Посредством чего блокирует сайт мой провайдер?

Добрый день, я из тех кому не повезло (живу в Украине), естественно мой провайдер порезал мне вход в вк, вместо вк в браузере отображается заглушка с просьбой ознакомиться с указом президента о блокировках. В связи с чем появился интерес к тому, как провайдер заблокировал мне доступ в vk? пинг до вк проходит

PING vk.com (95.213.11.180) 56(84) bytes of data.
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=1 ttl=58 time=1.13 ms
64 bytes from srv180-11-213-95.vk.com (95.213.11.180): icmp_seq=2 ttl=58 time=1.14 ms

Далее dig vk- не дает ничего (ничего в ответ не получаю) тоже самое с nslookup. А вот если сделать nslookup vk 8.8.8.8 :

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: vk.com
Address: 87.240.165.82
Name: vk.com
Address: 95.213.11.180


Получается вот такая картина. Я так понимаю,что провайдер стёр запись в своем днс-сервере о вк? но ведь у меня на роутере стоят днс гугля. Помогите разобраться, почему именно такой вывод nslookup?
К слову, методы обхода я прекрасно использую, советовать мне их не нужно.
  • Вопрос задан
  • 2416 просмотров
Решения вопроса 1
@yaror
10 лет в мобильном телекоме
Поскольку резолвинг DNS происходит корректно, промышленно готовых вариантов остаётся три:

1. Провайдерский DPI: наверняка он уже есть у всех провайдеров в том или ином виде.
Логически DPI обычно включается в разрыв линка между ядром и NAT.
Физически зачастую тоже.
Кроме обычных шейпинга и подсчёта трафика per-subscriber, там реализован набор ALG (Application Layer Gateway), которые представляют из себя, фактически, прозрачные прокси для типичных протоколов: HTTP, FTP, DNS и т.д.
Как правило, ALG умеют не только реагировать на определённые значения полей, но и вмешиваться в процесс передачи данных.
Количество ALG зависит от навороченности DPI; в Procera даже World of Warcraft есть )
Ну а уж подмена HTTP-страницы - пожалуй, самая используемая функция HTTP ALG.

2. Наколенное решение раз:
Описано у none7
Завести у себя в сети сервер с ip-адресами, совпадающими с Ip-адресами Вконтакта (ну, или NAT'ить все запросы к нему на сервер-заглушку, что примерно то же самое) - вполне себе решение, если надо заблокировать сервис целиком, а не отдельные страницы на нём.
Но если вдруг ваши политики наберутся дурости у наших, и список блокируемых ресурсов начнёт расти, провайдеры взвоют этот вариант поддерживать )

3. Наколенное решение два:
На самом деле, в России есть свой список блокируемых ресурсов (т.н. список Роскомнадзора) с сотнями тысяч URL.

Выяснилось, что таким количеством записей множество провайдерских DPI попросту давится, поэтому эта задача зачастую решается следующим образом: заводятся отдельные серверы, подключаемые непосредственно к провайдерским BR (Border router'ам).

Задачи серверов:
- заглотить список блокируемых ресурсов, выдрать оттуда имена доменов и разрезолвить их в ip-адреса; адресов получается несколько десятков тысяч
- полученные адреса через OSPF или BGP сливаются в BR. BR - он большой, спокойно держит BGP Full View, поэтому 10-20-50k лишних префиксов для него - капля в море

Получается, что весь трафик в сторону ip-адресов, на которых находится хотя бы одна заблокированная страница, теперь льётся на эти серверы.
Казалось бы, фиг какой сервер всё это переварит, но их можно плодить десятками: срабатывает ECMP/Load Balancing на уровне маршрутизации, и трафик размазывается между серверами примерно поровну.

На самих серверах Linux, а в Linux - squid в transparent mode и iptables )
Соответственно:
- tcp port 80 силами iptables отправляется в сквид, где каждый запрошенный абонентом URL ищется в списке блокированных ресурсов
- в tcp port 443 проверяется SNI чтобы понять, пропускать трафик дальше, или резать к такой-то матери
- весь остальной трафик (и пинги, угу) пропускается насквозь без изменения
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
@none7
Если бы он стёр DNS-запись, то Вы бы не получали вообще ничего, кроме сообщения от браузера о не работающей сети. Ваш же провайдер настроил NAT, на блокируемые адреса и весь трафик идущий на ip vk обрабатывается сервером провайдера, в том числе и пинг. Задержка в 1 миллисекунду это отлично показывает, так как такое бывает лишь в пределах города, а CDN у vk нет.
Ответ написан
@antonsr98
Системный Администратор
скорее всего пров режет пакеты на шлюзах
Ответ написан
dimonchik2013
@dimonchik2013
non progredi est regredi
см. про iptables, с той поправкой, что на оборудовании прова это делает специально заточенное железо
Ответ написан
devalone
@devalone
̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻
Dns ответ правильный, у меня те же ipшники на vk.com выдаёт. Скорее всего блокировка по ip. Кстати, что происходит, если зайти на https://vk.com?
Ответ написан
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Скорее всего порезал порты 80/443. У вас ещё не было времени внедрить полноценный dpi. В этом можно убедиться запустив traceroute с явным указанием порта. Хотя если провайдер большой, скорее всего все же это dns. Поставьте явно на пк гугловские.
Ответ написан
latteo
@latteo
tracert посмотрите, скорее всего whois для последних хопов покажет, что они принадлежат вашему провайдеру.
Ну и нам покажите, мне было бы интересно глянуть.

PS: с точки зрения провайдера, это большое свинство, поскольку на заглушке они могут собирать ваши куки и некоторые другие приватные данные.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы