Как стать автором
Обновить

Комментарии 25

DoH вручную прописанный у пользователя можно перенаправить на другой сервер (подменить на стороне провайдера)?

DoH вроде как все активнее блокируют по сигнатурам :(

Конечно, с домашнего Микротика зарулить DNS в любом виде зарубеж не проблема. Только вот смысл ведь не в блокировке Google DNS. Тупые блокировки, обходящиеся на уровне "пропишу hosts" уже в прошлом.

Тут явно очередной шаг, чтобы всякие Госуслуги открывались при отключении зарубежных каналов.

DoH вроде как все активнее блокируют по сигнатурам :(
По каким сигнатурам? Это обычный HTTPS. Отловить могут IP адрес или домен, используемый для DoH-сервера. При этом существуют методики (SNI, URL) для того, чтобы обмануть гос. разрушителей.

Тут явно очередной шаг, чтобы всякие Госуслуги открывались при отключении зарубежных каналов.
Нет. Власти это делают перед выборами не просто так. И не просто так во время попыток убить Умное Голосование. Тут именно блокировки. А при отключении зарубежных каналов самими властями Госуслуги — последнее, что их будет интересовать. Если будет надо — ножками в офис.

Пример навскидку: https://appwiki.checkpoint.com/

Конечно, РКН'овские глушилки не на Check Point сделаны, но блокировать DoH именно по особенностям протокола вполне реально.

Про блокирование УмГ - оно, конечно, да, много усилий прикладывают. Но, думаю, от остальных методов (блокировки по URL, SNI, тупо по IP адресам оперативно обновляющимся с Гугловых DNS...) гораздо больше проку. Блокировки "не дадим разрезолвить имя хоста" давно уже не эффективны.

Если внимательно прочитать комментарий сотрудника Checkpoint на их форуме и отдельный пост пользователя, то становится понятно, что блокировать они собрались по IP и/или домену публичных резолверов.

Если резолвинг начнётся с адреса "https://account.google.com/resolve", то РосКомРазрушители себе скорее заднюю точку заблокируют, чем DoH-сервер Google.

Никакой отдельной сигнатуры, насколько я вижу, найдено не было.

Это радует, спасибо! :)

Это не отдельная сигнатура DoH-сервера:
1. IP в SNI может быть и для легитимного сайта, а не только для DoH-сервера.
2. Браузеры стараются для обращения к DoH-серверу использовать домены, а не IP-адреса. Firefox, Chromium.
3. Из-за связи «популярный протокол» + «стандартный порт» + «плавающий IP-адресс» и страха банить важные домены (как google.com), Google при желании блокировку сможет обойти.
Нет. Идёт проверка по сертификату. Если подменить IP адрес — проверка даст сбой и DoH не заработает.
Проверка не сработает в TLS 1.3, там серт зашифрован. Им придется самим запрашивать.
В TLS 1.2 тоже не сработает. Сертификат хоть и не зашифрован, но «сделать свой» или получить приватный ключ «чужого» (от домена) у РКН не выйдет, а значит и с подменённым IP адресом не заработает. Если я что-то упустил, то ответьте более детально, пожалуйста.

Я про фингерпринтинг, конечно им не удасться выдать свой сертификат, они используют просто MGTS субъект.

Странно, почему ICANN стыдливо молчит, не комментируя суверенные выкрутасы? Могли бы хоть немного остудить пыл.

Какой ICANN? Его уже считай нет. А вот NRO высказывалась. Как и собственно RIR-ы. eSNI (ECH) как раз от них атака на нарушителей связности. Как и 1.1.1.1: bgp.he.net/ip/1.1.1.1 (APNIC and Cloudflare), APNIC один из 5 RIRов.

Недавно тут одно чувака выслали из страны в Украину, дак они скандал устроили.

Да в общем-то и так вряд ли кто сомневался в реальности документов на блокировку DNS...

Но в очередной раз подтвердили, что "меры по обеспечению устойчивости интернета" на самом деле меры "по обеспечению возможности отключения страны от интернета".

Параллельно снижая его устойчивость. Ведь сейчас используется всё доступные варианты, а снижая их количество, получаем повышение количества пострадавших, если какой то из рекомендуемых ляжет.

Ну почему же?

Если сейчас рубануть внешний Интернет - даже ресурсы из условного Яндекс.Облака станут мне недоступными, ибо тупо не разрезолвятся хосты.

Если же заранее всех заставить использовать суверенные DNS, что-то да останется доступным.

И вообще, РКН деньги получает отнюдь не за обеспечение доступности гитхаба.

И вообще, РКН деньги получает отнюдь не за обеспечение доступности гитхаба.

А за наличие возможности его заблокировать, угу...

Всё разрезолвится, на граничных точках форвардить трафик в нсди будут, а там уже и кеш и контроль за обновлением кэша из интернета.

Параллельно снижая его устойчивость. Ведь сейчас используется всё доступные варианты, а снижая их количество, получаем повышение количества пострадавших, если какой то из рекомендуемых ляжет.

Так двоемыслие же на марше:

противодействие угрозам = создание угроз
устойчивый интернет = сбои интернета
запрет цензуры = запрет распространения информации в интернете
тайна связи = сдайте все ключи шифрования в ФСБ (информацию в РКН, а записи переговоров и трафика - в Призму Яровой)
свобода информации = белые списки доступных сайтов
не дадим себя отключить от интернета = отключимся от него сами
сертификат УЦ для улучшения защиты = государственная MiTM-атака для перлюстрации трафика
злые иностранцы отключили интернет = отключили интернет собственные же власти
иностранцы создают препятствия рунету = власти заблокировали публичные DNS-серверы

Сервисы Яндекс.DNS под тестовую блокировку не попали.

Сервис ДНС от Яндекса в подметки не годится решениям от CF и Google. У двух мировых лидеров (каждый в своей области) DNS сделан на основе AnyCast, т.е. всегда находится максимально близко с пользователю. Кроме того, CF и Google взаимодействуют с мировыми CDN через EDNS Client Subnet, как следствие CDN (например, Akamai и Apple) корректно определяют локацию пользователя. С Яндексом никто дружить не желает, поэтому CDN (как минимум - вышеназванные) всегда отдают трафик из Москвы, где находится сам ДНС Яндекса.

Поэтому ставить Яндекс.DNS в один ряд с CF и Google некорректно.

Поэтому ставить Яндекс.DNS в один ряд с CF и Google некорректно.

Вы излишне культурны. По факту так: dns Яндекс-а - это кривая шляпа, как впрочем и 90% всего, что эта компания делает.

А вот это вот "провайдер взял и в тестовых целях заблокировал какой-либо адрес" как вообще вяжется с оказанием услуг-то? С какого перепугу они могут в тестовых целях запрещать куда-то доступ?

Ну не провайдер, а госструктура, да и запрет доступа без суда это цензура нарушающая конституцию ситуация. Только есть нюанс, вы пойдёте против госструктуры в другую аффилированную госструктуру защищать свои права за свой счёт и тратить свои средства и нервы? А в случае проигрыша в юстиционном гос органе, что будете делать?

Только есть нюанс, вы пойдёте против госструктуры в другую аффилированную госструктуру
«Нет оснований не доверять сотруднику <подставить название структуры>»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.