Среди этой части населения оказался и я. Ситуация показалась знакомой. Действительно, зайдя в консоль браузера, я обнаружил, что вся статика отвалилась по таймауту. Ok. Посмотрим, куда ведет assets-cdn.github.com:
$ host assets-cdn.github.com
assets-cdn.github.com is an alias for github.map.fastly.net.
github.map.fastly.net is an alias for prod.github.map.fastlylb.net.
prod.github.map.fastlylb.net has address 151.101.36.133
Ок. Поглядим внесен ли данный IP-адрес в единый реестр?
Да, похоже, что внесен!
О том же нам говорит и сайт Универсального сервиса проверки ограничения доступа к сайтам.
Погодите-ка, 10 июня 2013? Что, решение суда дожидалось исполнения 3 года? 0_о
Реестр Роскомсвободы говорит, что да:
Немного погуглив по данному вопросу (и удивившись, что на хабраресурсах еще ничего не всплывало), нашел запись в ЖЖ с некоторыми дополнительными подробностями:
Судя по всему, этой же CDN пользовалось в 2013 году какое-то интернет-казино, и наша Роскомцензура в далеком 2013-м решила заблокировать не хосты интернет-казино, а одним росчерком пера IPv4-адрес всего дата-центра CDN. Д..., б...! То есть, власть нас спасла от того, чтобы мы не проигрывали последние деньги в казино, параллельно заблокировав и ненужный с ее духовно-скрепной точки зрения GitHub.
Оказывается, GitHub заблокирован на всей территории России Октябрьским районным судом Ставрополя. Районным судом, Карл! Получается, заблокировать любой сайт на всей территории РФ на DPI-оборудовании провайдеров теперь может абсолютно любой районный судья из любого субъекта РФ.
Еще нагуглилось небольшое обсуждение на VK-страничке Роскомсвободы, из которого можно, в частности попасть на текст решения суда, и на страничку судьи, его вынесшего («Очень грамотный, тактичный и доброжелательный, С ТОНКИМ ЧУВСТОМ ЮМОРА»).
В недрах комментариев к вышеуказанному ЖЖ-посту можно также найти решение данной проблемы (ну, кроме очевидных — использовать прокси или ssh-тоннель): гитхабовские CDN также имеют IP адрес 151.101.12.133, который в реестр не внесен. Таким образом, можно прописать его в /etc/hosts и радоваться жизни. Ну… Только по той же CDN раздаются еще аватарки, имеющие разные доменные имена, и, в чем самая подстава — некоторые страницы GitHub Pages. На момент написания этой статьи в моем /etc/hosts были:
151.101.12.133 assets-cdn.github.com
151.101.12.133 avatars2.githubusercontent.com
151.101.12.133 avatars0.githubusercontent.com
151.101.12.133 avatars1.githubusercontent.com
151.101.12.133 avatars3.githubusercontent.com
151.101.12.133 google.github.io
151.101.12.133 kangax.github.io
151.101.12.133 eslint.org
Наверное, все-таки придется включать VPN…
UPD 13.07.2016:
Похоже, IP был исключен из реестра 12.07.2016. Так что Роскомнадзор, надо отдать им должное, не такой уж и нерасторопный.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (55)
KorDen32
08.07.2016 22:19В моем случае, локальный рекурсивный резолвер да «восьмерки» отдавали как раз незаблокированный ....12..., а DNSы провайдера и яндекса — заблокированный… Т.к. на устройствах хаос настроек DNS для различных экспериментов — как раз привел свои настройки в порядок…
Ох уж эти флешбеки, тот сайт наверное уже давно не существует…
SerCe
08.07.2016 22:46+7При этом в twitter РосКомНадзор всецело отрицал вину
@ahitrin @SerCeMan @githubstatus no.
— Роскомнадзор (@roscomnadzor) 8 июля 2016 г.
LinuxCoder
08.07.2016 23:00+9Идиоты.
xmaster83
09.07.2016 14:02+3Сказочные ИДИОТЫ.
Скоро допрыгаються, что каждый школьник в третьем класе будет интересоваться ТОР-ом… или Тунелями Через dns…Temtaime
09.07.2016 15:32+3Торы и впны — костыли.
Ну будет каждый школьник использовать его. И что? Заблокируют их. Построят русский фиреволл, что угодно.
Неужели никто не понимает, что мы катимся в большую анальную жопу?
achekalin
09.07.2016 20:15Кажется, они выбрали путь отучить школьников интересоваться инетом. Нет интернета — нет умников!
Раньше наших ученых уважали за кругозор. С такими «сегодняшними» школьниками мы «завтра» будет, как при Петре, ввозить ученых из-за границы…
General_Failure
10.07.2016 10:06Импортозамещение наоборот?
Своих умных людей разгоняют разными способами (напрямую только не выселяют), а из-за бугра привозят?
Ну и вопрос сразу же — много ли ученых из Европы и СШП поедут к нам?mad_celt
10.07.2016 11:54Да расслабьтесь, в нефтяной империи учёные не нужны. Ни свои, ни чужие. Умные слишком, мозги им не промоешь.
Если сами разъедутся, все только в плюсе.
fetis26
11.07.2016 12:59Скоро допрыгаються, что каждый школьник в третьем класе будет интересоваться ТОР-ом… или Тунелями Через dns…
Как будто что-то плохое..
ivan386
08.07.2016 23:20+2Картинка с гитхаба для теста.
kloppspb
08.07.2016 23:42Всё видно. Питер плюс Ломоносовский район (40+ км от города), два разных провайдера и мобильный Билайн — никаких проблем не замечал, только отсюда узнал. Чёрт, знал бы раньше, такая отмазка пропала :-)
ivan386
09.07.2016 00:30А вот провайдер всея руси похоже блокирует но с переменным успехом. Детектится блокировка по TTL. RST пакет приходит с TTL 59 а когда блокировка не работает TTL 56.
ValdikSS
09.07.2016 08:44+6# iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP # iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS" -j DROP
Meklon
09.07.2016 16:03А для диких объяснишь? И можно ли это в Mikrotik запихнуть?
ValdikSS
09.07.2016 16:59+4Ростелеком использует пассивный DPI, т.е. он подключен параллельно, вероятно, пассивным оптическим сплиттером, из-за чего он не может перехватывать отправляемый пакет как таковой, а может только подделать ответ от имени веб-сайта, который перенаправит на страницу-заглушку. Также DPI отправляет перенаправление только с TCP-флагом ACK, хотя обычно используются PSH, ACK. Размер TCP-заголовка тоже всегда равен 20 байтам. Правило iptables для HTTP проверяет TCP-флаги в пакете, пришедшем с 80 порта, его размер, и ищет «warning.rt.r» внутри пакета по заданному смещению. Если все совпадает, то отбрасываем этот пакет, и получаем настоящий пакет от сайта.
Для HTTPS DPI присылает Reset-пакет (флаги RST, ACK) с нулевым значением TCP-окна и нулями в IP Identification, flags и fragment offset. Такого в реальной жизни не случается, и мы можем отбрасывать все такие пакеты.hokum13
11.07.2016 12:14Блин, спалил малину — пофиксят. Такое нужно в личку писать.
Но вообще — круто! Спасибо.
lobzanoff
09.07.2016 23:13-1Не было видно. Поменял настройки DNS с «авто», то есть провайдерских, на гугловский 8.8.8.8 — картинка проявилась. Что, впрочем, говорит о том, что провайдеры относятся к некоторым блокировкам халатно. Оппозиционные сайты они вполне себе блокируют и на уровне DNS-запросов, перехватывая их и выдавая свои адреса.
radium
09.07.2016 23:27-1Блокировка вынесена на IP адрес — DNS провайдера просто не отдаёт заблоченный IP, возвращая альтернативные. Это наоборот, говорит о грамотном подходе. Они выполнили решение регулятора и при этом их клиенты не пострадали.
PKav
08.07.2016 23:54Так не в первый раз уже такой кретинизм, в прошлый раз «пострадал» Amazon.
А так, думаю, что для разработчика лучше подойдет не VPN, а VPS с доступом по RDP — и работать удобно, и блокировки обходятся, и файлов никаких в России нет.
Fen1kz
09.07.2016 05:59+3Забавно будет, когда до каждого районного судьи дойдет масштаб его власти :D
Garbus
09.07.2016 08:10+3Угу, а еще забавнее если нет. И будет лечить насморк веревкой затянутой на шее.
