Проблема РКН и ТТК 15.03.2018

[Ivanoff]

Кто еще столкнулся с такой проблемой? Проверял выгрузку и аж опешил. РКН ничего толком не говорят

[muzzle]

РКН осознает, что это было эпично и простит =) 

[alibek]

Не сталкивались, используем DPI.

Если блокировать по IP, то такие сюрпризы неизбежны.

[snvoronkov]

Зашел, проверил. По нулям.

[Ivanoff]

4 минуты назад, muzzle сказал:

РКН осознает, что это было эпично и простит =) 

Будем надеяться. Звонил в РКН - многозначительно спросили:"Ревизоры на ТТК?" говорю:"Да", а в ответ "Мм..."

[lacost]

Я думаю, что такая ситуация получается тогда, когда не резолвят ip у доменов из реестра. Давайте опустим вопрос надо это делать или нет. Как факт - ревизор по каждому домену делает резолв в ip и делает GET на этот ip.

У нас нарушений до 10 за вчера и сегодня.

 

[Стич]

Мы ТТК в этом месяце второй ногой сделали. Вчера весь вечер лежали.

Дозвониться не возможно на почту не отвечали.

Ладно уж если бы причина серьёзная,

а тут фактически из за неадекватного решения по блокировки,

которое судя по всему теперь будет появляться с завидной регулярностью.

Либо лежать будут, либо сайты не блокировать.

А то что надо, что то менять доходить долго будет если вообще дойдёт.

Придется искать новую вторую ногу.

[Andrei]

27 минут назад, Ivanoff сказал:

Звонил в РКН - многозначительно спросили:"Ревизоры на ТТК?" говорю:"Да", а в ответ "Мм..."

Аналогичный ответ получил от надзора по e-mail 

 

https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/

Цитата

Злоумышленники имели возможность атаковать сайты через обязательный провайдерский прибор разработки «МФИ Софт», рекомендованный Роскомнадзором.

А это как?

[alexwin]

21 час назад, Andrei сказал:

А это как?

Иксперты там в комментах рассуждают,что кто-то набил ТТК в какую-то таблицу и он упал.

[lacost]

Коллеги, вот ситуация с реестром:

 

Запись:

<content id="683933" includeTime="2017-10-24T10:05:17" urgencyType="1" entryType="3" blockType="ip" hash="3858510791F37F4BB7674F0DE027AA2A" ts="2018-03-16T11:51:00+03:00">
<decision date="2015-12-04" number="27-31-2015/Ид4082-15 " org="Генпрокуратура"/>

и далее около 4К только ip-адресов

</content>

 

Судя по этой записи блокировка идет только по ip-адресам. Никакого URL нет.

 

Я глянул по базе своей базе.

В данный момент у меня около 40 строк с количеством ip большим 100

 

1. в данном случае я не вижу подтверждения своей же версии что оператор сам резолвит URL в ip и создает себе же проблемы

2. сам РКН формируя реестр занимается резолвингом, и создает эту проблему

3. получается, если следовать букве закона, оператор должен перекрыть все эти 4К адресов, и не взирая на протокол и порт перекрыть к ним доступ?

 

 

 

 

 

 

 

 

[alibek]

29 минут назад, lacost сказал:

3. получается, если следовать букве закона, оператор должен перекрыть все эти 4К адресов, и не взирая на протокол и порт перекрыть к ним доступ?

Да.

Конечно это ошибка, скорее всего начудило какое-то самописное ПО прокуратуры, которое отресолвило кучу IP-адресов и внесло в реестр, и эту ошибку со временем исправят.

Но пока нужно блокировать как есть, а не считать себя умнее регулятора.

[Ko_stik]

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

[Rivia]

1 hour ago, Ko_stik said:

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

1. Мне лень проверять, но подозреваю что не было там столько записей с большим кол-вом IP. Поэтому скорее всего резолвили.

2. Проблемы индейцев шерифа не волнуют. Были там сотни тысяч айпишников или нет - кому какая разница? В законе указано блокировать, а то что у вас маршрутизатор по памяти поехал из-за кол-ва записей - ваши проблемы, типа. Впрочем собственно ркн видимо претензий к провайдеру и не выставлял, проблемы и претензии к ттк были у пользователей.

Edited March 16, 2018 by Rivia

[alibek]

6 минут назад, Rivia сказал:

Мне лень проверять, но подозреваю что не было там столько записей с большим кол-вом IP

Это видимо вторая серия "борьбы с режимом".

Я просмотрел несколько записей в заблокированными сайтами курительных смесей — там была блокировка по домену. И ЕМНИП, у ним не было кучи IP-адресов, IP-адреса ресолвились по DNS.

Сейчас для записи 683933 стоит блокировка по IP (что наверняка ошибка), плюс вся эта куча IP-адресов отресолвена прямо в реестре. Эту запись добавляла прокуратура, скорее всего добавляла с помощью самодельных утилит, которые и внесли в реестр эту кучу адресов.

[alexwin]

1 час назад, Ko_stik сказал:

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

Интересно,а вот чем занимается отдел К в этой стране? Ни при одной из эпизодов ничего о нем небыло слышно.

 

9 минут назад, alibek сказал:

Это видимо вторая серия "борьбы с режимом".

Какие-то странные эти борцуны,вместо его краха способствуют его укреплению,указывая на слабые места и закаливая по сути этим самым.

[Rivia]

25 minutes ago, alibek said:

Это видимо вторая серия "борьбы с режимом".

Я просмотрел несколько записей в заблокированными сайтами курительных смесей — там была блокировка по домену. И ЕМНИП, у ним не было кучи IP-адресов, IP-адреса ресолвились по DNS.

Сейчас для записи 683933 стоит блокировка по IP (что наверняка ошибка), плюс вся эта куча IP-адресов отресолвена прямо в реестре. Эту запись добавляла прокуратура, скорее всего добавляла с помощью самодельных утилит, которые и внесли в реестр эту кучу адресов.

Именно это и имел ввиду, плохо написал просто. Все было корректно описано ранее - блокировки по доменам, домены резолвили, получали тонну адресов - поскольку все автоматизировано, то всю эту тонну и вливали по bgp. Соотв-но те кто блокировали по доменным именам ничего и не заметили.

 

20 minutes ago, alexwin said:

Какие-то странные эти борцуны,вместо его краха способствуют его укреплению,указывая на слабые места и закаливая по сути этим самым.

Некорректная идея лежит в самом корне, поэтому кол-во таких "багов" этой системы неисчерпаемо. Могут сколько влезет латать - все равно каждый раз можно использовать новый. Просто желающих (пока по-крайней мере) невелико.

[alexwin]

11 минут назад, Rivia сказал:

поэтому кол-во таких "багов" этой системы неисчерпаемо

Весьма спорное утверждение. Каким образом это установлено?

[Rivia]

3 minutes ago, alexwin said:

Весьма спорное утверждение. Каким образом это установлено?

Хотя бы тем что с выпуском новых версий используемых протоколов логика блокировок ломается полностью (encypted SNI).

[alexwin]

1 минуту назад, Rivia сказал:

Хотя бы тем что с выпуском новых версий используемых протоколов логика блокировок ломается полностью (encypted SNI).

Белый список не ломается выпуском версий новых протоколов,поэтому можно нагнетать и усугублять,а можно сидеть тихо и незаметно пользоваться.

[Rivia]

10 minutes ago, alexwin said:

Белый список не ломается выпуском версий новых протоколов,поэтому можно нагнетать и усугублять,а можно сидеть тихо и незаметно пользоваться.

Ага, а владельцы сайтов из белого списка будут стоять в очереди на разрешение добавления в список новосозданной страницы сайта в цензурном отделе ркн. :)

Edited March 16, 2018 by Rivia

[alexwin]

9 минут назад, Rivia сказал:

Ага, а владельцы сайтов из белого списка будут стоять в очереди на разрешение добавления в список новосозданной страницы сайта в цензурном отделе ркн. :)

 

Зачем? Скажу всем выстраиваться в очередь по пятницам на черенкование установить госсертификат под соусом защиты сакральных скреп национальной безопасности и борьбы с терроризмом и будете выстраиваться :)

[Urs_ak]

Там тот чел график нарисовал:

 

http://schors.spb.ru/img/ttk.png

[YuryD]

 ДНС то чей ? Емнип - ревизор хапает по dhcp всё, что вы ему скормите.  Но тут нормального варианта тоже нету, ограничивать резолвер по количеству ответов in a - как-то глуповато. Хотя как детектор атаки сгодится.