moder
Администратор
Команда форума
Источник: http://wecantrust.net/forum/viewtopic.php?f=4&t=66
Технические специалисты работающие с реестром Роскомнадзора уже должны были заметить, что относительно новых рекомендаций Роскомнадзора по фильтрации нежелательного контента на сетях операторов связи, неявно объявлена война. Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте...
Всё это приводит к одному из двух событий:
Сценарий 1. Если оператор связи вольно трактовал рекомендации и решил что можно просто резолвить доменное имя в IP-адрес и указанные адреса блокировать, то такие сайты оказываются недоступными. Так например, c 19.03.2014 по 20.03.2014 наша компания не могла выгрузить реестр Роскомнадзора, как выяснилось блокировка осуществлялась на сети Ростелеком. После разбирательств, выгрузка заработала, однако до полного восстановления связи с сайтом vigruzki.rkn.gov.ru дело не дошло, так например у нас до сих пор (02.04.2014) данный сайт не пингуется и даже не трассируется, работает только выгрузка по 80му порту, а ответ нашего поставщика был таков:
Далее, а не подумали вы, о том, что таким образом можно направить не только тяжелый медиаконтент, но и к примеру такой критичный трафик, как трафик корневых DNS-серверов? К примеру, кто знает сервера отвечающие за зону .RU ? узнать это достаточно просто
Что будет если Навальный или его последователь, в заблокированном домене добавит запись CNAME ссылающися на домены a.dns.ripn.net, e.dns.ripn.net, d.dns.ripn.net, b.dns.ripn.net, f.dns.ripn.net ? а произойдет скорее всего то, что часть или даже почти все сайты зоны .RU станут не доступны, и скорее всего даже у тех операторов связи которые не использовали рекомендации Роскомнадзора и не пытались самостоятельно преобразовывать доменные имена в IP и блокирует только по тем адресам которые указаны в реестре.
А если так поступить с корневыми серверами? тогда в российском сегменте интернета колбасить будет почти все сайты.
Далее, я наблюдаю, что многие крупные сайты тоже сделали свой ответный ход и полностью переходят протокол HTTPS, в их числе google.com, facebook.com, twitter.com, vk.com. Youtube.com пока ещё доступен и по HTTP и по HTTPS, но полагаю не за горами то время когда они полностью перейдут на HTTPS. К чему это приведет? а привет к тому, что ваш DPI не сможет фильтровать по URL, т.к. в протоколе HTTPS URL шифруется вместе со всем остальным контентом. У вас будет выбор, либо смириться что фильтрация по URL не возможна, либо блокировать ресурс целиком. Интересно, каковы будут рекомендации Роскомнадзора в этом случае?
Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?
Технические специалисты работающие с реестром Роскомнадзора уже должны были заметить, что относительно новых рекомендаций Роскомнадзора по фильтрации нежелательного контента на сетях операторов связи, неявно объявлена война. Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте...
Всё это приводит к одному из двух событий:
Сценарий 1. Если оператор связи вольно трактовал рекомендации и решил что можно просто резолвить доменное имя в IP-адрес и указанные адреса блокировать, то такие сайты оказываются недоступными. Так например, c 19.03.2014 по 20.03.2014 наша компания не могла выгрузить реестр Роскомнадзора, как выяснилось блокировка осуществлялась на сети Ростелеком. После разбирательств, выгрузка заработала, однако до полного восстановления связи с сайтом vigruzki.rkn.gov.ru дело не дошло, так например у нас до сих пор (02.04.2014) данный сайт не пингуется и даже не трассируется, работает только выгрузка по 80му порту, а ответ нашего поставщика был таков:
Сценарий 2. Допустим оператор связи правильно понял рекомендации и даже смог их выполнить (резолвить домены в IP, добавлять маршруты на DPI)? тогда трафик таких сайтов пошел на DPI и систему фильтрации. Роскомнадзор полагает что фильтруемого трафика будет не много. Но учел ли Роскомнадзор, что таким образом можно направить на DPI большой объем трафика от легальных сайтов? Вот возьмем например Вконтакте, состоит он из множества серверов, какие-то отвечают за отдачу HTML-кода (который не дает много трафика), это сам vk.com, а есть и отдельные сервера отдающие медиаконтент (картинки, музыка и видео) и вот они то дадут существенный поток трафика если их направить на DPI.
Далее, а не подумали вы, о том, что таким образом можно направить не только тяжелый медиаконтент, но и к примеру такой критичный трафик, как трафик корневых DNS-серверов? К примеру, кто знает сервера отвечающие за зону .RU ? узнать это достаточно просто
Код:
alex@shade:~> nslookup -type=NS ru
Server: 10.19.3.4
Address: 10.19.3.4#53
Non-authoritative answer:
ru nameserver = f.dns.ripn.net.
ru nameserver = a.dns.ripn.net.
ru nameserver = e.dns.ripn.net.
ru nameserver = d.dns.ripn.net.
ru nameserver = b.dns.ripn.net.А если так поступить с корневыми серверами? тогда в российском сегменте интернета колбасить будет почти все сайты.
Код:
alex@shade:~> nslookup -type=NS .
Server: 10.19.3.4
Address: 10.19.3.4#53
Non-authoritative answer:
. nameserver = h.root-servers.net.
. nameserver = d.root-servers.net.
. nameserver = g.root-servers.net.
. nameserver = i.root-servers.net.
. nameserver = l.root-servers.net.
. nameserver = k.root-servers.net.
. nameserver = b.root-servers.net.
. nameserver = e.root-servers.net.
. nameserver = f.root-servers.net.
. nameserver = j.root-servers.net.
. nameserver = a.root-servers.net.
. nameserver = c.root-servers.net.
. nameserver = m.root-servers.net.Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?
