«Такая система каждые 15 минут автоматически загружает на сервер провайдера из указанного в Распоряжении ресурса перечень интернет-адресов для автоматической блокировки (стоп-лист)», — говорится в сообщении ИнАУ.
Как она добавляет, информация о пользователе, пытавшемся зайти на «запрещенные» ресурсы, автоматически фиксируется и передается в соответствующие государственные органы.
N>Как она добавляет, информация о пользователе, пытавшемся зайти на «запрещенные» ресурсы, автоматически фиксируется и передается в соответствующие государственные органы.
N>«Такая система каждые 15 минут автоматически загружает на сервер провайдера из указанного в Распоряжении ресурса перечень интернет-адресов для автоматической блокировки (стоп-лист)», — говорится в сообщении ИнАУ.
Это же ровно то что делает ркн уже много лет у нас
И да, это цензура.
Только у нас она возникла в благополучные времена, а у них в
условиях войны.
Здравствуйте, 3V, Вы писали:
3V>Это же ровно то что делает ркн уже много лет у нас
Правда что ли?
Как она добавляет, информация о пользователе, пытавшемся зайти на «запрещенные» ресурсы, автоматически фиксируется и передается в соответствующие государственные органы.
Здравствуйте, 3V, Вы писали:
3V>Это же ровно то что делает ркн уже много лет у нас 3V>И да, это цензура. 3V>Только у нас она возникла в благополучные времена, а у них в 3V>условиях войны.
Если имеется в виду СОРМ-2, то насколько я знаю это работает не так. Следят за конкретным абонентом, попавшим под подозрение, а не за всеми. Ну по крайней мере, озвучивается это так. Хотя в принципе могут и всех палить, никто этого не узнает.
Здравствуйте, 3V, Вы писали: 3V>Это же ровно то что делает ркн уже много лет у нас
Даже близко не похоже
Почитал оригинал здесь (на украинском). Кратко для ботов — при попытке отрезолвить адрес из списка на украинском DNS сервере, сервер отдаст адрес лендинговой странички, на которой будет что-то написано (сейчас написано "GO AWAY!!!"). Ngnix запишет себе в лог стандартную информацию о пользователе, которая будет использована для статистики и отчетности. Список доменов будет формировать НБУ (по-вашему центробанк).
Ну не знаю, имхо хрень какая-то для идиотов. Хотя если это от фишинга, то target group правильно выбрана.
У меня точно работать не будет, потому что уже лет 20 автоматом вбиваю везде гугловские dns сервера.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, anonymous, Вы писали: A>Правда что ли? A>
Как она добавляет, информация о пользователе, пытавшемся зайти на «запрещенные» ресурсы, автоматически фиксируется и передается в соответствующие государственные органы.
Это написано про лог nginx.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Ромашка, Вы писали:
3V>>Это же ровно то что делает ркн уже много лет у нас
Р>Даже близко не похоже
Р>Почитал оригинал здесь (на украинском). Кратко для ботов — при попытке отрезолвить адрес из списка на украинском DNS сервере, сервер отдаст адрес лендинговой странички, на которой будет что-то написано (сейчас написано "GO AWAY!!!"). Ngnix запишет себе в лог стандартную информацию о пользователе, которая будет использована для статистики и отчетности. Список доменов будет формировать НБУ (по-вашему центробанк).
Р>Ну не знаю, имхо хрень какая-то для идиотов. Хотя если это от фишинга, то target group правильно выбрана. Р>У меня точно работать не будет, потому что уже лет 20 автоматом вбиваю везде гугловские dns сервера.
Работать это будет.
1. Какие бы ты серверы не вбивал, подделывать ответ на UDP запрос легко.
2. Сервер получает фейковый ответ и устанавливает соединение по 443 порту.
2.0. Фейковый сервер получает IP пользователя и логгирует его.
2.1. Фейковый сервер позволяет установить соединение и отдаёт неправильный сертификат. Браузер показывает ошибку.
2.2. Фейковый сервер отклоняет соединение.
В любом случае IP пользователя залоггирован.
Как этого избежать?
1. Использовать VPN и особое внимание уделить тому, чтобы DNS запросы не просачивались через провайдера. Я бы советовал настраивать VPN на роутере.
1.1. Порекомендовал бы настроить VPN через SSH на своём сервере (за рубежом). А то могут логгировать и пользователей VPN.
2. Использовать DNS over HTTPS. Это защитит от просмотра и подмены DNS трафика, но технически провайдер по прежнему сможет определять, на какие домены ты ходишь, даже через HTTPS. Есть ли такое оборудование у ваших провайдеров — я, конечно, не знаю. Если это сайт вроде RSDN с уникальным IP, тут никакого оборудования не надо. Если это сайт за каким-нибудь Cloudflare CDN — тут может понадобиться.
Здравствуйте, lazyass, Вы писали: Р>>У меня точно работать не будет, потому что уже лет 20 автоматом вбиваю везде гугловские dns сервера. L>днс трафик перехватывается первым
И что? Там нет речи про перехват трафика, там речь о стандартном DNS RPZ. Это такая специфическая хрень, которая используется в основном для борьбы со всякой малварью и ботнетами, стоит у кучи провайдеров и для которой датасеты продаются кучей компаний. К блокировке сайтов это не имеет ни малейшего отношения.
PS если речь про цензуру, если вы забыли — в Украине давным-давно блокируется куча ресурсов из РФ, включая яндекс и фконтакте. Совершенно другими способами.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, vsb, Вы писали: vsb>Работать это будет.
Только через задницу.
vsb>В любом случае IP пользователя залоггирован.
Нафига огород городить? Ты на сервере провайдера, ты можешь логировать чего твоей душе угодно, какой смысл морочиться с фейковыми серверами? Увидел запрос, залогировал, передал дальше или отправил в /dev/null. Все. Зачем вы придумываете какие-то сложные схемы?
vsb>Как этого избежать?
Не пить коньяк по утрам?
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Ромашка, Вы писали:
vsb>>Работать это будет.
Р>Только через задницу.
Почему?
vsb>>В любом случае IP пользователя залоггирован.
Р>Нафига огород городить? Ты на сервере провайдера, ты можешь логировать чего твоей душе угодно, какой смысл морочиться с фейковыми серверами? Увидел запрос, залогировал, передал дальше или отправил в /dev/null. Все. Зачем вы придумываете какие-то сложные схемы?
Провайдер это не роутер на сто мегабитов. Там так не получится. Роутеры провайдера могут логгировать заголовки пакетов. Т.е. могут логгировать, что такой-то адрес установил TCP-соединение с таким-то адресом. Это можно, тут проблем нет. Но если целевой сайт за CDN-ом или в облаке (а это очень большой процент современных сайтов), то ты просто увидишь, что Иван Иванов установил соединение с сервером Cloudflare. Чтобы понять, на какой сайт он на самом деле ходил, нужно уже разбирать начало TLS-соединения. И вот тут, для масштаба провайдера, нужно дорогое спец железо. Я не знаю, есть ли оно у украинских провайдеров, но вообще-то оно нужно только для слежки. У российских и казахстанских провайдеров такое железо есть, по понятным причинам.
И описанная схема с подменой DNS это как раз способ малыми усилиями добиться желаемого для подавляющего большинства абонентов, которые в этом всём не разбираются и максимум их усилий — это смена DNS-сервера. Тут как раз никакого сложного железа не нужно. Подменить ответ DNS сервера несложно. И раз ваши провайдеры эту схему решили применить — вероятно такого железа у них нет, а поставленную задачу выполнять надо.
Здравствуйте, vsb, Вы писали: vsb>>>Работать это будет. Р>>Только через задницу. vsb>Почему?
Потому что для того, чтобы подменить ответ DNS сервера, нужно перехватить запрос к DNS серверу. Вот тут можешь ставить точку. Если ты перехватил запрос, ты можешь его просто записать в лог и тебе нет нужды городить тот огород, который ты придумал.
Всё, что нас не убивает, ещё горько об этом пожалеет.
Р>И что? Там нет речи про перехват трафика, там речь о стандартном DNS RPZ. Это такая специфическая хрень, которая используется в основном для борьбы со всякой малварью и ботнетами, стоит у кучи провайдеров и для которой датасеты продаются кучей компаний. К блокировке сайтов это не имеет ни малейшего отношения.
Р>PS если речь про цензуру, если вы забыли — в Украине давным-давно блокируется куча ресурсов из РФ, включая яндекс и фконтакте. Совершенно другими способами.
Здравствуйте, vsb, Вы писали:
vsb>1. Использовать VPN и особое внимание уделить тому, чтобы DNS запросы не просачивались через провайдера.
Тут есть нюанс. Я вот включаю/выключаю VPN по ситуации, в 99% случаев он выключен, т.к. без него быстрее. И в какой-то момент можно забыть его включить, и ты попал.
Можно, конечно, всю дорогу сидеть под VPN, но это сразу довольно большая латентность (от 40-50мс до ближайших зарубежных серверов, умножить на 2, когда запрос идет обратно к соседнему серверу) и не всегда нормальная скорость.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, vsb, Вы писали:
vsb>И описанная схема с подменой DNS это как раз способ малыми усилиями добиться желаемого для подавляющего большинства абонентов, которые в этом всём не разбираются и максимум их усилий — это смена DNS-сервера. Тут как раз никакого сложного железа не нужно. Подменить ответ DNS сервера несложно. И раз ваши провайдеры эту схему решили применить — вероятно такого железа у них нет, а поставленную задачу выполнять надо.
Делаем вполне безобидные странички, например с мемасиками, и добавляем туда что-нибудь вроде <link rel="prefetch" href="http://kremlin.ru" />, и все посетители становятся агентами кремля, сами того не подозревая.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
