Ростелеком запретил использование публичных DNS

[censored]

По информации телеграм-канала «ЗаТелеком», «Ростелеком» потребовал от своих клиентов внести изменения в DNS-адресацию и запретить к использованию для выдачи абонентам с BRAS и DHCP и в технологических сетях сервисы DNS от Google, Cloudflare и Cisco OpenDNS. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен).

«Ростелеком» посоветовал в случае массового обращения клиентов не рекомендовать им продолжать использовать общедоступные бесплатные публичные DNS-сервисы Google и Cloudflare, а в ручную перенастроить их на DNS «Ростелекома» и НСДИ.

8 сентября с 21 часа до 22 часов по московскому времени Роскомнадзор с помощью оборудования ТСПУ (технических средств противодействия угрозам) на площадках некоторых крупных провайдеров РФ в тестовых целях заблокировал публичные DNS-сервисы Google и Cloudflare. Ведомство без предупреждения и в рабочих сетях под нагрузкой на час закрыло доступ к зарубежным общедоступным бесплатным публичным DNS серверам, включая 1.1.1.1 и 8.8.8.8. Сервисы Яндекс.DNS под тестовую блокировку не попали.

Под блокировкой в течение часа были:

DNS-сервера Cloudflare — 1.1.1.1 и 1.0.0.1;
DNS-сервера Google — dns.google, 8.8.8.8, 8.8.4.4;
сервис DoH Cisco — doh.opendns.com.


Позже СМИ сообщили, что помимо блокировок публичных DNS, массовые блокировки Роскомнадзором VPN-сервисов через DPI повлияли на работу в РФ сайтов Twitch, Avito, стримингового сервиса FlashScore, игр World of Tanks и World of WarShips. Также пользователи зафиксировали ограничения на использование протокола Bittorrent у некоторых провайдеров. Под блокировку также попали пользователи «Ростелекома», которые используют протокол BitTorrent. Оператор связи на Урале и в Краснодарском крае заблокировал у себя соответствующий протокол на уровне DPI а также закрыл доступ к протоколу DHT. На запрос в техподдержку одному пользователю ответили, что «торренты — это пиратство, поэтому они теперь блокируются». В настоящее время РТК снял блокировки. Неясно, это было какое-то тестирование или ошибка.

Из комментов на Хабре:

> Очень интересно, что будет происходить в Сети с 17 по 19 сентября... Стоит снять наличные, кстати.

> > Из комментов на Хабре
>
> 17-го бюджетники будут электронно голосовать за кого надо. А вот 20-го возможно всякое.
>

у товарище на хабре как у плешивого, все мысли о бане голосовании, идиоты
на месте этих дураков надо напрягаться что вообще весь инет разрежут на куски и не по инициативе злобного путина

> это разве это плохо?

Прекрасно. Чем мельче у человеков разрозненные группки, тем быстрее человеки перестанут всем досаждать как вид.

> например как Китай, да?

Не совсем, Китай линии интернет не рубит, у них эффективных россиян в правительстве нет. А у нас есть и они обрубят провода в будущем, потому что идиоты всегда всё делают одинаково и с единственно возможным результатом.

> это разве плохо?

это плохо, тк 90 процентов оборудования могут вообще отключится, а на них завязаны куча технологических процессов от связи до систем управления как городским хозяйством так мб и объектами повышенной опасности

не зря такие проверки стали проходить

> у товарище на хабре как у плешивого, все мысли о бане

Там вроде почти все такие

> Там вроде почти все такие

Мягко сказано, мягко.

Камрады, поясните что сие значит, а то я в этой теме не петрю.

> Камрады, поясните что сие значит, а то я в этой теме не петрю.

Это не для нас писано, а для ростелекомовских технарей и поддержки, а также для подневольных мелких провайдеров. Потенциально может значить попытку создания чебурнета по китайскому образцу. Более вероятно - для контроля над разрешением сетевых имен, как разъяснил камрад Склеп.

