Адрес для входа в РФ: exler.world

Бодался телёнок с дубом

01.05.2018 13:21  14260   Комментарии (33)

Любопытная статья Алексея Коваленко о войне РКН с "Телеграмом". С некоторыми технически подробностями того, как это вообще все делается и почему это безнадёжное занятие.

В частности, я из этой статьи узнал о "Ревизоре" и о том, почему какие-то сайты, которые раньше были заблокированы, разблокировались. Цитирую.

Когда Роскомнадзор находит сайт или получает «тук-тук», они открывают сайт, видят противозаконную информацию, вытаскивают IP адрес ресурса и добавляют его в свой список. Первое, что делает администратор сайта, пытаясь выйти из под блокировки — меняет IP адрес. Роскомнадзор об этом знает, поэтому периодически перепроверяет, не изменился ли адрес, и если изменился, то заносит в список запрещенных новый IP. Вроде бы всё просто и логично, особенно с точки зрения чиновника с педагогическим образованием. Вот только фокус в том, что опечаленный администратор совсем не обязательно внесет именно свой IP адрес, и как результат, еще в 2012 году был прецедент, когда Машков, автор старейшей в рунете библиотеки lib.ru, поставил вместо своего IP адреса — адрес Минюста, и конечно же РКН заблокировал сайт министерства:)

В том числе после этой истории в РКН придумали такую штуку как «ревизор». Это вроде как российская разработка, которая по госконтрактам закупалась по 10 тысяч рублей за штуку (а на деле это дешевый китайский роутер, розничная цена которого не более 1000 рублей). Суть «ревизора» в том, что у каждого провайдера установлена эта коробка, которая берет реестр запрещенных сайтов и последовательно проверяет их на доступность. И если сайт не заблокирован, то «стучит» в РКН, который по этому сигналу стучит по голове провайдеру.

Вроде бы задумка неплохая, вот только провайдерам пришлось не по душе, что у них в сети установлен электронный стукач с российским паспортом и китайским нутром. Тем более, что РКН не просто «ай-ай-ай» говорит, а штрафы выписывает. В общем, большинство провайдеров заблокировали этой коробочке весь интернет, оставив лишь доступ к сайту РКН, чтобы эта «коробочка» могла отчитываться в РКН, что всё в порядке.

История забавная получилась, но в сегодняшней ситуации несущественная, так как если старый реестр из десятка тысяч адресов «ревизор» мог проверять теоретически, то сегодня, когда таковых 16 млн., коробочка банально не справится.

Комментарии 33

Хороший мастер по ремонту холодильников быстро найдет поломку и ее устранит, так что не переживайте по этому поводу
22.11.20 14:00
0 0

Сейчас вовсю существуют всякие nextgen файрволы, блокирующие по сигнатурам в трафике, а не примитивы типа ip. Насколько я знаю, у коммерческих решений цены космические, но что мешает обязать к покупке со стороны государства подобных продуктов либо принудительная их установка в сети провайдеров по какой-нибудь госпрограмме?
vlp
02.05.18 12:48
0 0

Сейчас вовсю существуют всякие nextgen файрволы, блокирующие по сигнатурам в трафике, а не примитивы типа ip. Насколько я знаю, у коммерческих решений цены космические, но что мешает обязать к покупке со стороны государства подобных продуктов либо принудительная их установка в сети провайдеров по какой-нибудь госпрограмме?
На сколько я знаю, настоящий DPI способный переварить трафик даже среднего провайдера не существует в природе, ну и цены .. они же лягут на пользователей Интернета ( мало для цен от закона Яровой)
02.05.18 17:32
0 0

У 100% всех средних и крупных провайдеров используется DPI. Более того, фильтрацию по IP не рекомендует РКН, как раз по причинам описанным в статье.

Проверить, применяет ли ваш провайдер http dpi можно зайдя на сайт, например, pbooru.com . Он не запрещён в РФ, запрещены только его отдельные URL. Если он откроется, то ваш провайдер анализирует трафик и блокирует только отдельные URL.

Можно даже скачать программку, которая подробно расскажет, какие именно техники DPI реализует именно ваш провайдер. github.com (я к ней не имею отношения, так что рекомендую как обычно перед запуском посмотреть, что именно этот питоновский скрипт делает)
03.05.18 00:18
0 0

Программка имелась в виду вот эта, а то ссылка на частично запрещенный в России сайт про поняшек аж два раза вставилась:

github.com
03.05.18 00:20
0 0

У 100% всех средних и крупных провайдеров используется DPI. Более того, фильтрацию по IP не рекомендует РКН, как раз по причинам описанным в статье.
кажется фильтрацию по IP запрещают даже, но в DPI сейчас ложится у всех ( или у большинства) только малый кусок трафика( у многих это хорошо видно на Looking Glass - как пример у Билайн и Комкор точно показывают в LG идет трафик в DPI или нет).
Прорграмму - анализатор покопаю ( интересно), у моего провайдера определила правильно ( знаю что стоит - общался на эту тему) , у меня на работе - задурила и сказала много глупостей
03.05.18 03:16
0 0

Статья очень слабая, настолько пестрит фактическими ошибками, что даже разбирать лень - косяки почти во всех основных тезисах.
02.05.18 08:13
0 1

Как автор статьи, хочу написать два момента. Во-первых, Алекс привет, мы с тобой пересекались в оффлайне, правда давненько... на isdef 2003 (не опечатка). Во-вторых, статья эта не техническая и не для аудитории хабра, а для политического ресурса и соответствующей аудитории, так что прошу сильно не пинать на тему технических моментов. Расписывать там примеры конфигов, как увести тот же 3proxy на порт отличных от дефолтных, как в bind в A записях чужой IP ставить не имело ни смысла ни цели. 😄
02.05.18 07:26
0 0

Со всем уважением, но ведь это не повод просто допускать фактические ошибки в описании того, что именно произошло?

Большинство ресурсов именно с запрещенной информацией блокируется по URL, а не по IP. Ниже пример записи для рутрекера. Никакая смена IP не поможет выйти из под такой блокировки.

Смысл "атаки" Мошкова, которую потом многократно повторяли на брошенных доменах из реестра, был же немного в другом. Верно?
---
15.6 Мосгорсуд
решение суда по делу № 3-0726/2015
04.12.2015 ограничивается к сайту
15.6 Мосгорсуд
решение суда по делу № 3-0647/2015
09.11.2015 ограничивается к сайту
02.05.18 09:03
0 0

Акценты расставлены правильно. С Телеграма всё начинается. Сегодня юзал Телеграм, а завтра родину продал.
01.05.18 21:31
0 1

Нам сейчас главное не перепутать приоритеты, не защищать Телеграм, не протестовать против РКН и Жарова, которые лишь инструмент, а смещать акцент на протест против этой власти, против цензуры, против тотальной слежки и политических репрессий
Странный пассаж. И странное противопоставление.
01.05.18 19:29
0 0

Вполне логичный пассаж. РКН всего лишь инструмент цензуры, не они же её вводят.
01.05.18 20:13
0 3

РКН - это часть исполнительной власти, именно не инструмент, а щупальце. Но напрягает не столько это, сколько несколько раз повторенная мысль, что вся эта движуха - рекламная компания Телеграма. Один шаг остаётся до идеи тесного сотрудничества Дурова и ФСБ.
02.05.18 02:38
0 0

сколько несколько раз повторенная мысль, что вся эта движуха - рекламная компания Телеграма
Вы как-то странно истолковали эту мысль. Дуров воспользовался неудачными попытками запрета для рекламы.
aag
02.05.18 16:54
0 0

Сейчас единственный способ решить проблему — белый список IP адресов/портов и 100% запрет на любое шифрование трафика.

Пока что такой сценарий выглядит нереальным, но начальники, судя по всему, вдохновляются монстрационным лозунгом «Севернее Кореи», так что, как знать...
01.05.18 17:07
0 1

Ну-ну, не таким уж и нереальным.
Простым смердам - белый список IP, никакого TOR и VPN.
Корпорациям разрешат пользоваться VPN.
И всё.
02.05.18 01:29
0 0

Как я понимаю, сложность в том, что сейчас уже сложилась весьма мощная и сложная инфраструктура, включающая и VPN, и шифрование и виртуальные сервера. И в этой инфраструктуре крутятся большие деньги.
Глобальный тупой запрет всего этого приведет либо - к игнорированию без возможности справиться со стороны властей (вариант рутрекера), либо - к фатальному падению половины зоны RU. И как следствие, огромные убытки.
А не тупой запрет сделать сложно...
aag
02.05.18 17:04
0 1

Кстати, Алекс, у меня из твиттера, сайт exler.ru только через vpn открывается.
01.05.18 16:24
0 1

Хмм... Там же обычные прямые ссылки. Сейчас попробую проверить.
01.05.18 20:14
0 0

У меня с российским IP открылся. Там механизм дает ссылки через короткие адреса - может, сервис коротких адресов заблокирован?
01.05.18 20:17
0 0

Сейчас проверил - открывается.
02.05.18 17:37
0 0

Правильная статья. А главное - вывод, сделанный в последнем предложении.
01.05.18 16:23
0 1

Приятно читать, что РКН -- безнадежное дело. С другой стороны, сколько ж бесполезных пассажиров сидит на шее!
01.05.18 14:25
0 2

какой геморр быть провайдером в Ру. Как народ еще заморачивается?
01.05.18 13:50
0 1

А какие варианты? Ты вложил денег, сделал серьёзный бизнес. Приходится подстраиваться, а куда деваться-то?
01.05.18 15:59
0 1

думаю, теперь подостерегутся вкладывать (свои) деньги в серьезный бизнес. Как и в другие типы бизнеса. Если чужие/ворованные -- другое дело.
01.05.18 17:49
0 0

Так это же обычное дело нынче. Сделал хороший бизнес, у тебя силовики его отжали, тебя посадили. Сколько таких случаев знаю.
01.05.18 20:18
0 1

> какой геморр быть провайдером в Ру

Кстати, для относительно крупного бизнеса, если посмотреть с точки зрения чисто "бабла", любое такое регулирование должно быть вполне выгодным делом.

Ну вот если ты маленький провайдер на пять домов, то нужно купить подержанную Циску для фильтрации с DPI (ну где-то за штуку баксов, если верить гуглу?), выкинуть подержанную Циску (когда РКН прикажет перейти на "отечественное"), иметь full time позицию специалиста (который будет во все эти игры за твой счет развлекаться, участвовать в семинарах РКН и на форумах спрашивать, почему старая циска не понимает кириллические домены).

Я не специалист в этом бизнесе, но, полагаю, что выбор у такого провайдера будет прост: или уйти из бизнеса, или попробовать купить фильтрованный трафик у более крупного провайдера.

А на крупный бизнес это не должно сильно влиять. Эту всю хрень в случае крупного бизнеса можно сделать централизованно, и траты будут не так заметны. Да и так или иначе все эти развлечения оплачивает же конечный потребитель.

То же самое и про ЕГАИС для алкоголя. 😄
02.05.18 10:52
0 0

очень много ошибок ( я смотрел куда и как ходит "ревизор" из моей сети и как общается с управлением):
1. ревизор умеет получать команды от РКН ( не знаю как сейчас, а в момент тестового запуска там был ничем не шифрованный трафик).
2 . Ревизор проверяет доступность довольно большого списка изменяющихся сайтов и недоступность это тоже ошибка.
3. Проверяют совсем не все сайты, а получая список для этого
4. Если провайдера поймают на "все заблочено для ревизора", то будет предупреждение, что очень плохо для бизнеса.
5. Стучит ревизор не только РКН, но и провайдеру, чтобы тот мог быстро исправить.
6. Сотрудники провайдера не занимаются анализом какую фигную им прислали для "заблокировать", иногда работают по жалобам пользователей.
А так да Ревизор - простой роутрер с openwrt, сильно теплый в процессе работы и проверяющий все в один поток.
01.05.18 13:38
0 7

Ясно, спасибо.
01.05.18 13:50
0 0

imho, если ревизор умеет получать команды от ркн, тогда подобная блокировка отлавливается на ура.
bb
01.05.18 14:09
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2758
софт 930
США 131
шоу 6