[Дятел]

в смысле - не заблокирует ничего...

как раз заблокирует

 

не-а, там CDN, и какой адрес достался вносящему в реестр, а какой моим абонентам - непонятно....

[alks]

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

 

это как это? есть у меня несколько asr1k с ipoe, но dpi по цене гораздо дороже, тем более по полосе

М-м-м, сколько это про прайслисту со всеми нужными фичами на стоит с двумя 10G интерфейсами?

 

Если есть под рукой GPL то сравните SCE8000 с одной головой scm-e и двумя SPA 1-10ge

и ASR1002 ESP-10 также с двумя SPA

разница будет весьма ощутима

 

 

Фильтры пропускают ВСЕ https ссылки из реестра. А их там 41 штука, если верить хрому через cmd+F и ввести в поиске. упд: наврал. 41 ссылка только из первой страницы, которых в реестре уже 83. На второй странице 25 ссылок с хттпс.

 

Четвертый оператор - мегачемпион тупо блокирует по ай-пи. WTF и что скажет РКН нам за это?

 

Мы блочим по IP, РКН ничего не скажет так как для блокировки предлагается три варианта, спасибо тому человеку который протолкнул разные способы блокировки

 

Угу. Другими словами по SSL, при подобном сценарии блокирования, сервер, которому выдан сертификат на имя www.youtube.com будет не доступен.

Только если самостоятельно не резолвить адреса, то пул адресов youtube вообще-то не малый - это одна сторона дела,

а вторая - это наличие гуглокеша и использование им для проигрывания контента совершенно другого домена вообще ставит под сомнение

работоспособность подобных блокировок.

 

Блокировать надо четко по реестру, никакой самодеятельности, какой указан ип тот и блочим, проблема соответствия адреса и реальной ссылки - не проблема оператора

[alks]

Про dpi я так скажу, заставьте современного рыбака отказаться от флиса и залезть обратно в шерстяной свитер, внимательно записываем ответы и расширяем словарный запас )))

[Ivan_83]

Есть одно разумное применение фильтрации с DPI и централизованным управлением в масштабе страны. Которое никогда не будет сделано, ибо требует слишком большой кооперации провайдеров, министерства связи и антивирусных компаний. Это - глушение всяких DDoS, ботсетей итд итп. Идея в том, чтобы зарезать исходящий трафик компьютеров - ботов прямо на выходе от абонента. Не дожидаясь того момента, когда он каналы связи положит.

Идея то хорошая и полезная, но потом найдётся какойнибудь отморозок который будет не только ддос глушить.

Сейчас вот для этого (не ддос) пришлось ркн напрягать и то коряво выходит.

 

В моей формулировке гик это тот кто хочет утилизировать свою полосу 24x7 на 100%, с точки зрения клиента он абсолютно прав, с моей нет, но это реалии жизни

Таких не много, особенно когда тарифы 50+, можно разве что раздавать торренты на постоянку, и то канал держать в полке трудно.

А вот резка лишнего может не понравится много кому из "гиков" (которые не качают в полку 100% времени но разбираются) и они вполне оправданно будут не рекомендовать такого поставщика услуг, от которого не пойми чего ожидать.

 

1. торрент уберем в случае аварии, его не будет вообще, но скайп вк ютуб будут работать немного хуже чем раньше. Знаешь, по факту, только торент способен отожрать все что сможет, вусмерть забивая остальной трафик, dpi тут панацея при авариях, порвали скажем кабель в области, время работ 4-8 часов

При такой схеме и видео по хттп будет лагать, его вроде как больше торрента нынче.

 

Четвертый оператор - мегачемпион тупо блокирует по ай-пи. WTF и что скажет РКН нам за это?

Тут вот какое дело.

TSL (старое название SSL) до очень недавнего времени мог висеть только 1 сайт = как минимум 1 ип адрес.

Те нельзя было навешать 100500 сайтов TSL на один ип.

Исключение это альтернативные имена сайта в сертификате.

В таком случае наиболее аккуратной была бы блокировка ип+порт 443.

