Открытка NetByNet: автоматическая фильтрация Рунета сломалась или сама ищет «зеркала» запрещённых сайтов?

Развитие событий: Российские операторы связи фильтруют транзитный трафик (не из России и не в Россию)? (29 февраля)

Происходящее на картинке — это «баг» или «фича»?

NetByNet ограничил доступ к Liveinternet.ru или к Rutracker.org

Михаил Сергеев (КиберЛенинка) рассказал, что провайдер NetByNet показал ему цензурную заглушку после обращения к www.liveinternet.ru/stat/rutracker.org/countries.html. То есть после обращения к легальному сайту сервиса статистики, основанному советником Президента Германом Клименко. От всех прочих запросов заблокированный отличается тем, что в строке символов есть символы: rutracker.org. Это адрес сайта заблокированного российскими провайдерами за «пиратство» в понедельник 25 января. Никакого отношения материалы на liveinternet.ru к запрещённым материалам на rutracker.org не имеют.

«Большая тройка» и Ростелеком готовы к «китайскому варианту» интернета

  1. Система фильтрации могла дать сбой. NetByNet пытается блокировать rutracker.org, но блокирует что попало. Тогда заглушка — это просто ошибка.
  2. Система фильтрации могла быть перенастроена, чтобы автоматически искать «зеркала» запрещённых сайтов и блокировать доступ к ним.

Де юре, в случае именно с RuTracker.org, Мосгорсуд не разрешил блокировать его сайты «зеркала». Оборудование главных российских провайдеров позволяет блокировать доступ на сайты по «ключевым словам» с 2008 года, но фактически функцию DPI почти никто ранее не использовал.

Лучшие комментарии

  • Контекст комментария

    freefd

    Действительно, фильтр у нашего оборудования с функциональностью DPI работает по ключевым словам в URL/URI.

    Описанный в посте случай является случайным стечением двух факторов, в нашей классической модели использования оборудования с DPI такое встречаться не должно.

    Чуть позже сегодня исправим это недоразумение.

  • Контекст комментария

    Андрей Споров

    Я про это писал еще до всяких историй рутрекеров. У них так банилось всю жизнь. Все, что запрещено — у них банилось ровно так криво, поиском по подстроке. Тут подробнее:
    http://sporaw.livejournal.com/390210.html

    Исправили ли сейчас только для рутрекера или вообще — не проверял (технически у меня нет возможности сейчас)

Добавить 16 комментариев

  • Ответить

    Тоже вчера обратил на это внимание.
    Более того, блокируются домены с rutracker в названии. rutracker.ru, *.rutracker.org.
    Поэспериментировав с заголовками Host, удалось обнаружить блокировку даже на blablablarutracker.org.

  • Ответить

    $ curl -s -H ‘Host: blablablarutracker.org’ http://liveinternet.ru |grep Сетевой
    Сетевой адрес ресурса включён в Единый Реестр доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено.

  • Ответить

    Действительно, фильтр у нашего оборудования с функциональностью DPI работает по ключевым словам в URL/URI.

    Описанный в посте случай является случайным стечением двух факторов, в нашей классической модели использования оборудования с DPI такое встречаться не должно.

    Чуть позже сегодня исправим это недоразумение.

  • Ответить

    Я про это писал еще до всяких историй рутрекеров. У них так банилось всю жизнь. Все, что запрещено — у них банилось ровно так криво, поиском по подстроке. Тут подробнее:
    http://sporaw.livejournal.com/390210.html

    Исправили ли сейчас только для рутрекера или вообще — не проверял (технически у меня нет возможности сейчас)

  • Ответить

    Не совсем так.

    NetByNet не пропускает inline весь трафик пользователей через коробку с DPI, а только блокируемые ресурсы. Поэтому не может случиться так, что любой случайный ресурс, содержащий искомую подстроку в URI, будет заблокирован.

  • Ответить

    Вы написали некоторый комментарий, я читаю его, и понять не могу — вы пытаетесь мне сказать, что то, что я наблюдал лично (и проверял лично) — не существовало? Ну, так это не так.

    То, что со вчерашнего дня так не происходит — возможно. А то, что до этого было ровно так (парсинг по подстроке) — лично мною виденные и проверенный факт еще в июле.

  • Ответить

    Андрей, ну пожалуйста, я наблюдал/участвовал/реализовывал рождение комплексного решения системы блокировок в NetByNet по ФЗ РФ (а сейчас это DPI, DNS, FlowSpec). Мне отсюда чуть-чуть больше видно, чем пользователям с той стороны реки. Правда.

    Если блокировалось на какому-то другом ресурсе по конкретной подстроке, значит, этот ресурс точно так же проходил через оборудование с DPI, так как участвовал в списках.

    Да, мы обязательно накажем наши DPI-коробки за такое поведение в ближайшие дни :)

  • Ответить

    > так как участвовал в списках

    «Он» не участвовал ни в каких списках, потому… Блокировалось на любом ресурсе, достаточно было вписать запрещенный домен в запрос. См. мой оригинальный июльский пост.

  • Ответить

    Но я подозреваю, что данный разговор далее бессмысленен. Условно мое слово против вашего. Единственное, что еще добавляет силы моим словам — ровно такое же проявление (по внешним признакам), описанной в этой статье. Абсолютно левый домен — liveinternet.ru, у него в подстроке запрещенный домен. Ну, в общем, это ровно то, что я описывал в посте еще в июле.

  • Ответить

    Андрей, я не могу раскрывать деталей, так как NDA. Скажу лишь, трафик в сторону liveinternet.ru у нас пропускался через оборудование с DPI. То, что в его URI происходил поиск совпадений сторонних ресурсов — это баг высокоуровневой логики оборудования. Вероятность такого попадания была мала, но баг выстрелил, как мы теперь уже знаем.

    Диалог за исчерпанием этого неприятного момента и нашим волевым решением изменить условия поиска на более жесткие уже бессмысленен, верно.