@tamogavk
@deni4ka

Посредством чего блокирует сайт мой провайдер?

Добрый день, я из тех кому не повезло (живу в Украине), естественно мой провайдер порезал мне вход в вк, вместо вк в браузере отображается заглушка с просьбой ознакомиться с указом президента о блокировках. В связи с чем появился интерес к тому, как провайдер заблокировал мне доступ в vk? пинг до вк проходит

PING vk.com (95.213.11.180) 56(84) bytes of data.
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=1 ttl=58 time=1.13 ms
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=2 ttl=58 time=1.14 ms

Далее dig vk- не дает ничего (ничего в ответ не получаю) тоже самое с nslookup. А вот если сделать nslookup vk 8.8.8.8 :

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: vk.com
Address: 87.240.165.82
Name: vk.com
Address: 95.213.11.180


Получается вот такая картина. Я так понимаю,что провайдер стёр запись в своем днс-сервере о вк? но ведь у меня на роутере стоят днс гугля. Помогите разобраться, почему именно такой вывод nslookup?
К слову, методы обхода я прекрасно использую, советовать мне их не нужно.
  • Вопрос задан
  • 1881 просмотр
Решения вопроса 1
  • @yaror
    10 лет в мобильном телекоме
    Поскольку резолвинг DNS происходит корректно, промышленно готовых вариантов остаётся три:

    1. Провайдерский DPI: наверняка он уже есть у всех провайдеров в том или ином виде.
    Логически DPI обычно включается в разрыв линка между ядром и NAT.
    Физически зачастую тоже.
    Кроме обычных шейпинга и подсчёта трафика per-subscriber, там реализован набор ALG (Application Layer Gateway), которые представляют из себя, фактически, прозрачные прокси для типичных протоколов: HTTP, FTP, DNS и т.д.
    Как правило, ALG умеют не только реагировать на определённые значения полей, но и вмешиваться в процесс передачи данных.
    Количество ALG зависит от навороченности DPI; в Procera даже World of Warcraft есть )
    Ну а уж подмена HTTP-страницы - пожалуй, самая используемая функция HTTP ALG.

    2. Наколенное решение раз:
    Описано у none7
    Завести у себя в сети сервер с ip-адресами, совпадающими с Ip-адресами Вконтакта (ну, или NAT'ить все запросы к нему на сервер-заглушку, что примерно то же самое) - вполне себе решение, если надо заблокировать сервис целиком, а не отдельные страницы на нём.
    Но если вдруг ваши политики наберутся дурости у наших, и список блокируемых ресурсов начнёт расти, провайдеры взвоют этот вариант поддерживать )

    3. Наколенное решение два:
    На самом деле, в России есть свой список блокируемых ресурсов (т.н. список Роскомнадзора) с сотнями тысяч URL.

    Выяснилось, что таким количеством записей множество провайдерских DPI попросту давится, поэтому эта задача зачастую решается следующим образом: заводятся отдельные серверы, подключаемые непосредственно к провайдерским BR (Border router'ам).

    Задачи серверов:
    - заглотить список блокируемых ресурсов, выдрать оттуда имена доменов и разрезолвить их в ip-адреса; адресов получается несколько десятков тысяч
    - полученные адреса через OSPF или BGP сливаются в BR. BR - он большой, спокойно держит BGP Full View, поэтому 10-20-50k лишних префиксов для него - капля в море

    Получается, что весь трафик в сторону ip-адресов, на которых находится хотя бы одна заблокированная страница, теперь льётся на эти серверы.
    Казалось бы, фиг какой сервер всё это переварит, но их можно плодить десятками: срабатывает ECMP/Load Balancing на уровне маршрутизации, и трафик размазывается между серверами примерно поровну.

    На самих серверах Linux, а в Linux - squid в transparent mode и iptables )
    Соответственно:
    - tcp port 80 силами iptables отправляется в сквид, где каждый запрошенный абонентом URL ищется в списке блокированных ресурсов
    - в tcp port 443 проверяется SNI чтобы понять, пропускать трафик дальше, или резать к такой-то матери
    - весь остальной трафик (и пинги, угу) пропускается насквозь без изменения
    Ответ написан
Пригласить эксперта
Ответы на вопрос 6
  • @none7
    Если бы он стёр DNS-запись, то Вы бы не получали вообще ничего, кроме сообщения от браузера о не работающей сети. Ваш же провайдер настроил NAT, на блокируемые адреса и весь трафик идущий на ip vk обрабатывается сервером провайдера, в том числе и пинг. Задержка в 1 миллисекунду это отлично показывает, так как такое бывает лишь в пределах города, а CDN у vk нет.
    Ответ написан
  • dimonchik2013
    @dimonchik2013
    Сравана Крутапси Крутанапаль
    см. про iptables, с той поправкой, что на оборудовании прова это делает специально заточенное железо
    Ответ написан
  • devalone
    @devalone
    Dns ответ правильный, у меня те же ipшники на vk.com выдаёт. Скорее всего блокировка по ip. Кстати, что происходит, если зайти на https://vk.com?
    Ответ написан
  • vvpoloskin
    @vvpoloskin
    Инженер связи
    Скорее всего порезал порты 80/443. У вас ещё не было времени внедрить полноценный dpi. В этом можно убедиться запустив traceroute с явным указанием порта. Хотя если провайдер большой, скорее всего все же это dns. Поставьте явно на пк гугловские.
    Ответ написан
  • latteo
    @latteo
    tracert посмотрите, скорее всего whois для последних хопов покажет, что они принадлежат вашему провайдеру.
    Ну и нам покажите, мне было бы интересно глянуть.

    PS: с точки зрения провайдера, это большое свинство, поскольку на заглушке они могут собирать ваши куки и некоторые другие приватные данные.
    Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы
Вакансии с Моего Круга Все вакансии
Заказы с Фрилансим Все заказы