1. Для блокировка используем

[admf]

Только что, oleg_n сказал:

Спасибо!

Файл за 2018.01 оказался обрезанным. Есть ещё за 2017.01 - 2017.06?

Такой график убывания доли http в реестре получается:

 

есть все начиная с 2014 года, сейчас перекачаю с сервера, залью по новой.

[LynxChaus]

8 minutes ago, oleg_n said:

Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%.

К этому всё сразу и шло. И в 12 году было понятно, что всё плавно переедет под https/tor/даркнет, а у провайдера останется крутейший фильтр от аффилированной конторы за дохреллион бабла.

8 minutes ago, oleg_n said:

Вопрос, ***а тратить ресурсы на:

Для волшебной коробки. Чтоб отчеты были красивые.

 

Изменено 21 марта, 2018 пользователем LynxChaus

[oleg_n]

5 minutes ago, LynxChaus said:

Ага. Особенно в том месте, где надо разрезолвить server.localdomain.corp.

Это легко можно решить как с настройкой прокси в браузерах. По-умолчанию, dnscrypt включен для всех сайтов. Если надо, добавляете домен/маску_домена в исключения. Для организаций этого хватит. Я не говорю, что так и будет, я говорю, что если google и прочие этого захотят, то сделают. Сколько было воплей от обладателей самоподписных сертификатов, когда браузеры вдруг разом перестали пускать на сайты с ними и что?

 

7 minutes ago, LynxChaus said:

А я вот не хочу пользоваться ихним сервером - что мне делать?

  Ради бога. Возможно будет флажок, отключающий это. Но по-умолчанию он будет снят :-).

 

8 minutes ago, LynxChaus said:

И браузером тоже.

  Это хорошо. Но большинство пользует chrome/firefox/ie/safari. И если туда добавят что-то, то это будет у всех почти.

 

6 minutes ago, LynxChaus said:

15 minutes ago, oleg_n said:

Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%.

К этому всё сразу и шло. И в 12 году было понятно, что всё плавно переедет под https/tor/даркнет, а у провайдера останется крутейший фильтр от аффилированной конторы за дохреллион бабла.

 

В 12 не думаю. А вот когда браузеры поубирали работу с самоподписными сертификатами, плюс google обещал отдавать приоритет https-сайтам, плюс подъехали как бы случайно letencrypt, тогда и стало очевидно что будет дальше :-). Я мож маньячу, но как-то это странно совпало с внедрением фильтрации по РКН-реестрам и выглядит как ответный ход :-). Но, это я, наверное, надумал :-).

 

 

[rm_]

34 minutes ago, oleg_n said:

Достаточно гуглу сделать свои серверы dnscrypt(помоему они уже есть) и внедрить dnscrypt в chrome и этого будет достаточно.

Насчёт DNSCrypt у гугла пока вроде бы не слышно, у гугла будет DNS over HTTPS.

И уже есть.

https://developers.google.com/speed/public-dns/docs/dns-over-https

https://groups.google.com/forum/#!topic/public-dns-announce/p2iYauFuzIg

Это называется доигрались доперехватывались DNS, гугл сказал так, на*уй хватит.

В Firefox уже выкатывают, ну не без перегибов на местах: http://www.opennet.ru/opennews/art.shtml?num=48303

 

Изменено 21 марта, 2018 пользователем rm_

[LynxChaus]

6 minutes ago, oleg_n said:

Это легко можно решить как с настройкой прокси в браузерах. По-умолчанию, dnscrypt включен для всех сайтов. Если надо, добавляете домен/маску_домена в исключения. Для организаций этого хватит.

Для организаций у который больше 3х компьютеров - проще настроить DNSCrypt в одном роутере. У которых тысячи - в сервере торчащем наружу. Плясать с GPO вокруг настроек разнообразных изделий на основе хромиума и подобных - бесперспективняк.

 

Вот пресс-релиз https://rkn.gov.ru/press/publications/news55998.htm гораздо более занятный. Вангую увеличение записей с blocktype=ip в ближайшие недели. Будет как с балкберри. Только вот куда побегут все гос-органы сидящие на этом-же телеграмме...

[alexwin]

10 минут назад, LynxChaus сказал:

Только вот куда побегут все гос-органы сидящие на этом-же телеграмме...

А что они к нему прибиты гвоздями? Куда скажут,туда и перебегут.

[Kolunchik]

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

[alexwin]

39 минут назад, LynxChaus сказал:

Для волшебной коробки. Чтоб отчеты были красивые

Да,имитация бурной деятельности давно уже стала стилем работы на всех уровнях.

 

43 минуты назад, LynxChaus сказал:

ntop умеет. значит - есть.

Тогда можно расслабляться. Пока.

 

Цитата

Существуют два теоретических способа блокировки интернет- и мобильных сервисов, рассказывает сотрудник сотового оператора. Первый – блокировать конкретные IP-адреса сервисов, что может быть затруднительно, если у сервиса их много или он способен их быстро менять. Второй – с помощью оборудования DPI (Deep packet inspection), которое способно вычленять отдельные сервисы во всем массиве трафика и снижать пропускную способность канала для этих сервисов, продолжает собеседник «Ведомостей». Но как это может выглядеть на практике – не известно: подобного тестирования не проводилось, отмечает он.

Я тут ранее приводил документик 2012 года с описанием того,как китайский файерволл блочит тор. Работает в кратце это так: dpi выявляет сигнатуры тор-трафика (коннект к бриджу),потом на его дестинейшн аддресс набегают боты (мимикрирующие под тор-клиенты) и пытаются законектиться.Если бридж ответил,его айпишник попадает в бан. Лечение: обфускация трафика тор-клиента,чтобы наипать dpi (obfsproxy).

Изменено 21 марта, 2018 пользователем alexwin

[oleg_n]

8 minutes ago, Kolunchik said:

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

Аха. Песня просто :-). Кто не делал до сих пор фильтрацию dns, может и не начинать :-D. Хотя, что б Ревизор был спокоен возможно стоит.

Осталось гуглу подтянуться и >50% пользователей покрыто. А провайдеры страны, учитывая падающую к 0% долю http в реестре, остануться только с блокировкой по sni + ip.

[alexwin]

23 минуты назад, oleg_n сказал:

Хотя, что б Ревизор был спокоен возможно стоит

Заставят блочить эти сервера по IP/SNI (но вроде как на горизонте замаячил encrypted SNI). Тут наверное потом только белый список интернетов либо MiTM госуровня. Но судя по тому,как резко ринулись после выборов [на Telegram],[это] уже не кажется фантастикой.

Изменено 21 марта, 2018 пользователем alexwin

[oleg_n]

29 minutes ago, alexwin said:

Я тут ранее приводил документик 2012 года с описанием того,как китайский файерволл блочит тор. Работает в кратце это так: dpi выявляет сигнатуры тор-трафика (коннект к бриджу),потом на его дестинейшн аддресс набегают боты (мимикрирующие под тор-клиенты) и пытаются законектиться.Если бридж ответил,его айпишник попадает в бан. Лечение: обфускация трафика тор-клиента,чтобы наипать dpi (obfsproxy).

  Да бросьте. Лечение - мамкиному школьнику дать пи#дюлей, что б не маялся фигнёй. Работать надо, делом заниматься. Какой нафиг тор? Что люди и от кого скрывают-то? Маразм какой-то.

 

10 minutes ago, alexwin said:

Заставят блочить эти сервера по SNI (IP). Но вроде как на горизонте замаячил encrypted SNI.

  Посмотрел. Кошмар какой. Если будет оно(что-то с 2015 ковыряют и пока тихо и отл.), то это пипец. Только ip останется.

 

12 minutes ago, alexwin said:

Но судя по тому,как резко ринулись после выборов (на Telegram),уже не кажется фантастикой.

  Пашка Дуров как всегда, думает, что он не такой как все. Заблочат нах#р telegram и не будет у него аудитории из России. Ну и туда ему и дорога.

[alexwin]

1 минуту назад, oleg_n сказал:

Да бросьте. Лечение - мамкиному школьнику дать пи#дюлей, что б не маялся фигнёй. Работать надо, делом заниматься. Какой нафиг тор? Что люди и от кого скрывают-то? Маразм какой-то.

Не понял вас? Я вам сжатое содержание документа привел.

[oleg_n]

Провайдерам Интернет надо давать. Коммутаторы, серваки выбирать. Повышать качество услуг. А приходится какой-то фигнёй страдать и огребать штрафы из-за подобных дебилов, которые мужественно пытаются обходить блокировки РКН. Запарило это уже. Работы не в проворот.

[alexwin]

1 час назад, oleg_n сказал:

Пашка Дуров как всегда, думает, что он не такой как все. Заблочат нах#р telegram и не будет у него аудитории из России

От интересно, он идейный или все же меркантильные интересы возьмут верх? Прям с нетерпением жду развязки.

 

Изменено 21 марта, 2018 пользователем alexwin

[oleg_n]

14 minutes ago, alexwin said:

Не понял вас? Я вам сжатое содержание документа привел.

Да эт я про странных людей, которые носятся с encryption everywhere, при том, что им и скрывать-то нечего(как правило школьники или студенты, которым заняться нечем). Кому надо скрывать, те полагаться на шифрование telegram и т.п. не будут. У них свои примочки.

[alexwin]

19 минут назад, oleg_n сказал:

(как правило школьники или студенты, которым заняться нечем)

Да необязательно,вон к примеру Столлман,он хоть не студент и не школьник уже,и не за крипту,но тоже за Идею.

 

19 минут назад, oleg_n сказал:

Кому надо скрывать, те полагаться на шифрование telegram и т.п. не будут. У них свои примочки.

Эт верно. Даже просто банально доверять какие-то сверхсекретные данные какому-то сервису,владельцем которого является гражданское лицо,иными словами,лицо "подневольное". Где например 100500% гарантия,что тот же Дуров не сдал уже все что надо ЦРУ там и либо кому еще. Нет,я не утверждаю это,я просто обращаю внимание на риски,сопряженные с пользованием подобных сервисов (здравый смысл). Этот сервис,по сути,некая черная коробка (как он внутри устроен знает только Дуров и его разработчики),куда вы суете свои секретные и не очень данные. Несурьезно это как-то для профессиональных шпиенов.

 

P.S. Хотя нет,Столлман тоже осуждаэ.

P.P.S

Цитата

Итак, почему вы не должны использовать (читай — использоваться) Facebook. У меня никогда не было аккаунта в фейсбуке. Там есть пользователь с таким именем, но это какой-то самозванец. Публикация чьей-то фотографии в фейсбуке (или инстаграме) способствует слежке за этим человеком. Пожалуйста не публикуйте мои фотографии, равно как и чьи бы то ни было. (англ. яз.)

А это уж че-то смахивает на манию преследования.

Изменено 21 марта, 2018 пользователем alexwin

[LynxChaus]

К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет.

[SokolovS]

Мне кажется простейшее решение это использование ответов DNS CNAME (с указанием чего-то типа fz139.mydomain.ru) для заблокированных ресурсов в т.ч и заблокированных только по домену или DNS RPZ для того же самого. Формально по всем протоколам ресурс будет заблочен. Дополнительно перенаправлять DNS трафик на свои сервера, лучше по round-robin. Мы так и делаем, правда не перенаправляем на свой DNS. Причем мы так делаем даже если блокировка только URL, а там указано http://block.ru/.

 

3 минуты назад, LynxChaus сказал:

К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет.

Проскакивал пару раз. Постоянно добавляют IP адреса и домены в него, сама запись от 24 октября 2017, а записи постоянно пополняют. Я вот думаю им кто-нибудь посоветует заблочить весь *.compute-1.amazonaws.com? Это ведь всё поддомены одного пользователя нафига блокировать каждый, там их уже пи..дец сколько.

[oleg_n]

4 minutes ago, SokolovS said:

Мне кажется простейшее решение это использование ответов DNS CNAME (с указанием чего-то типа fz139.mydomain.ru) для заблокированных ресурсов в т.ч и заблокированных только по домену или DNS RPZ для того же самого.

  Это не работает для dnssec и https.

 

6 minutes ago, SokolovS said:

Формально по всем протоколам ресурс будет заблочен.

  Это понятно, что "формально". Но в приказе такой формулировки нет :-). И если человек использует dnscrypt, dns over https или банальный hosts, то фильтрация dns ни в каком виде работать не будет. И "ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам" не работает.

[LynxChaus]

6 minutes ago, SokolovS said:

Проскакивал пару раз.

Это вчерашняя запись. И не про амазон. Кто бы сказал, что они на амазоне с таким упорством гоняют..

[oleg_n]

Я имею ввиду, что уточнения в данном приказе не имеют смысла и польностью не выполнимы. Кто-то фильтрует dns, кто-то нет, кто-то просто дропает пакеты, кто-то перенаправляет на страницу с инфой о блокировке. Как-то всё это работает. И надо успокоиться и думать о грядущих dnscrypt, dns over https, encrypted sni, а не заниматься фигнёй и не подкидывать  провайдерам новые квесты.

 

15 minutes ago, LynxChaus said:

К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет.

У меня за последнии 3 дня таких пропусков не было.

[alexwin]

4 минуты назад, oleg_n сказал:

польностью не выполнимы

Чебурнет без вас обойдется,если не могете - сдавайте лицензию )))

[SokolovS]

1 минуту назад, oleg_n сказал:

 Это не работает для dnssec и https.

Это понятно, что "формально". Но в приказе такой формулировки нет :-). И если человек использует dnscrypt, dns over https или банальный hosts, то фильтрация dns ни в каком виде работать не будет. И "ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам" не работает.

Не понял, почему не работает для https? Что https ресурсы не требуют резольвинга? А уже на своем сервере сделать в nginx return 444; (сброс соединения) проблем не вызовет. Опять же любые параметры, которые не соответствуют договорным должны считаться "нестандартными настройками". Или вы будете сами настаивать на использовании dnssec по договору?

[LynxChaus]

7 minutes ago, oleg_n said:

У меня за последнии 3 дня таких пропусков не было.

Это вопрос времени. Конкретно в этой записи URL больше 1024 байт, который не лезет в то, что максимально возможно у nfqfilter/extfilter

/**
 * Maximum accepted length of search/replace pattern
 */
#define AC_PATTRN_MAX_LENGTH 1024

 

[alexwin]

2 минуты назад, LynxChaus сказал:

Это вопрос времени. Конкретно в этой записи URL больше 1024 байт, который не лезет в то, что максимально возможно у nfqfilter/extfilter

/**
 * Maximum accepted length of search/replace pattern
 */
#define AC_PATTRN_MAX_LENGTH 1024

 

Думаете,мамкины хактивисты уже ищут дыры? Константу поправить на 2048 приватное значение > 1024 и перекомпилять.

Изменено 21 марта, 2018 пользователем alexwin