Сегдоня с утра в провайдерской группе в телеграммчике творился адЪ. У провайдеров, блокирующих по домену/IP были проблемы с доступом к соцсетям и другим ресурсам, подробности по ссылке.
Оказалось, что владелец домена dymoff.space прописал 200 адресов в А запись, и постоянно их ротировал - отравляя кеши DNS-резолверов.
У нас DPI справлялся, но вот магистралы блочат по IP, через это с ресурсами, доступными через ТТК и Ростелек были серьезные проблемы (особенно Ростелек, у них видимо даже что-то в маршрутизации поломалось). Сайт и форум Nag.ru, крупнейший операторский портал, смогли поднять только к вечеру - переведя на другого аплинка, через Ростелеком так и был недоступен, видимо не смогли забороть.
Замечены кратковременные перебои со СбербанкОнлайн, ВК, Телеграм.
Решили проблему только к вечеру удалением записи из выгрузки реестра РКН. Представитель РЧЦ в телеграмчике божится, что долговременное решение уже придумано и скоро будет введено. Очевидно, будет что-то вроде белого списка на такие случаи, т.е. коренных изменений в подходе к системе блокирования и контроля за блокирование (АС Ревизор) меняться не будет.
А самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться.
Может кто не в курсе, а я помню, как в самом начале большинство мелких операторов взвыло, что DPI им не по карману. И эта дыра была оставлена специально для них.
А еще многие возмущались за приватность.
Теперь гайки закрутят, сначала введут белые списки, а затем постепенно - сертифицированный DPI который будет нифига не дешевле СОРМа, и принудительный SSL с MitM, и борющиеся за Свободу дети окажутся уже под полным контролем.
Борцунами с системой одержана очередная убедительная победа.
Это видимо тоже хохлы пишут [censored] > [В ответ на IT уголовные дела СОРМ россиюшка] > Дамы и господа, разбираемся домены, их еще немного осталось. Очень полезная штука (их, наверное, скоро продавать можно будет)
Работаю в терминирующем прове, AS, за нами только клиенты, субпровов нет. Аплинки -- Мегафон и ВестКолл по тырнетам, Мегафон и Билайн по телефонке (E1). Сегодня (в воскресенье, да) переключали схему коммутации на аплинков. Пришлось оторвать "Ревизора" (да-да, и терминирующим провам его впарили). Хорошо, что заранее официально известили всех, что будут перерывы в предоставлении услуг. SLA выбрали на полгода вперёд.
Перед этим у нас 14.05-го физически упал бордер (отказ HDD), поднялись на резерве, что-то пошло не так, слетел фильтр на шлюзе, нам подломили Астериску на более чем 300 тыр.
СОРМа нет, мы терминирующий оператор, нам не обязательно, весь СОРМ на аплинках по E1, благо, номера A и B отдаются. А тырнетики мы обязаны фильтровать сами. Фильтруем. Решение софтовое: на фряшном бордере ipfw заворачивает трафик TCP:80 через Сквид, остальное идёт как идёт. Сегодня (в воскресенье) как раз перестроили эту схему до полностью рабочей, включили в неё резервный бордер. Физическая коммутация -- два патч-корда передёрнули. Логика -- две перезагрузки (прокси-сквида и бордера с поправленными конфигами).
А вообще, с моей кочки жрения, это боротьба с ветряками. Путей обхода масса. И, кстати, протокол HTTPS (TCP:443) от фильтрации свободен, как разбирать пакеты без оригинальных сертификатов -- пока ещё не знает никто. Ставить Cray для онлайн-разборки SSL-пакетов не по карману даже довольно крупным провам.
Посмотреть не могу, но в целом - почему бы и нет? Суть в том, что "борцуны" могут быть и не с системой, а просто хотят нагадить. И гадят , потому как инструмент даден шикарный
> как разбирать пакеты без оригинальных сертификатов -- пока ещё не знает никто.
> По IP блокируют, отсюда ноги и растут
В большинстве случаев хватает SNI
Ютуб по HTTPS умудряется запрещать только Минюст, проверок по нему не производится, насколько знаю.
По DPI. За несколько лет в ответ на спрос возникла куча предложений. Не хочешь разоряться на полноценный DPI - есть рабочие софтовые решения. Задача блокировки в данном виде не требовала симметричного пропуска трафика. Хочешь - сажай линуксоида крутить nfqfilter и следить за выгрузками, не хочешь - плати сносную плату за аренду решения типа Карбона. Совсем беден или упорот - блочь по IP.
По сути было решение, которое большинство, если не всех, устраивало. Провайдеры делали вид что блокируют, надзорные органы отчитывались об исполнении законов. Домохозяйкам вообще до лампочки что там блокируется, они не целевая аудитория таких ресурсов. Мнение отдельных террористов, наркоманов и самоубийц никого не интересовало.
Зато теперь много может поменяться. Запросто могут ввести Царь-фаервол и единый сертификат. И большинству населения опять будет по барабану, операторы понесут дополнительные расходы, а воющие от несвободы взвоют еще громчее.
Уже нет, строго по IP не блокируют. Облака имеют один/список IP на входе. Если в облаке заведётся "паршивая овца", всё облако идёт найух, с чем, ясеневый пень, владельцы облачных сервисов категорически несогласны.
Сейчас есть запреты по IP и запреты по URL. Разруливаются разными механизмами.
Было дело, Cloudflare, где нынче проживает наш обожаемый Vott.ru, чисто по IP заехал в блэклист. Насчёт масштабов скандала не знаю, но отголоски слышал -- дошло и до "верхов". В конечном итоге, Cloudflare попустило, но РКН засвирипел на тему блокировки URL. У нашей конторы уже два предписания, с листингом за 11 тысяч имён. Как раз сегодня, в воскресенье, когда менее всего клиентов в онлайне, разруливали именно этот вопрос.
> Посмотреть не могу, но в целом - почему бы и нет? Суть в том, что "борцуны" могут быть и не с системой, а просто хотят нагадить. И гадят , потому как инструмент даден шикарный
Ну это, в общем, не про них. А про тех, кто громко празднует победу на РКН.
> Сейчас есть запреты по IP и запреты по URL. Разруливаются разными механизмами.
Мне очень интересно как можно разрулить запрет по урл https сайта? Не, как по доменному имени я знаю, именно по урл. Варианты, предлагаемые некоторыми продавцами фильтрующего софта, типа установки каждым юзером сертификата на браузер не рассматриваются.
Не хватает. Падла-падла-подлови-ка на этом livejournal.com :)
> По DPI. За несколько лет в ответ на спрос возникла куча предложений. Не хочешь разоряться на полноценный DPI - есть рабочие софтовые решения.
Есть. Одно из них внедрено у нас: отсечка по IP, отсечка по NS, анализ URL. Бесплатно.
Бордер: FreeBSD 9+. Фильтр (прокси на Squid'е): Ubuntu Server 14+.
Вотт буквально в обед сегодня-сейчас посоучаствовал в создании такой конфигурации. Пинай меня ногами.
А я то думаю, чего это у меня вчера тырнет отвалился. А техподдержка ТТК мне мозги трахала "перезагрузите роутер", "настройте соединение" и т.п. стандартный бред.
> техподдержка ТТК мне мозги трахала "перезагрузите роутер", "настройте соединение" и т.п. стандартный бред
У меня ответ простой: «Вы говорите с начальником информационно-технического отдела промышленного провайдера, и не надо мне тут втирать!». Благо, сам сидел на "второй линии" техпода, ITIL знаю :)
PS: Кстати, в Питере я ещё кому-либо нужен, кроме моего текущего работодрателя? Готов сменить место работы, чё-т тут как-то уныло стало...
> самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться
Веселуха продолжается, РКН уже потирает потные ручонки :)
Я, по мере возможности, буду информировать о ситуации в общем. Частности, увы, ДСП, не для распространения. Никто из провайдеров не станет стучать на РКН -- самим же потом боком выйдет.
Вотт как навострю лыжи на выход -- оторвусь по полной, сдам всех :)
> Запросто могут ввести Царь-фаервол и единый сертификат
хотел бы я на это посмотреть. не, я понял бы юзер-сертификаты, но единый. ладно утечка, вопрос по защищенным системам. к примеру, пейпал пошлет нас к ебеням. проще разбирать https как в сквиде прозрачном и блочить домен.
А по-моему это какой-то глобальный косяк устройства интернета, если с заблокированным провайдером доменом (без разницы по требованию роскомнадзора или по прихоти админа) можно такие штуки вытворять.
Хер с ним, с SSL, вы, ребята, расскажите, что случилось с SSH?
Ещё месяц назад я качал по SSH всякое с одной своей площадки на другую, и сидел по этому SSH через свою удалённую площадку в интернете. Ну лень мне поднимать для этого VPN. Теперь, (вырезано цензурой), SSH поток постоянно подвисает и затыкается, возникли какие-то рандомные задержки, причём именно с SSH. График загрузки канала стал больше всего походить на график какого-то экспоненциального процесса. Сначала резво качаем-качаем, потом спадающая экспонента, некоторое время затык, потом опять резкий подъём, качаем-качаем, опять скорость падает по экспоненте, затык, и так далее. Причём подвисает одно конкретное соединение SSH, соединение на другой порт того же самого адреса работает отлично. В момент затыка SSH каналы на обеих площадках свободны, процессоры ни у хоста, ни у маршрутизатора не перегружены. Что это вообще такое? Кто-то из провайдеров принялся писать трафик SSH в надежде его потом расшифровать, и затыки вызваны перегрузкой дисковой подсистемы, на которую сбрасывается этот трафик?
Чего там смотреть-то? Я такое наблюдал. Единый корневой царь-сертификат, с помощью которого типовая система предотвращения утечек автоматически выдаёт различные сертификаты на все сайты, на которые лазят наблюдаемые этой системой юзеры. Не импортируешь царь-сертификат в хранилище корневых сертификатов своего браузера - хер зайдёшь на любой сайт по https://
> переподписываешь своим корневым сертификатом сертификаты сайтов. платежные системы такое не пропускают.
Так то платёжные системы. Их можно в белый список внести. Причём вносить можно только свои, российские, а зарубежные не вносить. Контрсанкции!!!
Кстати, последние две недели подметил интересное поведение своего браузера. Первая попытка обращения на любой новый для браузера сайт по https:// сначала приводит к отказу и сообщению об ошибке. Второе обращение происходит нормально, сертификат сайта успешно проверяется вплоть до корневого. Жопа внутренний голос подсказывает мне, что надо бы сверить хэши корневого сертификата, который показывает мне браузер, и того же корневого сертификата, который лежит в интернете на сайте УЦ, но мне лень. Но когда-нибудь я это обязательно сделаю!!!
> P.S. Кстати, после моего истеричного вопля #28 наутро уже всё работало как надо, без затыков. Родина слышит, читает и пишет!!! (на диски пишет :)
в Узбекистане такое гавно творилось с фильтром :) там на железе сэкономили и тупо маил.ру, яндекс по несколько минут грузилось или железка отказ давала :) потом ее перегружали и денек работало. но там был только фильтр для блокировки неугодных сайтов.
Сейчас, сейчас
Оказалось, что владелец домена dymoff.space прописал 200 адресов в А запись, и постоянно их ротировал - отравляя кеши DNS-резолверов.
У нас DPI справлялся, но вот магистралы блочат по IP, через это с ресурсами, доступными через ТТК и Ростелек были серьезные проблемы (особенно Ростелек, у них видимо даже что-то в маршрутизации поломалось). Сайт и форум Nag.ru, крупнейший операторский портал, смогли поднять только к вечеру - переведя на другого аплинка, через Ростелеком так и был недоступен, видимо не смогли забороть.
Замечены кратковременные перебои со СбербанкОнлайн, ВК, Телеграм.
Решили проблему только к вечеру удалением записи из выгрузки реестра РКН. Представитель РЧЦ в телеграмчике божится, что долговременное решение уже придумано и скоро будет введено. Очевидно, будет что-то вроде белого списка на такие случаи, т.е. коренных изменений в подходе к системе блокирования и контроля за блокирование (АС Ревизор) меняться не будет.
А самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться.