image

Вчера прочитал новость, которую ждали многие — Роскомнадзор заблокировал… сам себя. А точнее все не совсем так — в реестр запрещенных сайтов попал localhost (127.0.0.1). Попробуем разобраться, как же это случилось, что из этого получилось и кому же это было нужно?

Итак, как localhost мог попасть в черный список РКН?

Дело в том, что решение о блокировке выносится на доменное имя, на котором может быть «привязано» несколько IP-адресов. Далее уведомление о блокировке высылается владельцу ресурса, после чего ему дают 3 дня на удаление запрещенного контента. За эти три дня владелец может устранить причины блокировки.

Однако за те же 3 дня владелец ресурса может изменить привязки в DNS имени, в том числе указав IP, привязанный к другому домену. Видимо, так и произошло в истории с сайтом karaoke-besplatno.ru.

Желающие напакостить Роскомнадзору и процессу блокировки сайтов с противоправным контентом, умышленно изменили IP на 127.0.0.1.

image

Так как список IP на блокировку выгружается автоматически, локалхост попал в реестр наравне с правильными IP-адресами. А после обнаружения сотрудниками РКН был оттуда исключен.

После этого IP на блокировку поступили к провайдерам, которые также не удосужились проверить список на адекватность. Так все, видимо, и произошло: РКН и провайдер не доглядели, а хитроватый владелец домена просто поиздевался над всеми.

Так как на блокировку дается три дня, а IP 127.0.0.1. был вычеркнут из реестра после обнаружения ошибки, реального ущерба сайту РКН нанесено не было.

А теперь самое интересное: только ли karaoke-besplatno.ru хотело поиздеваться над Роскомнадзором и провайдерами? Первыми о «сенсации» сообщила Роскомсвобода. После этого многие перепечатали данное сообщение, а Роскомнадзор оперативно устранил этот казус, не понеся большого ущерба. Для karaoke-besplatno.ru это также не принесло никакой выгоды, т.к. даже в случае увеличения потока заходов, сайт оказывается недоступен. Получается, что возросший трафик и свою выгоду получила лишь Роскомсвобода. Учитывая как они себя попиарили, можно предположить, что они подсказали владельцам karaoke-besplatno.ru изменить IP-адрес на локалхост.
Поделиться с друзьями
-->

Комментарии (39)


  1. BOPOHA
    15.12.2016 14:21
    +2

    Зачем блокировать локалхост? надо было вот эти:

    8.8.8.8
    8.8.4.4
    77.88.8.8
    77.88.8.88
    77.88.8.7
    4.2.2.4
    4.2.2.2
    208.67.222.222
    208.67.220.220
    ....


    1. golf2109
      15.12.2016 14:32
      +3

      192.168.0.1


      1. DaemonGloom
        15.12.2016 19:21
        +1

        Этот адрес ничего не изменит. В провайдерских сетях такого зачастую нет (а если есть — то расположен он до блокирующего железа). А в пользовательской сети блокировки всё равно нет.


        1. Lamaster
          16.12.2016 10:25

          Этот адрес ничего не изменит, если маска /24, а если маска /0, то это ведь белый IP или я что-то путаю?


          1. sonik_spb
            16.12.2016 11:13

            Адрес 192.168.0.1 используются только в локальных сетях, не под какие блокировки попасть не может. Маской /0 вы описали сразу все возможные адреса.


  1. degorov
    15.12.2016 14:24
    +5

    Мне вот даже интересно, какой ущерб РКНу могло нанести внесение 127.0.0.1 в реестр, может хоть кто-нибудь пояснить? На данный момент в реестре 76 доменов, которые резолвятся в 127.0.0.1, и? Я бы ещё понял, если бы РКН внёс свой собственный IP-адрес (и это не 127.0.0.1 внезапно), но на данный момент 2 домена из реестра резолвятся как раз в этот IP-адрес вот прямо сейчас, 4 домена резолвятся в 8.8.8.8 итд итп. Ну и что дальше-то? :)


    1. valemak
      15.12.2016 16:23
      +7

      Ущерб прежде всего имиджевый, блокировка локалхоста показывает техническую некомпетентность Роскомнадзора.


