[Butch3r]

Поэтому-то провайдеры и стали самостоятельно резолвить.

 

Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

https://rkn.gov.ru/press/conference/conf19.htm

Не знаю что там на конференциях пишут но в рекомендациях по блокировке в случае если не используется DPI предлагают подменять ответы DNS серверов. По идее в таком случае ресолвить то и не надо.

У нас тут программист с zerocopy и ndpi экспериментирует - при блокировке запросов DNS на неправильные домены в первой итерации получается меньше 1% пропусков. Там ещё с парсингом куча вопросов. Уж больно своеобразные записи в реестре встречаются.

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

вы приятно удивитесь когда ревизор наложит на вашу DNS подмену и зайдет по доменному имени на сайт из реестра с IP, указанным в реестре

[fspi]

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

Мы отрезаем # и все что за ним.

 

Все,что не подходит в топку

[Alex/AT]

Ага, а потом получить акт с протоколом...

[NikAlexAn]

вы приятно удивитесь когда ревизор наложит на вашу DNS подмену и зайдет по доменному имени на сайт из реестра с IP, указанным в реестре

DNS запросы на неугодные домены блокируются.

http url блокируются по url.

сайты HTTPS с поддержкой SNI - виден домен - блокируется по домену.

IP из реестра с типом блокировки по IP и IP из записей блокировки HTTPS блокируются по IP.

Редирект пока не реализован - только дроп.

Что ещё забыли?

[AdmSasha]

NikAlexAn, если SNI не поддерживается и IP не соответствует указанным в реестре ?

Изменено 14 июня, 2017 пользователем AdmSasha

[NikAlexAn]

NikAlexAn, если SNI не поддерживается ? И IP не соответствует указанным в реестре ?

DNS запрос блокируется.

 

PS: По уму конечно бы надо при парсинге проверять поддерживается ли SNI и если поддерживается то блокировку DNS для этого домена убирать - но смысл то? один чёрт блокировать весь домен - других то вариантов нет.

Но вот если у ревизора есть свои, отличные от реестра, списки IP и сайт не поддерживает SNI то хз что делать - хотелось бы избавиться от резолвига доменов.

Изменено 14 июня, 2017 пользователем NikAlexAn

[alibek]

Если SNI не поддерживается, то и говорить не о чем.

Блокировать по IP из реестра.

[NikAlexAn]

Если SNI не поддерживается, то и говорить не о чем.

Блокировать по IP из реестра.

По мне логичней DNS запросы и ip из реестра блочить.

[Rivia]

Если SNI не поддерживается, то и говорить не о чем.

Блокировать по IP из реестра.

По мне логичней DNS запросы и ip из реестра блочить.

Дропаете все коннекты к чужим днс у клиентов?

[snvoronkov]

Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны.

 

Проверяю - все доступно. Просто некоторые странички госучреждений открываются по 3-7 минут. (Список не сохранил. А зря, наверное.)

 

А вот теперь представьте себе:

 

Есть некое учреждение, которому сайт написали по заказу левой ногой и поставили его на дохленькую машинку. Пользователей-то - три инвалида в месяц!

...А теперь РКН зарядил его проверку ВСЕМИ "Ревизорами" раз в час...

 

Вот он - РУКОТВОРНЫЙ DDoS !!! :-))))

[fspi]

Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны.

 

Проверяю - все доступно. Просто некоторые странички госучреждений открываются по 3-7 минут. (Список не сохранил. А зря, наверное.)

 

А вот теперь представьте себе:

 

Есть некое учреждение, которому сайт написали по заказу левой ногой и поставили его на дохленькую машинку. Пользователей-то - три инвалида в месяц!

...А теперь РКН зарядил его проверку ВСЕМИ "Ревизорами" раз в час...

 

Вот он - РУКОТВОРНЫЙ DDoS !!! :-))))

 

LMAO.Вот уж,ей богу,заставь дурака богу молиться...

Изменено 14 июня, 2017 пользователем fspi

[NikAlexAn]

Если SNI не поддерживается, то и говорить не о чем.

Блокировать по IP из реестра.

По мне логичней DNS запросы и ip из реестра блочить.

Дропаете все коннекты к чужим днс у клиентов?

ndpi блочит все проходящие DNS запросы к заблокированным доменам - к какому DNS серверу запрос - ему фиолетово.

Пока просто дропает - есть идея отправлять в ответ IP сервера со страницей уведомления о блокировке - но это уже мои пожелания к программисту.

По мне дак проще Скат купить и за его поддержку платить - дешевле обойдётся с учётом что как минимум раз в год реестр меняется и рекомендации по блокировке тоже. Но начальство хочет попробовать своё нагородить.

[alibek]

По мне логичней DNS запросы и ip из реестра блочить.

Да, будет нелишним.

Но тут уже зависит от используемого софта.

На Unbound не получится блокировать domain-mask, он не поддерживает wildcard.

 

Дропаете все коннекты к чужим днс у клиентов?

Зачем? Агент должен использовать DNS провайдера.

 

Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны.

В законе нет никакого "белого списка".

[visir]

Просто некоторые странички госучреждений открываются по 3-7 минут.

Ща они Вам еще штраф за превышение нормативов по задержке и джиттеру влепят! :D

[Urs_ak]

Роскомнадзор отменил действие «белых списков» для некоторых провайдеров

https://roem.ru/13-06-2017/252265/rkn-no-white-list/

Позже пресс-секретарь Роскомнадзора рассказал изданию, что речь — об отмене подразделениями ведомства своих рекомендаций «не осуществлять DNS-резолвинг».

[remos]

Роскомнадзор отменил действие «белых списков» для некоторых провайдеров

 

Как же это по НАШЕМУ! по МУЖСК...тьфу чихновничьи...

[taf_321]

У кого DPI кладет на DNS, тем и разослали.

 

Но вот срач, что они разводят в отчетах по доступности напрягает. Как теперь в той ежедневной портянке ловить реальные пропуски?

[Andrei]

Т.е. отменили только для Алтая? Они что - отдельное государство со своими ФЗ? Или они уже готовы присоединиться к Китаю? :)

[Urs_ak]

У кого DPI кладет на DNS, тем и разослали.

Непонятно. Индивидуальное ЦУ.

[Галушко Дмитрий]

 

[1] https://roem.ru/04-04-2014/111652/lyuboy-zablokirovannyy-sayt-mojet-otklyuchit-ves-runet-instrukcii-skripty-ilitnye-proksi-kommentariy-matveya-alekseeva/

:)

[AlKov]

Роскомнадзор отменил действие «белых списков» для некоторых провайдеров

Ну бл... Точно по сценарию того же автора..

[mc_dead]

Опять по ночам будут звонить и трясти убрать "белые списки". Попкорна что-ли купить?

[NikAlexAn]

Опять по ночам будут звонить и трясти убрать "белые списки". Попкорна что-ли купить?

Да пора уж попкорну замену подыскивать - приелся. :)

[remos]

похоже в отчете есть ограничение на количество информации...112 страниц и баста...

[Butch3r]

Т.е. отменили только для Алтая? Они что - отдельное государство со своими ФЗ? Или они уже готовы присоединиться к Китаю? :)

они отменили ровно то, что и вводили для Алтая.