- Почему Амазон не идёт на сотрудничество с Роскомнадзором?
- Сколько стоит постоянный перенос серверов Телеграма на другие IP-адреса внутри облака?
- Почему невозможно банить сервисы, хостящиеся на Амазоне, конкретными IP, а не подсетями сразу?
А начнём мы, пожалуй, с такой картинки:
Когда запускаешь свой сервис на Амазоне, обычно это происходит так:
а) настраиваешь какую-то виртуальную машину,
б) устанавливаешь на неё свой сервис,
в) проверяешь, что всё работает, а потом
г) делаешь из неё AMI — полный слепок, образ твоего сервиса вместе с операционной системой и всем прочим, что там есть.
Он сохраняется в облаке, а затем при необходимости очень легко и просто (и, главное, автоматически) тиражируется в любом разумном масштабе с автоматической же донастройкой. На скриншоте как раз приведён интерфейс, в котором задаются некоторые дополнительные настройки для запуска множества экземпляров заранее сконфигурированного слепка.
Стрелочкой отмечена опция «Автоматически назначить внешние IP-адреса для каждого экземпляра».
Так вот. Когда запускаешь свой сервис в большом масштабе, Амазону можно указать, чтобы при определённой нагрузке на процессор виртуальной машины он разворачивал рядом ещё один экземпляр твоего сервиса. Или, например, сразу сто штук. Или не при нагрузке на процессор, а, допустим, при паре сотен одновременно активных сетевых соединений. Таких метрик для автоматического масштабирования очень много, и правила для автозапуска можно настроить тоже довольно гибко.
Посмотрим теперь на такой вот график:
Это аппроксимированное количество одновременно активных пользователей всемирных интернет-сервисов в рабочее время. В Тихом океане почти никто не живёт, в Китае интернет свой собственный, а наибольшее количество пользователей приходится на Европу, и — в особенности — запад США. Это верно почти для любого сервиса со всемирным охватом, хоть Стима, хоть Нетфликса, хоть Википедии, хоть Телеграма.
Как мы видим, разница между максимумом и минимумом раза в полтора. Буквально это значит, что если ты работаешь на весь мир, то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое больше мощностей, чем другую половину суток, когда день в Азии. Вот и настраиваешь себе соответствующие правила автоматического масштабирования, чтобы не тратить процессорное время (и свои деньги — в облаках как нигде время=деньги) понапрасну в то время, когда оно не нужно.
И половина экземпляров твоего сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно услужливо тебе их снова поднимет.
Теперь ответим на вопрос 3). Стрелочка на скриншоте не просто так нарисована. Опция «Автоматически назначить внешние IP-адреса для каждого экземпляра» берёт адреса из доступного пула адресов — Амазону принадлежит несколько миллионов, и ещё несколько он арендует у других владельцев. Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).
И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно. Может быть, тебе, а может быть другому клиенту, который тоже автоматически масштабирует свой сервис, а может и эфемерному экземпляру сервиса самого Амазона. Таким образом, ответ на вопрос 3) тривиален: потому что сегодня этот IP-шник твой, а через пару часов чей-то ещё. Если твой сервис кому-то неугоден, но автоматически масштабируется, то забанить его по IP можно, но только если запретить весь пул.
И на вопрос 2) ответ тоже тривиален: нисколько не стоит. Облако само назначит следующему экземпляру какой-то другой адрес из доступного ему пула, хочешь ты этого или нет.
Теперь про первый вопрос.
Ответ не так очевиден, но попробуем сделать то, что называется educated guess (не знаю, как это лучше сказать по-русски, «предположение на основании опыта», наверное?).
Амазон — это самое старое из больших облаков. Программная обвязка, которая занимается всеми этими автоматическими масштабированиями, написана ещё лет десять назад, и с тех пор работает как часы. Сам гигантский сервис Амазона работает ровно в том же самом облаке. Обвязка эта не сломана, её не надо чинить, а любые изменения, которые пишут люди, имеют риск внесения ошибок. Поэтому фича по изоляции пулов адресов под клиента, если начать её разрабатывать прямо сейчас, займёт до чёртиков времени, и если вдруг приведёт к большим изменениям, то цена возможных последствий будет исчисляться миллиардами долларов. В самом прямом смысле.
И ответ на 1) звучит так: Для Амазона попросту невыгодно переделывать свою инфраструктуру под требования спятившего надзорного органа государства, все клиенты из которого не приносят столько денег, чтобы скомпенсировать возможный риск для самого себя и клиентов из других стран. Звучит жёстко, но это, к сожалению, бизнес.
Кстати, с остальными облаками всё ровно то же самое. Ютюб оказался забаненым потому, что сервисы самого Гугля не отделены от сервисов клиентов Гугля, и работают в том же облачном пространстве с единым пулом адресов. И с сервисами Майкрософта аналогично.
Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…
Комментарии (145)
firk
26.04.2018 00:23-7Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно.
Во-первых, если заблокировать, например, весь Амазон (не в курсе так ли это сейчас), то никакие скрипты внутри него блокировку не обойдут. Так что "война с алгоритмами" будет только если блокировать одиночные адреса (и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети).
Во-вторых, алгоритмы — это вовсе не законы физики. Не приписывайте этим конструкциям ("облакам") каких-то эксклюзивных свойств. Они просто большие и ничего кроме этого. Во всём остальном это всё так же продукт чьего-то организационного решения и чьего-то кодинга.
DIHALT
26.04.2018 00:39+1Вы невнимательно читали текст что ли?
MTyrz
26.04.2018 00:49+4Нет, он просто на работе.
asmln
26.04.2018 15:37-4Он работает на кремль? И у тебя есть доказательства этого? Или ты балабол?
PyVolshebnyi
26.04.2018 16:08+3Можно я за него отвечу? Мне тоже приятнее думать, что некоторые люди за комментарии получают деньги. И именно поэтому в комментариях бывают проблемы с логикой и прямые противоречия здравому смыслу — для доказательства оплаченной точки зрания. Мне не хочется верить что человек может такое писать на полном серьезе.
Это мало относится к firk, он и правда просто пост по диагонали прочитал, похоже.
MTyrz
26.04.2018 21:22А лично вас, после одного нашего с вами разговора, я прошу больше никогда со мной в разговор не вступать. Все равно не отвечу.
firk
26.04.2018 01:26-1Нельзя ли пояснить?
areht
26.04.2018 02:02Проблема не в алгоритмах и облаках. Проблема в том, что РКН — это псих, который за самолётом бегает, пытаясь его сбить граблями.
С одной стороны, можно заставить самолёт летать пониже, но проще игнорировать болезного.gto
26.04.2018 02:12Вы как-то идеализируете облака. На самом деле это просто большая инфосистема, у которой есть ограниченое число точек входа, перекрыть которые физически осуществимая задача. РКН осторожничает. Мог бы на уровне AS решать. А он что-то там выковыривает.
areht
26.04.2018 03:04+1> Мог бы на уровне AS решать.
Не мог бы. Тогда точно всё навернётся, где тогда Димон будет кроссовки покупать?, ему ломать интернет не разрешали, так что из подручных инструментов только грабли. Поэтому РКН и вынужден фигурно вырезать. Хотя, чисто технически, — мог, мог бы и push-сервера гугла забанить. Но не может.
> перекрыть которые физически осуществимая задача
Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков. Вот наш чебурнет отключить физически от их интернетов, облаков и телеграмов можно. Но, опять же, нельзя.
Да и проблема не в облаках, купить IP и развернуть инстанс можно у любого хостера.
А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?
А если этот образ ботнет подберёт и «у вас запущен прокси телеграма, заплатите нам 1 BTC или вас забанит РКН»?
И это мы про p2p и IPv6 не вспоминали.gto
26.04.2018 10:34Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков.
Их возражения на физику отключения не влияют. У каждого сервис-провайдера, облачного или приземлённого не важно, конечное число ип (даже если это число большое). Так что, на первом же рутере после границы разворачивать анонсы их систем в блэкхол и, как говорила учительница по математике, теорема доказана.
LLE
26.04.2018 18:13А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?
Кто-нибудь уже предложил Дурову или он сам догадывается об этом веселом варианте?
sumanai
26.04.2018 04:47и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети
Только сейчас откатился на бан отдельных айпишников.
Woit
26.04.2018 09:26Совершенно верно! Алгоритмы это не законы физики, это — законы математики. Если с физикой еще как-то можно поспорить (высокие давления там, да прочие пограничные условия), то с математекой спорить может только законченый дебил
Kanut79
26.04.2018 10:03Алгоритмы часто базируются на математике, но законами математики не являются. И если уж на то пошло, то на алгоритмы "производимые" отдельными личностями без боли смотреть сложно :)
kvasvik
26.04.2018 13:05Не путайте программы и алгоритмы. Все программы написаны людьми, и людьми же могут быть переписаны. В том числе, с использованием других алгоритмов если нынешние оказались под запретом.
gto
26.04.2018 13:34Всё-таки вы путаете алгоритмы и законы. Алгоритм — путь до решения задачи. А путей может быть много.
SibDrow
26.04.2018 00:47-10Амазону достаточно в термсах запретить ставить впн на своем облаке и все. Дуров не рискнет нарушать закон ТАМ.
Имхо можете сколько угодно изголятся над РКН, но анонимность и приватность уйдет из интернета, как только нейросети в сети станут неотличимы от живого человека.
Я так и вижу будущее, поднял нейросеть где-нибудь на сервере в Бангладеше, натренировал её на нужной выборке и послал в сеть, создавать террористические ячейки. Удобно, дешево и эффективно.Shadow_Runner
26.04.2018 09:03Ничего себе у вас там методички забористые. Тут машины ездить полностью безопасно никак не научат, а у вас нейросети уже скоро смогут людей организовывать да тест тьюринга проходить безупречно.
Не выглядит это ни удобным (уж очень сложно технически, на данный момент невыполнимо), ни дешево (вычислительная мощность нужная не говоря уже о квалификации специалистов, да еще чтоб они на карандаше у правительства не были), эффективно (на данный момент эффективность нулевая).
nidheg666
26.04.2018 11:02эм суда по тебе и ещё одному перцу тут в комментах у вас свежую дурь на фабрику завезли?)
a-l-e-x
26.04.2018 11:16Амазону достаточно в термсах запретить ставить впн на своем облаке и все.
На мой взгляд, в этом нет смысла, так как ВПН требуется очень многим клиентам. То есть это очень востребованная услуга.
trapwalker
26.04.2018 12:392035 год выдался переломным. Какая-то шайка скрипт-киддисов дорвалась до заблокированного росимперкомнадзором StackOwerflow и скопипастила оттуда удачный сниппет для тренировки нейросетей. Масштабная атака нацеливалась на очередную ассамблею по правам всех меньшинств, в число коих с недавних пор стали входить и натуралы. Нейронные сети гнали в соц-сети поток мемчиков с фейковых эккаунтов, подбирая последовательность на основе обратной связи из твиттеров и инстаграммов участников ассамблеи.
Эволюционные механизмы, заложенные в основу атакующего ботнета зародили в умах землян саморазмножающийся мемо-вирус, который оказался достаточно живучим, чтобы искоренить здравый смысл на планете. С этого момента в галактическом содружестве принято считать Solar-3 безопасной планетой, населенной жизнью без зачатков самосознания.
PyVolshebnyi
26.04.2018 16:13Согласен, а еще Амазону стоило бы запретить открывать порты кроме 80 на виртуалках. И специальный бот должен проверять что на 80 порту виртуалка отдает HTTP контент, а иначе виртуалку банят сразу.
Еще лучше бы конечно разрешить запускать только специально созданный амазоном образ виртуалки и запретить пользователю его менять, дабы не вышло чего.
struvv
26.04.2018 23:30террористические ячейки создаются когда очередной идеалист-террорист-тракторист пытается внедрить чистую реализацию одной священной книги, тупо как написано в тексте. Которая находится в белом списке по распространению, несмотря на очень очень экстремистское содержимое.
Номпьютерные нейросети тут ваще не нужны, как и компьютеры. Это операционная система, работающая напрямую в мозгах людей
kinazarov
27.04.2018 17:03Амазону достаточно в термсах запретить ставить впн на своем облаке и все
Действительно.
Только это упущенная прибыль, которую амазон захочет компенсировать. В состоянии ли РКН заплатить за запрет пользоваться VPN ту сумму, которую затребует один только Амазон? Для одной страны России? Для всех стран мира? А в состоянии ли Амазон точно обнаруживать использование проксирующих и впн сервисов? А если они частные, мелкие, по типу кооперативов принадлежащие физлицам на 10-60 человек пользователей, где все друг друга знают и по принципу круговой поруки будут друг друга оправдывать?
А ведь есть еще и Микрософт и гугл и digital ocean с их облаками.
И облачные провайдеры поменьше.
Имхо ркн денег не хватит честно оплатить свои хотелки даже одному крупному облачному сервису.
Поэтому и продолжают действовать бесчестно, продолжают бороться с ветряными мельницами, раз за разом выставляя всё своё ведомство бездарными идиотами. А заодно и тех, кто подобные меры узаконил и приказал осуществить.P.S.
Такая "модель кооперативных впн" мне очень напоминает партийные ячейки, которые создавались, например большевиками. Для свержения тогдашнего законного правительства. Так что молодцы, РКН, продолжайте в том же духе.
И, разумеется, это всего лишь моя фантазия. В реальности всё наверняка будет иначе.
Andy_Big
26.04.2018 00:57И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно.
Я плохо знаком с облачными сервисами и вот это вызывает у меня вопросы. Есть мессенджер с сервером и клиентом. Клиент должен подключиться к серверу, но для этого он ведь должен знать адрес этого сервера. А если облако постоянно подставляет серверу мессенджера адрес какой попадется из свободных — как клиент будет узнавать этот адрес?
Ну или пусть это будет очень нагруженный посетителями сайт — нельзя же ему менять случайным образом свой IP каждые несколько часов, записи на серверах DNS просто не будут успевать обновляться.
Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?PastorGL Автор
26.04.2018 01:09+2Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.
DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.Andy_Big
26.04.2018 01:26Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.
Тогда понятно, раз клиент имеет возможность получать адреса другими путями.
DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.
Спасибо. Век живи — век учись :)
soyingeniero
26.04.2018 10:48А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.
Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.
Интересно, как проходят пуши, и что нужно, чтобы их заблокировать?
Деклаймер. Я не из РКН, просто интересуюсь технологиями :)Gorthauer87
26.04.2018 10:56Есть несколько адресов которые пуши рассылают, если заблокировать их, то пропадут вообще все пуши. Ущерб в деревянных сами считайте от такого.
gto
26.04.2018 11:01-2Ущерб — 0. Какую вы критически важную информацию через пуши получаете?
