О том как Роскомнадзор всему миру интернет поломать собрался
Надзорное ведомство продолжает подавать всему онлайн-сообществу знаки приближающегося интернет-апокалипсиса собственной сборки через недоговорки, молчание и инфографику.
В конце января текущего года исполнительный директор Общества защиты интернета (ОЗИ) Михаил Климарёв опубликовал в своём Telegram-канале инсайд, который одновременно и рассмешил, и насторожил часть российского интернет-сообщества, имеющего хотя бы какое-то представление, что же такое «blackhole» применительно к интернету. По данному инсайду Роскомнадзор традиционно не давал никаких комментариев, и история постепенно забылась (почти). Но вот совсем недавно случилась очередная утечка документов, подлинность которых пытались выяснить журналисты, однако пресс-служба надзорного ведомства сослалась на секретность и не стала проливать свет на планы властей заблокировать на территории России облачный сервис Amazon, который до сих пор помогает оставаться на плаву запрещённой по инициативе Генпрокуратуры онлайн-рации Zello:
Это секретное делопроизводство!
Такой вот ответ от Роскомнадзора на запрос журналиста по теме "Эксперимент РКН с блокировкой 15 миллионов IP-адресов Amazon"
UPD: https://t.co/JrjpZFGk0U pic.twitter.com/bzXCFLnmlR
— РосКомСвобода (@RuBlackListNET) March 26, 2018
Как справедливо заметил глава хостинга DiPHOST Филипп Кулин, что бы ни случилось, любимое ведомство всех операторов связи и провайдеров России предпочитает или отмалчиваться или… э-э… озвучивать не соответствующие действительности сведения, поэтому в итоге многие попадающие в прессу или в Сеть утечки чаще раскрываются благодаря допускаемым Роскомнадзором ошибкам в документах, оговоркам «по Фрейду», а иногда и с помощью «неубранных следов былых совещаний» из публикуемой на официальном сайте информации. Дело в том, что в одном из инсайдерских документов Климарёва, уже касающихся «эксперимента» по блокировке Amazon, снова всплыло это страшное и неумолимое понятие, как «blackhole»:
Как уже говорилось выше, Роскомнадзор назвал это решение «секретным» и решил особо не распространяться на тему организации новых блокировок умельцами из секты «уютного Рунета без порно и крамолы», однако буквально сутки назад на своём официальном сайте он опубликовал новые правила блокировки запрещённого контента, где в инфографике присутствует (та-дам!) «blackhole»:
Причём, что тоже интересно, в самой публикации, а также приказе РКН не содержится никаких сведений о технологии блокировок на базе протокола BGP и его возможности «blackhole», «которая поломает весь глобальный интернет». Предполагаю, что существуют некие внутренние документы и инструкции, которые предписывают операторам «блэкхолить» определённый трафик, а в вышеуказанной инфографике в публичном поле это проявилось в таком вот либо «пасхальном яйце» от неизвестного шпиона в рядах Роскомнадзора, либо оно возникло в результате головотяпства сотрудников пресс-службы всеми горячо любимого надзорного ведомства, когда рудименты секретной информации могли случайно попасть в публичное поле.
Теперь немного о том, что же готовят нам Роскомнадзор и все те «умники» из госведомств, с которыми он обсуждал применение «blackhole» для блокировок вызывающих у властей зуд интернет-ресурсов. По своим последствиям это может быть сравнимо с катастрофой в Чернобыле и на «Маяке» вместе взятых, только в мировом интернете. С помощью блэкхолинга весь трафик блокируемого ресурса, например — Amazon, отправляется в никуда. Обращения к его адресам не дают ничего, то есть ресурс просто исчезает из интернета, уходит в «чёрную дыру». Но проблема в том, что Россия встроена в глобальный интернет, а не находится в зоне «внутреннего уютненького интранетика», поэтому если маршрутная информация о направляемом в никуда трафике утечёт (“route leak”) к другим операторам, то есть — за пределы Рунета, — сервисы Amazon станут недоступны в Германии, Австралии, Китае, США (список стран будет столь же непредсказуем, как и последствия деятельности Роскомнадзора). В лучшем случае, в «чёрной дыре» окажется только один интернет-ресурс в ряде стран у ряда провайдеров. В худшем — интернет-трафик пойдёт неправильными путями, перегружая внешние каналы операторов. Мы уже видели пример с утечкой из Ростелекома маршрутов к сетям финансовых организаций.
По каждому из «условно хороших плохих» и «условно ужасных плохих» случаев специалистам по всему миру придётся принимать какие-то меры, а именно — вычислять, где же засел «интернет-террорист», и найдёт его где-то в районе 1/7 части суши. Ну что ж, дальнейшие последствия сравнимы с недавней высылкой российских дипломатов из ряда западных стран, олимпийским допинговым скандалом, а также неизбежным ухудшением отношения к российским компаниям и властям. В общем, переход нашей страны через «blackhole» в компанию к КНДР будет практически гарантирован.
Что ж, хочу передать горячий привет «умельцам» из Роскомнадзора, отраслевых министерств и других ведомств, которые додумались до применения «оружия массового интернет-поражения» для блокировки ваших собственных страхов!
Источник: https://roskomsvoboda.org/37531/
счёт реальность : правителсьтво станет
"очень много +1" : 0
ссср так же разваливался, огромное количество аварий и упорное игнорирование экономики и реальности. (АЭС взрывались, корабли тонули, поезда целыми составами уходили в АД, вместе с экономикой)
Вот только велосипед - тандем.
Если я верно понял, «blackhole» настраивает у себя конкретный оператор. Как это влияет на иностранных операторов? И почему «blackhole» нельзя обойти при помощи простого VPN?
Вася также договорился что письма к Ивану он будет оправлять через Толика.
Тут Вася решает что ему с толиком не по пути и все письма которые он отправляет Толику он будет просто выбрасивать при этом ничего не сказав тебе.
Так получаеться роутлик. Тоесть письма стабильно не доходят.
У тебя есть два варянта, поднять жопу и пойти треснуть Васю по башке чтоб тот начал сортировать письма для Ивана либо просто забить на Васю и договориться с кемто еще.
При этом тебе пофииг на националность Васи.
Чуть ли не дефолтный свитч во всех протоколах.
А если ркн имеет доступ к магистральному кабелю на вход в россию, что скорее всего "да", то на самом дефолтном файерволе установленном в каждом завалящем линуксе, эта, секретная, никем не реализованная, технология для списка подсетей из бумажки реализуется единственной опцией -j DROP.
"А вы, товарищ, ссылку-то открывали? Там второй референт это список 2013 года на днсблэкхолс в котором штук этак тыща их.
А если ркн имеет доступ к магистральному кабелю на вход в россию, что скорее всего "да", то на самом дефолтном файерволе установленном в каждом завалящем линуксе, эта, секретная, никем не реализованная, технология для списка подсетей из бумажки реализуется единственной опцией -j DROP."
В пакистане уже попробовали, словили таких пиздюлей что мало не показалось.
РФ неслабо так зависима от глобальной сети, и никакие чинуши, включая самых высоких, с этим удобством не расстанутся, инфа 100%. Так что ставлю на то, что ничего не будет, и соснут точно так же, как соснули с шифрованными каналами, когда было куча гонора, а закончилось пшиком и истребованием закрытых ключей в судебном порядке.
Соответственно, вся магистральная маршрутизация будет тоже мимо РФ. ВОт и все.
Более того, после пакистана, скорее всего, контроль доступности узлов вполне себе автоматический. Так шта... Хуево будет только тут (и то не всем), а там... Ну, может опять ютуб дропнется на пару часов:) И то не везде.
Я-то имел ввиду то, что находится здесь. Т.е. в пределах нашей автономки.
Остальное тоже не упадет, просто отсюда работать не будет. Но, тащем-то, при взгляде отсюда - похуй как оно там на самом деле, да.
Меня, как сисадмина просто выбешивает эта дикая неспособность этих людей думать и их полнейшая некомпетентность.
Поэтому просто процитирую:
"In networking, black holes refer to places in the network where incoming or outgoing traffic is silently discarded (or "dropped"), without informing the source that the data did not reach its intended recipient."
Переводя на русский: в работе сетей, черные дыры ссылаются на такие расположения сети, где входящий или исходящий трафик отклоняется (или сбрасывается) без уведомления источника данных о том, что данные не дошли до адресата.
В большинстве случаев используется комбинация сетевых топологий звезда и кольцо.
Окей, из нашей деревни заблочили амазон с помощью отправки всего трафика в никуда. Каким, блять, магическим образом это сломает мировой интернет-то? Ну не долетают запросы из наших сетей к их серверам. И чо? Не ходит их траффик через нашу сеть. С учетом топологии (кольцо), траффик просто пойдет по другому маршрут, аллес. А вот мы останемся без этих ваших амазонов в инторнетах.
Напомню, сейчас блокировки происходят через редирект на сервер со страничкой-заглушкой. По логике поста это тоже должно к хуям сломать все западные инторнеты.
Смешно же.
Ах, да, еще мы не касались протоколов. Обязательная установка соединения (подтверждение) присутствует, емнип, в TCP (еще где-то тоже наверняка есть, но лень ковыряться). А есть еще такой замечательный протокол как UDP - там подтверждения соединения нет ваааааааще, от слова совсем. Луркаем RFC 768.
Если на пальцах объяснять, то сейчас все выглядит так:
1. запрос на заблокированный ресурс приходит на маршрутизатор
2. маршрутизатор перенаправляет все запросы к заблокированному ресурсу на какой-то сервак с заглушкой
А будет с блэкхолом так:
1. запрос на заблокированный ресурс приходит на маршрутизатор
2. маршрутизатор его просто отклоняет.
аналогично при запросе в наши сети от заблоченных хостов.
траффик просто сплавят в /dev/null или я не догнал чего?
Но блекхол не генерит же ответов на запросы от хостов. А это будет воспринято системами контроля сетевой доступность и траффика как ошибка сети и все равно все отправять по другому маршруту.
BGP не равно маршруту.
Проще, чем так я не смогу объяснить, только могу предложить самостоятельно rfc от середины нулевых почитать. 2006 что ли года. На сайте ietf или в вики найти конкретный драфт труда составить не должно.
RFC много, ткни в номера по теме, что ли?
вообще, как я понимаю, трафик до конечных точек ходит по определенным маршрутам. О доступности и работоспособности
этих маршрутов железки сообщают.
Гугл, например, выдал вот это: http://xgu.ru/wiki/BGP
Есть такие строчки: "это основной протокол динамической маршрутизации, который используется в Интернете. "
И такие: "Маршрутизаторы, использующие протокол BGP, обмениваются информацией о доступности сетей. Вместе с информацией о сетях передаются различные атрибуты этих сетей, с помощью которых BGP выбирает лучший маршрут и настраиваются политики маршрутизации. "
Можно поискать, конечно, более авторитетные источники, но, по-моему, уже понятно.
Если трафик уходит по магистрали в блэкхол на каком-то участке сети (то бишь, просто дропается без ответа об установлении соединения, например), то штуки вот с этой херью должны отправить его по другому маршруту, перебирая все возможные маршруты, которые в них забиты.
И только когда по всем маршрутам ответов нет - передается, что конечная точка недостижима, не?
https://tools.ietf.org/html/rfc4271
routing protocol.
The primary function of a BGP speaking system is to exchange network
reachability information with other BGP systems. This network
reachability information includes information on the list of
Autonomous Systems (ASes) that reachability information traverses.
This information is sufficient for constructing a graph of AS
connectivity for this reachability, from which routing loops may be
pruned and, at the AS level, some policy decisions may be enforced."
Об чем и спич. Протокол маршрутизации. Основная задача обмен информацией о доступности и работоспособности сегментов сети и сетей доступных через этот участок.
То есть, возвращаемся-таки к маршрутизации.
В магистральных провайдерах не конченные долбоебы, в амазонах всяких тоже, думаю.
Так что запилить автопереключение на другой маршрут - не проблема (скорее всего уже так и сделано).
Запилить проверку доступности к нам\от нас - тоже не проблема (и учитывая пакистан, скорее всего, уже сделано).
То есть, как я и говорил: рашка направляет запросы идущие на амазон через нее в девнул, рашка же направляет запросы от амазон идущие в рашку и через нее в девнулл - амазон запускает траффик мимо рашки до конечных точек, все довольны.
Не повезет только тем, у кого 1 канал через рашку и других нет.
Повторяется история с Пакистаном и ютубом - жопа будет там, где нет иных вариантов или не подсуетились оперативно переключиться.
Я говорю о том, что западному интернету выебоны композора никакого урона не нанесут (ну, если, конечно, магистральные провайдеры с той стороны умеют в аналитику). И все.
Поэтому РКН нагадит только нам с вами (нам же и придумывать, как эту жопу обходить), а западу как было похуй на этих соплежуев, так и будет. Ну, я думаю, вообще к хуям весь трафик мимо направят, чтоб РФ жизнь медом не казалась.
Насколько я понимаю маршрут нулевой, но он есть и, соответсвенно, по-прежнему могут быть анонсированы. Тут нужны инженеры из isp для точности. Это не настолько моя область. Как оно себя в практике поведёт - я не знаю. Я верю, что на реакторе есть знающиелюди, кто может развить тему и ответить на вопросы.
В описании же все написано.
Достаточно просто представить КАК работает сеть:
1. мы стучимся на адрес некий (допусти, через доменное имя используя как транспорт TCP)
2. отправляем запрос
3. роутер видит запрос, видит, что адрес не в его сети и передает дальше
4.???
5. профит.
В случае если по маршруту есть блекхол, а наш роутер подключен к нескольким ISP и реализована нормальная маршрутизация по ценности и доступности маршрута (есть даже в сраном микротике за 1500 рэ):
3. роутер видит запрос, кидает его по наиболее дешевому доступному маршруту
4. ответа нет (блекхол) (а проверка доступности этого маршрута реализовано через проверку доступности не того ресурса, который мы сейчас запрашиваем).
5. кидает по следующему маршруту
6. ????
7. профит.
Но при этом весь остальной траффик ходит по варианту раз, а траффик до недоступного ресура (недоступного через первый маршрут) ходит по варианту два.
При этом по первому маршруту он (роутер) может получать сведения о живости и доступности того сегмента сети, что за следующим маршрутизатором.
ДА!
>>а в том, что твой бгп-маршрутизатор анонсирует говно другим маршрутизаторам, и те это говно принимают.
>> А они делают это на автомате, ибо как раз в динамическом формировании и есть суть.
конечно принимают. Но, дружище, ты, кажется, свято уверен, что оно подключено только по одному каналу и не имеет резервного канала в цепочке. На каком-то из узлов встретятся различающиеся показания и весь вопрос в будет в том - чему верить. routing policy же! А в этой политике может быть указано, что при передаче по BGP вот таких %параметров% вот %отсюда% направлять трафик по %параметрам2% вот %сюда%.
Ну резервирование же ж, блядь.
Не то чтобы ядерное оружие, а вот громко пёрнуть в лужу отлично получится - весь мир увидит что Россия на самом деле пакистан, даже те кто дистанцируется от политоты.
Это обходится быстро и просто - направляем трафик не через эти магистрали и всё.