18 марта в 07:12

«Запретите им запрещать» или обратная сторона реестра запрещенных сайтов



Быть может создатели реестра запрещенных сайтов не думали о том, что такое возможно. А может им было известно о такой возможности, но они не придали ей должного значения. А может им не было дела до возможных технических проблем при реализации реестра, и «лишь бы запретить». А может им было понятно, что избежать таких проблем нельзя, и к чему об этом волноваться раньше времени?..

Можно долго спекулировать о том, что они думали и чем они не думали, но факт есть факт: блокировкой любого сайта они невольно вручают мощное средство, если не сказать орудие, защиты и нападения в руки владельца домена, включенного в реестр.

Внимание! Примеры, приведенные в этой статье, не являются руководством к действию и служат лишь для иллюстрации слабых мест в технической реализации реестра. Если вы собираетесь на самом деле поступать так, как предлагается ниже, настоятельно рекомендую ознакомиться с релевантными статьями УК РФ и действовать только трезво оценивая возможные риски уголовного преследования.

Реестр как средство самозащиты

Если вы нежданно-негаданно оказались владельцем такого сайта, по случаю включенному в пресловутый реестр, и если ваша основная аудитория не может попасть на ваш сайт из-за реестра, что означает, прямо скажем, что вам нечего больше терять, вы можете добиться исключения вашего сайта из реестра старым и проверенным способом защиты от некоторых видов DDoS.

Для чего вам нужно лишь сделать техническую переадресацию с вашего домена на любой другой IP или домен. Понятно что переадресацией на 127.0.0.1, как это делается при DDoS, никого не удивишь и только насмешишь Роскомнадзор (хотя для каких-то операторов связи это может иметь неожиданные последствия), для практического эффекта следует делать переадресацию на сайт или сайты, имеющий прямое или посредственное отношение к создателям реестра, добавив либо CNAME запись для домена того сайта, либо A записи для IP того сайта.

Такая переадресация приведет к фактическому включению IP того сайта в реестр, с последующей блокировкой доступа к нему у конечных пользователей. Каковая совершенно естественно приведет к удалению вашего домена из реестра, ибо иначе никак быстро не убрать блокировку.

Можно предположить что при должно выбранной цели переадресации исключение сайта из черных списков будет происходит очень быстро, а значит для переадресующих записей оптимально поставить сравнительно короткий TTL, не больше 10 минут.

Защититься от такой самозащиты Роскомнадзор может составлением белых списков IP адресов, которые никогда не должны блокироваться, с распределением их по операторам аналогично черным спискам. От такого применения реестра пострадают только сайты, имеющие отношения к изобретателям этого реестра.

Реестр как средство нападения

Это самое неприятное для общей публики применение реестра, потому что нет ничего, что помешает злодею сделать CNAME на какой-нибудь, в остальном совершенно невинный, сайт, тем самым включив его IP в реестр и заблокировав к нему доступ без какой-либо практической возможности обжаловать такую блокировку. Если большие компании смогут за себя постоять и оперативно решить это проблему, то для небольших компаний такая блокировка может иметь очень неприятные и продолжительные последствия.

Предсказываю появление на черном рынке услуг по «заказу» сайтов конкурентов путем внесения их IP в реестр без их ведома, продажи уже внесенных в реестр доменов и сдачи поддоменов в аренду для последующего использования по желанию покупателя, услуг размещения запрещенных материалов на вашем домене «под ключ», и тому подобного.

Что в этом для вас?

Пока существует этот реестр, как администратор или владелец сайта вы более не сможете спать спокойно так, как раньше, до прочтения этой статьи. Также это означает что, если раньше вы могли относиться нейтрально и безразлично к этому реестру, то теперь для восстановления вашего спокойствия и ночного сна необходимо чтобы этот глупый, бессмысленный и бесполезный реестр, придуманный кретинами, далекими от интернета, перестал существовать. Даже и не думайте, что вас это не коснется.
+187
109852
205
alexkbs 39,3
Похожие публикации

Комментарии (126)

