Ростелеком запретил использование публичных DNS

habr.com — Ростелеком потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию сервисы DNS от Google - 8.8.8.8, Cloudflare 1.1.1.1. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен).
Новости, Компьютеры | d.verhovcev 10:40 13.09.2021
43 комментария | 67 за, 0 против |
d.verhovcev
своевременно подпущенный »
#1 | 10:41 13.09.2021 | Кому: Всем
[censored]

По информации телеграм-канала «ЗаТелеком», «Ростелеком» потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию для выдачи абонентам с BRAS и DHCP и в технологических сетях сервисы DNS от Google, Cloudflare и Cisco OpenDNS. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен).

«Ростелеком» посоветовал в случае массового обращения клиентов не рекомендовать им продолжать использовать общедоступные бесплатные публичные DNS-сервисы Google и Cloudflare, а в ручную перенастроить их на DNS «Ростелекома» и НСДИ.

8 сентября с 21 часа до 22 часов по московскому времени Роскомнадзор с помощью оборудования ТСПУ (технических средств противодействия угрозам) на площадках некоторых крупных провайдеров РФ в тестовых целях заблокировал публичные DNS-сервисы Google и Cloudflare. Ведомство без предупреждения и в рабочих сетях под нагрузкой на час закрыло доступ к зарубежным общедоступным бесплатным публичным DNS серверам, включая 1.1.1.1 и 8.8.8.8. Сервисы Яндекс.DNS под тестовую блокировку не попали.

Под блокировкой в течение часа были:

DNS-сервера Cloudflare — 1.1.1.1 и 1.0.0.1;
DNS-сервера Google — dns.google, 8.8.8.8, 8.8.4.4;
сервис DoH Cisco — doh.opendns.com.


Позже СМИ сообщили, что помимо блокировок публичных DNS, массовые блокировки Роскомнадзором VPN-сервисов через DPI повлияли на работу в РФ сайтов Twitch, Avito, стримингового сервиса FlashScore, игр World of Tanks и World of WarShips. Также пользователи зафиксировали ограничения на использование протокола Bittorrent у некоторых провайдеров. Под блокировку также попали пользователи «Ростелекома», которые используют протокол BitTorrent. Оператор связи на Урале и в Краснодарском крае заблокировал у себя соответствующий протокол на уровне DPI а также закрыл доступ к протоколу DHT. На запрос в техподдержку одному пользователю ответили, что «торренты — это пиратство, поэтому они теперь блокируются». В настоящее время РТК снял блокировки. Неясно, это было какое-то тестирование или ошибка.
#2 | 10:44 13.09.2021 | Кому: d.verhovcev
> Неясно, это было какое-то тестирование или ошибка.

Грядёт! Истинно вам говорю!! Покайтесь!!!
#3 | 10:58 13.09.2021 | Кому: Всем
Из комментов на Хабре:

> Очень интересно, что будет происходить в Сети с 17 по 19 сентября... Стоит снять наличные, кстати.
dym80
дурко »
#4 | 11:05 13.09.2021 | Кому: Strider
> Из комментов на Хабре

17-го бюджетники будут электронно голосовать за кого надо. А вот 20-го возможно всякое.
a.v.v
дурачок »
#5 | 11:55 13.09.2021 | Кому: dym80
> > Из комментов на Хабре
>
> 17-го бюджетники будут электронно голосовать за кого надо. А вот 20-го возможно всякое.
>

у товарище на хабре как у плешивого, все мысли о бане голосовании, идиоты
на месте этих дураков надо напрягаться что вообще весь инет разрежут на куски и не по инициативе злобного путина
#6 | 11:57 13.09.2021 | Кому: a.v.v
> надо напрягаться что вообще весь инет разрежут на куски

это разве плохо?
#7 | 12:00 13.09.2021 | Кому: bazuka_joe
> это разве это плохо?

Прекрасно. Чем мельче у человеков разрозненные группки, тем быстрее человеки перестанут всем досаждать как вид.
#8 | 12:06 13.09.2021 | Кому: Пальтоконь
> Прекрасно. Чем мельче у человеков разрозненные группки, тем быстрее человеки перестанут всем досаждать как вид.

например как Китай, да?
#9 | 12:10 13.09.2021 | Кому: bazuka_joe
> например как Китай, да?

Не совсем, Китай линии интернет не рубит, у них эффективных россиян в правительстве нет. А у нас есть и они обрубят провода в будущем, потому что идиоты всегда всё делают одинаково и с единственно возможным результатом.
d.verhovcev
своевременно подпущенный »
#10 | 12:13 13.09.2021 | Кому: a.v.v
> у товарище на хабре как у плешивого, все мысли о бане голосовании, идиоты
Конечно, с выборами это никак не связано

> на месте этих дураков надо напрягаться что вообще весь инет разрежут на куски и не по инициативе злобного путина

А по чьей?

>> надо напрягаться что вообще весь инет разрежут на куски

> это разве плохо?

[censored]
a.v.v
дурачок »
#11 | 12:13 13.09.2021 | Кому: bazuka_joe
> это разве плохо?

это плохо, тк 90 процентов оборудования могут вообще отключится, а на них завязаны куча технологических процессов от связи до систем управления как городским хозяйством так мб и объектами повышенной опасности

не зря такие проверки стали проходить
#12 | 12:28 13.09.2021 | Кому: Пальтоконь
> Китай линии интернет не рубит

давно в Китае стал работать 1.1.1.1 и 8.8.8.8?
#13 | 12:51 13.09.2021 | Кому: a.v.v
> у товарище на хабре как у плешивого, все мысли о бане

Там вроде почти все такие
#14 | 12:51 13.09.2021 | Кому: bazuka_joe
>> Китай линии интернет не рубит

> давно в Китае стал работать 1.1.1.1 и 8.8.8.8?


Вчера включили.
a.v.v
дурачок »
#15 | 13:00 13.09.2021 | Кому: pretender
> Там вроде почти все такие
>

у меня описка, писал 'товарищей' а получилось как всегда!!!
да там социально однородная среда, и практически все дальше собственного носа не видит
самое печальное что такое и в остальных стратах общества
#16 | 13:25 13.09.2021 | Кому: Всем
Один я прочитал "Согласно списка рассылки"?
Лично мне телеком ничего не присылал.
#17 | 13:29 13.09.2021 | Кому: pretender
> Там вроде почти все такие

Мягко сказано, мягко.
#18 | 13:34 13.09.2021 | Кому: Пальтоконь
> Мягко сказано, мягко.

Привык оставлять запас на статистическую погрешность.
#19 | 14:10 13.09.2021 | Кому: Всем
Камрады, поясните что сие значит, а то я в этой теме не петрю.
#20 | 14:27 13.09.2021 | Кому: Sarmik
> Камрады, поясните что сие значит, а то я в этой теме не петрю.

Ты набираешь ссылку в браузере воттт.ру. браузер хочет получить адрес сайта и идёт на ДНС сервер.
А ДНС сервер ему говорит - такого сайта нет. Потому что роскомнадзор запретил, например.
#21 | 14:48 13.09.2021 | Кому: Sarmik
> Камрады, поясните что сие значит, а то я в этой теме не петрю.

Это не для нас писано, а для ростелекомовских технарей и поддержки, а также для подневольных мелких провайдеров. Потенциально может значить попытку создания чебурнета по китайскому образцу. Более вероятно - для контроля над разрешением сетевых имен, как разъяснил камрад Склеп.
Алик
идиот »
#22 | 15:48 13.09.2021 | Кому: d.verhovcev
> Также пользователи зафиксировали ограничения на использование протокола Bittorrent у некоторых провайдеров.

Т.е. они вообще сам протокол запретили, а не конкретные трекеры? Ну молодцы, чё. К примеру, у всенародно любимых и ненавидимых танчиков обновления качаются, на сколько помню, как раз через этот протокол, т.е. он используется вполне себе легальными сервисами. Спрашивается, нахер такой провайдер пользователям сдался? Разве что только если других не будет.
#23 | 20:09 13.09.2021 | Кому: Алик
> Разве что только если других не будет.

А других и не будет. Ну, разве что, Starlink от мошенника Маска.
#24 | 20:18 13.09.2021 | Кому: d.verhovcev
> 8 сентября с 21 часа до 22 часов по московскому времени Роскомнадзор с помощью оборудования ТСПУ (технических средств противодействия угрозам) на площадках некоторых крупных провайдеров РФ в тестовых целях заблокировал публичные DNS-сервисы Google и Cloudflare. Ведомство без предупреждения и в рабочих сетях под нагрузкой на час закрыло доступ к зарубежным общедоступным бесплатным публичным DNS серверам, включая 1.1.1.1 и 8.8.8.8. Сервисы Яндекс.DNS под тестовую блокировку не попали.

Некий провайдер Цифра1 уже лет 8 как заблокировал своим клиентам доступ к любым DNS-серверам, кроме своих. Поднимаешь у себя свой кэширующий DNS, а рекурсивные запросы через этого провайдера не работают.
#25 | 06:41 14.09.2021 | Кому: dse
> заблокировал своим клиентам доступ к любым DNS-серверам, кроме своих.

DNSCrypt пробовал?
#26 | 11:29 14.09.2021 | Кому: amb
> DNSCrypt пробовал?

Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?
#27 | 14:16 14.09.2021 | Кому: dse
> Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

Цитата с хабра, например:
Во-первых, DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM.
Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.

То есть, трафик DNS провайдеру не виден. У себя можешь ещё поставить кеширующий сервер, для скорости.
#28 | 17:50 14.09.2021 | Кому: amb
> > Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

> Цитата с хабра, например:

> Во-первых, DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM.

Повторяю: рации на бронетранспортёрах. (c)

> Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.


А мне надо, чтобы мой личный кэширующий сервер мог выполнять рекурсивные запросы, а не лазить на один и тот же сервер, пусть даже и защищённый DNSCrypt'ом. Что неясно-то? Я этим "общедоступным" серверам не доверяю в той же степени, что и серверам своего провайдера.

> То есть, трафик DNS провайдеру не виден. У себя можешь ещё поставить кеширующий сервер, для скорости.


Нафиг он нужен только для кэширования, если DNS-кэш встроен сейчас в любого клиента? Вся соль своего собственного DNS-сервера заключается в возможности выполнять с его помощью рекурсивные запросы, но и эту возможность провайдеры отрезали.
#29 | 19:20 14.09.2021 | Кому: dse
> Я этим "общедоступным" серверам не доверяю в той же степени, что и серверам своего провайдера.

Только от корня, только хардкор? Ну, тады ой!

А чем провайдер обосновывает блокировку портов?
#30 | 19:28 14.09.2021 | Кому: amb
> А чем провайдер обосновывает блокировку портов?

Ничем. Тем более, что это не мой непосредственный провайдер, он промежуточный, у меня нет с ним договора на предоставление услуг связи и потому я даже не имею никакой возможности добиться от него каких-либо объяснений.
#31 | 19:34 14.09.2021 | Кому: dse
> это не мой непосредственный провайдер, он промежуточный

А непосредственно твой почему такой убогий - есть объяснение?
#32 | 19:38 14.09.2021 | Кому: amb
> > это не мой непосредственный провайдер, он промежуточный

> А непосредственно твой почему такой убогий - есть объяснение?


А непосредственно мой ничего не блокирует, но весь интернет покупает у Цифры1. И да, другие местные провайдеры тоже покупают интернет у Цифры1. Скупила их Цифра1.
#33 | 06:46 15.09.2021 | Кому: dse
> Скупила их Цифра1.

