
а спросите про ej.ru :)
провайдеры местами подменяют ответы.
Нихрена не понятно, причём тут их DNS сервера? Вы же конкретный сервер указываете.
Это работает не так, они просто перехватывают ваши DNS-запросы, если они не зашифрованы
уже давно умеют подменять ответы с других dns
в зависимости от того насколько вам повезет - подойдет dns на кастомном порту, либо же полностью уходить в DoH/DoT/DnsCrypt
Некоторые провайдеры уже лет десять как подменяют ответы DNS серверов.
В Роскомнадзоре точно завёлся какой то рационализатор!
Уважаемый @denis-19, не надо валить на провайдеров, что У НИХ пропал из DNS какой-либо домен! Провайдеры обязаны выдавать абонентам сервер НСДИ (или его локальную реплику). Созданием и обслуживанием серверов НСДИ является MSK-IX, но его Вы почему-то не упоминаете!
Сайт действительно не открывается, но мессенджер на удивление зашевелился, даже медиа загружаются. Хотя конечно медленнее чем было. Это без всяких "ускорялок интернета"
Меня больше удивляет почему перед тем как он отвалился совсем, медиа не отправлялись даже с "ускорителями интернета"
Что это значит для обычных пользователей: Это значит что РоскомПозор заботится о компьютерной грамотности населения, подталкивает обучаться сетевым технологиям, таким как VPN и обход защиты. Уже более чем каждый второй пользуется VPN, прогресс на лицо. Раньше только гики пользовались.
Вы считаете, что такими темпами скоро любая кухарка сможет сдать экзамен на сетевого администратора?
Вы считаете, что такими темпами скоро любая кухарка сможет сдать экзамен на сетевого администратора?
Смотря где.
У жены подруга в Штатах, эмигрировавшая туда в 1999, так она жалуется, что не может получить доступ к Госуслугам. На мое предложение поставить из аппстора бесплатный VPN и выбрать российский сервер - говорит, что это, скорее всего, незаконно и ей надо вначале посоветоваться с адвокатом.
Дык технологий много не обязательно ВПН но классно работают вес трафик шифрованный вообще не знаю проблем ни с Ютуб ни с ватсап ни телегой все летает а вот дождаться ответа это другое. В ЕС своим настроил
И на работе групповые чаты и видео звонки файлы все без проблем
Если что-то работает сейчас - это значит у вашего провайдера пока нет оборудования для тотальной бловировки трафика, как только оборудование поставят групповые чаты и видео звонки начнут тормозить как у всех.
Казалось бы, через ТСПУ успешно заблокировали ютуб почти для всех. Зачем нужно было трогать DNS? Чтобы что? Есть у кого-то здесь предположения?
Разгрузить ТСПУ? Но ведь старые блокировки пока никуда не делись...
Или может заблокировать ютуб у тех, у кого по какой-то причине нет ТСПУ, но есть DNS от НСДИ? Звучит сомнительно, как будто бы того не стоит...
раньше замедляли ютюб, а теперь заблокировали, потому что "не хватило мощностей замедлять ютюб и телеграм одновременно"
я не понимаю, как это повлияет.
Те, кто сидит через vpn, разницы не заметят.
Те, кто используют обфускаторы типа zapretа, в худшем случае по инструкции осилят поставить dns 8.8.8.8/one.one.one.one/любой другой.
И смысл?
Смысл в решении проблемы масштаба. Условно 80% отвалятся ещё на этапе DNS, а остальные - на этапе фильтрации, разгрузив тем самым мощности ТСПУ в пять раз.
При нынешней ситуации наверное не в 5 раз, а на 5% разгрузят мощности ТСПУ. Я не думаю что у нас много людей кто не сможет заменить DNS на другой.
Вы не поверите.
Большинство не умеют, особенно пользователи каких-нибудь айфонов. Сейчас рынок мобильных сервисов и мобильного интернета.
Я не думаю что у нас много людей кто не сможет заменить DNS на другой.
Вы правы. У вас в айти-холдинге все могут заменить.
А у нас в образовании, медицине, культуре и лесоохране вопросами DNS не занимается никто. Наши задачи обычно лежат в другой области.
Будет необходимость - научатся.Не нужно быть гением чтобы воспроизвести по шагам готовую инструкцию.
Дело в том, что тех, кто совсем не разбирается, это и не коснется, потому что подавляющее большинство использует vpn. Это уже решение проблемы.
А небольшая часть тех, кто использует zapret, byedpi и т.п., смогут настроить днс хотя бы по инструкции, потому что настройку вышеуказанного ПО они уже осилили.
Но это может быть решением для блокировки "паразитного трафика". Ниже описал.
Скорей всего чтобы разгрузить провайдерские серверы DNS. Дальше уже будут подменять ответы в общедоступных днс по типу гугла, а дальше только белые списки. С впн уже думаю понятно. До чебурнета остались считанные месяцы. Готовимся короче и скачиваем сериал во все тяжкие
если dpi вдруг не сработает - dns не зарезолвит домен, но это правда актуально только против юзеров вообще без средств обхода.
Простите, а использование провайдером кеширующего DNS, может, с собственными доработками - за такое будут штрафовать?
Наверное будут штрафовать, скажут что не выполнили требование по удалению ютуба из DNS записей.
Было такое требование?
Да, все провайдеры обязаны использовать национальную систему доменных имен, то есть DNS-серверы под контролем Роскомнадзора. Чебурнет медленно идет к нам.
Впервые в нормативной базе закреплены три легитимных основания для отключения ТСПУ оператором:
полное прекращение пропуска трафика при соответствии требованиям эксплуатации;
несоответствие параметров проектной документации;
блокировка легального контента.
https://habr.com/ru/news/984470/
Хотел припомнить мол Ютуб легален пока, значит, обходить можно. Но тут-то, получается, не на уровне тспу, а на уровне днс блочат и уже, как бы, не попадает под условие.
Емнип можно сделать кеширующий сервер, который использует скрепный DNS и резолвит некоторые дополнительные вещи.
Вот уроды.
И YouTube.com из российского DNS исключили.
Upd. На МТС TouTube пока работает через ByeByeDPI, как ни странно, работает без проблем (с учётом добавленных конфигов в ByeByeDPI).
Из странного заметил, что временами (например, вечером) в какой-то момент времени степень блокировки по ТСПУ как-будто уменьшается, и даже при включенных средствах обхода на тот же Вотсапп поступают сообщения, которые при отключённых VPN/NoDPI/DNS прокси, до этого не доходили.
Чем ниже KPI, тем глубже DPI.
Это как молдавский вирус: "Заблокируйте себе ютуб самостоятельно, у нас не хватает мощностей".
Не страшно, сам уже 10 лет использую dnscrypt, на провайдерский днс вообще пофиг. С учетом всей слежки в российском интернете, dnscrypt должен быть у каждого, для собственной же безопасности и обхода блокировок по dns. Да и в браузерах сейчас стали внедрять dns over https и dns over tls, поэтому днс от провайдера мало кто использует. Неужели мы дойдем и до блокировок сторонних dns-серверов, не одобренных гебнятским государством?
Я долго держался. Ю-тюб помогал смотреть Zapret, Торренты качать - proxy/vpn в приложении браузера.
Вчера купил VPS, накатил 3x-ui, настроил и раздал Всей семье и родственникам. Пока полет отличный. Все довольны как черти )
как же эти запретители достали блять.
C 3x-ui, в сетях некоторых поставщиков услуг связи, уже началась борьба (Рекламировать их не буду). Точнее блокировка срабатывает по факту подключения к первичной http панели.
VPS доступны сутками, пока не попытаешься начать первичную настройку 3x-ui через http. При использовании https (особенно с реальными сертификатами), после первичной настройки, блокировка доступа к VPS не появляется.
Проще уехать и не мучиться с запретами
Я может чего-то не понимаю, но разве не именно так и должен выглядеть "контент-фильтр здорового человека"? Не DPI, не блокировки подсетей и протоколов, а простой DNS? Госучреждениям, ISP приказываем использовать НСДИ. На личные устройства не лезем.
Существуют семейные фильтры и баннерорезки для защиты своих детей и своих родителей от чего-то там https://dns.yandex.ru/ но нет, население само не справится.
У меня пока так. Провайдер МТС
Хочется подушнить.
оборудование не может связать адреса сайтов с его IP
Очень режет глаза формулировка, какое сетевое оборудование не может связать адреса с IP? В какой момент времени мы начала называть телефоны и компьютера сетевым оборудованием?
А что, разве Роскомнадзор является авторитативным DNS для whatsapp? Или имеется ввиду, что DNS сервера Роскомнадзора перестали резолвить домен whatsapp? Или что то третье?
Каждый уважающий власть россиянин обязан выстрелить себе в ногу.
Если на патроны нет денег - обратитесь в Роскомнадзор и Сбербанк
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Домен мессенджера WhatsApp** пропал из DNS-серверов Роскомнадзора