> Разве что только если других не будет.

А других и не будет. Ну, разве что, Starlink от мошенника Маска.

> заблокировал своим клиентам доступ к любым DNS-серверам, кроме своих.

DNSCrypt пробовал?

> Каким образом DNSCrypt может помочь успешному выполнению рекурсивных запросов, если провайдер тупо заблокировал трафик DNS?

Цитата с хабра, например:
Во-первых, DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM.
Во-вторых, вы больше не привязаны к серверу провайдера или настройкам своего роутера. DNSCrypt обращается за адресами напрямую на указанный вами сервер.

То есть, трафик DNS провайдеру не виден. У себя можешь ещё поставить кеширующий сервер, для скорости.

> Я этим "общедоступным" серверам не доверяю в той же степени, что и серверам своего провайдера.

Только от корня, только хардкор? Ну, тады ой!

А чем провайдер обосновывает блокировку портов?

> это не мой непосредственный провайдер, он промежуточный

А непосредственно твой почему такой убогий - есть объяснение?

> Скупила их Цифра1.

Вотт придумалось: надо где-нибудь за пределами Цифры1 арендовать виртуальную машину, развернуть на ней свой DNS и пробросить туда канал DNSCrypt (серверная часть тоже доступна).

> придушивает те из них, через которые хотя бы в одну сторону передаётся информация, энтропия которой выше определённого порога, что может свидетельствовать о передаче шифрованного трафика.

Серьёзно? Охуеть!
А как же будут работать всякие федеральные сервисы, которые только через випнет?

> DNSCrypt при этом, естественно, тоже накроется медным тазом.

А вот это не факт - энтропию пакетов понизить несложно. DNSCrypt при этом выигрышнее, чем просто VPN.
Но да, всё будет стоить денег.

> > А вот это не факт - энтропию пакетов понизить несложно.
> Отвечаешь? Любой хороший шифртекст обладает наивысшей возможной энтропией. А если не обладает — это херовый шифртекст, легко поддающийся криптоанализу и взлому.

Дык понизить надо не качество шифрования, а плотность информации - завернуть пакет во что-нибудь с нулями/регулярками.

> > DNSCrypt при этом выигрышнее, чем просто VPN.
> Чем?

Ну это при условии, что шифровать и разбавлять только DNS пакеты, конечно же.

> Ты разбавлять планируешь каким-то алгоритмом? Но ведь DNSCrypt — это общедоступное ПО, и этот алгоритм немедленно станет известен проектировщикам средств автоматической блокировки шифрованного трафика.

И что это им даст в плане вычисления энтропии "на лету"? Каждый пакет будут пытаться декомпилировать обратным алгоритмом и тогда уж вычислять энтропию, так? Сомнительно выглядит - из обычного https пакета может что угодно получиться. Зависит от алгоритма, конечно. Но уж его умные люди придумают, с разными вариантами.

> Что угодно получиться не может, может получиться только строго предопределённый результат работы алгоритма.

Я имею в виду, что обрабатывая любой случайный пакет по алгоритму, обратному "разбавлению", можно получить непредсказуемый результат и принять ошибочное решение.
Например, я "разбавляю" так: в шифрованном блоке удваиваю биты, потом дублирую всю последовательность 10 раз. Обратный алгоритм: взять одну десятую пакета, потом удалить каждый второй бит. Если такое проделать с пакетом, в котором просто картинка с котиком - вполне вероятно, что результат будет иметь весьма высокий уровень энтропии.

> Нет, не будет. Прореживание не увеличивает энтропию.

1. Не увеличивает, если сравнивать с энтропией исходного пакета. А тут не сравниваем, просто берём случайный пакет и обрабатываем - можно ненароком получить теоретический максимум.
1. Непонятно, считать будут всё же чистую энтропию или её плотность? А то получится показатель 12, например - это много для килобайта, но мало для мегабайта.
2. Как будет различаться шифрованный пакет и упакованный зипом, например? Подозреваю, что никак.