Comments 25
DoH вручную прописанный у пользователя можно перенаправить на другой сервер (подменить на стороне провайдера)?
DoH вроде как все активнее блокируют по сигнатурам :(
Конечно, с домашнего Микротика зарулить DNS в любом виде зарубеж не проблема. Только вот смысл ведь не в блокировке Google DNS. Тупые блокировки, обходящиеся на уровне "пропишу hosts" уже в прошлом.
Тут явно очередной шаг, чтобы всякие Госуслуги открывались при отключении зарубежных каналов.
DoH вроде как все активнее блокируют по сигнатурам :(По каким сигнатурам? Это обычный HTTPS. Отловить могут IP адрес или домен, используемый для DoH-сервера. При этом существуют методики (SNI, URL) для того, чтобы обмануть гос. разрушителей.
Тут явно очередной шаг, чтобы всякие Госуслуги открывались при отключении зарубежных каналов.Нет. Власти это делают перед выборами не просто так. И не просто так во время попыток убить Умное Голосование. Тут именно блокировки. А при отключении зарубежных каналов самими властями Госуслуги — последнее, что их будет интересовать. Если будет надо — ножками в офис.
Пример навскидку: https://appwiki.checkpoint.com/

Конечно, РКН'овские глушилки не на Check Point сделаны, но блокировать DoH именно по особенностям протокола вполне реально.
Про блокирование УмГ - оно, конечно, да, много усилий прикладывают. Но, думаю, от остальных методов (блокировки по URL, SNI, тупо по IP адресам оперативно обновляющимся с Гугловых DNS...) гораздо больше проку. Блокировки "не дадим разрезолвить имя хоста" давно уже не эффективны.
Если резолвинг начнётся с адреса "https://account.google.com/resolve", то РосКомРазрушители себе скорее заднюю точку заблокируют, чем DoH-сервер Google.
Никакой отдельной сигнатуры, насколько я вижу, найдено не было.
Это радует, спасибо! :)
1. IP в SNI может быть и для легитимного сайта, а не только для DoH-сервера.
2. Браузеры стараются для обращения к DoH-серверу использовать домены, а не IP-адреса. Firefox, Chromium.
3. Из-за связи «популярный протокол» + «стандартный порт» + «плавающий IP-адресс» и страха банить важные домены (как google.com), Google при желании блокировку сможет обойти.
Странно, почему ICANN стыдливо молчит, не комментируя суверенные выкрутасы? Могли бы хоть немного остудить пыл.
Недавно тут одно чувака выслали из страны в Украину, дак они скандал устроили.
Да в общем-то и так вряд ли кто сомневался в реальности документов на блокировку DNS...
Но в очередной раз подтвердили, что "меры по обеспечению устойчивости интернета" на самом деле меры "по обеспечению возможности отключения страны от интернета".
Ну почему же?
Если сейчас рубануть внешний Интернет - даже ресурсы из условного Яндекс.Облака станут мне недоступными, ибо тупо не разрезолвятся хосты.
Если же заранее всех заставить использовать суверенные DNS, что-то да останется доступным.
И вообще, РКН деньги получает отнюдь не за обеспечение доступности гитхаба.
Параллельно снижая его устойчивость. Ведь сейчас используется всё доступные варианты, а снижая их количество, получаем повышение количества пострадавших, если какой то из рекомендуемых ляжет.
Так двоемыслие же на марше:
противодействие угрозам = создание угроз
устойчивый интернет = сбои интернета
запрет цензуры = запрет распространения информации в интернете
тайна связи = сдайте все ключи шифрования в ФСБ (информацию в РКН, а записи переговоров и трафика - в Призму Яровой)
свобода информации = белые списки доступных сайтов
не дадим себя отключить от интернета = отключимся от него сами
сертификат УЦ для улучшения защиты = государственная MiTM-атака для перлюстрации трафика
злые иностранцы отключили интернет = отключили интернет собственные же власти
иностранцы создают препятствия рунету = власти заблокировали публичные DNS-серверы
Сервисы Яндекс.DNS под тестовую блокировку не попали.
Сервис ДНС от Яндекса в подметки не годится решениям от CF и Google. У двух мировых лидеров (каждый в своей области) DNS сделан на основе AnyCast, т.е. всегда находится максимально близко с пользователю. Кроме того, CF и Google взаимодействуют с мировыми CDN через EDNS Client Subnet, как следствие CDN (например, Akamai и Apple) корректно определяют локацию пользователя. С Яндексом никто дружить не желает, поэтому CDN (как минимум - вышеназванные) всегда отдают трафик из Москвы, где находится сам ДНС Яндекса.
Поэтому ставить Яндекс.DNS в один ряд с CF и Google некорректно.
А вот это вот "провайдер взял и в тестовых целях заблокировал какой-либо адрес" как вообще вяжется с оказанием услуг-то? С какого перепугу они могут в тестовых целях запрещать куда-то доступ?
Ну не провайдер, а госструктура, да и запрет доступа без суда это цензура нарушающая конституцию ситуация. Только есть нюанс, вы пойдёте против госструктуры в другую аффилированную госструктуру защищать свои права за свой счёт и тратить свои средства и нервы? А в случае проигрыша в юстиционном гос органе, что будете делать?
Представитель «Ростелекома»: документы про блокировку публичных DNS — реальные