oleg_n Опубликовано 21 марта, 2018 · Жалоба 20 minutes ago, myth said: Как вариант, брать ip из дампа у таких записей и в null заворачивать Это должно быть легально, но неправильно с точки зрения возможности блокировки нормальных ресурсов по ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 9 минут назад, a290 сказал: Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть. Да,действительно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба Но если за такую неблокировку начнут выписывать штрафы, то выбора не останется... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 17 minutes ago, alibek said: Самое разумное — блокировать по хосту в тех протоколах, где это применимо (http/https). И дополнительно не ресолвить запрещенные домены на своем DNS-сервере. Опционально — на DPI блокировать DNS-запросы к запрещенным доменам, но это уже самодеятельность. Мы, например, сейчас так и делаем(http(s) + фильтрация dns-запросов для заблокированных доменов). И почему самодеятельность? Блокировать дополнительно dns-запросы это единственный способ максимально соответствовать требованиям РКН. К тому же в последнем приказе, который сейчас обсуждаем, это явно прописано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба А отвечаете как? Резолвите в IP заглушки, или как-то еще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 18 minutes ago, alibek said: Кроме того, с распространением шифрованного DNS это станет невозможно. Шифрованный это как? Если имеется ввиду DNSSEC, то это только аутентификация данных(подпись ответа сервера самим сервером) - там ничего не шифруется, ни запрос, ни ответ. Поэтому подход с простым дропом запросов(без всяких NXDOMAIN) работает на ура. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 21 марта, 2018 · Жалоба граждане , вы вообще видели как работает коробочка то ? ты хоть запретите ей любые dns она всё равно по своим всё будет проверять и пофиг на ваши . вот все что то затревожились Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 (изменено) · Жалоба 6 minutes ago, myth said: А отвечаете как? Резолвите в IP заглушки, или как-то еще? На dns-запросы? dns-запросы пока просто дропаем и всё. Нефиг с ними церемониться :-). Да и смысла нет делать для dns-запросов заглушки, если это https-запрос - современный браузер ничего не покажет пользователю всё равно. 3 minutes ago, dee said: граждане , вы вообще видели как работает коробочка то ? ты хоть запретите ей любые dns она всё равно по своим всё будет проверять и пофиг на ваши . вот все что то затревожились Коробочка это Ревизор? Изменено 21 марта, 2018 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 21 марта, 2018 · Жалоба Только что, oleg_n сказал: На dns-запросы? dns-запросы пока просто дропаем и всё. Нефиг с ними церемониться :-). Да и смысла нет делать для dns-запросов заглушки, если это https-запрос - современный браузер ничего не покажет пользователю всё равно. Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены. Поэтому nxdomain сделали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет 6 минут назад, oleg_n сказал: если это https-запрос - современный браузер ничего не покажет пользователю всё равно. Нас то не браузер интересует, а доволен ли ревизор... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 4 minutes ago, a290 said: Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены. Поэтому nxdomain сделали. Это их проблемы. Их же не расстреливают на месте, а просто 2 минуты тупит программа. NXDOMAIN, ЕМНИП, не будет работать с dnssec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 21 марта, 2018 · Жалоба 1 минуту назад, myth сказал: На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет Почему? В DPI заворачивается весь исходящий от абонентов UDP 53 - хоть на свои DNS, хоть на 8.8.8.8. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 5 minutes ago, myth said: На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет Не подойдёт что? Мы фильтруем _транзитный_ dns-трафик. Не важно к нашему dns он идёт или ещё куда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба Кстати,я выше поднимал эту тему (про dns-spoofing) и автор ответил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба в extfilter такой функционал был бы не лишним, имхо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 26 minutes ago, alibek said: Однако на подходе DNSCrypt. Почитал про DNSCrypt. Не думаю, что в обозримом будущем это будет проблемой. Это не расширение dns-протокола, нужна установка на клиенте утилиты и мало dnscrypt-серверов пока. Когда это станет проблемой, думаю, РКН просто будет требовать блокировки DNSCrypt-серверов занесением их ip в реестр. В общем, преувеличены опасения относительно DNSCrypt. Пока браузеры это не будут делать сами(типа Яндекс-браузера :-)), проблем с DNSCrypt не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 7 минут назад, myth сказал: в extfilter такой функционал был бы не лишним, имхо +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 21 марта, 2018 · Жалоба 1 час назад, oleg_n сказал: Удобней даже если на 1-10 число. Т.е. по одному реестру из месяца на любое из чисел в дипазоне 1-10. https://yadi.sk/d/WwO1agjA3Tbr9M Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба 1 hour ago, a290 said: Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены. Не некоторые, а виндовые. Называй вещи своими именами. 51 minutes ago, oleg_n said: Пока браузеры это не будут делать сами(типа Яндекс-браузера :-)), проблем с DNSCrypt не будет. Браузер резолвингом сам не занимается, для это есть встроенный в систему/роутер резолвер. Как только появится DNS-over-TLS в роутерах - тогда и начнется. Ну или в винде выкатят всем поддержку (во что я не верю). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 4 minutes ago, LynxChaus said: Браузер резолвингом сам не занимается, для это есть встроенный в систему/роутер резолвер. И кто ему это запрещает делать? Браузерная полиция :-)? Это добровольное решение браузера передавать данную функцию ОС. Если браузеры так же бодро, как с блокированием самоподписных сертификатов, решат всей толпой внедрять DNSCrypt, то они это сделают без проблем. https://yandex.ru/support/browser-classic/security/dnscrypt.xml Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 5 минут назад, oleg_n сказал: сли браузеры так же бодро, как с блокированием самоподписных сертификатов, решат всей толпой внедрять DNSCrypt Тут надо чтобы еще администраторы зон стали бодро внедрять его поддержку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 4 minutes ago, alexwin said: Тут надо чтобы еще администраторы зон стали бодро внедрять его поддержку. :-) Я Вас умоляю. Достаточно гуглу сделать свои серверы dnscrypt(помоему они уже есть) и внедрить dnscrypt в chrome и этого будет достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба Да,кстати,а как у DNSCrypt с маскировкой от DPI? Сигнатуры есть? А если найду? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 (изменено) · Жалоба 35 minutes ago, admf said: https://yadi.sk/d/WwO1agjA3Tbr9M Спасибо! Файл за 2018.01 оказался обрезанным. Есть ещё за 2017.01 - 2017.06? Такой график убывания доли http в реестре получается: Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%. Вопрос, ***а тратить ресурсы на: Quote 1. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации». Изменено 21 марта, 2018 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба 11 minutes ago, oleg_n said: И кто ему это запрещает делать? Браузерная полиция Ага. Особенно в том месте, где надо разрезолвить server.localdomain.corp. Ну и "стринги" в народе не популярны, и предлагают опять-же свой сервер. А я вот не хочу пользоваться ихним сервером - что мне делать? И браузером тоже. Just now, alexwin said: DNSCrypt с маскировкой от DPI? Сигнатуры есть? ntop умеет. значит - есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...