Gorthauer87
26.04.2018 11:11Если вы не пользуйтесь пушами, то это не значит, что другие такие же. Даже тут немало статей было о том, как использовать пуши в вашем бизнесе.
gto
26.04.2018 11:19Так а в чём метериальный ущерб-то? Функционал пуша всегда дублируется через другие средства.
WraithOW
26.04.2018 12:48Другие средства денег стоят. Миллион пушей в firebase не стоят ничего, миллион смсок обойдется вам где-то в миллион рублей (сумма взята с первого попавшегося в гугле смс-гейта).
gto
26.04.2018 12:56Зачем смс? Почему не через приложение напрямую?
sumanai
26.04.2018 13:12Поднимать свои сервера, высаживать батарейку смартфона работой приложения в фоне? Да вы сами взвоете от разрядки за пять часов в ноль.
gto
26.04.2018 13:24-1Еще немного «зачем»: зачем работать приложению в фоне? Если пользователь его прикрыл, так и нечего ему фонить. Следующий раз откроет — посмотрит. Все эти пуши это определёный, не критический, уровень удобства, не более. Если же для вашего приложение это прям критично, то у вас проблемы с архитектурой.
sumanai
26.04.2018 13:34+1Да я понимаю, вам уведомления не нужны, либо вы открыли приложение мессенджера и в нём, либо вас нет вообще, и вы конечно же не проч переключать разные мессенджеры только для того чтобы проверить, нет ли там чего нового. Может вам ещё СМС по требованию сделать?
gto
26.04.2018 13:39смс оставьте. оно для посылающего стоит денег, поэтому используют его обдумано.
sumanai
26.04.2018 13:50Мне иногда казалось, что по СМС я получал больше спама, чем по email. Сейчас в спаме один МЧС да сбер с уведомлениями об автоплатеже (обдумано? ни капли), так что сейчас до мыла не дотягивает.
roscomtheend
27.04.2018 16:57Чтобы не пропустить уведомления (представляете, некоторым оно для работы нужно, а не только для котиков).
у вас проблемы с архитектурой
Если пользователю нужно держать открытым приложение, которое непрерывно нагружает сервер левыми запросами, то проблема с архитектурой у вас (или вас заморозили 25 лет назад, когда другого способа не было, что не отменяет кривой архитектуры).
struvv
26.04.2018 23:39в андроид операционка погасит твоё приложение и оно порвёт коннект.
Кроме того современные версии андроида насколько помню будут твоё приложение наоборот прессовать в фоновом режиме, упаковывая запуск интентов в блок, который выполняется очень редко, чтобы оно не насиловало сеть и не трогало батарею.
Китайские андроиды вообще могут вырубить приложение, которое озверело и держит подключение.
Поэтому ты просто потеряешь нормальную работу мобильного приложения.
Ну и да, в iOS нет прямого фонового режима, приложение в фоне работать не будет вообще в общем случае. IOS сильно опирается на APN и её поломка вызовет по сути поломку айфонов
AotD
26.04.2018 12:56+1Уведомления от банк-клиента, одноразовые пароли, любые уведомления не через СМС.
Пуши являются триггерами для приложений сходить в API и получить порцию свежих данных. С одной стороны — никакого материального ущерба. С другой — деградация функциональности любого приложения так или иначе их использующего.
Иногда можно обойтись без пушей — раз в N секунд ходить на сервер с вопросом «есть чо новое?», но это повышенная нагрузка на API и высаживание батареи девайса. Ну либо заходите в свой инстаграм, почту, ВК<подставить название приложения дергающего данные из интернетов> и раз в 5 минут обновляйте ленту сами.
DarkWanderer
26.04.2018 13:00+1Например, подтвердения операций в мобильном банке Райффайзена идут через пуши. Переключение на СМС будет прямыми финансовыми затратами, потому что операций очень много
braineater
26.04.2018 15:35Как пример любая фритуплей игра с пуш-сообщением «Супер акиця, только сегодня купи N золота и получи M золота в подарок». Нет пушей, следовательно меньше покупок, следовательно потери денег. Gorthauer87 вроде не писал что это ущерб для пользователя. И это только один пример, что быстро в голову пришло.
Bonio
26.04.2018 11:12Множество приложений получают уведомления через push, тысячи их, например тот же whatsapp. Если заблокировать все адеса push серверов, на телефон перестанут приходить уведомления от таких приложений.
struvv
26.04.2018 23:35лягут все мобильные приложения, которые опираются на пуши — а именно банк клиенты, вконтактик, мессенджеры итд. Телега при этом может быть обладает ещё и какой нибудь dht реализацией и может оказаться что после блокировки пушей телега работать будет, а остальное — нет
roscomtheend
27.04.2018 16:47Банк-клиент, например. Ущерб 0 только для получающих наличку в кассе РКН.
Почему не через приложение напрямую?
Вы только что заблокировали пуши. Ущерб — разработка приложения, поддержание серверов для постоянного опроса. 0 рублей ущерба — так понимаю вы готовы подарить всё это нуждающимся (подсказка — их много, очень)
sumanai
26.04.2018 10:58+1Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.
