@tamogavk
@deni4ka

Посредством чего блокирует сайт мой провайдер?

Добрый день, я из тех кому не повезло (живу в Украине), естественно мой провайдер порезал мне вход в вк, вместо вк в браузере отображается заглушка с просьбой ознакомиться с указом президента о блокировках. В связи с чем появился интерес к тому, как провайдер заблокировал мне доступ в vk? пинг до вк проходит

PING vk.com (95.213.11.180) 56(84) bytes of data.
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=1 ttl=58 time=1.13 ms
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=2 ttl=58 time=1.14 ms

Далее dig vk- не дает ничего (ничего в ответ не получаю) тоже самое с nslookup. А вот если сделать nslookup vk 8.8.8.8 :

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: vk.com
Address: 87.240.165.82
Name: vk.com
Address: 95.213.11.180


Получается вот такая картина. Я так понимаю,что провайдер стёр запись в своем днс-сервере о вк? но ведь у меня на роутере стоят днс гугля. Помогите разобраться, почему именно такой вывод nslookup?
К слову, методы обхода я прекрасно использую, советовать мне их не нужно.
  • Вопрос задан
  • 940 просмотров
Решения вопроса 1
  • @yaror
    10 лет в мобильном телекоме
    Поскольку резолвинг DNS происходит корректно, промышленно готовых вариантов остаётся три:

    1. Провайдерский DPI: наверняка он уже есть у всех провайдеров в том или ином виде.
    Логически DPI обычно включается в разрыв линка между ядром и NAT.
    Физически зачастую тоже.
    Кроме обычных шейпинга и подсчёта трафика per-subscriber, там реализован набор ALG (Application Layer Gateway), которые представляют из себя, фактически, прозрачные прокси для типичных протоколов: HTTP, FTP, DNS и т.д.
    Как правило, ALG умеют не только реагировать на определённые значения полей, но и вмешиваться в процесс передачи данных.
    Количество ALG зависит от навороченности DPI; в Procera даже World of Warcraft есть )
    Ну а уж подмена HTTP-страницы - пожалуй, самая используемая функция HTTP ALG.

    2. Наколенное решение раз:
    Описано у none7
    Завести у себя в сети сервер с ip-адресами, совпадающими с Ip-адресами Вконтакта (ну, или NAT'ить все запросы к нему на сервер-заглушку, что примерно то же самое) - вполне себе решение, если надо заблокировать сервис целиком, а не отдельные страницы на нём.
    Но если вдруг ваши политики наберутся дурости у наших, и список блокируемых ресурсов начнёт расти, провайдеры взвоют этот вариант поддерживать )

    3. Наколенное решение два:
    На самом деле, в России есть свой список блокируемых ресурсов (т.н. список Роскомнадзора) с сотнями тысяч URL.

    Выяснилось, что таким количеством записей множество провайдерских DPI попросту давится, поэтому эта задача зачастую решается следующим образом: заводятся отдельные серверы, подключаемые непосредственно к провайдерским BR (Border router'ам).

    Задачи серверов:
    - заглотить список блокируемых ресурсов, выдрать оттуда имена доменов и разрезолвить их в ip-адреса; адресов получается несколько десятков тысяч
    - полученные адреса через OSPF или BGP сливаются в BR. BR - он большой, спокойно держит BGP Full View, поэтому 10-20-50k лишних префиксов для него - капля в море

    Получается, что весь трафик в сторону ip-адресов, на которых находится хотя бы одна заблокированная страница, теперь льётся на эти серверы.
    Казалось бы, фиг какой сервер всё это переварит, но их можно плодить десятками: срабатывает ECMP/Load Balancing на уровне маршрутизации, и трафик размазывается между серверами примерно поровну.

    На самих серверах Linux, а в Linux - squid в transparent mode и iptables )
    Соответственно:
    - tcp port 80 силами iptables отправляется в сквид, где каждый запрошенный абонентом URL ищется в списке блокированных ресурсов
    - в tcp port 443 проверяется SNI чтобы понять, пропускать трафик дальше, или резать к такой-то матери
    - весь остальной трафик (и пинги, угу) пропускается насквозь без изменения
    Ответ написан
Пригласить эксперта
Ответы на вопрос 7
  • dimonchik2013
    @dimonchik2013
    давно на палочке не ел я эскима
    см. про iptables, с той поправкой, что на оборудовании прова это делает специально заточенное железо
    Ответ написан
  • @none7
    Если бы он стёр DNS-запись, то Вы бы не получали вообще ничего, кроме сообщения от браузера о не работающей сети. Ваш же провайдер настроил NAT, на блокируемые адреса и весь трафик идущий на ip vk обрабатывается сервером провайдера, в том числе и пинг. Задержка в 1 миллисекунду это отлично показывает, так как такое бывает лишь в пределах города, а CDN у vk нет.
    Ответ написан
  • @devalone
    Dns ответ правильный, у меня те же ipшники на vk.com выдаёт. Скорее всего блокировка по ip. Кстати, что происходит, если зайти на https://vk.com?
    Ответ написан
  • vvpoloskin
    @vvpoloskin
    Инженер связи
    Скорее всего порезал порты 80/443. У вас ещё не было времени внедрить полноценный dpi. В этом можно убедиться запустив traceroute с явным указанием порта. Хотя если провайдер большой, скорее всего все же это dns. Поставьте явно на пк гугловские.
    Ответ написан
  • latteo
    @latteo
    tracert посмотрите, скорее всего whois для последних хопов покажет, что они принадлежат вашему провайдеру.
    Ну и нам покажите, мне было бы интересно глянуть.

    PS: с точки зрения провайдера, это большое свинство, поскольку на заглушке они могут собирать ваши куки и некоторые другие приватные данные.
    Ответ написан
  • @Sirius__Black
    Всем доброго времени суток. Ребят, что я думаю. На врятли провайдер будет делать блокировку через DNS или блокировать порты. Сами посудите. Если блокировать порты, то вы вообще не выйдите в интернет на внешние ресурсы. Потому как именно порт пропускает на внешку. Теперь, предположим что провайдер блокирует DNS. Но вот опять не стыковачка, потому как DNS адрес не сменный, поэтому если его поменять, то вы попросту не выйдите в интернет вообще, потому как DNS провайдера и Ваш DNS не будут совпадать. Скорее всего провайдер блокирует ресурсы через IP. Но это не проблема для выхода на заблокированный сайт. Я думаю, здесь поможет программа HOST или как там она называется не помню. Эта прога даст простой выход (я так думаю), поскольку я пользовался такой прогой, для игры в WARFACE на европейском сервере. Для нас, стран бывшего СССР доступ на этот европейский ресурс закрыт. Но я скачал эту прогу, поставил страну ГЕРМАНИЯ и вуа ля, доступ на ресурс разрешён. Более того, мой IP сменился на немецкий.. Попробуйте, может это выход из ситуации.. Я думаю, что украина может заблокировать только сайты украины. Тогда я думаю ни какой HOST не поможет. Потому как перепишись ты на другой IP другой страны, то всё равно сайт будет блокированным. Пока сайт не заблокирует сама страна в которой находится этот сайт, то сайт будет доступен всем так или иначе. Вот если сама Россия заблокирует яндекс и всё остальное у себя в стране, то доступ к ресурсам будет закрыт для всех стран.
    Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы
Вакансии с Моего Круга Все вакансии
Заказы с Фрилансим Все заказы