Technische Aspekte der Internetblockierung in Russland. Probleme und Perspektiven

    Beginnen wir gleich mit einem Disclaimer: Unten wird es keine grundsätzlichen politischen Probleme geben. Administrative und rechtliche Fragen werden ebenfalls so weit wie möglich umgangen, um den technischen Teil nicht vollständig aus den übrigen Flugzeugen herauszuziehen.

    In Russland gibt es bereits Internetsperren - dies ist eine Realität, mit der wir leben und leben müssen. Und wenn ja, müssen Sie verstehen, wie es technisch angeordnet ist, was der Anbieter kann und nicht kann. Philip Kulin ( schors ) sammelte bereits vor langer Zeit Informationen zu diesem Thema, nahm an Regulierungsarbeiten teil und besuchte verschiedene Sitzungen. Infolgedessen weiß jetzt nur Roskomnadzor mehr in Russland, aber das ist nicht sicher. Unter dem Schnitt eine kurze Zusammenfassung des aktuellen Sachstandes.


    Über den Sprecher: Philip Kulin ( schors ), Generaldirektor von Dense Forest LLC - einem kleinen russischen Hoster, der hauptsächlich Shared Hosting betreibt.

    Wirrwarr von Problemen


    Es scheint, dass es Schlösser gibt und es gibt. Wir mögen sie nicht, aber vielleicht stimmt nichts mit ihnen?

    In der Tat ist das Sperren ein festes Problemgewirr.

    Kollateralschaden ist das größte Blockierungsproblem. Das anschaulichste Beispiel, das dies veranschaulicht, fand im April 2018 statt, als große Blöcke von IP-Adressen von Cloud-Diensten blockiert wurden bzw. viele Dienste nicht funktionierten und großen Schaden erlitten.

    Die Volatilität von Vorschriften und Praktiken , die sich ständig ändern. Vor einem Jahr wäre diese Geschichte völlig anders gewesen und vor zwei Jahren würde sie höchstwahrscheinlich der heutigen widersprechen. In einem Jahr wird alles wieder anders sein. Heute ist das so, in einem Monat - ein bisschen falsch und in sechs Monaten überhaupt nicht. Es ist notwendig, dies zu befolgen, aber es ist auch Zeit, um zu arbeiten.

    Schlösser schwer zu diagnostizieren. Wenn eine Ressource von der Registrierung blockiert wurde, ist dies der einfachste Fall. In den Fällen, die wir weiter betrachten, ist es ziemlich schwierig, einen wirklichen Block von technischen Problemen zu unterscheiden. Ein anschauliches Beispiel: Im Oktober ließ Yandex die DNS-Uhr für fünf Stunden fallen. In dieser Zeit gelang es vielen, sich für einen Roskomnadzor-Block zu entscheiden. Es ist wirklich schwer genau zu bestimmen, aber solche Situationen sind bereits vorgekommen, sodass die Leute sofort über das Blockieren nachdenken.

    Es ist unmöglich vorherzusagen, wann sie dich blockieren und ob sie dich überhaupt blockieren werden. Sie arbeiten leise und Ihre Arbeit ist plötzlich vorbei.

    Es ist absolut unmöglich, Risiken zu berechnen., weil vielleicht ein Widget auf der Site abfällt, über das Sie bereits vergessen haben, und vielleicht wird das ganze Geschäft getroffen. Ein sehr gutes Beispiel für die Unberechenbarkeit des Risikos ist der Fall von Bitrix24. Im März haben sie ihre Dienste sehr schnell auf Amazon übertragen. Im selben Monat gelangte ein Dokument in das Netzwerk, dessen Wahrheit möglicherweise eine Fälschung war, in der große Amazon-Subnetze registriert waren. Trotzdem hat Bitrix24 irgendwie darauf reagiert und Probleme im April vermieden, als Amazon-Dienste tatsächlich blockiert wurden.

    Ich versichere Ihnen, dass die meisten von Ihnen so unglücklich sein werden! Solche Dokumente werden nicht zufällig in Ihre Hände gelangen. Wenn Ihr Geschäft endet, werden Sie dies nachträglich erfahren.

    In einfachen Fällen wissen wir, warum Ihre Website blockiert wurde. Beispielsweise hat das Forum Informationen veröffentlicht, die ein Gericht für verboten erklärt hat, aber Sie hatten keine Zeit zu reagieren. Die  Kommunikation mit der Aufsichtsbehörde hat jedoch unannehmbare Bedingungen  - zum Beispiel einen Tag. Während dieser Zeit können Sie im Internet ein Fünftel des Geschäfts verlieren.

    All dies führt zu einer gewissen Hoffnungslosigkeit. Es ist möglich, mit Ironie über David Khomak und das Blockieren von Lurk zu streiten. Aber es ist etwas ganz anderes, wenn es dir passiert, wie es mir einmal passiert ist. Der Client hat die IP-Adressen meiner Server in der Domäne angegeben, die ich nicht verwaltet habe - ich sitze, und das Telefon verstummt einfach nicht. Kunden sagen, dass sie gehen, fordern eine Rückerstattung, aber ich kann nichts tun! Und niemand kann mir dabei helfen. Das ist wirklich ein Gefühl vollkommener Hoffnungslosigkeit.

    Risikogruppen


    Sperren beeinflussen:

    • Websitebesitzer und Dienste , die möglicherweise versehentlich blockieren. Oder sie erkennen einige Informationen als verboten an.
    • Benutzer von Sperrdiensten betreffen ebenfalls. Die Tatsache, dass Ihre Website blockiert ist, betrifft Sie in erster Linie. Aber es gibt Leute, die diese Site oder diesen Service genutzt haben.
    • Hoster und Provider , die sich zwischen zwei Lichtern befinden. Weil es sich um benötigte und funktionierende Dienstleistungen handelt und um die Anforderungen der Aufsichtsbehörde, gegen die Geldbußen verhängt werden. Ich möchte Sie daran erinnern, dass Geldstrafen von 50 bis 100 Tausend Rubel für das Protokoll gelten. Beispielsweise können solche Protokolle für einen Monat viele sein und die Beträge sind sehr groß.

    Wie funktionieren Schlösser?


    Zunächst werden wir kurz diskutieren, wie das Blockieren erfolgt, um das Gesamtbild zu verstehen.

    • Bundesbehörden oder das Gericht beschließen, aus irgendeinem Grund keine Informationen zu verbieten.
    • Senden Sie Informationen an Roskomnadzor, die einen Eintrag in das Register der verbotenen Websites vornehmen müssen.
    • Dann gibt es einige interne Prozeduren (es gibt zu viele - Sie können eine ganze Vorlesung lesen), wodurch Roskomnadzor die Website blockieren und in den sogenannten „Upload“ eingeben kann - eine technische Datei, die an Anbieter gesendet wird.
    • Anbieter in dieser Datei implementieren die Einschränkung.
    • Anbieter prüfen, was seit zwei Jahren automatisch geschieht.



    Es ist wichtig zu verstehen, dass der Datenverkehr von jedem Anbieter gefiltert wird. Das heißt, nicht irgendwo auf grenzüberschreitenden Routern oder einem Zustandsfilter, sondern jeder Provider stellt selbst einen Filter zwischen dem Internet und den Teilnehmern in jedem seiner Subnetze ein. In der Abbildung oben befindet sich das Verifizierungsgerät neben Abonnenten, da es vorgibt, ein Abonnent zu sein. Dies ist wichtig.

    Filterwerkzeuge


    Anbieter können gefilterten Datenverkehr von einem überlegenen Anbieter kaufen. Es gibt jedoch ein Problem: Beim Kauf von Verkehr von einem überlegenen Anbieter kann der Anbieter-Käufer das technische Problem nicht feststellen oder blockieren. Er hat kein Werkzeug, weil er bereits Verkehrseinschränkungen erhält, und dies wirkt sich nicht besonders auf sein Geschäft aus.

    Oder Sie können verwenden:

    • spezielle komplexe kommerzielle Lösungen;
    • Open Source Open Source-Lösungen (derzeit gibt es nur ein solches Projekt);
    • Ihre "Kollektivfarm".

    Es gibt keine Raketensätze und die Hauptprobleme betreffen nicht das Schreiben eines Programms.

    Es gibt folgende Möglichkeiten zur Implementierung.


    Zum Beispiel, Sie haben einen kleinen Kanal von 100 Gbit / s, setzen den Filter in die Lücke.


    Ein Teil des Spiegelungsverkehrs, aber bei der Verkehrsspiegelung besteht das Problem darin, dass er so arbeitet, als ob er der Kurve voraus wäre. Das heißt, der Filter versucht, schneller als die normale Antwort zu reagieren, wenn der Filter langsamer zu werden begann - Feinanteile (50-100 Tausend Rubel).


    Selektives Routing - Wenn der Verkehr zu IP-Adressen, von denen möglicherweise etwas aus dem „Upload“ stammt, durch einen separaten Filter geleitet wird.

    Leider gibt es keine genauen Zahlen, aber nach indirekten Hinweisen und Tests zu urteilen, ist dies jetzt die gebräuchlichste Art, den Verkehr zu filtern.

    Selektives Routing kann durch die Tatsache ergänzt werden, dass Gruppen von IP-Adressen für die Filterung stark aggregiert werden. Das heißt, nicht nur mehrere Adressen werden blockiert, sondern das gesamte Netzwerk / 24 trifft sofort auf den Filter. Große Anbieter, zum Beispiel in MTS, verfügen außerdem über spezielle Sicherheitsdienste, die gezielt nach IP-Blöcken mit Risiko suchen, die ebenfalls in die Filterung fallen.

    Selektives Routing kann auch mit DNS-Filterung kombiniert  werden . Dies ist eine beliebte Methode, die beispielsweise Dom.ru verwendet.

    Lassen Sie uns die Probleme, die all dies bringt, schrittweise untersuchen.

    Entscheidung über die Sperrung


    Roskomnadzor trifft eine Entscheidung - dies verursacht sofort ein Problem, das mit der Organisation eines Unterstützungsdienstes verbunden ist. In einigen Fällen muss er den Websitebesitzer oder -host benachrichtigen, der Empfänger der Benachrichtigung ist jedoch nicht genau (er wird aus öffentlichen Daten übernommen und unterstützt nicht alle aktuellen Adressen). Benachrichtigungen gehen verloren, es gibt keine öffentlichen Informationen .

    Aus diesem Grund passieren allerlei schlechte Dinge. Der Host oder der Websitebesitzer kann nicht kontrollieren, welche Anforderungen an ihn gesendet werden. Es gibt keine öffentlichen Informationen. Zum Beispiel verfügt Google über eine Datenbank mit Websites mit Viren, in der Sie sich als autonomes System registrieren, irgendwie bestätigen können, dass Sie ein autonomes System sind, und wirklich sehen, welche Websites nach Ansicht von Google in Ihrem autonomen System "Malware" verteilen. Mit Sperren gibt es so etwas nicht - Sie erwarten nur, dass die Benachrichtigung Sie erreicht, und Sie haben Zeit, sie rechtzeitig zu lesen.

    Die Bedingungen für die Interaktion mit Roskomnadzor werden nicht respektiert und insgesamt etwas seltsam, obwohl es Standards gibt - eine Benachrichtigung in 24 Stunden zu senden, in 24 Stunden zu antworten, eine Entscheidung in 24 Stunden zu treffen. Wenn Sie eine Benachrichtigung erhalten und sagen, dass Sie solche Informationen nicht haben, und Sie um Klarstellung bitten, können Sie in einigen Wochen eine Antwort erhalten. Oder vielleicht werden Sie gesperrt, und sie werden dann antworten, dass Sie noch Informationen haben. Ich hatte solche Situationen, aber nur wenige Leute verklagen - ich kenne solche Fälle überhaupt nicht.

    Wenn die Benachrichtigung kam, können Sie nicht immer verstehen, worum es geht. In den meisten Fällen beschreibt Roskomnadzor normalerweise, was es bedeutet. Aber selbst in unserer Praxis eines Mikro-Hosts gab es drei Fälle, in denen die Beschreibung nicht verstand, um welche Informationen es sich handelt. Ich wusste nicht einmal, was ich an den Kunden schreiben sollte - Roskomnadzor gibt Protokolle und Texte der Entscheidung nur vor Gericht heraus, obwohl sie über solche Dokumente verfügen.

    Zeitpunkt der Anwendung "Entladen"


    So wurde die Entscheidung getroffen, der Anbieter lud den "Upload" herunter und musste dann etwas damit anfangen. Es gibt zwei Möglichkeiten für die Schnelligkeit: einen Tag oder sofort.

    Es ist wichtig, dass der Tag für das Sperren der Ressource und das Entsperren vorgesehen ist, wenn plötzlich entschieden wird, die Ressource zu entsperren. Für viele wird dies als nächtliche Aktualisierung des Switches durchgeführt. Aus meiner Erfahrung: Ich habe die Benachrichtigung zur falschen Zeit angenommen, die Ressource blockiert, die Frage entschieden, aber warten Sie einen Tag, bis sie die Sperre aufheben. Aber das Geschäft wartet nicht, es treten Verluste auf.

    Aber in den Vorschriften tönt jetzt sehr oft das Wort "sofort", durch mündliche Vereinbarung ist dies die Stunde . Aber heute gibt es eine mündliche Vereinbarung, aber nicht morgen. Grundsätzlich bezieht sich der Ausdruck "sofort" nun auf Entscheidungen des Anklägers über Extremismus.

    Um zu verstehen, wie alles gefiltert wird, müssen Sie wissen, was sich in der Entladung befindet. Es gibt eine Liste von XML-Datensätzen eines von vier Typen nach Sperrentypen und Lösungsdetails:

    1. URL (s) + Domain + IP-Adresse (a);
    2. Domäne + IP-Adresse (n);
    3. Domäne mit Maske (* .example.com) + IP-Adresse (a);
    4. IP-Adresse (a) - es ist klar, es gibt eine Adresse, und wir blockieren sie vollständig.

    Um deutlich zu machen, um welche Art von Zahlen es sich handelt, sind unten die Statistiken für den 22. Januar 2019 aufgeführt.


    Wichtig: Nur 139 Tausend Datensätze, und die häufigste Art des Blockierens ist das Blockieren nach Domäne. Dies sind HTTP- und HTTPS-Protokolle.

    Toxizität "Entladen"


    Vor dem Blockieren einer Ressource muss der Anbieter das "Entladen" analysieren. Auch hier gibt es Probleme. Ich habe ausdrücklich bemerkt, dass „Hochladen“ keine Registrierung ist, sondern eine Art technisches Dokument, das an den Anbieter ausgegeben wird, damit er auf dieser Grundlage Entscheidungen treffen kann. Trotzdem muss der Anbieter eine sehr umfangreiche "Entladung" durchführen.

    Beim "Entladen" gibt es beispielsweise Redundanz , die Datensätze überlappen sich. Wenn Sie eine URL verwenden, bedeutet dies nicht, dass die in dieser URL enthaltene Domäne nicht blockiert wird. Nun gibt es aber nicht so viele, etwas mehr als dreitausend.

    Der „Upload“ enthält URLs mit Fragmenten (#) und Sitzungen . Dies ist im Allgemeinen schrecklich, weil Sie wissen müssen, wie der Test abläuft.

    Der Anbieter muss den „Upload“ in eine normale Form bringen, da er falsche URLs und Domains enthält. Meistens gibt es jetzt nur noch Backslashes. Es gibt Lücken, die jedoch schnell beseitigt werden, und aus irgendeinem Grund gibt es eine besondere "Liebe" für den Backslash. Okay, okay, mit umgekehrten Schrägstrichen wurde die Frage entschieden, und ob es ein Pluszeichen gibt? Deshalb muss es immer eine Überwachung geben, es ist immer etwas zu tun.

    Ich möchte Sie nochmals darauf aufmerksam machen, dass das Problem des Anbieters unser Problem ist . Was macht der Anbieter? Eine Motivation von 100 Tausend Rubel ist eine gute Motivation, um es so zu machen, dass es, selbst wenn es ein Problem gibt, selbst wenn es ein Problem gibt, sofort abgeschnitten und dann herausgefunden wird.

    Die Dringlichkeit des "Entladens" von IP-Adressen, die nicht "durch IP-Adressen blockieren", sondern alle anderen (Blockierung nach Domäne, nach URL, nach Maske), sieht in etwa so aus.


    Nur etwas mehr als die Hälfte der Zeit und der Rest ist voll.

    Schlösser überprüfen


    Ich fange am Ende an.

    Die gesamte Geschichte der Implementierung von Schlössern in Russland ist die Geschichte der Kontrollen dieser Schlösser.

    Ich weiß nicht wie im Ausland, wir haben absolut die Inspektionsgeschichte. Alle Schlösser werden nicht so gemacht, wie sie geschrieben werden, wie sie ausgeführt werden, sondern wie sie geprüft werden, da niemand Geldbußen zahlen möchte, besonders nicht hunderttausend.

    Vor der Registrierung von gesperrten Websites gab es eine Liste extremistischer Materialien des Justizministeriums (sie ist noch immer vorhanden, sie befindet sich gerade in der Registrierung, und dann war sie separat), und die Blockade der Staatsanwaltschaft wird auf dieser Liste überprüft. Ich bin ein Mikro-Host und habe es geschafft, meine Ressourcen zu blockieren.

    Bestehende Arten von Prüfungen:

    • Feldinspektionen (vor allem das Innenministerium, der Sicherheitsdienst des Bundes und die Staatsanwaltschaft) sind selten, aber es gibt einige.
    • AS “Revizor” ist ein beliebtes automatisiertes System, das alle Anbieter überprüft.



    "Revizor" steht hinter dem Filter und gibt vor, ein vollständiger Abonnent zu sein. Das Gerät selbst tut jedoch nichts, es empfängt Aufgaben und gibt Antworten zu einem bestimmten Kontrollzentrum, d. H. Dies ist eine solche Remote-Shell im Netzwerkanbieter. Es verhält sich sehr ähnlich zu  RIPE Atlas .

    Das Kontrollzentrum eines automatisierten Systems ist ein echter Hochlastdienst, da wir 4.000 Telekommunikationsbetreiber haben, die nicht über ein Netzwerk verfügen, sondern sich in jedem Netzwerk eine Box befinden muss. Das heißt, nicht jeder Provider, sondern  in jedem Netzwerk jedes Providers . Dementsprechend hat das Kontrollzentrum bestimmte Probleme.

    Frage: Hat der Check selbst Probleme? Natürlich gibt es.

    Überprüfungsprobleme


    Auf der SPEKTR-2017 (ein Forum unter der Schirmherrschaft von Roskomnadzor selbst) ist einer der Leiter der FSUE des Hauptfunkfrequenzzentrums (HRDC), A. Veklich einen ganzen Bericht darüber, welche technischen Probleme bei der Überprüfung durch den „Prüfer“ der Anbieter bestehen.

