Любой заблокированный ресурс может сделать так, что работать перестанет весь российский сегмент интернета, пишет пользователь на форуме wecantrust.net запущенном Роскомнадзором для общественного обсуждения его инициатив.
"Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте..."
Забаненный Роскомнадзором ресурс, может подменить свой IP на адрес вполне законопослужного ресурса. В результате ситуация может развиваться по двум сценариям, пишет пользователь. В первом случае, если оператор связи не делает никаких дополнительных проверок и блокирует сайты по IP, могут оказаться заблокированными легальные ресурсы.
Среди заблокированных могут быть не только крупные ресурсы (именно с помощью такой атаки, например, "Яндекс" оказался на полчаса заблокирован Ростелекомом).
Пострадать могут и ресурсы, от которых зависит работа сети, например, сервера DNS, ответственные за зону RU. Или корневые сервера сети вообще. За пределами России этого особо не заметят, но для российских пользователей международные ресурсы могут оказаться недоступны.
Во втором сценарии, если оператор использует DPI, то злоумышленник может направить на оператора трафик какого-нибудь легального сайта с "тяжелым" контентом, например "ВКонтакте". Тогда оператор будет вынужден фильтровать весь этот поток.
Кроме того, отмечает автор, ресурсы, которые используют только протокол HTTPS, без HTTP, в принципе невозможно фильтровать по URL - протокол шифрует не только контент, но и сам URL.
(Обновлено в 19:25): Комментарий Roem.ru: Мы задали несколько вопросов Матвею Алексееву, исполнительному директору Фонда содействия развитию технологий и инфраструктуры интернета. Фонд принимает участие в выработке рекомендаций Роскомнадзора для операторов по блокировке.
Roem.ru: Действительно ли можно таким образом (с помощью подмены DNS) атаковать крупные легальные ресурсы и даже корневые сервера DNS?
Матвей Алексеев: Такого рода атаки действительно встречаются. Самым известным случаем, пожалуй, был эпизод с блокировкой Яндекса Ростелекомом, который произошел как раз после того, как кто-то подменил записи DNS и вместо IP-адреса запрещенного ресурса указал там адрес поисковика. Теоретически туда можно вписать все, что угодно, в том числе и адреса критически важных элементов интернет-инфраструктуры.
- Действительно ли операторы, использующие DPI, могут так пострадать от перенаправленного на них трафика?
М.А.: Нет, это не совсем так. Даже если через DPI провайдера будет направлен трафик с "тяжелым" контентом, таким как видео или музыка, как это описано в примере, то это не будет проблемой для провайдера. Ему будет достаточно просмотреть небольшую часть информации, чтобы определить URL, и если он окажется "чистым" - то просто направить его дальше в обход фильтрующих систем. Абсолютно весь поток информации анализировать не нужно.
- Какие методы защиты (организационные или технические) предусмотрены Роскомнадзором или другими участниками для защиты от описанных атак?
М.А.: В Роскомнадзоре есть дежурные сотрудники, которые круглосуточно анализируют ситуацию и достаточно быстро реагируют на обращения владельцев невиновных сайтов. Если вдруг в реестр попадет IP-адрес или домен такого ресурса, то его достаточно быстро оттуда исключат.
- Действительно ли HTTPS недоступен для блокировки по URL? Не является ли тогда внедрение DPI и других методов фильтрации бессмысленным для оператора?
М.А.: HTTPS действительно позволяет скрыть информацию о URL, и при использовании этой технологии анализирующие системы не смогут различить их между собой. Существует специальная технология SNI (Server Name Indication), которая вместе с зашифрованным трафиком передает в открытом виде специальный указатель, который называется "имя хоста" (чаще всего в этой роли выступает домен, на котором расположен сайт). Это помогает в тех случаях, если на одном IP-адресе расположено несколько сайтов - тогда даже при использовании HTTPS можно отличить запрос клиента на один сайт, от запроса, идущего на другой (и, соответственно, просто разрывать соединение). Однако это, к сожалению, не поможет в том случае, если речь идет о разных страницах одного и того же сайта, так как имя хоста для них будет одинаковым.
Добавить 28 комментариев
Навальный может отключить весь Рунет! Но не отключает! Слава Навальному!
Я правильно понимаю, что заголовок врёт, и «весь рунет» (почему вы его с большой буквы написали?) отключить всё-таки нельзя?
Ну, надо сказать, что по URL конечно HTTPS фильтровать не получится, а по домену — вполне. Потому что все современные браузеры, прежде чем шифроваться, отправляют Server Name Identification. Это некоторый такой костыль, позволяющий на одном внешнем ip много разных доменов (с разными сертификатами) держать. Причём как-то отключить с сервера такое поведение, насколько я знаю, нельзя.
уровень роема стал снижаться.
«Ну, надо сказать, что по URL конечно HTTPS фильтровать не получится, а по домену — вполне. Потому что все современные браузеры, прежде чем шифроваться, отправляют Server Name Identification. Это некоторый такой костыль, позволяющий на одном внешнем ip много разных доменов (с разными сертификатами) держать. Причём как-то отключить с сервера такое поведение, насколько я знаю, нельзя.» наверняка страждущие смогут отключить этот костыль плагином или about:config так же как сейчас ходят через прокси и тор. к тому же те у кого хватает денег на сертификат — всяко смогут себе позволить выделенный IP
Материал об этом написаный год назад http://izvestia.ru/news/550255
Sol289, конечно, снижается. Это Синодов вернулся из ВКонтача и снова начал работать на Roem.ru: https://vk.com/wall-20537665_46980 Но вы не волнуйтесь, это только на неделю.
еще и комментарий у матвеева алексея берут. тьфу.
> Матвею Алексееву, исполнительному директору Фонда содействия развитию технологий и инфраструктуры интернета. Фонд принимает участие в выработке рекомендаций Роскомнадзора для операторов по блокировке. Я надеюсь при составлении люстрационных списков гестаповских коллабораторов тоже не забудут.
> к тому же те у кого хватает денег на сертификат — всяко смогут себе позволить выделенный IP К тому же SNI имел смысл когда торговцы воздухом продавали wildcard сертификаты за какие-то совершенно адские деньги. Сейчас они стоят стобаксов в год и проблемой совершенно не являются.
Kikap мы работали над рекомендациями, да. Но они были направленны как раз на то, что бы операторы связи не блокировали ip, а только «частный url» Что бы не страдали другие. Ибо сам закон написан коряво. Что в этом такого?
забаненный идиот, раньше не было «комментариев а-ля лента» с КДПВ и албанского языка в заголовках капсом, хотя бы.
Матвеев Алексей, вы в прошлый раз поспешно ретировались из разговора, а я так и не понял, вы одобряете lawful intercept?
Ничего в этом такого, кроме коллаборации с гестапо. Я надеюсь вас обслужат как положено, когда придет время.
блин, только сейчас заметил, что Матвеев Алексей на самом деле Матвей Алексеев! Матвей, прошу прощения, я не специально, мухи в глазах это самое… но вопрос про lawful intercept в силе!
Я вообще против любых блокировок. Ни оператор/хостер/регистратор не виноваты в том, что пользователи постят что-то , по сему, приходиться «отбиваться» Что касается lawful intercept , то в случаях терроризма я одобряю. Человеческая жизнь дороже псевдо-неприкасаемой свободы слова и личности
Sol289, вы про КДПВ — где говорите, внутри тексктов? А какой смысл ПВ уже на внутренней странице? Заголовки с Caps Lock были, мы ими не злоупотребляем. В любом случае, варианта «отпишись и не читай» никто не отменял. Ну правда: написать текст на тысячу-две читателей, чтоб все были довольны — практически невозможно
Юрий Синодов, я имею ввиду картинку в Комментарии Roem.ru. албанский в заголовке — норм? отпишись-не-читай обязательно случится, если стиль паблика ленты.ру или дирти будет преобладать.
Вы знаете, я понял ваш вопрос и ваше возмущение, видел и сам текст и уже дал полный ответ и объяснение выше. К сожалению, я не могу гарантировать в дальнейшем на Roem.ru отсутствия текстов или комментариев, которые всегда будут вас, sol289, радовать и веселить.
Юрий Синодов, возмущение? констатация. роем катится по наклонной. скатится окончательно — выпилю из подписок, и всего делов. на самом деле надо задать вот какой вопрос: это у вас редакционная политика такая, или лажа случайно получается?
скатится окончательно — выпилю из подписок Не забудьте отписаться об этом самовыпиливании в комментариях, чтобы я не пропустил его и смог принять стаканчик-другой в честь такого радостного события.
«тут что-то имеет против наш молчун, а?» (с)
Если говорить откровенно, то я не могу вспомнить ни одного вашего интересного комментария, поэтому, скорее всего, ваш уход останется мной незамеченным. Я также не знаю кто вы и насколько будет велика наша потеря, если вы перестанете быть нашим читателем. В таких условиях, наверное, мне не остается ничего, кроме как пожать плечами, когда я вижу ваше мнение о том, что мы катимся по наклонной. Восьмой год уже качусь, были люди, которые с песнями и плясками покиадали Roem.ru. So what?
Юрий, я не платный комментатор, и мои комментарии не должны быть интересны кому-то еще, кроме меня. в мире веб-два-ноль мы наполняем чужие БД своей посредственностью, и это нормально. а вы всё-таки ответьте, вот эта вот лажа случайно получается, или всё-таки это у вас редакционная политика такая?
sol289, вы только что всех «интересных комментаторов», типа Ивана Ильина и Ашманова, платными назвали, да?
Наша редакционнная политика такова, что любой, время от времени, может быть ей недоволен. Я, кстати, тоже. Оставлю за скобками вопрос о необходимости комментариев, которые интересны одному лишь комментатору, кстати. Хотя он не праздный.
Ашманов-то чем не угодил!?
Anatoly_v01, нет, перечитайте. Юрий, вы, кажется, попали в тот же просак, что и Anatoly_v01, с трактовкой тезиса «мои комментарии не должны быть интересны кому-то еще, кроме меня».