  1. vconst
    15.12.2016 14:24
    +2

    https://geektimes.ru/post/283596/#comment_9749634

    Походу karaoke-besplatno.ru эпично затроллил роскомпозор. Когда ему пришло письмо счастья — поменял в днс-записи свой реальный айпишник, на 127.0.0.1 и потом это отразилось во всех who is — из которых роскомпозор берет данные для блокировок )))

    Очень тонко! :)


    В свое время, точно также троллил копирастов Ларин — основатель Либрусека, подменяя DNS на локалхост. Тонкий и грамотный троллинг. А вот дебилы, которые не глядя добавили в список локалхост — в нормальной компании давно бы уже получили «досвидос» без выходного пособия, по причине профнепригодности.


    1. sergku1213
      15.12.2016 15:32
      +2

      Лет ми спик фром май хэрт — им надо больше белок(squirrels) употреблять. Беда номер 1 России — дураки. Кстати, дороги от них тоже страдают


      1. buggykey
        15.12.2016 22:48

        Первая беда все время ремонтирует вторую ;)


  1. Mr_Costello
    15.12.2016 14:49
    -2

    Извиняюсь, сворую чужой пост, который, как мне кажется, хорошо отвечает шутникам в адрес участников ситуации:

    https://www.facebook.com/vkuznetsoff/posts/1508803139147943

    Кому лень открывать ссылку процитирую Владимира Кузнецова:
    Я, конечно, слоупок, но из-за потока новостей о блокировке 127.0.0.1 хочу внести ясность хотя бы для тех, кто это читает.
    Итак. Роскомнадзор формирует реестр запрещенных сайтов в специальном формате. Провайдер имеет возможность получить этот реестр, а дальше обрабатывать его так, как ему вздумается — ну, при условии, что провайдер выполнит предписание. За провайдером же наблюдают — как в ручном, так и в автоматическом режиме. Если что не так — могут и лицензию отобрать.
    Роскомнадзор предоставляет и рекомендации по осуществлению блокировок, и рекомендации эти весьма разумны. А состоят они в случае блокировки url в следующем:
    1) отрезолвить имя хоста, на котором находится заблоикрованная страница, и сохранить полученные ip.
    2) трафик на эти ip перенаправить на систему фильтрации (просто для того, чтобы не фильтровать ВЕСЬ трафик на уровне протоколов выше TCP/IP, это очень затратно было бы)
    3) система фильтрации (например, на базе прозрачного прокси) уже детально разбирается, идет трафик на запрещенный ресурс (этот ататата, блокируем), или на соседа по хостингу — а это вот пропускаем.
    Все как бы и просто.
    И создает поле злоупотреблений для злодеев. Например, заблокированный злодей вполне может в dns внести запись со ссылкой на какой-нибудь невиновный Ip — и вуаля, в случае системы блокировки без третьего шага — ну, то есть, если провайдер тупо блокирует трафик на ip, не заморачиваясь фильтрами на верхних уровнях модели OSI — получаем прелесть. Например, отрезолвили 8.8.8.8 — и гугль днс недоступен, все лежит и все бегают и орут.
    И такое постоянно происходит. Кто-то регулярно (может, кстати, разные люди) вносят в свой dns адрес 0.0.0.0 Вообще у меня нету уверенности, что в данном обсуждаемом случае именно Роскомнадзор внес в список адрес 127.0.0.1 — может, все было автоматически и на уровне провайдеров.
    А может и сотрудник РКН лажанулся конечно. В любом случае, интернет сделан так, что он все равно будет работать, несмотря на ошибки.
    Честно говоря, ситуация вообще не представляется мне смешной настолько, чтобы говорить об этом уже который день. Но люди шутят, да. Причем, уверен, шутят те люди, которые не понимают в принципе, как сеть работает. Что, кстати, характерно — обычно даже те, кто мутят всякие проекты в интернете и зарабатывают деньги там, не знают, как работает интернет.
    Кто-то говорил о непрофессионализме РКН? нуну.


