Главная → НовостиНовостиНовости, 201706Новости, 201706 → Июньская ситуация с недоступностью ресурсов из-за блокировок веб-сайтов

Июньская ситуация с недоступностью ресурсов из-за блокировок веб-сайтов

Подавляющее большинство провайдеров используют те или иные системы анализа трафика, чтобы блокировать конкретные URL, а не IP-адрес: аппаратные комплексы DPI, открытые DPI под Linux, прозрачные прокси-серверы.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Этого вполне достаточно для блокировки ссылок в HTTP, но не все системы поддерживают анализ домена (параметра SNI) в HTTPS-трафике, из-за чего провайдерам с такими системами приходится блокировать HTTPS-ссылки реестра по IP-адресу.

Также в реестре есть сайты, внесенные по домену, без указания протокола. Некоторые провайдеры блокируют такие записи по IP-адресу, другие — только HTTP и HTTPS-протокол у этих доменов. Чтобы не покупать дорогие конфигурации DPI, которые могут анализировать весь огромный поток трафика, провайдеры пропускали через DPI только известные IP-адреса заблокированных сайтов, и обходились конфигурацией дешевле.

У каждой записи в реестре, будь то домен или ссылка, есть свой список IP-адресов. До конца января этого года провайдерам, блокирующим частично или полностью по IP-адресам, достаточно было фильтровать доступ только к IP-адресам из реестра. В конце января обновилось ПО «Ревизора» — системы, проверяющей, насколько качественно провайдер блокирует веб-сайты. Если раньше «Ревизор» пытался открыть сайт по одному IP-адресу из DNS, как любой обычный браузер или программа, то после обновления совершает запросы по всем IP-адресам и из DNS-ответа, и из реестра. Вместе с этим, провайдеров начали штрафовать за открывшиеся сайты, не было никаких поблажек и допустимого порога внезапно открывшихся сайтов.

Дабы не быть оштрафованными, провайдеры начали постоянно проверять, не появились ли на домене новые IP-адреса, и добавлять их в списки блокируемых и пропускаемых через DPI.

Веселье начинается…Начиная с 29 мая, люди начали потихоньку скупать разделегированные домены из реестра, которые были добавлены в 2014-2016 годах, и устанавливать на них A-записи на IP-адреса популярных ресурсов. Провайдеры резолвили эти домены, добавляли IP-адреса в список блокируемых, доступ к ресурсам пропадал. Первые шутники добавили записи Вконтакте и Яндекса, из-за чего некоторые провайдеры заблокировали к ним доступ. Роскомнадзор прислал следующее уведомление: Затем последовала частичная неработоспособность Telegram и некоторых других сайтов.

При особом стечении обстоятельств, если IP-адрес ресурса добавили на домен, внесенный без URL, или на URL с HTTPS, и трафик до сайта приходил через провайдера, который реализует блокировки для транзитного трафика, сайт становился недоступен сразу ото всюду, глобально для всех.

От транзитных блокировок пострадали в основном ресурсы, проходящие через Ростелеком и ТТК:

Корневые DNS ntv.ru nag.ru avito.ru 3ds.sdm.ru acs.bspb.ru

Nag и НТВ лежали длительное время, пол дня, или около того. О неработоспособности двух последних доменов, обеспечивающих 3-D Secure (СМС-подтверждение онлайн-транзакции по карте) банков Санкт-Петербург и СДМ, не заявляли ни СМИ, ни сами банки.

На долгое время есть система определения аномалий, чтобы исключать IP-адреса популярных ресурсов из списка проксирования, если владелец заблокированного домена установил A-запись на этот IP-адрес. Список IP-адресов для определения аномалий составлял сам, в него попали популярные мировые и российские сайты, корневые DNS и DNS распространенных доменных зон, .

Проснувшись утром в понедельник, я обнаружил большое количество аномалий, удивился, и решил проверить доступность некоторых сервисом  — результат на скриншоте выше. Не знаю, как долго они продержались и на каком домене были установлены, т.к. скрипт запускался раз в 6 часов и выдавал только список IP-адресов (сейчас я его уже модифицировал). В последующей выгрузке этих IP уже не было.

…и продолжается

7 июня, в неумелых попытках исправить ситуацию, , с IP-адресами и доменами, которые лучше бы не блокировать. Роскомнадзор объединил ячейки в XLS-документе так, что каждую вторую запись не было видно, и многие долго пытались понять, почему, например, одни корневые DNS-серверы в него вошли, а другие — нет. Все стало ясно, когда кто-то додумался установить высоту всех ячеек в одинаковое значение.

Весельчаки-затейники начали оставлять в DNS-записях (есть даже от ), а также сделали собственный сервис блокирования произвольных IP-адресов!

Позже очнулись магистральные провайдеры. Поняв, что так дела не делаются, Транстелеком сначала начал (буквально, через squid, с изменением исходящего IP-адреса), а затем начал отключать блокирование транзитного трафика, заставляя мелких провайдеров фильтровать сайты самостоятельно.

Последняя аномалия выглядит следующим образом: Судя по сервису , из некоторых локаций имеются проблемы с доступом, как минимум, к meduza.io и tjournal.ru.

Чего ждать дальше

Ау, Роскомнадзор! Может, уже что-нибудь, ну, скажете, хотя бы, если не сделаете? Вы там сдохли, что ли? Вторая неделя близится к завершению, а вы молчите.

Буквально несколько часов назад произошли (но, похоже, это ).

Делайте выводы.

Главная → НовостиНовостиНовости, 201706Новости, 201706 → Июньская ситуация с недоступностью ресурсов из-за блокировок веб-сайтов

Google запустил бесплатного «убийцу SMS» в обход операторов сотовой связи

Корпорация Google начала поэтапное внедрение нового стандарта обмена сообщениями под названием RCS, который призван заменить SMS. Поддержка RCS реализована в операционной системе Android на уровне встроенного приложения «Сообщения» (Android Messages)...

В России усилят контроль за онлайн-платежами

Агрегаторов, обеспечивающих онлайн-оплаты, поставят под контроль кредитных организаций....

Россия намерена создать свою криптовалюту с Китаем и странами БРИКС

Россия и страны БРИКС могут создать единую платежную систему на основе специальной криптовалюты с целью упрощения расчетов между собой и снижения зависимости от американской валюты. При этом в России не существует ни одного закона, регулирующего обра...

Роскомнадзор пригрозил заблокировать Google

При этом в ведомстве надеются, что до таких радикальных мер не дойдет, и компания придет к конструктивному сотрудничеству....

Основатель «Википедии» создал «убийцу» Twitter и Facebook

Как отметил Джимми Уэйлс в интервью Financial Times, его соцсеть будет ориентирована исключительно на качественный контент, но при этом показ рекламы не планируется даже в перспективе, потому что работу WT: Social предполагается поддерживать с помощь...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |