禁止されているコンテンツを配信しないが、139-FZの効果を感じ続ける方法

この話は、特にあなたがセキュリティを心配し、サイトでSSLを使用している場合、おそらくRoskomnadzorの意志によって、ロシアからの訪問者が突然アクセスできなくなる可能性があるインターネットリソースについて説明します。 好きなだけ自分の理由を見つけようとすることができますが、あなたに依存するものは何もなく、幸運ですべてが自動的に解決されるか、IPアドレスの純粋さを求めて長く持続する闘争があります。 まあ、あなたはまだSSLを拒否することができますが、それはほとんど良い考えではありません。



魔法






すべては12月28日の夜に始まりました。 サポートチャットで2、3のチケットに関する議論が飛び交い、ユーザーがサイトにアクセスできないことに不満を述べました。 IPシステムが攻撃に対する保護を好まないという通知はなかったため、サポートは、ping、トレースなどすべての標準的な診断システムを通じてお客様を案内するように依頼されました。



12月29日の朝、すでに十数件の苦情があり、懸念の種となった。 はい、私自身に何か問題がありました。HTTPSではなくHTTPを介してリソースにアクセスできました。 nginxのログを追跡して、通話に不正行為があったかどうかを確認しようとしましたが、IPに代わって1回も通話が表示されませんでした。



HTTP経由でサイトを開いているときにヘッダーを表示すると、X-Cache:MISS from zapretなどのヘッダーが追加されて、リクエストがプロバイダープロキシサーバーを通過し始めたことがわかりました。 はい、私たちは監督されています。



curlを使用してIPに到達しようとする例
kemko@dell-work: ~ $ curl --insecure --resolve 'testtest.test:443:185.129.101.243' -I https://testtest.test

curl: (7) Failed to connect to testtest.test port 443: Connection refused



kemko@dell-work: ~ $ curl --resolve 'testtest.test:80:185.129.101.243' -I http://testtest.test

HTTP/1.1 404 Not Found

Server: nginx

Date: Fri, 30 Dec 2016 08:09:41 GMT

Content-Type: text/html; charset=utf-8

Status: 404 Not Found

X-UA-Compatible: IE=Edge,chrome=1

Cache-Control: no-cache

Set-Cookie: request_method=GET; path=/

Set-Cookie: first_current_location=%2F; path=/; expires=Sat, 30-Dec-2017 08:09:41 GMT

Set-Cookie: first_referer=; path=/; expires=Sat, 30-Dec-2017 08:09:41 GMT

Set-Cookie: referer=; path=/; expires=Sat, 30-Dec-2017 08:09:41 GMT

Set-Cookie: current_location=%2F; path=/; expires=Sat, 30-Dec-2017 08:09:41 GMT

X-Request-Id: d16e4994ddeae80bec73120545035e75

X-Runtime: 0.025788

X-Cache: MISS from zapret

Via: 1.1 zapret (squid/3.5.19)


Connection: keep-alive









しかし、何のために? レジストリミラーの1つから新しいダンプダンプを取得し、そこからブロックされたドメインを取り出し、データベースと比較しようとしましたが、一致するものは1つも見つかりませんでした。



それから、私は実際、今は家にいて、自分をブロックする魅力を感じていることを思い出しました。 そして、私はプロバイダーに接続しています。技術サポートでは、かつて働いていましたが、それ以来、いくつかの連絡先が残っています。 運が良かったので、私たちの問題点と必要な支援を明確に説明できた後、プロバイダーの管理者がIPをブロックしたためにドメインを発見しました。



すべての理由はtelzakaz.ruドメインであることが判明しましたが、 レジストリミラーで判断すると193.150.0.212のみがブロックされるため、状況は明確になりませんでした。

レジストリからの抜粋






このドメインを解決して、すばらしい画像を見てみましょう。



:(








まあ、彼は今、私たちのIPを含めて解決しています。 しかし、Roskomnadzorのアンロードでは、このドメインにはIPアドレスが1つしかなく、それは私たちのものではありません!



以前は明らかに異なるメカニズムを使用していたため、プロバイダーがロックに使用するソフトウェアの種類を尋ねました。 判明したように、今年彼らはZapretServiceからソリューションを導入しました 。 サイトでかなり興味深い段落が発見されました。

dns-requestsによるZapretServiceは、リストされたURLがレジストリにあるサーバーのIPアドレスを計算します


このソフトウェアは、スケジュールよりも早く機能することがわかりました。システムは、アップロードに含まれるすべてのドメインを個別に解決し、受信したIPをテーブルに収集して、正確に機能します。 すべてのプロバイダーが使用するのはこのソフトウェアであり、そのクライアントに対しては利用できなかったという事実からはほど遠い。 しかし、それを使用したのは私のプロバイダーでした。



特にTTKやRunnetでさえ既にそのような動作に気づいていたため、合理的な時間内にすべてのプロバイダーに到達することはないため、ドメイン所有者に私たちのIPを除外するように求める手紙を書き、同時に彼が使用したDNSのホスティングと通信し始めました。



所有者は黙っていました。彼のDNSホスティングは、リクエストに応じてIPのAレコードを削除したくありませんでした(そして、彼はそれを正しく行いましたが、これは私たちにとって簡単ではありません) また、ある時点で、ドメインは14個のAレコードをすべて失いました。 DNSホスティングのサポートはそうではないと言っていたので、明らかに、それは他の誰かのアドレスに対するドメイン所有者の反応でした。 弊社、または残りの13個のIPのいずれかの所有者。



まとめ



あなたのサイトは、大規模な高速道路を含む多数のプロバイダーがいつでも利用できない可能性があります。 このため、禁止されているものをホストする必要さえありません。ブロックされたドメインの所有者が誤ってIPを手に入れれば十分です。



これは多くの質問と考えを提起します。



まず、もちろん、問題が発生します。そのようなソフトウェアのメーカーとプロバイダーは、追加のヒューリスティックに従ってブロックする必要のあるIPのリストを合法的に取得および拡張できますか? 私は、悔い改めて、法律を徹底的に研究したわけではありませんが、明らかにそうです。 ほとんどの場合、法律は明示的に反対を述べていませんが、再保険のためにそれを行います:明日委員会が来て、あなたがブロックされたサイトを持っているかどうかを確認しようとし、所有者がそのIPを変更したために取得して開きますが、Roskomnadzorはまだアドレスを更新できていませんリスト内。 しかし、私たちは皆、考えられる理由を理解しており、監査人に連絡するのは非常に困難であるため、法廷で彼らの発見に異議を申し立てる必要があります。



第二に、法律でプロバイダーが許可されている場合、法律を変更する必要があります。 ドメインやIPがレジストリにあるかどうかではなく、配信がまだ禁止されている情報がまだレジストリにあるかどうかが重要だからです。 つまり、裁判所はブロックの理由を正確に述べる必要があり、Roskomnadzorは、ブロックされた次のIPサイトのリストを入力する前に、ブロックを引き起こしたコンテンツがまだあるかどうかを確認する必要があります。



しかし、第三に-この明るい未来が来るまで-次に何をすべきか? ブロックされたドメインを持つ人の好意がなければ、何もできません。



私たちは現在、以下を行うために、実際のアンロードを定期的に受け取るモンスターを作成する必要があると判断しました。



  1. ブロックされたドメインをエンジン上のサイトに接続することを許可しないでください。
  2. ブロックされたドメインを解決し、それらのいずれかがIPを返し始めたかどうかを確認します。
  3. 念のため、ブロックされたドメインへのアクセスを検索してnginxログを解析することもできます(気にしないでください!)。


そして、このモンスターは、問題の存在とその原因について、より迅速に見つけるためだけに役立ちます。 そして、奇跡に頼らずにそれを修正する方法の問題は未解決のままです。



All Articles