Перейти к содержимому
Калькуляторы

DPI СКАТ поделитесь опытом

Вопрос разработчикам. Что будет если РКН вдрюг обнулит все списки на 15-е ? Я полагаю - такая ситуация Вами предусмотрена ? А потом снова поднимет, 16-го, причём все даты включения будут старые ? Это я гипотетически спрашиваю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос разработчикам. Что будет если РКН вдрюг обнулит все списки на 15-е ? Я полагаю - такая ситуация Вами предусмотрена ? А потом снова поднимет, 16-го, причём все даты включения будут старые ? Это я гипотетически спрашиваю.

если списки будут пустые то блокировки не будет, с момента включения блокировка заработает.

IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем.

Закон не отменят, списки не обнулят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем.

Закон не отменят, списки не обнулят.

 

Я к тому, что у Вас вроде вроде белый лок по заливке списка, а заливка из пустого до полного - занимает время, хотя по времени в закон влезает, 3 минуты, 20 минут - некритично. Спасибо за ответ ! Кстати - взволновалный звонивший мне представитель когонадо - аж выдохнул в трубку, узнав что у на Скат :) БГП кстати fv - взлетает за те-же 3 минуты, так что и если у Вас всё так - то желаю только благодарствования, процветания.

 

Хотя - может Вас и перепутал с официальными Скатовцами...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем.

Закон не отменят, списки не обнулят.

 

Я к тому, что у Вас вроде вроде белый лок по заливке списка, а заливка из пустого до полного - занимает время, хотя по времени в закон влезает, 3 минуты, 20 минут - некритично.

...

Хотя - может Вас и перепутал с официальными Скатовцами...

Он - официальный. Предполагаю даже кто конкретно. :-)

 

А про блок вы - зря. DimaM в своё время подтверждал мою догадку, что структуры заполняются отдельно, затем подменяются. Фактически, время смены - ноль.

 

Может, конечно, что-то и поменялось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DimaM в своё время подтверждал мою догадку, что структуры заполняются отдельно, затем подменяются. Фактически, время смены - ноль.

При плановых обновлениях из облака возможно так и есть.

При обновлениях кастомных списков нужно делать рестарт сервиса, это пара секунд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, вопрос к разработчикам.

СКАТ не проверяет DNS-трафик.

А для сайтов без SNI это неприятно.

Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, вопрос к разработчикам.

СКАТ не проверяет DNS-трафик.

А для сайтов без SNI это неприятно.

Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам.

Присоединяюсь.

В идеале бы по выбору:

1 ничего не делать

2 просто дропать

3 отправлять в ответ указанный в конфиге IP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дропать никак нельзя. У клиентов сразу же начнутся проблемы и тормоза с совершенно феерической симптоматикой, от которой саппорт волками выть будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дропать никак нельзя. У клиентов сразу же начнутся проблемы и тормоза с совершенно феерической симптоматикой, от которой саппорт волками выть будет.

Например?

Ну дропнется у абонента UDP запрос к бяка.com и ... ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, вопрос к разработчикам.

СКАТ не проверяет DNS-трафик.

А для сайтов без SNI это неприятно.

Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам.

Какой глубокий философский смысл в этом ? http get подразумевает, что у клиента внутри идёт резолвинг, а затем уже get. Т.е. по телу запроса(выше) уже видно, блочить или нет. Наверное в скате можно вести и черный список запрещенных нэймсерверов - но зачем ? Идти навстречу регуляторам в этом направлении - это идти в тупик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http get подразумевает, что у клиента внутри идёт резолвинг, а затем уже get.

Вопрос, вероятно, про https при отсутствии SNI и или некорректном CN.

Для таких доменов закрыть DNS-запросы интересное решение в отличии дропа по ИП - но вопрос много ли таких случаев?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос, вероятно, про https при отсутствии SNI и или некорректном CN.

Ну меня некорректным CN затрахивают все современные браузеры. Особенно с работой с убнт. Если еще и дпи в это вмешается, то мне будет кисло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну меня некорректным CN затрахивают все современные браузеры. Особенно с работой с убнт. Если еще и дпи в это вмешается, то мне будет кисло.

Вы не верно поняли - не надо вмешиваться в https трафик.

Есть предложение "вредные" https записи реестра блокировать на уровне DNS-запроса, что бы не было резолва имени у клиента или сразу отдавалась IP блокировки.

Повторюсь - а надо ли это в реалиях СКАТ DPI?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы это спрашиваете ка оператор или как скатовец?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Повторюсь - а надо ли это в реалиях СКАТ DPI?

Если СКАТ что-то пропускает - надо искать причину и решение проблемы. Если нет, нахера козе баян? Потому что какому-то гику захотелось экспериментов?

К чему тут трындеж про ДНС? У кого-то проблемы с пропусками? Ставьте свой ДНС-сервер, принудительно форвардите на него все запросы абонов и экспериментируйте там в своей песочнице как хотите.

СКАТ - один из немногих ДПИ, который как раз показал великолепную устойчивость к ДНС-атакам. И именно благодаря тому, что он не работает с ДНС-запросами. Насколько я вижу, некоторым теоретигам почему-то взбрело в голову это как-то поломать. Или же автор идеи с ДНС просто не является пользователям СКАТ. Уверен, разработчикам хватает здравого смысла не реагировать на нездоровые идеи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я вижу, некоторым теоретигам почему-то взбрело в голову это как-то поломать.

Видимо вы просто не поняли, о чем речь.

 

В случае https с отсутствующим SNI СКАТ не сможет заблокировать доступ по имени домена.

При этом Агент будет фиксировать пропуски, если у данного сайта IP-адрес отличается от адреса в реестре — поскольку Агент сделает ресолв, получит новый (незаблокированный) IP-адрес, обратится к нему, а СКАТ его не заблокирует, поскольку не сможет опознать при отсутствии SNI.

Одно из решений — блокировать эти запросы на своем (операторском) DNS-сервере, отвечая NXDOMAIN или фиктивным адресом, чтобы Агент получил отбой на первом этапе (ресолв), не сможет получить адрес этого заблокированного сайта и не будет проверять дальше. Ничего общего с DNS-атаками, подменой DNS-записей и IP-адресов это не имеет.

Это нормальное решение, но оно имеет определенный недостаток — нужно отслеживать изменения в реестре, генерировать список блокируемых доменов, подсовывать его в DNS и обновлять зоны. Вообщем костыли.

Намного логичнее добавить эту возможность (блокировать DNS-запросы на запрещенные сайты) делать на СКАТ, потому что СКАТ в любом случае обновляет списки и знает об изменениях. И добавить в список поддерживаемых СКАТ протоколов достаточно простой DNS я проблемы не вижу.

Еще раз — никакого отношения к DNS-атакам это не имеет. Я вообще не вижу ни одной возможности, чтобы это как-то повлияло на работу СКАТ. СКАТ не будет вмешиваться в работу DNS, он просто при обнаружении исходящего DNS-запроса на заблокированный домен будет дропать этот запрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если СКАТ что-то пропускает - надо искать причину и решение проблемы. Если нет, нахера козе баян?

Постом выше Аlibek ответил на Ваш вопрос.

 

Вы это спрашиваете ка оператор или как скатовец?

Оператор со Скатом в разрыв.

 

Уверен, разработчикам хватает здравого смысла не реагировать на нездоровые идеи.

Прошу Вас внимательней читать про что идёт речь.

У нас нет пропусков и нас всё устраивает -

Повторюсь - а надо ли это в реалиях СКАТ DPI?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Было в другой теме - http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=1410582 и далее.

Добавлю:

Работаю в двух конторах - в одной Скат уже давно(купили тогда по акции за смешные по нынешним временам деньги) а в другой начальство решило сэкономить и самопал прикрутить.

Самопал в виде заворота на свой DNS всех запросов абонентов и там подрезания неугодных доменов (+ кое что по IP блокировалось) устраивал до начала этого года.

После штрафа по результатам Ревизора начальство зачесало репу. Я предложил Скат как проверенный вариант.

Но начальство решило сэкономить и поручило написать программисту свой DPI на основе pf_ring zc и ntop.

По алгоритму блокировки вопросы были ко мне.

Насчёт необходимости этой опции для ската - если это улучшит статистику в Ревизоре для оператора да ещё и упростит алгоритм блокировки для Ската - то почему бы нет.

Насчёт дополнительной нагрузки на Скат - это к разработчикам но не думаю что проверка DNS запросов и подделка ответов будет напряжней чем проверка url и ответный редирект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно сделать так, чтобы если не получилось загрузить федеральный список, скат отключал определенную пару dna0-dna1 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно сделать так, чтобы если не получилось загрузить федеральный список, скат отключал определенную пару dna0-dna1 ?

Костылём можно. Проверять выгрузку из облака - грепать fastdpi_alert.log на предмет не success. А уж как дна погасить - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А уж как дна погасить - не знаю

ifconfig-ом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А уж как дна погасить - не знаю

ifconfig-ом?

Ну да, up-down. Но тут куча вопросов - не перейдет ли модная сетевка в байпас, и 2-й, не поплохеет ли скату. Вдогон - если у вас сквозная фильтрация через всего пару интефейсов, то сам скат при дауне внешнего трафика не сможет проверить свои обновления. Инет-то у него на иных интефейсах, только для управления и облака, а не на фильтрующих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вдогон - если у вас сквозная фильтрация через всего пару интефейсов, то сам скат при дауне внешнего трафика не сможет проверить свои обновления.

Я подозреваю, что хочется рубить отдельно выделенный "Ревизору" интерфейс. :-) А нормальные люди нехай и дальше работают как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ifconfig-ом?

Не уверен, что это хорошо кончится.

bpctl_* для этого лучше использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ifconfig-ом?

Не уверен, что это хорошо кончится.

bpctl_* для этого лучше использовать.

Не понял. Байпасс контролом трафик остановить? 8-[===]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.