Хабрахабр

Заблокировать весь интернет, или обезьяна с гранатой

РКН заблокировал приличную часть глобальной сети и Рунета в частности, включая Яндекс, ВК, Одноклассников и ТамТам заодно. Сегодня случилось то, о чем давно предупреждали. Фейсбук и Гугл тоже не остались в стороне.

Всего было заблокировано больше сотни IP адресов различных популярных сайтов. Это случилось 26 апреля в 21:06 по UTC, или примерно в полночь по Москве.

В числе заблокированных:

IP

Домены на IP

31.13.92.14, 157.240.20.15, 157.240.20.19...

facebook.com, m.facebook.com, messenger.com

209.85.233.188, 216.58.207.193, 216.58.207.225, 64.233.163.188, 64.233.165.188, 216.58.207.195

google.com, youtube.com, blogspot.com, googledrive.com, docs.google.com ...

216.58.207.202, 216.58.207.234

googleapis.com, fonts.googleapis.com

216.58.207.232

google-analytics.com

216.58.207.197

mail.google.com

13.107.21.200

bing.com, m.bing.com, ...

104.244.42.131

twitter.com

104.244.42.5

t.co

2.17.140.47

addthis.com

104.16.18.96

whatismyipaddress.com

37.79.247.8

rnis66.ru *

151.101.84.84

pinterest.com

194.190.168.1

ntp.ix.ru (сервер времени на MSK-IX)

217.20.155.10

odnoklassniki.ru, ok.ru, tamtam.chat

195.128.157.74

mail.dom.gosuslugi.ru, mir24.tv

95.213.222.13, 95.213.222.9

smi2.ru

87.240.129.133

vk.com

213.180.204.90, 77.88.21.90

mc.yandex.ru

Полный отчёт по заблокированным IP. Кроме того, в списке есть всевозможные счётчики и рекламные системы.

Ощутить неприятные эффекты смогли разве что жители Дальнего Востока. К счастью, для большинства читателей этой статьи блокировка прошла незамеченной: её отменили примерно через два часа. Из-за этой блокировки Одноклассники не открывались в одном случае из трёх, а пользователи Google и Facebook не в Москве могли вообще не заметить блокировки так как IP у этих компаний выдаются предположительно учитывая географические факторы.

Как обычно, на доступности Телеграма эта новая блокировка никак не сказалась.

Как такое могло произойти?

Во всей этой ситуации примечателен не сам факт блокировки — тут ничего нового, а возможные причины появления именно такого списка заблокированных IP.

Откуда вы, РКН, может взять IP для блокировки Телеграма? Давайте представим что вы — РКН, и вам поручили заблокировать Телеграм. Для этого достаточно простейшего правила вида iptables -j LOG и скрипта из tail -f, grep и xargs для вызова программы добавления в блок-лист. Само очевидное решение было бы где-то перехватывать трафик Телеграма, брать оттуда IP, к которым он пытается подсоедениться, и отправлять в блокировку.

Так любые попытки подсоединения к серверам телеграма будут отслеживаться, адреса — блокироваться. Перехватывать трафик РКН было бы оптимально с мобильного приложения, так что самым очевидным решением было бы настроить Wi-Fi точку доступа, подключенную через подконтрольный роутер, а к ней подключить телефон, на котором будет открыт Телеграм.

Такое чувство что кто-то с устройства, предназначенного для блокировки Телеграма, зашел в обычный интернет и пошел по разным сайтам. Если посмотреть на список заблокированных, то бросается в глаза счётчики и рекламные сети. Судя по присутствию сайта whatismyipaddress.com в списке заблокированных, это мог быть даже не сотрудник РКН, а какой-то посторонний человек, по случаю нашедший открытую Wi-Fi сеть или подобравший пароль. Скорее всего это было какое-то другое устройство, которое по случаю подключилось к той же Wi-Fi сети. Впрочем, бритва Хэнлона подсказывает что от сотрудников РКН можно ожидать и не такого.

О чём это говорит?

Просто представьте себе: что если Телеграм будет пытаться открыть не свои сервера, а просто обратится к IP топовых сайтов? Если раньше владелец заблокированного домена мог добавить в блок-лист произвольные IP адреса заменой A записи, то сейчас ситуация выходит на совершенно новый уровень. Эти все IP по логике Роскомнадзора быстренько попадут в список под блокировку, а затем также быстро в выгрузку провайдерам. IP объектов инфраструктуры?..

Это означает что владелец заблокированного приложения, вроде того же Телеграма или Zello, может не просто заблокировать какие-то отдельные IP подобно владельцам сайтов, а потенциально получает возможность заблокировать вообще всё что ему захочется.

Наверняка такой список уже есть, ведь IP сервера, откуда провайдеры берут новые данные, уже попадал в выгрузку с понятными последствиями, но этому списку явно есть куда расти (сообщают что там сейчас порядка 500 IP). Из этой возможности естественно следует появление белого списка адресов, которые никогда нельзя заблокировать. Мысли — не из радостных. Само наличие такого полного белого списка влечет за собой возможность в какой-то момент отключить всё, кроме белого списка.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть