Comments 55
После субботней истерики РКН любой провайдер, занимающийся самодеятельным резолвингом, нарушает законодательство. Фильтрация должна быть только и исключительно по IP-адресам, которые занесены в официально распространяемый список.
А что, письмо из РКН приравнено к подзаконному акту, который после прямой линии превратится в тыкву?
Скорее наоборот, письмом из РКН разъяснено, что все их рекомендации не имеют никакого юридического статуса. Включая рекомендацию резолвить.

Зато юридическую силу имели все штрафы и предупреждения, которые РКН налагал за отсутствие резолвинга ещё месяц назад. Так что, на месте какого-нибудь провайдера, я бы ждал полных официальных разъяснений, а не отписок типа "отключите резолвинг до 16 числа, мамой клянусь не обижу".

Есть ли живой пример попавшего на штрафы из-за нерезолвинга? Без обобщений про «все» (тем более, что обобщение не очень корректное, мы вот, например, именно из-за нерезолвинга не попадали).
Есть. И неоднократные. Опубликовать по этическим соображениям не могу
И в чем этичность заключается? Сейчас это на уровне «потому что я так сказал»
В том, что информация у меня есть из первых рук, а вот распространять её детали я считаю неэтично по отношению к доверителям. Так понятнее?
Так не распространяйте, а то у меня есть информация из первых рук что людьми правят подводные коты.

Да, я попал. Из-за HTTPS-ной доменной записи. Пока предупреждение. Но рассмотренное без нашего присутствия на суде. Получили сразу решение. Причём, самое что обидное, мы под прикрытием аплинка по договору. Но с конца прошлого года это РКН волновать перестало. Сейчас штраф до 100 тысяч за КАЖДЫЙ пропуск. Мне проще сразу для клиентов белый список сделать и пошло оно всё в лес. Или лицензию сдать и пусть РТК будет единственным и православным. Всё равно мелкий бизнес реально в вышеуказанном месте видел и сам РКН и ФСБ, собственно. А вы тут — незаконно. Смешно :(

Именно из-за нерезолвинга https-ной записи? Т.е. она есть в листе, но под другим IP?
Сочувствую, но думаю, что если пойдете в суд — решение можно будет отменить.

По поводу прикрытия аплинком — это действительно никого не трогает, реализация фильтрации — обязанность лицензиата. Если аплинк был настолько оптимистичен, что в договоре согласился на регресс штрафов — вы можете взыскать сумму выставленного вам штрафа с него. Но это вряд ли.

Засуньте «ревизор» под отдельную машину с фильтром (тот же extfilter, как наиболее простое решение) и вероятность появления проблем упадет существенно.
Есть сомнение в уровне компетенции суда или привлеченных экспертов. Скорее будет формулировка, аналогичная той, что услышал мой товарищ от судьи при лишении прав за якобы пересечение сплошной: «у меня нет оснований не доверять работнику ГИБДД», хотя в наличии были и свидетели и видео с регистратора. Да и вообще «идите в суд» у нас равносильно послать человека подальше, только вежливо
Но попытка не резольвить, закончиться административкой и штрафом. Круг замкнулся :(
Не закончится. Опротестовывается, причем успешно.

Почему-то у всех мнение о РКН как о каком-то суперзлодее, который подмял под себя все суды и весь закон. На самом деле, работают такие же люди, так же косячат, так же какие-то суды выигрывают, какие-то проигрывают.
Понятно, что если вы будете Ходорковским, за которым лежит вкусный ЮКОС, вас засудят несмотря ни на что. Но тогда и резолвинг не спасёт :) А для абсолютного большинства операторов в РФ вопросы с РКН решаются вполне успешно. Есть опыт.

Ну и, справедливости для, кто вас заставляет «ревизоры» ставить в общую с клиентами сеть с одинаковыми правилами фильтрации? :)
Угу, только этих косячащих людей никто не штрафует, да и вообще по сути не контролирует. Они действительно не суперзлодеи, просто сборище малокомпетентных раздолбаев, получивших власть.
Согласен. У нас процесс еще идет, но по словам юристов — шансы на выигрыш достаточно велики.
«требование должно содержать доменное имя сайта в сети „Интернет“, сетевой адрес, указатели страниц сайта в сети „Интернет“, позволяющие идентифицировать такую информацию»

Федеральный закон от 28 декабря 2013 г. N 398-ФЗ
Ну это первое что попалось на глаза по поиску «закон о блокировке»
Смешно. Когда вам штраф придёт — попробуйте сказать, что ресолвинг незаконен. Посмеёмся. Вы прям как не в России живёте.
Вы тоже демонизируете РКН, как я писал выше. Не знаю, сколько раз вы ходили с РКН в суд, но у нас есть множество успешных (и неуспешных, впрочем, тоже) кейсов взаимодействия с РКН в суде.
С резолвингом же есть совершенно прекрасное по формулировке официальное письмо регионального РКН «В соответствии с указаниями ЦА РКН необходимо в срочном порядке обеспечить блокирование запрещённых ресурсов в установленном законодательством порядке, без учёта последних требований „резолвинга“». Из которого вполне прозрачно (во всяком случае, наши юристы радостно захлопали), что резолвинг не входит в установленный законодательством порядок. Правом же самовольно расширять требования законодательства РКН не обладает.
РКН затраты на суд по успешным делам? или кто их оплачивает?
Ничего необычного, решение о распределении судебных расходов, как и везде, принимает суд. Иногда принимает решение о компенсации выигравшему, иногда нет. В нашей практике сильно зависело от конкретики кейса.
Не подозревает, а считает. Не активисты, а «активисты ФБК, организованного Алексеем Навальным»

Хых, не умеют российские спецслужбы работать "правильно и тонко". Вон Ассанж выделился с Wiwkileaks и мгновенно получил обвинение… в изнасиловании… от Швеции!!!
Что-вы — никакого загнобления свободы слова… "Онижедемократия". Обычная криминальная бытовуха.

Ну не напишут же они что они сами д-бы, не разобравшись в технических деталях нарисовали невразумительные тех.описание.
как жаль что законодательство не проходит стадию RFC ^)
Я как-то в этом деле не силён, какие последствия ждут при переполнении таблиц маршрутизации?

P.S. Запомните, слово сол пишется с мягким знаком, а слово тарелька — без мягкого знака.
Теоретически, любой из заблокированных доменов может отдавать на каждый dns запрос любые ip адреса в случайном порядке. Пара сотен таких доменов могут заблокировать все пространство ipv4 за несколько месяцев
какие последствия

При переполнении TCAM маршрутизатор может начать обрабатывать трафик не на data plane, а на control plane. Это может привести к 100%ной загрузке CPU маршрутизатора и потери части трафика (возможно, большой). Перегрузка CPU теоретически может привести к проблемам с пирингом и выпадением этого маршрутизатора из сети. Учитывая, что магистральные провайдеры как РЕТН обрабатывают большую часть трафика, трафик пойдёт другим маршрутом: либо через другой маршрутизатор (перегрузив, возможно, и его), либо через другого провайдера (где каналы тоже не бесконечны). Что может теоретически привести к каскадному распространению аварии. Т.е., грубо говоря, в России внезапно выключится Интернет.


Я не знаю цифр про запас по объему таблиц маршрутизации, про запас по каналам, есть ли автоматически включаемый fallback вида "при отказе фильтра пустить всё напрямую", поэтому сценарий "грянет" считаю гипотетически возможным. Статью написал для того, чтоб обратить внимание на потенциальную мину в "критической инфраструктуре", подложенную РКН :-)

Классическое "Если что-то может пойти не так, оно пойдёт не так".
Если оставить всё, как сейчас, то это тупо вопрос времени, как и в случае с уже произошедшим инцидентом.

Да, примерно о том и речь.
Стоит отметить, что я сварщик не настоящий, и не очень глубоко разбираюсь в том, как обрабатывается трафик у магистральных провайдеров и как себя ведёт "большое" операторское железо при подобной перегрузке.

Не надо искать черную кошку в темной комнате.
Предполагаю, что 99% запросов — запросы от АП Ревизор, установленных у каждого оператора связи
(для проверки — сделайте выборку по user agent в запросах)
Сейчас Ревизоры заняты проверкой белых списков, на блокировки внимания на обращают.
После 16.06 счетчики с запросами на ресурсы из реестра запрещенны сайтов закрутятся снова.
user agent в запросах

Какая-то часть запросов наверняка от Ревизоров, да. Если кто-то хочет погрепать логи, могу отгрузить access.log чтоб посмотреть на HTTP трафик приходящий параллельно с DNS. А про какой user-agent в DNS-запросах речь? :)

user-agent — естественно из http/https запросов. Грепните со счетчиком по user-агент полю.
DNS-запросы в основной массе будут приходить от NS-серверов операторов связи, которых запрашивают те же Ревизоры.

А вы смелый человек, раз проделываете такое внутри российской "юрисдикции". Роскомпозор уже начал охоту на ведьм — поиски стрелочников, на которых можно повесить свои косяки (и, например, убытки банков). На данный момент они решили, что это те, кто купил освободившиеся заблокированные домены… Такие исследования и публикации надо делать из под трёх слоёв анонимности. Один мой знакомый попадал под похищение ментами с рабочего места, увоз в наручниках и содержание под арестом в другом городе за куда меньшее "преступление" — обсуждение на форуме потенциальной уязвимости "золотой короны". Да минует вас чаша сия.

Ваш друг обсуждал такие вещи под настоящим никнеймом и с домашнего IP?

Ну, это было довольно давно. Товарищ не был ни каким хацкером, наоборот, был очень увлечён системами банковской безопасности и, по-моему, как раз в одном банке по безопасности работал. Профвопросы обсуждались на каком-то профессиональном форуме. Ну, вот и всплыла тема теоретической уязвимости. А через некоторое время совсем в другом городе корону, вроде, грабанули. Ну, конечно же, двадцатилетний парень внезапно "оказался" организатором банды (вспоминаем Дмитрия Богатова, держателя торовской экзит ноды, внезапно оказавшегося "экстремистом"), менты приехали из другого города, заковали чувака в наручники и, не сообщая никому, увезли в неизвестном направлении. После долгих поисков родня обнаружила его в сизо в не очень соседнем городе. В общем, провёл он в застенках от полугода, изрядно попортил здоровье, на каких условиях его удалось вызволить я не в курсе, но потом он распродавал аппаратуру — биометрические сканнеры и подобное, которыми занимался. Может ушёл из темы, может срулил из дебильного госустройства.
ЗЫ. Я, в общем-то, о том же — автор статьи под своим именем в и российской юрисдикции с практически "признательнымы показаниями". Очень удобная цель для мразей из потребпозора :(
ЗЗЫ. Насколько мне изменяет память, грабанули тогда корону банальным вскрытием банкомата с помощью грузовика, но кого волнуют такие "мелочи"…

сюрреализм, ля
"правило имен" ле гуин
И ишо, чей-то из старых фантастов… про числа что-то там… типа, "науки для избранных"

вы смелый человек

В ответ могу лишь повторить слова президента: кому суждено быть повешенным, тот не утонет. Большей определённости от будущего ждать сложно.


из-под трёх слоёв анонимности

Надеюсь, что, в случае капитальной аварии магистральных провайдеров, инициатора будут пытаться искать компетентные органы, а не массовые преследователи "политических заключённых".


да минует вас чаша сия

Спасибо.

Надеюсь, что, в случае капитальной аварии магистральных провайдеров, инициатора будут пытаться искать компетентные органы

Так подлинный инициатор и так известен, но "кто ж его посадит, он же — памятник" :(

По проверке ping-admin 90% трафика к «без вины виноватым» блокируется до сих пор, не смотря на уведомление РКН.
И уведомление было только по 16-е число, если мне не изменяет память, а значит, после все уж точно вернется на круги своя.
А это в свою очередь означает, что любой сайт, если его нет в белом списке, сможет заблокировать любой школьник.

Да и сам белый список — вещь бесполезная. Всем IT-шникам хорошо известно, что любая JS'ка, любой список отзыва удостоверяющего центра, любой DNS-сервер заблокированный — и сайт уже не работает, даже если сам он в белом списке. И таких «точек отказа» сотни и тысячи. Кстати, корневые серверы зон .ru/.рф/.com в белом списке есть?

Если прочитает кто-то из РКН, то вот вам лайфхак.
Поднимите свой референтный DNS для систем фильтрации провайдеров и Ревизора, и пусть провайдеры пропишут его для резольвинга в соответствующих системах. Это позволит отказаться от белых списков и просто не резольвить домены в те IP, который считаются «белыми». Также можно будет отсечь домены с 2 тысячами A адресов. Со временем можно сделать автоматическую систему мониторинга изменений A/CNAME записей заблокированных доменов, и «подозрительные» отправлять на премодерацию оператору системы. Например если после смены IP открывается совсем другой сайт, или ничего не открывается, и т.п. В общем масса вариантов.
Поднимите свой референтный DNS...

Зачем? Зачем, когда реестр должен сливаться каждый час? Проще в реестр пихать все адреса.
Что же будет к компьютерами конечных пользователей (в целом) если CRLы Microsoft'a станут вдруг недоступны…
Серьезное исследование, спасибо. Система блокировки и так не выдерживает никакой критики, а уж если за неё возьмутся по-крупному, то не только простые пользователи пострадают, весь онлайн сегмент бизнса с банками и транзакциями полетит «в труху». Типичный DOS-сценарий «завали конкурента» или «посей полный хаос», по факту РКН даёт убийственный набор инструментов в руки всем желающим. Интересно, сами дойдут что это нереально или дождутся пока всё развалится само.
PS: и да, тэги улыбнули.
И грянет страшный русский firewall


И как всегда, бессмысленный и беспощадный…
Only those users with full accounts are able to leave comments. Log in, please.