ロシアでインターネットをブロックする技術的側面。 課題と展望

免責事項からすぐに始めましょう。基本的に政治的な問題はありません。 残りの飛行機から技術的な部分を完全に引き裂かないように、管理上および法律上の問題をできる限り回避します。



ロシアにはすでにインターネットロックが存在します。これは、私たちと一緒に住み、生き続けなければならないものです。 もしそうなら、それが技術的にどのように機能するか、プロバイダーができることとできないことを理解する必要があります。 Philip Culin（ schors ）は、長い間この主題に関する情報を収集し始め、規範的な作業に参加し、さまざまな会議に参加しました。 その結果、現在、ロシアでのブロッキングについて、Roskomnadzorだけが知っていますが、これは確かではありません。 カットの下で、現状の簡単な要約。





講演者について：主に共有ホスティングに従事しているロシアの小規模なホスティング会社であるDeep Forest LLCのPhilip Kulin（ schors ）ゼネラルディレクター。

問題のもつれ

ロックがあるように見えます。 私たちはそれらが好きではありませんが、多分それらに何の問題もないのでしょうか？

実際、ブロッキングは問題の複雑さです。

付随的な損傷は、最大のブロッキング問題です。 これを示す最も顕著な例は、クラウドサービスのIPアドレスの大きなブロックがそれぞれブロックされた2018年4月に発生し、多くのサービスが機能せず、大きな被害を受けました。



常に変化している規制と慣行の変動 。 1年前には、この話は完全に異なっていたでしょうし、2年前には今日の話と矛盾していたでしょう。 1年後には、すべてが再び異なります。 今日、これはそうです、1か月で-少し間違って、半年後にはまったくありません。 これを監視する必要がありますが、作業する時間も必要です。



ロックは診断が困難です。 何らかのリソースがレジストリで正確にロックに入った場合-これは最も単純なケースです。 後で検討するケースでは、実際のロックと技術的な問題を区別することは非常に困難です。 鮮明な例-10月、YandexはDNSを5時間で削除しましたが、その間に多くの人がこれがRoskomnadzorのブロックであると判断しました。 正確に判断するのは非常に難しく、そのような状況はすでに発生しているため、人々はすぐにブロックについて考えます。



あなたがいつブロックされ、それらがまったくブロックされるかを予測することは不可能です。 あなたは静かに働き、あなたの仕事は突然終了しました。



リスクを計算することは絶対に不可能です。おそらく、あなたがすでに忘れていたサイト上のウィジェット、またはおそらくビジネス全体が攻撃にさらされるからです。 リスク予測不能性の非常に良い例は、Bitrix24ケースです。 3月、彼らはすぐにサービスをAmazonに移行しました。 同じ月に、ドキュメントがネットワークに流出しました。これはおそらく偽物であり、大規模なAmazonサブネットが登録されていました。 それでも、Bitrix24は、Amazonサービスが本当にブロックされた4月に何らかの形でそれに反応し、問題を回避しました。



確かに、あなたのほとんどはとても不運です！ そのような文書は偶然あなたの手には流れません。 あなたのビジネスが終わったら、事の後でそれについて学びます。



簡単なケースでは、サイトがブロックされた理由がわかります。 たとえば、フォーラムは、一部の裁判所が禁止されていると認識したが、対応する時間がないという情報を投稿しました。 ただし、スーパーバイザーとの通信には許容できない時間枠があります。たとえば、1日です。 この間、インターネット上では、ビジネスの5分の1を失う可能性があります。



これはすべてある絶望につながります。 たとえば、David HomackとLurkのブロッキングについて皮肉な議論をすることができます。 しかし、それはあなたに起こったとき、それは私に一度起こったように、まったく別の問題です。 クライアントは、私が管理していないドメイン上のサーバーのIPアドレスを示しました。私は座っていて、電話は止まりません。 お客様は、払い戻しを要求して出庫すると言いますが、私は何もできません！ そして誰も私を助けてくれません。 これは本当に完全な絶望感です。

リスクグループ

ロックの懸念：

• 誤ってブロックされる可能性があるサイトおよびサービスの所有者 。 または、一部の情報が禁止されていると認識する場合があります。
• ロックサービスのユーザーも影響を受けます。 サイトがブロックされているという事実は、主にあなたに関するものです。 しかし、このサイトまたはサービスを使用した人がいます。
• 2つの火災の間にあるホスティング事業者とプロバイダー 。 彼らは仕事とサービス、および罰金で脅迫される監督者の要件の実施に必要であるため。 罰金はプロトコルごとに5万から10万ルーブルであることを思い出させてください。 そのようなプロトコルは、たとえば月ごとに多数存在する可能性があり、取得される量は非常に多くなります。

ロックの動作原理

最初に、全体像を理解するためにブロッキングがどのように発生するかを簡単に説明します。

• 連邦執行機関または裁判所は、何らかの理由で情報を禁止することを決定します。
• 情報はRoskomnadzorに送信され、Roskomnadzorは禁止サイトのレジストリにエントリを作成する必要があります。
• いくつかの内部手順はさらに進んでいます（それらの多くもあります-講義全体を読むことができます）。その結果、Roskomnadzorは、サイトをブロックし、いわゆる「アップロード」に追加することを決定できます。
• このファイルのプロバイダーは制限を実行します。
• プロバイダーの検証。これは2年前から自動化されています。

トラフィックは各プロバイダーによってフィルタリングされることを理解することが重要です。 つまり、国境を越えたルーターや状態フィルターのどこかではなく、各プロバイダーがインターネットとそのサブネットのそれぞれのサブスクライバーの間にフィルターを設定します。 上記の図では、検証デバイスはそれ自体がサブスクライバーであるため、サブスクライバーの隣にあります-これは重要です。

フィルタリングツール

プロバイダーは、フィルタリングされたトラフィックを上位プロバイダーから購入できます。 しかし、問題があります-上位のプロバイダーからトラフィックを購入する場合、プロバイダーと購入者は技術的な問題を特定したりブロックしたりできません。 すでにトラフィックがカットされているため、ツールはありません。これはビジネスにあまり影響しません。



または、次を使用できます。

• 特別な統合商用ソリューション。
• オープンソースのオープンソースソリューション（現在、そのようなプロジェクトは1つのみです）。
• あなたの「集団農場」。

ロケットはありません。主な問題は、プログラムをまったく作成しないことです。



以下の実装オプションが利用可能です。





たとえば、100 Gbpsの小さなチャネルがある場合、フィルターをギャップに配置します。





一部のトラフィックはトラフィックをミラーリングしますが、トラフィックミラーリングを使用する場合、問題はカーブの先を行くかのように機能することです。 つまり、フィルターは通常の応答よりも速く応答しようとします。フィルターの速度が低下し始めると、罰金が科せられます（思い出してください、50〜10万ルーブル）。





選択的ルーティング-IPアドレスへのトラフィック（「アップロード」から何かがある可能性がある）が別のフィルターを通過する場合。



残念ながら、正確な数字はありませんが、間接的な兆候とテストから判断すると、これは現在、トラフィックをフィルタリングする最も一般的な方法です。



選択的なルーティングは、フィルタリング用のIPアドレスのセットが上方に集約されるという事実によって補完できます。 つまり、いくつかのアドレスがブロックされるだけでなく、ネットワーク全体/ 24がフィルターに移動します。 さらに、たとえばMTSの大規模プロバイダーには、リスクのあるIPブロックを特に探す特別なセキュリティサービスがあり、これもフィルタリングに含まれます。



選択的ルーティングは、 DNSクエリフィルタリングと組み合わせることができます 。 これは、たとえばDom.ruで使用される一般的な方法です。



これがもたらす問題を段階的に調べてみましょう。

ブロックする決定を下す

Roskomnadzorは決定を下します-これは、たとえばサポートサービスの組織に関連する問題をすぐに引き起こします。 場合によっては、サイトの所有者またはホスティング事業者に通知する必要がありますが、同時に通知の受信者は正確ではなく（公開データから取得され、現在のアドレスをすべてサポートしているわけではありません）、通知は失われ、 オープン情報はありません 。



このため、あらゆる種類の悪いことが起こります。 ホストまたはサイトの所有者は、ホストに対する要求を制御できません。オープンな情報はありません。 たとえば、Googleにはウイルスのあるサイトのデータベースがあり、そこで自分を自律システムとして登録し、どういうわけか自律システムであることを確認し、どのサイトが自律システムに「マルウェア」を拡散しているのかを実際に確認します。 ロックにはそのようなことはありません-あなたはあなたに届く通知だけに依存し、あなたは時間内にそれを読むことができます。



Roskomnadzorとのやり取りの条件は尊重されておらず、標準があるという事実にもかかわらず、一般的に少し奇妙です。1日で通知を送信し、1日で応答し、1日で決定します。 通知を受け取ったときに、そのような情報がないために説明を求めると、数週間で回答を得ることができます。 または多分彼らはあなたをブロックし、その後、彼らはあなたがまだ情報を持っていると答えます。 私はそのような状況にあったが、訴える人はほとんどいない-私はそのような場合を全く知らない。



繰り返しますが、通知が届くと、それが何であるかを常に理解できるとは限りません。 ほとんどの場合、Roskomnadzorは通常、その意味を説明しています。 しかし、実際には、マイクロホスティング業者の3つのケースがありました。その記述から、どのような情報について話しているのかが不明確になりました。 私はクライアントに何を書くべきかさえ知りませんでした-決定の議事録とテキストは法廷でのみRoskomnadzorによって発行されましたが、彼らはそのような文書を持っていますが。

「アンロード」の適用時

そのため、決定が行われ、プロバイダーは「アップロード」をダウンロードしてから、それを使用して処理する必要があります。 速さには、1日または即時の2つのオプションがあります。



突然リソースのロックを解除するという決定が下された場合、リソースのブロックとロック解除に1日を割り当てることが重要です。 多くの場合、これは夜間のスイッチ更新として行われます。 私の経験から：私は時間通りに通知を受け取りませんでした、リソースはブロックされ、問題は解決しましたが、あなたは彼らがそれのブロックを解除するまで1日待ちます。 しかし、ビジネスは待っていません、損失があります。



しかし、今では標準で「すぐに」という言葉がよく聞こえます。 口頭での合意では1時間です。 しかし、今日は口頭合意があり、明日はそうではありません。 基本的に、「即時」という言葉は、過激主義に関する検察の決定を指します。



すべてがどのようにフィルタリングされるかを理解するには、「放電」の中にあるものを知る必要があります。 ロックのタイプおよびソリューションの詳細ごとに、4つのタイプのいずれかのXMLのエントリのリストがあります。

1. URL（s）+ドメイン+ IPアドレス（s）;
   
   
2. ドメイン+ IPアドレス（s）;
   
   
3. マスクを持つドメイン（* .example.com）+ IPアドレス（a）;
   
   
4. IPアドレス（a）-もちろん、アドレスがあり、完全にブロックされています。
   
   

問題の数値を明確にするために、2019年1月22日の統計を以下に示します。





重要：わずか13万9000レコードで、最も一般的な種類のブロックは「ドメイン別」ブロックです。 これらはHTTPおよびHTTPSプロトコルです。

毒性「アンロード」

リソースをブロックする前に、プロバイダーは「アンロード」を解析する必要があります。 これにも問題があります。 「アンロード」はレジストリではなく、プロバイダに基づいて決定されるようにプロバイダに発行される技術文書であるという事実に特に注目しました。 しかし、それにもかかわらず、プロバイダーは「アンロード」の非常に大きな処理を実行する必要があります。



たとえば、「アップロード」では冗長性があり 、レコードは互いに重複しています。 何らかのURLを使用する場合、これは、このURLに含まれるドメインによるブロックがないことを意味しません。 現在、これらの多くはありませんが、3,000を少し超えています。



「アップロード」には、フラグメント（＃）とsessionsを含むURLが含まれます 。 テストがどのように進行するかを理解する必要があるため、これは一般的に恐ろしいことです。



プロバイダは、 間違ったURLとドメインが含まれているため、「アップロード」を通常の形式にする必要があります。 基本的に、バックスラッシュのみが検出されます。 ギャップがありますが、それらはすぐに削除され、バックスラッシュのために、何らかの理由で特別な「愛」があります。 まあ、彼らはバックスラッシュで質問を決めましたが、プラス記号があれば？ したがって、常に監視する必要があり、常に何かする必要があります。



もう一度、プロバイダーの問題が私たちの問題であるという事実に注目します 。 プロバイダーは何をしますか？ 10万ルーブルのモチベーションは、問題が発生した場合、問題のヒントがあったとしても、すぐに切り刻んでそれを把握するための優れたモチベーションです。



