Jump to content
Калькуляторы

Алексей Навальный vs реестр Роскомнадзора

Изначально создал тему на WeCanTrust.net, но учитывая что тот форум мертв чуть более чем полностью, дублирую тут. Ибо накипело.

 

Технические специалисты работающие с реестром Роскомнадзора уже должны были заметить, что относительно новых рекомендаций Роскомнадзора по фильтрации нежелательного контента на сетях операторов связи, неявно объявлена война. Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте...

 

Всё это приводит к одному из двух событий:

 

Сценарий 1. Если оператор связи вольно трактовал рекомендации и решил что можно просто резолвить доменное имя в IP-адрес и указанные адреса блокировать, то такие сайты оказываются недоступными. Так например, c 19.03.2014 по 20.03.2014 наша компания не могла выгрузить реестр Роскомнадзора, как выяснилось блокировка осуществлялась на сети Ростелеком. После разбирательств, выгрузка заработала, однако до полного восстановления связи с сайтом vigruzki.rkn.gov.ru дело не дошло, так например у нас до сих пор (02.04.2014) данный сайт не пингуется и даже не трассируется, работает только выгрузка по 80му порту, а ответ нашего поставщика был таков:

Именно об этом нам Ростелеком и сообщил:

 

"Добрый день, весь трафик для этого ресурса проходит фильтрацию. Глобально UDP и ICMP закрыт, но мы добавили IP 37.29.106.217 в список разрешенных.

Проверьте пожалуйста еще раз."

 

Сценарий 2. Допустим оператор связи правильно понял рекомендации и даже смог их выполнить (резолвить домены в IP, добавлять маршруты на DPI)? тогда трафик таких сайтов пошел на DPI и систему фильтрации. Роскомнадзор полагает что фильтруемого трафика будет не много. Но учел ли Роскомнадзор, что таким образом можно направить на DPI большой объем трафика от легальных сайтов? Вот возьмем например Вконтакте, состоит он из множества серверов, какие-то отвечают за отдачу HTML-кода (который не дает много трафика), это сам vk.com, а есть и отдельные сервера отдающие медиаконтент (картинки, музыка и видео) и вот они то дадут существенный поток трафика если их направить на DPI (прим. о чем некоторые и сообщают http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=951292 , но им повезло что это был только vk.com, а не его медиа-контент)

 

Далее, а не подумали вы, о том, что таким образом можно направить не только тяжелый медиаконтент, но и к примеру такой критичный трафик, как трафик корневых DNS-серверов? К примеру, кто знает сервера отвечающие за зону .RU ? узнать это достаточно просто

alex@shade:~> nslookup -type=NS ru
Server:         10.19.3.4
Address:        10.19.3.4#53

Non-authoritative answer:
ru      nameserver = f.dns.ripn.net.
ru      nameserver = a.dns.ripn.net.
ru      nameserver = e.dns.ripn.net.
ru      nameserver = d.dns.ripn.net.
ru      nameserver = b.dns.ripn.net.

Что будет если Навальный или его последователь, в заблокированном домене добавит запись CNAME ссылающися на домены a.dns.ripn.net, e.dns.ripn.net, d.dns.ripn.net, b.dns.ripn.net, f.dns.ripn.net ? а произойдет скорее всего то, что часть или даже почти все сайты зоны .RU станут не доступны, и скорее всего даже у тех операторов связи которые не использовали рекомендации Роскомнадзора и не пытались самостоятельно преобразовывать доменные имена в IP и блокирует только по тем адресам которые указаны в реестре.

 

А если так поступить с корневыми серверами? тогда в российском сегменте интернета колбасить будет почти все сайты.

alex@shade:~> nslookup -type=NS .
Server:         10.19.3.4
Address:        10.19.3.4#53

Non-authoritative answer:                                                                                                                                                           
.       nameserver = h.root-servers.net.                                                                                                                                            
.       nameserver = d.root-servers.net.                                                                                                                                            
.       nameserver = g.root-servers.net.                                                                                                                                            
.       nameserver = i.root-servers.net.                                                                                                                                            
.       nameserver = l.root-servers.net.                                                                                                                                            
.       nameserver = k.root-servers.net.                                                                                                                                            
.       nameserver = b.root-servers.net.                                                                                                                                            
.       nameserver = e.root-servers.net.                                                                                                                                            
.       nameserver = f.root-servers.net.
.       nameserver = j.root-servers.net.
.       nameserver = a.root-servers.net.
.       nameserver = c.root-servers.net.
.       nameserver = m.root-servers.net.

 

Далее, я наблюдаю, что многие крупные сайты тоже сделали свой ответный ход и полностью переходят на протокол HTTPS, в их числе google.com, facebook.com, twitter.com, vk.com. Youtube.com пока ещё доступен и по HTTP и по HTTPS, но полагаю не за горами то время когда они полностью перейдут на HTTPS. К чему это приведет? а привет к тому, что ваш DPI не сможет фильтровать по URL, т.к. в протоколе HTTPS URL шифруется вместе со всем остальным контентом. У вас будет выбор, либо смириться что фильтрация по URL не возможна, либо блокировать ресурс целиком. Интересно, каковы будут рекомендации Роскомнадзора в этом случае?

 

Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Share this post


Link to post
Share on other sites

walex, вы в самом деле не понимаете? Да пофигу там, будет что открываться или не будет. Главная цель - задавить "неудобные" ресурсы, а сколько % лишнего при этом попадёт под раздачу - абсолютно всё равно. Хоть 99,9%, всё лучше, ибо чего там в этих интернетах (по мысли властей) есть? Да кроме СР, наркоты и клеветы ничего - вот и славно. Госуслуги? Обойдутся, сходят ножками, в очереди постоят, а то привыкли, понимаешь. Реестр? А вот это никого не волнует, как хотите так и скачивайте, хоть голубями вон - RFC есть.

Share this post


Link to post
Share on other sites

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

Share this post


Link to post
Share on other sites

отлично же. пусть будет больше адЪа. бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

 

по мне так за эту неделю навальный сделал куда больше для совершенствования законодательства, чем провайдеры, которые год сиськи мяли (с нулевым результатом). а их предупреждали, что надо брать инициативу в свои руки, что надо возглавить. они же подумали что пронесет. пронесло?

 

а теперь надо абонентов обучать пользоваться кнопочкой турбо и ВПНами. абоненты умные, они справятся.

Share this post


Link to post
Share on other sites

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал

[sarcasm mode on]

Пишите письма депутатам. Что-то вроде 'существование списка и системы блокировки дает врагам России инструмент, которым они, пользуясь нашими же руками, наносят нам вред'.

Share this post


Link to post
Share on other sites

лично у меня есть желание зарегать несколько тысяч доменов и направить на зеркала навального. и ждать пока DPI операторов загнется. ибо нефиг. задача то понятная и недорогая ;)

Share this post


Link to post
Share on other sites

вуди емнимп все DPI держат 250к url,так что вам надо будет очень постараться чтобы превысить лимит ))

да и потом реестр все это фигня - а вот грядущий сорм-3 это простите будет полный абзац

Share this post


Link to post
Share on other sites
Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Как бывший сотрудник одного из госорганов, я думаю они есть, они могут и они думают. Только толку? Это вы так лихо раскрыли все баги данного механизма, походу печатания поста наверняка решая проблемы которые сыпятся по корппочте. А в госструктуре айтишник может делать только то, что уже разрешено регламентами инструкциями и законами, шаг влево шаг вправо - натыкаешься на тупую стену непонимания со всех сторон и на беспощадное обрубание всех твоих инициатив и идей.

 

И да - всем наплевать что механизм в итоге получился дырявый. Никто никогда не признает что в очередной раз приняли далекий от идеала закон. И уж точно никто никогда ни перед кем не извинится.

Share this post


Link to post
Share on other sites

лично у меня есть желание зарегать несколько тысяч доменов и направить на зеркала навального. и ждать пока DPI операторов загнется. ибо нефиг. задача то понятная и недорогая ;)

экстремизм? :)

Share this post


Link to post
Share on other sites

walex Свяжитесь с Артёмом, который Temych - я думаю, он не откажется от какой-то помощи. Пока ещё ему хватает терпения с этим воевать - почему не посодействовать.

 

 

отлично же. пусть будет больше адЪа. бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

 

Надеетесь? Ваше право. Но что-то тренд пока не вселяет оптимизма. ;)

 

П. С. Политике всё равно, что входит в ваши задачи, а что нет. Если уж накрыло - ну, накрыло, вот так уж.

Share this post


Link to post
Share on other sites
Что будет если Навальный или его последователь, в заблокированном домене добавит запись CNAME ссылающися на

УК РФ статья 272 часть 2.

УК РФ статья 274 часть 2.

 

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

 

 

абоненты умные, они САМИ справятся.

Вот и не надо лезть в ЭТУ политику.

Share this post


Link to post
Share on other sites
Вот и не надо лезть в ЭТУ политику.

абоненты то мне звонят :) я то поставлю им оперу, научу кнопку турбо нажимать. но это не отменяет бредовости законов.

Share this post


Link to post
Share on other sites

УК РФ статья 272 часть 2.

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

Доказать неправомерность не получится. Мой домен. Я сам себе права и выдал.

УК РФ статья 274 часть 2.

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -

Это какие правила такое действие нарушает?

Share this post


Link to post
Share on other sites

по мне так за эту неделю навальный сделал куда больше для совершенствования законодательства, чем провайдеры, которые год сиськи мяли (с нулевым результатом).

тут полностью согласен

 

бредовый закон с предсказуемым результатом. и чем раньше будет достигнут результат - тем скорее закон уберут.

надо чтобы интернет лег быстрее, тогда быстрее починят =)

 

А что вы думаете про HTTPS? youtube.com как попал в реестр, так там и сидит, что если они сделают доступ чисто через HTTPS? Сомневаюсь что какой-либо DPI способен разобрать HTTPS и выдрать URL, сама возможность этого компроментирует и HTTPS и SSL/TLS. Тогда придется блокировать youtube.com полностью?

Share this post


Link to post
Share on other sites

грядущий сорм-3 это простите будет полный абзац

 

реестр фигня: большинство абонентов этих блокировок не видит, а операторы поставят dpi и успокоются. Ростелек конкурс провел, так что до конца года у них тоже будет

сорм-3 фигня: разрешат конкуренцию и будет дешевле чем сорм-2

вот сорм-4 это да, только смогут ли потянуть? спецов таких мало

Share this post


Link to post
Share on other sites
Это его еще поймать надо.

Полицейский и прокурорский аппарат обычно медлительны, так что я не думаю что какая то их реакция будет видна быстро. Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего.

 

Это какие правила такое действие нарушает?

 

ок. 272 на первый взгляд спорно.

Доказать неправомерность не получится. Мой домен. Я сам себе права и выдал.

 

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

Я думаю суть тут в том, что редирект сделан на домен роскомнадзора, а не на их IP. А домен под определение "охраняемой законом компьютерной информации" попадает 100%

 

274 более чем определенно:

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -

 

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

 

Собственно навальному только это и надо, чтобы миллионы узнали о нем и не забывали. Кого для этого забрызгать фекалиями - не имеет значения.

Share this post


Link to post
Share on other sites

Полицейский и прокурорский аппарат обычно медлительны, так что я не думаю что какая то их реакция будет видна быстро. Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего.

Друзья могут быть не в России и вообще гражданами США. Или Украины. А сам Леша как бы вообще никаких действий не совершал. Он под арестом сидит и к сетям связи доступа не имеет.

А домен под определение "охраняемой законом компьютерной информации" попадает 100%

А где тут неправомерный доступ? Ну вот хочу я, чтобы мой домен xxx.yyy.zzz на их сайт вел. ЧСВ у меня от этого увеличивается.

 

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

Пострадали. Но какие правила нарушались?

EDIT: Вообще-то не уверен от действий навального пострадали. Это же навальный и ко блокировали что не надо, а дурные провайдеры.

Share this post


Link to post
Share on other sites

От того что блог навального заблокирован пострадало несколько сотен сочуствующих, от действий навального и ко - пострадали миллионы.

