amurblaga Опубликовано 13 июня, 2015 · Жалоба а если на проверяющей машине будет teredo(который по дефолту включен) и сайт с v6? Сами бы взяли и проверили. Зачем впустую теоретизировать? С дефолтами тередо не работает. NXDOMAIN для домена teredo.ipv6.microsoft.com. Проверил на чистой Windows 7. Хм. Недавно тестировали с знакомым на win10 + spartan - работало. Можете сказать, почему эта тема вас так волнует? Just for fun и просто исследовалельский интерес. Ашто? а если на проверяющей машине будет teredo(который по дефолту включен) и сайт с v6? Значит сайт откроется и РКН "потребует устранить". Провайдер начнет разбираться, обнаружит "тередо" (разве он не умер еще?) на компе, отключит его и повторит попытку проверки. В этот раз сайт будет недоступен. РКН гладит по голове оператора и все счастливы. Но ситуация будет повторятся в разных местах. В остальном, да :) немного нет. В законе сказанно: ФЗ-149 ч.15.1 п. 10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет". Пока не смотрят на опера-турбо и подобное. Но в дальнейшем будет. Я думаю, будет на уровне разработчиков разных браузеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 13 июня, 2015 (изменено) · Жалоба Just for fun и просто исследовалельский интерес. Ашто? Да ничего. Я что-то подозреваю, что вы вебмастер одного из заблокированных в России СМИ. Сидите в прибалтике, крым вернуть, вот это все. Займитесь великим китайским фаерволом. Он интереснее с точки зрения исследования. В России еще долго будет детский лепет. Но ситуация будет повторятся в разных местах. Способов борьбы найдется много. Например, провайдер может сделать подставной узел тередо и на нем не пропускать пакеты к запрещенным адресам. Или встроить в DPI деинкапсуляцию ip-туннелей. Короче, IPv6 не панацея. Не питайте напрасных надежд. Изменено 13 июня, 2015 пользователем nu11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 13 июня, 2015 · Жалоба Не питайте напрасных надежд. Какой бред пишите. Цену посчитайте ваших смелых гипотетических решений по латанию дырок в блокировках, может дойдет, почему всякие фантазии внедрены в жизнь не будут. А то до декапсуляции туннелей уже дофантазировались. А потом вспомните, что кроме технических методов обхода, есть еще и не технические, типа договаривание. Но что-то ну никак не доходит, что тех, с кем не получится договориться, можно еще и принудить как-то, например, ддосить по часу каждый вечер, пока не повинуются. И самое смешное, что на сегодня это может оказаться даже дешевле, чем использовать сложные технические методы обхода блокировок, заточенные под некоторых провайдеров. Попробуйте залатать такую дырку, умники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 13 июня, 2015 · Жалоба А потом вспомните, что кроме технических методов обхода, есть еще и не технические, типа договаривание. Но что-то ну никак не доходит, что тех, с кем не получится договориться, можно еще и принудить как-то, например, ддосить по часу каждый вечер, пока не повинуются. И самое смешное, что на сегодня это может оказаться даже дешевле, чем использовать сложные технические методы обхода блокировок, заточенные под некоторых провайдеров. Попробуйте залатать такую дырку, умники. С вами никто не будет договариваться. Провайдерам от вас нужно только одно - чтобы вы убрали контент под замок. Чтобы отвял роскомнадзор. Ничем другим вы их заинтересовать не можете. С ддосить каждый вечер вы хватанули лишнего. Сайты ддосить сильно проще, чем интернет-провайдеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 13 июня, 2015 · Жалоба Да ничего. Я что-то подозреваю, что вы вебмастер одного из заблокированных в России СМИ. Сидите в прибалтике, крым вернуть, вот это все. Вы неправды. Способов борьбы найдется много. Например, провайдер может сделать подставной узел тередо и на нем не пропускать пакеты к запрещенным адресам. Или встроить в DPI деинкапсуляцию ip-туннелей. Короче, IPv6 не панацея. Не питайте напрасных надежд. Вариантов как это сломать эти инкапсуляции я знаю много. Но провайдер не может действовать вне правового поля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 13 июня, 2015 · Жалоба С вами никто не будет договариваться. Провайдерам от вас нужно только одно - чтобы вы убрали контент под замок. Чтобы отвял роскомнадзор. Ничем другим вы их заинтересовать не можете. Мнение трубы никого не волнует :) И атаки с амплификацией никто не отменял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 13 июня, 2015 · Жалоба провайдер не может действовать вне правового