Tem Опубликовано 23 декабря, 2016 · Жалоба Задал саппорту Ревизора вопрос: В отчете за 22.12.2006 зафиксировано 1197 нарушений, при ручной проверке данных сайтов происходит перенаправление на страницу блокировки. Для блокировок используется ПО Карбон Редуктор Их ответ Добрый день, Факт попадания записи в отчет, означает то что агент получил http заголовки и html содержимое от ресурса, подлежащего блокировке. То есть при проверке записи доступ к ней не был ограничен (агент не был перенаправлен на страницу-заглушку, соединение не было сброшено и т.д). Далее, если агент в задаче проверки доступа определил запись как не заблокированную, но в последующей задаче формирования скриншотов наличие доступа не подтвердилось, так как был получен скриншот страницы-заглушки, то такая запись нарушением считаться не может и будет удалена из протокола вручную. Например, во вчерашней проверке по всему реестру ЕАИС агент определил запись id 97550 как не заблокированную (см. заголовки и соедержимое ответа ниже), однако, сформированный скриншот не подтвердил факт нарушения, так как агент получил скриншот страницы-заглушки. id 97750, http://www.vip-zona.biz/hentai_video http заголовки: Date: Wed, 21 Dec 2016 21:03:53 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: close Set-Cookie: __cfduid=db12d5e5dee5c4715ade5d831efe697821482354233; expires=Thu, 21-Dec-17 21:03:53 GMT; path=/; domain=.vip-zona.biz; HttpOnly X-Powered-By: PHP/5.4.37 Set-Cookie: PHPSESSID=j121olosi2pv1ij4v56t111to7; path=/; domain=.vip-zona.biz; HttpOnly Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: dle_user_id=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.vip-zona.biz; httponly Set-Cookie: dle_password=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.vip-zona.biz; httponly Set-Cookie: dle_hash=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.vip-zona.biz; httponly Server: cloudflare-nginx CF-RAY: 314e4885e58d4e9c-DME html содержимое: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru"> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <title>Hentai Video » Vip Zona : We Work Only 4 Premium Users</title> <meta name="description" content="hentai video" /> <meta name="keywords" content="hentai video" /> <meta name="generator" content="DataLife Engine (http://dle-news.ru)" /> <link rel="search" type="application/opensearchdescription+xml" href="http://www.vip-zona.biz/engine/opensearch.php" title="Vip Zona : We Work Only 4 Premium Users" /> <link rel="alternate" type="application/rss+xml" title="Hentai Video » Vip Zona : We Work Only 4 Premium Users" href="http://www.vip-zona.biz/hentai_video/rss.xml" /> <script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&g=general&10"></script> <script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&f=engine/classes/highslide/highslide.js&10"></script> <link rel="shortcut icon" href="/templates/vipzona/images/favicon.ico" /> <link media="screen" href="/templates/vipzona/style/styles.css" type="text/css" rel="stylesheet" /> <link media="screen" href="/templates/vipzona/style/engine.css" type="text/css" rel="stylesheet" /> <script type="text/javascript" src="/templates/vipzona/js/libs.js"></script> <!-- cookie --> <script src="//yandex.st/jquery/cookie/1.0/jquery.cookie.min.js"></script> <script> $(function(){ openoverlay() }) // ϰਬ, 屲젫蠧௨ἠ⠪㪠堮 ﮱ幥� ﮱ岨⥫ // ű먠砯豼 屲젭 �壮 �䥫६ function openoverlay() { if (!$.cookie('was')) { event.preventDefault(); var html = '<div class="overlay-timing999"><div class="overlay-timing-window999" id="texthere"></div></div>' $("body").append(html); $("#texthere").html('<h1>!!!WARRNING!!!</h1><p><b>This website contains material of a pornographic nature. Viewing these may be illegal in your country. To view this site you must agree with the following terms. 1 you are over 18 years old 2 You acknowledge the legitimacy of viewing this type of content in your country. Administration and owner of this site takes no responsibility for the legality of your actions.By clicking the button below you agree to the contains.All resemblance to real people is coincidental. All images and stories on this site are fictional, and all fictional characters are adults in their imaginary country.</b></p><div><a href="http://google.com" class="btn999">Desagree</a> | <a onclick="closeoverlay();" href="#" class="btn999"><b>I agree,i am over 18 and i can take responsibility, ENTER</b></a></div>'); } return false; } function closeoverlay() { $.cookie('was', true, { expires: 1, path: '/' }); Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 декабря, 2016 · Жалоба Достаточно было магистральных операторах внедрить dpi Мне нравится это "достаточно" :) Нет, я согласен, что закон должен быть для всех. Но нужно реально понимать, для магистрала, у которого десятки и сотни пиров и линки по 40G/100G, нет простых решений типа СКАТ. Тут дело даже не в цене, чтобы купить несколько стоек СКАТ-ов или других DPI, а в том, что на таких масштабах нужно специальное решение, которого пока просто нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Realwizard Опубликовано 23 декабря, 2016 · Жалоба "агент не был перенаправлен на страницу-заглушку, соединение не было сброшено и т.д" То есть, если убрать заглушку и вместо нее просто обрывать соединение способом типа tcp reset, это нарушением считаться не будет? Соответственно, завернуть ревизор, с его неуемной активностью на сброс соединения, а для клиентов оставить страницу-заглушку, тем самым сняв нагрузку с сервер. Хм... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Опубликовано 23 декабря, 2016 (изменено) · Жалоба Модернизируем систему фильтрации для минимизации нагрузки на заглушку: скриптом rzs-get забираем реестр с запретинфо, заливаем список ip из него в микротик (ACL zapret-info) и фильтруем файрволом запросы с ревизоров на эти ip (ревизоры включены в микротик, подключенный в клиентскую сеть). Остатки трафика, которые ревизор ресолвит на других адресах рубятся DPI. Получаем вот такую картинку Изменено 23 декабря, 2016 пользователем Andrey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 23 декабря, 2016 · Жалоба Достаточно было магистральных операторах внедрить dpi Мне нравится это "достаточно" :) Нет, я согласен, что закон должен быть для всех. Но нужно реально понимать, для магистрала, у которого десятки и сотни пиров и линки по 40G/100G, нет простых решений типа СКАТ. Тут дело даже не в цене, чтобы купить несколько стоек СКАТ-ов или других DPI, а в том, что на таких масштабах нужно специальное решение, которого пока просто нет. Зато "бюджетных средств не потрачено", да... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 23 декабря, 2016 · Жалоба вообще есть желание сделать следующее: У нас Ревизор стоит за отдельным роутером Mikrotik которому можно скормить в firewall→address list все домены и ip-адреса из реестра. И блокировать всю активность на ближайшем роутере по IP, отдавая tcp reset. PS. На сети давно развернут и внедрен СКАТ, но пока побаиваемся с ним работать по задаче раскраска трафика т.к. Ревизор чешет сейчас 24х7 и перезагружать сервис Ската реально страшно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morbid Опубликовано 23 декабря, 2016 · Жалоба Стоит скат, в разрыв, за 22 число 16 пропусков. Проверил все, таких ипшников в реестрах нет. Домены есть (он они все в ХТТПсе) :( Скатовцы сказали что они резолвят имена раз в час :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 23 декабря, 2016 · Жалоба облачный киберфильтр с рпз, один пропуск за вчера- и то на момент открытия в реестре его уже не было, скорее всего в момент обновления реестра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 декабря, 2016 · Жалоба Стоит скат, в разрыв, за 22 число 16 пропусков. Проверил все, таких ипшников в реестрах нет. Домены есть (он они все в ХТТПсе) :( Скатовцы сказали что они резолвят имена раз в час :( В том-то и дело. В любом случае мы будем отставать. И будем платить штрафы, лишаться лицензий. Но обновлять систему фильтрации каждые 5 минут - не вариант. Отключать клиентов при обновлении - тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 23 декабря, 2016 (изменено) · Жалоба Я же сказал давно две системы блока должно быть со смещением по времени обновлений... либо, в новом году появится "правильный dpi" с которым будет все чудесно...не ужели непонятно зачем запустил в бесконечном цикле проверку? Изменено 23 декабря, 2016 пользователем remos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 декабря, 2016 · Жалоба Я же сказал давно две системы блока должно быть со смещением по времени обновлений... либо, в новом году появится "правильный dpi" с которым будет все чудесно...не ужели непонятно зачем запустил в бесконечном цикле проверку? Убивается надежность сети. Смысл брать несколько аплинков, делать всякие HSRP и прочее на мощных роутерах, если все должно упираться в один север DPI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 23 декабря, 2016 · Жалоба Какая надежность? Без пяти минут блекаут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
мишаня сучков Опубликовано 23 декабря, 2016 · Жалоба Нам сегодня по телефону ответили что распоряжение с выше, чтоб ревизор работал в круглосуточном режиме мониторинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 декабря, 2016 · Жалоба Хмю По статистике реестр не обновляется ночью, примерно с 2 до 5 часов. Значит один выход для проверки блокировки: time-range ACL на ревизоре Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 декабря, 2016 · Жалоба Хмю По статистике реестр не обновляется ночью, примерно с 2 до 5 часов. Значит один выход для проверки блокировки: time-range ACL на ревизоре Что это даёт ? Ну не обновляется реестр, но актуальная-то копия действительна ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 декабря, 2016 · Жалоба Смысл брать несколько аплинков, делать всякие HSRP и прочее на мощных роутерах, если все должно упираться в один север DPI? Я перед установкой СКАТ-а об этом тоже беспокоился. Хоть и специально брал СКАТ с байпасом. На стенде гонял его по всякому: выдергивал шнур питания, ронял в core, запускал форк-бомбу. Но байпас действительно отрабатывал надежно, пусть и не мгновенно (перерыв около 1-2 секунд). Фактически после установки СКАТ я вообще не помню случая, чтобы СКАТ вызвал какую-то проблему или перебои в сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