[wanderer_from]

 

График интенсивности блокировок в китайском Weibo относительно Гонконгских событий. Заблокирован полностью Инстаграмм - потому что пользователи постят фоточки. Говорят, пытаются блокировать Твиттер, но что-то не получается...

[Sergey Gilfanov]

Идея то хорошая и полезная, но потом найдётся какойнибудь отморозок который будет не только ддос глушить.

Сейчас вот для этого (не ддос) пришлось ркн напрягать и то коряво выходит.

Это как делать. Вот есть сейчас глобальная таблица маршрутизации в BGP. Где, грубо говоря, провайдер объявляет 'тут я, шлите трафик сюда'. И, в общем, работает. Система DNS -- система оповещения 'мой домен по такому-то адресу живет'. Тоже работает. Представляется логичным, что неплохо бы иметь глобальную таблицу фильтров, где жертва DDoS-а мог поместить запись 'удавите трафик от DNS серверов в мою сторону втрое'. Разумеется, такая просьба должна подписываться ключем соответствующей AS/домена итд итп. А защищаться от злоупотреблением придется тем, что про каждую запись известно (по ключу), кто такой фильтра захотел. И дальнейшим решением 'применять фильтр/не применять'.

[Дятел]

Осталось ещё посчитать, сколько будет стоить выполнить просьбу...Что значит - 'удавите трафик от DNS серверов в мою сторону втрое'? Какими средствами?

[Sergey Gilfanov]

Осталось ещё посчитать, сколько будет стоить выполнить просьбу...Что значит - 'удавите трафик от DNS серверов в мою сторону втрое'? Какими средствами?

Речь в теме идет о полезности DPI. Вот наличие подобной глобальной кооперации наличие DPI у всех подряд может оправдать. Но не сработает, т.к. локальный оптимум по расходам - это когда 'все фильтруют, а я нет'.

[evd]

Вот наличие подобной глобальной кооперации наличие DPI у всех подряд может оправдать

Для тех, кто путает локалку с Интернетом: в нормально построенной сети не должно существовать единой точки отказа. Куда можно было бы поставить DPI и гонять через него весь трафик. И btw у крупных игроков этот "весь трафик" измеряется в терабитах/сек, а у тирванов, возможно, в сотнях терабит. За чей счёт банкет, если не залезать в карман конечного пользователя?

[Sergey Gilfanov]

Для тех, кто путает локалку с Интернетом: в нормально построенной сети не должно существовать единой точки отказа. Куда можно было бы поставить DPI и гонять через него весь трафик. И btw у крупных игроков этот "весь трафик" измеряется в терабитах/сек, а у тирванов, возможно, в сотнях терабит. За чей счёт банкет, если не залезать в карман конечного пользователя?

Про единою точку отказа - это зря. Гонять все через одну железку совершенно не нужно. А банкет за счет операторов. Встроить движок этого DPI прямо в маршрутизаторы-CPE пользователей. Трафик там стравнительно маленький, мгновенного и стопроцентного результата нам тоже не надо, поэтому делаем тупо и медленно. Коробочка раз в мунут 10 смотрит в накопленную таблицу dst ip, потом скачивает правила, которые к ним относятся и уже потом начинает применять. Профит операторов в том, что каналы фигней забиваться не будут. И да, я знаю, что я мечтатель и что у меня больное воображение.

[onlime_user]

https://www.skydns.ru/ads

Уникальное решение однако.

[evd]

Про единою точку отказа - это зря. Гонять все через одну железку совершенно не нужно. А банкет за счет операторов. Встроить движок этого DPI прямо в маршрутизаторы-CPE пользователей. Трафик там стравнительно маленький, мгновенного и стопроцентного результата нам тоже не надо, поэтому делаем тупо и медленно. Коробочка раз в мунут 10 смотрит в накопленную таблицу dst ip, потом скачивает правила, которые к ним относятся и уже потом начинает применять. Профит операторов в том, что каналы фигней забиваться не будут. И да, я знаю, что я мечтатель и что у меня больное воображение.

Btw, куда как менее затратная мера - обязательный rpf-check на access-уровне. Чтобы флуд с фейковыми source-ip исчез как класс. Ихде? ;)

[Sergey Gilfanov]

Btw, куда как менее затратная мера - обязательный rpf-check на access-уровне. Чтобы флуд с фейковыми source-ip исчез как класс. Ихде? ;)

Ээээ... А что, BRAS-ы, что уже стоят, таким образом у кого-то не настроены?

[evd]

Ээээ... А что, BRAS-ы, что уже стоят, таким образом у кого-то не настроены?

По грубым оценкам, с точностью до порядка, один из ~10000 пакетов, влетающих извне в одну конкретную сеть, имеет source-ip, на который нет обратного маршрута в full bgp view (на некоторых внешних стыках по ту сторону Атлантики статистика даёт ~1 из 200!). Можно предположить, что бОльшая часть этих пакетов - с фейковыми source-ip, у которых случайный выбор пал на блоки приватных адресов, etc. То есть, отнюдь не все из них попадают в эту статистику. Я ответил на вопрос? :)

[Ivan_83]

Встроить движок этого DPI прямо в маршрутизаторы-CPE пользователей.

Юзер не будет у себя ничего такого держать, и обслуживать тыщи девайсов хз где сложнее десятков девасов в своих стойках.

 

https://www.skydns.ru/ads Уникальное решение однако.

Опенднс рекламу показывает для несуществующих доменов.

[pers123]

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

 

это как это? есть у меня несколько asr1k с ipoe, но dpi по цене гораздо дороже, тем более по полосе

М-м-м, сколько это про прайслисту со всеми нужными фичами на стоит с двумя 10G интерфейсами?

 

Если есть под рукой GPL то сравните SCE8000 с одной головой scm-e и двумя SPA 1-10ge

и ASR1002 ESP-10 также с двумя SPA разница будет весьма ощутима

 

Да, действительно ASR1002 на 20 Gbps выходит подешевле, разница в 30-40%.

[wanderer_from]

новости села

 

У кого еще заблокирован гитхаб? (это к вопросу о количестве гиков)

[Sergey Gilfanov]

Там же по ссылкам

GithHub был включен в Реестр по решению Роспотребнадзора. В данный момент информация о суициде удалена. Ресурс будет разблокирован.

 

© Максим Ксензов

[pers123]

Пожалуй эта новость подойдет для коммента статьи Нага, хотя можно в нескольк тем сразу воткнуть.

Ну и о ком из уважаемых коллег говорит директор ЛБИ: "Давыдов говорит, что пока не ознакомился с позицией операторов, но на совещании, которое организовывала лига по этому вопросу, «все высказывались положительно», уверяет он."

[joker38]

Потыкал сейчас в ссылки https ни одна не открылась. Правда не произошло и редиректа на нашу запрет-инфошку. Но это возможно наши настройки кривенькие где-то. Проверил порядка 20 ссылок. СКАТина рулит :)

[wanderer_from]

Пожалуй эта новость подойдет для коммента статьи Нага, хотя можно в нескольк тем сразу воткнуть.

Да, это пи#дец форменный. У ЛБИ, как и следовало ожидать, снесло крышу напрочь. Кстати, у них то же есть софт по фильтрации, но я ни за какие гонорары не буду их рассматривать и тем более рекомендовать. У пи#орасов, ВПСэС, покупать что-либо - грех.

[Sergey Gilfanov]

Да, это пи#дец форменный. У ЛБИ, как и следовало ожидать, снесло крышу напрочь. Кстати, у них то же есть софт по фильтрации, но я ни за какие гонорары не буду их рассматривать и тем более рекомендовать. У пи#орасов, ВПСэС, покупать что-либо - грех.

Ладно бы просто снесло. Если бы они сказали 'а давайте нам государство заплатить, а мы бесплатно пользователям раздавать софт будем' - можно было бы пережить. А они же хотят у провайдеров все ставить.