Доступ в интернет заблокирован брандмауэром или антивирусом
Привет, мои дорогие! Помню, однажды столкнулась с проблемой – доступ в интернет заблокирован, а почему это случилось, непонятно. Мне стало интересно разобраться в теме, и я решила это сделать на нашем портале – вдруг кому-то еще пригодится. Ну что, начинаем?
Прежде чем лезть в настройки ОС или роутера, проверьте, нормально ли подключен кабель интернета, есть ли деньги на счете. Также проверьте, какой тип у вашей сети. Если общественная, смените на частную. Если с этим порядок, читайте дальше!
Первые действия
Что может блокировать доступ в интернет? Причин великое множество, но чаще всего это происходит из-за работы защитных программ – брандмауэр, антивирусник.
Брандмауэр Windows
Это встроенный в операционную систему межсетевой экран. Это часть комплекса программного обеспечения по защите компьютера от вредоносных проникновений. Это некая стена между информацией из интернета и ПК.
Однако, бывает, что этот инструмент запрещает доступ даже к проверенным сайтам. Чтобы определить, что именно Брандмауэр блокирует интернет, нужно его отключить. Если после этого доступ восстановлен, значит, дело действительно в нем.
Антивирусник
Антивирусная программа (антивирус) – это программа для обнаружения вирусов, а также вредоносных ПО. Также восстанавливает зараженные файлы и предотвращает заражение файлов и операционной системы. Примеры – антивирус Касперского, AVAST, ESET NOD32 и другие.
Чтобы понять, что причина проблемы именно в такой программе, отключите ее и проверьте, восстановился ли доступ к интернету. А теперь переходим к конкретным действиям по работе с защитниками компьютера. Я расскажу, какие настройки нужно провести, чтобы никогда не видеть сообщение: «Доступ к интернету заблокирован. Возможно, подключение заблокировано брандмауэром или антивирусной программой».
Настройки брандмауэра
Межсетевой экран Windows можно настроить по белому и черному списку. Белый – разрешен доступ только к разрешенным ресурсам, остальные запрещены. Черный список – запрещен доступ только к запрещенному, все остальное разрешено. Для лучшей защиты советуют применять шаблон белого списка. А теперь подробнее о возможностях настройки (на примере Windows 10).
Дезактивация
Как отключить защитника Windows, смотрите тут:
Если у вас на ПК установлен сторонний антивирус, защитный инструмент Windows можно отключить. Как это сделать:
Обратите внимание на пункт «Блокировать все входящие подключения…». Если поставить там галочку, то все приложения и браузеры не смогут получать данные из интернета.
Значения по умолчанию
Если вы или кто-то до вас что-то намудрил в настройках защиты, можно выполнить сброс настроек (только учтите, что потом придется все настраивать заново). Там же, где включается/отключается брандмауэр, есть пункт «Восстановить значения по умолчанию». Нажимаем и следуем подсказкам системы.
Работа с исключениями
Для этого есть раздел «Разрешение взаимодействия с приложением или компонентом…». Добавление какой-либо программы в исключения позволяет создать разрешающее правило.
Перед вами будет список программ и компонентов. Поставьте галочки напротив тех, которым вы разрешаете обмен данными, и выберите тип сети.
Дополнительные параметры
В этом разделе располагается главный инструмент брандмауэра – правила. Они запрещают или разрешают сетевые подключения. Правила для входящих подключений – настройка условия для получения информации из интернета, для исходящих – контроль отправки запросов и процесса ответа из Сети.
На вкладке «Наблюдение» доступен просмотр информации о подключениях, для которых созданы правила.
Давайте попробуем создать правило для входящих подключений:
Когда понадобится создать правило для исходящих подключений, делаем все тоже самое. Когда необходимо правило для взаимодействия с игровыми серверами или мессенджерами в Мастере создания выбирают тип «Для порта».
Чтобы активировать правило, найдите его в списке, нажмите на него ПКМ и выберите пункт «Включить правило».
Касперский
Чтобы не столкнуться с ошибкой «Доступ в интернет заблокирован…», после установки антивируса Касперского (или любого другого) нужно провести кое-какие настройки. Это касается моментов, когда до установки вы без проблем посещали определенные сайты, а после установки антивирус не разрешает это сделать. Чаще всего проблема возникает с браузером Firefox.
Что делать, когда доступ в интернет закрыт? Нам нужно отключить проверку защищенного соединения:
Вообще в любой ситуации, когда точно определено, что именно антивирусник блокирует интернет, рекомендую посетить сайт продукта или написать его разработчикам. Там помогут правильно настроить программу, чтобы не возникало проблем с доступом к Сети.
Дополнительные способы решения проблемы с заблокированным доступом в Интернет описаны тут:
На этом заканчиваю. Если есть вопросы, или нужна помощь, напишите в комментарии. Кто-то из ребят обязательно ответит. Всем пока!
Как заблокировать доступ к сайту
Невозможно представить себе количество сайтов, находящихся на широких просторах всемирной паутины. Естественно, тематика информационных ресурсов самая разнообразная, потому как всё, что имеет место в реальной жизни, находит своё отражение и на веб-страницах.
Бывают такие вопросы, которые неуместно, неприлично или незаконно обсуждать, точно также существуют сайты, просмотр которых нежелателен или запрещён:
Запретный плод всегда сладок, но его употребление ведет к плачевным последствиям. Ограничения не всегда должны быть одинаковыми для всех, ведь одна и та же информация может быть по-разному воспринята различными посетителями. Именно поэтому вопрос, как заблокировать сайт для определенной группы пользователей, встаёт « ребром ».
Но решения об ограничении доступа к информационным ресурсам принимают люди, а их мнение не всегда полностью совпадает со здравым смыслом. Поэтому не менее остро встает вопрос, как заходить на заблокированные сайты. Обо всём этом и пойдёт речь в данной статье.
Кому блокировать доступ?
Ограничение – это достаточно относительное понятие. Доступ к некоторым ресурсам блокируется лишь для определенной группы лиц или в определенное время. Чтобы разобраться с этим, следует выделить категории людей, для которых могут быть введены запреты. Также стоит упомянуть тех, кто вводит данные ограничения.
Государство начеку
В нашей стране за онлайн-цензуру отвечает Роскомнадзор, который еженедельно пополняет список заблокированных сайтов. Если ресурс имеет отношение к одной из следующих тематик, то у него есть отличные шансы оказаться среди запрещенных.
Список сайтов, заблокированных Роскомнадзором можно посмотреть, введя соответствующий запрос в поисковике:
Можно воспользоваться и официальным ресурсом по адресу: eais.rkn.gov.ru :
Ознакомление со списком запрещенных ресурсов поможет не допустить использования нежелательных словосочетаний на своих веб-страницах. При просмотре реестра следует обращать внимание на то, почему содержимое сайта заблокировано, ведь очень часто одна из вышеописанных тематик упоминается случайно или в переносном значении.
Если же владельцы веб-ресурса устраняют недоразумение, сайт выводится из списка запрещенных без каких-либо последствий. Важно учиться на чужих ошибках, которые предшественники совершили в огромном количестве.
Как блокировать доступ?
Как уже стало понятно, ограничение доступа вводится для различного количества людей ( от одного до всех ). Именно поэтому используются разнообразные механизмы блокировки, а некоторые из них приведены ниже.
Как заблокировать сайт на компьютере
Представим, что вас ужас как достал надоедливый ВКонтакте, который мешает заниматься действительно важными и полезными делами. Поэтому вы решили вычеркнуть его из своей жизни. Порыв достоин уважения, нужно только знать, как правильно действовать.
Переходим к « Локальные пользователи » — « Пользователи » — кликаем правой кнопкой мыши по « Администратор » и выбираем « Свойства »:
В открывшемся окне снимаем галочку с « Отключить учетную запись » и закрываем все окна.
Открываем его в блокноте:
Для того чтобы заблокировать доступ к сайту, вводим его доменное имя и прописываем перед ним следующую конструкцию:
Как зайти на заблокированный сайт
Есть люди, которые придумывают и устанавливают запреты, а есть те, которые эти запреты нарушают. Ограничения не всегда справедливы, и очень часто пользователи вполне резонно хотят получить возможность зайти на тот или иной запрещенный сайт.
Для открытия заблокированных сайтов можно подать иск в суд, но если доступ требуется немедленно, в ход идут другие методы и средства. Ниже перечислены лишь некоторые из них.
Таким образом, необходимо блокировать посещение определенных сайтов, так как существуют недопустимые тематики и преступные виды деятельности. Доступ к некоторым интернет-ресурсам можно ограничить как на одном компьютере, так и для всех пользователей в стране.
Безусловно, существуют способы обойти любые ограничения, нужно только знать – как. Зайти на заблокированный сайт можно, однако следует всегда иметь собственную голову на плечах, ведь нарушение запретов – это круто, но в большинстве случаев запреты существуют не просто так.
Путешествуя по просторам интернета, следует соблюдать разумную осторожность, как и при любой другой деятельности.
За что могут заблокировать сайт?
Ежедневно на просторах сети появляются и исчезают тысячи сайтов. Создание сайта уже давно является неотъемлемой частью успешного бизнеса. Однако содержание сайта должно соответствовать законодательству. В противном случае сайт может быть оказаться в Едином реестре запрещенных сайтов и заблокирован Роскомнадзором.
По данным Роскомсвободы, по состоянию на 30 марта 2021 года Единый реестр запрещённых сайтов содержит 442357 заблокированных доменов и указателей страниц. С каждым днем этот список становится масштабнее.
Блокировка сайтов осуществляется в порядке, предусмотренном Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», который можно представить следующим образом:
Федеральные органы исполнительной власти (в частности, ФНС, Росалкогольрегулирование, Росздравнадзор и др. в рамках своих полномочий) или суд принимают решение о признании информации, размещенной на сайте или странице в сети Интернет, противоречащей действующему законодательству.
Это решение направляется в Роскомнадзор, который осуществляет техническую функцию по внесению записи в отношении доменного имени или сетевого адреса в Единый реестр запрещенных сайтов.
Важно! Если сайт имеет защищенный протокол https:// (а не http://), а доступ ограничен к отдельной странице сайта, то у Роскомнадзора нет технической возможности ограничить доступ к этой отдельной странице, поэтому сайт блокируют полностью.
Роскомнадзор направляет хостинг-провайдеру сайта уведомление о включении страницы сайта или сайта в целом в Единый реестр запрещенных сайтов.
Хостинг-провайдер информирует об этом владельца сайта и уведомляет его о необходимости принять меры по устранению нарушения и удалению запрещенной информации.
Операторы связи ограничивают доступ к сайту, включенный в Единый реестр запрещенных сайтов.
Для того, чтобы запустить процесс блокировки сайта любой желающий может подать жалобу с помощью сайта либо специального приложения Роскомнадзора. Далее Роскомнадзор перенаправляет жалобу в уполномоченные органы в зависимости от категории запрещенной информации.
В остальных случаях Роскомнадзор является лишь исполнителем решений других уполномоченных органов.
С одной стороны, внесудебный порядок позволяет в короткие сроки ограничить доступ к запрещенной информации. С другой стороны, отсутствие какой-либо состязательности противоречит таким основополагающим конституционным правам человека, как право на свободу мысли и слова, право на поиск, получение и распространение информации.
Не бесспорными зачастую являются и блокировки на основании решения суда. Если для внесудебного порядка четко ограничен круг оснований блокировки, то в судебном порядке само по себе решение суда является достаточным для внесения сайта или указателя страниц в Единый реестр запрещенных сайтов. При этом основанием для вынесения такого судебного решения может быть абсолютно любое противоречие действующему законодательству. Такая ситуация приводит к многочисленным блокировкам интернет-ресурсов, зачастую вследствие ошибочного толкования правовых норм.
Сайты, размещающие информацию о криптовалюте, регулярно попадают под волну блокировок даже при полном соответствии требованиям закона. В сентябре 2020 года на основании решения суда был заблокирован сайт крупнейшей по торговым объемам криптобиржи Binance. Запрещенной к распространению в России была признана информация об электронной криптовалюте Bitcoin, в частности о способах ее приобретения. При этом на тот момент (как и сейчас) в законодательстве не было запрета на оборот криптовалют, административная или уголовная ответственность за их приобретение также не предусмотрена. К тому же, в силу уже вступили поправки к гражданскому кодексу, закрепившие цифровые права в качестве объекта гражданских прав. Помимо всего прочего, владелец сайта также не был уведомлен о начале судебного разбирательства. Впоследствии решение суда было обжаловано, доступ к сайту восстановлен.
Серьезный недостаток судебного порядка также в том, что в редких случаях прокурор и судья считают нужным привлекать владельца сайта. Чаще всего в решении суда встречается указание о том, что найти владельца сайта не удалось, даже если все контакты указаны на самом сайте.
Другой серьезной проблемой механизма блокировки сайтов является то, что зачастую суды, рассматривая дела о противоправности информации, содержащейся на одной из страниц сайта, принимают решение о блокировке сайта в целом.
В декабре 2020 года решением Мосгорсуда по обращению правообладателя были заблокированы на постоянной основе пять сайтов, среди которых оказался известный ресурс табулатур и аккордов для гитары MyChords. Объектом претензий правообладателя стала песня «Чика» Александра Реввы. При этом под блокировку попали не отдельные страницы, на которых был размещен спорный материал, а весь сайт.
Очевидно, что законодательство в сфере информации требует доработки. Широкое толкование норм права недопустимо, поскольку приводит к принятию абсурдных и противоправных решений со стороны судов и органов исполнительной власти.
Анализируя практику блокировки сайтов, нельзя однозначно сказать, на основании чего правоохранительные органы могут признать размещенную информацию противоправной и вынести решение об ограничении доступа к тому или иному ресурсу. Приходится констатировать, что широта толкования законодательства в отношении запрещенной информации и недостатки механизма ограничения доступа к такой информации порождают большое количество необоснованных блокировок, что вынуждает владельцев сайтов обращаться за помощью к юристам.
Публикация подготовлена при поддержке юристов Digital Rights Center.
https://digitalrights.center/
Почему мне запрещен доступ к определенным веб-сайтам?
Многие пользователи жалуются, что Google часто показывает проверку reCaptcha «Я не робот» и блокирует использование поиска. В настоящее время многие веб-сайты блокируют пользователей по разным критериям. Обычно в браузере отображается сообщение «Доступ запрещен» с объяснением или без него. Некоторые сайты, такие как Google, будут блокировать и просить вас подтвердить, что вы являетесь пользователем. Вот некоторые из причин, по которым невозможно получить доступ к определенному веб-сайту в Интернете, и возможные решения.
Проверка CAPTCHA в поиске Google
Что такое блокировка?
Многие страны, организации и учебные заведения блокируют веб-сайты по разным причинам. Например, вы не можете получить доступ к сайтам социальных сетей, таким как Facebook или Twitter в Китае. Точно так же школы и колледжи ограничивают социальный доступ внутри кампуса в качестве политики контроля над студентами. Мы НЕ обсуждаем этот тип блокировки в этой статье. В этом случае вам понадобится VPN или прокси для разблокировки веб-сайтов.
В этой статье мы обсуждаем то, что вам заблокирован доступ только к определенным веб-сайтам, в то время как вы можете получить доступ ко всем остальным сайтам. Также может случиться так, что вы регулярно посещаете сайт и внезапно блокируете его без какой-либо причины. В таком случае проблем с вашим интернет-провайдером нет, и это происходит, когда владелец сайта блокирует вам доступ по особым причинам.
1. Неверный IP-адрес.
Владельцы веб-сайтов отслеживают данные о трафике и принимают меры в случае вредоносных действий с определенного IP-адреса. Например, вы, возможно, пытаетесь оставить много спамерских комментариев с обратной ссылкой на ваш сайт. Существуют автоматические инструменты для обнаружения спама и блокировки вашего IP-адреса при достижении порогового значения.
Проблема здесь в том, что многие интернет-провайдеры разделяют IP-адрес с несколькими людьми. Следовательно, кто-то, кто делится вашим IP-адресом, может делать злонамеренные действия.
2. Геоблокировка
К сожалению, владельцы веб-сайтов могут заблокировать доступ всех IP-адресов из определенных стран к своим сайтам. Это происходит с Китаем, Россией и несколькими другими странами, откуда происходит много спама. Если вы живете там и занимаетесь законной работой, у вас не так много вариантов, кроме использования VPN.
3. Очень быстрое или обычное поведение при просмотре
Вы будете удивлены, узнав, что плохие боты сканируют веб-сайты, чтобы получить конфиденциальную информацию. Например, эти боты будут использовать случайное имя пользователя / пароль и пытаться войти в серверную часть вашего интернет-магазина, чтобы украсть данные клиентов. Как правило, владельцы веб-сайтов используют код или изображение reCAPTCHA для блокировки автоботов. Однако вам также необходимо ввести код reCAPTCHA для входа на сайт. В некоторых случаях сайт может заблокировать вас по ошибке, если ваше поведение совпадает с действиями автоботов.
Самый простой способ решить эту проблему — попытаться получить доступ к сайту, подождав несколько секунд.
4. Использование VPN и прокси
Люди используют VPN и прокси по двум основным причинам: одна — для разблокировки веб-сайтов, а другая — для анонимного доступа в Интернет. Проблема связана со второй причиной того, что многие люди используют VPN для незаконной деятельности. Из-за спама и злонамеренных действий большинство серверов VPN идентифицируются как серверы спама. Существуют инструменты для проверки серверов спама из баз данных с открытым исходным кодом и автоматической блокировки доступа.
Решение в этом случае — отключить VPN, сменить сервер или службу VPN и повторить попытку.
5. Блокировка JavaScript.
Все современные веб-сайты используют JavaScript и нуждаются в этих скриптах для правильной работы. Веб-браузеры, такие как Google Chrome, по умолчанию позволяют использовать JavaScript. Если вы не можете получить доступ к сайту, проверьте, не отключили ли вы по ошибке JavaScript в своем браузере. Вы можете снова включить JavaScript и снова получить доступ к сайту.
Вы также можете очистить кеш браузера и снова попытаться получить доступ к сайту. Это может быть полезно, если кеш поврежден и мешает вам получить доступ к сайту.
6. Конфликтующие расширения в вашем браузере
Расширения помогают получить дополнительные функции в веб-браузерах. Однако некоторые расширения могут вызвать проблемы из-за устаревшего кода. Эти расширения могут потенциально блокировать веб-сайты и вашу активность в Интернете без вашего ведома. Поэтому используйте режим инкогнито, если у вас есть проблемы с доступом к веб-сайтам. Это поможет отключить все установленные расширения и проверить, можете ли вы получить доступ к сайтам без расширений.
Если у вас есть доступ к сайту, вы можете отключать расширения одно за другим, чтобы найти то, которое вызывает проблему, и удалить его.
Как вернуть доступ?
Как уже упоминалось, у вас есть решение некоторых проблем.
Однако есть много ситуаций, когда вы не можете контролировать доступ.
Хорошие веб-сайты покажут вам причину блокировки и попросят вас связаться с ними, если вы являетесь законным пользователем. Это может сработать для вас, когда вы используете статический IP-адрес. К сожалению, это может не сработать, особенно если вы хотите разблокировать IP-адрес VPN-сервера, который продолжают использовать миллионы других спамеров.
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Начнем сразу с дисклеймера: ниже принципиально не будет политических вопросов. Административные и юридические вопросы тоже будем обходить настолько, насколько сможем, чтобы полностью не вырывать техническую часть из остальных плоскостей.
Блокировки интернета в России уже есть — это данность, с которой мы живем и должны жить дальше. А раз так, нужно разбираться, как это устроено технически, что может и не может провайдер. Филипп Кулин (schors) давно начал собирать информацию по этому поводу, участвовал в нормативной работе, ходил на разные совещания. В итоге сейчас больше него о блокировках в России знает только Роскомнадзор, но это не точно. Под катом краткая сводка актуального состояния дел.
Сплошной клубок проблем
Казалось бы, есть блокировки и есть. Не нравятся они нам, но, может быть, ничего плохого в них нет?
На самом деле, блокировки — это сплошной клубок проблем.
Сопутствующий ущерб — самая большая проблема блокировок. Самый яркий пример, иллюстрирующий это, произошел в апреле 2018 года, когда были заблокированы большие блоки IP-адресов облачных сервисов, соответственно, многие сервисы не работали и понесли большой ущерб.
Волатильность нормативов и практик, которые все время изменяются. Год назад этот рассказ был бы абсолютно другим, а два года назад он, скорее всего, противоречил бы сегодняшнему. Через год снова все будет по-другому. Сегодня это так, через месяц — немножко не так, а через полгода вообще не так. За этим надо следить, но и успевать работать тоже надо.
Блокировки трудно диагностировать. Если какой-то ресурс попал в блокировку именно по реестру — это самый простой случай. В случаях, которые мы рассмотрим дальше, отличить реальную блокировку от технических проблем достаточно сложно. Яркий пример — в октябре у Яндекса падал DNS часов на пять, за это время многие успели решить, что это блокировка Роскомнадзора. Определить точно, действительно, трудно, а ситуации такие уже бывали, поэтому люди сразу думают о блокировке.
Невозможно предсказать, когда вас заблокируют и заблокируют ли вообще. Вы спокойно работаете, а работа у вас вдруг закончилась.
Уверяю, большинству из вас так не повезет! Такие документы не будут по счастливой случайности утекать вам в руки. Когда ваш бизнес закончится, вы узнаете об этом постфактум.
В простых случаях известно, почему ваш сайт заблокировали. Например, на форуме разместили информацию, которую какой-то суд признал запрещенной, а вы не успели среагировать. Но общение с надзорным органом имеет неприемлемые сроки — например, сутки. В интернете за это время вы можете потерять пятую часть бизнеса.
Все это приводит к некой безысходности. Можно с иронией рассуждать над, например, Дэвидом Хомаком и блокировкой Лурка. Но совсем другое дело, когда это происходит с вами, как один раз произошло со мной. Клиент указал IP-адреса моих серверов у домена, которым я не управлял — я сижу, а телефон просто не умолкает. Клиенты говорят, что они уходят, требуют вернуть деньги, а я сделать ничего не могу! И никто не может мне в этом помочь. Это реально ощущение полной безысходности.
Группы риска
Принцип работы блокировок
Сначала кратко обсудим, как происходит блокировка, чтобы понимать полную картину.
Важно понимать, что трафик фильтруется каждым провайдером. То есть не где-то на трансграничных маршрутизаторах или государственным фильтром, а каждый провайдер ставит себе фильтр между интернетом и абонентами в каждой своей подсети. На схеме выше устройство проверки рядом с абонентами, потому что оно изображает из себя абонента — это важно.
Инструменты фильтрации
Провайдеры могут покупать фильтрованный трафик у вышестоящего провайдера. Но тут есть проблема — покупая трафик у вышестоящего провайдера, провайдер-покупатель не может определить техническая проблема или блокировка. Он не имеет никакого инструмента, потому что получает уже порезанный трафик, и это не очень хорошо сказывается на его бизнесе.
Либо можно использовать:
Есть следующие варианты реализации. 
Например, у вас есть небольшой канал в 100 Гбит, вы поставили фильтр в разрыв.
Некоторые зеркалируют трафик, но с зеркалированием трафика проблема в том, что работает это как бы на опережение. То есть фильтр пытается ответить быстрее нормального ответа, соответственно, если фильтр начал тормозить, — штрафы (напомню, 50-100 тысяч рублей).
Выборочная маршрутизация — когда трафик на IP-адреса, среди которых может быть что-то из «выгрузки», проходит через отдельный фильтр.
К сожалению, точных цифр нет, но судя по косвенным признакам и тестам, это сейчас самый распространенный способ фильтрации трафика.
Выборочная маршрутизация может дополняться тем, что наборы IP-адресов для фильтрации агрегируются в большую сторону. То есть блокируется не просто несколько адресов, а вся сразу сеть /24 попадает на фильтр. Плюс у крупных провайдеров, например, в МТС, есть специальные службы безопасности, которые специально ищут блоки IP c риском, которые тоже попадают в фильтрацию.
Также выборочную маршрутизацию можно комбинировать с фильтрацией DNS-запросов. Это популярный метод, которым пользуется, например, Дом.ru.
Разберем поэтапно проблемы, которые все это приносит.
Принятие решения о блокировке
Роскомнадзор принимает решение — это сразу вызывает проблему связанную, так скажем, с организацией службы поддержки. В ряде случаев он должен уведомить владельца сайта или хостера, но при этом адресат уведомления не точен (он берется из публичных данных, а не все поддерживают актуальные адреса), уведомления теряются, открытой информации нет.
Из-за этого происходят всякие плохие вещи. Хостер или владелец сайта не может контролировать, какие запросы к нему ведутся, никакой открытой информации нет. Например, у Google есть база сайтов с вирусами, где вы можете себя зарегистрировать как автономную систему, как-то подтвердить, что вы автономная система, и действительно самому смотреть, какие сайты по мнению Google в вашей автономной системе распространяют «зловреды». С блокировками такого нет — вы рассчитываете только на то, что уведомление до вас дойдет, и вы его вовремя успеете прочитать.
Сроки взаимодействия с Роскомнадзором не соблюдаются, и в целом немного странные, несмотря на то что есть нормативы — за сутки отправить уведомление, за сутки ответить, за сутки принять решение. Когда вам приходит уведомление, а вы говорите, что у вас нет такой информации и просите разъяснений, то можете получить ответ и через несколько недель. А, может, вас заблокируют, а потом ответят, что информация у вас таки есть. Такие ситуации у меня были, но мало кто подает в суд — я вообще не знаю таких случаев.
Опять же, если пришло уведомление, вы не всегда можете понять, о чем оно. В большинстве случаев Роскомнадзор нормально описывает, что имеет в виду. Но даже в нашей практике микро-хостера было три случая, когда по описанию было непонятно, о какой информации речь. Я даже не знал, что клиенту написать — протоколы и тексты решения Роскомнадзор выдает только по суду, хотя у них есть такие документы.
Время применения «выгрузки»
Итак, решение приняли, провайдер скачал «выгрузку» и дальше должен с ней что-то сделать. Есть два варианта, насколько быстро: сутки или незамедлительно.
Важно, что сутки отведены и на блокировку ресурса, и на разблокировку, если вдруг принято решение о разблокировке. У многих это сделано, как ночные обновления коммутатора. Из моего опыта: не вовремя принял уведомление, ресурс заблокировали, вопрос решили, но сутки ждешь, пока разблокируют. А бизнес не ждет, появляются потери.
Чтобы понимать, как все фильтруется, надо знать, что находится внутри «выгрузки». Там список записей в XML одного из четырех типов по видам блокировки и реквизиты решения:
Важно: всего 139 тысяч записей, а самый популярный тип блокировки — это блокировка «по домену». Это HTTP и HTTPS протоколы.
Токсичность «выгрузки»
Перед тем, как блокировать ресурс, провайдер должен разобрать «выгрузку». С этим тоже есть проблемы. Я специально обратил внимание, что «выгрузка» — это не реестр, а некий технический документ, который провайдеру выдается для того, чтобы он на его основе принимал решения. Но несмотря на это, провайдеру приходится проводить очень большую обработку «выгрузки».
Например, в «выгрузке» есть избыточность, записи перекрывают друг друга. Если взять какой-то URL, это не значит, что не будет блокировки по домену, который содержится в этом URL. Таких сейчас не так много, правда, — чуть более трех тысяч.
В «выгрузке» содержатся URL с фрагментами (#) и сессиями. Это вообще ужас, потому что надо понимать, как проходит проверка.
Провайдер должен приводить «выгрузку» в нормальный вид, потому что в ней встречаются неправильные URL и домены. В основном сейчас встречаются только обратные слеши. Бывают пробелы, но их быстро убирают, а к обратным слешам почему-то особенная «любовь». Ну ладно, с обратными слешами вопрос решили, а если появится какой-нибудь плюсик? Поэтому всегда должен быть мониторинг, всегда надо что-то делать.
Еще раз обращаю внимание, что проблема провайдера — это наша проблема. Что делает провайдер? Мотивация в 100 тысяч рублей — это хорошая мотивация сделать так, чтобы вообще при любой проблеме, даже при любом намеке на проблему, рубить сразу, а потом разбираться.
Актуальность в «выгрузке» тех IP-адресов, которые не «блокировка по IP-адресам», а всех остальных (блокировки по домену, по URL, по маске) выглядит примерно так. 
Буквально чуть больше половины актуально, а остальные полный фарш.
Проверка блокировок
Вся история реализации блокировок в России это история проверок этих блокировок.
Я не знаю, как заграницей, у нас это абсолютно точно именно история проверок. Все блокировки делаются не так, как написано, как их делать, а так, как проверят, потому что никому не нравится платить штрафы, особенно 100 тысяч.
До реестра запрещенных сайтов существовал список экстремистских материалов Минюста (он и сейчас существует, просто сейчас он в реестре, а тогда был отдельным) и прокурорские проверки блокировок по этому списку. Я микро-хостер и то умудрялся попадать на блокировку у меня таких ресурсов.
Существующие виды проверок:
«Ревизор» стоит за фильтром и полностью прикидывается абонентом. Но сам прибор ничего не делает, он получает задачи и отдает ответы в некий центр управления, т.е. это такой удаленный shell внутрь сети провайдера. Действует он очень похоже действует на RIPE Atlas.
Центр управления автоматизированной системы — это настоящий highload-сервис, потому что у нас 4 тысячи операторов связи, у них не по одной сети, а коробочка должна стоять в каждой сети. То есть не у каждого провайдера, а в каждой сети каждого провайдера. Соответственно, у центра управления есть определенные проблемы.
Вопрос: есть ли проблемы у самой проверки? Конечно, есть.
Проблемы проверки
На СПЕКТР-2017 (форум под эгидой самого Роскомнадзора) один из начальников ФГУП главного радиочастотного центра (ГРЧЦ) Вэклич А.А. сделал целый доклад о том, какие есть именно технические проблемы с проверкой «Ревизором» провайдеров.
Методика работы АС «Ревизор»
В соответствии с этими проблемами создана методика работы «Ревизора».
И да, слайд ваше исчерпывающе иллюстрирует данную методику. Я не очень понимаю, как чисто логически с этим можно жить. Для нас это все выливается в то, что провайдеры пытаются как-то эту проблему решить, и делают это удобным для себя способом, и не всегда удобным для нас.
Работая без методики, многие провайдеры получили экзистенциальный опыт. Вообще вся методика блокировки — это эмпирический путь, который стоит денег, нервов, падений, даже сейчас, когда какая-то методика уже немного устоялась.
Есть неофициальный чатик (что примечательно — в Telegram, где же еще), где провайдеры общаются с сотрудниками Радиочастотного Центра. Самое интересное, что там можно получить реальную помощь, сотрудники ГРЧЦ помогают провайдерам решать их проблемы, и рассказывают, как работает «Ревизор». Но это все неофициально, нет никаких документов.
Есть норматив Роскомнадзора о способах и методах ограничения доступа, который зарегистрирован в Минюсте. Он специально идет в конце, потому что имеет самый низкий приоритет. Провайдеры действуют не так, как написано в нормативе, а так, как работает способ проверки.
Методика работы с «выгрузкой»
По нормативу и по накопленному опыту, расскажу, как работают с «выгрузкой», то есть как наши ресурсы блокируются.
По URL:
По домену:
По домену с маской теоретически провайдеры фильтруют просто как по домену без звездочки. Поскольку опять же проверок нет, то и проблем тоже пока нет.
По IP-адресу и блоку IP-адресов фильтруют, как умеют, — прямо на пограничном маршрутизаторе иногда.
Добросовестные участники
Мы знаем, что блокируются не тольк «злые» люди, но и добросовестные участники интернета. Например, когда человек не имел умысла держать запрещенную информацию у себя на хостинге, но не прочитал письмо или не получил уведомление.
Вторая группа — это зарубежные участники. Они живут в своем правовом поле и не нарушают законодательство. У них можно посмеяться, например, над взятками, они не видят в этом ничего плохого. Например, хостеры даже не имеют права удалить эту информацию, потому что на них законы не распространяются. Они не злые люди, но блокировки бьют и по ним.
Проблемы фильтрации
Давайте разберем проблемы, поговорим о фильтрации DNS, которая рекомендуется нормативом.
Первый вопрос: а причем тут DNS? Действительно, может быть размещена запрещенная информация, но DNS представляет нужный людям сервис, именно как DNS, например, IP-адреса. При подделке DNS получается все не очень хорошо, и не понятно, почему так.
Второй момент — реализация перехвата DNS. На самом деле перехватывают весь трафик (просто ставят свой кэширующий сервер — самая распространенная практика), и соответственно встает вопрос качества обслуживания. Например, в своем офисе я специально сделал обход Дом.ru только для DNS, потому что невозможно работать, когда приходится ждать ответа от их DNS.
Все это можно ускорить, создав свою систему подмены ответов. Тогда провайдер должен разработать систему и поддерживать ее. Так тоже делают, но это редкость.
При распространении технологии шифрования запросов DNS (DNSCrypt, DoT, DoH) неизвестно останется ли тип блокировки по DNS.
С фильтрацией доменов по маске проблема в том, что домены могут быть на разных IP, то есть вам придется сканировать всю полосу HTTP/HTTPS. Но что делать с остальными протоколами? Вы сканируете всю полосу, а, например, запретили только Telegram по маске (по домену) — что с этим делать? А проверки всё равно нет!
Следующий очень важный момент — кстати, это наше будущее — что делать, если на порту 443: нет SNI, SNI шифрованный (ESNI) или вообще другие протоколы, например, QUIC, DNSCrypt, VPN, MTProto-proxy?
Крупные компании, например, Google, уже поддерживают шифрованный SNI, а у Яндекса DNSCrypt на 443 порту. Сейчас этот вопрос каждый решает по-своему. Некоторые провайдеры, особенно мобильные, если не могут опознать трафик как HTTPS, просто его вырубают. Точно статистики на эту тему я привести не могу, но сам подход не внушает оптимизма.
Резолвинг домена
Ставить фильтр на всю полосу, например, в 100 Гбит малореально. Вместо этого провайдеры берут домены, их IP-адреса, и уже этот трафик сканируют. Это делают и крупные, и мелкие провайдеры, в основном крупные, кстати говоря.
В нормативе этого нет, но «вы же понимаете!». «Ревизор» проверяет по реальным адресам и по тем, что в «выгрузке», то есть и так, и так. Резолвинг используется, потому что провайдерам это выгодно. Он дает им возможность фильтровать все-таки не 100 Гбит, а гораздо меньше исходящего трафика.
Проблема фаз при проверке известна давно — все плачут, колются и продолжают так делать. Провайдер взял IP, обновил фильтры, но до проверки «Ревизора» IP изменился. Время, за которое ресурс сменил IP (желтая стрелка на схеме), может измеряться миллисекундами, но этого достаточно, чтобы провайдер получил штраф.
Второй вариант: после смены IP ресурса, провайдер и «Ревизор» имеют одинаковый IP, все всё сделали вовремя, только провайдер обновил фильтры на миллисекунду позже, чем «Ревизор» проверил — с соответствующим ущербом. Понятно, что провайдер в такой ситуации постарается подложить столько соломки, что это может нам не понравиться.
С резолвингом есть еще проблемы:
«Протухшие» домены
Домен «протухает», когда у него закончился срок регистрации, но он остаётся в «выгрузке», потому что, естественно, никто за этим не следит. Новый владелец домена получает контроль над тем типом блокировки, которая в «выгрузке». В «выгрузке» могут быть и поддомены, а когда вы купили домен, вы получаете контроль над всеми поддоменами.
Я нашел в «выгрузке» около 200 «протухших» доменов, но на самом деле их там больше. Мы не знаем, сколько доменов уже куплено людьми, которые решили пошутить. Может, их нет, может есть.
К чему это приводит?
На картинке сбои сайтов Яндекса, ВКонтакте, Википедии. Справа график MSK-IX, который сам MSK-IX отрицает и говорит, что это был внутренний сбой. Но внутренний сбой почему-то по времени точно совпадал с DNS-атакой.
DNS-атака заключалась в том, что кто-то купил «протухший» домен, кинул туда тысячи IP-адресов и начал поливать все, что хочет, то есть на эти IP-адреса кидать Яндекс, ВКонтакте и т.д. Кто-то поигрался, и так до сих пор и неизвестно, кто.
Все, конечно, надували щеки и говорили, что такого быть не может. Но несмотря на это, на графике справа внизу, который показывает количество доменов в «выгрузке», видно, что 5 июня 2017 года Роскомнадзор провел основательную чистку.
Одной из целей атаки были платежи через банковские карты. Банки этого не признают, поскольку тогда их акции упадут. Но по факту некоторые банки действительно подверглись DDoS, в результате чего у них целый вечер не работала оплата картами.
Вы думаете, что кто-нибудь что-нибудь сделал?
14 марта 2018 год: другой вектор атаки, но тоже с «протухших» доменов. Кто-то купил 4 домена, получил контроль над 400 поддоменов, и залил туда 4 000 IP-адресов. У ТрансТелеКома, у которого по заверениям Роскомнадзора все в порядке, где-то на 600 тысячах переполнилась таблица на маршрутизаторах, и 20% сетей ТTK по всей стране прилегло.
Не прошло и года:
Это график резолвинга, то есть IP-адреса из доменов из «выгрузки». 5 мая я говорю Леониду Евдокимову: «А не пошутить ли нам — не написать ли на графике что-нибудь морзянкой?» Через час он это сделал. По цифрам видно, что мы по нескольким тысячам IP подкалибровались под мой резолвинг и под мое время (я постоянно опрашиваю домены), чтобы пики было видно, и начали писать: DIGITAL RESISTANCE.
На втором графике была большая надпись: «Воистину Попов!», потому что был День Радио. Я привожу его, потому что на нем видно, как Роскомнадзор наконец-то начал чистить домены. Там где ступенька, там они 2 домена уже нашли, а 2 еще нет, но они довели чистку до какого-то ума. На момент генерации надписи «протухших» поддоменов в «выгрузке» было около 4 000, а к ноябрю стало стабильно, то есть Роскомнадзор проводил регулярные чистки. Но, к сожалению, к времени выхода статьи количество доменов опять возросло — сейчас их 1538.
Кстати говоря, это единственный результат моей деятельности за несколько лет — реально начали хоть что-то делать!
Кстати, об авариях и сбоях. Дело в том, что оборудование и программы фильтрации почему-то не хотят ходить строем: где-то тормозят, случаются сбои и ошибки. Чуть возрастает нагрузка, и качество обслуживания становится никаким. Можно, например, использовать DNS-атаку — в простом случае сайт не упадет, потому что все нормально фильтруется, но качество его работы для пользователя будет очень низким. Можно так скажем «полудедосить» сайты, чтобы снизить качество их работы.
Например, прошлым летом у Ростелекома в нескольких регионах фильтр выдавал почему-то один чанк HTTP протокола неправильно, и соответственно на экран валился мусор. Владелец сайта Motobratan.ru был в отпуске и сказал, что ему все равно. Сайт все выходные так проработал, пока в понедельник с утра инженер не пришел и не починил.
Проблемы провайдера
По-хорошему должен быть регламент техобслуживания на случай, если:
Кстати говоря, когда была авария на ТТК, многие просто выключили фильтрацию и «Ревизора», на всякий случай.
Фантазии
Любимая фантазия о том, что с этим всем можно сделать, — белые списки. Но есть но:
Еще одна фантазия — давайте сделаем единый государственный DNS для резолвинга, и все будет нормально.
Отвечу на полном серьезе, без иронии: да. Заблокировать Telegram можно, если немного изменить нормативную базу, законы, поставить волшебные DPI и пренебречь сопутствующим ущербом. Мы, это видим на примере Ирана, в котором заблокированы тысячи сайтов, но зато относительно хорошо блокируется и Telegram.
Надеемся, этот рассказ помог составить общее представление о технической составляющей блокировок интернета в России.
Некоторые подробности можно узнать из ответов на вопросы после доклада, на сайте Филиппа Кулина, в Telegram-канале о регулировании интернета в России @usher2 и в профиле schors
Эта статья основана на одном из вызвавших самый большой интерес слушателей докладе HighLoad++ 2018. Узнать о новых материалах и открытых видео удобно из рассылки — она нечастая, и исключительно по делу. Например, её получатели точно в курсе, что вовсю идет заявочная кампания на апрельский Saint HighLoad++.
