[amurblaga]

а если на проверяющей машине будет teredo(который по дефолту включен) и сайт с v6?

 

Сами бы взяли и проверили. Зачем впустую теоретизировать?

С дефолтами тередо не работает. NXDOMAIN для домена teredo.ipv6.microsoft.com. Проверил на чистой Windows 7.

 

 

Хм. Недавно тестировали с знакомым на win10 + spartan - работало.

Можете сказать, почему эта тема вас так волнует?

 

Just for fun и просто исследовалельский интерес. Ашто?

 

а если на проверяющей машине будет teredo(который по дефолту включен) и сайт с v6?

 

Значит сайт откроется и РКН "потребует устранить". Провайдер начнет разбираться, обнаружит "тередо" (разве он не умер еще?) на компе, отключит его и повторит попытку проверки. В этот раз сайт будет недоступен. РКН гладит по голове оператора и все счастливы.

 

Но ситуация будет повторятся в разных местах. В остальном, да :)

 

 

немного нет.

В законе сказанно:

ФЗ-149 ч.15.1 п. 10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет".

Пока не смотрят на опера-турбо и подобное. Но в дальнейшем будет.

Я думаю, будет на уровне разработчиков разных браузеров.

[nu11]

Just for fun и просто исследовалельский интерес. Ашто?

Да ничего. Я что-то подозреваю, что вы вебмастер одного из заблокированных в России СМИ. Сидите в прибалтике, крым вернуть, вот это все.

 

Займитесь великим китайским фаерволом. Он интереснее с точки зрения исследования. В России еще долго будет детский лепет.

 

Но ситуация будет повторятся в разных местах.

Способов борьбы найдется много. Например, провайдер может сделать подставной узел тередо и на нем не пропускать пакеты к запрещенным адресам. Или встроить в DPI деинкапсуляцию ip-туннелей. Короче, IPv6 не панацея. Не питайте напрасных надежд.

Изменено 13 июня, 2015 пользователем nu11

[ttttt]

Не питайте напрасных надежд.

Какой бред пишите. Цену посчитайте ваших смелых гипотетических решений по латанию дырок в блокировках, может дойдет, почему всякие фантазии внедрены в жизнь не будут. А то до декапсуляции туннелей уже дофантазировались.

 

А потом вспомните, что кроме технических методов обхода, есть еще и не технические, типа договаривание. Но что-то ну никак не доходит, что тех, с кем не получится договориться, можно еще и принудить как-то, например, ддосить по часу каждый вечер, пока не повинуются. И самое смешное, что на сегодня это может оказаться даже дешевле, чем использовать сложные технические методы обхода блокировок, заточенные под некоторых провайдеров. Попробуйте залатать такую дырку, умники.

[nu11]

А потом вспомните, что кроме технических методов обхода, есть еще и не технические, типа договаривание. Но что-то ну никак не доходит, что тех, с кем не получится договориться, можно еще и принудить как-то, например, ддосить по часу каждый вечер, пока не повинуются. И самое смешное, что на сегодня это может оказаться даже дешевле, чем использовать сложные технические методы обхода блокировок, заточенные под некоторых провайдеров. Попробуйте залатать такую дырку, умники.

С вами никто не будет договариваться. Провайдерам от вас нужно только одно - чтобы вы убрали контент под замок. Чтобы отвял роскомнадзор. Ничем другим вы их заинтересовать не можете.

 

С ддосить каждый вечер вы хватанули лишнего. Сайты ддосить сильно проще, чем интернет-провайдеров.

[^rage^]

Да ничего. Я что-то подозреваю, что вы вебмастер одного из заблокированных в России СМИ. Сидите в прибалтике, крым вернуть, вот это все.

 

Вы неправды.

 

Способов борьбы найдется много. Например, провайдер может сделать подставной узел тередо и на нем не пропускать пакеты к запрещенным адресам. Или встроить в DPI деинкапсуляцию ip-туннелей. Короче, IPv6 не панацея. Не питайте напрасных надежд.

Вариантов как это сломать эти инкапсуляции я знаю много. Но провайдер не может действовать вне правового поля.

[^rage^]

 

С вами никто не будет договариваться. Провайдерам от вас нужно только одно - чтобы вы убрали контент под замок. Чтобы отвял роскомнадзор. Ничем другим вы их заинтересовать не можете.