    Überprüfungsprobleme:

    • Wird in "Revizor" ein Provider- oder Ressourcenfilter angezeigt? Vielleicht hat jemand von Ihnen die "Auditor" -Datenbank gefunden, und alle Websites geben einfach einen Stub, ähnlich dem Provider-Stub.
    • Blockierungsrate  - für alle Arten von Blockierungen (für HTTPS, Domäne, IP-Adresse), was ist der Hinweis darauf, dass die Ressource gesperrt ist? Zum Beispiel müssen Ports nach IP-Adresse gescannt werden. Dies ist ein ganzes Problem.
    • Sperrzähler für andere Protokolle.
    • Wie überprüfe ich die Domain per Maske ? Unter dem Stern können verschiedene IP-Adressen, unterschiedliche Domänen stehen. Kann ich den gesamten Streifen filtern? Und um zu prüfen, was - selektiv oder eine Art Hash zu generieren? Ich sage gleich, dass es eine behördliche Blockierung gibt, aber niemand überprüft sie.

    Die Arbeitsmethode des AU "Auditors"


    In Übereinstimmung mit diesen Problemen wurde die Arbeitsweise des Auditors geschaffen.


    Und ja, Ihre Folie veranschaulicht diese Technik ausführlich. Ich verstehe nicht wirklich, wie man damit logisch leben kann. Für uns führt dies dazu, dass Anbieter versuchen, dieses Problem irgendwie zu lösen, und dies auf bequeme Weise für sich selbst und nicht immer für uns bequem.

    Ohne Technik arbeiten viele Anbieter mit ihren Erfahrungen. Im Allgemeinen ist die gesamte Blockierungsmethode eine empirische Methode, die Geld kostet, Nerven kostet und selbst dann noch fällt, wenn eine bestimmte Methode bereits etabliert ist.

    Es gibt einen inoffiziellen Chat (was bemerkenswert ist - in Telegram, wo sonst), wo Anbieter mit Mitarbeitern des Radio Frequency Center kommunizieren. Das Interessanteste daran ist, dass HRPC-Mitarbeiter Anbietern helfen, ihre Probleme zu lösen, und erfahren, wie der Auditor funktioniert. Das ist alles inoffiziell, es gibt keine Dokumente.

    Es gibt einen Roskomnadzor- Standard für Methoden und Methoden zur Zugangsbeschränkung, der beim Justizministerium registriert ist. Es geht am Ende, weil es die niedrigste Priorität hat. Anbieter verhalten sich nicht wie in der Norm beschrieben, sondern in der Art und Weise, wie die Überprüfungsmethode funktioniert.

    Arbeitsweise beim "Entladen"


    Nach dem Standard und der gesammelten Erfahrung werde ich Ihnen sagen, wie sie mit „Entladen“ arbeiten, dh wie unsere Ressourcen blockiert werden.

    Nach URL :

    • Wenn dies das übliche HTTP-Protokoll ist, filtern Sie nach Kopfzeilen.
    • Wenn das verschlüsselte Protokoll HTTPS ist - als "Domäne" filtern

    Warum ist eine URL mit einem verschlüsselten Protokoll generell unklar, das ist Redundanz.

    Nach Domain:

    • Das übliche HTTP-Protokoll ist ein Filter des Host-Headers.
    • Verschlüsseltes HTTPS-Protokoll oder DNS-Filter; oder ein SNI-Header-Filter (wenn eine verschlüsselte Verbindung hergestellt wird, wird ein unverschlüsselter Header mit einem Domänennamen nach innen übertragen); oder nach IP-Adresse filtern.
    • Es wird empfohlen, den Rest der Protokolle nach IP-Adresse zu sperren. Da der Auditor dies jedoch nicht überprüft, tut dies jemand, nicht aber jemand.

    Der Standard besagt wirklich, dass im zweiten Fall das Blockieren von "per Domäne" nicht durch die IP-Adresse blockiert werden kann. Wenn der Anbieter jedoch anfängt, den Filter niederzuschlagen, enthält er sofort eine weitere Stufe, um keine Strafe zu erhalten. Eine solche Geschichte ist nicht ungewöhnlich und führt natürlich zu zusätzlichen Schäden für das Unternehmen.

    Auf der Domäne mit einer Maske werden Anbieter theoretisch einfach als Domäne ohne Sternchen gefiltert. Da es wieder keine Überprüfungen gibt, gibt es auch keine Probleme.

    Nach IP-Adresse und einem Block von IP-Adressen werden sie so gut wie möglich gefiltert - manchmal direkt am Grenzrouter.

    Ehrliche Mitglieder


    Wir wissen, dass nicht nur „böse“ Menschen blockiert werden, sondern auch  echte Teilnehmer des Internets . Zum Beispiel, wenn eine Person nicht beabsichtigt hat, verbotene Informationen zu ihrem Hosting aufzubewahren, den Brief jedoch nicht gelesen oder keine Benachrichtigung erhalten hat.

    Die zweite Gruppe sind ausländische Teilnehmer. Sie leben in ihrem Rechtsgebiet und verstoßen nicht gegen das Gesetz. Sie können zum Beispiel über Bestechungsgelder lachen, sie sehen nichts Falsches daran. Beispielsweise haben Hoster nicht einmal das Recht, diese Informationen zu löschen, da die Gesetze nicht für sie gelten. Sie sind keine bösen Menschen, aber Schlösser treffen sie.

    Probleme filtern


    Sehen wir uns die Probleme an, sprechen wir über die DNS-Filterung, die vom Standard empfohlen wird.

    Erste Frage:  Wo ist der DNS ? Zwar können verbotene Informationen platziert werden, aber DNS stellt einen Dienst dar, den die Menschen benötigen, insbesondere als DNS, beispielsweise als IP-Adressen. Wenn DNS gefälscht ist, ist alles nicht sehr gut und es ist nicht klar, warum.

    Der zweite Punkt ist die Implementierung der DNS-Überwachung . Tatsächlich fangen sie den gesamten Datenverkehr ab (sie richten einfach einen eigenen Caching-Server ein - die häufigste Vorgehensweise), und daher stellt sich die Frage der Dienstqualität. In meinem Büro habe ich zum Beispiel speziell die Dom.ru-Umgehung nur für DNS vorgenommen, da es unmöglich ist, zu arbeiten, wenn Sie auf eine Antwort von ihrem DNS warten müssen.

    All dies kann durch Erstellen beschleunigt werdenIhr System der Substitution von Antworten . Dann muss der Anbieter das System entwickeln und warten. Sie tun dies auch, aber das ist selten.

    Beim Verteilen der DNS-Anforderungsverschlüsselungstechnologie (DNSCrypt, DoT, DoH) ist nicht bekannt, ob die Art der DNS-Blockierung erhalten bleibt.

    Bei der Domänenfilterung nach Maske besteht das Problem darin, dass sich die Domänen auf einer anderen IP-Adresse befinden können. Daher müssen Sie das gesamte HTTP / HTTPS-Band durchsuchen. Aber was macht man mit den anderen Protokollen? Sie scannen die gesamte Band und haben beispielsweise nur das Telegramm per Maske (nach Domäne) gesperrt. Was tun Sie dagegen? Es gibt aber noch keine Bestätigung !

    Der nächste sehr wichtige Punkt ist übrigens unsere Zukunft. Was tun, wenn an Port 443: kein SNI, SNI-verschlüsselt (ESNI) oder andere Protokolle im Allgemeinen, z. B. QUIC, DNSCrypt, VPN, MTProto-Proxy?

    Große Unternehmen wie Google unterstützen bereits verschlüsselte SNI, während Yandex DNSCrypt auf Port 443 hat. Nun entscheidet jeder diese Frage auf seine Weise. Einige Anbieter, insbesondere mobile Anbieter, schließen den Verkehr einfach ab, wenn sie den Verkehr nicht als HTTPS erkennen können. Zu diesem Thema kann ich keine genauen Statistiken geben, aber der Ansatz selbst ist nicht optimistisch.

    Domain-Auflösung


    Es ist unrealistisch, den Filter beispielsweise auf 100 Gbps für die gesamte Bandbreite zu setzen. Stattdessen übernehmen Provider Domänen und ihre IP-Adressen, und dieser Datenverkehr wird bereits gescannt. Dies geschieht übrigens bei großen und kleinen Anbietern, meistens großen.

    In der Regel ist es nicht, aber "Sie wissen!". "Auditor" prüft reale Adressen und die Tatsache, dass beim "Entladen" das heißt und so und so. Das Auflösen wird verwendet, weil es für Anbieter rentabel ist. Es gibt ihnen die Möglichkeit, nicht 100 Gbit / s zu filtern, sondern viel weniger ausgehenden Datenverkehr.


    Das Problem der Phasen während der Verifikation ist seit langem bekannt - jeder schreit, injiziert und tut es immer noch. Der Anbieter hat die IP-Adresse übernommen, die Filter aktualisiert, aber bevor der „Auditor“ geprüft wurde, hat sich die IP-Adresse geändert. Die Zeit, für die die Ressource die IP-Adresse geändert hat (der gelbe Pfeil im Diagramm), kann in Millisekunden gemessen werden. Dies reicht jedoch aus, damit der Anbieter eine Geldstrafe erhält.


    Die zweite Möglichkeit: Nach dem Wechsel der IP-Ressource haben der Provider und der "Auditor" dieselbe IP, alles wurde rechtzeitig erledigt. Nur der Provider hat die Filter eine Millisekunde später aktualisiert, als der "Auditor" geprüft hat - mit dem entsprechenden Schaden. Es ist klar, dass der Anbieter in einer solchen Situation versuchen wird, so viele Strohhalme zu stecken, dass wir ihn vielleicht nicht mögen.

    Es gibt immer noch Probleme beim erneuten Auflösen:

    • ausgleichen;
    • Geo-Targeting;
    • Service-Migration, einschließlich beabsichtigter.

    Vor etwa einem halben Jahr konnten etwa tausend Domains nicht mehr blockiert werden. Und es ist nicht bekannt, ob sie es absichtlich getan haben oder nicht. Beispielsweise verwirft LiveJournal aus irgendeinem Grund alle gesperrten Journale auf ein CDN, wodurch die IP-Adresse 23-mal pro Minute geändert wird. Warum dies so ist, ist nicht ganz klar, aber es gibt eine solche Tatsache.

    Schändliche Domains


    Die Domain "faul" ist nach Ablauf der Registrierung verblieben, bleibt aber beim "Entladen", da natürlich niemand diesem folgt. Der neue Besitzer der Domäne erhält die Kontrolle über die Art der Blockierung, die sich im „Upload“ befindet. Bei "Upload" kann es sich um Subdomains handeln, und wenn Sie eine Domain gekauft haben, haben Sie die Kontrolle über alle Subdomains.

    Ich habe im "Upload" ungefähr 200 "unzulässige" Domains gefunden, aber tatsächlich gibt es mehr davon. Wir wissen nicht, wie viele Domains bereits von Leuten gekauft wurden, die sich für einen Scherz entschieden haben. Vielleicht sind sie es nicht, vielleicht gibt es sie.

    Was führt dazu?


    Das Bild stürzt Seiten Yandex, VKontakte, Wikipedia. Auf der rechten Seite ist das MSK-IX-Diagramm, das von MSK-IX selbst bestritten und als interner Fehler bezeichnet wird. Aber aus irgendeinem Grund fiel der interne Fehler genau mit dem DNS-Angriff zusammen.

    DNS-AngriffDer Grund war, dass jemand eine "faule" Domain gekauft hat, tausende von IP-Adressen dort geworfen hat und angefangen hat, alles zu wässern, was er will, dh Yandex, VKontakte usw. auf diese IP-Adressen zu werfen. Jemand spielte, und so ist es immer noch unbekannt wer.

    Natürlich blähten alle ihre Wangen auf und sagten, dass dies nicht möglich sei. Trotzdem ist in der Grafik rechts unten, die die Anzahl der Domains im "Upload" zeigt, klar, dass Roskomnadzor am 5. Juni 2017 eine gründliche Bereinigung durchführte.

    Eines der Angriffsziele waren Bankkartenzahlungen. Banken erkennen das nicht an, weil dann ihre Aktien fallen werden. Tatsächlich durchliefen einige Banken DDoS, weshalb sie den ganzen Abend nicht mit Zahlungskarten arbeiteten.

    Glaubst du, jemand hat etwas getan?


    14. März 2018: ein weiterer Angriffsvektor, aber auch aus "verrotteten" Domänen. Jemand kaufte 4 Domains, übernahm die Kontrolle über 400 Subdomains und stellte dort 4.000 IP-Adressen hoch. TransTeleCom, dem Roskomnadzors Versicherung nachgesagt wird, geht es gut, irgendwo in 600.000, der Tisch auf den Routern ist überfüllt, und 20% der TTK-Netzwerke im ganzen Land legen sich nieder.

    Weniger als ein Jahr:


    Dies ist der Zeitplan für die Neuaufzeichnung, dh die IP-Adressen der Domains aus dem "Upload". Am 5. Mai sage ich zu Leonid Evdokimov: „Aber was wäre, wenn wir keinen Witz hätten - würden Sie etwas Morsecode in die Tabelle schreiben?“ In einer Stunde tat er es. Bei den Zahlen ist es klar, dass wir mehrere tausend IPs für mein Rezolving und für meine Zeit kalibriert haben (ich stelle ständig die Domänen ab), damit die Gipfel sichtbar werden und  zu schreiben beginnen : DIGITAL RESISTANCE.

    Auf der zweiten Karte stand eine große Inschrift: "Truly Popov!", Weil es Radio Day war. Ich zitiere es, weil es zeigt, wie Roskomnadzor endlich angefangen hat, Domänen zu säubern. Dort, wo es einen Schritt gibt, haben sie bereits 2 Domänen gefunden, und 2 haben noch nicht stattgefunden, aber sie haben den Geist zur Reinigung gebracht. Zum Zeitpunkt der Generierung waren die "verrotteten" Subdomains in der "Entladen" -Inschrift etwa 4.000, und im November war es stabil, das heißt, Roskomnadzor führte regelmäßig Reinigungen durch. Aber zum Zeitpunkt der Veröffentlichung des Artikels war die Anzahl der Domains leider wieder gestiegen - jetzt sind es 1538.

    Dies ist übrigens das einzige Ergebnis meiner Tätigkeit in einigen Jahren - zumindest haben sie angefangen, etwas zu tun!

    Übrigens über Unfälle und Misserfolge. Tatsache ist, dass die Geräte und Filterprogramme aus irgendeinem Grund nicht marschiert werden wollen: Sie verlangsamen sich irgendwo, es treten Ausfälle und Ausfälle auf.. Die Last wird geringfügig erhöht, und die Servicequalität nimmt nicht mehr zu. Sie können zum Beispiel einen DNS-Angriff verwenden - in dem einfachen Fall wird die Site nicht herunterfallen, da normalerweise alles gefiltert wird, die Qualität der Arbeit für den Benutzer jedoch sehr gering ist. Wir können sagen, "halb teure" Websites, um die Qualität ihrer Arbeit zu reduzieren.

    Im letzten Sommer beispielsweise in Rostelecom in einigen Regionen der Filter aus irgendeinem Grund einen Teil des HTTP-Protokolls falsch ausgegeben, und dementsprechend fiel Müll auf den Bildschirm. Der Inhaber der Website Motobratan.ru war im Urlaub und sagte, dass es ihm egal sei. Die Baustelle arbeitete das ganze Wochenende, bis am Montagmorgen der Ingenieur kam und es reparierte.

    ISP Probleme


    Es sollte einen guten Wartungsplan geben, falls:

    • Entladeservice funktioniert nicht;
    • Es gab einen Unfall auf den Kommunikationskanälen, das "Entladen" ist unmöglich zu erreichen;
    • Filter brachen ab;
    • Filter auf die Prävention.

    Aber nein, es ist alles gut. Es gibt immer noch einen Cheatcode, aber ich fürchte, es wird bald aufhören zu arbeiten. Anbieter deaktivieren in solchen Fällen den „Auditor“ aufgrund ihrer existentiellen Erfahrung. Wenn Sie den Auditor ausgeschaltet haben, ruft Roskomnadzor Sie an und sagt: "Oh, es ist kaputt, jetzt reparieren wir es!" Aber Sie haben nur wenig Zeit, um den Auditor und den Anruf von Roskomnadzor auszuschalten, und noch ein bisschen mehr, um ihn zu beheben. In dieser Zeit können Sie sicher und ohne Geldbußen vorbeugende Arbeiten durchführen.

    Übrigens, als es bei der TTR zu einem Unfall kam, schalteten viele einfach die Filterung und den "Auditor" aus, nur für den Fall.

    Fantasie


    Meine Lieblingsfantasie darüber, was damit gemacht werden kann, sind Whitelists . Aber es gibt aber:

    • Kriterien für die Aufnahme in die weißen Listen.
    • Interaktionssystem - die Unterstützung von Roskomnadzor ist nicht sehr gut, man kann sich vorstellen, was daraus werden wird.
    • Wie funktioniert es in den Clouds? Schreiben Sie für jedes virtuelle System eine Anfrage. Zum Beispiel möchte Kubernetes einen Knoten erstellen, und Sie schreiben eine Anfrage, um ihn zur weißen Liste hinzuzufügen - hallo Continuous Integration!

    Die nächste Option ist der magische DPI , den die Chinesen uns jetzt verkaufen, und er wird funktionieren. Aber Wunder geschehen nicht, die Aufführung des DPI ist überhaupt nicht magisch. Zweitens: Wenn etwas kompliziertes gefiltert wird, müssen Sie Zustände speichern. Aber DPI ist kein Gummi und kann zum Beispiel unter DPI-Spezialangriffen geraten. Normale Ausfälle werden natürlich auch. Wer unter der DPI im geschlossenen Internet gelebt hat, weiß, dass sie so arbeiten.

    Eine andere Fantasie - lasst uns einen einzigen Status-DNS für das Resolving erstellen , und alles wird gut.

    • Dies ist eine zeitaufwändige Aufgabe, da das DNS in einem Büro leicht zu bewerkstelligen ist und nicht für den öffentlichen Gebrauch bestimmt ist.
    • Dies löst das Phasenproblem bei der oben erwähnten Überprüfung nicht. Dieses Problem wird tatsächlich überhaupt nicht gelöst.
    • Ich verstehe nicht, warum der Status DNS beibehalten werden soll, wenn es einfacher ist, den "Upload" relevant zu halten.

    Und am Ende der Entertainment-Frage: Kann man Telegramm blockieren?

    Ich werde in aller Ernsthaftigkeit ohne Ironie antworten: Ja. Sie können Telegramm sperren, wenn Sie die gesetzlichen Rahmenbedingungen und Gesetze leicht ändern, magische DPIs eingeben und  Kollateralschäden vernachlässigen . Wir sehen das am Beispiel des Iran, in dem Tausende von Sites blockiert sind, aber Telegramm ist auch relativ gut blockiert.

    Wir hoffen, dass diese Geschichte dazu beigetragen hat, eine allgemeine Vorstellung von der technischen Komponente des Internetsperrens in Russland zu erhalten.

    Einige Details finden Sie in den  Antworten auf die Fragen nach dem Bericht, auf der Website von Philip Kulin, im  Telegramm-Kanal zur Regulierung des Internets in Russia @ usher2 und im Profil von schors

    Dieser Artikel basiert auf einem der interessantesten Hörer des HighLoad ++ 2018- Berichts : Das Erlernen neuer Materialien und offener Videos ist bequem über den  Newsletter zu erreichen  . Zum Beispiel wissen die Empfänger sicher, dass die Gebotsaktion für April Saint HighLoad ++ in vollem Gange ist .

    Jetzt auch beliebt: