![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
slava68С Хабра:
Давайте представим что вы — РКН, и вам поручили заблокировать Телеграм. Откуда вы, РКН, может взять IP для блокировки Телеграма? Само очевидное решение было бы где-то перехватывать трафик Телеграма, брать оттуда IP, к которым он пытается подсоедениться, и отправлять в блокировку. Для этого достаточно простейшего правила вида iptables -j LOG и скрипта из tail -f, grep и xargs для вызова программы добавления в блок-лист.
Перехватывать трафик РКН было бы оптимально с мобильного приложения, так что самым очевидным решением было бы настроить Wi-Fi точку доступа, подключенную через подконтрольный роутер, а к ней подключить телефон, на котором будет открыт Телеграм. Так любые попытки подсоединения к серверам телеграма будут отслеживаться, адреса — блокироваться.
Если посмотреть на список заблокированных, то бросается в глаза счётчики и рекламные сети. Такое чувство что кто-то с устройства, предназначенного для блокировки Телеграма, зашел в обычный интернет и пошел по разным сайтам. Скорее всего это было какое-то другое устройство, которое по случаю подключилось к той же Wi-Fi сети. Судя по присутствию сайта whatismyipaddress.com в списке заблокированных, это мог быть даже не сотрудник РКН, а какой-то посторонний человек, по случаю нашедший открытую Wi-Fi сеть или подобравший пароль. Впрочем, бритва Хэнлона подсказывает что от сотрудников РКН можно ожидать и не такого.
Если раньше владелец заблокированного домена мог добавить в блок-лист произвольные IP адреса заменой A записи, то сейчас ситуация выходит на совершенно новый уровень. Просто представьте себе: что если Телеграм будет пытаться открыть не свои сервера, а просто обратится к IP топовых сайтов? IP объектов инфраструктуры?.. Эти все IP по логике Роскомнадзора быстренько попадут в список под блокировку, а затем также быстро в выгрузку провайдерам.
Это означает что владелец заблокированного приложения, вроде того же Телеграма или Zello, может не просто заблокировать какие-то отдельные IP подобно владельцам сайтов, а потенциально получает возможность заблокировать вообще всё что ему захочется.
Из этой возможности естественно следует появление белого списка адресов, которые никогда нельзя заблокировать. Можно предположить такой список уже есть, ведь IP сервера, откуда провайдеры берут новые данные, уже попадал в выгрузку с понятными последствиями, но этому списку явно есть куда расти (сообщают что там было порядка 500 IP). Само наличие такого полного белого списка влечет за собой возможность в какой-то момент отключить всё, кроме белого списка. Это не может радовать.
Давайте представим что вы — РКН, и вам поручили заблокировать Телеграм. Откуда вы, РКН, может взять IP для блокировки Телеграма? Само очевидное решение было бы где-то перехватывать трафик Телеграма, брать оттуда IP, к которым он пытается подсоедениться, и отправлять в блокировку. Для этого достаточно простейшего правила вида iptables -j LOG и скрипта из tail -f, grep и xargs для вызова программы добавления в блок-лист.
Перехватывать трафик РКН было бы оптимально с мобильного приложения, так что самым очевидным решением было бы настроить Wi-Fi точку доступа, подключенную через подконтрольный роутер, а к ней подключить телефон, на котором будет открыт Телеграм. Так любые попытки подсоединения к серверам телеграма будут отслеживаться, адреса — блокироваться.
Если посмотреть на список заблокированных, то бросается в глаза счётчики и рекламные сети. Такое чувство что кто-то с устройства, предназначенного для блокировки Телеграма, зашел в обычный интернет и пошел по разным сайтам. Скорее всего это было какое-то другое устройство, которое по случаю подключилось к той же Wi-Fi сети. Судя по присутствию сайта whatismyipaddress.com в списке заблокированных, это мог быть даже не сотрудник РКН, а какой-то посторонний человек, по случаю нашедший открытую Wi-Fi сеть или подобравший пароль. Впрочем, бритва Хэнлона подсказывает что от сотрудников РКН можно ожидать и не такого.
Если раньше владелец заблокированного домена мог добавить в блок-лист произвольные IP адреса заменой A записи, то сейчас ситуация выходит на совершенно новый уровень. Просто представьте себе: что если Телеграм будет пытаться открыть не свои сервера, а просто обратится к IP топовых сайтов? IP объектов инфраструктуры?.. Эти все IP по логике Роскомнадзора быстренько попадут в список под блокировку, а затем также быстро в выгрузку провайдерам.
Это означает что владелец заблокированного приложения, вроде того же Телеграма или Zello, может не просто заблокировать какие-то отдельные IP подобно владельцам сайтов, а потенциально получает возможность заблокировать вообще всё что ему захочется.
Из этой возможности естественно следует появление белого списка адресов, которые никогда нельзя заблокировать. Можно предположить такой список уже есть, ведь IP сервера, откуда провайдеры берут новые данные, уже попадал в выгрузку с понятными последствиями, но этому списку явно есть куда расти (сообщают что там было порядка 500 IP). Само наличие такого полного белого списка влечет за собой возможность в какой-то момент отключить всё, кроме белого списка. Это не может радовать.