「IPアドレスによってブロックされていない」IPアドレスの「アンロード」の関連性は、残りのすべて（ドメイン、URL、マスクによるブロック）は次のようになります。





文字通り半分以上が関連しており、残りは完全なひき肉です。

ロックの確認

最後から始めます。

ロシアでのロックの実装の全歴史は、これらのロックのチェックの歴史です。

どうやって海外に行くのかわかりませんが、私たちにとっては、まさに検査の歴史です。 すべてのロックは、書かれているとおりに、どのように行うかではありませんが、誰もが罰金、特に10万を支払うことを好まないため、チェックするときに行われます。



禁止サイトのレジストリの前に、法務省の過激派資料のリストがあり（現在はレジストリに存在し、それは別のものでした）、このリストのロックの検閲チェックがありました。 私はマイクロホスティング業者であり、そのようなリソースを自分からブロックすることができました。



既存のタイプのチェック：

• 現地調査（主に内務省、FSB、検察庁）-それらはまれですが、あります。
• AS「インスペクター」は、すべてのプロバイダーをチェックするお気に入りの自動化システムです。

「検査官」はフィルターの後ろに立ち、加入者のふりをします。 しかし、デバイス自体は何もしません。タスクを受け取り、特定のコントロールセンターに応答します。 プロバイダーのネットワーク内のこのようなリモートシェルです。 RIPE Atlasのように機能します。



自動化システムのコントロールセンターは、実際には高負荷のサービスです。なぜなら、4,000の通信事業者がいて、1つのネットワークではなく、各ネットワークにボックスが必要であるためです。 つまり、すべてのプロバイダーではなく、各プロバイダーの各ネットワーク内です 。 したがって、コントロールセンターには特定の問題があります。



質問：チェック自体に問題はありますか？ もちろんあります。

検証の問題

SPECTRUM-2017（Roskomnadzor自身の後援の下でのフォーラム）で、メイン無線周波数センター（GRCHC）の連邦国家統一企業の首長の1人であるVeklich A.A. プロバイダーの「検査官」の検査に関する技術的問題とは正確に何であるかについての全体報告を作成しました。



検証の問題：

• 「インスペクター」はこれをプロバイダーまたはリソースのフィルターと見なしますか？ たぶん、これは「インスペクタ」のデータベースを見つけた人の1人であり、すべてのサイトがプロバイダのスタブに似たスタブを提供するだけです。
• ブロッキングレート -すべてのタイプのブロッキング（HTTPS、ドメイン、IPアドレス）に対して、リソースがブロックされていることを示していますか？ たとえば、IPアドレスでポートをスキャンする必要がある場合、これは全体的な問題です。
• 他のプロトコルのブロック率。
• マスクでドメインを確認する方法は ？ アスタリスクの下には、異なるIPアドレス、異なるドメインが存在する場合があります。 帯域全体にフィルターをかけることはできますか？ そしてそれを確認してください-選択的に、または何らかのハッシュを生成しますか？ そのようなロックがあるとすぐに言わなければなりませんが、誰もそれをチェックしません。

AS「検査官」の作業方法

これらの問題に従って、「試験官」の作業方法が作成されました。





はい、あなたのスライドはこのテクニックを完全に説明しています。 論理的にあなたがそれと一緒に暮らすことができるかどうかはよくわかりません。 私たちにとって、これはすべて、プロバイダーが何らかの形でこの問題を解決しようとしており、私たちにとって常に便利であるとは限らないという事実に変換されます。



技術を使用せずに作業すると、多くのプロバイダーが実存的な経験を積んでいます。 一般的に、全体のブロッキングテクニックは、いくつかのテクニックが既に少し落ち着いている今でも、お金、神経、費用がかかる経験的な経路です。



非公式のチャットルームがあり（他の場所のTelegramでは注目に値します）、プロバイダーはRadio Frequency Centerの従業員と通信します。 最も興味深いのは、そこで実際の助けが得られること、州立準備センターの従業員がプロバイダーの問題解決を支援し、「検査官」がどのように機能するかを伝えることです。 しかし、これはすべて非公式であり、ドキュメントはありません。



アクセスを制限する方法と方法については、法務省に登録されているRoskomnadzorの規範があります。 最も優先順位が低いため、特別に最後に移動します。 プロバイダーは規則に書かれているように行動するのではなく、検証方法がどのように機能するかを行動します。

「アンロード」を使用した作業のテクニック

標準と得られた経験に基づいて、それらが「アンロード」でどのように機能するか、つまりリソー​​スがどのようにブロックされるかを説明します。



URLで ：

• 通常のHTTPプロトコルの場合は、ヘッダーでフィルタリングします。
• 暗号化されたプロトコルがHTTPSの場合-「ドメイン」としてフィルター

暗号化されたプロトコルでURLが一般に不明なのはなぜですか、これは冗長性です。



ドメイン別：

• 通常のHTTPプロトコルは、Hostヘッダーによるフィルターです。
• 暗号化されたHTTPSプロトコル-またはDNSフィルター。 または、SNIヘッダーでフィルターします（暗号化された接続を確立するとき、ドメイン名を含む暗号化されていないヘッダーが内部に送信されます）。 またはIPアドレスでフィルターします。
• 他のプロトコルはIPアドレスでブロックすることをお勧めしますが、「インスペクター」はこれをチェックしないため、誰かがチェックしますが、誰かがチェックしません。

規格では、2番目の場合、「ドメイン別」ロックはIPアドレスでブロックできないとしています。 しかし、プロバイダーは、フィルターをジャンクし始めると、すぐに別のレベルを含めて、罰金を得ないようにします。 このような話は珍しくなく、当然ビジネスに追加の損害をもたらします。



理論的には、プロバイダーは、アスタリスクのないドメインと同様に、マスクでドメインをフィルタリングします 。 再びチェックがないので、問題もありません。



IPアドレスと可能な限りIPアドレスのブロックでフィルターをかけます -エッジルーター上で時々。

良心的な参加者

「邪悪な」人々だけでなく、 良心的なインターネット参加者もブロックされていることを知っています。 たとえば、ホストに関する禁止情報を保持する意図はないが、手紙を読んでいない、または通知を受け取っていない場合。



2番目のグループは外国人参加者です。 彼らは法的分野に住んでおり、法律に違反していません。 彼らは、例えば、賄atで笑うことができます、彼らはそれで何も悪いことを見ません。 たとえば、法律は適用されないため、ホストにはこの情報を削除する権利さえありません。 彼らは邪悪な人々ではありませんが、ロックも彼らに当たります。

フィルタリングの問題

問題を分析し、標準で推奨されているDNSフィルタリングについて話しましょう。



最初の質問： DNSはそれと何の関係があるのですか？ 実際、禁止された情報が投稿される場合がありますが、DNSは、IPアドレスなどのDNSと同様に、人々が必要とするサービスを表します。 DNSを偽造する場合、すべてがあまり良くないので、その理由は明らかではありません。



2番目のポイントはDNS傍受の実装です。 実際、それらはすべてのトラフィックを傍受し（キャッシングサーバーを置くだけ-最も一般的な方法）、それに応じてサービス品質の問題が発生します。 たとえば、私のオフィスでは、DNSからの回答を待つ必要がある場合は動作しないため、DNS専用の迂回Dom.ruを作成しました。



これはすべて、回答の代替システムを作成することで加速できます 。 次に、プロバイダーはシステムを開発して保守する必要があります。 彼らもそれをしますが、それはまれです。



DNSクエリ暗号化技術（DNSCrypt、DoT、DoH）の普及により、DNSブロッキングのタイプが残るかどうかは不明です。



ドメインをマスクでフィルタリングすると、ドメインが異なるIP上に存在する可能性があります。つまり、HTTP / HTTPSバンド全体をスキャンする必要があります。 しかし、他のプロトコルで何をすべきか？ ストリップ全体をスキャンしますが、たとえば、マスクによる（ドメインによる）Telegramのみを禁止しています-どうすればよいですか？ しかし、まだ検証はありません ！



次の非常に重要な点-ところで、これが私たちの未来です-ポート443でSNI、SNI暗号化（ESNI）、またはその他の一般的なプロトコル（QUIC、DNSCrypt、VPN、MTProto-proxyなど）がない場合はどうしますか？



