Полная Версия: Как провайдеры блокируют сайты?
Заинтересовала тема. Попал на сайт заблокированный решением органов государственной власти. Доступ режется на уровне провайдера, т.е. меня перенаправляет на страницу моего провайдера с сообщением, что в соответствии с 114-ФЗ сайт заблокирован. Ради интереса включил HTTP прокси и поменял DNS сервер на 8.8.8.8 - некоторые страницы стали грузится, однако периодически все равно редиректит на страницу прова. Подозреваю что если зайти например, через TOR, то ничто меня не остановит, но пока заморачиваться лень, в общем-то интересна сама технология анализа трафика.
Rand
а гугл что отвечает?
а гугл что отвечает?
Я так подозреваю, что это DPI, но надо ставить самому и смотреть, думал может кто знаком, эх...
Ладно, будет время сам разберусь. Как всегда
Ладно, будет время сам разберусь. Как всегда
Да ладно, откуда там DPI. Они же или тупые или напрягаться не хотят... Тупо банят по айпишкам.
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
| Цитата (waldicom @ 30.07.2013 - 11:00) |
| Они же или тупые или напрягаться не хотят |
Это же не инициатива провайдера. А вынужденая мера и делают для галочки с минимальным напрягом и затратами
Если конечно полная система блокировки не расписана, как и что делать
PS: россия плавно превращается в Китай(в плане - закрывают многое) и постепенно возвращаясь в среднии века с инквизицией и царями
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
| Цитата (DedMorozzz @ 30.07.2013 - 09:01) |
| ...вынужденая мера и делают для галочки с минимальным напрягом и затратами |
| Цитата (waldicom) |
| ... или напрягаться не хотят |
все сходится
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
| Цитата (Rand @ 29.07.2013 - 21:14) |
| Ради интереса включил HTTP прокси и поменял DNS сервер на 8.8.8.8 - некоторые страницы стали грузится |
менять днс не было смысла, если юзаешь http proxy, т.к. в этом случае браузер не станет сам резолвить адреса, эту задачу будет выполнять прокси.
| Цитата (Rand @ 30.07.2013 - 10:44) |
| Я так подозреваю, что это DPI, |
это врядли, если бы они анализировали трафик на прикладном уровне, прокси уже не помог бы.Да и вообще задача это слишком ресурсоемкая, требует вливания бабла на покупку оборудования, плюс скорость канала будет падать, кому оно надо для галочки? Скорей всего банят на уровне ДНС-а.
| Цитата (killer8080 @ 30.07.2013 - 16:12) |
| если бы они анализировали трафик на прикладном уровне, прокси уже не помог бы |
В том то и дело, что он не помогает, какие-то страницы всё равно блокируются. Код ответа 302, а в заголовке ответа "Location: адрес страницы моего прова" =) Но срабатывает почему-то через раз. И у меня возникло единственное предположение, что как-то парсятся запросы даже к прокси. К сожалению пока не хватает знаний, чтобы понять как, но тема интересная ))
Чую, грядёт время кодированных VPN - проксиков, или чего-нибудь подобного.
Ну типа, создаем впн с неким сервером, где-нибудь в Африке. Шифруемся и работает через него ).
А провайдер все равно не узнает какие я там сайты смотрю.
_____________
Ну типа, создаем впн с неким сервером, где-нибудь в Африке. Шифруемся и работает через него ).
А провайдер все равно не узнает какие я там сайты смотрю.
_____________
Ой, да у вас терь будут продаваться массово прокси. Терь 2 абонплаты будет, за инет и за проксю
Скорее всего так и будет
Ждите повсеместно рекламу "качественных, не дорогих, быстрых, надёжных" проксисерверов
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
Скорее всего так и будет
Ждите повсеместно рекламу "качественных, не дорогих, быстрых, надёжных" проксисерверов
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
А я как раз чую, что именно DPI. Где-то пролетала статейка, мол, сотовые компании одни из первых приступили к блокированию ресурсов, после того, как закон вступил в силу. Вроде как у них оборудование изначально умеет DPI, якобы, для более тщательного QoS.
