1. Новости
Заметки пользователей
17.05.2013 13:50
PDF
6060
7

Роскомнадзор рекомендует блокирование по системе IP+URL

Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.

Суть этого метода заключается в том, что запрос пользователя будет анализироваться на предмет запрещенных IP, если пользователь не попытался посетить сайт с IP из запрещенного списка то запрос отправится по обычному маршруту, а если попытался, то этот его запрос отправится на Proxy-сервер. А далее уже Proxy-сервер определит  по URL, желает ли пользователь вкусить запретный плод из смеси экстремизма и пропаганды наркотиков или же не замыслил он ничего дурного, а просто IP у сайтов один и тот же. Таким образом, запрос URL с запрещенной информацией не достигнет своей цели, а все остальные запросы отправятся дальше по сети. 

В виде схемы это выглядит так:
Роскомнадзор рекомендует блокирование по системе IP+URL 
1 - Трафик для сайта x, отделяется от остального трафика и пересылается через
блокирующий прокси-сервер
2 - Обычный путь следования интернет-трафика
3 - Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий
проверку URL на принадлежность к заблокированным значениям
4 - Совпадение отсутствует, трафик пропускается
5 - URL совпал, трафик блокируется

Заметим еще, что в списке запрещенных сайтов останутся IP, а значит, при желании операторы связи смогут блокировать и по IP. Так что, по всей видимости, немало еще невинных жертв будет в этой войне за чистоту интернета. Причем, по всей видимости, это может стать серьезной проблемой, потому что глядя на то как часто появляются новости о заблокированных сайтах мы понимаем, что стрельба ведется из всех орудий. А если у этих орудий не будет прицела, то сайты будут блокироваться пачками, пока у нас совсем не останется интернета. Или пока мы не перейдем на IPv6, но это будет уже совсем другая история.

7 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.

 

Полный текст

DimaM
DimaM

Файл по ссылке не доступен, у кого-нибудь он сохранился?

DimaM
DimaM

Уже нашел в форуме http://www.rsoc.ru/press/speech/news19960.htm

devs
devs

"Рекомендации

по организационным и техническим решениям"

<skip>

"2. Установить, что блокирование должно проводиться только на

сетях доступа и не должно затрагивать магистральные сети, каналы связи

между провайдерами, опорные сети операторов национального масштаба,

точки обмена трафиком и прочие критические элементы инфраструктуры

сети Интернет."

 

Довести бы это еще до магистралов, таких как РТ и ТТК.

romane
romane

Дык это ж луп:

 

"c. Создание и распространение по системе маршрутизации сети

доступа провайдера специального маршрута для данного IP-адреса,

направляющего трафик в специальный анализирующий сегмент.

...

e. Маршрутизация трафика, не подпадающего под условия

блокирования, с анализирующего сегмента из сети доступа в опорную сеть и

далее по сети Интернет на общих основаниях."

atomlab
atomlab

Вот там тормоза сидят. Мы такую схему запилили еще полгода назад. Только в качестве Proxy используется iptables+sting.

legioner0
legioner0

Вот там тормоза сидят. Мы такую схему запилили еще полгода назад. Только в качестве Proxy используется iptables+sting.

Такой вариант подходит для случая "тазик без nat".