colonelcassad.livejournal.com 28.05.2017 18:14
В продолжение темы блокировки российских ресурсов на Украине и проблемы обхода блокировок.
Не планировал писать эту часть, но, вижу, не все осознают, какую жопу можно сделать и как на самом деле легко цензурировать интернет в отдельно взятой стране при полной отмороженности её руководителей. Поэтому краткий ликбез крупным помолом, тезисно, без деталей и доказательств.
1. Весь интернет базируется на протоколе TCP/IP.
2. Протокол (вообще-то – стеке протоколов, но тут крупным помолом пойдёт) TCP/IP не имеет броадкаста как класса. Есть – мультикаст, но это немного не то.
3. В отсутствии броадкаста ВСЕ протоколы, лежащие на TCP/IP имеют потенциальную уязвимость – им надо знать IP-адрес "отвечающей" системы. Т.е. любой протокол имеет точку входа.
4. IPv4 крайне ограничен адресным пространством. С IPv6 таких проблем нет, но в него умеют не только лишь все – начиная от "не только лишь всех" абонентских устройств, продолжая оборудованием провайдеров и заканчивая оборудованием у хостеров.
5. Для блокировки сервиса достаточно на уровне TCP/IP заблокировать доступ к определенному адресу и/или определенной подсетке (совокупности IP-адресов, нарезанных согласно определенным правилам).
????
6. PROFIT!
7. HTTPS – не панацея. Даже вики среди всех дифирамбов "неуязвимости HTTPS" говорит нам, что
Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.
7.1. В вольном переводе на русский нужный нам кусок будет звучать примерно как: "....атакер может только узнать, что соединение установлено между двумя сторонами и узнать их доменные имена и IP-адреса".
8. Вот тут и приехали. Блокировка на уровне TCP/IP сделает невозможным использования любимого HTTPS. Магистральные маршрутизаторы этому трюку более чем обучены – это основы роутинга: перенаправить запрос к определенному IP-адресу в нужную подсеть (напоминаю – крупным помолом). Например – на страницу 404.
9. При наличии политической воли и достаточно отмороженности, сделать централизованную систему сбора IP-адресов проксиков/VPN – труда не составит. А затем раз в сутки директивно рассылать списки блокируемых адресов всем более-менее крупным провайдерам.
9.1. Да только если обязать делать такие блокировки только мобильных операторов – уже 50% дела сделано! Откажутся они вряд ли – отзыв лицензии на частоту и сидеть, сосать лапу.
9.2. То, что VPN часто используется для соединения представительств в разных городах, для удалённой работы итд – поверьте, волновать никого не будет. Пользуешься VPN? Виноват! Компаниям может быть еще и сделают поблажку – а вот частным пользователям надо отвыкать.
10. Tor, кстати, тоже не спасёт. Tor – это ПРОТОКОЛ, помимо всего прочего. Детектировать его в траффике и блокировать пакеты – посложнее, чем сделать блокировку по IP-адресу, но вполне посильно. Тем более, что не стоит задача раскрыть личность источника – а просто заблокировать доступ в систему Tor-а.
10.1. В отличии от VPN/Proxy/HTTPS, которые могут использовать по куче разных причин – Tor используется исключительно для сокрытия траффика. Т.е. сама активность Tor-ноды – уже подозрительна и должна быть поставлена "на карандаш". А уж то ли это очередной ватник-колорад в ВКшечку ходит или педофил CP смотрит – не суть важно.
10.2. Лично я бы не блокировал бы Tor сразу, а сначала собрал бы инфу по активным нодам.
10.3. А ведь кроме протокола, Тор-нода имеют очень специфический профиль траффика... Это, пожалуй, даже проще будет отследить, чем парсить пакеты и вылавлить Tor – достаточно статистики. Если же под раздачу попадёт некоторое законопослушное количество пользователей... Ну кого это остановит в текущих условиях?
11. Можно и дальше красить тёмными красками. Например – запрет всякого SSL на нестандартных портал. 22 & 443 оставят – и хватит. Или даже только 443 – админы на удаленке и фрилансеры пусть сосут лапу.
12. В принципе, всё это можно обойти – так или иначе, рано или поздно. Обновления списков и их применение будут идти с лагом – так что можно будет получать альманахи сетевых адресов и прыгать между ними при блокировке очередного адреса. Можно уйти на IPv6 – где блокировка по IP дело уже более сложное из-за огромного адресного пространства. Но каждый шаг будет отсекать часть пользователей из Украины от блокированных ресурсов. А введение даже административных статей за использование методов обхода блокировок сильно поубавит количество тех, кто будет заниматься такими обходами.
13. И я просто оставлю это здесь:[1]. Я не знаю – правда это или нет. Но я знаю, что отдетектить VPN – более чем реально (VPN – это, кстати, не протокол, общее название технологии, которая реализуют безопасную сеть над небезопасным окружением – посредством некоторых, вполне стандартных, протоколов). И лично я не вижу ничего невозможного или странного в данном случае. Кроме того, что, пожалуй, рановато начали. А может – перегибы на местах. Или даже – личная месть надоевшему пользователю/врагу по жизни.
13.1. Показательна сама идея – отключить интернет за использование VPN-ом по беспределу. И, боюсь, именно так оно и будет – неофициальная вказивка провайдерам, отключение под надуманными предлогами или даже без оных, а совсем не системы сбора данных, составление списков и прочие технические ухищрения. Кирпичом по башке а-ля гопник, а не изысканные схемы ликвидации с привлечением дорогостоящих профессионалов и сложных технических средств а-ля Джеймс Бонд.
Предыдущие материалы автора:[2]- Подсчет потерь.[3]- Подсчет потерь. Продолжение[4]- Подсчет потерь. Перспективы
Ссылки
|