А так же последних новостей, обновлений софта и всего остального, что использует пуши на смартфонах.
GennPen
26.04.2018 01:37+1Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?
Если не ошибаюсь, то с самого начала существования DNS такие механизмы есть.
Например>nslookup google.com
TхЁтхЁ: UnKnown
Address: 192.168.1.1
Не заслуживающий доверия ответ:
Lь : google.com
Addresses: 2a00:1450:4010:c0a::8a
173.194.221.139
173.194.221.138
173.194.221.113
173.194.221.101
173.194.221.100
173.194.221.102antonksa
26.04.2018 01:48Обычно дополнительно подымают экземпляры, которые обрабатывают бизнес-логику, генерят какие-то странички — в общем взаимодействуют с пользователем. Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов. Когда они подымаются — у балансировщика обновляются таблицы балансировки и он начинает распределять запросы по новым экземплярам.
Andy_Big
26.04.2018 01:55Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов.
Да, про подобные механизмы я знаю, но тут достаточно заблочить адрес балансировщика чтобы вес сервис для пользователей пропал.
Но и все равно остается вопрос с адресами этих инстансов, которые за спиной балансировщика — он же должен знать их IP. Или их IP должны резолвиться DNS-серверами. А если эти IP будут непредсказуемо меняться несколько раз в день из пула в десятки тысяч, то как это может работать — не представляю.PastorGL Автор
26.04.2018 02:00Да легко. Инстанс поднимается, и сразу пишет свой IP в базу, например, как часть скрипта разморозки. Откуда её и читает балансер. А когда инстанс дохнет, балансер может это прочухать периодическим опросом, например, и вынести запись из базы.
inkvizitor68sl
26.04.2018 02:07Да легко. Простейший пример — риал (то, что за балансером на HA-языке) может ходить в балансер с токеном и добавлять себя в соответствующий пул сам. Уязвимая схема, конечно, но вариантов autodiscovery достаточно.
inkvizitor68sl
26.04.2018 01:40+1> И ответ на 1) звучит так: Для Амазона попросту невыгодно
Почти. Только всё проще — амазону в принципе запрещено санкциями общаться с представителями РКН по каким-либо вопросам.gto
26.04.2018 01:47-1Раскажите это ребятам из Zello.
inkvizitor68sl
26.04.2018 01:48На тот момент санкций не было. Да и не собирался их никто выселять, если внимательно почитать. Перестать скакать по адресам — попросили, да.
PastorGL Автор
26.04.2018 01:58Мы не знаем подробностей, но звучит вся эта история так, как будто Зелло выпросило себе много Elastic IP и постоянно по ним скакало. Это на самом деле свинство.
gto
26.04.2018 02:04Так на этот момент тоже санкции только против Жарова, а он же не один там жарит. Тем более мы же говорим не о выселении, а об ощении с РКН. Амазон просто посчитал копеечку и решил не заморачиваться.
inkvizitor68sl
26.04.2018 02:15Санкции распространяются и на подконтрольные людям из последнего списка компании. Почитайте про русал.
nidheg666
26.04.2018 11:08на самом деле соль получается в чём… РКН таки надавил на амазон, что бы обезвредить зелло. амазон не знакомы с нашими методами и поэтому подумали что один раз не жалко. РКН же почувствовали слабину, и теперь долбят на постоянке.
амазону не выгодно соглашаться не из за санкций, а из за того что тогда они согласятся с возможностью РКН их шантажировать. экономически и политически санкции тут маловероятно что имеют отношение.
gto
26.04.2018 01:41Я бы на месте РКН наоборот заворачивал бы побольше трафика на aws инстасы Телеграма. Как правильно сказано в статье, ресурсы это деньги, а в амазоне, к тому же, не малые.
MaxPlutonium
26.04.2018 13:00И как это можно было бы сделать?
gto
26.04.2018 13:53пакеты на блоке не отбрасывать, а менять получателя. серверам всё-равно прийдётся их получать и обрабатывать.
sumanai
26.04.2018 13:57Спуфинг? Это незаконно.
gto
26.04.2018 14:14-1вообще это адресс транслейшн.
sumanai
26.04.2018 14:46NAT это когда один адрес внутренний, или приватный, а другой внешний.
gto
26.04.2018 14:56-1нет, NAT это когда клиент пакет с одними адресами собрал, а рутер их на другие поменял (см. DNAT, SNAT, а есть еще PAT).
sumanai
26.04.2018 15:11А что тогда? Выдумали какую-то фигню непонятно зачем.
gto
26.04.2018 15:23Вы о чём? NAT, network address translation, замена адресов 3-го уровня. А адреса у нас бывают отправителя (source, поэтому SNAT) и получателя (destination, поэтому DNAT). Такую вот фигню придумали сетевые инженеры на заре интернета, чтобы ipv4 адреса быстро не заканчивались, но не помогло. IPv6, по идее, делает NAT ненужным, кроме особых случаев. Поэтому NAT6 всё-таки еще существует.
sumanai
26.04.2018 15:31Хорошо. И как это относится к «заворачивал бы побольше трафика на aws инстасы Телеграма»?
gto
26.04.2018 15:37-1Менял бы адреса получателя на адреса из as aws на которых были замечаны инстанцы телеграма. Чтобы побольше клиентов подключалось к ним, чтобы телеграмщикам это чуть больше денег стоило.
sumanai
26.04.2018 15:40+1Так это и есть спуфинг. Никто о такой замене не просил.
gto
26.04.2018 15:57-2Спуфингом это можно было бы назвать, если бы он на себя замыкал. А так это оптимизация трафика. Ближе к QOS. Этим же ваш провайдер занимается когда ваши локальные адреса в интернет адреса переделывает.
sumanai
26.04.2018 16:06Я до сих пор не могу понять, к чему всё это, и как оптимизация трафика связана с «побольше трафика на aws инстасы Телеграма». Какой трафик вы собрались туда направлять, с какого перепуга?
gto
26.04.2018 16:19-1Ну, давайте разбираться. Оптимизацией трафика это всё дело можно назвать официально. В реале же запросы с телеграм клиентов которые идут на сервера дешёвых провайдеров направлять на адреса инстанций телеграма на амазоне вместо их блокировки.
sumanai
26.04.2018 16:23+1Если бы так легко было определить запросы от ТГ, никто бы не мучился с банами ни в чём не повинных подсетей.
gto
26.04.2018 16:32-2А чего там мучиться, ставите себе телеграм и ловите конфиги которые он вам присылает и ип из конфигов заворачиваете.
iig
26.04.2018 18:05+1А чего там мучиться, ставите себе телеграм и ловите конфиги
Ставьте себе 10000 экземпляров телеграма, размещайте в разных сетях, настраивайте, заводите 10000 кодов из СМСок… Настроили? Начинайте ловить ;)
vedenin1980
26.04.2018 18:06То что вы предлагаете, по сути DDOS на гос.уровне. За такое вполне могут инет кабель обрубить со стороны Запада, назначить штрафы, или в свою очередь DDOSить будут критичную инфрастуктуру в РФ (банки, гос.сайты и т.п.) Это по-сути уже полноценная кибервойна будет.
iig
26.04.2018 16:09Странную схему вы придумали.
Хотите предложить кому-то (не РКН, у него нет этого оборудования) самовольно направить некий траффик по неким адресам.
То есть хотите, чтобы чьи-то запросы с котиками спамили чьи-то сервера?gto
26.04.2018 16:27Идея в принуждении к использованию экономически невыгодного варианта. Если развивать идею, то РКН мог бы блокировать всё кроме амазона. Знаете же, что про амазон говорят: «Когда бюджет фирмы в AWS достигает 100к они присылают специалиста, чтобы помочь оптимизировать расходы, когда бюджет достигает 1М они не присылают никого, они знают, что вы уже никуда не денетесь»
sumanai
26.04.2018 16:45А разве у ТГ есть ещё хостинги кроме Амазона? На других хостингах только прокси. То есть нагрузку вы никак не повысите.
iig
26.04.2018 13:042019 год, из прессы:
Хакеры из России DOSят сервера Amazon. IP адреса хакеровпринадлежатдопустим, mailru.roscomtheend
27.04.2018 16:51И как это сделать (подсказка — на месте РКН у вас только список для блокировки), провайдерам это тоже не упало, осуществлять DOS самолично — малоэффективно (забанят как досеров и на этом закончится) и можно огрести, т.к. законности ещё меньше, чем в блокировках (прокуратура санкции на хулиганство не давала).
Happy_Forever
26.04.2018 01:50то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое меньше мощностей, чем другую половину суток, когда день в Азии.
И половина экземпляров <...> сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно <...> их снова поднимет.
Скажите пожалуйста, здесь, вероятно, ошибка в тексте? Одно другому противоречит, т.к. когда Западное полушарие освещено и максимум количества людей активны, то нужно больше мощностей.
KostaArnorsky
26.04.2018 04:05Вообще-то Amazon давно уже умеет выделять кастомные пулы адресов под клиента: docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html
Так что техническая возможность изолировать Телегам есть, только с чего бы это им вдруг делать.razielvamp
26.04.2018 06:19+1При создании VPC создается личный пул с локальными IP адресами. Глобальные IP с акаунтом не связаны, собственно, как там и написано.
KostaArnorsky
26.04.2018 23:39Там же:
If you require a persistent public IP address allocated to your account that can be assigned to and removed from instances as you require, use an Elastic IP address instead.
Т.е. есть все необходимые технологии, чтобы окуклиться, это не техническая проблема, как описано в статье.PastorGL Автор
27.04.2018 02:06Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).
— это я как раз про Elastic IP говорю.
Dmitri-D
26.04.2018 06:31+1Есть еще один важный момент, к сожалению упущенный в этой статье.
