Комментарии 55
Зато юридическую силу имели все штрафы и предупреждения, которые РКН налагал за отсутствие резолвинга ещё месяц назад. Так что, на месте какого-нибудь провайдера, я бы ждал полных официальных разъяснений, а не отписок типа "отключите резолвинг до 16 числа, мамой клянусь не обижу".
Да, я попал. Из-за HTTPS-ной доменной записи. Пока предупреждение. Но рассмотренное без нашего присутствия на суде. Получили сразу решение. Причём, самое что обидное, мы под прикрытием аплинка по договору. Но с конца прошлого года это РКН волновать перестало. Сейчас штраф до 100 тысяч за КАЖДЫЙ пропуск. Мне проще сразу для клиентов белый список сделать и пошло оно всё в лес. Или лицензию сдать и пусть РТК будет единственным и православным. Всё равно мелкий бизнес реально в вышеуказанном месте видел и сам РКН и ФСБ, собственно. А вы тут — незаконно. Смешно :(
Сочувствую, но думаю, что если пойдете в суд — решение можно будет отменить.
По поводу прикрытия аплинком — это действительно никого не трогает, реализация фильтрации — обязанность лицензиата. Если аплинк был настолько оптимистичен, что в договоре согласился на регресс штрафов — вы можете взыскать сумму выставленного вам штрафа с него. Но это вряд ли.
Засуньте «ревизор» под отдельную машину с фильтром (тот же extfilter, как наиболее простое решение) и вероятность появления проблем упадет существенно.
Почему-то у всех мнение о РКН как о каком-то суперзлодее, который подмял под себя все суды и весь закон. На самом деле, работают такие же люди, так же косячат, так же какие-то суды выигрывают, какие-то проигрывают.
Понятно, что если вы будете Ходорковским, за которым лежит вкусный ЮКОС, вас засудят несмотря ни на что. Но тогда и резолвинг не спасёт :) А для абсолютного большинства операторов в РФ вопросы с РКН решаются вполне успешно. Есть опыт.
Ну и, справедливости для, кто вас заставляет «ревизоры» ставить в общую с клиентами сеть с одинаковыми правилами фильтрации? :)
«требование должно содержать доменное имя сайта в сети „Интернет“, сетевой адрес, указатели страниц сайта в сети „Интернет“, позволяющие идентифицировать такую информацию»
Федеральный закон от 28 декабря 2013 г. N 398-ФЗ
Ну это первое что попалось на глаза по поиску «закон о блокировке»
С резолвингом же есть совершенно прекрасное по формулировке официальное письмо регионального РКН «В соответствии с указаниями ЦА РКН необходимо в срочном порядке обеспечить блокирование запрещённых ресурсов в установленном законодательством порядке, без учёта последних требований „резолвинга“». Из которого вполне прозрачно (во всяком случае, наши юристы радостно захлопали), что резолвинг не входит в установленный законодательством порядок. Правом же самовольно расширять требования законодательства РКН не обладает.
Хых, не умеют российские спецслужбы работать "правильно и тонко". Вон Ассанж выделился с Wiwkileaks и мгновенно получил обвинение… в изнасиловании… от Швеции!!!
Что-вы — никакого загнобления свободы слова… "Онижедемократия". Обычная криминальная бытовуха.
как жаль что законодательство не проходит стадию RFC ^)
P.S. Запомните, слово сол пишется с мягким знаком, а слово тарел
какие последствия
При переполнении TCAM маршрутизатор может начать обрабатывать трафик не на data plane, а на control plane. Это может привести к 100%ной загрузке CPU маршрутизатора и потери части трафика (возможно, большой). Перегрузка CPU теоретически может привести к проблемам с пирингом и выпадением этого маршрутизатора из сети. Учитывая, что магистральные провайдеры как РЕТН обрабатывают большую часть трафика, трафик пойдёт другим маршрутом: либо через другой маршрутизатор (перегрузив, возможно, и его), либо через другого провайдера (где каналы тоже не бесконечны). Что может теоретически привести к каскадному распространению аварии. Т.е., грубо говоря, в России внезапно выключится Интернет.
Я не знаю цифр про запас по объему таблиц маршрутизации, про запас по каналам, есть ли автоматически включаемый fallback вида "при отказе фильтра пустить всё напрямую", поэтому сценарий "грянет" считаю гипотетически возможным. Статью написал для того, чтоб обратить внимание на потенциальную мину в "критической инфраструктуре", подложенную РКН :-)
Классическое "Если что-то может пойти не так, оно пойдёт не так".
Если оставить всё, как сейчас, то это тупо вопрос времени, как и в случае с уже произошедшим инцидентом.
Да, примерно о том и речь.
Стоит отметить, что я сварщик не настоящий, и не очень глубоко разбираюсь в том, как обрабатывается трафик у магистральных провайдеров и как себя ведёт "большое" операторское железо при подобной перегрузке.
как себя ведёт «большое» операторское железо при подобной перегрузке.
Я так думаю что так же как и «маленькое». Например в 2014 году в Америке многие провайдеры просто слегли из-за того что у старого оборудования произошло переполнение BGP таблицы.
Предполагаю, что 99% запросов — запросы от АП Ревизор, установленных у каждого оператора связи
(для проверки — сделайте выборку по user agent в запросах)
Сейчас Ревизоры заняты проверкой белых списков, на блокировки внимания на обращают.
После 16.06 счетчики с запросами на ресурсы из реестра запрещенны сайтов закрутятся снова.
user agent в запросах
Какая-то часть запросов наверняка от Ревизоров, да. Если кто-то хочет погрепать логи, могу отгрузить access.log чтоб посмотреть на HTTP трафик приходящий параллельно с DNS. А про какой user-agent в DNS-запросах речь? :)
А вы смелый человек, раз проделываете такое внутри российской "юрисдикции". Роскомпозор уже начал охоту на ведьм — поиски стрелочников, на которых можно повесить свои косяки (и, например, убытки банков). На данный момент они решили, что это те, кто купил освободившиеся заблокированные домены… Такие исследования и публикации надо делать из под трёх слоёв анонимности. Один мой знакомый попадал под похищение ментами с рабочего места, увоз в наручниках и содержание под арестом в другом городе за куда меньшее "преступление" — обсуждение на форуме потенциальной уязвимости "золотой короны". Да минует вас чаша сия.
Ну, это было довольно давно. Товарищ не был ни каким хацкером, наоборот, был очень увлечён системами банковской безопасности и, по-моему, как раз в одном банке по безопасности работал. Профвопросы обсуждались на каком-то профессиональном форуме. Ну, вот и всплыла тема теоретической уязвимости. А через некоторое время совсем в другом городе корону, вроде, грабанули. Ну, конечно же, двадцатилетний парень внезапно "оказался" организатором банды (вспоминаем Дмитрия Богатова, держателя торовской экзит ноды, внезапно оказавшегося "экстремистом"), менты приехали из другого города, заковали чувака в наручники и, не сообщая никому, увезли в неизвестном направлении. После долгих поисков родня обнаружила его в сизо в не очень соседнем городе. В общем, провёл он в застенках от полугода, изрядно попортил здоровье, на каких условиях его удалось вызволить я не в курсе, но потом он распродавал аппаратуру — биометрические сканнеры и подобное, которыми занимался. Может ушёл из темы, может срулил из дебильного госустройства.
ЗЫ. Я, в общем-то, о том же — автор статьи под своим именем в и российской юрисдикции с практически "признательнымы показаниями". Очень удобная цель для мразей из потребпозора :(
ЗЗЫ. Насколько мне изменяет память, грабанули тогда корону банальным вскрытием банкомата с помощью грузовика, но кого волнуют такие "мелочи"…
вы смелый человек
В ответ могу лишь повторить слова президента: кому суждено быть повешенным, тот не утонет. Большей определённости от будущего ждать сложно.
из-под трёх слоёв анонимности
Надеюсь, что, в случае капитальной аварии магистральных провайдеров, инициатора будут пытаться искать компетентные органы, а не массовые преследователи "политических заключённых".
да минует вас чаша сия
Спасибо.
И уведомление было только по 16-е число, если мне не изменяет память, а значит, после все уж точно вернется на круги своя.
А это в свою очередь означает, что любой сайт, если его нет в белом списке, сможет заблокировать любой школьник.
Да и сам белый список — вещь бесполезная. Всем IT-шникам хорошо известно, что любая JS'ка, любой список отзыва удостоверяющего центра, любой DNS-сервер заблокированный — и сайт уже не работает, даже если сам он в белом списке. И таких «точек отказа» сотни и тысячи. Кстати, корневые серверы зон .ru/.рф/.com в белом списке есть?
Если прочитает кто-то из РКН, то вот вам лайфхак.
Поднимите свой референтный DNS для систем фильтрации провайдеров и Ревизора, и пусть провайдеры пропишут его для резольвинга в соответствующих системах. Это позволит отказаться от белых списков и просто не резольвить домены в те IP, который считаются «белыми». Также можно будет отсечь домены с 2 тысячами A адресов. Со временем можно сделать автоматическую систему мониторинга изменений A/CNAME записей заблокированных доменов, и «подозрительные» отправлять на премодерацию оператору системы. Например если после смены IP открывается совсем другой сайт, или ничего не открывается, и т.п. В общем масса вариантов.
PS: и да, тэги улыбнули.
И грянет страшный русский firewall
И как всегда, бессмысленный и беспощадный…
И грянет страшный русский firewall