Любой заблокированный сайт может отключить весь Рунет (ИНСТРУКЦИИ, СКРИПТЫ, ИЛИТНЫЕ ПРОКСИ) (+комментарий Матвея Алексеева)

Любой заблокированный ресурс может сделать так, что работать перестанет весь российский сегмент интернета, пишет пользователь на форуме wecantrust.net запущенном Роскомнадзором для общественного обсуждения его инициатив.

"Я чуть ли не каждый день наблюдаю что в реестре Роскомнадзора появляется очередной сайт Навального и он в скором времени начинает ссылаться записью CNAME на какой-нибудь легитимный сайт типа vigruzki.rkn.gov.ru (через который осуществляется выгрузка самого реестра Роскомнадзора), gosuslugi.ru (портал государственных услуг), сайт партии Единая Россия, поговаривают что был и Вконтакте..."

Забаненный Роскомнадзором ресурс, может подменить свой IP на адрес вполне законопослужного ресурса. В результате ситуация может развиваться по двум сценариям, пишет пользователь. В первом случае, если оператор связи не делает никаких дополнительных проверок и блокирует сайты по IP, могут оказаться заблокированными легальные ресурсы.

Среди заблокированных могут быть не только крупные ресурсы (именно с помощью такой атаки, например, "Яндекс" оказался на полчаса заблокирован Ростелекомом).

Пострадать могут и ресурсы, от которых зависит работа сети, например, сервера DNS, ответственные за зону RU. Или корневые сервера сети вообще. За пределами России этого особо не заметят, но для российских пользователей международные ресурсы могут оказаться недоступны.

Во втором сценарии, если оператор использует DPI, то злоумышленник может направить на оператора трафик какого-нибудь легального сайта с "тяжелым" контентом, например "ВКонтакте". Тогда оператор будет вынужден фильтровать весь этот поток.

Кроме того, отмечает автор, ресурсы, которые используют только протокол HTTPS, без HTTP, в принципе невозможно фильтровать по URL - протокол шифрует не только контент, но и сам URL.

(Обновлено в 19:25): Комментарий Roem.ru: Мы задали несколько вопросов Матвею Алексееву, исполнительному директору Фонда содействия развитию технологий и инфраструктуры интернета. Фонд принимает участие в выработке рекомендаций Роскомнадзора для операторов по блокировке.

Roem.ru: Действительно ли можно таким образом (с помощью подмены DNS) атаковать крупные легальные ресурсы и даже корневые сервера DNS?
Матвей Алексеев: Такого рода атаки действительно встречаются. Самым известным случаем, пожалуй, был эпизод с блокировкой Яндекса Ростелекомом, который произошел как раз после того, как кто-то подменил записи DNS и вместо IP-адреса запрещенного ресурса указал там адрес поисковика. Теоретически туда можно вписать все, что угодно, в том числе и адреса критически важных элементов интернет-инфраструктуры.

- Действительно ли операторы, использующие DPI, могут так пострадать от перенаправленного на них трафика?
М.А.: Нет, это не совсем так. Даже если через DPI провайдера будет направлен трафик с "тяжелым" контентом, таким как видео или музыка, как это описано в примере, то это не будет проблемой для провайдера. Ему будет достаточно просмотреть небольшую часть информации, чтобы определить URL, и если он окажется "чистым" - то просто направить его дальше в обход фильтрующих систем. Абсолютно весь поток информации анализировать не нужно.

- Какие методы защиты (организационные или технические) предусмотрены Роскомнадзором или другими участниками для защиты от описанных атак?
М.А.: В Роскомнадзоре есть дежурные сотрудники, которые круглосуточно анализируют ситуацию и достаточно быстро реагируют на обращения владельцев невиновных сайтов. Если вдруг в реестр попадет IP-адрес или домен такого ресурса, то его достаточно быстро оттуда исключат.

- Действительно ли HTTPS недоступен для блокировки по URL? Не является ли тогда внедрение DPI и других методов фильтрации бессмысленным для оператора?
М.А.: HTTPS действительно позволяет скрыть информацию о URL, и при использовании этой технологии анализирующие системы не смогут различить их между собой. Существует специальная технология SNI (Server Name Indication), которая вместе с зашифрованным трафиком передает в открытом виде специальный указатель, который называется "имя хоста" (чаще всего в этой роли выступает домен, на котором расположен сайт). Это помогает в тех случаях, если на одном IP-адресе расположено несколько сайтов - тогда даже при использовании HTTPS можно отличить запрос клиента на один сайт, от запроса, идущего на другой (и, соответственно, просто разрывать соединение). Однако это, к сожалению, не поможет в том случае, если речь идет о разных страницах одного и того же сайта, так как имя хоста для них будет одинаковым.

Добавить 28 комментариев

  • Ответить

    Ну, надо сказать, что по URL конечно HTTPS фильтровать не получится, а по домену — вполне. Потому что все современные браузеры, прежде чем шифроваться, отправляют Server Name Identification. Это некоторый такой костыль, позволяющий на одном внешнем ip много разных доменов (с разными сертификатами) держать. Причём как-то отключить с сервера такое поведение, насколько я знаю, нельзя.

  • Ответить

    «Ну, надо сказать, что по URL конечно HTTPS фильтровать не получится, а по домену — вполне. Потому что все современные браузеры, прежде чем шифроваться, отправляют Server Name Identification. Это некоторый такой костыль, позволяющий на одном внешнем ip много разных доменов (с разными сертификатами) держать. Причём как-то отключить с сервера такое поведение, насколько я знаю, нельзя.» наверняка страждущие смогут отключить этот костыль плагином или about:config так же как сейчас ходят через прокси и тор. к тому же те у кого хватает денег на сертификат — всяко смогут себе позволить выделенный IP

  • Ответить

    > Матвею Алексееву, исполнительному директору Фонда содействия развитию технологий и инфраструктуры интернета. Фонд принимает участие в выработке рекомендаций Роскомнадзора для операторов по блокировке. Я надеюсь при составлении люстрационных списков гестаповских коллабораторов тоже не забудут.

  • Ответить

    > к тому же те у кого хватает денег на сертификат — всяко смогут себе позволить выделенный IP К тому же SNI имел смысл когда торговцы воздухом продавали wildcard сертификаты за какие-то совершенно адские деньги. Сейчас они стоят стобаксов в год и проблемой совершенно не являются.

  • Ответить

    Kikap мы работали над рекомендациями, да. Но они были направленны как раз на то, что бы операторы связи не блокировали ip, а только «частный url» Что бы не страдали другие. Ибо сам закон написан коряво. Что в этом такого?

  • Ответить

    забаненный идиот, раньше не было «комментариев а-ля лента» с КДПВ и албанского языка в заголовках капсом, хотя бы.

  • Ответить

    блин, только сейчас заметил, что Матвеев Алексей на самом деле Матвей Алексеев! Матвей, прошу прощения, я не специально, мухи в глазах это самое… но вопрос про lawful intercept в силе!

  • Ответить

    Я вообще против любых блокировок. Ни оператор/хостер/регистратор не виноваты в том, что пользователи постят что-то , по сему, приходиться «отбиваться» Что касается lawful intercept , то в случаях терроризма я одобряю. Человеческая жизнь дороже псевдо-неприкасаемой свободы слова и личности

  • Ответить

    Sol289, вы про КДПВ — где говорите, внутри тексктов? А какой смысл ПВ уже на внутренней странице? Заголовки с Caps Lock были, мы ими не злоупотребляем. В любом случае, варианта «отпишись и не читай» никто не отменял. Ну правда: написать текст на тысячу-две читателей, чтоб все были довольны — практически невозможно

  • Ответить

    Юрий Синодов, я имею ввиду картинку в Комментарии Roem.ru. албанский в заголовке — норм? отпишись-не-читай обязательно случится, если стиль паблика ленты.ру или дирти будет преобладать.

  • Ответить

    Вы знаете, я понял ваш вопрос и ваше возмущение, видел и сам текст и уже дал полный ответ и объяснение выше. К сожалению, я не могу гарантировать в дальнейшем на Roem.ru отсутствия текстов или комментариев, которые всегда будут вас, sol289, радовать и веселить.

  • Ответить

    Юрий Синодов, возмущение? констатация. роем катится по наклонной. скатится окончательно — выпилю из подписок, и всего делов. на самом деле надо задать вот какой вопрос: это у вас редакционная политика такая, или лажа случайно получается?

  • Ответить

    скатится окончательно — выпилю из подписок Не забудьте отписаться об этом самовыпиливании в комментариях, чтобы я не пропустил его и смог принять стаканчик-другой в честь такого радостного события.

  • Ответить

    Если говорить откровенно, то я не могу вспомнить ни одного вашего интересного комментария, поэтому, скорее всего, ваш уход останется мной незамеченным. Я также не знаю кто вы и насколько будет велика наша потеря, если вы перестанете быть нашим читателем. В таких условиях, наверное, мне не остается ничего, кроме как пожать плечами, когда я вижу ваше мнение о том, что мы катимся по наклонной. Восьмой год уже качусь, были люди, которые с песнями и плясками покиадали Roem.ru. So what?

  • Ответить

    Юрий, я не платный комментатор, и мои комментарии не должны быть интересны кому-то еще, кроме меня. в мире веб-два-ноль мы наполняем чужие БД своей посредственностью, и это нормально. а вы всё-таки ответьте, вот эта вот лажа случайно получается, или всё-таки это у вас редакционная политика такая?

  • Ответить

    Наша редакционнная политика такова, что любой, время от времени, может быть ей недоволен. Я, кстати, тоже. Оставлю за скобками вопрос о необходимости комментариев, которые интересны одному лишь комментатору, кстати. Хотя он не праздный.

  • Ответить

    Anatoly_v01, нет, перечитайте. Юрий, вы, кажется, попали в тот же просак, что и Anatoly_v01, с трактовкой тезиса «мои комментарии не должны быть интересны кому-то еще, кроме меня».