Зыков: айтишники предложили АП откопать «белые списки», сайты из них РКНу нельзя блокировать

Развитие событий: Бунин объяснил, что разговоры с РКН в АП о «белых списках» — это паллиатив (4 мая)

Владимир Зыков, знаменитый в прошлом журналист «Известий» и директор Ассоциации профессиональных пользователей социальных сетей и мессенджеров сейчас, рассказал, что в администрации президента обсудили блокировку интернета. В частности представители it-рынка Олег Бунин («Онтико», один из пионеров Рунета), Сергей Кравцов (OMMG Technology) и другие предложили создать так называемые «белые списки». Внесённые в них сервисы не будут блокироваться при массовых блокировках, подобных блокировкам в попытке перекрыть доступ из Рунета к запрещённым Telegram или Zello. Для противодействия крамольным мессенджерам Роскомнадзор вносил в «выгрузку» на блокировку миллионы ip адресов хостинговых площадок Google, Amazon и других. Позднее под краткую блокировку попали даже «Яндекс», соцсети Mail.ru Group «Одноклассники» и «ВКонтакте», Liveinternet и другие крупнейшие россияне в онлайне. Краткий блок заставил «Яндекс», Mail.ru заговорить о разрушении Рунета (блокировку Google/Amazon они в публичном поле проигнорировали). В 2017-м Роскомнадзор уже эксперементировал с «белыми списками» по собственной инициативе, но быстро их отозвал. Ответственности за неправомочные блокировки в России нет.

Один из инициаторов морального давления на РКН и создатель индикатора «ковровых блокировок» Филипп Кулин лапидарно прокомментировал идею «белых списков»:

Их можно запустить не внутри кабинета только во сне.

Впервые Роскомнадзор сделал «белый список» для провайдеров, чтобы они не блокировали «Яндекс», Google и Mail.ru, в июне 2017 года. Затем ведомство переложило на операторов вину за ненужные блокировки разрешённых сайтов, а через неделю отменило действие «белых списков» для некоторых провайдеров. В сентябре 2017 глава управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев рассказал, что Роскомнадзор отказался от «белых списков» сайтов, так как ведомство придумало, как исключить блокировку законопослушных сайтов без использования механизма «белых списков». Весной 2018 года подтверждение этому утверждению найти стало сложнее, так как после попытки заблокировать Telegram, мессенджер продолжил работу, однако проблемы с доступом появились совсем у других сайтов и сервисов, например хостящихся на Amazon.

Добавить 56 комментариев

  • Ответить

    За что и люблю нашу страну. У нас все инициативы правительств только по просьбам трудящихся….

    Скоро будет «всем пацанам надеть намордники и радоваться.» под бодрые аплодисменты и «по многочисленным просьбам трудящихся»

  • Ответить
    Alexey Koscheev ООО Айхэд

    В белый список надо добавить все Российские IP-адреса (как определить российский IP-адрес или нет — отдельная тема). Владельцев и пользователей таких IP-адресов легче всего найти, привлечь к ответственности, заставить устранить нарушения.

  • Ответить

    Согласен. Проблемы с выявлением Российских ИП и нет. Пишете заявление и лично приносите его в местное ФСБ: в письменном виде в трёх экземплярах с фотографиями, отпечатками пальцев и ключами шифрования. Вот заживем

  • Ответить

    >В белый список надо добавить все Российские IP-адреса

    По моему проще весь иностранный трафик гнать только через точки обмена принадлежащим гос. компаниям типа ростелекома.
    Тогда белые списки не понадобятся, провайдеры выдохнут, рунет станет стабильным и более быстрым.
    Все-таки это не шутка, каждый запрос по списку проверять, чем дальше, тем списки будут больше, скорость рунета меньше.

  • Ответить

    Архиважно чтобы списки были на блокчейне, а вход в список сервисов первого сорта был платным. Например у кого-то есть только 1 ip-адрес, с него 100 рублей. У Amazon — 50 млн ip-адресов. С них 5000 миллионов рублей. Всё честно. Деньги может собирать всё тот же «Ревизор», почему нет.

  • Ответить

    Фактически каждый запрос по списку не проверяют. На фильтрующее оборудование посредством маршрутизации загоняются только запросы к определенным IP-адресам и только такие запросы рассматриваются «под луппой».

  • Ответить
    Филипп Кулин ООО Дремучий Лес

    Вот эти все разговоры про российские IP — это примерно куда и белые списки — в сны. Есть нормативная база, включая законодательство. Она не подразумевает ни белых списков, ни применения закона только для трансграницы. Хотя основная мысль такая была — защита от импорта чужого законодательства, но дальше обсуждения на трибунах она не зашло и было принято то, что принято.

    Для того, чтобы влажные фантазии «российские ip не трогаем» — надо просто взять и переписать всё законодательство по блокировке. А не все будут за. Например против будут все силовые ведомства, ибо им это грозит тем, что работать придётся. Собственно, ещё на уровне обсуждения законопроекта в далеком 2012 году так прямо и предлагали — пусть ловят преступников. Но нет.

  • Ответить
    Cat

    Напоминает застойное кто не в списках тот пиписка, а кто в списках человек :) Опять проблема одна, это узость мышления, дилетантизм, попытка из говна и палок построить самолёт, то есть дело не в дорогах и успешном внедрении решившего практически за год все проблемы русских дорог платона. Вся интернет отрасль, все инновации в отрасли, все новые библиотеки, все рабочие инструменты и все операционные системы разрабатываются там, возьмём в качестве примеров виртуализацию, интернет вещей, микросервисы, криптовалюты, дроны, декларативное (программное) администрирование компьютеров переименованное в DevOps всё это придумано и развивается на западе, а у нас используется в зачаточной фазе, с отставанием в 5 — 10 лет и это отставание уже дано нам за то, что практически никто здесь не владеет английским языком, его не учат до состояния свободно читать документацию в школе и отсюда, все прорывные технологии там, доползают до нас с большим опозданием через англочитающих или говорящих на англицком гуружрецов или представителей западных компаний работающих у нас тут, роняя постоянно на пол рублик власть уже сделалала деятельность западных фирм здесь почти бессмысленной и рассчитывать всё больше приходиться только на свои силы, поэтому все хостеры все иновационные облачные сервисы у нас будут скромной копией западных аналогов, с учётом нашего скудного финансирования и бюджета у хостеров и у потребителей. Вот в эту печальку, нам предлагают добавить списки IP, окей пацаны, это волшебный способ, допустим он будет сказочно на 80 уровне мастерства внедрён, но даже в этом случае результатом будет просто отствание не на 5 — 10 лет, а на 10 — 15 и всё, никаких поимок негодяев, накакой пользы обществу, нигде никому никаких денег, с внедрением же ip6 следующим «предложением» властей будет обособить наш сегмент интернета, это уже приведёт не увеличению тех разрыва временнОго, а забыванию технологий, ну как если бы ради борьбы с негодяями мы бы отказались от использования колеса, конечно, под борьбой с негодяйцами и террорюгами запрещёнными в России, мы понимаем борьбу власти с как ей кажется попытками народа через общение в интернете договориться и свергнуть таки насильственным путём енту сакрально скрепенную власть («смерть атеистам, пиндос и укроп не пройдёт, будем стоять на смерть, русский с сирийцем братья на век и далее по бреду»), ради того, чтобы не допустить этого всего безобразия, стоит запретить вообще всё включая массовые собрания (более 3 человек), раздавать водку бесплатно в магазинах, за просмотр 1 канала в течении 3 часов в день добавлять пенсию и зп. посмертно в отдельный фонд посмертного благосостояния русских и хранить его неприменно в пиндоской валюте, дабы супостату было больно. Что касемо методов борьбы с этими явлениями то для начала, надо организовать партию, к примеру Российскую социал-демократическую рабочую (включая офисный планктон) партию, начать писать друг друг записки молоком, бороться с провокаторами сотрудничающими с охранкой и т. п. и т. д. :)

  • Ответить
    Cat

    ps. Чисто технически IP6 позволит назначить айпишку каждому оконечному устройству и все их конторки немедленно выпустят подобное оборудование, а развитие всех натов будут производить по остаточному принципу, это приведёт к тому, что каждый телефон, сможет играть роль прокси или узла в «блокчейне», это сделает текущий VPN, анахронизмом и породит бум новых TOR ов и таррентов (сетей доставки контента), ускорит внедрение 5G 6G и возможно прямой коммуникации между устройствами, для этого надо будет ещё раз осуществить вложения в опорную сеть (заменив всё оборудование и все клиентские устройства), так как чтобы передавать такие объёмы данных (аккординг шеннонс теорем), нужны сверхвысокие частоты, стандарты и оборудование как сейчас для 5G для всего этого будет делаться только на западе, конечно, в этой картине мира, пусть она будет даже на 50% реализована в ближайшем будущем, нет места не роскомузору ни законам ябловой, да и вообще, работа в интернете вещей и глобальном распределённом хостинге и поисковике, не предполагает вообще никаких централизованных структур включая гугл и амазон (так как они сейчас выглядят с точки зрения организации работы с данными) и вполне вероятно, что какой нибудь стартап раньше гигантов оседлает эту сильно распределённую сеть, не с точки зрения потребления данных как сейчас, но и с точки зрения хранения, обработки и скрытой обезличенной передачи данных.

  • Ответить
    Cat

    pss. И да всё это они делают там для того, чтобы развивать цивилизацию там, а не для того чтобы свергнуть царя здесь, ну то есть каток стелющий асфальт, ежа не замечает делая из него наклейку, но при этом для всех ежей, лягушек и червей он и его пилот экзистенциальный враг это данность при развитии сети дорог в стране путём их масштабного строительства или вообще любого развития чего угодно, а не деградации.

  • Ответить

    Чисто технически IP6 позволит назначить айпишку каждому оконечному устройству и все их конторки немедленно выпустят подобное оборудование, а развитие всех натов будут производить по остаточному принципу, это приведёт к тому, что каждый телефон, сможет играть роль прокси

    какие-то, в самом деле, влажные мечты. начать хотя бы с конца — а владелец того самого каждого телефона захочет, чтобы его телефон был прокси? со всей вытекающей ответственностью перед законом?

    и в который раз уже тут слышу молитву про IPv6, а что IPv6 кардинально изменит с блокировками? в реестре будут еще и адреса туннелей, и дальше что?

    опыты по внедрению IPv6 в абонентских сетях говорят о том, что мероприятие это в первую очередь УБЫТОЧНОЕ, ну и еще довольно сложное, требущее весьма квалифицированных кадров НА МЕСТАХ, что в наши неспокойные глобалистические времена большая редкость. и капитал как бы говорит вам: какие вам кроссовочки (IPv6), вы еще конёчки (IPv4) не износили.

  • Ответить

    При текущем количестве уязвимостей, которые всплывают буквально каждый месяц, я бы не хотел чтобы мои, например, устройства оказались в интернете голой жопой. И нат здесь вполне уместен, никуда он не денется.

  • Ответить

    >На фильтрующее оборудование посредством маршрутизации загоняются только запросы к определенным IP-адресам

    Это ведь тоже затраты, понять относится IP к определенным адресам или нет.
    Тут наверное Кулин мог бы подсказать, сколько записей в базе заблокированных IP, а то я так понимаю большая часть заблокированных IP на макси приходится.

    >Эдак и китайский трафик прикроют-чем будут торговать магазины запчастей

    Если вы под трафиком понимаете интернет трафик, то с чего вы решили что российские магазины получают какой то профит от деятельности того же алиэкспресса?
    Если вы под трафиком понимаете товарный трафик, то нам торгашам все равно что продавать, у меня например в ассортименте до половины товаров российского производства, да и сам я имею опыт производства автоэлектроники, вот такие штуки производил:
    https://avtogsm.ru/index.php?show_aux_page=146

    >дык, напишут.

    Вообще странно когда в этом видят какую то проблему, люди употребляющие слова типа бешенный принтер.

    >и в который раз уже тут слышу молитву про IPv6, а что IPv6 кардинально изменит с блокировками?

    Даже если что то и изменит, значит быстрее будет именно иностранный трафик резаться без меры, уже никого не будет волновать что какой то иностранный сервис отвалился при не ловком действии РКН, сами виноваты что сервера не перенесли.

  • Ответить
    Alexey Koscheev ООО Айхэд

    Всего уникальных IP-адресов в реестре 87804, из них 74 — сети с маской от /10 до /24
    Такое количество записей не является проблемой.

  • Ответить

    В общем, уже точно понятно, что если делаешь какой-нибудь интернет продукт, то нужно обязательно блокировать РФ по geo-IP. Еще одно подтверждение. Все токсичней и токсичней, с каждым годом.

  • Ответить

    >Всего уникальных IP-адресов в реестре 87804, из них 74 — сети с маской от /10 до /24

    Спасибо, думал больше.

    >В общем, уже точно понятно, что если делаешь какой-нибудь интернет продукт, то нужно обязательно блокировать РФ по geo-IP.

    Если этот «продукт» на три калеки и российский хостинг, для российской же аудитории экономически не оправдан, то боюсь ваш «продукт» и в других странах не взлетит.

  • Ответить

    Но надо учесть ещё ресолв, который никто не отключил, хотя он уже противоречит нормативам. Это ещё 50k (без учета пересечений, умозрительно — около 25k). И судя по тому, как наполняется выгрузка — скоро можно будет начать напрягаться.

  • Ответить

    Для вас наверное секрет, что люди обычно начинают с небольшого бизнеса «на три калеки», а уже потом вырастают и создают что-то более крупное. Все эти действия негативно сказываются на начинающих, которым удобно пользоваться инфраструктурой AWS/DO.

  • Ответить

    «По моему проще весь иностранный трафик гнать только через точки обмена принадлежащим гос. компаниям типа ростелекома»

    Гораздо правильнее вообще запретить частный бизнес.

  • Ответить

    «Эдак и китайский трафик прикроют-чем будут торговать магазины запчастей, георгиевскими ленточками? Нет-их вроде тоже в Китае производят»

    А вот я придумал тему

    1. Размещаешь на сайте (в мессенджере, где угодно) георгиевскую ленточку
    2. Если его блокируют значит они против георгиевской ленточки, а значит против победы

  • Ответить
    Cat

    По поводу IPv6 вся эта жгучая деятельность, сейчас базируется только на конечном кол-ве IP и ценности IP адреса как ресурса, как только IP адресов станет на порядок больше и ценность их как ресурса упадёт, можно будет поставить на любой шлюз тысячи адресов, засунуть их в списки будет проблемой, сама по себе фильтрация, чего бы то ни было на сети, которая по принципу работы должна бороться с отказами и потерями уже бред, фактически роскомузор это всего лишь ещё одна точка отказа и, да, её надо учесть в будущих протоколах, в каком нибудь разделе «окончательное решение вопроса» о деятельности сумашедших из «госструктур» с влажными мечтами о контроле интернета и чтении частной переписки людей, математика позволяет элегантно засунуть их всех в жопу и никогда больше их оттуда не вынимать, тот же TOR вопиющий пример.

    По поводу ресолвов и т. п. ну если вы пытаетесь жить в горящем доме, готовить еду в горящей спальне и т. п. это мягко говоря дико, сотрудничать с пожаром? любить сумашедших террористов ломающих и убивающих бизнес? — единственное, что могло помочь в этом случае это забастовка всех провайдеров и отказ в выполнении требований этих полудурков, но мы видим что даже закон ябловой в итоге сотовики исполняют, хотя это бред немыслимый, чего уж говорить про какую то фильтрацию айпи пусть даже она разносит всё к х.ям :)

  • Ответить
    Cat

    ps. И да я думал это всем очевидно, но придётся разжевать, если бы ipv6 уже бы работал, то такая структура как облако амазон, назначала бы уникальные айпи всем (или по требованию) своим пользователям и наверняка бы существовала услуга, в получении раз в час (10 минут) нового девственно чистого айпи, никем до этого не использованого, это простейшая схема в которой фильтраторам придётся столкнуться с частым обновлением фильтров, при обновлении которых смысла в обновлении уже нет так как ip к тому времени поменялся. Был пожая тема с частой сменой записей в днс, для ботнеток, когда ботнетки управлялись централизовано с конкретных серваков, после внедрения технологии пирсети в ботнет Евгением Богачёвым по моему сошла на нет, но идея проста, чем быстрее меняется запись тем тяжелее отслеживающему данную запись роскомузору сохранять работоспособность своих гавнофильтров.

  • Ответить
    Олег Бунин Лаборатория Олега Бунина

    Коллеги, тут тоже зафиксирую, чтобы не было лишних эмоций.

    Никто не говорил вчера о белых списках, к которым разрешён доступ, а к остальным запрещён. Говорили о списках исключений, списках исключений из блокировок Роскомнадзора.

    Да, такой список крайне неудачно назвали «белым списком исключений», правильно было бы просто «список исключений».

    РКН заблокировал подсеть, но в подсети есть ресурсы, которые заблокированы неправильно. Сейчас судьба таких ресурсов игнорируется. Обсуждался механизм, который позволит такие ресурсы разблокировать — список исключений из блокировки.

    Да, все прекрасно понимают, что это костыль, который не надо было бы даже обсуждать, если бы РКН блокировал ресурсы корректно.

    И да, все понимают (ну я на это очень надеюсь), что запрет доступа ко всему Интернету, кроме белого списка, убьёт отрасль.

  • Ответить

    Да мы всё поняли, ты не переживай так, разъяснять нам не нужно ничего, план отличный, исключения из бана, в качестве меры … зевая, сложно, сложно это всё, можно проще и с экономией 9.5 млрдов рублей, народных денег.

    1. Разгонать к х.ям роскомузор, всем сотрудникам, а так же их детям и внукам запретить занимать госпосты старше уборщика, с такой генетикой на госслужбе им точно делать нечего, пусть попробуют себя в бизнесе, например, в интернет бизнесе.
    2. Кулера посадить на 25 лет за террористическую деятельность в стране, ущерба он точно больше нанёс чем фанаты ЫГЫЛ за тоже время.
    3. Павла Дурова наградить героем труда России за создание вк и телеграмма, назначить министром связи (если согласиться), так как он точно понимает в связи больше, чем эти тупые животные :)

  • Ответить

    Никто не говорил вчера о белых списках, к которым разрешён доступ, а к остальным запрещён. Говорили о списках исключений

    Дадада. Нет такого цвета, как «черный», есть только отсутствие излучения в видимом спектре. Тфу.

  • Ответить

    как только IP адресов станет на порядок больше и ценность их как ресурса упадёт, можно будет поставить на любой шлюз тысячи адресов

    на какой еще «любой шлюз» какие еще «тысячи адресов» и кто поставит? и главное — зачем? еще один демидов.

    засунуть их в списки будет проблемой,

    не проблема, будут засовывать сразу подсетями /64.

    сама по себе фильтрация, чего бы то ни было на сети, которая по принципу работы должна бороться с отказами и потерями уже бред,

    вам в детстве папа читал сказки про IPv6? ну так вот, это всё были сказки.

    И да я думал это всем очевидно, но придётся разжевать, если бы ipv6 уже бы работал, то такая структура как облако амазон, назначала бы уникальные айпи всем (или по требованию) своим пользователям и наверняка бы существовала услуга, в получении раз в час (10 минут) нового девственно чистого айпи, никем до этого не использованого,

    девственно чистый IP будет из сетей амазона же, да? ну так заблокируют сразу всю сеть, в чем проблема-то? жуйте еще.

    это простейшая схема в которой фильтраторам придётся столкнуться с частым обновлением фильтров, при обновлении которых смысла в обновлении уже нет так как ip к тому времени поменялся.

    эта простейшая схема будет быстро зарезана самим амазоном, так же как недавно была зарезана тема с domain fronting.

  • Ответить

    Давай так прежде чем вступать в полемику, пару тупых вопросов по матчасти, а то знаешь полемизировать с клоунами и дебилами жаль времени, сильно пахнет самозанятым не тем техническим специалистом.

    0 сколько в IPv6 айпишек всего?
    1 сколько в IPv6 подсетей /64 всего?
    2 ты что нибудь слышал про афёру с рекламкой в америке, которая зарабатывала около 3 млн долларов в день, шумная такая была история, техническая её часть состояла в том что люди контролировавшие тему купили около 3 млн ip4 для работы, поэтому твои вопросы кому нужно почему где когда как бы намекают на нищеброда (мое допущение), но если нет бабла надо нах.й валить с русского интернета в америку ехать работать, нищебродов тут не любят, мы тут люди свободные и не бедные © Стрелок, у меня, например, было несколько тысяч ip4 адресов в распоряжении, когда было надо, даже сейчас чисто для себя у меня 256 нарезкой из разных сетей по 32 :) конечно, если у кого то нет бабла нет серверов нет ничего, то все мы должны поднять лапки и слушать это еб.чее порево? о чём ты споришь? — как весело наёмным техспецом (рабочим) в России и что богатые господа (властная вертикаль) мигом заткнут нас в жопу как сраных рабов в любом случае чтобы мы не делали? ну так ещё Спартак доказал что весело рабовладельцев резать и прославился на несколько веков, бери пример с правильных людей не себя.

  • Ответить

    пару тупых вопросов по матчасти

    это не ко мне, это в гугл и в ip-калькуляторы.
    что принципиально изменится с блокировками, если IPv6 когда-нибудь запустят? правильный ответ: ничего. как ничего не изменится с облаками и их отношениями с государственными органами. будут банить не сетями /24, а сетями /64, и всего делов. что, получится хаотично? так даже лучше. тут ведь что важно: что можно с рожой кирпичом тыкать палкой в тот же амазон по разным сетям, а он что в ответ может сделать? правильно, ничего. будет сотрудничать.

    у меня, например, было несколько тысяч ip4 адресов в распоряжении, когда было надо, даже сейчас чисто для себя у меня 256 нарезкой из разных сетей по 32 :)

    анекдот:
    встречаются два холостяка. один:
    — я женился.
    — ничего себе! наверное красавица?
    — да не, страшная как смерть.
    — ну наверное готовит хорошо?
    — я эту гадость есть не могу.
    — ну наверное в постели огого!
    — да бревно бревном.
    — а зачем тогда женился?
     (в глазах светлеет) знаешь, какие у нее глисты!…
    — ???
    — а, ты не рыбак, тебе не понять.

  • Ответить

    «Иногда утверждается, что новый протокол может обеспечить до 5·1028 адресов на каждого жителя Земли. Такое большое адресное пространство было введено ради иерархичности адресов (это упрощает маршрутизацию). Тем не менее, увеличенное пространство адресов сделает NAT необязательным. Классическое применение IPv6 (по сети /64 на абонента; используется только unicast-адресация) обеспечит возможность использования более 300 млн IP-адресов на каждого жителя Земли.

    Из IPv6 убраны функции, усложняющие работу маршрутизаторов:

    Маршрутизаторы больше не должны фрагментировать пакет, вместо этого пакет отбрасывается с ICMP-уведомлением о превышении MTU. Передающая сторона в IPv6, таким образом, обречена на использование технологии Path MTU discovery. Для лучшей работы протоколов, требовательных к потерям, минимальный MTU поднят до 1280 байт. Фрагментация поддерживается как опция (информация о фрагментации пакетов вынесена из основного заголовка в расширенные) и возможна только по инициативе передающей стороны.
    Из IP-заголовка исключена контрольная сумма. С учётом того, что канальные (Ethernet) и транспортные (TCP и UDP) протоколы имеют свои контрольные суммы, ещё одна контрольная сумма на уровне IP воспринимается как излишняя. Кроме того, модификация поля hop limit (или TTL в IPv4) на каждом маршрутизаторе в IPv4 приводила к необходимости её постоянного перерасчёта.
    Несмотря на больший по сравнению с предыдущей версией протокола размер адреса IPv6 (16 байтов вместо 4), заголовок пакета удлинился всего лишь вдвое: с 20 до 40 байт.

    Улучшения IPv6 по сравнению с IPv4:

    В сверхскоростных сетях возможна поддержка огромных пакетов (джамбограмм) — до 4 гигабайт;
    Time to Live переименовано в Hop Limit;
    Появились метки потоков и классы трафика;
    Появилось многоадресное вещание."
    — это из вики, https://ru.wikipedia.org/wiki/IPv6 анекдот очень смешной прям до слёз, ну, а ты иди с богом, на рыбалку … :)

  • Ответить
    Cat

    ps. Амазон не обязан ничего делать, более того они будут всё больше и больше внедрять IPv6 и в какой то момент, без него работать станет даже здесь невозможно, если конечно, мы не выключим глобальный интернет у себя. Если же его у нас внедрят, то на любом сетевом устройстве не будет памяти для игр в фильтрацию, да и сейчас, предположу, что товарищам приходиться распределять блэклист из роскомузора на несколько устройств или ещё как нибудь изь.бываться, на эту тему тут один техдиректор из крупной компании высказывался на заре принятия закона ябловой и рождения роскомузора, что мол «больно» устройство по фильтрации пакетов покупать, которое закроет вопрос на таких объёмах блэклистов без снижения скорости прохождения трафика, я вот по памяти напишу такая штучка стоит около 200к долларов, но подозреваю, что наши провайдеры не пошли на такие траты и слобали чё нидь на колене, аля пыси с двумя 10gb (1gb) портами придушив тупо скорость для клиентов, как говориться ловить рыбу на глисты и .бать страшных баб, не позорно, а весело для некоторых техспециалистов эдакий мать его челендж :)

  • Ответить

    всё это известно ну примерно всем, кто занимается сетями, вы на что здесь нам глаза открываете? что адресов в IPv6 много, известно всем. и как это относится к блокировкам? никак.

    Амазон не обязан ничего делать,

    сам не обязан, но ему придется, клиенты заставят.

    более того они будут всё больше и больше внедрять IPv6 и в какой то момент, без него работать станет даже здесь невозможно, если конечно, мы не выключим глобальный интернет у себя.

    новый вектор в теме «нувотивсё»: нас не возьмут в IPv6!

    Если же его у нас внедрят, то на любом сетевом устройстве не будет памяти для игр в фильтрацию,

    на любом и сейчас нельзя поиграть. а на вполне средних маршрутизаторах — с легкостью.

    да и сейчас, предположу, что товарищам приходиться распределять блэклист из роскомузора на несколько устройств

    предположение неверное. даже древний 2851 не напрягаясь держит все префиксы из реестра. пока речь идет о десятках тысяч — говорить не о чем. и даже миллион префиксов это уже позавчерашний не день, а уже месяц.

    аля пыси с двумя 10gb (1gb) портами придушив тупо скорость для клиентов

    вижу, вы человек неосведомленный в тонкостях. делается всё просто и без душения скоростей клиентов. в фильтр попадает только трафик на те самые десятки тысяч префиксов из реестра. учитывая, что клиенты ходят на ютуб/вк/одноглазники, а не по сайтам из реестра, загрузка фильтрующего сегмента трафиком клиентов колеблется в районе погрешности. основной трафик идет мимо фильтра.

  • Ответить

    В районе погрешности ничего не колеблется не открываются тысячи сайтов не подгружаются картинки на крупнейших магазинах и тп, это в головах только идиотов может быть картина, когда ты блокируешь без последствий тысячи и миллионы адресов на облачных сервисов это надо быть полным дебилом, чтобы утверждать, что все смотрят только ОК, что нет ни медицины не других интересных тем завязанных на облака из-за блокировки которых кое кто испытывает ох.енные проблемы. И да отчего эти дебилы так и не смогли до сих пор заблокировать телеграмм раз так всё просто в IPv4 а уж IPv6 вообще не проблема?
    По поводу сетевых устройств, даже в германии маршрутизаторы в крупных датацентрах перегружены и приходиться просить, чтобы стойки были размещены в одном «контейнере» без маршрутизаторов и лишних попилов пакетов — это внутри провайдера, это в ситуации когда трафик никуда во вне не уходит и то наблюдаются проблемы, хотя там ноль фильтров, а ты мне рассказываешь про то что вы легко имплементировали роскомузоровские требования? где в ростелекоме? — даже у этих господ при декларированном качестве для клиента 100 мб, в реальности на втором хупе потеря пакетов может достигать 40 процентов в часы пик и на тупые вопросы от пользователей их поддержка заливает мочу в уши, что говорить про остальных провайдеров менее крупных. Словом не надо лить в уши всякую х.йню людям на спец форуме дружок :) пиши в газету мурзилка.

  • Ответить
    Cat

    ps. Ты называй устройства которые хорошо держат нагрузку ростелекомовских фильров, это будет интересно колегам из турции, как известно эти упоротые раньше нас стали бороться с порнухой и фильровать всё подряд по требованию властей, так что про их интернет уже даже песни есть (фая нет вайфая) но это субьективно, а объективно при сопоставимом с 2014 годом кол-ве пользователей в сети, качество связи у нас и без борьбы с телеграммом не росло, от слова совсем, не в мобильном сегменте не в каком, то что открываются ещё однокласники или вк, не повод радоваться, со всем остальным уже давно жопа, особенно с заграничным трафиком (страшно начали тупить гугл карты к примеру), германия штаты ещё более менее открываются, а какая нибудь австралия новая зеландия уже никак, ну и чё то я не припомню в последние годы ввод новых каналов на запад, напомни может я проглядел, какова у нас вообще полоса пропускания на запад и как она растёт (росла) год от году, есть данные? а то может это просто по ощущениям п.здец ну mtr врёт, а на самом деле всё ништяк. И да амазону срать на нас от слова совсем, даже немцам на нас плевать, хотя до амазона им далеко, никто из серьёзных жирных контор не хочет тут ничего строить и никуда ничего вкладывать, это уже данность, раньше было подругому, на западе в отличие от нас терпил ради дурачков из роскомузора не будут гасить свои инфраструктуру всякими гавно фильтрами.

  • Ответить

    В районе погрешности ничего не колеблется не открываются тысячи сайтов

    на абонентских сетях колеблется. вы сидите на принимающей стороне и вам кажется, что если у вас трафика нет — значит ни у кого ничего нет. а с абонентской стороны это выглядит так: не открывается этот сайт? пойду на другой. не прогружаются картинки? позвоню другу-компьютерщику, в техподдержку оператора всё равно не дозвонишься. главное чтобы основное работало — почта, погода, телек.

    из-за блокировки которых кое кто испытывает ох.енные проблемы.

    а кто-то не испытывает никаких проблем. как вы думаете, кого больше?

    даже в германии маршрутизаторы в крупных датацентрах

    сети в датацентрах и абонентские сети — совсем разные сети.

    а ты мне рассказываешь про то что вы легко имплементировали роскомузоровские требования? где в ростелекоме?

    у нас маленький оператор связи в никому не известной области. но вообще у нас да, все имплементировали, с разной степенью легкости. кто купил большую железку, кто на коленке скомстролил. у крупняков вообще всё централизованно: центр оборудование прислал, центр оборудование настроил и запустил.

     — даже у этих господ при декларированном качестве для клиента 100 мб, в реальности на втором хупе потеря пакетов может достигать 40 процентов в часы пик

    такова жизнь крупных операторов: косты режутся, глобализация, попытка впрыгнуть в уехавший поезд ШПД, а абонентская база не сильно растет, и теперь все грызутся за те же самые N квартир в городе. поэтому «большие» тарифы — это маркетинг, а чтобы не приставали умники всякие, написано что тариф ДО N мбит/с.

    Словом не надо лить в уши всякую х.йню людям на спец форуме дружок :)

    если люди пришли на спец форум и имеют неполное понимание темы — можно попробовать объяснить. ну вот как вам.

    Ты называй устройства которые хорошо держат нагрузку ростелекомовских фильров

    все держат разную нагрузку одинаково хорошо, вопрос не в том, чтобы найти какую-то одну железку которую поставить в разрыв, а в том чтобы создать систему, которая будет масштабируемым сегментом сети. если вы не настоящий сварщик сетевик, вам это будет сложно, хотя там всё просто.

    на западе в отличие от нас терпил ради дурачков из роскомузора не будут гасить свои инфраструктуру всякими гавно фильтрами.

    в бриташке работают порнофильтры, в асашай крупняки отвоевали право замедлять интернетик на некоторые направления. а в европе эта вольница тоже не навсегда, и до них дойдет цивилизация когда-нибудь. разумное ограничение это часть культуры.

  • Ответить

    >на западе в отличие от нас терпил ради дурачков из роскомузора не будут гасить свои инфраструктуру

    про «net neutrality» вы ничего не слышали?

  • Ответить
    Cat

    ps. Невозможно идеологически убитому в голову человеку со скудным доходом в той отрасли в которой он работает, объяснить что либо, нет бабла нет ума, всё что он будет делать это вечно спорить с очевидным, в надежде себя убедить, что он не в жопе (я говорю про сотрудников роскомузора и им сочувствующих)

    pss. В европе это вольница навсегда, там дебилов нет, от слова совсем, чтобы себе в ноги и руки стрелять.

    И да понятно, что по железкам которые держат миллионные списки блокировок, отдельных ипнегов эксперды из отрасли ничего сказать не могут, а таких просто нет от слова совсем, а если эксперды будут блокировать подсетями то к ним дебилам рано или поздно придут люди у которых родственники сдохли из-за проблем с их медицинским оборудованием или камеры наблюдения отключились и воры упёрли у них чё нидь с дачи на пару лямончиков какой нидь 4×4 и гидромот и дадут в голову — тупо в башку будут бить тупую, для обучения и лечения заблуждений, но я против насилия и надеюсь терпилы опять стерпят и до этого не дойдёт.

  • Ответить

    Нет про нет нейтралити я ничего не слышал, если только чё то на английском индус начальника с большой кружкой в америке рассказывал, что какой то нетнейтралити был отменён из-за проблем с пропускной способностью каналов и слабой инфраструктуры перегруженной нетфликсом и другими подобными сервисами, борьба с нет нейтралити так же, как я понял из многочисленных публикаций, призвана создать внутри сети платные дороги со скоростным движением для тех сервисов которым нужна практически близкая к реальному времени скорость, точнее прогнозируемые лаги и доступность, это в основном беспилотные машины и возможно банковские (блокчейн) сервисы, поэтому они и отказались от уравниловки в предоставлении качества доступа к сети, так как не хотели строить отдельную сеть для нетфликса (у них уже есть кабельное телевидение) и отдельную сеть для беспилотников (вся инфрастуктура гражданской авиации), отдельную сеть для блокчейна (свифт), поэтому они решили задать приоритеты (баблом) внутри общей сети, плюс проклятые пиндосы нуждаются во вложениях в инфрастуктуру (опорные сети) так как качество интернета в последние годы в америке упало и они не хотят с этим мериться, ну не все мексам пох, а богатые белые дяди живущие в долине нет, отсюда и отмена нейтралитета, которая планировалась ещё несколько лет назад, но чтобы не обижать нищебродов американских её всё время переносили.

  • Ответить

    И да понятно, что по железкам которые держат миллионные списки блокировок, отдельных ипнегов эксперды из отрасли ничего сказать не могут

    если человеку два раза объяснили, а он не понял, уже можно называть его тупым? или только после третьего можно?

    рано или поздно придут люди у которых родственники сдохли из-за проблем с их медицинским оборудованием или камеры наблюдения отключились и воры упёрли у них чё нидь с дачи на пару лямончиков какой нидь 4×4 и гидромот и дадут в голову — тупо в башку будут бить тупую, для обучения и лечения заблуждений

    а, так вот чего вы боитесь — что вас за неработу сайтика того-с, отвечать заставят? но тут уж вы сами виноваты, положили все яйца в одно облако и решили что это навсегда. вам же ведь даже слово особое придумали — облако! чтобы вы понимали, что всё в этом мире непрочно, зыбко, и может в любой момент испариться.

    Дорогие друзья! Это вы же понаделали инфраструктур и топологий, завязанных на один внешний бесплатный или сверхдешёвый сервис. Кто-то потому что дурак, кто-то осознанно экономя на «заказ для госов делали, там 30% откатили поэтому акты уже подписаны и всем насрать». Кто-то потому что иначе не умеет, и нагуглил только пошаговую инструкцию «как заюзать амазоновское облако».

    Это вам же удобненько и комфортненько, когда «никаких лишних ненужных документов», а просто в веб-форме что-то там покликать, согласившись с EULA и прочим. Вы же не любите «эту бумажную никому не нужную хрень» и сами ненавидите любую ответственность, наяривая на принцип AS IS — а точнее «Я сляпаю любое говно, а если кому не нравится да сам напиши если такой умный». Что удивляться-то, что если реализовывая систему, которая должна кому-то что-то гарантировать по части доступности-надёжности, используются внешние неуправляемые подсистемы, декларирующие «best effort», то в случае их отказа у вас проблемы? Это by design. By ваш design.

    Люди с серьёзными мордами строчат:

    — итак, я сделал заказчику проект, подписал с ним договор. проект сделал на амазоновском облаке — ох как я клиента-то обманул, заложил цену крепкую, а там работы на 5 минут, уахахаха — и вот теперь Роскомнадзор убивает мой бизнес.

    https://aftershock.news/?q=node/638252

    поэтому они решили задать приоритеты (баблом) внутри общей сети

    по-простому это рэкет крупняков-сетевиков в отношении крупняков-медивиков. хотите, чтобы всё хорошо открывалось — платите. а кто не будет платить отключим QoS.

  • Ответить
    Cat

    pss. Автор телеграмм канала зателеком уточнил по скорости исчерпания памяти на устройствах, тепичное устройство имеет 128к под фильтры сейчас занято от 88к до 125к добавляется записей в день 500 байт, срок исчерпания памяти от 10 до 80 дней, в этой связи предлагаю помочь, ребятам, покупаем доменчеги из списка роскомузора (откуда взять списко можно посмотреть в том же зателекоме) ставим днсик и по рандому херачим в него ip с ттл 15 мин, чем больше добавите тем лучше, поможем помошникам роскомузора порвать себе жопу на британский флаг.

  • Ответить

    Это уже не имеет значения тема ушла в народ, чем больше людей будет бороться с этим мракобесием тем быстрее это безобразие тут закончиться. Мой бизнес не размещён в облаке амазона, не проходит по трафику, жрёт 200мб в секунду круглые сутки. Пока.

  • Ответить

    ну правильно сделали, что не купили, тема глухая. я вам по секрету скажу (хотя и во второй раз) — памяти для префиксов даже у старых маршрутизаторов очень много. сейчас процесс с префиксами занимает в памяти 50мбайт (а никакие не 80−125к). не верьте кому попало в телеграм каналах.

  • Ответить

    Ок, по пунктам все возможные атаки:
    1. Атака на сетевые устройства провайдеров с ip (без обратных записей) уже была — погашен был провайдер транстелеком.
    2. Атака на близкие по подсетям устройства (сейчас наблюдаем телеграмм) погашено облако амазон и другие.
    3. Атака совмещенная с перегрузкой трафиком фильтрующих устройств (можно подать на фильтр много трафика на фильтруемые ip эдакий ddos через фильтры).
    4. Атака переполнением памяти в фильтрах (пока никто не проводил) суть атаки переполнением может заключаться не в переполнении самой памяти, как правило, достаточно увидеть замедление нелинейное работы устройства от кол-ва записей (или вообщем случае чего угодно, что мы можем скормить устройству) далее атакующий не обязательно будет выводить из строя устройство совсем, наоборот в его задачу может входить плавная деградация его работы.
    ps. Найдётся непременно ищущая душа — злобный школьник фанат навального, которая купит доменов и воткнёт в днсы 100к записей, тут школьнику потребуется только выяснить скорость с которой обновляются у провайдеров фильтры, зависящие от днс (что мы видим уже за него сделал фанат морзянки), но это он могло быть сделано и «опытным» путём далее требуется только поставить время обновления в днс на порядок меньше чем обновление этих фильтров, подозреваю что это часы, так что 15 минут в днс вполне достаточно будет, после этого днсы начнут генерировать непрерывный поток случайных IP плавно заполняющий память, ip можно добавлять абсолютно случайные и не обязательно сразу 100к, подобрать параметр, чтобы список в фильтрах непрерывно рос этого достаточно, ip стоит проверить на отсутствие dns записей прямых и обратных, при наличии >100 доменов, примерно, хаос может быть невообразимым, а что вы хотели когда дауны лезут в инфраструктуру интернет сети? Почему дауны? — ну хотя бы потому что всё что они сделали допускает такие атаки, это уже говорит о их явном дебилизме.

  • Ответить

    дело, имхо, в том, что система фильтрации (сравнение с неким списком), концептуально не расчитана на попытки фильтровать всио.
    Она, концепцыя, исходит из того, что некие нехорошие сайты могут быть заблокированы путем сравнения с неким списком.
    После чого, предполагается, что будет проведена работа с владельцами ресурса уже другими средствами и методами (суды, административные воздействия и т. д.), после чего ресурс исчезнет, птотм другой появится, но и с ним также и т. д. А также и та мысль, что владельцы нехороших ресурсов, в сущности, самодеятельность, а блокирует их государство, которое заведомо сильнее и т. д.
    Но тут случилось нечто иное. Решено заблокировать все, что вголову взбредет. Без раздумия, как это сделать, хватит ли силенок у машины фильтровать это все, блаблабла.
    Говоря языком сантехники — вы фильтруете всю воду в Волге до состояния питьевой, но диверсанты забивают ваши фильтры, увеличивая сброс мусора…
    И так бесконечно.
    Вроде, задача то благородная: сделать всю воду в Волге питьевой. Но поставить ее перед собой, да еще и начать реализовывать — может только конченый водопроводчик.
    Ибо фильтры забьются, в итоге питьевая вода вообще перестанет поступать потребителям. (что и вышло, по факту, к счастью, частично).
    Но какже быть тогда? Тогда значит выходит, что концепция фильтров — вооще не пригодна для данной задачи. Значит, нужно, допустим, такое вещество избресть, штобы достатошно одной таблэтки, а все выпало в нерастворимый осадок.
    Можно это выдумать? Да. можно. Но некому, поскольку среди знакомых заказчика — кроме Петрика с фильтрами, других менделеевых нет.

  • Ответить

    Я не буду учить дебилов как это правильно нужно делать фильтрацию доменов, но даже если бы кто то и научил, то что они делают «законно», только в нашей «юрисдикции», речь идёт о том, что суд, это то что дано человеку с рождения понимание о добре зле (не делай другим то что не хочешь сделать себе), а судьи это те кто трактуют эту простую истину, в данном случае зло и тупость пытаются закамуфлировать под «закон», с помощью псевдо суда, то есть по этому закону нас пытаются превратить в безмолвных рабов, по их мнению раб не только должен работать в нашей стране за постоянно падающий рубль и непрерывно растущие налоги, но он ко всему должен ещё и молчать, поэтому эти действия вызывают такое резкое отторжение в обществе, если влачить нищенское существование рабы ещё как то соглашаются, пока алкоголь дешёвый, то молчать уже нет, эти действия в конечном счёте приведут к восстанию и смертоубийствам либо эти законодатели почувствовав гнев толпы попрыгают в джеты и свалят осюда нахрен чего я им искренне желаю могут забрать даже свои дипломы, но не деньги (руки) © убить билла :)

  • Ответить

    1. Атака на сетевые устройства провайдеров с ip (без обратных записей) уже была — погашен был провайдер транстелеком.

    у ТТК вообще дела не очень ладно идут, год назад отправляли манагеров в неоплачиваемый отпуск, так что это неудивительно. и там не «атака на сетевые устройства с ip» была, а они начали пихать все отрезовленные адреса в фильтр. все всё поняли и поправили свои фильтровалки.

    2. Атака на близкие по подсетям устройства (сейчас наблюдаем телеграмм) погашено облако амазон и другие.

    здесь не очень понятно кому от этого хорошо, а кому плохо, это политика.

    3. Атака совмещенная с перегрузкой трафиком фильтрующих устройств (можно подать на фильтр много трафика на фильтруемые ip эдакий ddos через фильтры).

    не работает.

    4. Атака переполнением памяти в фильтрах

    не работает.

    Найдётся непременно ищущая душа — злобный школьник фанат навального, которая купит доменов и воткнёт в днсы 100к записей

    результатом будет оскудевший кошелек школьника. учитывая что фанат навального — не жалко.

    хаос может быть невообразимым, а что вы хотели когда дауны лезут в инфраструктуру интернет сети?

    мы видим, что хаос устраивает не РКН, а разные дети-сопротивленцы, выучившие аббревиатуру DNS. учитывая, что они дауны и не просчитывают даже на один ход вперед, сделаем это за них: в этом споре брони и снаряда может быть два не исключающих друг друга варианта (их могут применить и оба сразу): белый список и такая модификация УК, чтобы действия сопротивленцев подпадали под 272 статью. операторский бизнес ответит привычно: сделает всё, чтобы влезть на ёлку (чтобы у клиентов всё работало) и зад не ободрать (уложиться в ревизорские полпроцента), и будет сильно за то, чтобы сопротивленцев начали привлекать по закону.

    Я не буду учить дебилов как это правильно нужно делать фильтрацию доменов

    и слава богу! с таким-то пониманием темы.

  • Ответить

    А с таким пониманием тем как у вас и ваших друзей из роскомузора (ничего личного только моё оценочное мнение) я бы не телеграмм пытался блокировать, а свиней пас, тут вопроса не было можете не отвечать :)

    ps. Да и от атак вы защищены так как тот неуловимый джо ловко прятался пока его никто не искал, так и вы неуязвимы от любой атаки, пока вас никто не атакует :) а как начинают атаковать так провайдер был плох, или днс хорош или на маршрутизаторе памяти не хватило, на крайняк статья уголовная не испугала гражданина другой страны :) ой :) и всё ровненько … главное потом (опосля) любой засёр будет иметь объективную причину, а любой п.здец на наши головы высшую целесообразность, аля террор угрозу, нашествие инопланетян или ядерную войну это нормально для человека подтягивать под свои тупые косяки высокие цели и сложные объяснения своему тупому поведению :) не профессионально, но по человечески понять можно, вылечат это вам только тогда когда вам с той стороны интернет выключат, некоторое понимание, что вы нахрен никому не упёрлись с вашими тупыми закидонами придёт день на второй не сразу :)

Для добавления комментария войдите или зарегистрируйтесь.