Googleなどの大企業はすでに暗号化されたSNIをサポートしていますが、Yandexはポート443にDNSCryptを持っています。 現在、誰もがこの問題を独自の方法で解決しています。 一部のプロバイダー、特にモバイルプロバイダーは、トラフィックをHTTPSとして認識できない場合、単純に切断します。 この件に関する統計を正確に提供することはできませんが、アプローチ自体は励みになりません。

ドメイン解決

たとえば、100 Gbpsの帯域全体にフィルターを配置するのは非現実的です。 代わりに、プロバイダーはドメインとそのIPアドレスを取得し、既にこのトラフィックをスキャンしています。 ちなみに、これは大規模なプロバイダーと小規模なプロバイダーの両方で行われ、ほとんどは大規模です。



これは規範ではありませんが、「わかります！」 「検査者」は、実際のアドレスと「アンロード」内のアドレス、つまり、これとそれの両方をチェックします。 解決はプロバイダーにとって有益であるため使用されます。 結局、100 Gbpsではなく、発信トラフィックをはるかに少なくフィルタリングする機会を彼らに与えます。





検証中のフェーズの問題は長い間知られており、誰もが泣き、刺し続け、そうし続けています。 プロバイダーはIPを取得し、フィルターを更新しましたが、「インスペクター」IPをチェックする前に変更されました。 リソースがIPを変更した時間（図の黄色の矢印）はミリ秒単位で測定できますが、プロバイダーが罰金を受け取るにはこれで十分です。





2番目のオプション：IPリソースを変更した後、プロバイダーと「インスペクター」は同じIPを持ち、すべてが時間通りに行われ、プロバイダーのみが「インスペクター」がチェックされるより1ミリ秒後にフィルターを更新しました-対応する損傷があります。 そのような状況のプロバイダーが、私たちがそれを好まないかもしれないほど多くのストローを入れようとすることは明らかです。



解決にはまだ問題があります：

• バランシング;
• 地域ターゲティング
• 意図的な移行を含むサービスの移行。

約6か月前、約1,000のドメインがロックから逃れました。 さらに、彼らがこれを具体的に行ったかどうかは不明です。 たとえば、何らかの理由でLiveJournalはロックされたすべてのジャーナルを何らかのCDNにスローします。これにより、IPが1分間に23回変更されます。 彼らがこれを行う理由はあまり明確ではありませんが、そのような事実があります。

ファウルドメイン

登録期間が終了すると、ドメインは「不良」になりますが、「アンロード」には残ります。これは、当然、誰もこれに従わないためです。 新しいドメイン所有者は、「アップロード」にあるロックのタイプを制御できます。 「アップロード」にサブドメインがある場合があります。ドメインを購入すると、すべてのサブドメインを制御できます。



「アップロード」で約200の「ファウル」ドメインを見つけましたが、実際にはさらに多くのドメインがあります。 冗談を決めた人々がすでにいくつのドメインを購入したかはわかりません。 たぶん何もない、たぶんある。



これは何につながりますか？





写真は、Yandex、VKontakte、Wikipediaサイトの失敗を示しています。 右側はMSK-IXグラフです。MSK-IXはこれを否定し、内部障害であると言います。 しかし、何らかの理由で、内部障害はDNS攻撃と完全に一致しました。



DNS攻撃は、誰かが「腐った」ドメインを購入し、そこに数千のIPアドレスを投げ、Yandex、VKontakteなど、自分が望むものに水をやるというものでした。 誰かがプレイしましたが、今のところ誰が知られていません。



もちろん、誰もが頬を膨らませて、これは不可能だと言った。 しかし、それにもかかわらず、「アップロード」のドメイン数を示す右下のグラフでは、2017年6月5日にRoskomnadzorが徹底的なクリーニングを実行したことがわかります。



攻撃の目的の1つは、クレジットカードによる支払いでした。 銀行はこれを認識しません、なぜなら彼らの分け前が落ちるからです。 しかし、実際には、一部の銀行はDDoSを経験しており、その結果、一晩中カード決済が機能しませんでした。



誰かが何かをしたと思いますか？





2018年3月14日 ：別の攻撃ベクトルだけでなく、「腐敗した」ドメインからも。 誰かが4つのドメインを購入し、400のサブドメインを制御し、4,000のIPアドレスをそこにアップロードしました。 Roskomnadzorの保証によると、TransTeleComは大丈夫です。60万台のルーターのテーブルがいっぱいになり、全国のTTKネットワークの20％が停止しました。