Теоретически Амазон мог бы выгнать Телеграм и даже пойти на сотрудничество с РКП (как правильно, всё-таки — РК позора или надзора?). Это было бы, на первый взгляд, оправданное бизнес-решение, ориентированное на прибыль — потеря всего российского рынка vs потеря 1 клиента. Так в чём же дело? Дело в репутации. Как бы там не виделось в России, в Америке СМИ играют одну из ключевых ролей и общественное мнение вполне может обратить нынешних клиентов Амазона против самого Амазона, если за Амазоном будет признаны, скажем так, какие-то непопулярные действия. Второе — это вопрос внутрикорпоративной политики. Если в компании изначально постулировались свободомыслие и ориентация на прогресс, очень сложно продолжать мотивировать сотрудников в этом ключе, если дела начнут резко расходиться со словами. Третье. Если американская компания будет уличена в коррупции, или, например, в гонениях на свободу — ее не составит большого труда засудить в американском же суде, несмотря на то, что действия происходили не только на территории США.
Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.Fatal1ty_93_RUS
26.04.2018 11:16Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.
Будут всячески идти наповоду у ркн, лишь бы не потерять рынок. Да и им не в первой являться большим бэкдором для государства
LAG_LAGbI4
26.04.2018 08:33Объясните чайнику, а какой механизм разблокировки ip и доменов? Ведь доменные имена оплачиваться на год обычно, через год владелец может смениться. Новый владелец должен доказывать что он не верблюд?
И ещё вопрос. Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?PastorGL Автор
26.04.2018 09:30Это один из тех моментов, которые не продуманы от слова совсем. Сейчас в блоклисте несколько тысяч доменных имён, которые доступны для регистрации кому угодно. И ими вполне можно так злоупотребить. Другое дело, что большая часть таких доменов в зоне .ru, и регистраторы могут самостоятельно вести какой-то свой реестр и отказывать в делегации. Вероятно, такая практика имеет место.
Goodkat
26.04.2018 10:30Было около года назад — начали массово регистрировать заблокированные домены и указывать в них адреса разных сервисов, заблокировали таким образом много чего, платёжные системы и т.п. В ответ ввели белые списки неприкосновенных.
sotnikdv
26.04.2018 11:09Т.е. все таки белые списки есть, но далеко не для всех, т.к. нет механизма в него включиться?
И можно так все еще «гасить» конкурентов или тех, кто еще не в белом списке через РКН? Прикольный инструмент.Immundissime
26.04.2018 18:24Белые списки как ввели так и отменили опосля. Уж не говоря о том что их введение через постановление исполнительного органа (РКН) противоречит формулировке федерального закона, что как бы само по себе говорит об их легитимности.
Многие провайдеры собственно проигнорировали эти белые списки. Юридической значимости эти постановления против закона не имели.
prs123
26.04.2018 10:48А можно, пожалуйста, узнать, как они становятся доступными для регистрации? Ведь DNS записи то остаются или регистраторы при проверке на свободность домена просто спрашивают сервер, который резолвится?
gto
26.04.2018 10:55Когда срок подходит регистратор из своего каталога запись удаляет и домайн становится свободным.
kvarkicn
26.04.2018 10:48+1Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?
Именно таким образом в прошлом году клали сервера самого позора, какие-то правительственные в довесок. Брали и прописывали в ДНС заблокированного домена «левые» для этого сервиса ip. После этого и ввели белые списки, насколько помню
P.S. жми F5 до отправки
fireSparrow
26.04.2018 12:38«можно только уйти под землю, чтобы их никогда не видеть…»
Нет ли тут скрытого призыва похоронить РКН?
sfinks7
26.04.2018 13:01Кто не захочет терять деньги на рашен трафике — скорей всего это будут русскоязычные сервисы уйдет и не будет платить за хостинг амазону и гуглу, альтернтив хостингов и дата центров много в мире которые дают один айпишник одному владельцу.И все будет работать.Не вижу проблем.
malishich
26.04.2018 14:13-18Последний абзац вообще некорректен. РКН воюет против деструктивной деятельности на территории вашего же государства. Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах. В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа. И возможность забрать личную переписку граждан РФ у АНБ США просто исчезнет. Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране? Или вы уверены что американском ПО нету закладок скрытно отправляющих секретный ключ по нужному адресу при установлении сессии? Или вот нечаянно вы обсудили что-то важное для страны, и вы уверены что завтра его не получат США и не используют против страны?
fotofan
26.04.2018 14:48+7Я сегодня ехал и полиция останавливала многих. Но один на белом Х6 с номером 007 только открыл дверцу, закрыл и поехал дальше. Вот такой товарищ имеет право, а точнее возможность купить ВСЮ вашу переписку и разговоры. А завтра ваш бизнес становится его дочерней структурой. В США всё немного сложнее, там законы работают
Glays
26.04.2018 17:37Вы знаете, если вы обсудите что-то важное даже внутри страны, это можно будет использовать против вас. Потому что это что-то, например, находится в списке информации защищаемой государством, но список этот тоже является секретной информацией, к которой у вас доступа нет.
tweenfaster
26.04.2018 17:58+1Считаю «телеграм» «своим российским» и в высшей степени горд что его создали — русские разработчики, отстаивающие наше право на неприкосновенность тайны личной переписки. Хабр и гиктаймс вон тоже с российских доменов и серверов переехали подальше, что же их тоже считать не нашими и не своими? Просто с таким правительством как в россии по другому не возможно, не хочешь чтобы отжали — создавай и живи в ругой стране, что собственно Дуров, наученый горьким опытом и сделал.
danfe
27.04.2018 06:55Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах.
