Конференция VBStreets

[Proxy]

Долгое время пользовался такой штукой в Эр-Телеком (было применимо и к некоторым другим провайдерам в СПб):
если не запрашивать A запись сервера через открытое соединение, то доступ к ресурсу не блокировался.

Механизм был примерно такой: подмена/анализ трафика DNS с помощью DPI. Пользователь запрашивает адрес ресурса, зарегистрированного в реестре запрещенных сайтов? Для этого пользователя в направлении запрещенного ресурса временно прописываем маршрут на http сервер редиректа на заглушку (сервер, который на любой запрос на любой IP отвечает от того же IP HTTP c кодом 301 и адресом провайдерской заглушки). Судя по всему это было сделано, чтобы не блокировать доступ к разрешённым ресурсам на том же IP (и это было разумно, т.к. в реестр вносятся подсети целиком и от одной блокировки могут пострадать сотни ресурсов соседей по хостингу или даже целые датацентры).
С сегодняшнего дня не работает: нет никакого триггера DNS для начала редиректа, безусловный редирект для любого http запроса и безусловная блокировка любого не http пакета на заблокированный адрес, никакого DPI. DoH не спасает.

Сегодня не смог без VPN открыть примерно 5-10% ресурсов из закладок, в основном всяческие форумы ИТ-направленности, сайты со статьями опять таки максимально нейтральными, вместо этого Secure Connection Failed (если заменить https на http, то попадаю на заглушку). Скорее-всего попали под раздачу как соседи какого-нибудь политического ресурса.

И даже это ещё не всё: появился редирект на рекламу как в бесплатных общественных сетях. Где-то за час увидел 2 страницы с рекламой провайдера, вместо нужных ресурсов (при перезагрузке страницы попадаешь на целевой сайт, к слову это единственный вариант: никакого "крестика" нет, может есть какой-нибудь JS таймер, но у меня JS не из белого списка лочится во всех браузерах). И это не самый дешёвый тариф, т.е. есть основания полагать, что даже за деньги от этой рекламы не откупиться (впрочем, возможно, должна появиться платная опция к тарифам).

Отсюда закономерные вопросы:
1. Кто-то может порекомендовать адекватного ISP по состоянию на март 2019 в СПб? Пусть даже с адскими блокировками, но без подстановки периодической рекламы вместо легальных ресурсов?
2. У какого-нибудь провайдера такие причуды появлялись в последнее время или только Эр-Телеком приболел?
3. Как в остальном СНГ дела с блокировками? Есть аналогичные реестры?

[alibek]

Фильтрация и блокировка ресурсов может осуществляться разными способами.
1. ACL по IP-адресу — практически не используется из-за крайне низкой эффективности и точности.
2. Проксирование HTTP — в принципе работает, но применимо только к web-ресурсам и на относительно небольшом трафике. Разновидностью также можно считать подмену сертификатов (фактически MitM, когда провайдер подменяет сертификат сервера своим, чтобы иметь возможность перехвата https), но тут имеется куча подводных камней и нюансов, поэтому провайдеров, которые так делают, мало.
3. Блокировка на уровне DNS — перехват DNS-запросов и подмена ответов для заблокированных ресурсов. Обходится использованием стороннего DNS (через туннель или DNSCrypt).
4. Пропуск трафика через DPI. Впрочем тут есть разновидности реализации, когда DPI включен в разрыв или в зеркало, а также когда на DPI заворачивается только исходящий от абонента трафик.
Часто пункты 3 и 4 используют совместно, т.к. они друг другу не мешают, а дополняют.
Иногда 4 комбинируют с 1 — через DPI пропускают не весь трафик, а только из ACL — потому что DPI на большие объемы трафика является штукой крайне дорогой. Но тогда эффективность DPI сильно снижается.

Ранее крупные ISP часто использовали комбинации 1 и 3 (потому что для их объемов DPI был весьма дорогим), но сейчас думаю что 99% ISP используют DPI — либо непосредственно, либо через вышестоящего оператора.

Что касается вставки рекламы, то это очень странно слышать.
Сейчас значительная часть трафика в HTTPS и туда рекламу не вставить. Разве что провайдер подменяет сертификат, но это не сделать без действий со стороны пользователя — пользователь должен добавить самоподписанный сертификат провайдера в доверенные.

[kibernetics]

О, вы шарите,
а скажите народ такую вещь:
к примеру, я зашёл в кафе с бесплатным файваем,
когда подключаешься к сети, в браузере запрашивается номер телефона на который они сбрасывают логин к интернету.

Так вопрос такой: если я зашёл затем на почту, например, то они могут видеть содержимое папок/письма? Могут ли в реальном времени просматривать то, что просматриваю я, пока попиваю кофе в этом кафе?

[alibek]

Так вопрос такой: если я зашёл затем на почту, например, то они могут видеть содержимое папок/письма?

Владелец сети всегда может перехватывать трафик своей сети. И по умолчанию всегда нужно считать, что он может этот трафик и прослушивать.
Кроме того, если речь за хотспоты или интернет-кафе, то там как правило Wi-Fi без шифрования. В этом случае перехватить трафик может вообще кто угодно.
Если заходить на сайты по протоколу https, то теоретически трафик между абонентским устройством и сайтом шифруется и третьим лицам недоступен. Но это в теории, а на практике при определенных условиях и https можно прослушать.
Если на свою почту зайти из домашней сети, то тут интернет-кафе разумеется ничего перехватить не может. Но если до этого на почту заходили из интернет-кафе, то теоретически злоумышленник мог перехватить пароль и зайти в почтовый ящик независимо.

[Proxy]

ACL по IP-адресу — практически не используется из-за крайне низкой эффективности и точности.

В том-то и суть, что была связка 1 и 3 пунктов (хотя скорее и 4 пункт тоже: ACL начинал использоваться только после запроса адреса заблокированного ресурса, для этого уже необходимо анализировать каждый запрос DNS, а не просто подменять), стала 1.
Реклама, кстати, исчезла. Или осознали ошибку или отправили на доработку.

Сейчас значительная часть трафика в HTTPS и туда рекламу не вставить.

Secure Connection Failed и всё тут, мне приходилось https заменять на http, чтобы увидеть что же мне желает показать ISP. А там реклама тарифов самого ISP.

Но если до этого на почту заходили из интернет-кафе, то теоретически злоумышленник мог перехватить пароль и зайти в почтовый ящик независимо.

Немного таких почтовых сервисов осталось, куда можно через незащищенное подключение войти (как правило и через WEB интерфейс и через pop3/imap/smtp сервер требует tls/ssl). Другое дело, что это не отменяет возможность использования невнимательности пользователя, непонимание пользователем предупреждений браузера, установку софта, полученного через потенциально скомпрометированные каналы и т.п.

[Proxy]

Ещё кое-что новое:
Реклама снова вернулась, но появилась (или я ранее не замечал) ссылка на Управление уведомлениями, где после входа обнаруживаются 15 почеканных чекбоксов, которые невозбранно отключаются (3 категории в т.ч. "Рекламно-информационные сообщения" и "Бонусы и подарки" и по 5 способов уведомления, в т.ч. "Сообщение в браузере"). Очень странно, что этот маразм отключабельный. Неужели кто-то не станет отключать?