+22
zorgzerg, #
Коснется конечно многих, но зашевелятся только тогда, когда именно коснется, а не прочитают в интернетах :(
+22
k06a, #
Это приведет к диаметрально противоположной работе роскомнадзора: будут вывешивать для провайдеров белые списки адресов. Но это же вообще сюр…
+21
OnYourLips, #
К этому все и идет.
Наверняка скоро введут обязательную регистрацию сайтов.
+18
alfiruna, #
Так уже даже законопроект есть.
+11
Abcd_Efgh, #
Почти уже закон.
+3
Prologos, #
Тогда интернет просто обязан стать бесплатным для граждан, иначе никому такой интернет вовсе не нужен будет, если будут доступны только сайты из белого списка и никакой свободы… но тогда это не выгодно провайдерам. Шагнем обратно в сторону «каменный век».
+4
Temych, #
И мы по результату общественных обсуждений уже передали позицию в Думу в комитеты и депутатам.
–10
bondbig, #
Ну все теперь и хабр запретят!
+7
Kudja, #
Что-то непонятно про перенаправить заблокированный домен на IP неугодных блокирующих… Чем это поможет в случае, если оператор блокирует не по IP, а именно по домену?
+5
bimcom, #
Не все такие провайдеры, а может даже и меньше половины.
+4
Temych, #
По словам Ксензова (зам.рук РКН): блокирующих по IP — примерно 50% операторов связи.
0
weirded, #
Жесть однако, DPI копейки стоит. :(
+2
Semisonic, #
Забавно, что ранее озвучивались совсем иные цифры, порядка сотен миллионов (уже не помню, долларов или рублей) за DPI-оборудование для крупного интернет-провайдера. Совсем не копейки, однако.
0
Temych, #
Наверное смотря какой DPI и в каких количествах.
Да — величины сотни лямов денег для средних игроков.
+1
weirded, #
[реклама]Достаточное для фильтрации HTTP, от 1000 до 25000р в месяц, в зависимости от ширины канала за суппорт. Железо какое угодно.[/реклама]

Не обязательно же аппаратную DPI покупать, программные тоже неплохи :)
0
AcidumIrae, #
А как DPI к https применять?
+1
trueshura, #
Описанный метод применим для ресурса блокированного по IP (т.е. когда у оператора нет иной возможности заблокировать конкретную страницу).
Если возможность есть см. DPI (в Вашей терминологии «по домену») метод не сработает.
+3
GloooM, #
И данный метод сработает исключительно если оператор при выгрузке реестра не смотрит на IP прописанные в реестре, а сам каждый раз разолвит все домены. Что я подозреваю редкость, наверняка те кто блокирует по IP будут просто брать его из реестра и вносить в ACL. Так что метод по задумке красивый, но судя по всему не особо реализуемый на практике.
+9
alexkbs, #
Ростелеком резолвит домены для блокировки по IP. Вот вам пруфлинк.
+1
GloooM, #
Тогда это меняет дело, боюсь они правда могут изменить логику работы скрипта.
+1
ValdikSS, #
И как часто он их резолвит? Там уже все предусмотрено, наверняка.
По крайней мере, был сайт trava.kiev.ua, который указывал на 127.0.0.1, и был еще сайт, который указывал на один из IP гугла. Ничего, вроде, не ломалось.
0
Semisonic, #
А поясните мне, пожалуйста, как переадресация заблоченного домена на 127.0.0.1 может что-то поломать? Ведь обращения по этому IP не выходят за пределы собственной машины, а значит не могут быть заблочены провайдером в принципе.
+2
ValdikSS, #
Имелось ввиду, поломать на стороне провайдера.
+5
1x1, #
Проверил историю изменения реестра, айпишки в нём ненадолго появлялись, так что блокировка была именно от Роскомнадзора.
А так — да, Ростелеком по айпишке режет даже транзит, зла не хватает.
+1
alexkbs, #
То есть вы, как оператор, не резолвите домены в айпи? И не обязаны?
+5
1x1, #
Не резолвим, не обязаны.

Хотя, существуют рекомендации по блокировке, следуя которым можно резолвить домены (для снижения нагрузки на DPI). DPI в этом случае обязателен.
–1
weirded, #
Я в своём DPI сделал это опцией на выбор провайдера, либо использовать те IP которые приходят от РосКомНадзора, либо резолвить все домены. Что забавно, порой результат резолва никак не пересекается с тем что пришло от РКН.
+2
qw1, #
Если возможность есть см. DPI (в Вашей терминологии «по домену») метод не сработает.

Очень даже сработает. Первая ступень фильтрации — трафик с подозрительным dst-ip роутится на машину с DPI. А там уже проверяется содержимое запроса, и если URL не запрещён, запрос обрабатывается прозрачным прокси, иначе HTTP 302 на заглушку. Если в фильтр первой ступени попадёт vk или youtube, DPI и прокси просто упадут прогонять через себя весь этот трафик.
+3
nshopik, #
Не обязательно форсированно роутить, можно использовать WCCP для распределения нагрузки между многими проксями фильтрами и если они упадут трафик продолжит ходить напрямую, а не полностью дропнеться все.
Впрочем объем трафика по dst-ip из списка сейчас менее 0,1% от общего в сети оператора, разве что крупное попадет как вы сказали VK, youtube, etc.
0
Chamie, #
HTTPS как предполагаете вскрывать для извлечения URL?
+1
nazargulov, #
Можно извлекать сам домен, уже не dst.ip.
0
Chamie, #
Домен внутри шифрования передаётся же.
+1
qw1, #
На уровне HTTP-да. А ещё дубль открыто есть в SSL SNI.
0
Chamie, #
Т.е., любой IE под WinXP будет обходить этот контроль?
0
qw1, #
Зачем? Нет SNI — заглушка.
Юзер обращается в поддержку провайдера — а они ему «установите современный браузер (firefox, chrome)»
О! Можно даже заглушку замутить: «Для просмотра требуется новый браузер» ))

И все довольны.

0
Chamie, #
А если он с телефона на старом Андроиде выходит? Да и WebDAV SNI не поддерживает.
0
qw1, #
Андроидам тот же ответ — «Вам шашечки или ехать?.. Ставьте хром, оперу, файрфокс».

А WebDAV
1. Малы шансы, что сервер окажется на одном IP с заблокированным сайтом
2. «Вам шашечки или ехать?.. Переключайтесь на режим без SSL».
+1
Chamie, #
А заодно выкинуть все устройства с прошитой сетевой функциональностью через SSL. IP-телефоны там, всякие, трекеры, etc.
0
qw1, #
Не понял, в чём проблема. SNI надо использовать только в случае, когда сработал фильтр по dst-ip. Зачем телефону делать коннект на адрес, прописанный в реестре?
0
Chamie, #
Речь разве не о том, чтобы перенаправить блокируемый домен на посторонний адрес, сделав его «подозрительным»?
0
qw1, #
Ага, теперь понял. Да, dos-атака через реестр может отрубить некоторые сервисы, и никакой DPI не поможет.
–2
Darka, #
SSL Bump как минимум.
Да и вендоры давно уже умеют SSL разбирать… www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/protocol_ref_guide/04_signatures.html
+1
Chamie, #
Bump не работает без подтверждения пользователем доверия подменённому сертификату. И по вашей ссылке не увидел разбора SSL, только определение «SSL это или нет».
+1
trueshura, #
Ну во-первых: «завалить DPI/прокси» это все-же метод отличный от описанного в статье.
Теперь порассуждаем «за жизнь» :)

Во вторых: если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов. Так что уверяю Вас — они-то как раз и обрабатываются.
В третьих: как Вы сами сказали, фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный, что не завалит DPI, который думается стоит естественно не на магистрали, а на PE (provider edge) устройствах (в т.ч. именно к ним подключен ДЦ VK).
0
1x1, #
Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов?

Парочка радикалов обычно тусует на шаред хостинге, и их блокировка накрывает ещё сотню сайтов. Большие сервисы ещё могут исправить ситуацию, а вот соседи поневоле…

А этот трафик (в отличие от обратного, с контентом) очень даже скромный

На скромность исходящего трафика не рассчитывайте, всё равно в один чудесный момент железки не хватит. Весь исходящий и потенциально блокируемый отличаются в тысячи раз, так что выгода налицо.
+3
qw1, #
если не прогонять вконтакт и ютуб — то кого еще? Все делалось именно для массовых сервисов, а не тех, где тусует парочка радикалов.

Нет, делалось для запугивания, а не как техническое решение. vk понимает, что если его трафик будет проксироваться через DPI и загрузка страницы будет 10 секунд, трафик упадёт. С другой стороны, правительство как-бы не виновато, они запретили только одну страницу и она не открывается совсем. Поэтому всё народное недовольство достанется провайдерам и сервисам )) Это видно на примере vk — стараются убирать контент, а не становится в позу. А вот на примере википедии, которая не прогнулась и клала на блокировки — её просто удалили из списка.

фильтр стоит на исходящие от клиента пакеты, да еще и с GET запросами. А этот трафик (в отличие от обратного, с контентом) очень даже скромный
Это не будет работать. Магические слова из rfc: Connection: Keep-Alive.
GET+Host может быть в любом месте tcp-потока, причём просто на подстроку реагировать нельзя — надо парсить структуру HTTP-запросов, со всеми их волшебными chunked encoding и т.п., иначе можно завалить нормальный сайт, просто разместив стоп-фразу GET где-то в комментариях ))
+2
Darka, #
А это мысль…
0
weirded, #
Кстати, Вы не в курсе — есть какие-нибудь софтверные DPI, работающие в Kernelspace и кидающие HTTP 302 оттуда?
0
qw1, #
Увы, я не знаю, как это работает изнутри.
Приходится изучать по внешнему поведению.
0
ragus, #
а зачем именно в ядре?
0
weirded, #
А удобно же. Одним правилом iptables всё фильтровать, например :)
0
ragus, #
в ядре — медленно. никто не делает dpi в ядре.
+5
peinguin, #
И еще. Я думаю, что ІР берется раз(если берется), в момент блокировки. И более не обновляется.
+8
alexkbs, #
Обновляется, пишут. Если б не обновлялся, сайты так и прыгали бы с IP на IP для ухода от блокировки. Сколько сейчас простецкий VPS стоит с отдельным IP? Да нисколько, практически. Менять можно хоть каждый день как перчатки. Понятное дело РКН должен устранить такой уход от блокировки, иначе грош ему цена.

IP точно берется и передается операторам. Это видно в документации на протокол.
0
AmirL, #
Эй, не надо мотивировать создавать белые списки! Иначе из такой временной меры, они когда нибудь превратятся в полноценные.
+5
sonic, #
Нужен p2p-прокси. Без центральной точки входа. С замаскированным трафиком.
+5
qw1, #
Вопрос не в точках входа, а в точках выхода. Они должны быть не в России, и при этом владельцы должны быть почему-то заинтересованы в этом прокси. Если это цензура ГосДепа — да, она может поднять сеть точек выхода. Но также эта сеть будет лакомым куском для мошенников, которые с радостью перепродадут выходящие личные данные, а то и просто блоки AdSense заменят на свои.
0
norlin, #
Уже есть: cjdns
0
Darka, #
Ну это не прокси, это Интернет 2.0.
0
norlin, #
В качестве прокси тоже можно использовать.
0
Darka, #
Нет нельзя, только как транспорт, до вашего шлюза Гипербория<>Интернет.
0
Foxcool, #
У меня, кстати, есть мысль, что это тот самый случай мною названой "естественной депонополизации". В общем, технологии меш-сетей пока не годятся заменить связь между городами и странами, НО как средство обеспечения связи на последней миле уже годится. Т.е. обеспечить внутри городов такую независимую связь, а уже на уровне более высоком пока технологии не вышли на этот уровень и нет правовой поддержки, можно морочиться с оверлэйными способами связи, как это уже сделано в том же CJDNS.

Проблема, как всегда в людях. Любые распределенные решения требуют развития узлов, а не центра. Т.е. у нас требуется образованноть людей и активность. Хотя можно пробовать налаживать продажи таких прошитых роутеров и распространение сетей среди неспециалистов.
Ну и еще меня немного смущает вайфай: чтобы не было проблем с перегруженными каналами связи, надо что-то делать.
+2
norlin, #
Прокидывать провода сильно сложнее. Но cjdns, теоретически, позволяет любой канал использовать — хоть вайфай, хоть оптику, хоть спутники.

Для массового использования нужны предпрошитые роутеры, ресурсы внутри сети (чтобы люди стремились купить такой роутер) и нормальную распределённую DNS (пока что она на этапе разработки, насколько я знаю).

p.s.
На русском форуме cjdns поставили офигенный эксперимент – в cjdns-точку можно превратить любой вайфай роутер, у которого открыто подключение непосредственно к вайфай сети без ведома владельца роутера. Т.е., например, точки Макдональдса или любые другие, которые предлагают авторизацию внутри сети, уже после физического подключения.
+1
MainNika, #
Я работал над проектом порта для Android. Считаю, что для распространения этой прекрасной сети нужно выводить ее на мобильные устройства. Но другие важные дела меня подкосили и я пока отложил это в ящик.
Как-нибудь я все-таки решусь и закончу это дело.
uppit.us в android
image
0
dzok, #
Не забудьте предложить ее f-droid, если лицензия позволяет.
0
sapper, #
Там не полноценная точка получается — она может только трафик перекидывать между двумя полноценными точками, если я правильно понял.
0
norlin, #
Полноценная cjdns-точка получилась. Фишка в том, что авторизация там происходит уже после физического подключения к wi-fi сети. А для cjdns-траффика никакая авторизация не нужна, нужно лишь физическое подключение.
+3
MiXaiL27, #
Прошу простить мою безграмотность, но я пока не увидел внятного объяснения как работает блокировка по IP для сайтов, существующих только на IPv6. Как работает блокировка и работает ли в этом случае?
+4
qw1, #
+4
niosus, #
Я вот все читаю про этот новый ВЛФ и не покидает меня одна тревожная мысль. Это ведь серьезная система… Кто-то же ее разворачивает! Я имею в виду именно в техническом плане. Я не могу представить почему айтишник может согласиться на подобную работу :(
+6
Ariman, #
Как-то вы слишком верите в добродетель людскую.
Люди соглашаются на убийства, грабежи, предательства — а вы не можете поверить, что кто-то согласился на профильную работу, только потому, что она создаст проблемы коллегам по цеху.
Система серьезная, деньги тоже серьезные.
+5
niosus, #
Она создает больше чем пробелмы коллегам по цеху… И для меня люди технического склада ума не такие как те, кто убивает за деньги. И да, я наивный идеалист :(
+1
Ariman, #
Больше. Но неужели вы думаете, что люди технического склада ума не совершают преступлений? В том числе и банально ради наживы.
0
Alexufo, #
+42
Temych, #
Внезапно:

Реестр как средство пропаганды повышения интернет-грамотности и осознания своих гражданских прав:
(такой вариант заглушки установил мой интернет-провайдер)

image
(линк из заглушки)
+32
NeoTheFox, #
Респект и уважуха такому провайдеру!
+6
sibvic, #
Почему-то постоянно читаю адрес сайта zapret-info с норвежским доменным именем
+3
Temych, #
Тонко)
Хороший бы мем получился при грамотной раскрутке)
0
OCTAGRAM, #
Я такое предлагал и развил мысль ещё дальше: habrahabr.ru/post/193848/

Это только начало, надо перебором подобрать, чего бы такого размещать на заглушках, чтобы блокировать разхотелось.
+5
resetnow, #
Когда закон только ввели, казалось (каюсь, наивен), что мне-то уж точно ничего из заблокированного не понадобится. Теперь вижу ростелекомовскую заглушку стабильно 4-5 раз в неделю.
–8
constnw88, #
Видел ее всего пару раз, какие же сайты вы посещаете? =)
+6
resetnow, #
customize.org
grani.ru
какой-то сайт с документацией по mysql (не помню названия)
какой-то хостинг изображений
ЖЖ был заблокирован пару дней назад

Я не то чтобы их посещаю, просто так или иначе иногда попадаешь.
+4
Temych, #
С каждым днем охват реестром сайтов и, соответственно, их аудитории становится всё шире, так что рано или поздно и вы будете видеть такие заглушки всё чаще.
И второе — необязательно посещать именно запрещенные ресурсы — достаточно, чтобы ваш оператор связи блочил их по IP и тогда вы вообще не будете понимать — почему у вас перестали быть доступны порталы программистов, переводчиков, сайты детских садиков и т.д.
–3
constnw88, #
Хорошо, что наш провайдер блокирует только ссылки на контент. =)
+1
Temych, #
А это вот тоже стратегически не очень хорошо, когда государство вплотную займется DPI.
Так что в итоге еще неизвестно что окажется хуже — блокировка по IP или глубокий анализ пакетов))
Да, и так и эдак — плохо.
+1
constnw88, #
Государство вплотную занимается и более серьезными вещами, посмотрите на продукцию Центра Речевых Технологий. От их возможностей становится даже немного не по себе.
0
bypasser, #
Ну не знаю — тестовый стенд VoiceKey меня признавать решительно не желает.
0
dzok, #
Направление не ново, но развивают активно и целеустремленно, простым морфированием уже давно не отделаешься.
0
bypasser, #
Вот интересный вопрос — можно ли в суде использовать как доказательство запись голоса, пережатого G.723.1 на 5 кбит/сек,

Или даже ИМХО «лучше» Speex настроенном на узкополосный режим, 5 кбит/сек.
0
dzok, #
Кстати да.
0
docxplusgmoon, #
Дайте пожалуйста какой-то онлайн прокси сервер чтобы открыть livejournal.com в Казахстане.

Что-то гугл не туда показывает
0
fetis26, #
турбо-режим в опере
0
Temych, #
Попробуйте разные варианты
Тут уж с наскока не подскажешь вам какой инструмент сработает, а какой — нет.
+1
neegor, #
0
bypasser, #
А что, VPN у Вас уже запретили?

А вообще такое годно ищется по запросу online cgi proxy
0
fetis26, #
белых списков не будет.

скорее будет специальная статья в УК или КоАП «О противодействии и нарушении работы Единого реестра запрещенных сайтов». это так в духе наших законников.

p.s. статьи по ссылке смотрел
+1
qw1, #
да есть же…
273. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации

274. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб
0
fetis26, #
в 273 речь про вирусы.
мне кажется правка днс это скорее 274, правда непонятно на какие правила эксплуатации они ссылаются

ну и скажите под какую статью попадает использование прокси для обхода? ни под какую. а скоро может
+2
alexkbs, #
«Создание и использование компьютерных программ… заведомо предназначенных для несанкционированного блокирования компьютерной информации» — Программы использовали? Использовали. Блокировали сайты? Блокировали. Шах и мат.
0
Suntechnic, #
Блокировал? С чего бы это? Блокировал провайдер по распоряжению РКН.
+1
qw1, #
Этак можно и мышьяк в муку насыпать. А я что? Ничего! Это хлебокомбинат булку испёк, продавец продал, а пострадавший сам съел, никто его не заставлял.
0
Suntechnic, #
Не, давай уже до конца доводить аналогию — этак можно и за подсказку как пройти в булочную лет 5 впаять, как за причинение особо тяжкого вреда здоровью, потому что в булочной человека избили копы, так как подумали, что у него в зубе мышьяк.
0
qw1, #
Если копы избили в ходе следственных мероприятий (искали террориста с мышьяком), то наказывать некого — всё законно.
Если избили незаконно, тут всё от умысла зависит.
Если советчик знал, чем закончится поход в булочную, видимо он был в сговоре с плохими копами.
0
Suntechnic, #
Ну почему — копы избивают абсолютно законно — на то они и копы. В данном случае разумеется. Кроме того никакого сговора и подавно нет — скорее наоборот.
Проблема в том, что нельзя прибегать к логике когда пытаешься описать абсолютно бредовую ситуацию или систему. Здесь логическая ошибка в самом законе, и как ее не штопай, не увешивай мишурой она так или иначе вылезет наружу. GIGO во всей красе.
0
qw1, #
Тут разница в том, что когда провайдером блокируется хороший сайт из-за подставы IP, это делает робот по заданному алгоритму. Субъект, принявший решение о блокировке — не на стороне провайдера.
0
Suntechnic, #
Конечно нет. Субъект принявший решение о блокировке это РКН.
0
qw1, #
Принявший решение о блокировке «хорошего» сайта или «плохого»?
0
achekalin, #
Ну и что, пропишете вы такое… Во-первых, веб-сервер знает список хостнеймов, на которых конкретный сайт (скажем, сайт Роскомнадзора) открывается (если же нет, то привет админу, да). На сервер, настроенный отдавать сайт «aaa.ru», прилетит «GET /» для хоста «bbb.ru» — отработается настройка для дефолтного сайта, которая, по идее, должна отдавать что-то статическое и легкое (как раз на такой случай — только прежде всего имеется в виду не случай «атаки», а случай кривых настроек одного из пионэр-админов по всеми инету).

Затем, если у провайдеров стоит что-то вроде либо прозрачного прокси (да, есть и такие), либо развернут DPI — т.е. что-то, что умеет читать заголовки, то сам факт наличия в запросе имени (и, возможно, URI) заблокированного сайта/страницы зарубит этот запрос (точнее, отдаст вместо него документ с указанием причин блокировки).

Я к тому, что тупым CNAME-ом Вы ничему не поможете. К сожалению. Пока Вы не будете контролировать сеть (напр., ваша сеть пока не будет в туннеле внутри обычного инета), Вы не сможете быть уверены, что запрос ваш ушел на нужный сервер и вернулся с него же.
0
ClusterM, #
Неужели только мой провайдер блокирует сайты не по IP, а по URL? Ведь в реестр добавляют именно URL, а IP идёт скорее как дополнение.
+5
amarao, #
Про подобную схему атаки уже давно говорилось. Самым сильным является приём, когда «обычной аудитории» отдаётся один IP, а Роскомнадзоровским роботам — другой. Делается в шесть строчек в бинде (из которых 4 — открывающие/закрывающие скобочки). Выяснить адреса роботов не так уж сложно.

Дальше простая схема:

Запретителю отдаётся сайт с суициидальными порнографическими оппозиционерами экстремистки нарушающими копирайт на детсткую порнографию, запретитель пишет в роскомнадзор, роскомнадзор ресолвит, получает другой IP (атакуемой компании), вносит в реестр. ИП в бане.
0
worldaround, #
Это всё значит, что можно заткнуть ip от микрософт.ком, уйти в https и больше тебе никто ничего никогда не сделает?
0
qw1, #
Нет, просто провайдеры втихую внесут microsoft.com в ALLOW выше, чем все DENY от реестра.
Этот простой трюк минимизирует потери от хулиганства.
0
worldaround, #
Но вылезти из бана значит можно без особых усилий?
0
qw1, #
Нет, нельзя. Если вы на свой сайт badsite.com повесите IP от микрософта 64.4.11.37, этот IP сначала заблокируют, а потом внесут в белый список, это не значит, что вы сможете захостить на этом IP свой контент.
0
Chamie, #
Можно перебирать все IP серверов майкрософта. CDN'а какого-нибудь.
0
qw1, #
Тогда админ провайдера просто внесёт в белый список всю подсеть CDN-а (если он кому-то нужен и будут жалобы).
0
worldaround, #
Нет, amarao скзал что можно настроить бинд так, что смертные пойдут на правильный айпи, а надзиратели лесом — на зеркальный сайт, а, насколько я понимаю — никто урл вытаскивать из https не умеет. Так получается, что нет способа залочить сайт в лоб.
+1
qw1, #
Во-первых, в реестр попадает как IP, так и домен.
Поэтому то, что реестр попадёт левый IP, не спасёт от блокировки по домену, которую делают даже провайдеры без DPI (пруф).
А насчёт https — здесь.
0
Chamie, #
Это если у CDN все IP в одной подсети. Да и вообще — блокируемый сайт может и сам пользоваться CDN. Cloudflare, например.
0
qw1, #
1. Неважно, одна подсеть или 10 (1 строка в ACL или 10) — все сети перечислены в ripe db.
2. Странная ситуация — сайт из CDN делает DoS-атаку через реестр на другой сайт в CDN. Реестр не сможет надёжно заблокировать по IP ни первый, ни второй сайт.
+1
spmbt, #
А подумалось по заголовку, что речь пойдёт о законодательном запрете блокировок. Можно же в Конституцию ввести доступ к интернету как право граждан наравне с другими правами.
+2
Begetan, #
Описанный в статье троллинг уже сработал Пруф

Выше в топике жалобы других провайдеров, которые не разобрались.
0
alexkbs, #
Ну теперь главное чтобы до корневых DNS не дошло.
+4
ValdikSS, #
В общем, выгрузки реестра берутся по адресу vigruzki.rkn.gov.ru/. nap.rkn.gov.ru/reestr/, eais.rkn.gov.ru/, 398-fz.rkn.gov.ru/ имеют этот же IP-адрес.
Домен, который забанили, navalny.zona.me, поставил этот IP себе, и реестр заблокировали!
На наге провайдеры не могли выгрузку получить, лол.
+1
Svbakulin, #
Получается если иметь довольно большое количество варезников (пожалуй тысячи) с достаточно противной информацией, которая будет скажем так гарантировать их блокировку, и регулярно (несколько раз в день) их редиректить на совершенно рандомные, но очень важные ресурсы, вся работа этого безумного фильтра превратится в один большой саботаж. Убирать их из блэклистов будет равнозначно отключению фильтра, потому что информация тогда будет доступна самая «нежелательная», а постоянный и непредсказуемый редирект сделает работу вайт листов неэффективной. Осталось кому нибудь закраудфандить проект, ну либо пойти правильным путем и заменить тех кто это придумал кем то у кого в голове все так что то есть. Это конечно при условии что доля не-DPI в фильтре достаточно большая.
0
alexkbs, #
Хватит и нескольких зеркал одного запрещенного прокуратурой блога-оффтопика.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.