По мне Telegram и так вполне российский. Другое дело, что вести бизнес в России часто бывает небезопасно. Как российскому пользователю, мне спокойней, когда мои данные хранятся подальше от наших датацентров.
В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа.
ФСБ нам долгие годы всячески показывала, что? они на самом деле считают своей работой (внезапно, это ни разу не жизни и безопасность людей).
Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране?
АНБ действительно занимается разными непотребствами, народу это не нравится, с ними судятся. Спецслужбы любят распускать руки, а общество должно давать им по рукам. Для этого, в частности, и нужны независимые суд, СМИ и прочие демократические инструменты. Проблема (наша) в том, что в США они как-то работают, а у нас — нет. :-(
braineater
27.04.2018 11:51Страннаая идея. Мы разбомбим этот город чтобы его не разбомбил враг. Враг, при этом, может и вовсе не в курсе что он собирался что-то бомбить. В общем с такими друзьями враги не нужны.
roscomtheend
27.04.2018 16:59+1У вас почуму-то вместо "ведёт деструктивную деятельность" получилось "борется". T9?
Salamur
26.04.2018 18:23Ксеркс 1 высек море потому что шторм утопил переправлявшиеся войска. Роскомнадзор пытается отменить (плюёт в ) облака потому что несколько капель воды из этого облака отказались упасть на землю перед ним.
gapel
26.04.2018 20:07+1Хорошее логичное объяснение, спасибо. Тем временем в интернет я уже выхожу через VPN потому что у меня уже накопился список любимых сайтов, который пал под ковровыми ударами РКН по площади Амазона.
ra3vdx
27.04.2018 01:31Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…
Из легенды о персидском царе Ксерксе, который в 480—479 гг. до н. э. возглавил поход персов в Грецию, окончившийся поражением. Когда готовилось сражение при Саламине, Ксеркс приказал устроить понтонный мост, чтобы скорее перебросить свои воинские силы к месту битвы. Но поднялся ветер, мост был разрушен. Разъяренный царь приказал наказать море, и персидские палачи, бывшие при войске, высекли морскую воду. Море было «наказано».
Nomad1
Небольшое отличие в том, что у МС указывается регион для каждого инстанса и айпишники жестко привязаны к выбранному региону и уже внутри региона плавают по Availability Zone — группам IP адресов. Конечно же, это решается поднятием инстансов в каждом регионе, коих всего 40 штук (технически чуть меньше, некоторые закрыты для обычных юзеров).
chelios
Так и отличий и нет. В AWS все тоже самое. Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой. Разве что из одного рядом стоящего датацентра в другой в том же городе или стране(?).
PastorGL Автор
В документации не расписано, но у aws по факту есть какой-то резервный или мобильный пул, который принадлежит Амазону как регистратору. Адреса из него выделяются в любом регионе, если вдруг заканчивается пул региона. Ну или это так выглядит. Довольно неожиданно может быть.
Vilgelm
Все можно, в OVH можно арендовать IP из любой страны откуда у них есть IP для одной и той же машины.
telema93
Не совсем так, адреса любые, но выбранного региона. Например, в европейском ДЦ только европейские IP у них.
vanyas
> Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой
Да ладно, прекрасно американские адреса юзаются в европе и наоборот. И radb как irr, вместо ripe, arin, apnic и т.д.
bugdesigner
С тем, чтобы получить route block "из америки" и использовать его "в европе" проблем нет. После того, как блок Вам выделен любым из регистраторов, его можно аннонсировать откуда угодно — никаких ограничений на это нет. Более того, его можно разбить на части и аннонсировать эти части из разных мест.
chelios
Допустим, что клиенту выделили два ип из одной подсети. Один он решил дать серверу в США, другой отдать серверу в Европе. Каким образом это будет работать, если маршрутизация приводит трафик всегда в одно место? У меня есть предположение, что сам AWS может туннелировать/перенаправлять трафик из одного датацентра в другой. Но ведь это доп. расходы.
Altimit
Выше речь идет не про отдельные IP адреса, а про выделенные блоки. Блок будет маршрутизироваться туда, откуда его анонсируют.
А вот IP из этого блока географически разнести без различных туннелей нельзя.
gto
Если заморочится — можно. Блоки они ведь тоже разных размеров бывают, меньшие всегда больший приоритет при роутинге имеют. Опять же один и тот же адрес может присутствовать в таблице маршрутизации несколько раз с разными гетевеями и метриками. Anycast ведь как-то так и работает.
Altimit
Да, но тут все упирается в то, что у вас никто не примет анонс сети менее /24.