一年も経っていない：





これは解決チャートです。つまり、「アップロード」からのドメインのIPアドレスです。 5月5日、私はレオニード・エヴドキモフに言います：「しかし冗談を言ってはいけません。チャートのモールス信号に何か書いてはいけませんか？」1時間後に彼はそれをしました。 図は、ピークが見えるように、解決のために、そして私の時間（私は常にドメインをスキャンする）のために数千のIPに対して調整され、書き込みを開始したことを示しています ：デジタル抵抗。



2番目のチャートには、「真のポポフ」という大きな碑文がありました。なぜなら、それはラジオの日だったからです。 Roskomnadzorが最終的にドメインのクリーニングを開始した方法を示しているため、私はそれをもたらします。 一歩進んだところで、彼らはすでに2つのドメインを見つけており、2つはまだ見つけていませんが、彼らはある種の心にクリーニングをもたらしました。 「腐った」サブドメインの碑文が生成された時点で、「アンロード」には約4,000があり、11月までに安定していました。つまり、Roskomnadzorは定期的なクリーニングを行いました。 しかし、残念なことに、記事が公開されるまでに、ドメインの数は再び増加しました-現在、それらの1538があります。



ちなみに、これは数年間で私の仕事の唯一の結果です-彼らは本当に少なくとも何かを始めました！



ところで、事故や故障について。 実際には、何らかの理由で、機器とろ過プログラムが編成されたくありません。どこかで速度が低下し、 障害とエラーが発生します 。 負荷がわずかに増加し、サービス品質が存在しなくなります。 たとえば、DNS攻撃を使用できます。単純なケースでは、すべてが通常フィルタリングされるため、サイトは落ちませんが、ユーザーに対する作業の品質は非常に低くなります。 作業の質を低下させるために、「半デッド」サイトと言うことができます。



たとえば、昨年の夏、いくつかの地域のRostelecomで、何らかの理由でフィルターがHTTPプロトコルの1つのチャンクを誤って与えたため、ゴミが画面に落ちました。 Motobratan.ruの所有者は休暇中であり、彼は気にしないと言った。 このサイトは、月曜日の朝にエンジニアが来て修理するまで、週末を通してこのように機能しました。

プロバイダーの問題

次の場合には、適切なメンテナンススケジュールが必要です。

• 「アンロード」サービスは機能しません。
• 通信チャネルで事故が発生し、「アンロード」を受信できません。
• フィルターが壊れています。
• 予防のフィルター。

しかし、いいえ-それはすべて大丈夫です。 チートコードはまだありますが、私はそれがすぐに機能しなくなることを恐れています。 そのような場合のプロバイダーは、実在の経験に基づいて、「審査官」をオフにします。 「インスペクター」をオフにした場合、Roskomnadzorから電話があります。「ああ、壊れています。今すぐ修正中です！」 この間、罰金なしで何らかの予防作業を安全に実行できます。



ちなみに、TTKで事故が発生した場合、念のため、多くの人が単にフィルターと「検査官」をオフにしました。

ファンタジー

このすべてでできることのお気に入りのファンタジーはホワイトリストです。 しかし、しかし：

• ホワイトリストの基準。
• 相互作用システム-Roskomnadzorのサポートはあまり良くありません。それがどうなるか想像できます。
• クラウドでの作業方法-仮想マシンごとにアプリケーションを作成しますか？ たとえば、Kubernetesはノードを作成したいので、ホワイトリストに追加するリクエストを作成します-こんにちは、継続的な統合！

次のオプションは魔法のDPIです 。これは中国人が私たちに販売するもので、機能します。 しかし、奇跡はありません; DPIのパフォーマンスはまったく魔法ではありません。 第二に、複雑なものがフィルタリングされる場合、状態を保存する必要があります。 ただし、DPIはゴムではないため、たとえば、DPIに対する特別な攻撃を受ける可能性があります。 通常の障害も当然発生します。 閉じたインターネットサイトでDPIの下に住んでいた人は、彼らがまあまあ働くことをよく知っています。



— DNS , .

• , DNS , — .
• , . , , .
• , DNS, «» .

: Telegram?



, : . Telegram , , , DPI . , , , Telegram.



, .



, , Telegram- @usher2 schors

HighLoad++ 2018. — , . , , Saint HighLoad++ .