    1. vconst
      15.12.2016 15:00
      +2

      Вообще у меня нету уверенности, что в данном обсуждаемом случае именно Роскомнадзор внес в список адрес 127.0.0.1 — может, все было автоматически и на уровне провайдеров.
      То есть, не написать простейший регэксп, который исключит айпишники, которые заведомо не могут принадлежать сайтам — это профессионально? Список адресов для блокировки формируется роскомпозором, он и отвечает за попадание локалхоста в него, провайдеры тут ни при чем


      1. sonik_spb
        15.12.2016 17:03
        +2

        Поясните в чём беда, что 127.0.0.1 попал в списки? Чисто технически.
        Я не вижу причин даже его оттуда убирать. Особенно провайдерам, которые обязаны исполнить как велено.


        1. vconst
          15.12.2016 17:06

          В чем беда, если в рекламе магазина будет написано «Лучшие дубленки в гораде!»? Никакой, кроме потери репутации магазина и издевок над ним.


    1. Hellsy22
      15.12.2016 16:57
      +4

      Например, отрезолвили 8.8.8.8 — и гугль днс недоступен, все лежит и все бегают и орут.
      И такое постоянно происходит.

      Государственная организация, существующая за деньги налогоплательщиков, постоянно косячит даже в рамках выполнения весьма сомнительных судебных постановлений. И это «хороший ответ шутникам»? Что-то вроде — «что вы смеетесь над тем, как мы облажались, мы так каждый день делаем».


  1. Macilnor
    15.12.2016 15:32
    +1

    Хмм, ну и что дальше? Даже если это сделали специально чтобы Роскомпозор лоханулся у них это получилось. Только вот если бы я делал это специально я бы не стал локалхост подставлять, а взял бы тогда сразу IP Роскомпозора, пущай реально себя заблочат раз уж они настолько невнимательные что даже локалхост и гугл ДНС у них в реестр постоянно попадает.


  1. APLe
    15.12.2016 15:34
    +2

    Для karaoke-besplatno.ru это также не принесло никакой выгоды
    Если бы не эта новость, я бы о karaoke-besplatno.ru и не узнал никогда. А способ обойти блокировку и найти зеркало я смогу — как и большинство людей, которых такая новость может заинтересовать, я думаю.
    Так что karaoke-besplatno.ru произошедшее выгодно.


    1. vconst
      15.12.2016 16:37
      -1

      Вот кстати да. Если это была попытка вирусной рекламы — то она блестяще удалась! Первый приз за оригинальность, находчивость и бюджетность — делов то, изменить одну строчку


      1. sonik_spb
        15.12.2016 17:06
        +1

        Обойдёте блокировку 127.0.0.1? И вы думаете, что увидите сайт(который там был)? Гениальный пиар план! жаль что он пиарит НИЧЕГО.


        1. vconst
          15.12.2016 17:10
          -1

          Эта «блокировка» раздула огроменный скандал, название заблокированного сайта упоминалось не сосчитать сколько раз, превосходная реклама и сайта и средств для обхода блокировок, ибо очень много людей попытались зайти туда чисто из любопытства, а получив сообщение о блокировке — попытались ее обойти.


          1. sonik_spb
            15.12.2016 17:13

            Так и что в итоге? Как это помогло хозяинам сайта? Или вы думаете, что потом разблокируют их сайт, они сменят адрес на нормальный и тут «попрёт» трафик?


            1. vconst
              15.12.2016 17:20

              Вы смысл рекламы понимаете? Задача рекламы, внезапно — разрекламировать. Без всяких затрат на распространение и раскрутку — упоминание адреса сайта многократно выросло, он запомнился и скандал этому чрезвычайно поспособствовал.


              1. sonik_spb
                15.12.2016 17:24

                Вы абсолютно правы, разрекламировали (я с этим не спорил). Дальше надо бы выгоду извлечь? Как хозяин домена в итоге извлечет выгоду, я лично не понимаю. Просветите «гениальность» этого всего.


                1. vconst
                  15.12.2016 17:25

                  Я совершенно уверен, что этот скандал здорово увеличил трафик сайта, а значит — и его выгоду.


                  1. sonik_spb
                    15.12.2016 17:27

                    Трафик к 127.0.0.1? =)) О да, там всегда много трафика! Давайте туда побольше банеров, да покрупнее!


                    1. vconst
                      15.12.2016 17:33

                      Вернут обратно реальный айпишник сервера и получат свой трафик.
                      В самом худшем случае — они очень нехило поднасрали репутации роскомпозора в стиле «не зъим дак понадкусываю» (С).

                      Если бы ркп знал, чем это им обернется — может вообще не стали бы связываться.


  1. Nordicx86
    15.12.2016 17:03

    таким образом следующий пакостник сменит IP для блокировки на 217.106.225.150


  1. sinyaya_boroda
    15.12.2016 17:03

    Надо было на ip адрес 217.106.225.150 менять)


    1. vconst
      15.12.2016 17:07
      +11

      Требую фотофиниш для Nordicx86 и sinyaya_boroda! :)


  1. dartraiden
    15.12.2016 20:22

    В начале 2014 года уже было такое. Домен, который забанили, поставил себе такой же IP, как и у того, с которого провайдеры берут выгрузки реестра. В результате, провайдеры забанили себе доступ к реестру.

    Когда реестр только-только заработал, многие указывали на его несовершенство в той части, что заблокированному ресурсу достаточно сменить IP и всё, он уже вне блокировки. Таким способом пользовались Lurkmore, Википедия и другие. Из-за этого Роскомнадзор вскоре приказал провайдерам при фильтрации резолвить (определять текущий IP) адрес «плохого» сайта, чтобы фильтровать актуальный IP и не дать ресурсу избежать блокировки путём смены IP. Это, в свою очередь, создало возможность атаки заблокированным ресурсом, которую мы продемонстрировали несколько раз, в результате чего Роскомнадзор вынужден был «отступить» и теперь приказал провайдерам при фильтрации больше не резолвить адрес ресурса и блокировать только тот IP, который указан в реестре.
    Как работает механизм блокировок со стороны Роскомнадзора


  1. Temych
    15.12.2016 21:08
    +1

    Скандалы.Интриги.Расследования.
    Ох

    Первыми о «сенсации» сообщила Роскомсвобода. После этого многие перепечатали данное сообщение, а Роскомнадзор оперативно устранил этот казус, не понеся большого ущерба. Для karaoke-besplatno.ru это также не принесло никакой выгоды, т.к. даже в случае увеличения потока заходов, сайт оказывается недоступен. Получается, что возросший трафик и свою выгоду получила лишь Роскомсвобода. Учитывая как они себя попиарили, можно предположить, что они подсказали владельцам karaoke-besplatno.ru изменить IP-адрес на локалхост.


    Кто-то третий должен «предположить», что эта статья — тоже заказная от Роскомсвободы.
    #всёсложно #црукакпридумалоинтернеттакониразвивается

    image


    1. pda0
      16.12.2016 00:46

      Опередили. :)

      Мне вот давно уже интересно: Это весело или страшно, жить человеком, для которого единственным первым и последним аналитическим инструментом является «cui prodest»? С одной стороны — невероятная лёгкость бытия, все ответы находишь в пределах пары минут. С другой — везде сплошные заговоры.


    1. Noeren
      16.12.2016 05:09

      А что если этот коммент заказной, чтобы отвести подозрения от Роскомсвободы? [сарказм]


      1. instalator
        16.12.2016 09:30

        Роскомсвобода перелогиньтесь.


        1. Temych
          16.12.2016 11:27

          Роскомсвобода уже залогинилась подо мной)


          1. Noeren
            16.12.2016 11:34

            Но кто это заказал?


    1. vconst
      16.12.2016 11:47

      Если бы это был поклеп от роскомсвободы — то роскомпозору не за что было бы оправдываться


  1. Stepanow
    16.12.2016 13:02

    Напомнило:
    image


  1. Error1024
    18.12.2016 03:01

    Статья — вода на воде.