поля Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами. Нужно будет заблокировать Ipv6 - провайдер заблокирует, не волнуйтесь. Мнение трубы никого не волнует :) И атаки с амплификацией никто не отменял. L7 атаки на ваш сайт тоже никто не отменял. Коллеги, вы оценили каминг-аут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 13 июня, 2015 (изменено) · Жалоба Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами. Вот и не нужно заводить специальные средства. А лучше проверяющим давать хорошо зафильтрованный интернет с резолвами раз в минуту, а всем остальным слегка по IP из реестра блокировать, для виду. Всем хорошо - крупные сайты смогут легко менять IP для обхода блокировки, юзеры будут довольны, а роскомнадзор будет думать, что они хорошо заблокированы, тоже будет доволен. L7 атаки на ваш сайт тоже никто не отменял. Вы в каком-то параллельном мире живете. Защита сайтов - решенная проблема, даже L7. Это для провайдеров все очень и очень страшно. Просто пока они не лезут в политику - они никому не нужны. А начнут занимать активную позицию и помогать какой-то стороне, вот тогда ждите. Изменено 13 июня, 2015 пользователем ttttt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 13 июня, 2015 · Жалоба Вы в каком-то параллельном мире живете. Защита сайтов - решенная проблема, даже L7. Это для провайдеров все очень и очень страшно. Просто пока они не лезут в политику - они никому не нужны. А начнут занимать активную позицию и помогать какой-то стороне, вот тогда ждите. Сайт угадать или сами скажете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 13 июня, 2015 (изменено) · Жалоба Ну какая разница, что за сайты. Все крупные сайты давно рассматривают возможные варианты обхода блокировок, никто не хочет пострадать в случае чего. А вы сейчас заняли такую позицию, что собираетесь бороться с этими обходами. Тут вы или с нами и с общими интересами нас, вас и наших юзеров или против нас и непонятно в чьих интересах. Изменено 13 июня, 2015 пользователем ttttt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 14 июня, 2015 · Жалоба А вы сейчас заняли такую позицию, что собираетесь бороться с этими обходами. Я только немного развеял иллюзии про неблокируемость IPv6. вы или с нами и с общими интересами нас, вас и наших юзеров или против нас и непонятно в чьих интересах Провайдеры блокируют сайты не потому, что они на чьей-то стороне, а потому что их к этому обязывает закон. И обязывает делать это эффективно. Иначе штрафы и лишение лицензии. Так что интересы у провайдеров исключительно собственные. Вообще, как-нибудь научитесь жить с тем, что у людей могут быть интересы отличные от ваших. С этим вот пубертатным "кто не с нами" у вас единомышленников не прибавится. Какой бы сайт у вас не был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 14 июня, 2015 · Жалоба Провайдеры блокируют сайты не потому, что они на чьей-то стороне, а потому что их к этому обязывает закон. И обязывает делать это эффективно. По каждому вашему постику видно, чью вы сторону заняли. Закон не обязывает делать эффективно. Капец, вы же продаете доступ к сайтам, а по собственному желанию хотите их банить так тщательно, чтобы ни один хомяк не смог что-то там прочитать. Бизнесом не ошиблись? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 14 июня, 2015 · Жалоба Закон не обязывает делать эффективно. А как обязывает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 14 июня, 2015 (изменено) · Жалоба А как обязывает? Никак конкретно не обязывает. Если роскомнадзор лично вас требует "качественнее" - забаньте роскомнадзору "качественнее", резолвте домены в отдельный список для его соединения хоть раз в минуту, а остальным баньте только IP адреса из официальных списков. Изменено 14 июня, 2015 пользователем ttttt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 14 июня, 2015 · Жалоба провайдер не может действовать вне правового поля Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами. Нужно будет заблокировать Ipv6 - провайдер заблокирует, не волнуйтесь. я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi). задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой. например, вы готовы заблокировать вообще все торренты, потому что есть jstorrent, который работает в браузере через webrtc без всяких плагинов? Мнение трубы никого не волнует :) И атаки с амплификацией никто не отменял. L7 атаки на ваш сайт тоже никто не отменял. Во-первых, для создания таргетированной атаки надо потратить некоторое количество сил. Во-вторых, если писано не левой пяткой, то с L7 будет крайне сложно. В-третьих, это относительно легко подавляется просьбой клиента что-то посчитать( вот тебе hash(key+timestamp), верни мне key). А от атаки на полосу сайт всегда может сбежать к кому-то вроде cloudfare, чего ISP сделать не может :) Monday's DDoS proved these attacks aren't just theoretical. To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks. Коллеги, вы оценили каминг-аут? простите, а в чем он состоял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_Sor Опубликовано 15 июня, 2015 · Жалоба Виндовая, работает на вин7 тоже, но нужен установленный микрософт офис. Взять можно тут http://rzs.rkn.gov.ru/ Коллеги, подскажите, как подготовить экселевский файлик, всмысле какие поля в нем надо оставить, чтоб подсунуть этой тузле для проверки? Сделал просто из xml дампа реестра файлик экселя, а данная тузла меня обругала что неверный формат данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 15 июня, 2015 · Жалоба Запросите у местного РКН, мне без проблем высылали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 15 июня, 2015 · Жалоба я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi). задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой. Сами как оцениваете перспективу выполнения этой задачи? В ближайшие пять лет есть надежда ее решить? простите, а в чем он состоял? В открытой готовности шантажировать провайдеров ддосами. Вы уже с кем-нибудь договаривались таким образом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 15 июня, 2015 · Жалоба Виндовая, работает на вин7 тоже, но нужен установленный микрософт офис. Взять можно тут http://rzs.rkn.gov.ru/ Коллеги, подскажите, как подготовить экселевский файлик, всмысле какие поля в нем надо оставить, чтоб подсунуть этой тузле для проверки? Сделал просто из xml дампа реестра файлик экселя, а данная тузла меня обругала что неверный формат данных. Ъ Та же фигня. Но заработало, когда файлик сохранил в формате эксель 97-2003 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 июня, 2015 · Жалоба более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi). Ничего сложного. Через DPI в любом случае проходит весь трафик, и весь трафик распознается и классифицируется. Что с этом классифицированным трафиком делать — ничего не делать, поменять приоритет или дропнуть — это дело десятое и какой-то особой проблемы не представляет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 15 июня, 2015 · Жалоба я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi). задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой. Сами как оцениваете перспективу выполнения этой задачи? В ближайшие пять лет есть надежда ее решить? думаю, да. хотя, время покажет :) простите, а в чем он состоял? В открытой готовности шантажировать провайдеров ддосами. вам показалось. я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 июня, 2015 · Жалоба я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы Это нелепо. Веб-сервисы в интернете не святым духом доставляются, а теми же ISP. Поэтому хостинг подвержен тем же уязвимостям, что и ISP. И плюс к этому уязвимости, связанные со спецификой хостинга и архитектуры клиент-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 15 июня, 2015 · Жалоба более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi). Ничего сложного. Через DPI в любом случае проходит весь трафик, и весь трафик распознается и классифицируется. Что с этом классифицированным трафиком делать — ничего не делать, поменять приоритет или дропнуть — это дело десятое и какой-то особой проблемы не представляет. вы сигнатуры сами пишете или пользуетесь тем, что вендор дал? какой % у вас неклассифицированного трафика? попробуйте ради интереса его дропать и удивитесь фидбеку от юзеров. и главный вопрос: как вы блокируете ссылки https? сильно ли вам помогает dpi? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 июня, 2015 · Жалоба как вы блокируете ссылки https? Легко. На уровне домена, конечно, а не отдельных страниц. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 15 июня, 2015 · Жалоба я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы Это нелепо. Веб-сервисы в интернете не святым духом доставляются, а теми же ISP. Поэтому хостинг подвержен тем же уязвимостям, что и ISP. И плюс к этому уязвимости, связанные со спецификой хостинга и архитектуры клиент-сервер. ресурс легко и непринужденно может сменить адреса и площадку. если у ресурса своя AS и блок адресов - bgp anycast и все дела. у isp этой мобильности нет, многие в лучшем случае двуногие :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...