Про блокировку ресурсов в Казахстане

    С утра ко мне обратился друг в надежде получить информацию о блокировке интернета, аргументировал тем, что я причастен к передаче данных, а ему недоступен ряд ресурсов.
    Блокировка была вызвана, по всей видимости, беспорядками в городе на западе Казахстана, не хочу и не буду обсуждать легитимность этой блокировки или сами события, но ресурсы недоступны для абонентов подавляющего числа провайдеров в стране.
    Помочь я не мог, потому что мы — не магистральный провайдер, но заинтересовался. В сети народ утверждает, что не работает твиттер, проверяем — не работает, через прокси работает. Ладно, посмотрим что происходит.


    Traceroute нам в руки.

    C:\>tracert twitter.com

    Трассировка маршрута к twitter.com [199.59.148.10]
    с максимальным числом прыжков 30:

    9 56 ms 58 ms 55 ms akto-gate-1.online.kz [92.47.151.170]
    10 * * * Превышен интервал ожидания для запроса.


    Замечательно. Берем не блокированный ресурс. Допустим ieee.org.
    C:\>tracert ieee.org

    Трассировка маршрута к ieee.org [140.98.193.141]
    с максимальным числом прыжков 30:

    10 58 ms 55 ms 58 ms akto-gate-1.online.kz [92.47.151.174]
    11 140 ms 137 ms 129 ms 195.239.3.37
    12 129 ms 131 ms 130 ms 195.126.105.213
    13 132 ms 131 ms 131 ms xe-4-0-2.XT1.FFT1.ALTER.NET [149.227.16.73]
    ...

    Отлично! Трасса прошла через таинственный akto-gate-1.online.kz и ушла в сеть российского Golden Telecom.

    Еще пара экспериментов указывает на проблемы в точках стыка, и только для ряда ресурсов. Ничего нового, таким образом уже несколько лет в Казахстане заблокирован LJ.

    Далее.
    Народ жалуется, что не работает youtube.com.
    Открываю — работает, но не работает ссылка на определенный ролик.
    Это нам говорит о том, что работает система, которая умеет фильтровать по DPI!

    Для наглядности включу wireshark.

    Не работает. Прокси нет.


    Включаю прокси, ссылка работает.


    Каким образом может быть описано правило на DPI. Исходя из опыта работы с этой функциональностью думаю как то так:
    L3: Список IP адресов
    L7: Request URI: /watch?v=ECDZmkWt3lg&feature=player_embedded
    Это сделано для того, чтобы снизить нагрузку на железку, так как фильтровать сначала по IP проще, чем искать во всех пакетах HTTP запрос определенный.

    Чего достигли мои коллеги?
    1) Выполнили указание не знаю кого, и отсекли от информации целевую группу, в беспорядках участвуют обычно те, кто даже слова прокси не слышал. В целом, выполнили свою работу.
    2) Облажались. Закрыли ресурсы таким способом, что сразу видно, где и каким образом выставлен фильтр. Фактически подтвердили установку специального оборудования. И, после этого, официально заявляют, что они не закрывали ничего.

    Дальнейшие выводы делать не буду.

    UPDATE!!! Прошу воздержаться от обсуждения не технической части.

    Комментарии 47

      +17
      Спасибо. Демократия должна знать своих героев.
        +1
        И вообще наравне с точкой входа в интернет надо иметь ещё и точку выхода в нормальных странах и шифрованный канал до неё. Тем более что vps сейчас стоит не дорого. Да иногда получается сильно медленнее, но свободная информация того стоит. В идеале бы ещё стеганографией скрыть сам факт установки шифрованного коннекта, и гонять легитимный не вызывающий подозрения паразитный трафик на котором уже нести полезную информацию.
          0
          «Из пушки по воробьям». Те люди, которые умеют это все делать — в беспорядках чаще всего не участвуют, им проще в другую страну уехать. И не способны они в большинстве взять обрезок трубы, и пойти драться с ОМОН. И даже серьезными мерами их будет очень сложно заблокировать. Как следствие блокировки достаточно примитивные, и не требуют серьезных ресурсов.
          Основную массу отрезают от информации, и хватает.
          –3
          Демократия? Вы знаете что там происходит и чьих это рук дело? Тогда не нужно так писать!
          Там бастуют нефтяники, которые получают больше любого другого казахстанца в несколько раз — 100-200 т.тенге, когда как по всему Казахстану зп в районе 50 т.тенге. Но да ладно, это их требования и их причины, но использовали их для другого — в дестабилизации обстановки. Нефтяники оказались разменной монетой (
          Почитайте, если еще остались мозги — geopolitika.kz/razbor-pol%D1%91tov/poslednee-preduprezhdenie-kto-ugrozhaet-kazachstanu
          +2
          И да, я живу в Москве. Казахстан моя Родина. Я её люблю. И я гражданин России. Так сложилось.
            +8
            Какое отношение слово «демократия» имеет к жизни тоталитарной среднеазиатской сатрапии — Казахстану?
            Или вам просто нравится это слово всюду вворачивать?
              –5
              Вы правы — только звёздно-полосатая олигархия имеет право именоваться «демократией» и сеять её плевелы по всему миру!
            0
            Порой борьба нашего «большого брата» напоминает борьбу Дона Кихота с ветряными мельницами. (Сам так же из страны, где любят баловаться рубильником интернета и заявлять что «сами дураки»)
              0
              Та ладно твиттер… чем им w3.org не угодил?)
                +1
                Загадка. Действительно не работает. Может быть тренировались и убрать забыли?
                  0
                  Трасерт доходит аж до Бостона. Так что тут все несколько сложнее
                    0
                    Видел, но DPI позволяет творить очень многое. Чистой воды легализованная атака MIM. Ну их, пусть развлекаются, надоели уже за несколько лет, если честно.
                • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  как-то не совсем понятно.
                  akto-gate-1.online.kz — единственный гейт на всю страну, что ли?
                    0
                    Нет, есть еще, но не стал загромождать статью длинными трассами. А вообще с гейтами в Казахстане все не очень хорошо, как и с магистралями.
                    0
                    Для пользователей Интернета от Beeline, «счастье заканчивается» на:
                    traceroute: Warning: twitter.com has multiple addresses; using 199.59.148.10
                    traceroute to twitter.com (199.59.148.10), 64 hops max, 52 byte packets

                    4 comp35-129.2day.kz (80.241.35.129) 3.144 ms 4.459 ms 2.255 ms
                    5 46.227.185.233 (46.227.185.233) 5.961 ms 3.504 ms 4.347 ms
                    6 * * *
                      0
                      Пикаса, а точнее весь googleusercontent.com/ из Кустаная не доступен.
                        0
                        Попробуйте с компов использовать Tor ( webplanet.ru/news/security/2005/5/19/tor.html ) или подобные средства.
                        Единичные блокировки можно таким образом обойти.
                          0
                          В большинстве случаев Stealthy помогает, и не надо с Tor заморачиваться.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Да, твиттер заработал нормально, но днем не работал. И ютуб не весь блокирован, а только некоторые ролики (проверял на одном).
                            • НЛО прилетело и опубликовало эту надпись здесь
                            +1
                            А использование Opera Turbo помогает?
                              +2
                              Да
                              0
                              Заблокированный канал ютюба доступен по https — www.youtube.com/user/KplusTV
                              Блокировки в Казахстане сказываются на большинстве интернет-пользователей Кыргызстана, т.к. основные каналы доступа в сеть покупаются у КазахТелекома.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +3
                                  Возможно мои сведения устарели. Но я администрировал высоконагруженное DPI устройство, правда старое, одно из первых, там глубина поиска и формат маски влияли на нагрузку процессоров. Не думаю что алгоритмы сильно изменились, просто железо стало лучше.
                                    0
                                    А можете рассказать что за железки? И что они умеют?
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +2
                                        Самыми производительными в индустрии считаются Allot (якобы перелопачивает до 80Gbps FDX) и Procera Networks (60Gbps FDX). Аллот построен на XLR-процессорах, процера сейчас работает с 6-ядерными xeon. У процеры модуль, обрабатывающий 10Gbps FDX, несёт на борту 2 процессора и 48Gb RAM. Топовый аллот слизан с процеры подчистую, архитектура очень похожая. Более того, аллот использует XLR, от которых процера отказалась ещё год назад. Процера даёт 60Gbps под реальной нагрузкой в виде шейперов, блокировок и прочих свистелок-перделок, а аллот начинает дохнуть где-то с 40Gbps. 80 — это чисто анализ без экшнов.
                                        Про циску с SCE я молчу, 30 гиг, которые они обещают, это HDX, причём без нагрузки, только анализ. Она проседает страшно когда начинаешь ещё мучать. Плюс сигнатуры раз в квартал обновляются, это ни в какие ворота не лезет. Сэндвайн уже сдулся, хотя этот вендор был на заре DPI. Арбор купил эллакою, железка стоит неадекватно и слабая. Китайцы — хз, потестить хуавеевский DPI не удалось, они ныкают этот продукт от всех, хотя и говорят, что он лучший.
                                        Умеют достаточно много чего, в двух словах не рассказать. У меня в черновиках давно лежит недописанная статья про DPI из песочницы, всё никак руки не дойдут её доделать. Скажу лишь, что самая клёвая фишка — это интеграция с операторской OSS и применение персонифицированных правил per-user, динамическое управление ими из личного кабинета и прочее. Как-нибудь допишу:)
                                          0
                                          Можем в соавторстве ;) я имею представление что такое Gx\Gy.
                                            0
                                            Можем попробовать. Предлагаю списаться где-нибудь в конце января, у меня запара сейчас:) Думаю, многим будет интересно. Особенно тем, кто знает, что такое Gx\Gy, т.к. одной из главных целевых аудиторий поставщиков DPI являются мобильщики.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Да кто спорит то? Я наоборот прошу рассказать побольше по возможности, информации такой мало. А с тремя вендорами из перечисленных я работал.
                                      +2
                                      В Казахстане блокируются:
                                      * livejournal.com
                                      * blogger.com (blogspot.com)
                                      * googleusercontent.com
                                        0
                                        Не удивительно что начинает быть актуальным нечто такого плана:
                                        www.eff.org/https-everywhere
                                        По IP, конечно, блокировка закроет сайт, но зато по содержимому сложно будет фильтровать.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +2
                                              Что за дробление народа? Основной митинг запланирован не там!
                                              –1
                                              Дайте кармы. Я не любитель политики, но раскажду что происходит.
                                                0
                                                Если честно, то мой друг работает в нефтяной отрасли Казахстана. У них нефтянка, это не наш газмяс. Там зарплаты не такие как у на наших казмясовцев. Кончено, что зарплаты больше чем в среднем по стране, но не на много, как у нас. Вы много видели в России казахов, которые работают на стройке?????????? Наши каналы пустили это в массы, чтоб затупить то, что у нас твориться. Там поднялись нефтникики из-за зарплаты, как у нас могут поднимались шахтеры, когда им не платили.
                                                +1
                                                Не сочтите за рекламу, но у Кебрума есть бесплатный демо-режим, а как я понимаю VPN решает проблему заблокированных ресурсов.
                                                  0
                                                  Это не для обычных смертных, кто в этом слабо разбирается. А именно таких подавляющее большинство и на них рассчитан такой блок.
                                                    0
                                                    Смотря кого считать обычным смертным. Скачать, установить по методу «Далее-Окей», зарегиться и нажать 1 кнопку сможет большинство пользователей, которые ходят в Интернет потвитить. А обычные смертные в Казахстане думаю вообще в Интернет не ходят, как и подавляющее большинство России.
                                                  0
                                                  Неприятно, что в этот раз и билайновцы прогнулись и заткнули ЖЖ и почему-то Ридус, блогспот работает тем не менее.
                                                  Трасерт таков:

                                                  1 192.168.2.1 (192.168.2.1) 1.336 ms 1.973 ms 2.017 ms
                                                  2 77.74.65.226 (77.74.65.226) 11.963 ms 12.576 ms 13.165 ms
                                                  3 comp43-62.2day.kz (80.241.43.62) 13.627 ms 13.992 ms 14.359 ms
                                                  4 comp35-129.2day.kz (80.241.35.129) 17.321 ms 17.655 ms 18.026 ms
                                                  5 46.227.185.233 (46.227.185.233) 14.682 ms 15.075 ms 15.407 ms
                                                  ...

                                                  дальше должен на голден-телеком скакнуть,

                                                  6 62.141.99.109 (62.141.99.109) 40.526 ms 31.969 ms 432.141 ms

                                                  но остается на узле, принадлежащем TNS-Plus (46.227...)

                                                  Пичалька.

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое