Перейти к содержимому
Калькуляторы

Алексей Навальный vs реестр Роскомнадзора

Изначально создал тему на WeCanTrust.net, но учитывая что тот форум мертв чуть более чем полностью, дублирую тут. Ибо накипело.

 

Технические специалисты работающие с реестром Роскомнадзора уже должны были заметить, что относительно новых рекомендаций Роскомнадзора по фильтрации нежелательного контента на сетях операторов связи, неявно объявлена война. Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте...

 

Всё это приводит к одному из двух событий:

 

Сценарий 1. Если оператор связи вольно трактовал рекомендации и решил что можно просто резолвить доменное имя в IP-адрес и указанные адреса блокировать, то такие сайты оказываются недоступными. Так например, c 19.03.2014 по 20.03.2014 наша компания не могла выгрузить реестр Роскомнадзора, как выяснилось блокировка осуществлялась на сети Ростелеком. После разбирательств, выгрузка заработала, однако до полного восстановления связи с сайтом vigruzki.rkn.gov.ru дело не дошло, так например у нас до сих пор (02.04.2014) данный сайт не пингуется и даже не трассируется, работает только выгрузка по 80му порту, а ответ нашего поставщика был таков:

Именно об этом нам Ростелеком и сообщил:

 

"Добрый день, весь трафик для этого ресурса проходит фильтрацию. Глобально UDP и ICMP закрыт, но мы добавили IP 37.29.106.217 в список разрешенных.

Проверьте пожалуйста еще раз."

 

Сценарий 2. Допустим оператор связи правильно понял рекомендации и даже смог их выполнить (резолвить домены в IP, добавлять маршруты на DPI)? тогда трафик таких сайтов пошел на DPI и систему фильтрации. Роскомнадзор полагает что фильтруемого трафика будет не много. Но учел ли Роскомнадзор, что таким образом можно направить на DPI большой объем трафика от легальных сайтов? Вот возьмем например Вконтакте, состоит он из множества серверов, какие-то отвечают за отдачу HTML-кода (который не дает много трафика), это сам vk.com, а есть и отдельные сервера отдающие медиаконтент (картинки, музыка и видео) и вот они то дадут существенный поток трафика если их направить на DPI (прим. о чем некоторые и сообщают http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=951292 , но им повезло что это был только vk.com, а не его медиа-контент)

 

Далее, а не подумали вы, о том, что таким образом можно направить не только тяжелый медиаконтент, но и к примеру такой критичный трафик, как трафик корневых DNS-серверов? К примеру, кто знает сервера отвечающие за зону .RU ? узнать это достаточно просто

alex@shade:~> nslookup -type=NS ru
Server:         10.19.3.4
Address:        10.19.3.4#53

Non-authoritative answer:
ru      nameserver = f.dns.ripn.net.
ru      nameserver = a.dns.ripn.net.
ru      nameserver = e.dns.ripn.net.
ru      nameserver = d.dns.ripn.net.
ru      nameserver = b.dns.ripn.net.

Что будет если Навальный или его последователь, в заблокированном домене добавит запись CNAME ссылающися на домены a.dns.ripn.net, e.dns.ripn.net, d.dns.ripn.net, b.dns.ripn.net, f.dns.ripn.net ? а произойдет скорее всего то, что часть или даже почти все сайты зоны .RU станут не доступны, и скорее всего даже у тех операторов связи которые не использовали рекомендации Роскомнадзора и не пытались самостоятельно преобразовывать доменные имена в IP и блокирует только по тем адресам которые указаны в реестре.

 

А если так поступить с корневыми серверами? тогда в российском сегменте интернета колбасить будет почти все сайты.

alex@shade:~> nslookup -type=NS .
Server:         10.19.3.4
Address:        10.19.3.4#53

Non-authoritative answer:                                                                                                                                                           
.       nameserver = h.root-servers.net.                                                                                                                                            
.       nameserver = d.root-servers.net.                                                                                                                                            
.       nameserver = g.root-servers.net.                                                                                                                                            
.       nameserver = i.root-servers.net.                                                                                                                                            
.       nameserver = l.root-servers.net.                                                                                                                                            
.       nameserver = k.root-servers.net.                                                                                                                                            
.       nameserver = b.root-servers.net.                                                                                                                                            
.       nameserver = e.root-servers.net.                                                                                                                                            
.       nameserver = f.root-servers.net.
.       nameserver = j.root-servers.net.
.       nameserver = a.root-servers.net.
.       nameserver = c.root-servers.net.
.       nameserver = m.root-servers.net.

 

Далее, я наблюдаю, что многие крупные сайты тоже сделали свой ответный ход и полностью переходят на протокол HTTPS, в их числе google.com, facebook.com, twitter.com, vk.com. Youtube.com пока ещё доступен и по HTTP и по HTTPS, но полагаю не за горами то время когда они полностью перейдут на HTTPS. К чему это приведет? а привет к тому, что ваш DPI не сможет фильтровать по URL, т.к. в протоколе HTTPS URL шифруется вместе со всем остальным контентом. У вас будет выбор, либо смириться что фильтрация по URL не возможна, либо блокировать ресурс целиком. Интересно, каковы будут рекомендации Роскомнадзора в этом случае?

 

Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

walex, вы в самом деле не понимаете? Да пофигу там, будет что открываться или не будет. Главная цель - задавить "неудобные" ресурсы, а сколько % лишнего при этом попадёт под раздачу - абсолютно всё равно. Хоть 99,9%, всё лучше, ибо чего там в этих интернетах (по мысли властей) есть? Да кроме СР, наркоты и клеветы ничего - вот и славно. Госуслуги? Обойдутся, сходят ножками, в очереди постоят, а то привыкли, понимаешь. Реестр? А вот это никого не волнует, как хотите так и скачивайте, хоть голубями вон - RFC есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отлично же. пусть будет больше адЪа. бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

 

по мне так за эту неделю навальный сделал куда больше для совершенствования законодательства, чем провайдеры, которые год сиськи мяли (с нулевым результатом). а их предупреждали, что надо брать инициативу в свои руки, что надо возглавить. они же подумали что пронесет. пронесло?

 

а теперь надо абонентов обучать пользоваться кнопочкой турбо и ВПНами. абоненты умные, они справятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал

[sarcasm mode on]

Пишите письма депутатам. Что-то вроде 'существование списка и системы блокировки дает врагам России инструмент, которым они, пользуясь нашими же руками, наносят нам вред'.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лично у меня есть желание зарегать несколько тысяч доменов и направить на зеркала навального. и ждать пока DPI операторов загнется. ибо нефиг. задача то понятная и недорогая ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вуди емнимп все DPI держат 250к url,так что вам надо будет очень постараться чтобы превысить лимит ))

да и потом реестр все это фигня - а вот грядущий сорм-3 это простите будет полный абзац

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Как бывший сотрудник одного из госорганов, я думаю они есть, они могут и они думают. Только толку? Это вы так лихо раскрыли все баги данного механизма, походу печатания поста наверняка решая проблемы которые сыпятся по корппочте. А в госструктуре айтишник может делать только то, что уже разрешено регламентами инструкциями и законами, шаг влево шаг вправо - натыкаешься на тупую стену непонимания со всех сторон и на беспощадное обрубание всех твоих инициатив и идей.

 

И да - всем наплевать что механизм в итоге получился дырявый. Никто никогда не признает что в очередной раз приняли далекий от идеала закон. И уж точно никто никогда ни перед кем не извинится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лично у меня есть желание зарегать несколько тысяч доменов и направить на зеркала навального. и ждать пока DPI операторов загнется. ибо нефиг. задача то понятная и недорогая ;)

экстремизм? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

walex Свяжитесь с Артёмом, который Temych - я думаю, он не откажется от какой-то помощи. Пока ещё ему хватает терпения с этим воевать - почему не посодействовать.

 

 

отлично же. пусть будет больше адЪа. бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

 

Надеетесь? Ваше право. Но что-то тренд пока не вселяет оптимизма. ;)

 

П. С. Политике всё равно, что входит в ваши задачи, а что нет. Если уж накрыло - ну, накрыло, вот так уж.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что будет если Навальный или его последователь, в заблокированном домене добавит запись CNAME ссылающися на

УК РФ статья 272 часть 2.

УК РФ статья 274 часть 2.

 

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

 

 

абоненты умные, они САМИ справятся.

Вот и не надо лезть в ЭТУ политику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

УК РФ статья 272 часть 2.

УК РФ статья 274 часть 2.

Это его еще поймать надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и не надо лезть в ЭТУ политику.

абоненты то мне звонят :) я то поставлю им оперу, научу кнопку турбо нажимать. но это не отменяет бредовости законов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

УК РФ статья 272 часть 2.

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

Доказать неправомерность не получится. Мой домен. Я сам себе права и выдал.

УК РФ статья 274 часть 2.

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -

Это какие правила такое действие нарушает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по мне так за эту неделю навальный сделал куда больше для совершенствования законодательства, чем провайдеры, которые год сиськи мяли (с нулевым результатом).

тут полностью согласен

 

бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

надо чтобы интернет лег быстрее, тогда быстрее починят =)

 

А что вы думаете про HTTPS? youtube.com как попал в реестр, так там и сидит, что если они сделают доступ чисто через HTTPS? Сомневаюсь что какой-либо DPI способен разобрать HTTPS и выдрать URL, сама возможность этого компроментирует и HTTPS и SSL/TLS. Тогда придется блокировать youtube.com полностью?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

грядущий сорм-3 это простите будет полный абзац

 

реестр фигня: большинство абонентов этих блокировок не видит, а операторы поставят dpi и успокоются. Ростелек конкурс провел, так что до конца года у них тоже будет

сорм-3 фигня: разрешат конкуренцию и будет дешевле чем сорм-2

вот сорм-4 это да, только смогут ли потянуть? спецов таких мало

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это его еще поймать надо.

Полицейский и прокурорский аппарат обычно медлительны, так что я не думаю что какая то их реакция будет видна быстро. Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего.

 

Это какие правила такое действие нарушает?

 

ок. 272 на первый взгляд спорно.

Доказать неправомерность не получится. Мой домен. Я сам себе права и выдал.

 

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

Я думаю суть тут в том, что редирект сделан на домен роскомнадзора, а не на их IP. А домен под определение "охраняемой законом компьютерной информации" попадает 100%

 

274 более чем определенно:

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -

 

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

 

Собственно навальному только это и надо, чтобы миллионы узнали о нем и не забывали. Кого для этого забрызгать фекалиями - не имеет значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Полицейский и прокурорский аппарат обычно медлительны, так что я не думаю что какая то их реакция будет видна быстро. Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего.

Друзья могут быть не в России и вообще гражданами США. Или Украины. А сам Леша как бы вообще никаких действий не совершал. Он под арестом сидит и к сетям связи доступа не имеет.

А домен под определение "охраняемой законом компьютерной информации" попадает 100%

А где тут неправомерный доступ? Ну вот хочу я, чтобы мой домен xxx.yyy.zzz на их сайт вел. ЧСВ у меня от этого увеличивается.

 

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

Пострадали. Но какие правила нарушались?

EDIT: Вообще-то не уверен от действий навального пострадали. Это же навальный и ко блокировали что не надо, а дурные провайдеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

Не сомневаюсь что суд именно так и посчитает, но по факту это просчет схемы. Роскомнадзор предложил рекомендации, выполнить их на 100% сразу не смог почти никто (интересно есть ли те, кто может гордо заявить что он 100% выполнил рекомендации?) и на практике схема оказалась уязвимой. С одной стороны в рекомендациях нет ошибки, ошибка в реализации. Почему в реализации ошибка? потому что нет возможности в одно мгновение взять и реализовать, для многих это требует капитальных затрат.

 

Но Роскомназор уже бдит. По началу мы не резолвили домены, потом когда Роскомнадзор стал на нас наезжать - попробовали резолвить и блочить - заблочилось то, что не должно было блочиться. Писали в поддержку реестра - нам ответили, мол если не можете фильтровать по URL, то вы не должны резолвить домены и должны блокировать только те IP которые в реестре - вернули обратно и при очередной проверке к нам снова претензии - вы не блочите всех сайтов - начинаем разбираться, а у сайтов про которые они гонят IP отличается от того, что в реестре. И как нам быть?

 

Смысл пункта 4.3 рекомендаций:

 

1) определяем host по URL

2) определяем по текущей DNS ip-адрес для host (НЕ БЛОКИРУЕМ определенный ip на этом этапе!!!)

3) все пакеты с ip, определенными на этапе 2, перенаправляем на фильтрацию

4) определяем URL в пакете на фильтрацию, если он (URL) в списке на блокировку, то пакет блокируем

5) все остальные пакеты пропускаем (даже те, которые содержат IP с этапа 2, но URL в которых не соответствует запрещенному)

 

Если оператор связи не может выделять URL из пакета на этапе 4, то он должен блокировать только те IP, которые указаны в выгрузке в явном виде.

© Александр Неклюдов <a.nekludov@e-soft.ru>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу страшилок с корневыми DNS. Чтобы это сработало, надо, чтобы на фильтрующие/блокирующие сервера уходил не http протокол. Это, прошу прощения, уже явно косяк оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу страшилок с корневыми DNS. Чтобы это сработало, надо, чтобы на фильтрующие/блокирующие сервера уходил не http протокол. Это, прошу прощения, уже явно косяк оператора.

В рекомендации упоминается что нужно создавать маршрут, т.е. заворачивается ВЕСЬ трафик, по всем протоколам. Более, того, как в случае с Ростелкомом - трафик завернули весь, отфильтровали только 80 порт, а ICMP и UDP выкинули в /dev/null. Думаю не стоит напоминать что DNS работает на 53 порту по UDP. Так что если сослаться на корневой NS-севрер, то ляжет почти наверняка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В рекомендации упоминается что нужно создавать маршрут, т.е. заворачивается ВЕСЬ трафик, по всем протоколам.

Ну и пусть заворачивается. Не http - пропускаем дальше.

 

Более, того, как в случае с Ростелкомом - трафик завернули весь, отфильтровали только 80 порт, а ICMP и UDP выкинули в /dev/null.

Та часть, что 'ICMP и UDP выкинули в /dev/null' и означает 'косяк оператора'.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

спасибо за идею. надо еще на нестандартных портах несколько зеркал разместить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Та часть, что 'ICMP и UDP выкинули в /dev/null' и означает 'косяк оператора'.

Что-то мне подсказывает, что таких операторов будет достаточно... Один Ростелеком чего стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

ну это же прекрасно. наконец то весь энторнет станет колом изза тупости властей. и народ выйден на майдан а путлера замочат в канализации..

 

фейсбук не держит подменов а только имена пользователей через слэш это отфильтроровать сложнее.

ЖЖ с поддоменами это попроще да ЖЖ само по наезду РКН само закроет страницу. вместо ЖЖ есть navalny.us

если и его заблокирует то Навальному надо выставить CNAME указав на корневые днс зоны ру как советовал автор.

Изменено пользователем netime

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.