Butch3r Опубликовано 14 июня, 2017 · Жалоба Поэтому-то провайдеры и стали самостоятельно резолвить. Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит. https://rkn.gov.ru/press/conference/conf19.htm Не знаю что там на конференциях пишут но в рекомендациях по блокировке в случае если не используется DPI предлагают подменять ответы DNS серверов. По идее в таком случае ресолвить то и не надо. У нас тут программист с zerocopy и ndpi экспериментирует - при блокировке запросов DNS на неправильные домены в первой итерации получается меньше 1% пропусков. Там ещё с парсингом куча вопросов. Уж больно своеобразные записи в реестре встречаются. Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать? вы приятно удивитесь когда ревизор наложит на вашу DNS подмену и зайдет по доменному имени на сайт из реестра с IP, указанным в реестре Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 14 июня, 2017 · Жалоба Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать? Мы отрезаем # и все что за ним. Все,что не подходит в топку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 14 июня, 2017 · Жалоба Ага, а потом получить акт с протоколом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба вы приятно удивитесь когда ревизор наложит на вашу DNS подмену и зайдет по доменному имени на сайт из реестра с IP, указанным в реестре DNS запросы на неугодные домены блокируются. http url блокируются по url. сайты HTTPS с поддержкой SNI - виден домен - блокируется по домену. IP из реестра с типом блокировки по IP и IP из записей блокировки HTTPS блокируются по IP. Редирект пока не реализован - только дроп. Что ещё забыли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdmSasha Опубликовано 14 июня, 2017 (изменено) · Жалоба NikAlexAn, если SNI не поддерживается и IP не соответствует указанным в реестре ? Изменено 14 июня, 2017 пользователем AdmSasha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 (изменено) · Жалоба NikAlexAn, если SNI не поддерживается ? И IP не соответствует указанным в реестре ? DNS запрос блокируется. PS: По уму конечно бы надо при парсинге проверять поддерживается ли SNI и если поддерживается то блокировку DNS для этого домена убирать - но смысл то? один чёрт блокировать весь домен - других то вариантов нет. Но вот если у ревизора есть свои, отличные от реестра, списки IP и сайт не поддерживает SNI то хз что делать - хотелось бы избавиться от резолвига доменов. Изменено 14 июня, 2017 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 июня, 2017 · Жалоба Если SNI не поддерживается, то и говорить не о чем. Блокировать по IP из реестра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Если SNI не поддерживается, то и говорить не о чем. Блокировать по IP из реестра. По мне логичней DNS запросы и ip из реестра блочить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 14 июня, 2017 · Жалоба Если SNI не поддерживается, то и говорить не о чем. Блокировать по IP из реестра. По мне логичней DNS запросы и ip из реестра блочить. Дропаете все коннекты к чужим днс у клиентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 14 июня, 2017 · Жалоба Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны. Проверяю - все доступно. Просто некоторые странички госучреждений открываются по 3-7 минут. (Список не сохранил. А зря, наверное.) А вот теперь представьте себе: Есть некое учреждение, которому сайт написали по заказу левой ногой и поставили его на дохленькую машинку. Пользователей-то - три инвалида в месяц! ...А теперь РКН зарядил его проверку ВСЕМИ "Ревизорами" раз в час... Вот он - РУКОТВОРНЫЙ DDoS !!! :-)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 14 июня, 2017 (изменено) · Жалоба Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны. Проверяю - все доступно. Просто некоторые странички госучреждений открываются по 3-7 минут. (Список не сохранил. А зря, наверное.) А вот теперь представьте себе: Есть некое учреждение, которому сайт написали по заказу левой ногой и поставили его на дохленькую машинку. Пользователей-то - три инвалида в месяц! ...А теперь РКН зарядил его проверку ВСЕМИ "Ревизорами" раз в час... Вот он - РУКОТВОРНЫЙ DDoS !!! :-)))) LMAO.Вот уж,ей богу,заставь дурака богу молиться... Изменено 14 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Если SNI не поддерживается, то и говорить не о чем. Блокировать по IP из реестра. По мне логичней DNS запросы и ip из реестра блочить. Дропаете все коннекты к чужим днс у клиентов? ndpi блочит все проходящие DNS запросы к заблокированным доменам - к какому DNS серверу запрос - ему фиолетово. Пока просто дропает - есть идея отправлять в ответ IP сервера со страницей уведомления о блокировке - но это уже мои пожелания к программисту. По мне дак проще Скат купить и за его поддержку платить - дешевле обойдётся с учётом что как минимум раз в год реестр меняется и рекомендации по блокировке тоже. Но начальство хочет попробовать своё нагородить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 июня, 2017 · Жалоба По мне логичней DNS запросы и ip из реестра блочить. Да, будет нелишним. Но тут уже зависит от используемого софта. На Unbound не получится блокировать domain-mask, он не поддерживает wildcard. Дропаете все коннекты к чужим днс у клиентов? Зачем? Агент должен использовать DNS провайдера. Сегодня с утра присылают из РКН письмо, дескать у вас ресурсы из "белого списка" такие-то, такие-то недоступны. В законе нет никакого "белого списка". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 14 июня, 2017 · Жалоба Просто некоторые странички госучреждений открываются по 3-7 минут. Ща они Вам еще штраф за превышение нормативов по задержке и джиттеру влепят! :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 14 июня, 2017 · Жалоба Роскомнадзор отменил действие «белых списков» для некоторых провайдеров https://roem.ru/13-06-2017/252265/rkn-no-white-list/ Позже пресс-секретарь Роскомнадзора рассказал изданию, что речь — об отмене подразделениями ведомства своих рекомендаций «не осуществлять DNS-резолвинг». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 14 июня, 2017 · Жалоба Роскомнадзор отменил действие «белых списков» для некоторых провайдеров Как же это по НАШЕМУ! по МУЖСК...тьфу чихновничьи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 июня, 2017 · Жалоба У кого DPI кладет на DNS, тем и разослали. Но вот срач, что они разводят в отчетах по доступности напрягает. Как теперь в той ежедневной портянке ловить реальные пропуски? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 июня, 2017 · Жалоба Т.е. отменили только для Алтая? Они что - отдельное государство со своими ФЗ? Или они уже готовы присоединиться к Китаю? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 14 июня, 2017 · Жалоба У кого DPI кладет на DNS, тем и разослали. Непонятно. Индивидуальное ЦУ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 14 июня, 2017 · Жалоба [1] https://roem.ru/04-04-2014/111652/lyuboy-zablokirovannyy-sayt-mojet-otklyuchit-ves-runet-instrukcii-skripty-ilitnye-proksi-kommentariy-matveya-alekseeva/ :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 14 июня, 2017 · Жалоба Роскомнадзор отменил действие «белых списков» для некоторых провайдеров Ну бл... Точно по сценарию того же автора.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mc_dead Опубликовано 14 июня, 2017 · Жалоба Опять по ночам будут звонить и трясти убрать "белые списки". Попкорна что-ли купить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Опять по ночам будут звонить и трясти убрать "белые списки". Попкорна что-ли купить? Да пора уж попкорну замену подыскивать - приелся. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 14 июня, 2017 · Жалоба похоже в отчете есть ограничение на количество информации...112 страниц и баста... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 15 июня, 2017 · Жалоба Т.е. отменили только для Алтая? Они что - отдельное государство со своими ФЗ? Или они уже готовы присоединиться к Китаю? :) они отменили ровно то, что и вводили для Алтая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...