Развёрнутый ответ на комментарий, а также немного о жизни провайдеров в РФ

Сподвиг меня на этот пост вот этот вот комментарий.

Привожу его здесь:
kaleman сегодня в 18:53

Меня сегодня порадовал провайдер. Вместе с обновление системы блокирования сайтов, у него под бан попал почтовик mail.ru. С утра дергаю техподдержку, ничего сделать не могут. Провайдер маленький, и блокируют видимо вышестоящие провайдеры. Еще заметил замедление открытие всех сайтов, может какое-то кривое DLP навесили? Раньше никаких проблем с доступом не было. Уничтожение рунета идет прямо на моих глазах…
Дело в том, что, похоже, мы и есть тот самый провайдер :(

И действительно, kaleman почти угадал с причиной проблем с mail.ru (хотя мы долго отказывались верить в подобное).

Дальнейшее будет разделено на две части:

  1. причины наших сегодняшних проблем с mail.ru и увлекательный квест по их поиску
  2. существование ISP в сегодняшних реалиях, стабильность суверенного рунета.

Проблемы с доступностью mail.ru


Ох, это довольно долгая история.

Дело в том, что для реализации требований государства (подробнее во второй части) нами было приобретено, настроено, установлено некоторое оборудование — как для фильтрации запрещённых ресурсов, так и для осуществления NAT-трансляций абонентов.

Некоторое время назад мы наконец перестроили ядро сети таким образом, чтобы весь трафик абонентов проходил через это оборудование строго в нужном направлении.

Несколько дней назад включили на нём фильтрацию запрещёнки (одновременно оставив работать и старую систему) — с виду всё прошло хорошо.

Далее — постепенно стали включать для разных частей абонентов NAT на этом оборудовании. С виду — тоже всё, вроде бы, пошло неплохо.

Но сегодня, включив на оборудовании NAT для очередной части абонентов — с самого утра столкнулись с приличным количеством жалоб о недоступности или частичной доступности mail.ru и других ресурсов Mail Ru Group.

Стали проверять: что-то где-то иногда, изредка шлёт TCP RST в ответ на запросы исключительно к сетям mail.ru. Более того — шлёт неверно сгенерированный (без ACK), явно искусственный TCP RST. Примерно так это выглядело:

image

image

image

Естественно, первые мысли были о новом оборудовании: страшный DPI, доверия к нему никакого, мало ли что он может учудить — ведь TCP RST — это довольно распространённая штука среди средств блокировок.

Предположение kaleman о том, что фильтрует кто-то «вышестоящий», мы тоже выдвинули — но тут же отбросили.

Во-первых, у нас достаточно вменяемые аплинки, чтобы подобным не страдать :)

Во-вторых, мы подключены к нескольким IX в Москве, и трафик до mail.ru идёт именно через них — а уж у них нет ни обязанностей, ни какого-либо другого мотива фильтровать трафик.

Следующая половина дня была потрачена на то, что обычно называют шаманством — вместе с вендором оборудования, за что им спасибо, не бросили :)

  • полностью отключалась фильтрация
  • отключался NAT по новой схеме
  • тестовый ПК выносился в отдельный изолированный пул
  • менялась IP-адресация

Во второй половине дня была выделена виртуалка, выходящая в сеть по схеме обычного пользователя, и к ней и к оборудованию был дан доступ представителям вендора. Шаманство продолжалось :)

В конце концов представитель вендора уверенно заявил, что железка совершенно точно ни при чём: rst`ы приходят откуда-то выше.

Примечание
В этом месте кто-то может заявить: но ведь гораздо проще было снять дамп не с тестового ПК, а с магистрали выше DPI?

Нет, к сожалению, снять дамп (и даже просто отмиррорить) 40+gbps — совсем не тривиально.


После этого, уже вечером — не оставалось ничего другого, как вернуться к предположению о странной фильтрации где-то выше.

Я посмотрел, через какой IX сейчас ходит трафик до сетей МРГ и просто погасил к нему bgp-сессии. И — о чудо! — всё немедленно нормализовалось :(

С одной стороны — очень жаль, что на поиск проблемы был потрачен весь день, хотя решалась она за пять минут.

С другой стороны:

— на моей памяти это беспрецедентная штука. Как я уже писал выше — IX`ам действительно нет никакого смысла фильтровать транзитный трафик. У них его обычно сотни гигабит / терабиты в секунду. Я просто до последнего не мог всерьёз подобного предположить.

— невероятно удачное стечение обстоятельств: новое сложное железо, которому нет особого доверия и от которого непонятно, чего можно ждать — заточенное как раз под блокировку ресурсов, в том числе TCP RST`ами

В настоящий момент NOC этого internet exchange ищет проблему. По их утверждению (и я им верю) никакой специально развёрнутой системы фильтрации у них нет. Но, благодарение небу, дальнейший квест — уже не наша проблема :)

Это была небольшая попытка оправдаться, просим понять и простить :)

P.S.: я намеренно не называю ни производителя DPI/NAT, ни IX (у меня, собственно, даже нет к ним особых претензий, главное — понять, что это было)

Сегодняшняя (а также вчерашняя и позавчерашняя) реальность с точки зрения интернет-провайдера


Последние недели я провёл, значительно перестраивая ядро сети, производя кучу манипуляций «наживую», с риском значительно затронуть живой пользовательский трафик. Учитывая цели, результаты и последствия всего этого — морально всё это достаточно тяжело. Особенно — в очередной раз слушая прекраснодушные речи о защите стабильности рунета, суверенитете, и т.д. и т.п.

В этом разделе я попытаюсь рассказать «эволюцию» ядра сети типичного интернет-провайдера за последний десяток лет.

Десяток лет назад.

В те благословенные времена ядро провайдерской сети могло быть простым и надёжным, как пробка:

image

На этой очень-очень упрощённой картинке отсутствуют магистрали, кольца, ip/mpls маршрутизация.

Её суть в том, что трафик пользователей в конечном итоге приходил в коммутацию уровня ядра — откуда шёл в BNG, откуда, как правило — обратно в коммутацию ядра, и далее «на выход» — через один или несколько border gateway's в интернет.

Подобная схема очень-очень легко резервируется как на L3 (динамической маршрутизацией), так и на L2 (MPLS).

Можно поставить N+1 чего угодно: серверов доступа, коммутаторов, бордеров — и так или иначе их зарезервировать для автоматического фэйловера.

Через несколько лет всем в России стало понятно, что так дальше жить нельзя: необходимо срочно защитить детей от тлетворного влияния сети.

Возникла необходимость срочно изыскивать способы фильтровать пользовательский трафик.

Тут есть разные подходы.

В не очень хорошем случае — что-то ставится «в разрез»: между пользовательским трафиком и интернетом. Проходящий через это «что-то» трафик подвергается анализу и, например, в сторону абонента отправляется поддельный пакет с редиректом.

В немного лучшем случае — если обьёмы трафика позволяют — можно сделать небольшой финт ушами: отправлять на фильтрацию только исходящий от пользователей трафик только на те адреса, которые необходимо фильтровать (для этого можно либо брать из реестра указанные там IP-адреса, либо дополнительно резолвить имеющиеся в реестре домены).

В своё время для этих целей я написал простенький мини-dpi — хотя даже язык не поворачивается его так называть. Он очень простой и не очень производительный — однако и нам, и десяткам (если не сотням) других провайдеров он позволил не выкладывать сразу миллионы на промышленные DPI-системы, а дал несколько дополнительных лет времени.

К слову, о тогдашних и нынешних DPI
К слову сказать, многие, кто приобрёл имеющиеся на тот момент на рынке DPI-системы — уже их выкинули. Ну не заточены они под подобное: сотни тысяч адресов, десятки тысяч URL.

И в то же время под этот рынок очень сильно поднялись отечественные производители. Я не говорю про аппаратную составляющую — тут всем всё понятно, однако софт — главное, что есть в DPI — возможно, на сегодня если не самый продвинутый в мире, то уж точно а) развивается семимильными шагами, и б) по цене коробочного — просто несопоставим с зарубежными конкурентами.

Хотелось бы погордиться, но немного грустно =)

Теперь всё выглядело так:

image

Ещё через пару лет у всех уже стояли ревизоры; ресурсов в реестре становилось всё больше и больше. Для некоторого старого оборудования (например, cisco 7600) становилась просто неприменимой схема с «фильтрацией сбоку»: число маршрутов на 76 платформах ограничено чем-то около девятиста тысяч, в то время, как число только IPv4-маршрутов сегодня уже подбирается к 800 тысячам. А если ещё и ipv6… А ещё и… сколько там? 900000 отдельных адресов в бане ркн? =)

Кто-то переходил на схему с зеркалированием всего магистрального трафика на фильтрующий сервер, который должен анализировать весь поток и при нахождении чего-то нехорошего слать в обе стороны (отправителю и получателю) RST.

Однако чем больше трафика, тем менее применима подобная схема. При малейшей задержке в обработке — зеркалированный трафик просто незаметно пролетит вникуда, а провайдеру прилетит протокол о штрафе.

Всё больше и больше провайдеров вынуждено ставить DPI-системы разной степени надёжности в разрез магистралей.

Год-два назад по слухам, практически у всех ФСБ стало требовать реальную установку оборудования СОРМ (ранее большая часть провайдеров обходилась согласованием с органами плана СОРМ — планом оперативных мероприятий на случай необходимости что-то где-то найти)

Помимо денег (не так, чтобы прямо уж совсем заоблачных, но всё же — миллионов), СОРМ у многих потребовал очередных манипуляций с сетью.

  • СОРМу необходимо видеть «серые» адреса пользователей, до nat-транслирования
  • У СОРМа ограниченное число сетевых интерфейсов

Поэтому нам, в частности, пришлось здорово перестроить кусок ядра — просто для того, чтобы собрать где-то в одном месте трафик пользователей к серверам доступа. Для того, чтобы несколькими линками отзеркалировать его в СОРМ.

То есть, очень упрощённо, было (слева) vs стало (справа):

image

Сейчас у большинства провайдеров требуют внедрения также и СОРМ-3 — который включает в себя, в том числе, и логирование нат-трансляций.

В этих целях в схему выше нам пришлось добавить ещё и отдельное оборудование для NAT`а (как раз то, о котором идёт речь в первой части). Причём добавить в определённом порядке: поскольку СОРМ должен «видеть» трафик до транслирования адресов — трафик должен идти строго следующим образом: пользователи -> коммутация, ядро -> серверы доступа -> СОРМ -> НАТ -> коммутация, ядро -> интернет. Для этого нам пришлось, буквально, «разворачивать» потоки трафика в другую сторону наживую, что тоже было довольно непросто.

Итого: за десяток лет схема ядра среднего провайдера усложнилась в разы, а дополнительных точек отказа (как в виде оборудования, так и в виде единых коммутационных линий) — значительно прибавилось. Собственно, само по себе требование «видеть всё» подразумевает сведение этого «всего» в одну точку.

Думается мне, это вполне прозрачно можно экстраполировать на текущие инициативы по суверенизации рунета, его защите, стабилизации и улучшению :)

А впереди ещё Яровая.
Поделиться публикацией

Комментарии 389

    +3
    А впереди ещё Яровая

    А что с «законом Яровой»? Вроде бы уже полгода как он должен выполняться. Почему не выполняется? Кто саботирует?
      +53

      Для начала, если не углубляться — на данный момент нет ни одного сертифицированого решения

        +3
        То есть, закон не соблюдают и всех можно сажать
          +6
          Вы что, там же неприкосновенность. Зря её что-ли придумали? ;)
            +1
            У провайдеров неприкосновенность? Они же не исполняют.
        0
        Надо полагать, всеми, кто должен за это платить.
          +3

          Не совсем так. Как часто бывает виноваты чиновники, не рассчитавшие реальное время внедрения, получилось так, что обязаны все внедрить к сроку, а нет лицензирующего механизма и как следствие железок с лицензией, т.е которые вообще можно внедрить. Саботировали сами себя, госаппарат неповоротливый.
          Тот же случай произошел с криптопро в этом году, обязаны обновить методы шиврования, а не лицензировали, как итог ждут санкций от вышестоящих, за то что сделать не могли по определению
          Ps за ошибки извините, пишу с мобильного.

          +1
          Не выполняется — потому что нет сертифицированного оборудования для исполнения. Но тут, кстати, тоже интересный момент. Закон не выполняется, сертификация оборудования не идёт. Но операторы уже повысили цены, в связи с законом. А потом, года через полтора, скажут, что выполнение закона невозможно, закон отменят, а цены снизить назад забудут.
          +21
          И все это потому, что вокруг враги (тм). /sarcasm/
            +7
            Сарказм сарказмом, а я недавно встречался с настоящим человеком, у которого везде ФСБ и враги. На полном серьёзе. Так что все проблемы с интернетом могут быть не из-за злого умысла, а из-за банального отсутствия доступа к своевременной психиатрической помощи.
              –25
              Вы очень самокритичны!
                0
                Сложно поверить, что психиатр решит проблему отстствующего доступа в интернет.
                  0
                  А ФСБ разве не наши враги?
                    +3
                    Ваш комментарий огорчает товарища майора.
                    +1
                    это, случаем, не про него

                    видео?
                    image
                  0
                  40+gbps — совсем не тривиально.

                  Завернули трафик к отдельно взятой тестовой машинке через отдельный гигабитный линк — и хоть миррорите с него, хоть вообще роутер на линуксе в разрыв поставьте.
                    +2

                    К тому моменту было уже гораздо проще и быстрее (и правильнее, как оказалось) рубануть один из 4-5 ix, чем городить бокс с tcpdump и пытаться зароутить на него трафик между натом и бордерами

                      +6
                      Увидел это и вспомнил сразу как делал сниффер на 40Gb Infiniband. То еще приключение, с редкими сетевухами Solarflare и стеком OpenOnload. Главный вопрос куда это записывать с такой скоростью, но опыт был незабываемый, это да.
                      –12

                      А у меня mail.ru и так зарезан на локальном днс вместе с яндексом. А то все эти спутники и прочая задолбали неимоверно.


                      Так что, ИМХО, хоть раз блокировка сработала, как надо :)

                        +12
                        Цитадель объективности.
                        +5
                        У меня гугл заблокирован! На каждом втором сайте капчи стоят, и капчи не отображаются! С впн работает главное. Но есть такой сайт одного телефона только для росрынка. И у них тоже капча стоит. А для иностранцев(читай — ip не из рф, т.е. впн) он не работает. И капчу мне не удалось там пройти.

                        Так вот из-за кого и как такая фигня происходит! Давно собирался написать в техподержку, сегодня как раз напишу.
                        (я прочитал статью, я знаю что мини-провайдер в этом не виноват, я имел ввиду вообще людей, которые работают в этой сфере)
                          0
                          Возможно у провайдера мало IP адресов или конкретно Вам попадает загаженный. Ну той же вирусней или seo-специалистами там уже никто не разбеерт. Попробуйте попросить у провайдера белый IP
                            +6
                            У меня на домовом билайне гугл регулярно капчу просит. Если с анонимного браузера, так вообще по 5 раз бывает нужно машинки\светофоры кликать. Уже встретил человека который по этой причине поменял поисковик. :\
                              0
                              IP адрес, поди, только IPv4, да ещё серенький? Провайдер на вас серьезно сэкономил, а вы страдаете.
                                0
                                билайн в дефолт сити даёт динамический белый ип v4
                                причем привязывается по маку. То есть нельзя просто взять и поставить себе другую железку, нужно там как-то перерегистрироваться…
                                +3
                                Аналогично, домашний билайн. Без впн, капча в гугле выскакивает всегда. Пытался перейти на яндекс, но решил что проще держать постоянно включенный впн.
                                  0
                                  Я при переходе на Яндекс месяц сверял его выдачу с Google и убедился, что позиции на первой странице в целом идентичны за исключением немного другой очередности и некоторых специфических возможностей распознавания запросов в Google, которых нет у конкурентов. Как следствие необходимость проверять результаты со временем отпала. Кстати вполне вероятно Яндекс так же использует статистику прошлых запросов для более релевантной выдачи, по этому им необходимо пользоваться какое-то время, прежде чем судить.
                                  Интересно с каким проблемами вы столкнулись при переходе? И как с ними в DuckDuckGo?
                                    +1
                                    Выдача да, почти совпадает, особенно результаты на русском языке. Но вот что очень напрягает, так это баннеры яндекса с предложением установить их супербраузер, зайти в дзен, etc. Да и вообще, я как-то не очень жалую яндекс, с тех пор как ушли деньги из кошелька (рублей 150-160), которые, как оказалось, надо использовать, а не держать. DuckDuckGo пользовался только для пробы не более.
                                      +14
                                      Я из Болгарии, так что опит может бить нерелевантным,

                                      Когда Google стартовал я бил из его первых потребителей. То, что покупало — мало то, что искал на кириллицу из коробки (в отличии от altavista.com и yahoo.com), но и понимал, что кириллица это не только русский, но и болгарский, украинский и т.д. Когда вы из государства с 8 миллион человек это очень важно.

                                      Потом вышел Яндекс. Я не разу сравнял — все равно Яндекс лучше ищет на русском чем Google.

