Подавляющее большинство провайдеров используют те или иные системы анализа трафика, чтобы блокировать конкретные URL, а не IP-адрес: аппаратные комплексы DPI, открытые DPI под Linux, прозрачные прокси-серверы. Этого вполне достаточно для блокировки ссылок в HTTP, но не все системы поддерживают анализ домена (параметра SNI) в HTTPS-трафике, из-за чего провайдерам с такими системами приходится блокировать HTTPS-ссылки реестра по IP-адресу.
Также в реестре есть сайты, внесенные по домену, без указания протокола. Некоторые провайдеры блокируют такие записи по IP-адресу, другие — только HTTP и HTTPS-протокол у этих доменов. Чтобы не покупать дорогие конфигурации DPI, которые могут анализировать весь огромный поток трафика, провайдеры пропускали через DPI только известные IP-адреса заблокированных сайтов, и обходились конфигурацией дешевле.
У каждой записи в реестре, будь то домен или ссылка, есть свой список IP-адресов. До конца января этого года провайдерам, блокирующим частично или полностью по IP-адресам, достаточно было фильтровать доступ только к IP-адресам из реестра. В конце января обновилось ПО «Ревизора» — системы, проверяющей, насколько качественно провайдер блокирует веб-сайты. Если раньше «Ревизор» пытался открыть сайт по одному IP-адресу из DNS, как любой обычный браузер или программа, то после обновления совершает запросы по всем IP-адресам и из DNS-ответа, и из реестра. Вместе с этим, провайдеров начали штрафовать за открывшиеся сайты, не было никаких поблажек и допустимого порога внезапно открывшихся сайтов.
Дабы не быть оштрафованными, провайдеры начали постоянно проверять, не появились ли на домене новые IP-адреса, и добавлять их в списки блокируемых и пропускаемых через DPI.
Веселье начинается…
Начиная с 29 мая, люди начали потихоньку скупать разделегированные домены из реестра, которые были добавлены в 2014-2016 годах, и устанавливать на них A-записи на IP-адреса популярных ресурсов. Провайдеры резолвили эти домены, добавляли IP-адреса в список блокируемых, доступ к ресурсам пропадал. Первые шутники добавили записи Вконтакте и Яндекса, из-за чего некоторые провайдеры заблокировали к ним доступ. Роскомнадзор прислал следующее уведомление:Затем последовала частичная неработоспособность Telegram и некоторых других сайтов.
При особом стечении обстоятельств, если IP-адрес ресурса добавили на домен, внесенный без URL, или на URL с HTTPS, и трафик до сайта приходил через провайдера, который реализует блокировки для транзитного трафика, сайт становился недоступен сразу ото всюду, глобально для всех.
От транзитных блокировок пострадали в основном ресурсы, проходящие через Ростелеком и ТТК:
- Корневые DNS
- ntv.ru
- nag.ru
- avito.ru
- 3ds.sdm.ru
- acs.bspb.ru
Nag и НТВ лежали длительное время, пол дня, или около того. О неработоспособности двух последних доменов, обеспечивающих 3-D Secure (СМС-подтверждение онлайн-транзакции по карте) банков Санкт-Петербург и СДМ, не заявляли ни СМИ, ни сами банки.
На антизапрете долгое время есть система определения аномалий, чтобы исключать IP-адреса популярных ресурсов из списка проксирования, если владелец заблокированного домена установил A-запись на этот IP-адрес. Список IP-адресов для определения аномалий составлял сам, в него попали популярные мировые и российские сайты, корневые DNS и DNS распространенных доменных зон, технические банковские домены.
Проснувшись утром в понедельник, я обнаружил большое количество аномалий, удивился, и решил проверить доступность некоторых сервисом ping-admin.ru — результат на скриншоте выше. Не знаю, как долго они продержались и на каком домене были установлены, т.к. скрипт запускался раз в 6 часов и выдавал только список IP-адресов (сейчас я его уже модифицировал). В последующей выгрузке этих IP уже не было.
…и продолжается
7 июня, в неумелых попытках исправить ситуацию, Роскомнадзор составил и направил «белый» список сайтов провайдерам, с IP-адресами и доменами, которые лучше бы не блокировать.
Роскомнадзор объединил ячейки в XLS-документе так, что каждую вторую запись не было видно, и многие долго пытались понять, почему, например, одни корневые DNS-серверы в него вошли, а другие — нет. Все стало ясно, когда кто-то додумался установить высоту всех ячеек в одинаковое значение.
Весельчаки-затейники начали оставлять в DNS-записях послание Роскомнадзору и провайдерам (есть даже от от 14-летнего мальчика), а также сделали собственный сервис блокирования произвольных IP-адресов!
Позже очнулись магистральные провайдеры. Поняв, что так дела не делаются, Транстелеком сначала начал проксировать все запросы к заблокированным сайтам в транзите (буквально, через squid, с изменением исходящего IP-адреса), а затем начал отключать блокирование транзитного трафика, заставляя мелких провайдеров фильтровать сайты самостоятельно.
Последняя аномалия выглядит следующим образом:
104.244.42.129 nudism.ga. # twitter
104.244.42.193 nudism.ga. # twitter
109.207.1.97 nudism.ga. # gosuslugi.ru
163.172.11.143 zenitbet44.com. # meduza.io
163.172.11.149 zenitbet44.com. # meduza.io
163.172.180.25 zenitbet44.com. # meduza.io
163.172.40.199 zenitbet44.com. # meduza.io
163.172.73.23 zenitbet44.com. # meduza.io
163.172.74.46 zenitbet44.com. # meduza.io
194.54.14.159 nudism.ga. # sberbank
194.67.29.100 www.segodel.com. # securepay.rsb.ru
216.146.46.10 www.10sport10it.com. # travel.s7.ru
216.146.46.10 www.betrallyru.com. # travel.s7.ru
216.146.46.11 www.10sport10it.com. # travel.s7.ru
216.146.46.11 www.betrallyru.com. # travel.s7.ru
50.112.196.159 nudism.ga. # twitch
52.36.196.57 nudism.ga. # twitch
52.41.96.17 nudism.ga. # twitch
5.255.255.88 bethaze.ru. # yandex
5.255.255.88 dabet.ru. # yandex
5.255.255.88 zerkalo-tv.ru. # yandex
77.88.8.88 www.segodel.com. # yandex
88.212.240.172 zenitbet44.com. # meduza.io
88.212.244.68 zenitbet44.com. # meduza.io
91.227.34.40 zenitbet44.com. # meduza.io
95.167.27.74 www.segodel.com. # DNS Rostelecom
95.213.255.15 www.rutinadew.com. # tjournal.ru
Судя по сервису ping-admin.ru, из некоторых локаций имеются проблемы с доступом, как минимум, к meduza.io и tjournal.ru.
Чего ждать дальше
Ау, Роскомнадзор! Может, уже что-нибудь, ну, скажете, хотя бы, если не сделаете? Вы там сдохли, что ли? Вторая неделя близится к завершению, а вы молчите.
Буквально несколько часов назад произошли масштабные сбои в обслуживании банковских карт (но, похоже, это не связано с блокировками).
Делайте выводы.
Комментарии (256)
darkk
09.06.2017 21:04+6Транстелеком сначала начал проксировать все запросы к заблокированным сайтам в транзите
Мне больше интересно, что произойдёт с подобными фильтрами на транзите, если количество IP-адресов в которые резольвятся доменные имена из реестра подберётся к размерам TCAM на маршрутизаторах. Если я верно понимаю lg, то домены в роуты /32 резольвит не только ТТК, но и, например, Ростелеком.
Если каждый хулиганский домен отдаст по 4000 рандомных устаревших IPv4 адресов и по 2300 современных IP (примерно столько помещается в DNS-ответ максимального размера), то для выжирания TCAM с 512к записями, если я не обсчитался, достаточно будет примерно 60 доменов. У одних только граней.ру их в 10 раз больше. Disclaimer: *.rnd.darkk.net.ru. в реестре нет, это я поведение резольверов с большими ответами тестирую в рамках OONI и трафик на этот домен логируется.nevzorofff
09.06.2017 21:47+2Так надо провести эксперимент! Купить 60 доменов из списка и алга. Пишите кошелёк, куда желающие могут скинут посильную помощь!
darkk
09.06.2017 21:58+6Я оставлю этическую и юридическую сторону данного эксперимента кому-нибудь другому.
А лишние биткоины лучше отправить семье Димы Богатова, арестованного за слова Айрата Баширова оператора выходного узла Tor, чем интернет в РФ ломать. :-)nevzorofff
10.06.2017 00:15Да Богатов очень отважный человек, я-то за Релей ссу кругами, но пока не выключаю.
darkk
15.06.2017 01:20Впрочем, я, кажется, придумал, как провести эксперимент, который ответит почти на тот же вопрос и ничего не сломает. К сожалению ответить на вопрос «в числах» у меня не хватило терпения, но идея описана.
dartraiden
09.06.2017 21:56+2По неподтверждённой информации: сейчас провайдерам устно приходят указания перестать ресолвить домены из реестра. Показания «Ревизора», который будет при этом фиксировать «залёт», учитываться не будут, пока РКН не решит, как выйти из положения.
Письменных указаний пока нет.Yulaw
09.06.2017 23:12+2Судя по всему так и есть, LinkedIn работает (onlime)
Zverienish
10.06.2017 06:50На ростелекоме не заходит. Выдает страницу о блокировке.
vconst
10.06.2017 10:14-1Те пользователи, чьи провайдеры имеют мощный и правильно настроенный DPI — ничего не ощутят от всей этой котовасии. А вот те, чьи провайдеры победнее или не умеет настраивать фильтры, а это большая часть России — получат по полной.
Simplevolk
10.06.2017 18:21у меня на Ростелекоме Cloudflare заблочили… и вот что теперь делать? Ростелеком блочит по DPI или тупо по IP?
swelf
10.06.2017 21:35А какой dpi в случае https трафика, в лучшем лучае имя хоста можно из трафика вытащить и тогда принять решение о блоке.
ValdikSS
10.06.2017 21:36DPI анализируют опцию SNI и разрешают доступ к незаблокированным сайтам, находящимся на одном IP-адресе с заблокированным доменом.
swelf
10.06.2017 22:21Ну я об SNI и говорил, мне больше нравится, что РКН заставил провайдеров резолвить домены, чтобы блокировать их независимо от ip в реестре, их не волновало, что в реестре прописан один ip вместе в url, а доступен он уже по другому ip. Теперь же судя по интервью на svoboda.org они хотят свалить ответственность за резолвинг на провайдеров.
nerudo
10.06.2017 14:28+4Надо быть дурачком, чтобы верить словам, от которых в любой момент могут отказаться. Есть закон, сами придумали — распишитесь.
nevzorofff
18.06.2017 01:10А никто в суде не пробовал залёт по присутствующему домену и отсутствующему IP адресу отбить?
DandyAndy
09.06.2017 21:56+1Пока лишь Вконтактиками и Сбербанками балуются, а если «доберутся» до АСУ РЖД/МРСК/газораспределительной системы?
dartraiden
09.06.2017 22:00На сайте, где ведётся приём предложений «какой бы ещё IP прописать заблокированному домену», сегодня предлагали 224.0.0.0/24
bydunai
09.06.2017 22:08Думаю, что такой префикс отфильтруется наравне с «забаннеными» серыми в среде глобальной маршрутизации.
BarsMonster
09.06.2017 22:01+19Вот это годный ответ на блокировки, реальные убытки и звонки сверху посреди ночи :-)
Как говорила их направляющая рука — "Замучаетесь пыль глотать" :-)demin
10.06.2017 08:05+6Боюсь, радоваться особенно нечему, если бы «шутники» не появились сами их обязательно стоило бы придумать, как говорится. Сейчас это наскоро состряпанный белый список, завтра в него войдут все сайты госучреждений и крупных компаний, послезавтра всем сайтам не желающим оказаться заблокированным предложат отметиться в РКН, а кто остался — ну уж извините вас предупреждали. Вангую, что все это произойдет до выборов.
khanid
10.06.2017 12:11+2Интернет — это не изолированные ресурсы. Положение таково, что очень многое взаимосвязанно -. API, cdn, партнёрки, всякие ID, шареды, хостинги и дата-центры и т.д. и т.п. Придёт к тому, что списки будут исчисляться сотнями тысяч. А это, в свою очередь, будет, вероятно, вызывать проблемы с конфигами, например, когда просто километровые простынки по всему оборудованию будут разъезжаться часами.
В таком случае каждый новый ресурс-жертва будет просто болтаться недоступным очень длительное время.
Ну и администрирование этого списка — представьте, какая это задача.nerudo
10.06.2017 14:30+1Кого это волнует? «Дополнительной нагрузки на бюджет не предполагается» (ц)
xcore78
11.06.2017 19:54Взволнует пользователей, когда компании, услугами которых они пользуются, начнут терять доход и, как возможное следствие, переориентироваться на другие рынки. Поскольку бывает не только импорто-, но и экспортозамещение.
docomo
14.06.2017 14:25Собственно, в Китае это уже реализовано. Называется ICP license, получаешь ее на размещенный внутри Китая сайт от правительства, без лицензии открывается только заглушка.
SchmeL
13.06.2017 15:35+1В таком случае каждый новый ресурс-жертва будет просто болтаться недоступным очень длительное время.
Ну и администрирование этого списка — представьте, какая это задача.
Посадят девочку, которая будет вручную забивать адреса в белый список, на З.П в 20т.р.
Хочешь свой домен — пиши заявление в РКН, очередь в четвертое окошко. Срок рассмотрения — 3 месяца. (как в налоговой).burzooom
14.06.2017 08:031. регистрируем сайт в РКН
2. продаем его через месяц кому то для запрещенного контента
3. три месяца до сайта не могут добратся руки РКН
BarsMonster
10.06.2017 14:10+4Радоваться конечно нечему. Систему не победить. Но удар пропущен, значит мы проигрываем не в сухую. Рано или поздно конечно дожмут до уровня Китая, где HTTP через SSH тунель не прокинуть. Но и там люди живут, пообвыкли.
А лет через 10 информационная война Океании и Остазии глядишь и закончится, будем жить в мире и покое...
wtigga
11.06.2017 12:22Имхо, не прокатит китайский опыт.
Когда заблокировали ютуб, появилось несколько аналогов, дублирующих функциональность видеохостинга. И они, несмотря на отвратительное качество, объективно плохой дизайн уровня начала нулевых, рекламу перед видеороликами от (!) минуты (!) непропускаемую, выжили. А почему? Потому что потенциальных клиентов миллиард (это число пользователей интернета в Китае).
В России для успешной замены ютуба нужно потратить столько же усилий по разработке аналогичного ресурса, а потенциальная клиентская база в 10 раз меньше. И прибыли потенциальной во столько же раз меньше. Т.е. странно думать, что мы тут получим сервис, который хотя бы 1/10 сможет делать от того, что может делать youtube. Я уже не говорю про стагнацию в условиях отсутствия конкуренции — китайские iqiyi /youku тому пример.
dartraiden
09.06.2017 22:05+2Я встречал информацию, что в «белый список» затесался адрес, который одновременно находится в «черном списке». Это правда? Если да, то это отлично показывает, какая суматоха царит в РКН.
А 15 числа ещё и прямая линия с Путиным, положить которую — очень соблазнительно.ivan386
09.06.2017 23:59Youtube чтоль?
KonstantinSpb
10.06.2017 01:38Интернет сайты первых ТВ-кнопок страны.
ivan386
10.06.2017 10:57Я про сайт который в черном и белом списке одновременно.
dartraiden
10.06.2017 20:14+1http://forum.nag.ru/forum/index.php?s=08c294c44d43c31300277913246d3a79&showtopic=79836&view=findpost&p=1408515
ValdikSS
10.06.2017 09:26+4А 15 числа ещё и прямая линия с Путиным, положить которую — очень соблазнительно.
Уважаемые коллеги!
http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=1409365
По поручению Роскомнадзора, сообщаю что до 16 июня 2017 года необходимо осуществлять ограничение доступа к Интернет — ресурсам только по тем IP-адресам, которые указаны в Реестре (не применяя DNS-резолвинг).
О получении данного сообщения прошу уведомить Управление Роскомнадзора по Челябинской области.dartraiden
10.06.2017 14:42+1dartraiden
10.06.2017 14:50+7По сути, это распоряжение нарушить федеральный закон.
Goodkat
10.06.2017 17:30+5Распоряжение нарушить федеральный закон, который противоречит Конституции РФ.
xcore78
11.06.2017 19:57Здесь не работает определение преступного приказа, относящегося к военным действиям или иным способам гибели людей.
Федеральный закон плох, но это федеральный закон, и не провайдерам его обсуждать ПЕРЕД его выполнением. После — сколько угодно.sumanai
12.06.2017 20:04Федеральный закон плох, но это федеральный закон, и не провайдерам его обсуждать ПЕРЕД его выполнением. После — сколько угодно.
Такой закон нужно обсуждать до ПРИНЯТИЯ.
flx
09.06.2017 22:30-2это не самая злая шутка из возможного репертуара.
реально если мы не хотим увидеть total shutdown национального сегмента сети в ближайшие две недели — единственное разумное телодвижение это превентивный shutdown всего механизма РКН и переработка его с учетом «выявленных в процессе эксплуатации дефектов».
diakc
09.06.2017 22:40+3В нашей компании так же была ситуация, когда провайдер заблокировал сайт у нашего клиента. Сколько таких пострадавшей от этой затей чиновников с ограничениями только догадываюсь. Организации терпят убытки, естественно все убытки перекладываются на клиентов компаний — в конечном итоге обычных людей. Кроме того государство наступает само себе на хвост, двигает такие интернет сервисы как Госуслуги, передачу отчетности через интернет, чего новый проект операторов фискальных данных стоит, когда все кассы должны через интернет чеки передавать в налоговую, и при этом само же, силами Рокомнадзора нарушает работу ресурсов.
Kulich
09.06.2017 22:55А я все думаю что это ЖЖшечка на домашнем интернете не работает. Нажал подробности глянуть и правда
CacheHost: blacklist.ttk.ru
ErrPage: ERR_CONNECT_FAIL
Err: (110) Connection timed out
nevzorofff
09.06.2017 23:01Роскомнадзору, как минимум, нужно отслеживать разделегированные домены, количество фак-апов резко уменьшится.
Но никто не запретит сделать домен, добиться его запрета и потом заниматься тем же самым, ну или как вариант — покупать заблоченные домены.ivan386
09.06.2017 23:53Т.е. вы предлагаете удалять из списка разделегированные домены? Тогда их могут также обратно зарегестрировать и продолжать постить хентай.
ankh1989
10.06.2017 07:53+6Да ладно бы хентай. А если кто то цитаты из Конституции будет туда постить?
ivan386
10.06.2017 14:51У конституции два сайта целых есть.
http://www.constitution.ru
http://constitution.kremlin.ru
Оба работают и не блокируются. Второй вообще в белом списке.sumanai
10.06.2017 17:30+1Так там конституция целиком, а не отдельные цитаты. В такой массе символов хорошие статьи затеряются, поэтому вся конституция не так опасна, как её части.
rionnagel
09.06.2017 23:46+7У меня уже пару лет бомбит от того, какой ад и израиль умудрились жирнопопые дяденьки и остервенелые тётеньки учудить в россии. Такое чувство, что они одержимы мыслью, что все люди в их стране должны разделять их мысли, чувства и выводы, а те кто нет — враги и те, кого надо перевоспитывать. Этот инцидент лишь крупица, демонстрирующая общий подход.
dartraiden
09.06.2017 23:48+4Роскомнадзор заявил, что недоступность банковского обслуживания не связана с DNS-атаками и обратился в МВД с требованием привлечь к ответственности распространителей этой информации (как будто это что-то незаконное).
ivan386
09.06.2017 23:57Подумал что за DNS-атака? А потом сообразил. Этому явлению название придумали.
Alexmaru
10.06.2017 00:29+7Но это не может быть атакой, никто никого не взламывает. На DNS у доменов может твориться всё что угодно, включая указатели на внутренние ресурсы — это личное дело каждого владельца.
dartraiden
10.06.2017 00:37+12И я это понимаю, и вы, и даже Роскомнадзор это понимает, я уверен. Но ни они, ни Радиочастотный центр не хотят взять на себя ответственность за то, что это не повторится.
Поэтому, виноваты будут злые хакеры, педофильское лобби, Навальный — кто угодно, но только не ведомство, которое старательно игнорировало такой сценарий развития событий и ещё в марте отмечало, что таки да, есть расхождение между рекомендациями Роскомнадзора (не ресолвить) и практикой РЧЦ ЦФО (куда поступают данные, собираемые «Ревизорами», которые ресолвят домены, что приводит к штрафам).Bonio
10.06.2017 01:27А при чем тут вообще Радиочастотный центр?
dartraiden
10.06.2017 01:29+3ФГУП «ГРЧЦ» представляет собой отраслевой экспертный центр, обеспечивающий… сопровождение контрольно-надзорных и регуляторных функций Роскомнадзора по основным направлениям его деятельности в области связи и в сфере средств массовой информации и массовых коммуникаций.
источник
«С ноября 2015 года ФГУП «Радиочастотный центр центрального федерального округа» (ФГУП «РЧЦ ЦФО») осуществляет на территории России внедрение на узлы операторов связи технических средств контроля за соблюдением операторами связи требований, установленных статьями 15.1 — 15.4 Федерального закона от 27 июня 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
источник
Данные с «Ревизоров» стекаются к ним. Почему на них возложили эти функции, я не в курсе.
khanid
10.06.2017 10:54+4Кстати, есть у меня знакомый, как раз в радиочастотке. Ещё в универе, когда учились вместе, он был слегка странноватым, поэтому я предпочитал с ним лишний раз не пересекаться. А теперь он в радиочастотном, и с такой гордостью рассказывает о том, что это он контролирует соблюдение блокировок. Напоминает какого-то юзера irc-каналов, дорвавшегося до уровня опа на популярном канале, и начавшего своей властью туда и сюда размахивать.
KorDen32
09.06.2017 23:51«Чтобы не создавать излишнюю нагрузку на сеть, провайдеры пропускали через DPI только известные IP-адреса заблокированных сайтов.»
Может все-таки что-то типа «чтобы не создавать лишнюю нагрузку на DPI, тем самым требуя больших мощностей DPI и увеличивая задержки»..?ValdikSS
09.06.2017 23:53И на сеть, и на DPI. DPI, как правило, стоят дорого, поэтому их устанавливают не на всех путях трафика, и на него маршрутизируют только IP-адреса, которые нужно проверять.
KorDen32
10.06.2017 00:15+2Я немного знаком с принципами DPI у провайдеров, спасибо :)
Раскрою свою мысль: если под сетью понимать все сетевые устройства, кроме DPI, то:
Простейший случай — гоним весь трафик в DPI. Нужен более мощный DPI, плюс возрастут задержки на обработку самим DPI никак не подпадающего под фильтрацию трафика. DPI ставится где-то в разрыв между маршрутизаторами, и для маршрутизаторов отличий нет — есть DPI или нет, только лишний хоп (не обязательно).
Начинаем гонять на DPI только то, что нужно. Тут надо уже соединять маршрутизаторы и напрямую, и через DPI, и собственно строить таблицы маршрутизации (в простейшем виде ip route, а чаще через полиси/route map). Таблицы получаются достаточно громоздкими, нагрузка на маршрутизаторы как раз таки растет. И тут мы приходим к возможному лимиту TCAM, если не удастся много схлопывать в подсети.ValdikSS
10.06.2017 00:36Насколько я понимаю, у крупных провайдеров общего трафика гораздо больше, чем трафика, проходящего через DPI, и все это настраивается маршрутизацией. Маршрутизировать часть трафика на DPI дешевле, чем покупать более дорогой DPI. Я ошибаюсь?
KorDen32
10.06.2017 01:11+1Именно! «Маршрутизировать часть трафика на DPI дешевле, чем покупать более дорогой DPI.» точнее описывает ситуацию, чем «Чтобы не создавать излишнюю нагрузку на сеть...», как по мне.
mikluha
10.06.2017 22:45В зависимости от того, где ставится маршрутизатор с DPI может получиться 2 варианта по кол-ву маршрутов:
1. в локальной сети — собственных маршрутов тысячи или десятки тысяч. В этом случае добавление 27478 (у меня сейчас столько) маршрутов увеличит таблицу существенно, но она все еще будет далека от лимитов, даже у недорогих маршрутизаторов со 128к роутов
2. во внешней части сети, где full view — в этом случае запрещенные сети (примем из за 30к) составят совсем не большй процент от Full View (в районе 646к), который, между прочим, уже несколько лет как перестал помещаться в TCAMы с 512к маршрутов.
Лично у меня блокировки стоят между border маршрутизаторами и BSD/BRASами, анонсит маршруты только в роутеры в сторону локальной сети (в сторону абонентов), роуты не редистрибютятся. Так что эти роуты есть только на BSRах и BRASах. В саму локалку они не передаются, поскольку там они не нужны.
Так у меня было с момента внедрения блокировок, задолго до рекомендаций РКН, я даже не представляю как можно было сделать иначе.
Роутить ВЕСЬ трафик на DPI я даже не пробовал, но подозреваю что с моими 3мя гигами проблем не будет совсем, да и с 10-20 гигами тоже. Но зачем?
Проблемы будут у тех, у кого железные DPI лицензируется по чему-нибудь… например по полосе. а реальные проблемы будут у тех, кто пускает на DPI трафик в оба направления, поскольку трафика к абоненту, обычно, в много раз больше, но он для блокировок совершенно не нужен.
И да, у меня DPI для HTTP для блокировок полностью самописный. Написан на коленке 3 дня, позже еще за 3 или 4 часа был на его основе написал HTTPS фильтр по хостнейму в SNI.
Я не понимаю почему некоторые до сих пор режут по IP адресам…swelf
10.06.2017 22:58А как ты узнаешь что блочить? Ну вот ревизор открывал youtube ролик по какомуто собственно отрезолвленному ip, а наш резолвер этот ip никак не мог поймать, и ркн не волновало, что ip по которому открывается сайт отсутствует в реестре. Это я к вопросу «зачем пускать весь трафик на DPI»
mikluha
10.06.2017 23:50Для ютуба у меня IP адреса «собираются» и анонсятся на DPI все IP адреса где ютуб когда-то встречался. Все нормально работает. Ревизор показывает в переделах 100 нарушений что с запасом вписывается в лимит.
ValdikSS
10.06.2017 23:51В лимит? Разве есть лимит? Он был, но его, насколько мне известно, убрали, и, по моим данным, ни один открывшийся сайт, который должен быть заблокирован, не допускается. Это не так?
mikluha
10.06.2017 23:56+1Ну мне сотрудники РКН сказали что больше XXX будем штрафовать, меньше — тоже нельзя, но мы все понимаем, поэтому штрафовать не будем :)
swelf
11.06.2017 00:57+1неофициально можно допустить 1% пропусков, официально же нельзя неодного, просто радиочастотникам пришло устное указание не присылать отчеты в РКН если пропусков меньше 1%, но по факту же, все равно нельзя. да и то этот лими установили в январе, а в декабре еще успели понавыписывать штрафов за 1-2 пропуска. да и «собираются» тоже, как? резолвером? если принять за норму 100-200-300 пропусков, то проблем нет, можно собирать, если же пропускать нельзя вобще ничего, то тут своим резолвером, который собирает ip адреа не обойтись, нельзя будет гарантировать актуальность информации.
SinsI
11.06.2017 02:31Вот интересно, почему нельзя брать ipшники у этого самого «Ревизора»?
А как они там будут получатся — через ресолв или ручками — уже будет проблема РКН.swelf
11.06.2017 12:37А как их брать у ревизора, если ревизор делает резолв в момент проверки? конечно в идеале РКН должны давать все данные для блока, в данный момент вроде как дают и ip и url, но по факту ip бесполезен, ибо они все равно требуют(требовали до последних событий) резолв.
mobi
11.06.2017 12:54А как-то проверяется, что провайдер не блокирует собственно все проверочные запросы от ревизора?
ValdikSS
11.06.2017 12:54Да, Ревизор проверяет доступность сайтов, не находящихся в реестре. Произвольные сайты СМИ, Вконтакте, всякие другие.
Sadler
11.06.2017 13:18Тем не менее, куда проще подключить систему блокировки только к ревизору: экономим на необходимых мощностях, страхуем пользователей от багов системы, вроде текущего. При этом внешне можно сделать, чтобы всё выглядело как положено, разница только в роутинге.
ValdikSS
11.06.2017 13:40Они каким-то образом проверяют и от имени обычного клиента провайдера. Вероятно, ставят Ревизоры обычным пользователям.
Sadler
11.06.2017 14:02А вот с этим бороться только бинарным поиском, при условии, что фэйковый клиент один. Если несколько, то да, сложнее.
swelf
11.06.2017 14:39Отчеты можно смотреть только от официально установленного ревизора у провайдера, на портале, если сделают проверку от клиента, скорее ручную разовую, чем ревизор на постоянку, то в постановлении так и напишут, у какого клиента и когда проверили, так что искать уже не надо будет ничего, но и действовать по клиенту будет поздно.
KorDen32
10.06.2017 23:41в локальной сети — собственных маршрутов тысячи или десятки тысяч.
…
моими 3мя гигами
Это у вас vlan-per-user, что так много маршрутов в локалке, для 3 гигов-то?
Да, современные L3 идут с большими таблицами, но в сети могут до сих пор работать железки (модульные например), которым уже лет 5, и которых все еще достаточно, но у них может быть TCAM 32-64k, и текущие 27к уже будут ощутимы.mikluha
10.06.2017 23:53Нет, у меня всего чуть больше сотни маршрутов в локалке, это я расчет для прова покрупнее привел. Хотя если vlan per user то сотни тысяч в локалке большого прова теоретически возможны, если нет агрегации префиксов по областям.
mirazart
10.06.2017 00:37+2Уже нашли виноватых)))
https://ria.ru/incidents/20170609/1496240230.htmlClearAirTurbulence
10.06.2017 00:53Якобы нашли виноватых. И сбоев никаких, конечно же, не было. В Багдаде всё спокойно!
vKreker
10.06.2017 13:31+1Тошно читать. Особенно комментарии к новости. Те, кто подтверждают недоступность — заминусованы ботами. Вчера в новостях читал, что даже пресс-служба банка подтвердила. Накосячили гос.структуры, но боятся признаться. Ладно бы умолчали, но ведь теперь же будут искать козла отпущения среди простых людей. Найдут кого-нибудь кто писал про недоступность и привлекут.
К слову, сайты мегафона вчера были недоступны приблизительно в это же время.
«Мы воюем с ОСТАЗИЕЙ!»dartraiden
10.06.2017 14:45«Мегафон», говорят, сам налажал.
Samoglas
13.06.2017 07:10+1Благодаря Мегафону я на данный момент полностью потерял контроль над одним из Gmail ящиков с красивым именем — мне несколько дней не приходят sms второго этапа авторизации.
Суппорт Gmail отмалчивается, несмотря на то, что я ответил на все вопросы восстановления доступа, включая дату создания ящика, 12 лет назад. :)
С Rutaxi (Такси Везет) такая же история.
А историю со Сбербанком наблюдал сам, 9.06.2017 в 16:47 — не смог расплатиться картой. Время по Москве.
Дебетовая карта — отказ. Кредитная — отказ. Пытаюсь зайти в СбОл, пишет, что у меня логин неправильный о_0
Я подумал, что происходит локальный сбой, потому что все сбербанковские банкоматы, которые мне попались на глаза, а у нас их очень много и один находится в пределах видимости от другого, были или заняты, или не работали. Такое я в первый раз видел, подумал, что инфраструктура под непосильной нагрузкой. А еще были шальные мысли о том, что люди знают про Сбербанк что-то, чего не знаю я и спешно сливают деньги. )
Тут же пошел в отделение и услышал, конечно же, идиотский совет перевыпустить обе карты. :)
О сбое они ничего не знали.
ValdikSS
10.06.2017 18:20Мне нравится читать комментарии пользователей на этом сайте:
http://downdetector.ru/ne-rabotaet/sberbank
lolipop
Жаль, что РКН скорее всего и себя в белый список IP внёс.
ValdikSS
Внес, это давно еще было, даже не в прошлом месяце.
igrig
Глупо предполагать обратное. Учитывая, что белые списки давно существуют у провайдеров, типа dns (name service), вк, и иже с ними.
arthi7471
Гавным говно во время становления ш2з на русском форуме был один дивный людь. Он орал и матерился что скоро будет волна блокировок а над ним все ржали. Сейчас вспоминая этого анона мне что-то не до смеха.