А вообще, Cisco Systems давным-давно занимается DPI в своей линейке ASA.
https://supportforums.cisco.com/thread/2082454
Можно настроить Snort, если речь о роутере на Linux. Кстати, линуксовые роутеры предлагают очень серьезные возможности, в отличие от FreeBSD. Ну это так - оффтопик. Ну так вот, хоть Snort и считается NIPS/NIDS, но по сути он выполняет DPI и правила под него можно нарисовать какие угодно. Штука крайне мощная... Но этот абзац скорее беллетристика, чем реалии жизни.
Так что это почти наверняка с применением DPI. Самый надежный способ.
Поверьте моему опыту в проектировании и сопровождении сетей. =))
Любой другой способ легко обойти. А этот только с применением шифрации.
А вообще, Cisco Systems давным-давно занимается DPI в своей линейке ASA.
https://supportforums.cisco.com/thread/2082454
Можно настроить Snort, если речь о роутере на Linux. Кстати, линуксовые роутеры предлагают очень серьезные возможности, в отличие от FreeBSD. Ну это так - оффтопик. Ну так вот, хоть Snort и считается NIPS/NIDS, но по сути он выполняет DPI и правила под него можно нарисовать какие угодно. Штука крайне мощная... Но этот абзац скорее беллетристика, чем реалии жизни.
Так что это почти наверняка с применением DPI. Самый надежный способ.
Поверьте моему опыту в проектировании и сопровождении сетей. =))
Любой другой способ легко обойти. А этот только с применением шифрации.
Вдогонку! =)
У меня сеть Netbynet - Москва. Так они сделали как раз, как рекомендовал killer8080. Просто подправили, видимо, код своего NS сервера, чтобы тот отвечал на блокированные ресурсы IP адресом их web сервера. Достаточно поменять DNS на 8.8.8.8 и все закрытые сайты становятся открытыми. Глупо, так... Но, видимо, контролирующие инстанции это вполне устраивает!
)
НО! Реально действенный способ, только через DPI! =)) Хотя и VPN бросить не проблема... Вообще закрыть что-либо выборочно на 100% крайне тяжело. Можно запретить и тоннели, и то и другое и третье... Можно все NS пакеты DNAT-ить на свой сервер... Но это уже совсем офигеть надо! Люди завоют.
Где-то может быть в фирмах и прокатит. Но не в сетях, где сами пользователи бабло платят за Интернет.
У меня сеть Netbynet - Москва. Так они сделали как раз, как рекомендовал killer8080. Просто подправили, видимо, код своего NS сервера, чтобы тот отвечал на блокированные ресурсы IP адресом их web сервера. Достаточно поменять DNS на 8.8.8.8 и все закрытые сайты становятся открытыми. Глупо, так... Но, видимо, контролирующие инстанции это вполне устраивает!
)НО! Реально действенный способ, только через DPI! =)) Хотя и VPN бросить не проблема... Вообще закрыть что-либо выборочно на 100% крайне тяжело. Можно запретить и тоннели, и то и другое и третье... Можно все NS пакеты DNAT-ить на свой сервер... Но это уже совсем офигеть надо! Люди завоют.
Где-то может быть в фирмах и прокатит. Но не в сетях, где сами пользователи бабло платят за Интернет.
| Цитата (paul85 @ 31.07.2013 - 04:16) |
| У меня сеть Netbynet - Москва. Так они сделали как раз, как рекомендовал killer8080 |
я ничего, никому не рекомендовал, а всего лишь предположил
| Цитата (paul85 @ 31.07.2013 - 04:16) |
| Достаточно поменять DNS на 8.8.8.8 и все закрытые сайты становятся открытыми. |
ну вообще то задраить 53-е порты наружу, провайдеру ничего не стоит, запретив тем самым, использовать сторонние днс сервера. Но это легко обходится обычными прокси, и анонимайзерами.
Ну спорить не буду, может и DPI
Здесь расположена полная версия этой страницы.