Jump to content

fastdpi is running, но ссылки не блокируются

alibek

By alibek
in СКАТ DPI и СКАТ CACHE

 Share

Recommended Posts

alibek

alibek

Posted
Posted

Сегодня поставили Ревизор Агент.

И первая же проверка выявила больше 40 тысяч незаблокированных ресурсов из ЕРДИ.

Фактически, блокировка вообще не работала, просто часть ресурсов была по какой-то причине недоступна.

При этом служба fastdpi исправно работает, в логах я каких-либо ошибок не нашел.

Сделал рестарт службы, после этого ссылки стали блокироваться. Правда не все — не блокируются HTTPS-ссылки и часть HTTP-ссылок.

 

Раньше была версия 2.5, с ней таких проблем не было.

Обновлялся из-за неблокированных ссылок на mediafire.com.

 

Сюрприз для РКН получился знатный.

Хотелось бы от этого сюрприза избавиться.

bike

bike

Posted
Posted

В servicedesk тикет создали?

Когда создавал тикеты по не блокировке определённых ресурсов - быстро решили проблемы.

П.С. Текущая версия 5.3 с блокировкой по SNI, 2 недели в работе.

П.П.С. Сами "с нетерпением" ждём АС Ревизор.

alibek

alibek

Posted
  • Author
Posted

В сервис-деске тикет создал, но там процесс идет неспешно, а меня торопят.

Надеюсь, что топик здесь поможет ускорить процесс.

 

Правда не все — не блокируются HTTPS-ссылки и часть HTTP-ссылок.

Да, тут виноват все же не СКАТ, а сам ревизор.

Во-первых, он не распознает нашу страницу-заглушку.

Во-вторых, эти адреса сами по себе непонятные.

Например в отчете есть такая запись:

276638	http://pokkkker.365planet365.com/	80.239.254.218	GET	200	Ответ получен

А в реестре под номером 276638 идет ссылка http://pokkker.365planet365.com/ (с тремя k).

В РЧЦ сами пока это объяснить не могут, будут проверять.

 

Но главная проблема не в этом, а с том, что СКАТ перестал фильтровать трафик, а об этом узнать никак нельзя (кроме как проверить).

DimaM

DimaM

Posted
Posted

главная проблема не в этом, а с том, что СКАТ перестал фильтровать трафик, а об этом узнать никак нельзя

 

Вероятно карта находилась в режиме bypass? Это видно сразу - трафика нет.

В соcедней теме "Мониторинг" есть ссылка на zabbix агент,

который и счетчик блокировок покажет, и трафик через СКАТ, и соответствующие сообщения из alert лога.

Также отсутствие трафика видно на графиках nfsen.

alibek

alibek

Posted
  • Author
Posted

Да, про мониторинг мне в сервис-деске ответили, завтра буду прикручивать.

Но мне непонятны два момента.

1. Почему сработал байпас? Сервер подключен от двух онлайновых ИБП, никаких проблем с питанием нет.

2. Даже если была причина, почему карта не восстановила нормальный режим работы?

 

Почему бы столь важные сообщения не писать в лог-файл, который не затирается ежедневно?

alibek

alibek

Posted
  • Author
Posted

Еще просьба проверить блокировку для этой записи:

 <content id="363850" includeTime="2016-10-19T15:53:13" entryType="1" hash="9458269903568DBC227488A8156CF9B4">
   <decision date="2016-06-06" number="2-2105/16" org="суд"/>
   <url><![CDATA[http://glavpost.com/post/9apr2015/blogs/24210-deg       emty-i-antilopy-ili-iekciya-o-nenavisti.html]]></url>
   <domain><![CDATA[glavpost.com]]></domain>
   <ip>104.25.136.110</ip>
   <ip>104.25.135.110</ip>
 </content>

У меня Агент фиксирует редирект на http*//glavpost.com/post/9apr2015/blogs/24210-begemoty-i-antilopy-ili-lekciya-o-nenavisti.html.

Скорее всего из-за пробелов в адресе.

infery

infery

Posted
Posted

Просьба проверить следующую ссылку:

vln8du3vs2.info.betcityaccess.com

(в реестре ID 319328)

Тоже не блокируется этот домент

bike

bike

Posted
Posted

Еще просьба проверить блокировку для этой записи:

id="363850" На версии 5.3 блокируется, только проверял с браузера.

nemo_lynx

nemo_lynx

Posted
Posted

Просьба проверить следующую ссылку:

vln8du3vs2.info.betcityaccess.com

(в реестре ID 319328)

 

Почему-то она не блокируется, срабатывает переадресация.

Это только у меня или у всех?

Блокируется.

 

Еще просьба проверить блокировку для этой записи:

 <content id="363850" includeTime="2016-10-19T15:53:13" entryType="1" hash="9458269903568DBC227488A8156CF9B4">
   <decision date="2016-06-06" number="2-2105/16" org="суд"/>
   <url><![CDATA[http://glavpost.com/post/9apr2015/blogs/24210-deg       emty-i-antilopy-ili-iekciya-o-nenavisti.html]]></url>
   <domain><![CDATA[glavpost.com]]></domain>
   <ip>104.25.136.110</ip>
   <ip>104.25.135.110</ip>
 </content>

У меня Агент фиксирует редирект на http*//glavpost.com/post/9apr2015/blogs/24210-begemoty-i-antilopy-ili-lekciya-o-nenavisti.html.

Скорее всего из-за пробелов в адресе.

Блокируется

remos

remos

Posted
Posted

alibek, В общем проход сквозь dpi возможен, вчера специально экспериментировал с твоими ссылками на разных крупных провайдерах...и если в браузерах словить не блокировку сложней, то применяя тот же wget очень даже легко! (Остается вопрос что применяет ревизор для чека...если аналоги wget то попадания в золотой процент очень даже будет неплохим).

Причем с нашей стороны не надо даже изменять url или еще что-то... достаточно поиграться с интенсивностью запросов...на заблокированных ресурсах, используется редирект...

 

Вот и получается что в целом то ресурс заблокирован и пролезть может малая порция данных которая не делает ресурс работоспособным но ревизор считает что ресурс открыт...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.