Вотт придумалось: надо где-нибудь за пределами Цифры1 арендовать виртуальную машину, развернуть на ней свой DNS и пробросить туда канал DNSCrypt (серверная часть тоже доступна).
#34 | 17:05 15.09.2021 | Кому: amb
> Вотт придумалось: надо где-нибудь за пределами Цифры1 арендовать виртуальную машину, развернуть на ней свой DNS и пробросить туда канал DNSCrypt (серверная часть тоже доступна).

На это мощное предложение следует не менее мощный ответ: денег дай — немедленно арендую. А ещё лучше денег дай на две виртуальные машины — основную и резервную, одну в Японии, другую — в США, подальше друг от друга. Это всё, как нетрудно догадаться, нужно для повышения отказоустойчивости. Однако, глядя на эту схему, нетрудно заметить, что DNSCrypt тут лишний и его можно легко сократить, вынеся на две эти виртуальные машины socks5- и http-прокси. А браузеру сказать, чтобы он разрешал имена не локально, а удалённо, через те самые выносные socks5-прокси. А чтобы провайдер не правил на лету трафик до наших проксей, завернуть его в TLS или SSH, отмапив порты. В случае с SSH даже не нужно поднимать на машинах socks5-прокси, достаточно просто подцепиться к виртуалкам командой ssh с ключиком -D (динамическое переназначение поротов, man ssh, / -D).

В результате мы получим классический VPN в том самом виде, в котором ушлые людишки пытаются впарить его технически безграмотному обывателю, только мы сделали его сами. И вот тут-то наступает следующий этап противостояния снаряда и брони: Роскомнадзор в очередной раз обязывает провайдеров поставить у себя ещё одно полезное и нужное оборудование, которое автоматически на лету вычисляет энтропию полезной нагрузки пакетов каждого соединения, и придушивает те из них, через которые хотя бы в одну сторону передаётся информация, энтропия которой выше определённого порога, что может свидетельствовать о передаче шифрованного трафика. После чего про VPN к своим виртуалкам можно будет навсегда забыть. DNSCrypt при этом, естественно, тоже накроется медным тазом.
#35 | 18:06 15.09.2021 | Кому: dse
> придушивает те из них, через которые хотя бы в одну сторону передаётся информация, энтропия которой выше определённого порога, что может свидетельствовать о передаче шифрованного трафика.

Серьёзно? Охуеть!
А как же будут работать всякие федеральные сервисы, которые только через випнет?

> DNSCrypt при этом, естественно, тоже накроется медным тазом.


А вот это не факт - энтропию пакетов понизить несложно. DNSCrypt при этом выигрышнее, чем просто VPN.
Но да, всё будет стоить денег.
#36 | 19:26 15.09.2021 | Кому: amb
> А как же будут работать всякие федеральные сервисы, которые только через випнет?

А они а) не трансграничные, б) для них можно сделать разрешение.

> А вот это не факт - энтропию пакетов понизить несложно.


Отвечаешь? Любой хороший шифртекст обладает наивысшей возможной энтропией. А если не обладает — это херовый шифртекст, легко поддающийся криптоанализу и взлому.

> DNSCrypt при этом выигрышнее, чем просто VPN.


Чем? В упор не вижу. И сторонний наблюдатель тоже не видит. Сторонний наблюдатель не в состоянии отличить трафик VPN от трафика DNSCrypt, они оба шифрованные одними и теми же алгоритмами.
#37 | 19:53 15.09.2021 | Кому: dse
> > А вот это не факт - энтропию пакетов понизить несложно.
> Отвечаешь? Любой хороший шифртекст обладает наивысшей возможной энтропией. А если не обладает — это херовый шифртекст, легко поддающийся криптоанализу и взлому.

Дык понизить надо не качество шифрования, а плотность информации - завернуть пакет во что-нибудь с нулями/регулярками.

> > DNSCrypt при этом выигрышнее, чем просто VPN.

> Чем?

Ну это при условии, что шифровать и разбавлять только DNS пакеты, конечно же.
#38 | 20:32 15.09.2021 | Кому: amb
> Дык понизить надо не качество шифрования, а плотность информации - завернуть пакет во что-нибудь с нулями/регулярками.

Ты разбавлять планируешь каким-то алгоритмом? Но ведь DNSCrypt — это общедоступное ПО, и этот алгоритм немедленно станет известен проектировщикам средств автоматической блокировки шифрованного трафика.

> Ну это при условии, что шифровать и разбавлять только DNS пакеты, конечно же.


DNSCrypt использует совершенно то же самое шифрование, что и VPN. И потому ты точно так же сможешь «разбавлять» и трафик VPN.
#39 | 06:46 16.09.2021 | Кому: dse
> Ты разбавлять планируешь каким-то алгоритмом? Но ведь DNSCrypt — это общедоступное ПО, и этот алгоритм немедленно станет известен проектировщикам средств автоматической блокировки шифрованного трафика.

И что это им даст в плане вычисления энтропии "на лету"? Каждый пакет будут пытаться декомпилировать обратным алгоритмом и тогда уж вычислять энтропию, так? Сомнительно выглядит - из обычного https пакета может что угодно получиться. Зависит от алгоритма, конечно. Но уж его умные люди придумают, с разными вариантами.
#40 | 06:55 16.09.2021 | Кому: amb
> И что это им даст в плане вычисления энтропии "на лету"? Каждый пакет будут пытаться декомпилировать обратным алгоритмом и тогда уж вычислять энтропию, так?

Да.

> Сомнительно выглядит - из обычного https пакета может что угодно получиться. Зависит от алгоритма, конечно.


Машина железная и машин много. Что угодно получиться не может, может получиться только строго предопределённый результат работы алгоритма. Достаточно всего лишь перебрать известные алгоритмы, чтобы получить результат.

> Но уж его умные люди придумают, с разными вариантами.


После того, как умные люди придумали, описали и изложили на машинном языке некий алгоритм, его смогут исполнять любые тупые машины.
#41 | 07:38 16.09.2021 | Кому: dse
> Что угодно получиться не может, может получиться только строго предопределённый результат работы алгоритма.

Я имею в виду, что обрабатывая любой случайный пакет по алгоритму, обратному "разбавлению", можно получить непредсказуемый результат и принять ошибочное решение.
Например, я "разбавляю" так: в шифрованном блоке удваиваю биты, потом дублирую всю последовательность 10 раз. Обратный алгоритм: взять одну десятую пакета, потом удалить каждый второй бит. Если такое проделать с пакетом, в котором просто картинка с котиком - вполне вероятно, что результат будет иметь весьма высокий уровень энтропии.
#42 | 09:08 16.09.2021 | Кому: amb
> > Я имею в виду, что обрабатывая любой случайный пакет по алгоритму, обратному "разбавлению", можно получить непредсказуемый результат и принять ошибочное решение.

Задача — получить пакет с высокой энтропией хотя бы один раз.

> Если такое проделать с пакетом, в котором просто картинка с котиком - вполне вероятно, что результат будет иметь весьма высокий уровень энтропии.


Нет, не будет. Прореживание не увеличивает энтропию.
#43 | 11:14 17.09.2021 | Кому: dse
> Нет, не будет. Прореживание не увеличивает энтропию.

1. Не увеличивает, если сравнивать с энтропией исходного пакета. А тут не сравниваем, просто берём случайный пакет и обрабатываем - можно ненароком получить теоретический максимум.
1. Непонятно, считать будут всё же чистую энтропию или её плотность? А то получится показатель 12, например - это много для килобайта, но мало для мегабайта.
2. Как будет различаться шифрованный пакет и упакованный зипом, например? Подозреваю, что никак.
Войдите или зарегистрируйтесь чтобы писать комментарии.