Jump to content
Калькуляторы

Технические средства контроля за оператором

Надо свой вариант сообщать им или есть чтото стандартное?

Не колются. Местны радиочастотники говорят, что теперь им теперь надо ВСЕ over 40000 ссылок пройти руками, сделать скриншоты ОДНОЙ и ТОЙ-ЖЕ HTML-ки и вдавить капу типа "это заглушка".

 

...Шло второе десятилетие 21-го века...

 

 

В 200х км южнее Тюмени - при вводе системы было сказано, что заглушка у вас конечно хорошая, но не очень правильная, правильный текст выслали. И поправить голый html у нас заняло минут 5...

 

Наш текст, устраиваемый ими

Наш текст тоже раньше нормально учитывался. Видать коёбоська-софто-писатели поменялись.

что за писатели? Про кого это Вы?

Share this post


Link to post
Share on other sites

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

Share this post


Link to post
Share on other sites

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

:)

Share this post


Link to post
Share on other sites

Как-то рутинно . :) С органами надо дружить, но и это ничем может не помочь. Предупреждён - значит более вооружён.

Share this post


Link to post
Share on other sites

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

 

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

 

 

Разгадка простая, мфи барыжит "шторой" для фильтрации неугодных ресурсов, одна из заявляемых фич заключается в том, что штора сама отслеживает изменение ip и блокирует его да же если адреса нет в реестре. Открою ещё одну тайну, конкурс на "ревизор" выигран благодаря букве "И" в названии компании.

Share this post


Link to post
Share on other sites

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

 

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

Давно уже ясно что у РКН в качестве IP в реестре туфта, например, совсем от других гуглокэшей.

Поэтому однозначно надо самостоятельно резолвить адреса.

Но есть десяток порталов, которые уж совсем интенсивно бегают по рандомным адресам и что делать с ними непонятно.

 

Мы судились по этому вопросу - мнение судьи: решения судов обязательны к исполнению независимо от... И если Вы не можете их исполнить на основе реестра - ищите другой способ. Раз взяли лицензию - исполняйте условия. Не можете - не надо было брать лицензию...

 

Мораль - решение на основе отфильтровывания части трафика нежизнеспособно. Надо фильтровать весь трафик.

Share this post


Link to post
Share on other sites

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

http://nag.ru/news/newsline/30631/v-rossii-mogut-vvesti-edinyie-pravila-po-blokirovke-saytov.html

Share this post


Link to post
Share on other sites

ПС обновил инфо и выложил текст договора в редакции Оператора (в режиме правки, для желающих), который был подписан РЧЦ.

 

Это отлично, что оператор навязал свою волю.

 

Может и наши инициативы кончатся хорошо для нас.

 

Наши отправляли письмо - обоснования претензий плюс договор (у каждого немного свой) услуги размещения оборудования, с тарифами, естественно (у каждого свои).

 

Шаблон письма - может кому пригодиться - https://docs.google.com/document/d/18yzY-tuPtCEc1Ba0h3ZVKr5yOn0YgAyGSejDoCUpji8/edit?usp=sharing

и ответ на письмо получили, Алексей?

ПС позицию по Ревизору в суде расписал, пользуйтесь на здоровье!

http://nag.ru/articles/article/30436/tehnicheskie-sredstva-kontrolya-za-operatorom-obnovleno-.html

Share this post


Link to post
Share on other sites
возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;

А вот это прекрасная мина.

Share this post


Link to post
Share on other sites

ПС обновил инфо и выложил текст договора в редакции Оператора (в режиме правки, для желающих), который был подписан РЧЦ.

 

Это отлично, что оператор навязал свою волю.

 

Может и наши инициативы кончатся хорошо для нас.

 

Наши отправляли письмо - обоснования претензий плюс договор (у каждого немного свой) услуги размещения оборудования, с тарифами, естественно (у каждого свои).

 

Шаблон письма - может кому пригодиться - https://docs.google.com/document/d/18yzY-tuPtCEc1Ba0h3ZVKr5yOn0YgAyGSejDoCUpji8/edit?usp=sharing

и ответ на письмо получили, Алексей?

ПС позицию по Ревизору в суде расписал, пользуйтесь на здоровье!

http://nag.ru/articles/article/30436/tehnicheskie-sredstva-kontrolya-za-operatorom-obnovleno-.html

1 победа есть.

Новосибирск.

РКн отказался от иска.

Share this post


Link to post
Share on other sites
Практику достаточности 1% незаблокированных подтверждает ответ на вопрос 32 с официального сайта РКН, в котором, исполняющий обязанности начальника Отдела мониторинга интернет-ресурсов Управления информационных технологий Аппарата управления ФГУП "РЧЦ ЦФО" Минаков Владислав Алексеевич, утверждает, что: "На текущий момент в АС "Ревизор" формируются материалы по операторам связи, на сетях которых зафиксировано более 1% незаблокированных ресурсов".

провисело пару часов, удалено.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Edited by Comper

Share this post


Link to post
Share on other sites

На меня выписано три протокола, в которых представлены скрины с ресурсами отсутствующими в реестре. При этом при обращении к "запрещенному" ресурсу он отдавал "302 Moved Temporarily" со ссылкой на не запрещенный ресурс. Как по вашему это справедливо?

Те обмен с "запрещенным" ресурсом прошел, но реально распространение информации с запрещенного ресурса на происходило.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

 

Если нет адреса страницы? только домен.

Исходя из формулировки "IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов" нужно банить все ip, что выдает DNS.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

 

Если нет адреса страницы? только домен.

Исходя из формулировки "IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов" нужно банить все ip, что выдает DNS.

Там указан тип блокировки. Если указано банить ip - то баним ip. Попробуйте отрезолвить CDN-сервисы, которых в списке навалом.

Share this post


Link to post
Share on other sites

Итак, конференция прошла, давайте подытожим. Если перевести сухой канцелярит на человеческий язык и добавить к уже известному, то получаем следующее:

 


     
  1. "Ревизор" - не средство измерений. Ревизор - это что-то вроде фильтровалки, "грепалки", только с расширенным функционалом.
  2. "Ревизор" - только часть системы мониторинга. В работе участвует и другое ПО. Окончательные решения о формировании протоколов принимают сотрудники центра управления.
  3. С 19-го января "Ревизор" "улучшил" алгоритм проверки. Теперь "Ревизор", устанавливает соединения не только на IP-адреса, возвращаемые DNS (используются только DNS, выданные оператором), но и на IP-адреса из реестра (URL в обоих случаях запрашивается одинаковый).
  4. "Ревизор" выполняет проверку всего списка раз в сутки (ночью) и каждый час (с 00 минут) для записей с пометкой "Генпрокуратура". Таким образом, список в системе фильтрации должен быть актуален к началу каждого часа.
  5. Проверка выполняется в два прохода. На первом проходе запрашивается html-код страниц и формируется список "подозрительных" ресурсов. Именно этот список мы затем видим в личном кабинете. На втором проходе делается скриншот ресурсов из "подозрительного" списка. Сам "Ревизор" сделать скриншот не в состоянии, поэтому он поднимает туннель до центра управления, а сами скриншоты делает другое ПО из этого ЦУ. Время между первым и вторым проходом может достигать нескольких десятков минут. Наличие скриншота говорит о том, что ресурс был доступен дважды в разные моменты времени.
  6. Результаты второго прохода дополнительно перепроверяются оператором при помощи специального софта, который выкидывает из получившегося списка ресурсы с HTTP-кодом, отличного от 200, а также ресурсы, для которых не был получен скриншот. То, что осталось, изучается вручную на наличие правонарушений и может попасть в протокол.
  7. Текущее количество нарушений среди операторов не позволяет центру управления мониторить всех и вся в режиме non-stop. Поэтому протоколы получают, в первую очередь, те, у кого больше всего "пропусков".
  8. Тот самый пресловутый 1% - это не допуск и не погрешность, это порог "пропусков", при превышении которого на оператора связи с вероятностью 99% будет обращено пристальное внимание.
  9. Этот 1% вычисляется дважды - отдельно для общего числа всех записей и отдельно для списка Генпрокуратуры. Если у вас больше 1% по одному из списков, то вас проверят. Если меньше, то проверят тоже, но могут просто не успеть.
  10. Программный ревизор используется для мониторинга наряду с аппаратным. Раньше не планировалось его использовать, но теперь вот как то так... Протоколы через него также могут быть составлены.

P.S. Информация о технических подробностях работы системы мониторинга получена от коллег по отрасли в результате общения с сотрудниками частотного центра. Это информация может быть искажена в процессе пересказа, являться устаревшей или намеренно вводящей в заблуждение. Так что доверять ей на 100% нельзя, но принимать во внимание можно и нужно. Сами сотрудники ЧЦ не раз заявляли, что все может поменяться в любой момент. Плюс внутренние инструкции и процедуры могут отличаться для различных регионов.

 

Выводы:


     
  1. Фильтрация на основе фейковых DNS-ответов или анонсов некоторых сетей на фильтр неэффективна.
  2. Без DPI получить качественное решение проблемы нельзя.
  3. "Пропуски" в отчетах в личном кабинете не гарантируют получение протокола о нарушении.
  4. Ревизор в каком то смысле сам препятствует эффективной фильтрации ресурсов, поскольку может "замусоривать" отчет тем, что не является нарушениями с точки зрения системы мониторинга в целом (см вопрос №65 концеренции).
     

Уточнения и исправления приветствуются.

Share this post


Link to post
Share on other sites

Вот как раз недавно видел статью о том, как на 200% обезопаситься и пройти проверки ревизора http://www.carbonsoft.ru/на-200-проходим-проверки-ас-ревизор/

Забавно читать статью созданную теми, чья софт на не смогла заблочить.

Только по офиц.статистике http://forum.nag.ru/forum/index.php?showtopic=123162&st=150&p=1379829&fromsearch=1entry1379829

Share this post


Link to post
Share on other sites

Коллеги, прошу поделиться информацией был ли у Вас протокол об АП по ревизору, к которому прилагалось несколько актов мониторинга разными датами. Можно в личку.

Share this post


Link to post
Share on other sites

1 победа есть.

Новосибирск.

РКн отказался от иска.

 

Можно ссылку на дело в арбитраже для ознакомления?

Share this post


Link to post
Share on other sites

1 победа есть.

Новосибирск.

РКн отказался от иска.

 

Можно ссылку на дело в арбитраже для ознакомления?

так в нескольких темах Форума решения выкладывал.

По просьбам трудящихся, буду обобщать и выкладывать позитив здесь:

http://www.ordercom.ru/Revizor.htm

Share this post


Link to post
Share on other sites

У нас вроде получилось справится с этим TP-Link'ом по следующей схеме

revizorro.jpg

в такой конфигурации получается 0-1 пропусков в сутки, против 50-100 без нее.

Реализация элементарная, если интересно - поделюсь

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this