Jump to content
Калькуляторы

Проблема РКН и ТТК 15.03.2018

Кто еще столкнулся с такой проблемой? Проверял выгрузку и аж опешил. РКН ничего толком не говорят

photo_2018-03-15_13-38-41.jpg

Снимок.PNG

Share this post


Link to post
Share on other sites

РКН осознает, что это было эпично и простит =) 

Share this post


Link to post
Share on other sites

Не сталкивались, используем DPI.

Если блокировать по IP, то такие сюрпризы неизбежны.

Share this post


Link to post
Share on other sites
4 минуты назад, muzzle сказал:

РКН осознает, что это было эпично и простит =) 

Будем надеяться. Звонил в РКН - многозначительно спросили:"Ревизоры на ТТК?" говорю:"Да", а в ответ "Мм..."

Share this post


Link to post
Share on other sites

Я думаю, что такая ситуация получается тогда, когда не резолвят ip у доменов из реестра. Давайте опустим вопрос надо это делать или нет. Как факт - ревизор по каждому домену делает резолв в ip и делает GET на этот ip.

У нас нарушений до 10 за вчера и сегодня.

 

Share this post


Link to post
Share on other sites

Мы ТТК в этом месяце второй ногой сделали. Вчера весь вечер лежали.

Дозвониться не возможно на почту не отвечали.

Ладно уж если бы причина серьёзная,

а тут фактически из за неадекватного решения по блокировки,

которое судя по всему теперь будет появляться с завидной регулярностью.

Либо лежать будут, либо сайты не блокировать.

А то что надо, что то менять доходить долго будет если вообще дойдёт.

Придется искать новую вторую ногу.

Share this post


Link to post
Share on other sites
27 минут назад, Ivanoff сказал:

Звонил в РКН - многозначительно спросили:"Ревизоры на ТТК?" говорю:"Да", а в ответ "Мм..."

Аналогичный ответ получил от надзора по e-mail 

 

https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/

Цитата

Злоумышленники имели возможность атаковать сайты через обязательный провайдерский прибор разработки «МФИ Софт», рекомендованный Роскомнадзором.

А это как?

Share this post


Link to post
Share on other sites
21 час назад, Andrei сказал:

А это как?

Иксперты там в комментах рассуждают,что кто-то набил ТТК в какую-то таблицу и он упал.

Share this post


Link to post
Share on other sites

Коллеги, вот ситуация с реестром:

 

Запись:

<content id="683933" includeTime="2017-10-24T10:05:17" urgencyType="1" entryType="3" blockType="ip" hash="3858510791F37F4BB7674F0DE027AA2A" ts="2018-03-16T11:51:00+03:00">
<decision date="2015-12-04" number="27-31-2015/Ид4082-15 " org="Генпрокуратура"/>

и далее около 4К только ip-адресов

</content>

 

Судя по этой записи блокировка идет только по ip-адресам. Никакого URL нет.

 

Я глянул по базе своей базе.

В данный момент у меня около 40 строк с количеством ip большим 100

 

1. в данном случае я не вижу подтверждения своей же версии что оператор сам резолвит URL в ip и создает себе же проблемы

2. сам РКН формируя реестр занимается резолвингом, и создает эту проблему

3. получается, если следовать букве закона, оператор должен перекрыть все эти 4К адресов, и не взирая на протокол и порт перекрыть к ним доступ?

 

 

 

 

 

 

 

 

Share this post


Link to post
Share on other sites
29 минут назад, lacost сказал:

3. получается, если следовать букве закона, оператор должен перекрыть все эти 4К адресов, и не взирая на протокол и порт перекрыть к ним доступ?

Да.

Конечно это ошибка, скорее всего начудило какое-то самописное ПО прокуратуры, которое отресолвило кучу IP-адресов и внесло в реестр, и эту ошибку со временем исправят.

Но пока нужно блокировать как есть, а не считать себя умнее регулятора.

Share this post


Link to post
Share on other sites

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

Share this post


Link to post
Share on other sites
1 hour ago, Ko_stik said:

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

1. Мне лень проверять, но подозреваю что не было там столько записей с большим кол-вом IP. Поэтому скорее всего резолвили.

2. Проблемы индейцев шерифа не волнуют. Были там сотни тысяч айпишников или нет - кому какая разница? В законе указано блокировать, а то что у вас маршрутизатор по памяти поехал из-за кол-ва записей - ваши проблемы, типа. Впрочем собственно ркн видимо претензий к провайдеру и не выставлял, проблемы и претензии к ттк были у пользователей.

Edited by Rivia

Share this post


Link to post
Share on other sites
6 минут назад, Rivia сказал:

Мне лень проверять, но подозреваю что не было там столько записей с большим кол-вом IP

Это видимо вторая серия "борьбы с режимом".

Я просмотрел несколько записей в заблокированными сайтами курительных смесей — там была блокировка по домену. И ЕМНИП, у ним не было кучи IP-адресов, IP-адреса ресолвились по DNS.

Сейчас для записи 683933 стоит блокировка по IP (что наверняка ошибка), плюс вся эта куча IP-адресов отресолвена прямо в реестре. Эту запись добавляла прокуратура, скорее всего добавляла с помощью самодельных утилит, которые и внесли в реестр эту кучу адресов.

Share this post


Link to post
Share on other sites
1 час назад, Ko_stik сказал:

Тогда при чем тут ТТК, если список блокировки со всеми IP готовит РКН, сами такой реестр выложили, а вину перевалили на провайдера.

Интересно,а вот чем занимается отдел К в этой стране? Ни при одной из эпизодов ничего о нем небыло слышно.

 

9 минут назад, alibek сказал:

Это видимо вторая серия "борьбы с режимом".

Какие-то странные эти борцуны,вместо его краха способствуют его укреплению,указывая на слабые места и закаливая по сути этим самым.

Share this post


Link to post
Share on other sites
25 minutes ago, alibek said:

Это видимо вторая серия "борьбы с режимом".

Я просмотрел несколько записей в заблокированными сайтами курительных смесей — там была блокировка по домену. И ЕМНИП, у ним не было кучи IP-адресов, IP-адреса ресолвились по DNS.

Сейчас для записи 683933 стоит блокировка по IP (что наверняка ошибка), плюс вся эта куча IP-адресов отресолвена прямо в реестре. Эту запись добавляла прокуратура, скорее всего добавляла с помощью самодельных утилит, которые и внесли в реестр эту кучу адресов.

Именно это и имел ввиду, плохо написал просто. Все было корректно описано ранее - блокировки по доменам, домены резолвили, получали тонну адресов - поскольку все автоматизировано, то всю эту тонну и вливали по bgp. Соотв-но те кто блокировали по доменным именам ничего и не заметили.

 

20 minutes ago, alexwin said:

Какие-то странные эти борцуны,вместо его краха способствуют его укреплению,указывая на слабые места и закаливая по сути этим самым.

Некорректная идея лежит в самом корне, поэтому кол-во таких "багов" этой системы неисчерпаемо. Могут сколько влезет латать - все равно каждый раз можно использовать новый. Просто желающих (пока по-крайней мере) невелико.

Share this post


Link to post
Share on other sites
11 минут назад, Rivia сказал:

поэтому кол-во таких "багов" этой системы неисчерпаемо

Весьма спорное утверждение. Каким образом это установлено?

Share this post


Link to post
Share on other sites
3 minutes ago, alexwin said:

Весьма спорное утверждение. Каким образом это установлено?

Хотя бы тем что с выпуском новых версий используемых протоколов логика блокировок ломается полностью (encypted SNI).

Share this post


Link to post
Share on other sites
1 минуту назад, Rivia сказал:

Хотя бы тем что с выпуском новых версий используемых протоколов логика блокировок ломается полностью (encypted SNI).

Белый список не ломается выпуском версий новых протоколов,поэтому можно нагнетать и усугублять,а можно сидеть тихо и незаметно пользоваться.

Share this post


Link to post
Share on other sites
10 minutes ago, alexwin said:

Белый список не ломается выпуском версий новых протоколов,поэтому можно нагнетать и усугублять,а можно сидеть тихо и незаметно пользоваться.

Ага, а владельцы сайтов из белого списка будут стоять в очереди на разрешение добавления в список новосозданной страницы сайта в цензурном отделе ркн. :)

Edited by Rivia

Share this post


Link to post
Share on other sites
9 минут назад, Rivia сказал:

Ага, а владельцы сайтов из белого списка будут стоять в очереди на разрешение добавления в список новосозданной страницы сайта в цензурном отделе ркн. :)

 

Зачем? Скажу всем выстраиваться в очередь по пятницам на черенкование установить госсертификат под соусом защиты сакральных скреп национальной безопасности и борьбы с терроризмом и будете выстраиваться :)

Share this post


Link to post
Share on other sites

 ДНС то чей ? Емнип - ревизор хапает по dhcp всё, что вы ему скормите.  Но тут нормального варианта тоже нету, ограничивать резолвер по количеству ответов in a - как-то глуповато. Хотя как детектор атаки сгодится.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now