vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Роскомнадзор рекомендует блокирование по системе IP+URL 6

Дата публикации: 17.05.2013
Количество просмотров: 4868

Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.

Суть этого метода заключается в том, что запрос пользователя будет анализироваться на предмет запрещенных IP, если пользователь не попытался посетить сайт с IP из запрещенного списка то запрос отправится по обычному маршруту, а если попытался, то этот его запрос отправится на Proxy-сервер. А далее уже Proxy-сервер определит  по URL, желает ли пользователь вкусить запретный плод из смеси экстремизма и пропаганды наркотиков или же не замыслил он ничего дурного, а просто IP у сайтов один и тот же. Таким образом, запрос URL с запрещенной информацией не достигнет своей цели, а все остальные запросы отправятся дальше по сети. 

В виде схемы это выглядит так:
 
1 - Трафик для сайта x, отделяется от остального трафика и пересылается через
блокирующий прокси-сервер
2 - Обычный путь следования интернет-трафика
3 - Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий
проверку URL на принадлежность к заблокированным значениям
4 - Совпадение отсутствует, трафик пропускается
5 - URL совпал, трафик блокируется

Заметим еще, что в списке запрещенных сайтов останутся IP, а значит, при желании операторы связи смогут блокировать и по IP. Так что, по всей видимости, немало еще невинных жертв будет в этой войне за чистоту интернета. Причем, по всей видимости, это может стать серьезной проблемой, потому что глядя на то как часто появляются новости о заблокированных сайтах мы понимаем, что стрельба ведется из всех орудий. А если у этих орудий не будет прицела, то сайты будут блокироваться пачками, пока у нас совсем не останется интернета. Или пока мы не перейдем на IPv6, но это будет уже совсем другая история.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/23131/roskomnadzor-rekomenduet-blokirovanie-po-sisteme-ip-url.html

Комментарии:(6) комментировать

18 мая 2013 - 1:01
Robot_NagNews:
#1

Материал:
Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.

Полный текст


18 мая 2013 - 1:01
DimaM:
#2

Файл по ссылке не доступен, у кого-нибудь он сохранился?


18 мая 2013 - 1:06
DimaM:
#3

Уже нашел в форуме http://www.rsoc.ru/p...h/news19960.htm


21 мая 2013 - 8:44
devs:
#4

"Рекомендации
по организационным и техническим решениям"
<skip>
"2. Установить, что блокирование должно проводиться только на
сетях доступа и не должно затрагивать магистральные сети, каналы связи
между провайдерами, опорные сети операторов национального масштаба,
точки обмена трафиком и прочие критические элементы инфраструктуры
сети Интернет."

Довести бы это еще до магистралов, таких как РТ и ТТК.


21 мая 2013 - 10:46
romane:
#5

Дык это ж луп:

"c. Создание и распространение по системе маршрутизации сети
доступа провайдера специального маршрута для данного IP-адреса,
направляющего трафик в специальный анализирующий сегмент.
...
e. Маршрутизация трафика, не подпадающего под условия
блокирования, с анализирующего сегмента из сети доступа в опорную сеть и
далее по сети Интернет на общих основаниях."


21 мая 2013 - 15:16
atomlab:
#6

Вот там тормоза сидят. Мы такую схему запилили еще полгода назад. Только в качестве Proxy используется iptables+sting.


26 мая 2013 - 23:41
legioner0:
#7

Просмотр сообщенияatomlab (21 мая 2013 - 14:16) писал:

Вот там тормоза сидят. Мы такую схему запилили еще полгода назад. Только в качестве Proxy используется iptables+sting.


Такой вариант подходит для случая "тазик без nat".


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться