Механизмы блокировки сайтов Ростелекомом и способы их обхода

habrahabr.ru — В статье приведены результаты исследования механизмов блокировки сайтов Ростелекомом, а также изложены способы их обхода без применения различных туннелей до сторонних хостов (прокси, vpn и пр.).
Новости, Компьютеры | dse 23:35 02.02.2015
143 комментария | 36 за, 2 против |
#101 | 18:40 03.02.2015 | Кому: Всем
VPN и нет проблем.
#102 | 18:41 03.02.2015 | Кому: алекс75
> А чего не поверить-то?

А вот когда я начал обслуживать сеть из, примерно, 20 сайтов, раскиданных в разных труднодоступных и не очень регионах страны + банкоматную сеть на GSM, к каждому из банкоматов которой внезапно понадобилось подтянуть ещё и кабель, свободное время у меня внезапно немножечко закончилось :)
#103 | 18:43 03.02.2015 | Кому: Злой
> VPN и нет проблем.

Это ты с козырей зашёл. Основная суть статьи в том, что если ты сидишь в Ростелекоме, то VPN тебе и не нужен, ввиду особенностей организации их системы блокировки.
#104 | 18:44 03.02.2015 | Кому: dse
Мне проще немного заплатить за нормальный VPN, один раз всё настроить и потом не париться.
#105 | 18:49 03.02.2015 | Кому: Злой
> Мне проще немного заплатить за нормальный VPN

Не у всех жадных детей, которые сидят на хабре, есть деньги на оплату VPNа!!!

Кроме того, истинно говорю, грядёт блокировка VPNов. Китайцы, например, к ней уже вовсю приступили.
#106 | 18:52 03.02.2015 | Кому: dse
> Кроме того, истинно говорю, грядёт блокировка VPNов. Китайцы, например, к ней уже вовсю приступили.

С нашими то темпами? Может в следующем веке введут, а на наш хватит.
А если заблокируют, то есть и другие способы.
#107 | 18:55 03.02.2015 | Кому: dse
> свободное время у меня внезапно немножечко закончилось :)

Зато, наверное, и денежков прибавилось? )
#108 | 18:59 03.02.2015 | Кому: dse
> С чего ты взял, что я обслуживаю именно этот сектор?
ну, если не считать банки, то у других просто нет денег на такую развлекуху

>Проект по внедрению чего-нибудь легко может длиться несколько лет, обеспечивая непрерывный геморрой админам.

эээ, например, чего? ты прости, но несколько лет вешать директору лапшу на уши нужно иметь недюженный талант. ах да, проект внедрения в Омске метро идет не первое десятилетие!!!
я без подъебок, камрад, положа руку на яйца, скажи честно, у админов любого уровня почти всегда(за редким исключением) есть возможность, поерзывая жопами в креслах разной степени комфортности, отхлебнув из никогда не мытой кружки кофе, зачитать любимый сайтик .
#109 | 19:02 03.02.2015 | Кому: алекс75
> Зато, наверное, и денежков прибавилось? )

Как бы да, прибавилось. Но как был я администратором, так и остался, только вместо системного стал сетевым. Но я не об этом, а о том, что занятость админа не обязательно свидетельствует о том, что он криворукий мудак, как мне тут мягко намекнул камрад xtractor.
#110 | 19:03 03.02.2015 | Кому: dse
> свободное время у меня внезапно немножечко закончилось

убедил, камрад, ты то яркое исключение, которое подтверждает правило тем, что бросается в глаза
незомби
Идиот »
#111 | 19:06 03.02.2015 | Кому: dse
> А вот когда я начал обслуживать сеть из, примерно, 20 сайтов, раскиданных в разных труднодоступных и не очень регионах страны + банкоматную сеть на GSM, к каждому из банкоматов которой внезапно понадобилось подтянуть ещё и кабель, свободное время у меня внезапно немножечко закончилось :)

WN, NCR?
#112 | 19:08 03.02.2015 | Кому: dse
> что занятость админа не обязательно свидетельствует о том, что он криворукий мудак,

Я всех под одну гребёнку не чешу.

Но, как это не печально, таких "специалистов", про которых xtractor говорит, насмотрелся.

С небритыми рожами (а чо?), с немытыми кружками, с бардаком на рабочем месте и постоянными опозданиями на работу.
#113 | 19:11 03.02.2015 | Кому: xtractor
> > С чего ты взял, что я обслуживаю именно этот сектор?

> ну, если не считать банки, то у других просто нет денег на такую развлекуху


[Загадочно] А ты посчитай банки-то, посчитай!!!

> >Проект по внедрению чего-нибудь легко может длиться несколько лет, обеспечивая непрерывный геморрой админам.

> эээ, например, чего?

Например, автоматизированной банковской системы (АБС). Не то, чтобы всё это время новая АБС совсем не работает, просто на старой АБС остались бизнес процессы, которые вовремя не были описаны и поэтому новая АБС их просто не выполняет. А средствА, выделенные на проект по внедрению, уже освоены. И вот перенос этой радости в новую АБС выполняется силами ИТ дирекции в, так сказать, фоновом режиме.

> ты прости, но несколько лет вешать директору лапшу на уши нужно иметь недюженный талант.


Да не, директору по ИТ, затеявшему внедрение, достаточно вовремя соскочить. А пыль, поднятую процессом, будут медленно глотать уже совершенно другие люди.
#114 | 19:12 03.02.2015 | Кому: незомби
> WN, NCR?

Расшифровочки, пожалуйста.
#115 | 19:19 03.02.2015 | Кому: алекс75
> Но, как это не печально, таких "специалистов", про которых xtractor говорит, насмотрелся.

Я и не утверждаю, что таких не бывает.

> С небритыми рожами (а чо?), с немытыми кружками, с бардаком на рабочем месте и постоянными опозданиями на работу.


Типичный админ же! А, ещё надо, чтобы он всем цинично и тупо хамил и обязательно срался по любому поводу с этими милейшими женщинами, с бухгалтерами!!!
#116 | 19:30 03.02.2015 | Кому: dse
> Типичный админ же!

Но почему???

Зачем???

>А, ещё надо, чтобы он всем цинично и тупо хамил и обязательно срался по любому поводу


Не, таких нам не надо!!!
#117 | 19:31 03.02.2015 | Кому: Злой
> А если заблокируют, то есть и другие способы.

Например? Заказать себе домой IP VPN прямо из-за границы, что ли? Или звонить на какие-нибудь зарубежные модемные пулы интернет-провайдеров (кстати, они ещё остались)?
#118 | 19:33 03.02.2015 | Кому: алекс75
> > Типичный админ же!
>
> Но почему???

Все так думают!!!

> >А, ещё надо, чтобы он всем цинично и тупо хамил и обязательно срался по любому поводу

>
> Не, таких нам не надо!!!

Воистину не надо!
незомби
Идиот »
#119 | 19:33 03.02.2015 | Кому: dse
> Расшифровочки, пожалуйста.

Так основные фирмы по банкоматам, Винкор Никсдорф да NCR
#120 | 19:39 03.02.2015 | Кому: dse
>Воистину не надо!

[censored]

)))
fantomas
дурачок »
#121 | 20:57 03.02.2015 | Кому: dse
> > Что с этой картиной не так?
> Эээ... С какой?

Ну-у-у, камрад! Ну ай-яй-яй! Постой, никуда не уходи! :) Ща все будет!
#122 | 21:12 03.02.2015 | Кому: незомби
> Так основные фирмы по банкоматам, Винкор Никсдорф да NCR

Так я не сами банкоматы обслуживал, а обеспечивал их подключение к сети организации.
fantomas
дурачок »
#123 | 21:14 03.02.2015 | Кому: dse
Нет, не могу найти. Цитата из фильма. Но не могу вспомнить какого :(
незомби
Идиот »
#124 | 21:18 03.02.2015 | Кому: dse
> Так я не сами банкоматы обслуживал, а обеспечивал их подключение к сети организации.

Ааа, понял.
#125 | 21:40 03.02.2015 | Кому: алекс75
> )))

Хтоничненько!!!

[Приглядывается] Логово админа-онемешника
#126 | 00:49 04.02.2015 | Кому: Борода
> Там просто нет понятных)

Ну, в общем, если коротко, то автор статьи провёл исследование, которое показало, что Ростелеком, на самом деле, не блокирует доступ к запрещённой информации. Вместо этого, в Ростелекоме, обнаружив попытку доступа к электронному документу, содержащему запрещённую информацию (запрещённому документу), успевают быстренько подпихнуть клиенту уведомление якобы от имени того сервера, к которому он обращался, о том, что запрашиваемый им запрещённый документ был перемещён по другому адресу. На этом же новом адресе лежит документ-заглушка с уведомлением о блокировании доступа.

В результате, передача сообщения с запрещённым документом происходит нормально. Браузер клиента его принимает, но не отображает из-за того, что он ранее получил из Ростелекома поддельное уведомление о перемещении этого документа по новому адресу.

Кроме того, автор статьи установил, каким образом следует модифицировать запрос браузера, чтобы система блокировки Ростелекома не смогла опознать в нём адреса запрещённых документов. Для модификации автор предложил использовать программное обеспечение 3proxy и привёл пример конфигурации этого ПО, с помощью которого можно выполнять такую модификацию.

Один из читателей статьи справедливо заметил, что вместо этого можно просто блокировать на стороне клиента поддельные уведомления от Ростелекома о якобы имевшем место перемещении запрещённых документов, идентифицируя эти уведомления по адресу документа-заглушки с уведомлением о блокировании. Читатель привёл правило для пакетного фильтра IPTABLES, входящего в состав ядра Linux, которое решает эту задачу. Также в статье отмечается, что для реализации этой схемы клиенту необязательно отказываться от Windows и переходить на Linux, поскольку блокировка поддельных уведомлений от ростелекома может быть выполнена на маршрутизаторе клиента, которые, в большинстве своём, работают под управлением Linux.

Конкретные технические детали приведены в статье.
#127 | 04:40 04.02.2015 | Кому: dse
> А ты посчитай банки-то, посчитай!!!
насколько мне известно(сам не работал), банки - это админский ад. Типа ходишь в костюме, РАБОТАЕШЬ(!!!), вежливо разговариваешь со всеми, а денег с гулькин ху нос.
Так что "банковские админы" - отдельная каста.
#128 | 04:52 04.02.2015 | Кому: алекс75
> Не, таких нам не надо!!!
камрад, у админов (как и у других категорий граждан, ментов например) специфический тип личности, обусловленный профессией и условиями труда. Насколько я понимаю, явление это не только наше родное, а общемировое, по крайней мере общеевропейское. Если не смотрел сериал "IT crowd" - настоятельно рекомендую, все стереотипы, связанные с профессией, очень ярко и смешно показаны. Так что небритость и грязная кружка из-под кофе, видимо, неизбежность.
Когда я работал админом, воспринимал себя как кочегара в подвале. Пока в здании тепло, всем на тебя похер, хоть спи там в своей кочегарке, хоть бухай.
#129 | 06:37 04.02.2015 | Кому: dse
> Логово админа-онемешника

Ну да, типа того!!!
#130 | 06:40 04.02.2015 | Кому: xtractor
> Так что небритость и грязная кружка из-под кофе, видимо, неизбежность.

Да нифига! У меня админ чистый, бритый и хорошо одетый!!!

>а общемировое, по крайней мере общеевропейское.


Судя по фильмам, да!

> хоть спи там в своей кочегарке, хоть бухай.


Сразу нахуй с работы.
#131 | 06:47 04.02.2015 | Кому: алекс75
> Да нифига! У меня админ чистый, бритый и хорошо одетый!!!

Скажи еще, что он работает!!!
#132 | 06:51 04.02.2015 | Кому: xtractor
> Скажи еще, что он работает!!!

У меня все работают!!!
#133 | 06:57 04.02.2015 | Кому: алекс75
А кто тогда режЫм шатает на хабре???
#134 | 07:00 04.02.2015 | Кому: xtractor
> А кто тогда режЫм шатает на хабре???

Не знаю!!!

У меня таких нет!!!
#135 | 07:01 04.02.2015 | Кому: алекс75
> У меня все работают!!!
Хороший руководитель не имеет права хвалить подчиненных!!! У него все бездельники!!!
#136 | 07:01 04.02.2015 | Кому: алекс75
> У меня все работают!!!
Хороший руководитель не имеет права хвалить подчиненных!!! У него все бездельники!!!
#137 | 07:02 04.02.2015 | Кому: xtractor
> Хороший руководитель не имеет права хвалить подчиненных!!!

Это я только тут их хвалю!!!

А в реале-я деспот и тиран!!!
#138 | 09:51 04.02.2015 | Кому: xtractor
> > А ты посчитай банки-то, посчитай!!!

> насколько мне известно(сам не работал),


Ах, вот оно что!

> банки - это админский ад.


Ой, да ладно. Единственная проблема, которая задалбывала меня, где бы я не работал - духота из-за отсутствия вменяемой вентиляции и охлаждения - круглогодично и постоянно дующие фанкойлы - летом. Но это, собственно, беда всех офисов. Именно поэтому, кстати, предпочитал сидеть в парке (парка) с капюшоном, где разрешали. Где не разрешали, страдал и болел молча, как все остальные :)

> Типа ходишь в костюме,


Как приличный человек, а не бомж.

> РАБОТАЕШЬ(!!!),


То же самое.

> вежливо разговариваешь со всеми,


Никогда не понимал придурков, которые яростно и решительно хамят окружающим. Со всеми старался общаться вежливо. Может, конфуцианское мировоззрение и убойные дозы просмотренного епонского онеме сказываются?

> а денег с гулькин ху нос.


Ну, это не так. Админов в головных офисах это не касается, а вот на зарплате техников в филиалах и допофисах сурово экономят, оптимизируют, (нрзб). Соответственно, те, кого находят, либо деревянные до пояса сверху и работают соответственно, либо работают на полставки и хрен ты от них добьешься быстрого исполнения распоряжений. При первой же возможности такие линяют поближе к цивилизации. Так что на периферии вовсю идёт процесс аутсорсинга: в новые офисы техников не нанимают, вместо этого на те же деньги заключают договора с разными конторками.

> Так что "банковские админы" - отдельная каста.


Хм. Странно. [Критически осматривает себя в зеркало] Люди - как люди.
#139 | 10:17 04.02.2015 | Кому: Всем
1. Качаем Opera.
2. Включаем режим "Турбо"
3. Заходим.
#140 | 10:25 04.02.2015 | Кому: Vyhuhol
Это ж VPN в чистом виде. И работает он только в Opera. Для гитхаба этот способ, например, неприменим, у гитхаба свой собственный клиент.

Кстати, к вопросу о VPN. Тебя не смущает, что Opera Software всегда готова поделиться с окружающими сведениями о том, чем ты интересуешься, что писал, куда ходил через их турбо-сервера?
#141 | 15:45 04.02.2015 | Кому: dse
> Ах, вот оно что!

невозможно везде поработать,но это не мешает общаться с теми, кто работает. довольных не было, обычно получали опыт после учебы, при первой же возможности уходили даже на серую зарплату в другие конторы.

> Как приличный человек, а не бомж.


так говоришь,будто есть выбор.ну и есть ,видимо, две крайности: "костюм" и "как бомж"? костюм не есть обязательный атрибут "приличного" человека. Продавцы "кирби" и вербовщики сект все в костюмах!!!

> Никогда не понимал придурков, которые яростно и решительно хамят окружающим


обратно крайности у тебя. речь в целом о дисциплине. мы все же не японцы, даже на пике производственной культуры в СССР. то, что хорошо работает в Германии и Японии не всегда уместно в России. Русский человек если считает собеседника мудаком, редко когда удержится от демонстрации этого в разговоре. Плюс фальшивые улыбочки в 32 зуба нам чужды. Это ни хорошо ни плохо это просто наша особенность, с которой надо считаться.

> Ну, это не так. Админов в головных офисах это не касается, а вот на зарплате техников в филиалах и допофисах сурово экономят, оптимизируют, (нрзб).


камрад, ну вот ты сам себе противоречишь. Речь же не про Москву и головные офисы, где работают от силы 10%

> Люди - как люди


ну я разве спорю? я говорю, что банковские админы не показатель в силу банковской специфики (см. головная контора+куча географически разбросанных филиалов, жесткая вертикаль власти и дисциплина)
#142 | 15:53 04.02.2015 | Кому: xtractor
> Русский человек если считает собеседника мудаком, редко когда удержится от демонстрации этого в разговоре.

Меня это раньше обижало, потом - забавляло :)

> камрад, ну вот ты сам себе противоречишь.


Где? Админ - это вовсе не техник и не сотрудник поддержки. И наоборот. Это совсем разные специальности ИТ.

> Речь же не про Москву и головные офисы, где работают от силы 10%


Повезло мне, как я смотрю.
#143 | 16:49 04.02.2015 | Кому: Злой
> VPN и нет проблем.

Opera Turbo, и все идут лесом.
Войдите или зарегистрируйтесь чтобы писать комментарии.