Мнение трубы никого не волнует :)

И атаки с амплификацией никто не отменял.

[nu11]

провайдер не может действовать вне правового поля

Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами.

Нужно будет заблокировать Ipv6 - провайдер заблокирует, не волнуйтесь.

 

Мнение трубы никого не волнует :)

И атаки с амплификацией никто не отменял.

L7 атаки на ваш сайт тоже никто не отменял.

 

Коллеги, вы оценили каминг-аут?

[ttttt]

Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами.

Вот и не нужно заводить специальные средства.

 

А лучше проверяющим давать хорошо зафильтрованный интернет с резолвами раз в минуту, а всем остальным слегка по IP из реестра блокировать, для виду. Всем хорошо - крупные сайты смогут легко менять IP для обхода блокировки, юзеры будут довольны, а роскомнадзор будет думать, что они хорошо заблокированы, тоже будет доволен.

 

L7 атаки на ваш сайт тоже никто не отменял.

Вы в каком-то параллельном мире живете. Защита сайтов - решенная проблема, даже L7. Это для провайдеров все очень и очень страшно. Просто пока они не лезут в политику - они никому не нужны. А начнут занимать активную позицию и помогать какой-то стороне, вот тогда ждите.

Изменено 13 июня, 2015 пользователем ttttt

[nu11]

Вы в каком-то параллельном мире живете. Защита сайтов - решенная проблема, даже L7. Это для провайдеров все очень и очень страшно. Просто пока они не лезут в политику - они никому не нужны. А начнут занимать активную позицию и помогать какой-то стороне, вот тогда ждите.

Сайт угадать или сами скажете?

[ttttt]

Ну какая разница, что за сайты. Все крупные сайты давно рассматривают возможные варианты обхода блокировок, никто не хочет пострадать в случае чего. А вы сейчас заняли такую позицию, что собираетесь бороться с этими обходами. Тут вы или с нами и с общими интересами нас, вас и наших юзеров или против нас и непонятно в чьих интересах.

Изменено 13 июня, 2015 пользователем ttttt

[nu11]

А вы сейчас заняли такую позицию, что собираетесь бороться с этими обходами.

Я только немного развеял иллюзии про неблокируемость IPv6.

 

вы или с нами и с общими интересами нас, вас и наших юзеров или против нас и непонятно в чьих интересах

Провайдеры блокируют сайты не потому, что они на чьей-то стороне, а потому что их к этому обязывает закон. И обязывает делать это эффективно. Иначе штрафы и лишение лицензии. Так что интересы у провайдеров исключительно собственные.

Вообще, как-нибудь научитесь жить с тем, что у людей могут быть интересы отличные от ваших. С этим вот пубертатным "кто не с нами" у вас единомышленников не прибавится. Какой бы сайт у вас не был.

[ttttt]

Провайдеры блокируют сайты не потому, что они на чьей-то стороне, а потому что их к этому обязывает закон. И обязывает делать это эффективно.

По каждому вашему постику видно, чью вы сторону заняли. Закон не обязывает делать эффективно.

 

Капец, вы же продаете доступ к сайтам, а по собственному желанию хотите их банить так тщательно, чтобы ни один хомяк не смог что-то там прочитать. Бизнесом не ошиблись?

[Умник]

Закон не обязывает делать эффективно.

А как обязывает?

[ttttt]

А как обязывает?

Никак конкретно не обязывает. Если роскомнадзор лично вас требует "качественнее" - забаньте роскомнадзору "качественнее", резолвте домены в отдельный список для его соединения хоть раз в минуту, а остальным баньте только IP адреса из официальных списков.

Изменено 14 июня, 2015 пользователем ttttt

[^rage^]

провайдер не может действовать вне правового поля

Закон предписывает провайдеру блокировать ресурсы из реестра. Любыми доступными средствами.

Нужно будет заблокировать Ipv6 - провайдер заблокирует, не волнуйтесь.

я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi).

задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой.

 

например, вы готовы заблокировать вообще все торренты, потому что есть jstorrent, который работает в браузере через webrtc без всяких плагинов?

 

 

 

Мнение трубы никого не волнует :)

И атаки с амплификацией никто не отменял.

L7 атаки на ваш сайт тоже никто не отменял.

Во-первых, для создания таргетированной атаки надо потратить некоторое количество сил. Во-вторых, если писано не левой пяткой, то с L7 будет крайне сложно.

В-третьих, это относительно легко подавляется просьбой клиента что-то посчитать( вот тебе hash(key+timestamp), верни мне key).

А от атаки на полосу сайт всегда может сбежать к кому-то вроде cloudfare, чего ISP сделать не может :)

 

Monday's DDoS proved these attacks aren't just theoretical. To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks.

 

 

Коллеги, вы оценили каминг-аут?

простите, а в чем он состоял?

[Alex_Sor]

 

Виндовая, работает на вин7 тоже, но нужен установленный микрософт офис.

Взять можно тут

http://rzs.rkn.gov.ru/

 

Коллеги, подскажите, как подготовить экселевский файлик, всмысле какие поля в нем надо оставить,

чтоб подсунуть этой тузле для проверки?

Сделал просто из xml дампа реестра файлик экселя, а данная тузла меня обругала что неверный формат данных.

[Tem]

Запросите у местного РКН, мне без проблем высылали.

[nu11]

я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi).

задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой.

Сами как оцениваете перспективу выполнения этой задачи? В ближайшие пять лет есть надежда ее решить?

 

простите, а в чем он состоял?

В открытой готовности шантажировать провайдеров ддосами.

Вы уже с кем-нибудь договаривались таким образом?

[ayf]

 

Виндовая, работает на вин7 тоже, но нужен установленный микрософт офис.

Взять можно тут

http://rzs.rkn.gov.ru/

 

Коллеги, подскажите, как подготовить экселевский файлик, всмысле какие поля в нем надо оставить,

чтоб подсунуть этой тузле для проверки?

Сделал просто из xml дампа реестра файлик экселя, а данная тузла меня обругала что неверный формат данных.

Ъ

 

Та же фигня. Но заработало, когда файлик сохранил в формате эксель 97-2003

[alibek]

более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi).

Ничего сложного.

Через DPI в любом случае проходит весь трафик, и весь трафик распознается и классифицируется.

Что с этом классифицированным трафиком делать — ничего не делать, поменять приоритет или дропнуть — это дело десятое и какой-то особой проблемы не представляет.

[^rage^]

я не волнуюсь. более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi).

задача ведь сделать блокировки неподъемными по деньгам с одной стороны и социально-неприемлимыми с другой.

Сами как оцениваете перспективу выполнения этой задачи? В ближайшие пять лет есть надежда ее решить?

думаю, да. хотя, время покажет :)

 

простите, а в чем он состоял?

В открытой готовности шантажировать провайдеров ддосами.

вам показалось. я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы.

[alibek]

я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы

Это нелепо.

Веб-сервисы в интернете не святым духом доставляются, а теми же ISP.

Поэтому хостинг подвержен тем же уязвимостям, что и ISP. И плюс к этому уязвимости, связанные со спецификой хостинга и архитектуры клиент-сервер.

[^rage^]

более сложные проверки требуют больше ресурсов(что выражается в затратах на dpi).

Ничего сложного.

Через DPI в любом случае проходит весь трафик, и весь трафик распознается и классифицируется.

Что с этом классифицированным трафиком делать — ничего не делать, поменять приоритет или дропнуть — это дело десятое и какой-то особой проблемы не представляет.

вы сигнатуры сами пишете или пользуетесь тем, что вендор дал? какой % у вас неклассифицированного трафика? попробуйте ради интереса его дропать и удивитесь фидбеку от юзеров.

 

и главный вопрос: как вы блокируете ссылки https? сильно ли вам помогает dpi?

[alibek]

как вы блокируете ссылки https?

Легко.

На уровне домена, конечно, а не отдельных страниц.

[^rage^]

я лишь хотел показать, что в плане атак на полосу ISP более уязвимы, чем какие-либо ресурсы

Это нелепо.

Веб-сервисы в интернете не святым духом доставляются, а теми же ISP.

Поэтому хостинг подвержен тем же уязвимостям, что и ISP. И плюс к этому уязвимости, связанные со спецификой хостинга и архитектуры клиент-сервер.

ресурс легко и непринужденно может сменить адреса и площадку. если у ресурса своя AS и блок адресов - bgp anycast и все дела.

у isp этой мобильности нет, многие в лучшем случае двуногие :)