Не сомневаюсь что суд именно так и посчитает, но по факту это просчет схемы. Роскомнадзор предложил рекомендации, выполнить их на 100% сразу не смог почти никто (интересно есть ли те, кто может гордо заявить что он 100% выполнил рекомендации?) и на практике схема оказалась уязвимой. С одной стороны в рекомендациях нет ошибки, ошибка в реализации. Почему в реализации ошибка? потому что нет возможности в одно мгновение взять и реализовать, для многих это требует капитальных затрат.

 

Но Роскомназор уже бдит. По началу мы не резолвили домены, потом когда Роскомнадзор стал на нас наезжать - попробовали резолвить и блочить - заблочилось то, что не должно было блочиться. Писали в поддержку реестра - нам ответили, мол если не можете фильтровать по URL, то вы не должны резолвить домены и должны блокировать только те IP которые в реестре - вернули обратно и при очередной проверке к нам снова претензии - вы не блочите всех сайтов - начинаем разбираться, а у сайтов про которые они гонят IP отличается от того, что в реестре. И как нам быть?

 

Смысл пункта 4.3 рекомендаций:

 

1) определяем host по URL

2) определяем по текущей DNS ip-адрес для host (НЕ БЛОКИРУЕМ определенный ip на этом этапе!!!)

3) все пакеты с ip, определенными на этапе 2, перенаправляем на фильтрацию

4) определяем URL в пакете на фильтрацию, если он (URL) в списке на блокировку, то пакет блокируем

5) все остальные пакеты пропускаем (даже те, которые содержат IP с этапа 2, но URL в которых не соответствует запрещенному)

 

Если оператор связи не может выделять URL из пакета на этапе 4, то он должен блокировать только те IP, которые указаны в выгрузке в явном виде.

© Александр Неклюдов <a.nekludov@e-soft.ru>

Share this post


Link to post
Share on other sites

По поводу страшилок с корневыми DNS. Чтобы это сработало, надо, чтобы на фильтрующие/блокирующие сервера уходил не http протокол. Это, прошу прощения, уже явно косяк оператора.

Share this post


Link to post
Share on other sites

По поводу страшилок с корневыми DNS. Чтобы это сработало, надо, чтобы на фильтрующие/блокирующие сервера уходил не http протокол. Это, прошу прощения, уже явно косяк оператора.

В рекомендации упоминается что нужно создавать маршрут, т.е. заворачивается ВЕСЬ трафик, по всем протоколам. Более, того, как в случае с Ростелкомом - трафик завернули весь, отфильтровали только 80 порт, а ICMP и UDP выкинули в /dev/null. Думаю не стоит напоминать что DNS работает на 53 порту по UDP. Так что если сослаться на корневой NS-севрер, то ляжет почти наверняка.

Share this post


Link to post
Share on other sites

В рекомендации упоминается что нужно создавать маршрут, т.е. заворачивается ВЕСЬ трафик, по всем протоколам.

Ну и пусть заворачивается. Не http - пропускаем дальше.

 

Более, того, как в случае с Ростелкомом - трафик завернули весь, отфильтровали только 80 порт, а ICMP и UDP выкинули в /dev/null.

Та часть, что 'ICMP и UDP выкинули в /dev/null' и означает 'косяк оператора'.

Share this post


Link to post
Share on other sites

спасибо за идею. надо еще на нестандартных портах несколько зеркал разместить

Share this post


Link to post
Share on other sites

Та часть, что 'ICMP и UDP выкинули в /dev/null' и означает 'косяк оператора'.

Что-то мне подсказывает, что таких операторов будет достаточно... Один Ростелеком чего стоит.

Share this post


Link to post
Share on other sites

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

ну это же прекрасно. наконец то весь энторнет станет колом изза тупости властей. и народ выйден на майдан а путлера замочат в канализации..

 

фейсбук не держит подменов а только имена пользователей через слэш это отфильтроровать сложнее.

ЖЖ с поддоменами это попроще да ЖЖ само по наезду РКН само закроет страницу. вместо ЖЖ есть navalny.us

если и его заблокирует то Навальному надо выставить CNAME указав на корневые днс зоны ру как советовал автор.

Edited by netime

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this