                                      Но несколько лет назад я стал по-тихому уходить с гуглопоиска — мало то, что «компания добра» навязывает все и вся, до вообще Google с внедрении ИИ перестал бить тортом. Сейчас я почти полностью перешел на Duckduckgo и впечатления такие:

                                      1. Duckduckgo до сих пор не понимает разница между болгарский и русский. Очень часто первые ссылки в поиске русские, а потом идут болгарские.
                                      2. Если искать технические ресурсы на английском то в общем результат Гугла и duck-a совпадают. Но если искать какую-то очень специфическую хрень, то Гугл однозначно лучше (то ли база большая то ли индексация лучшая).
                                      3. Все еще Яндекс ищет лучше в Рунете чем оба гугл и duck. Проблема однозначно в правописи — если я напишу малограмотною чушь на английском (например пропущу букву или перепутаю спряжения), то гугл подкинет правильные варианты а duckducgo подкинет не особо правильные. Если это сделать на русском, то ни гугл ни duckduckgo справятся — там рулить Яндекс.
                                      4. Несколько слов о Бинг-е — он работает и даже не особенно плохо, но я им очень редко пользуюсь. Ищет худшее чем Гугл, сопоставимо с Duckdickgo.

                                      Как я ищу — если сразу не нашел в duckduckgo — bing, google. Для рунета — Яндекс, Bing, Google (вообще то тут гугл лишний, но это только если совсем отчаялся).

                                      Если по процентам — более 95-98% моих запросов идут через duckduckgo и до сих пор особых проблем не ощущал. В общем я ищу на английском (более 70%), потом на болгарском (около 20-25%) потом на остальных языках.

                                      Надеюсь было интересно.
                                    0
                                    у меня на домовом билайне порой нулл-рутятся подключения к некоторым ресурсам. Недавно так было с sbrf.ru и его Verfied by visa гейтами, раньше происходило такое-же с sabre(через который у аэрофлота электронная регистрация) и ещё некоторыми ресурсами. И есть серьёзное подозрение, что билайн начал шейпить VPN, если раньше VPN anonine выдавал стабильно почти wire speed, то теперь обычно не более 16-20 мбит.
                                      +2
                                      Домашний билайн, спб. Капчи в гугле регулярно (пару раз в день могут повляться). А совсем недавно я обнаружил, что они режут vpn трафик до dgitalocean. Т.е. до смешного: скорость загрузки ~0.75 МБит (облако -> пк), выгрузки — больше 50 мбит. При этом ssh трафик вроде так сильно не режется. Раздал мтс с телефона — 12 мбит в одну сторону, 12 в обратную. Пора менять ISP.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0

                                          Здесь меня волнуют различные блокировки различными провайдерами. Учитывая предыдущий опыт с protonmail, когда провайдер просто получил письмо от спецслужб и стал блокировать непонятно что, тренд намечается неприятный. Поэтому я считаю, что кроме применения более качественных технлогоий (как вы предложили), вопрос выбора оператора тоже важен. Пока, собственно, этот выбор еще есть.

                                      +2
                                      А яндекс задрал на телефоне своё приложение впаривать. Вот и думай, что лучше — светофоры иногда кликать или херню с рекламой на треть экрана каждый раз.
                                        0

                                        Я переехал на duckduckgo[.]com только из-за этих капчей.

                                          0

                                          Та же ситуация, тоже с Гугла на DuckDuckGo сбежал, когда капчей стали донимать. Там есть удобная фишка, если вдруг кто не знал: в начало или конец запроса добавляем !g — получаем редирект в поиск Гугла по тому же запросу. !ya — Яндекс.

                                        0
                                        Были подобные проблемы с Google. Потом обратил внимание, что PSN перестала работать. Оказалось, что IP адрес попал в несколько блэк листов. К счастью, это поправимо))
                                          0
                                          У меня IP-шник вот меняется чуть ли не ежедневно, в итоге пару раз в месяц IRC FreeNode не соединяется с отсылкой в DroneBL. Хоть там быстро снимают блок (по заявке), что радует, до этого приходится сидеть с телефона.
                                          +11
                                          Небось, в IXе часть трафика сливалась как unknown unicast (частая беда, если там shared vlan) во всех подключенных, а на каком-то из них прикручена реакция отвечать ресетом на некорректные для него сессии.
                                            +33

                                            В итоге оказалось, что да. А "реакция" была у украинского участника — ведь там в бане Яндекс и мрг.


                                            Всё, можно писать заголовки "Украина угрожает суверенитету рунета и блокирует работу mail.ru в РФ" =)

                                              +2
                                              Да, с таблицами коммутации не многие IX умеют работать, к сожалению.
                                              Из-за этого ещё unknown unicast штормы периодически прилетают. А IX потом такой «broadcast'а не было!». И не сознаются, что почистили FDB. Либо таймеры меньше протухания ARP-кэша.
                                                +24
                                                А все еще говорили что блокировки МРГ и Яндекса в Украине бесполезны. А рузельтат вон аж где всплыл :)
                                              +1
                                              Сеть, спроектированную так, чтобы даже в случае атомной бомбардировки работоспособность ее сохранялась, обрушили неизвестно откуда прилетевшим траффиком.
                                              Странно это.
                                                0

                                                Издержки экономии вендоров на асиках, игроков — на оборудовании, результат — коллизии результатов хеш-функций, применяемых к макам: https://m.habr.com/ru/post/267965/

                                                +60
                                                Хрень какая-то получается.
                                                Хотели «оградить детей». В итоге набивают палки блокировкой сайтов-однодневок.
                                                Хотели «слушать». В итоге раскурочили стройную схему работы провайдерского оборудования с около нулевым выхлопом.
                                                Хотели «сократить кольцевой зарубежный трафик». В итоге народ массово ходит через прокси и VPN, поднятые у забугорных облачных провайдеров.
                                                И за всё это платят абоненты.

                                                Я могу ошибаться, но работать это всё «благо» должно как-то иначе, чтобы получался требуемый результат.
                                                  +5

                                                  У меня в голове складывается немного меня схема:
                                                  1) Создан РКЦ для цензуры
                                                  2) РКЦ потренировался на "кошечках"
                                                  3) Принят закон для хранения всей переписки в РФ
                                                  4) РКЦ потренировался на LinkedIn
                                                  5) Заблокированы zello,telegram
                                                  6) РКЦ потренировался на мессенджеров
                                                  7) Будет принят закон об изоляции Рунета
                                                  8) Будут задрапированы все, кто не реализовал пп.2
                                                  И у меня складывается такое впечатление, что пакет Яровой, сейчас как кость в горле тем, кто хочет ввести тотальную цензуру.


                                                  Это мои предположения, интересно, есть у кого-то альтернативные прогнозы?

                                                    +1
                                                    Я почему-то анекдот про обезьяну на дереве вспомнил, которая лапы по одной отпускала.
                                                    +2
                                                    И у меня складывается такое впечатление, что пакет Яровой, сейчас как кость в горле тем, кто хочет ввести тотальную цензуру.

                                                    Почему?
                                                      0
                                                      Как я думаю, прогнозировалось что после пп.3 (О переносе всех данных россиян на территорию РФ), проведение искусственных границ (пп.8) не будет вызывать особых проблем, поэтому «пакет Яровой» сам по себе оказался избыточным.

                                                      Следовательно, если все значимые ресурсы, перенесут ресурсы на территорию РФ, то и собирать особо нечего будет. Ибо и так всё хранится на территории РФ. А количиство внешнего траффика уменьшится до 5% (По мнению какого-то министерства, забыл кто там планированием развития интернета сейчас занимается...). Ну и РКЦ проспостбствует чтобы ничего внешнего не открывалось изнутри (По аналогии с www.7-zip.org).

                                                      По аналогии с вконтактиком, которй при любом запросе и так выдаёт всю информацию по действиям пользователя.

                                                      Виноват, прошлое сообщение писал с телефона, поэтому автокомплит, частично, сообщение превратил в тыкву.
                                                        0
                                                        >> А количиство внешнего траффика уменьшится до 5%

                                                        Неверно.
                                                        Имеется в виду трафик, который идёт из РФ в РФ через забугор
                                                          0
                                                          Что неверно?

                                                          >Имеется в виду трафик, который идёт из РФ в РФ через забугор
                                                          В теории, такое предположение тоже имеет место быть, но конкретно про .ru. домены или внутренние IP в документе не сказано:
                                                          asozd2c.duma.gov.ru/addwork/scans.nsf/ID/E794ACF3791E3C7B43258363004AC230$FILE/608767-7_14122018_0138233894-1.pdf
                                                            0

                                                            К примеру, чётко не прописано, когда РКЦ может вмешиваться в работу сети. В качестве адекватно вмешательства, можно было-бы предположить "военное положение", особенно учитывая что это всё преподносится под соусом защиты от действий противников кремля.
                                                            Да, президент объявляет военное положение, люди с автоматами начинают творить что хотят, РКЦ вмешивается в трафик.
                                                            Но этого — нет.

                                                              0
                                                              Этого нет и не будет, потому что идея как раз в том, чтобы остановить всё до того, как придётся вводить военное положение.
                                                                +2
                                                                Идея выражена неявно и может трактоваться как угодно. До «военного положения», юридической трактовки не имеет и может трактоваться как «в любую минуту».

                                                                С теми-же блокировками телеграма я общался с РКЦ по поводу заблокированных сторонних ресурсов, их ответ был примерно следующий:
                                                                — Хостинг ресурса {A} не желает рвать договорные отношения с телеграмом, но т.к. мы не в состоянии его блокировать точечно, то мы заблокировали весь хостинг целиком. Идите уговаривайте хостинг выполнить наши условие.
                                                    +1
                                                    «Хотели как лучше, а получилось как всегда» © В.С. Черномырдин
                                                      0
                                                      А с чего вы решили что они этого хотели? Потому что они это публично заявляли? Мне кажется, истинным желанием был распил и он сейчас очень успешно идет.
                                                        +1
                                                        Я не могу ответить на этот вопрос, потому что тот самый закон уже подписан.
                                                      +1
                                                      Спасибо за отличную статью!
                                                      Очень познавательно.
                                                      Буду ждать вторую часть статьи о том как будет работать закон Яровой и суверенитет интернета.
                                                      И действительно ли все это стоит столько денег что неминуемо должны взлететь тарифы, как трубят все СМИ?
                                                        +27
                                                        Сорм и DPI — миллионы. Но — подъёмны для средних провайдеров.

                                                        Яровая, судя по промелькнувшим расчётам производителей потребует вложения нескольких годовых оборотов (не прибылей, а оборотов). (Мы ведь понимаем, что никто не даст самим делать на коленке и в 5 раз дешевле подобные решения? (на всякий случай: это было оценочное суждение — ведь с сегодняшнего дня нужно всех уважать :) )
                                                          +3
                                                          Спасибо за познавательную статью. Почитал по вашей ссылке про СОРМ… Честно говоря, когда тут и там слышишь про слежку, особо не задумываешься. А после прочтения технических подробностей работы этой системы как-то даже стало не по себе.
                                                            0
                                                            Привыкаешь :)
                                                            И к тому что каждый раз в серверной проходишь мимо такой железки.
                                                            И впн держать на телефоне.
                                                            Совсем туго будет когда и ВПН-трафик начнут резать…
                                                            +2
                                                            Несколько годовых оборотов в стране где каждые н лет меняются/корректируются правила игры и каждые м лет происходил «живительная» встряска экономики? Риски очевидно запредельные.
                                                              –2
                                                              Я слышал сормом недовольны, хотят его менять, очень он медленный и не позволяет расшифровывать траффик, только запоздало и только блокировать, поэтому и телеграмм толком не смогли заблочить, 365 дней, несколько раз в день выгрузка, очень маленькое кол-во адресов нужно, чтобы даже менять чуть ли не каждый час. Т.е. ждем сорм 2 аля!? за новые деньги)
                                                                0
                                                                Для улучшения вашего понимания вопроса советую в начале посмотреть видео на ozi-ru.org, а потом перейти по ссылке из поста!

                                                                Это предназначено для возможности тотальной прослушки и логирования, но не для блокировок интернета!
                                                              0
                                                              «ведь с сегодняшнего дня нужно всех уважать» Фраза про любовь (буквально), но вызывает бешенство :)
                                                              Вспомнил новых хиппи из Айфак10 В. Пелевина… Не могу сюда это постить.
                                                                +3
                                                                Я слышал, что нет закона требующего от провайдера покапать СОРМ за свои деньги. Это требование прописано приказ ФСБ, который может быть не выполнен, поскольку не имеет под собой необходимого законодательного акта. Но никто не хочет судиться, потому что дело может затянуться надолго, а лицензию ФСБшного апрува просто отзовут. Это так?
                                                                  +3
                                                                  Это именно так, причём не скрывается самими же ФСБшниками.
                                                                  В стиле «Будете умничать, отзовём лицензию.»
                                                                    0
                                                                    Да, читал подобную печальную историю в начале 2000-х где-то. Когда один мелкий провайдер не захотел ставить СОРМ и во что это вылилось… Закрыли, в общем.
                                                              +1
                                                              Я посмотрел на Ваши картинки спасибо, теперь понятно, почему с каждым днем интернет работает все хуже и хуже, при таких делах думаю, скоро и блокировать будет нечего, само все отвалится.
                                                              P.S. По всей видимости Вы не мой провайдер, если что.
                                                                +1
                                                                Да нет, в целом оно работает нормально — когда работает.
                                                                Но когда что-то идёт не так — сразу и не поймёшь, где искать. Не говоря уж о том, что число точек отказа постоянно возрастает
                                                                  –2
                                                                  Планируете внедрять CDN в свою сеть? Есть решения, которые согласуются с СОРМ?
                                                                +1
                                                                Не соглашусь уже и впн начинает иногда отваливаться, иногда сайты рабочие, иногда скорость загрузки страниц падает, а иногда все нормально.
                                                                раньше такого не было точно, если авария, значит ничего не работает, а не это вот кусками,
                                                                тут откроется, тут нет.
                                                                Это конечно, не к провайдерам претензия, если что, просто на все свои причины есть.
                                                                  +4
                                                                  Читаю и радуюсь. Эти глупцы даже не смогли просчитать возможности оборудования, а побежали все скорее запрещать и регулировать. Чем больше будет блокировок, тем чаще все будет ломаться, тем избиратели быстрее поймут, что власть выбрала неправильный курс и проголосуют за его изменение. И обходить блокировки станет проще. Да и власть сама поймет ошибку, и может быть, умерит свой пыл, и откажется от идей по автономности и других не менее глупых планов:

                                                                  Они не только Интернет регулировать хотят
                                                                  Если почитать программу "Цифровая экономика", то регулировать хотят даже ваши IoT устройства:

                                                                  image


                                                                  Давайте подумаем, как можно помочь раздуть реестр еще. Взять, например, самый дешевый домен, повесить туда прокси для Телеграм и еще что-нибудь запрещенное, прикрепить к нему штук 200 рандомных IP — пусть все добавляют, реестр резиновый, и не такое выдержит. Можно еще и ротировать эти IP каждый день, пусть реестр пополняется. Ну и еще можно генерировать случайный исходящий трафик во всю ширину канала — благо он не лимитирован, пусть СОРМ и диски Яровой заполняются случайными числами. Чем больше мы туда поместим случайных чисел, тем меньше они сохранят полезной информации.
                                                                    0
                                                                    Если они пытаются ipv6 учитывать, то надо просто зафлудить их. Моя провайда PD делает, в ответ на запрос /60 выдаёт /64 сколько угодно раз, только DUID меняй. На все надзоры хватит. Заодно диски подешевеют опять.
                                                                      +3
                                                                      Продолжайте. Надо ускорять внедрение белых списков и суверенизиацию рунета ( для чего оно, собсно и придумано)
                                                                        –1
                                                                        Когда у Сев.Кореи с Китаем получится, тогда и поговорим про белые списки.
                                                                          +3
                                                                          Ну не знаю, как КНДР, в Китае вполне работающий ICP
                                                                          И штраф с понижением социального рейтинга за попытку доступа к запрещенным ресурсам.
                                                                            –5
                                                                            Ну да, в СК вообще собакам скармливают за интернетушку. Только люди всё равно ходят. Я это имел в виду.
                                                                            +8
                                                                            В КНДР нет всеобщего доступа к интернету. У них государственный интранет, а интернет есть в ВУЗах и некоторых библиотеках.
                                                                              +4
                                                                              Кстати, кому интересно, вот краткая (30 минут) лекция американца, который отправился в КНДР по контракту учить студентов IT технологиям (operating systems и что-то еще):
                                                                              www.youtube.com/watch?v=w703MQZcDhY

                                                                              Тут есть достаточно много про интернет у них.
                                                                                0
                                                                                2014 год. В СК все очень быстро меняется сейчас (причем в непредсказуемую сторону).
                                                                                ОЧень интересно, но надо понимать, что уже устарело.
                                                                                  0
                                                                                  Разумеется. Наверняка, использование ВТ подросло.
                                                                                  В более новых видео от туристов информация о более доступном (дешевом) мобильном интернете, нежели в этом видео.
                                                                                  Но тем не менее, это тоже интересный материал. По крайней мере, никакого «ужас-ужас» нет.
                                                                        +12
                                                                        Читаю и радуюсь. Эти глупцы даже не смогли просчитать возможности оборудования, а побежали все скорее запрещать и регулировать. Чем больше будет блокировок, тем чаще все будет ломаться, тем избиратели быстрее поймут, что власть выбрала неправильный курс и проголосуют за его изменение.

                                                                        Увы, в идеальном мире.

                                                                        А в реальном вот так:

                                                                        image
                                                                          0
                                                                          Не только у нас пытаются запрещать и регулировать. С теми же негативными последствиями.
                                                                          New Zealand authorities have reminded citizens that they face up to 10 years in prison for «knowingly» possessing a copy of the New Zealand mosque shooting video — and up to 14 years in prison for sharing it. Corporations (such as web hosts) face an additional $200,000 ($137,000 US) fine under the same law.
                                                                        +3
                                                                        Подскажите, пожалуйста:
                                                                        1. Если я включу HD-камеру на лиственный лес, вы должны будете это писать и хранить полгода?
                                                                        2. Шифровальщик покриптовал все письма клиента. Вы можете вернуть ему все письма?
                                                                          +3
                                                                          1. По слухам, в законе Яровой для видео исключение ( срочно пишем стеганографию под видео)
                                                                          2. Смотря какой давности почта, но да, технически могут.
                                                                            +11
                                                                            А какая разница, если видео, как и все что угодно идет как шифрованный HTTPS а совсем скоро шифрованный QUIC?
                                                                              0
                                                                              Я не роскомнадзор и фсб, им виднее. Может, у них квантовые компьютеры для вас припрятаны.
                                                                              А уж как провайдер будет разделять текст и видео, что бы думать, стоит ли его сохранять, мне не ведомо.
                                                                                +2
                                                                                Я намекаю, что это не будет работать
                                                                                  +8
                                                                                  Как это не будет. Будет. Записывать точно будет.
                                                                                  То что смысла в этих записях никакого смысла не будет — это другая история.
                                                                                    0
                                                                                    я имел ввиду, что не будет работать определение контента и «экономия» хранилища на запись
                                                                                      +1
                                                                                      Да вообще не проблема ни разу. Потребуют разделить траффик на две части: доступ к белым сайтам (Rutube/Yutube/кто-там-ещё-желает сотрудничать) — на скорости 100Mbit/s, доступ ко всему остальному — на скорости 100kBit/s.

                                                                                      А дальше — занимайтесь стеганографией сколько хотите.
                                                                                        0
                                                                                        Вы не сможете поделить трафик внутри Google, будет единый тунель в сторону GGC/Google Cloud
                                                                                          +3
                                                                                          Гуг сам все сделает. И отдельный anycast адрес выделит для видео трафика и все остальное. Когда просмотры рекламы падают — это никому не нравится.
                                                                                            0
                                                                                            Какие просмотры? Сколько раз уже говорили, рынок РФ для Гугла не представляет особой ценности.
                                                                                              +4
                                                                                              Не представляет. Но пока прибыль перебивает расходы, Гугл никуда не уйдёт.
                                                                                                +1
                                                                                                Если не предоставляет ценности — то почему офис в Москве расширяется?

                                                                                                Рынок как раз ценность представляет… а страна — предоставляет опасность.

                                                                                                Отсюда и поведение: что власти требуют исполнить — делают, но что могут вывести из России — вывели.
                                                                                                  +1
                                                                                                  Ок, вот вам пример на основе финансовых показателей корпорации.
                                                                                                  В 2018 году выручка Alphabet составила $136,82 млрд против $110,86 млрд годом ранее (рост на 23%).
                                                                                                  Выручка ООО «Гугл» в 2018 г. выросла на 51% до 45,2 млрд руб.
                                                                                                  Последнее в долларах по текущему курсу — $0,688 млрд.
                                                                                                  Это составляет 0,503% от общей выручки.
                                                                                                  Вы получаете условные 100 000 денег. Сколько усилий готовы приложить, чтобы поднять доход еще на 503 единицы? Заметите ли вы вообще эту сумму в общей массе доходов/расходов?

                                                                                                  Или так. Приходит вам повестка в суд, на суде говорят — чтобы из вашего дохода не вычитали 0,503%, вы должны каждое утро перед участковым делать три раза «Ку». И никаких малиновых штанов. И цак носить. На такие условия согласитесь?
                                                                                                    0
                                                                                                    Или так. Приходит вам повестка в суд, на суде говорят — чтобы из вашего дохода не вычитали 0,503%, вы должны каждое утро перед участковым делать три раза «Ку». И никаких малиновых штанов. И цак носить. На такие условия согласитесь?
                                                                                                    Я думаю это будет зависеть от того, насколько ценна возможность носить малиновые штаны в вашей культуре.

                                                                                                    Вы получаете условные 100 000 денег. Сколько усилий готовы приложить, чтобы поднять доход еще на 503 единицы? Заметите ли вы вообще эту сумму в общей массе доходов/расходов?
                                                                                                    Конечно замечу. Компании которые с лёгкостью выбрасывают 0.5% дохода здесь, 0.5% дохода там… очень быстро обнаруживают, что их обходят конкуренты.

                                                                                                    Кроме того вы не учитываете того факта, что у Гугла, по той же оффициальной статистике, почти 100 тысяч сотрудников, а работают в Московском офисе куда меньше, чем 500 человек — то есть Российский рыном может и приност всего 0.5% дохода, но уж точно приносит куда более высокий процент прибыли — и, из вашей же статистики, растёт он тоже быстрее, чем другие рынки.

                                                                                                    Но главное, чего вы не учитываете — так это то, что проценты тут вообще не важны. Лишняя прибыль, пусть даже в 100 рублей, она всё равно — прибыль. А вот убытком она может стать, если на других, более денежных ранках кто-то начнёт отказываться от пользования Гуглом из-за сотрудничества с Россиийским государством. Такие случаи, вообще были? Сколько на них Гугл потерял?

                                                                                                    Ведь именно это интересно: сотрудники ООО Гугл, в любом случае обойдутся без малиновых штанов, вопрос в том — будут они работать на ООО Гугл или какое-нибудь ООО Спутник. А вот влияние их мучений на глобальный рынок — сильно ограничено…
                                                                                                      0
                                                                                                      Кто-то начнёт отказываться от пользования Гуглом из-за сотрудничества с Россиийским государством. Такие случаи, вообще были? Сколько на них Гугл потерял?

                                                                                                      О таких случаях, если они и были, широкая общественность навряд ли узнает. Но сумма потерь составила явно меньше $688 млн, ведь московский офис не закрыт.
                                                                                              0
                                                                                              Снимите, наконец, свои розовые очки. Когда американские школы пригрозили заблокировать google.com из-за того, что blogger.com висит на том же IP, что и поиск — их разнесли по разным сетям. Именно чтобы можно было блокировать. И было это много лет назад.

                                                                                              А в чём отличие блокировки на уровне школы от блокировки на уровне государства?

                                                                                              Постепенный рефакторинг интернета, позвояляющий использовать его как несколько сетей — идёт уже давно, просто только недавно это вышло на уровень государств.
                                                                                                0
                                                                                                Почему же тогда Телеграмм не заблокирован на стороне провайдеров?)
                                                                                                  +1
                                                                                                  Потому что Телеграм является частной компанией, которая не планирует заниматься бизнесом в России.
                                                                                                  0

                                                                                                  Что то я не видел, что бы Гугл для 3-их рынков что то делал, для него основные рынки: USA/eu

                                                                                                    0
                                                                                                    А вы, вообще, смотрели? И думали? Какие-нибудь маршруты общественного транспорта в Москве им какое американское агенство предоставило? А система блокировки контента, согласованная с РКН — она самозародилась?

                                                                                                    Вы, я боюсь путаете понятия «ничего не делать для рынка» и «иметь рынок в приоритете». Это сильно разные вещи.

                                                                                                    Поскольку рынок USA приносит раз так в 20 больше прибыли — то туда и средств идёт больше. И было бы странно если бы американским рынком пожертвали бы ради русского. Но если выбора «или-или» нет — то будут вкладываться в оба.
                                                                                              +1
                                                                                              Эвристический dpi прекрасно отделяет, к примеру, ватсапп тех. траффик от ватсап звонка voice и ватсап звонка видео. Работало-работало и вдруг перестанет: с чего бы это? Расшифровать может и нельзя, а поймать и исключить из записи на диск — влёгкую.
                                                                                                +3

                                                                                                Скорее всего по тому, что тех. трафик у них идёт по TCP, а видео и аудио по UDP. Такое чтобы не распознать, надо сильно постараться.
                                                                                                А вот если у вас будет https-труба, по которой и сайты, и пуши, и видео — там достоверно разделить это гораздо более сложная задача.

                                                                                                  +1

                                                                                                  Не совсем, там распознавание идет по размерам пакетов, интервалам между ними и так далее. На хабре где то даже статья была.

                                                                                                    +2
                                                                                                    Скорее всего нет, всё идёт в HTTPs-трубе. То, о чём вы говорите, это header/packet inspection, а я вам написал про behavioral/heuristic dpi. Все давно гоняют трафик по HTTPs-трубам и DPI вендоры давно к этому приспособились: сайты отдельно, видео отдельно, пуши per application отдельно. К примеру, вот так Cisco NBAR2 умеет разделять HTTPs трафик Фейсбука:
                                                                                                    Screenshot
                                                                                                    image


                                                                                                    Вот только DPI это побочный бизнес для Cisco, а теперь на секундочку представьте себе возможности того же Sandvine.
                                                                                                  0
                                                                                                  Вероятно, введут какой-то поведенческий анализ и будут просто исключать часть трафика из записи как «похожий на видео». Если идёт жирная полоса на клиента, то дальше не писать, пока не проредится.
                                                                                                    0
                                                                                                    Ну будут кошки-мышки тогда. Будут маскировать VPN-трафик под видео.
                                                                                                      0
                                                                                                      интересно, насколько это утормозит и без того не самый быстрый транспорт?
                                                                                                        0
                                                                                                        Так это нормально. Кошки-мышки происходят и сейчас, Тор и другие VPN мимикрируют под HTTPS, Telegram прячется за domain fronting и рандомизирует размеры пакетов…

                                                                                                        Но задача ведь не заблокировать всё гарантированно, достаточно осложнить жизнь настолько, что 95% пользователей предпочтут не связываться. А если ещё административную ответственность за попытки обхода добавить, то и вовсе в нарушителях останутся единичные энтузиасты, которые никакой погоды на политическом и социальном фронте не сделают.

                                                                                                        «Яровая» с записью всего подряд вообще бессмысленна по определению, здесь даже если и не запишется кусок трафика из шифрованного VPN, так как он будет классифицирован как видео… ну и что? Всё равно он не был бы расшифрован :)
                                                                                                          0
                                                                                                          в следующей итерации можно добавить обязанность пользователя использовать какого-нибудь Кузнечика, либо по первому требованию расшифровывать. Если не смог собственный трафик расшифровать, то можно шить соучастие в зависимости от квалификации основного дела.
                                                                                                            +1
                                                                                                            по первому требованию расшифровывать. Если не смог собственный трафик расшифровать, то можно шить соучастие в зависимости от квалификации основного дела

                                                                                                            … и возьмут пример с Британии, где такое УЖЕ ЕСТЬ! :(
                                                                                                    0
                                                                                                    Запретят HTTPS.
                                                                                                      0
                                                                                                      Тотально не получится — не будут работать интернет-банки и т.п. сервисы, где это критично.
                                                                                                        0
                                                                                                        Что-то мне кажется, что Рашка это такая страна, где ГБшники смогут нагнуть даже военных и запретить шифровать трафик даже им!
                                                                                                +2
                                                                                                По опыту казахстана, ставим корневой сертификат от ФСБ, кто не поставил трафик блокируем. Конец.
                                                                                                  +1

                                                                                                  У них пока только этап «ставим» без блокируем.


                                                                                                  Многие приложения имеют certificate pining — работать не будут.

                                                                                                    0

                                                                                                    Не хочется вас разочаровывать, но будет (во всяком случае браузеры точно). HPKP только про встроенные руты, не про добавленные:


                                                                                                    Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.

                                                                                                    https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

                                                                                                      +1

                                                                                                      А я не про браузер говорил, а про приложения.

                                                                                                      +1
                                                                                                      Многие приложения имеют certificate pining — работать не будут.

                                                                                                      Ну и отлично — простор для разработки отечественных аналогов™

                                                                                                      Не очень люблю этого товарища, но песня в тему.
                                                                                                  +2
                                                                                                  срочно пишем стенографию под видео

                                                                                                  стеганографию
                                                                                                    +4
                                                                                                    тсс-с-с, это было специально, чтобы товарищ майор не догадался
                                                                                                      +5
                                                                                                      Просто кто-то уже начал практиковаться в стеганографии :)
                                                                                                      +2
                                                                                                      2. Смотря какой давности почта, но да, технически могут.
                                                                                                      Ну вот и новые услуги подъедут от каждого провайдера (как когда-то кабельное телевидение):
                                                                                                      1) С нашими услугами, у вас всё в бэкапе! Восстановим любую почту!
                                                                                                      2) Если вам скучно, почитайте свои рандомные переписки за год (как напоминания облак: «вы год назад»)
                                                                                                    0
                                                                                                    У меня Яндекс-карты бывает сбоят (не показывают сами карты), иногда DNS не резолвится на вполне известные сайты. Это тоже последствия блокировок? Провайдер — МГТС.
                                                                                                      0
                                                                                                      DNS давно пора использовать не от провайдера…
                                                                                                        0
                                                                                                        Идея понятна, просто пока лень :)
                                                                                                          +2
                                                                                                          DNS почти всеми провайдерами перехватывается, нет смысла просто менять его на публично доступный, резолвить он не начнет. DNS нужно обязательно шифровать.
                                                                                                            0

                                                                                                            А есть какие то решения для MikroTik. Мне хочется в своей локальной сети ещё и свои домены иметь.

                                                                                                              0
                                                                                                              Если речь о статических записях — умеет: wiki.mikrotik.com/wiki/Manual%3AIP/DNS#Static_DNS_Entries

                                                                                                              Если речь о том, чтобы использовать чужой DNS, а не выданный провайдером, выключите в DHCP или PPP клиенте получение DNS и пропишите его руками в IP->DNS.
                                                                                                                0

                                                                                                                Это то я понимаю. Но провайдер перехватывает DNS запросы к сторонним серверам. Хотелось бы что то типа DNSSEC или DoT/DoH, но с сохранением возможности свои адреса прописывать.

                                                                                                                  0
                                                                                                                  Я не сразу понял суть вопроса, простите. Я бы в таком случае обращался к «далёким» DNS-серверам через какой-нибудь шифрованный VPN-туннель, в который провайдер не сможет залезть.

                                                                                                                  А про DNSSEC или DoT/DoH, спрошу у разработчиков на очередном MUM если не забуду)
                                                                                                                0
                                                                                                                К сожалению, нет. Разве что городить MetaROUTER, но лучше отдельная железка (какая-нибудь raspberry, вполне) с любым линуксовым DNS-сервером и DOT. На худой конец можно просто браузер с DOH.
                                                                                                                  +1

                                                                                                                  Эм?
                                                                                                                  ВПН — и маршрут к гуглоднс через этот ВПН.
                                                                                                                  В чем проблема то?

                                                                                                                    0
                                                                                                                    Нуу, гугл под товарища майора прогибается так или иначе (не говоря о том что он сам корпорация похлеще ФБ, только аккуратнее), хотя бы opendns вместо гугла. В микротик кстати opendns забит помоему
                                                                                                                      0

                                                                                                                      Так гугол можно заменить на желаемое :)

                                                                                                                      0
                                                                                                                      Проблема в том, что микротики не умеют ничего, что отличалось бы от обычного «голого» DNS рекурсора, ни инкапсулировать запросы в TLS сессию, ни проверять dnssec, ни хранить статические записи отличные от «А» или «АААА» и и т.п. И лучше задачу резолва возложить на что-то более универсальное.
                                                                                                                      Также, я не думаю, что VPN получится построить прямо до 8.8.8.8, и уже получается какая-то безопасность «на полпути».
                                                                                                                        0

                                                                                                                        Вообще микротик — маршрутизатор.
                                                                                                                        Иногда немножко контроллер точек доступа или собственно сама точка доступа.
                                                                                                                        DNS — вообще не его тема. От слова совсем…


                                                                                                                        Но настроить ВПН до какого нибудь сервера в зимбабве — и пустить маршрут через этот впн до любого днс вам никто не запрещает, как уже говорилось выше.

                                                                                                                    0
                                                                                                                    Если есть vpn туннель, то в цепочке mangle (output) вешаете метку для таблицы маршрутизации.
                                                                                                                    Пример:
                                                                                                                    Команда
                                                                                                                    /ip firewall mangle add chain=output protocol=udp port=53 out-interface=wan action=mark-routing new-routing-mark=vpn passthrough=no

                                                                                                                    Если совсем паранойя прогрессирует, то дополнительно:
                                                                                                                    Команда
                                                                                                                    /ip route rule add routing-mark=vpn action=lookup-only-in-table table=vpn

                                                                                                                    0
                                                                                                                    а как это сделать?
                                                                                                                      0

                                                                                                                      для Asus с Merlin прошивкой можно DNSCrypt или Stubby поставить.
                                                                                                                      Ещё Skynet скрипт для бана.
                                                                                                                      Ставить можно из скрипта amtm.

                                                                                                                        0
                                                                                                                        Можно использовать DNS over HTTPS. Фаерфокс из коробки умеет, про остальных не знаю
                                                                                                                          0
                                                                                                                          Фаерфокс из коробки умеет
                                                                                                                          Я слышал, что при этом он не проверяет сертификат. И вообще, мало кто проверяет.

                                                                                                                          Т.е. провайдер может просто завернуть это на себя с другим сертификатом. С DNSCrypt провайдеру ещё проше — забанить от греха подальше, благо список публичных серверов известен, свои IP они меняют редко, иначе клиентам придётся обновлять файл с адресами серверов.
                                                                                                                          0
                                                                                                                          1. Маршрутизировать dns трафик через vpn. Тут много вариантов, где запускать vpn клиента, на компьютере или на роутере, или на другом компьютере.
                                                                                                                          2. Использовать современные протоколы DOH или DOT. Тут тоже есть варианты, с ними могут работать как отдельные программы, без использования стороннего по вообще, так же их можно использовать в качестве транспорта для локального кеширующего dns сервера.
                                                                                                                            0

                                                                                                                            Взять любой девайс, поставить туда: или приложение из AppStore с DNS от Cloudflare или же их демона — Cloudflared (на роутер или домашний сервер) и завернуть весь DNS на него.

                                                                                                                            0

                                                                                                                            Так я и говорю о замене на Dns over https например от 1.1.1.1

                                                                                                                            0
                                                                                                                            Мне пока «ipconfig /flushdns» помогает :)
                                                                                                                              0

                                                                                                                              Это не помогает от MITM, который делают почти все операторы с DNS трафиком

                                                                                                                                0
                                                                                                                                Я в курсе. Пока что пофиг :)
                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            +10
                                                                                                                            Когда востребована смазка для черенков лопат, это вызывает грусть.
                                                                                                                              0

                                                                                                                              del, уже написали

                                                                                                                                –2
                                                                                                                                репрессии — не репресси, но почему бы не отказывать в сотрудничестве коллаборационистам?
                                                                                                                                я бы не взял на работу предателя.
                                                                                                                                  +3
                                                                                                                                  Грустно от недавних призывов некоторых обителей Хабра устраивать репрессии по отношению к разработчикам этого софта.

                                                                                                                                  Потому-что если система ценностей и моральных координат людей настолько сбита — я, лично, предпочту их считать нерукопожатными и ничего общего с ними не иметь, потому-что каждый из них способствует созданию инструментов для осуществления репрессий против других людей. Потому-что с моей точки зрения они продают не только свой труд, а ещё и продают своих сограждан.
                                                                                                                                    +3
                                                                                                                                    В произвольных блокировках виноваты разработчики дешёвого и мощного DPI?
                                                                                                                                    А в вышеупомянутой резне в мечети тогда виноваты оружейники, разработавшие автоматические винтовки?
                                                                                                                                      –2

                                                                                                                                      А вы считаете, что производитель оружия не виновен в том, что это оружие используется?
                                                                                                                                      Ну ок

                                                                                                                                        0
                                                                                                                                        Калашников, к примеру (список орденов и медалей гуглится пока что) — он герой?
                                                                                                                                        Или нет?
                                                                                                                                          0

                                                                                                                                          Ну так и?
                                                                                                                                          Он не несет ответственность за то, что сконструировал? Или что вы мне сейчас рассказать хотите?


                                                                                                                                          Каким боком тут "герой или нет?"

                                                                                                                                            +2
                                                                                                                                            Геологи нашли железную руду.
                                                                                                                                            Металлурги выплавили сталь.
                                                                                                                                            Инженер придумал оружие.
                                                                                                                                            Рабочие на заводе сделали оружие.
                                                                                                                                            /* каким-то образом оружие попало в руки террористу. наверное, тут замешаны деньги и политика */
                                                                                                                                            Исполнитель взял оружие и кого-то убил.

                                                                                                                                            Каждый из этой цепочки виновен? Или только исполнитель?
                                                                                                                                              –2

                                                                                                                                              До момента — инженера — к оружию это имеет опосредованное отношение.
                                                                                                                                              Вот начиная с инженера — который конструировал именно оружие, можно и начать вашу цепочку.


                                                                                                                                              И не надо рассказывать что виновен только исполнитель. Если идти вашим путём, то виновен вообще заказчик данного мероприятия. (а нынче просто так мало кто стреляет — не интересно, и прибыли никакой.)


                                                                                                                                              Но в итоге — да, ответственность лежит и на инженере в том числе.


                                                                                                                                              Единственные к кому не могу претензий выдвинуть — так это открывшие атомную физику. Может быть, благодаря им, США до сих пор не оборзела на столько, чтобы в открытую лезть везде, где её не ждут.


                                                                                                                                              Хотя если полезут — вот честно — я бы предпочел большую красную кнопку нажать, чем допустить такое.


                                                                                                                                              Ну и да, куда-то у вас пропали строчки между геологами и металлургами… :)

                                                                                                                                                +2
                                                                                                                                                Единственные к кому не могу претензий выдвинуть — так это открывшие атомную физику.


                                                                                                                                                Ох уж это двоемыслие.
                                                                                                                                                Имеются в виду немцы, использовавшие на своем атомном проекте военнопленных?
                                                                                                                                                Или американцы, которые сожгли Хиросиму?
                                                                                                                                                  0

                                                                                                                                                  Те кто ее открыл — оружие не делали.
                                                                                                                                                  Как и собственно те, кто нашел руду железную.
                                                                                                                                                  Чувствуете разницу?


                                                                                                                                                  Там тоже были инженеры, которые разрабатывали именно оружие.

                                                                                                                                                    0
                                                                                                                                                    Неисповедимы пути прогресса.
                                                                                                                                                    Знали бы Кюри, что их эксперименты — первые шаги по созданию самого мощного оружия в истории — продолжали бы они свои игры с радиацией?
                                                                                                                                                    А оборудование для расчета баллистических таблиц и связи между штабами мутировало в соцсети и котиков.
                                                                                                                                                  0
                                                                                                                                                  enzain
                                                                                                                                                  И не надо рассказывать что виновен только исполнитель. Если идти вашим путём, то виновен вообще заказчик данного мероприятия.

                                                                                                                                                  Вы передёргиваете! И заказчик, и исполнитель виновны. А инженер не инициирует физическое насилие.
                                                                                                                                                    –2

                                                                                                                                                    Нет, я не передергиваю… по этому поводу не ко мне, пожалуйста :)


                                                                                                                                                    Ответственность несут все.


                                                                                                                                                    У вас частный случай. Если его перенести в более понятный частный случай — создание вирусов (ну ни для чего кроме убийства эти вирусы не могут использоваться) — тоже создатель белый и пушистый?…

                                                                                                                                                      +1
                                                                                                                                                      ни для чего кроме убийства вирусы не могут использоваться

                                                                                                                                                      Вирусы используются в генной терапии для лечения генетических заболеваний.
                                                                                                                                                        0

                                                                                                                                                        Все?


                                                                                                                                                        Я вроде ясно обозначил — создан вирус бесполезный в генной терапии.
                                                                                                                                                        Может использоваться только ради самого факта использования.


                                                                                                                                                        Неужели я так не понятно выражаюсь?

                                                                                                                                                          +1
                                                                                                                                                          Я вроде ясно обозначил — создан вирус бесполезный в генной терапии.


                                                                                                                                                          Не бывает вирусов, бесполезных в генной терапии. Есть вирусы, полезность которых еще не доказана.
                                                                                                                                                            –4

                                                                                                                                                            Ваша позиция понятна.
                                                                                                                                                            По существу вопроса — ответов нет.


                                                                                                                                                            Удачи :)

                                                                                                                                                              –1
                                                                                                                                                              По существу вопроса есть хорошая цитата (приписывается Наполеону): «Народ, который не желает кормить свою армию, будет кормить чужую»

                                                                                                                                                              Вот это по существу.
                                                                                                                                                                –2

                                                                                                                                                                Армия у нас, кстати кормится из налогов.


                                                                                                                                                                И если вы приравниваете интернет к армии — пожалуй нам больше говорить не о чем, удачи вам :)

                                                                                                                                                                  0
                                                                                                                                                                  Вы, видимо, нить рассуждения потеряли. Ну так вот она: вы утверждаете, что человек, конструирующий оружие и производящий его — такой же убийца, как человек, его использующий. Заодно вы же привели пример с производством биологического оружия.

                                                                                                                                                                  Я вам подсказал, что в мире несколько больше двух оттенков, на что вы вдруг съехали на «интернет и сопутствующие вопросы». Кхм, вы уж… «либо крест снимите, либо рясу в трусы не заправляйте»
                                                                                                                                                                    0

                                                                                                                                                                    Утверждал я — что человек несет ответственность. О том что такую же — ни слова не было.

                                                                                                                                                                      0
                                                                                                                                                                      Какую же ответственность должен нести, например, Калашников (ну, кроме, конечно, получения множества наград и премий)?
                                                                                                                                                            0
                                                                                                                                                            Все?

                                                                                                                                                            Нет, не все. Еще есть "бактериофаги".
                                                                                                                                                –1
                                                                                                                                                У автоматического стрелкового оружия нет и не может быть никакого другого применения, кроме выпиливания неугодных людей в промышленных масштабах. Поэтому давайте попробуем убрать романтический аспект стрельбы, искусственно насаженный книгами и фильмами, и рассмотреть аналогичные ситуации.

                                                                                                                                                Химик, создавший и поставивший на конвейер новое отравляющее вещество — герой или нет?
                                                                                                                                                Биолог, создавший новый штамм заразы, позволяющей убивать людей миллионами — герой или нет?

                                                                                                                                                По-моему, ответ очевиден: это враги человечества.
                                                                                                                                                  0
                                                                                                                                                  … нет и не может быть никакого другого применения, кроме выпиливания неугодных людей…
                                                                                                                                                  По-моему, ответ очевиден: это враги человечества


                                                                                                                                                  А если рассмотреть аспект оборонительной войны? Убить можно нападая и защищаясь, так же в масштабах страны и войны.
                                                                                                                                                    +1
                                                                                                                                                    У автоматического стрелкового оружия нет и не может быть никакого другого применения, кроме выпиливания неугодных людей в промышленных масштабах.

                                                                                                                                                    То есть, по твоему Archon, наши в войне не должны были использовать ППШ,
                                                                                                                                                    image
                                                                                                                                                    и даже в рукопашную не драться, а сдаться и дружно пойти в концлагеря для унтерменншей?
                                                                                                                                                      +3
                                                                                                                                                      Издревле Земля была населена множественными и вполне различными популяциями людей. Какие-то из них, в силу ксенофобии, неразрешимых противоречий и даже по некоторому внутреннему складу мышления, а иногда и с голоду, очень не любили соседние популяции. Назовем эти «нелюбящие» популяции «популяциями А» (от слова «агрессия»).

                                                                                                                                                      В процессе своей эволюции популяции А непрерывно стремились получить некоторое преимущество в спорах с соседними популяциями. Например, переходили на использование как аргументов в спорах не обычных инструментов, а инструментов более узкоспециализированных, позднее получивших известность под общим названием «оружие». Получив же преимущество над соседями, «популяции А» начинали его немедленно реализовывать самыми разными способами.

                                                                                                                                                      Соседи же вели себя по-разному. Чаще всего среди них появлялись «враги человечества», которые начинали делать оружие, способное уравнять шансы с «популяциями А». При этом сами «соседи», получив определяющий набор признаков, присущих «популяциям А», сначала уподоблялись таковым, а затем и становились таковыми.

                                                                                                                                                      Были, конечно, и более другие, более возвышенные люди, целые народы, не замаравшие себя низменным производством оружия. Они гордо, голыми руками и презрительным взглядом встречали натиск «популяций А». Ключевое в истории таких «иных», более лучших сообществ — прошедшее время. Были, встречали, существовали… Но вымерли в результате эволюционных процессов, т.к. вид, не обеспеченный инстинктом самосохранения, обречен на вымирание.

                                                                                                                                                      Такова уж суть эволюции, и природа человека такова… Либо «враги человечества», либо «корм для волков». Но выбор — выбор для каждого свой, личный, ага. Только выражается он не в ваших идеалистических «быть человеком или быть кровожадным убийцей». Ближе к перефразированному Че: «Оружие или смерть».
                                                                                                                                                        0
                                                                                                                                                        Они гордо, голыми руками и презрительным взглядом встречали натиск «популяций А».

                                                                                                                                                        Не соизволите привести хотя бы один пример, чей конкретно натиск наша страна сдержала автоматом Калашникова? Я вот даже как-то теряюсь.
                                                                                                                                                          +1
                                                                                                                                                          Автомат Калашникова не пригодился. Как и атомная бомба.
                                                                                                                                                          Это не просто прекрасно. Это великолепно.
                                                                                                                                                            0
                                                                                                                                                            Не соизволите привести хотя бы один пример, чей конкретно натиск наша страна сдержала автоматом Калашникова?


                                                                                                                                                            Ну вот, например. Будь советские пограничники вооружены, вместо автоматов Калашникова, например, вилами (вы же ими предполагаете агрессию соседей сдерживать)… Ну, вероятно, вы свой бред про кровавых убийц инженеров-конструкторов писали бы по китайски… Если бы вообще писали.

                                                                                                                                                            Более массовое боевое применение было у ППД, ППШ, у трехлинейки, наконец. И то, что в данный момент широкое применение автоматов Калашникова а также оружия массового поражения на территории страны не требуется и, вроде как, не предвидится — это же замечательно. Это значит, что совокупность имеющихся средств поражения достаточна для того, чтобы отбить у вероятного противника желание пробовать.

                                                                                                                                                            Проблема в том, что ровно для того же эффекта сто лет назад хватило бы просто наличия танков, двести лет назад хватало артиллерии и массовой армии с пороховым вооружением, способным вести сколько-нибудь прицельный огонь с 30-50 метров, а триста лет назад — наличие профессиональной армии работало само по себе. Это я к тому, что вся эта фигня на месте не стоит, и пока принципиальные инженеры и конструкторы в вашей вымышленной белой и пушистой стране отказываются делать новое оружие, инженеры соседей его делают и совершенствуют. С вашим подходом — остановите разработку оружия, прекратите выпуск, подождите лет 30… А потом любуйтесь, как вашу армию и ваших граждан, как папуасов по пустыне, гоняют более технологичные войска соседей.

                                                                                                                                                              +1
                                                                                                                                                              Ну вот, например. Будь советские пограничники вооружены, вместо автоматов Калашникова, например, вилами


                                                                                                                                                              А чем были вооружены китайцы?
                                                                                                                                                              В ночь с 1 на 2 марта 1969 года около 77 китайских военнослужащих в зимнем камуфляже, вооружённых карабинами СКС и (частично) автоматами Калашникова…

                                                                                                                                                                0
                                                                                                                                                                А чем были вооружены китайцы?


                                                                                                                                                                Вот именно поэтому «Китайцы начали отход с занятых позиций», а затем «китайская сторона больше не предпринимала масштабных враждебных действий на этом участке государственной границы.» Потому что у СССР, утрируя, «автоматов Калашникова было больше». А больше их у той стороны, которая их сконструировала и запустила производство.

                                                                                                                                                                Будь техническое превосходство на стороне Китая (условно, изобрети они автомат Калашникова), исход был бы совершенно другим. Тут, как бы, «кто девушку танцует, тот ее и провожает».
                                                                                                                                                                  +1
                                                                                                                                                                  Когда на острове выпал град, китайцы передумали занимать территорию.
                                                                                                                                                                    0
                                                                                                                                                                    Абсолютно верное наблюдение.
                                                                                                                                                                      0
                                                                                                                                                                      Тот самый случай, когда просто наличия вундервафли оказалось недостаточно, пришлось продемонстрировать.
                                                                                                                                                                        0
                                                                                                                                                                        Тот самый случай, в котором особенно явно видна ущербность подхода «нам не нужна вундервафля и кровавые инженеришки, которые, убийцы этакие, ее конструируют».
                                                                                                                                                      +1
                                                                                                                                                      Нет, не виновен. Люди стреляют, а не оружие. Другое дело если вы, образно, «поставляете оружие банде», что описал Nova_Logic
                                                                                                                                                        0

                                                                                                                                                        Используется — не значит в каком то определенном контексте.


                                                                                                                                                        В принципе — используется.


                                                                                                                                                        Без окраса, не в белом не в черном не в сером тоне.


                                                                                                                                                        Ну не виноват же производитель, правда?

                                                                                                                                                  –1

                                                                                                                                                  Ну репрессии не репрессии…
                                                                                                                                                  А вот насчет поздороваться за руку — я бы честно сказать задумался.

                                                                                                                                                  +1
                                                                                                                                                  Я очень удивлён, почему всё это не протестуете. Страдаете и ничего не делаете
                                                                                                                                                    0
                                                                                                                                                    Потому что боятся.
                                                                                                                                                      +1
                                                                                                                                                      Каждый народ достоин того государства, что он имеет.
                                                                                                                                                      0
                                                                                                                                                      Интересно, спасибо.
                                                                                                                                                      Вопросы:
                                                                                                                                                      У западных провайдерв интернет так и работает, по той же простой схеме, что указана в начале статьи?

                                                                                                                                                      Чего ждать ближайшие 3 года?
                                                                                                                                                      — Придем ли к блокировкам VPN?
                                                                                                                                                      — Победят ли Телеграм?
                                                                                                                                                        +5
                                                                                                                                                        VPN запретят обязательно на каком-то этапе. Но не факт, что весь процесс уложится в три года.
                                                                                                                                                          0
                                                                                                                                                          VPN запретят обязательно на каком-то этапе. Но не факт, что весь процесс уложится в три года.

                                                                                                                                                          И как после этого будет выглядеть коннект, к примеру, по ssh к забугорным серверам?
                                                                                                                                                          А при наличии такого коннекта VPN не запретить.