мишаня сучков Опубликовано 23 декабря, 2016 · Жалоба У нас круглосуточно барабанит с 21.12.16г. приблизительно по 110000 запросов в час. Лампочка мигает на нём как светомузыка круглосуточно, как роутер не виснет к которому его присобачили. Греется падла, раньше холодный был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 декабря, 2016 · Жалоба Хмю По статистике реестр не обновляется ночью, примерно с 2 до 5 часов. Значит один выход для проверки блокировки: time-range ACL на ревизоре Что это даёт ? Ну не обновляется реестр, но актуальная-то копия действительна ? Это дает только то, что система фильтрации в данный момент стабильна. Но от подмены айпишников и это не спасёт:((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 декабря, 2016 · Жалоба Но байпас действительно отрабатывал надежно, пусть и не мгновенно (перерыв около 1-2 секунд). Фактически после установки СКАТ я вообще не помню случая, чтобы СКАТ вызвал какую-то проблему или перебои в сети. Подтверждаю. Жестких тестов не проводил, но пару блэкаутов пережил. Просто при переходе в байпас и обратно - есть некий парусекундный провал. В доревизорные времена это было некритично, поэтому ИБП под Скат не закладывался, а сейчас - придётся... Хотя у меня и ревизоры на слабом ибп. Это дает только то, что система фильтрации в данный момент стабильна. Но от подмены айпишников и это не спасёт:((( От смены IP наверное. А так - алибек вроде у ската уточнял, что https резольвятся у них раз в час, соотв если реестр из их облака - то наверное можно не успеть только мгновенный тип блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 декабря, 2016 · Жалоба Но байпас действительно отрабатывал надежно, пусть и не мгновенно (перерыв около 1-2 секунд). Фактически после установки СКАТ я вообще не помню случая, чтобы СКАТ вызвал какую-то проблему или перебои в сети. Подтверждаю. Жестких тестов не проводил, но пару блэкаутов пережил. Просто при переходе в байпас и обратно - есть некий парусекундный провал. В доревизорные времена это было некритично, поэтому ИБП под Скат не закладывался, а сейчас - придётся... Хотя у меня и ревизоры на слабом ибп. Это дает только то, что система фильтрации в данный момент стабильна. Но от подмены айпишников и это не спасёт:((( От смены IP наверное. А так - алибек вроде у ската уточнял, что https резольвятся у них раз в час, соотв если реестр из их облака - то наверное можно не успеть только мгновенный тип блокировки. Да, простите, оговорился. Конечно от смены. Адреса-то меняются раз в 5 - 15 минут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 декабря, 2016 · Жалоба Да, простите, оговорился. Конечно от смены. Адреса-то меняются раз в 5 - 15 минут... Так часто ttl в зоне умеют менять ? И что-за dns ? Ревизор по dhcp берет от провайдера ip и dns. И долбится именно по резолвингу днс от провайдера. Я ни разу не видел в трафике ревизора обращения к чужим днс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 23 декабря, 2016 · Жалоба Да, трафик идёт от Мегафона уже фильтрованный А насколько хорошо фильтрованный? Youtube? Сайты вида: http://91.216.220.14 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 23 декабря, 2016 (изменено) · Жалоба Народ, у кого-нить такие ссылки блочатся? _http://swfchan.com/31/153707/?【MMD】萃香で「腰振りダン+ス・改」(R-18)+-+Niconico+VideoGINZA.swf Изменено 23 декабря, 2016 пользователем Brainiac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 декабря, 2016 · Жалоба А откуда эта ссылка? В реестре под номером 111480 указана другая ссылка: _http://swfchan.com/31/153707/?%E3%80%90MMD%E3%80%91%E8%90%83%E9%A6%99%E3%81%A7%E3%80%8C%E8%85%B0%E6%8C%AF%E3%82%8A%E3%83%80%E3%83%B3%3Cu%3E+%3C%2Fu%3E%E3%82%B9%E3%83%BB%E6%94%B9%E3%80%8D(R-18)+-+Niconico+VideoGINZA.swf Она блокируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 23 декабря, 2016 (изменено) · Жалоба Это у карбона в html представлении списков так выглядит. Это меня попутало... Действительно, если грепнуть, то именно в таком представлении _http://swfchan.com/31/153707/?%E3%80%90MMD%E3%80%91%E8%90%83%E9%A6%99%E3%81%A7%E3%80%8C%E8%85%B0%E6%8C%AF%E3%82%8A%E3%83%80%E3%83%B3%3Cu%3E+%3C%2Fu%3E%E3%82%B9%E3%83%BB%E6%94%B9%E3%80%8D(R-18)+-+Niconico+VideoGINZA.swf блокируется... хм Изменено 23 декабря, 2016 пользователем Brainiac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...