Впрочем иногда обе стороны хороши, один пишет что-то бесполезное, но провокационное, с другой блокируют как умеют.
dmitry_ch
09.07.2016 10:39Лучше бы масштаб его незнания. Впрочем, когда это им мешало, они же не только в ИТ-тематике не разбираются.
servermen
09.07.2016 10:59Сходил я на antizapret.info. Мне очень нравится акция по беспроцентной оплате с tele2 (http://www.betsfon.com/ru/bonusy-i-aktsii/?utm_source=foninfo.org_bonus&utm_medium=foninfo.net_1&utm_campaign=mark), которую я нашел по ссылке: lp-02.fonbet2.info. Закрывалка сломалас!
BatyaMedic
09.07.2016 14:02+1А я думал что это из-за наплыва людей в честь открытия исходников аполлона.
Fqyeh29
09.07.2016 14:02+4«Предложение! Запретить одежду. Террористы ж ее тоже носят. А еще скрывают в ней оружие.» — примерно так у них там мыли или как?
Как можно додуматься блокнуть CDN?Saffron
09.07.2016 14:16+1Китай вот заблочил и в ус не дует. Хочет CDN работать в Китае — должна прогнуться и поставить товарища майора на оклад, не хочет — найдутся другие желающие отдавать трафик в Китае.
SchmeL
11.07.2016 15:14У Китая аудитория раз в 20 больше и внутренняя конкуренция. Есть качественные аналоги зарубежным сервисам. А у нас с пришествием «Чебурнета» станет больше похоже на Северную Корею.
Lancelote
09.07.2016 14:02+2Не мог сегодня запустить ghci (интерактивную рабочую строку Haskell) через stack поскольку ему требовалось что-то подгрузить с raw.githubusercontent.com =\ Похоже vpn пора поднимать, ибо нафик такие сюрпризы надо.
radium
09.07.2016 18:17Написал в техподдержку github'а — возможно при достаточном числе обращений они перестанут использовать этот IP. По крайней мере это более вероятно, чем снятие блокировки с Российской стороны в ближайшее время.
IP address 151.101.36.133 got blocked in Russia since July 6, 2016. As a result, some resources is unavailable:
assets-cdn.github.com
avatars*.githubusercontent.com
camo.githubusercontent.com
gist.githubusercontent.com
help.github.com
pages.github.com
raw.githubusercontent.com
It is possible not to use this IP (for Russian regions at least)?
Areso
09.07.2016 20:19+1А что делать, когда кончатся IP адреса? Это дикий костыль, ну очень временное решение.
radium
09.07.2016 23:24+2А что делать, когда кончатся IP адреса?
Изолируют рунет от остального мира и/или введут белые списки гораздо раньше, к сожалению.
ну очень временное решение.
Временное решение — это прописывание в hosts альтернативных адресов и использование VPN. Эти меры работают «для себя» и их можно обеспечить своими силами за короткое время. Однако нужно добиваться нормального функционирования сервисов. Это можно сделать двумя способами: донеся до регуляторов, что они не правы (вялый шанс на успех) и дать обратную связь сервису для создания обходного решения, но действующего для всех.
Гитхабовцы знают о проблеме и, я думаю, решат её быстрее органов.
Hi Dmitry,
Sorry for the trouble. We are aware of reports that GitHub is unavailable in Russia. We are investigating and will update with more information when we have it.
Cheers,
Jamie
websurfer
09.07.2016 23:02А что, тема для «органов», прикрыть сайт, по «законной причине» и «помочь в разблокировке».
Ungla
10.07.2016 23:22А где-нибудь этим тунеядцам клизму можно вставить? Ну что это такое? http://django-rest-framework.org/ тоже не открывается. Или дети идиго взялись блокировать всё самое лучшее, самое доброе, ради того чтобы блокираторы побыстрее устали разбираться с правомерностью и сделали кнопки заблокировать-разблокировать?
andrey_aksamentov
11.07.2016 12:15Интересно что послужило основанием для судебного процесса? Кто то проиграл зарплату сантехника и пошел жаловаться?
OtshelnikFm
Спасибо за информацию. Вчера наблюдал сей глюк с недоступностью assets-cdn.github.com. Сегодня так же. Понял что не глюк и полез в поиск.