Сегдоня с утра в провайдерской группе в телеграммчике творился адЪ. У провайдеров, блокирующих по домену/IP были проблемы с доступом к соцсетям и другим ресурсам, подробности по ссылке.
Оказалось, что владелец домена dymoff.space прописал 200 адресов в А запись, и постоянно их ротировал - отравляя кеши DNS-резолверов.
У нас DPI справлялся, но вот магистралы блочат по IP, через это с ресурсами, доступными через ТТК и Ростелек были серьезные проблемы (особенно Ростелек, у них видимо даже что-то в маршрутизации поломалось). Сайт и форум Nag.ru, крупнейший операторский портал, смогли поднять только к вечеру - переведя на другого аплинка, через Ростелеком так и был недоступен, видимо не смогли забороть.
Замечены кратковременные перебои со СбербанкОнлайн, ВК, Телеграм.
Решили проблему только к вечеру удалением записи из выгрузки реестра РКН. Представитель РЧЦ в телеграмчике божится, что долговременное решение уже придумано и скоро будет введено. Очевидно, будет что-то вроде белого списка на такие случаи, т.е. коренных изменений в подходе к системе блокирования и контроля за блокирование (АС Ревизор) меняться не будет.
А самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться.
Может кто не в курсе, а я помню, как в самом начале большинство мелких операторов взвыло, что DPI им не по карману. И эта дыра была оставлена специально для них.
А еще многие возмущались за приватность.
Теперь гайки закрутят, сначала введут белые списки, а затем постепенно - сертифицированный DPI который будет нифига не дешевле СОРМа, и принудительный SSL с MitM, и борющиеся за Свободу дети окажутся уже под полным контролем.
Борцунами с системой одержана очередная убедительная победа.
Это видимо тоже хохлы пишут [censored] > [В ответ на IT уголовные дела СОРМ россиюшка] > Дамы и господа, разбираемся домены, их еще немного осталось. Очень полезная штука (их, наверное, скоро продавать можно будет)
> как разбирать пакеты без оригинальных сертификатов -- пока ещё не знает никто.
> По IP блокируют, отсюда ноги и растут
В большинстве случаев хватает SNI
Ютуб по HTTPS умудряется запрещать только Минюст, проверок по нему не производится, насколько знаю.
По DPI. За несколько лет в ответ на спрос возникла куча предложений. Не хочешь разоряться на полноценный DPI - есть рабочие софтовые решения. Задача блокировки в данном виде не требовала симметричного пропуска трафика. Хочешь - сажай линуксоида крутить nfqfilter и следить за выгрузками, не хочешь - плати сносную плату за аренду решения типа Карбона. Совсем беден или упорот - блочь по IP.
По сути было решение, которое большинство, если не всех, устраивало. Провайдеры делали вид что блокируют, надзорные органы отчитывались об исполнении законов. Домохозяйкам вообще до лампочки что там блокируется, они не целевая аудитория таких ресурсов. Мнение отдельных террористов, наркоманов и самоубийц никого не интересовало.
Зато теперь много может поменяться. Запросто могут ввести Царь-фаервол и единый сертификат. И большинству населения опять будет по барабану, операторы понесут дополнительные расходы, а воющие от несвободы взвоют еще громчее.
> Посмотреть не могу, но в целом - почему бы и нет? Суть в том, что "борцуны" могут быть и не с системой, а просто хотят нагадить. И гадят , потому как инструмент даден шикарный
Ну это, в общем, не про них. А про тех, кто громко празднует победу на РКН.
Сейчас, сейчас
Оказалось, что владелец домена dymoff.space прописал 200 адресов в А запись, и постоянно их ротировал - отравляя кеши DNS-резолверов.
У нас DPI справлялся, но вот магистралы блочат по IP, через это с ресурсами, доступными через ТТК и Ростелек были серьезные проблемы (особенно Ростелек, у них видимо даже что-то в маршрутизации поломалось). Сайт и форум Nag.ru, крупнейший операторский портал, смогли поднять только к вечеру - переведя на другого аплинка, через Ростелеком так и был недоступен, видимо не смогли забороть.
Замечены кратковременные перебои со СбербанкОнлайн, ВК, Телеграм.
Решили проблему только к вечеру удалением записи из выгрузки реестра РКН. Представитель РЧЦ в телеграмчике божится, что долговременное решение уже придумано и скоро будет введено. Очевидно, будет что-то вроде белого списка на такие случаи, т.е. коренных изменений в подходе к системе блокирования и контроля за блокирование (АС Ревизор) меняться не будет.
А самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться.