Поиск по этому блогу

суббота, 17 декабря 2011 г.

И, после этого, официально заявляют, что они не закрывали ничего(Про блокировку ресурсов в Казахстане).

С утра ко мне обратился друг в надежде получить информацию о блокировке интернета, аргументировал тем, что я причастен к передаче данных в сотовой сети, а с его телефона недоступен ряд ресурсов.
Блокировка была вызвана, по всей видимости, беспорядками в городе на западе Казахстана, не хочу и не буду обсуждать легитимность этой блокировки или сами события, но ресурсы недоступны для абонентов подавляющего числа провайдеров в стране.
Помочь я не мог, потому что мы — не магистральный провайдер, но заинтересовался. В сети народ утверждает, что не работает твиттер, проверяем — не работает, через прокси работает. Ладно, посмотрим что происходит.


Traceroute нам в руки.

C:\>tracert twitter.com

Трассировка маршрута к twitter.com [199.59.148.10]
с максимальным числом прыжков 30:

9 56 ms 58 ms 55 ms akto-gate-1.online.kz [92.47.151.170]
10 * * * Превышен интервал ожидания для запроса.


Замечательно. Берем не блокированный ресурс. Допустим ieee.org.
C:\>tracert ieee.org

Трассировка маршрута к ieee.org [140.98.193.141]
с максимальным числом прыжков 30:

10 58 ms 55 ms 58 ms akto-gate-1.online.kz [92.47.151.174]
11 140 ms 137 ms 129 ms 195.239.3.37
12 129 ms 131 ms 130 ms 195.126.105.213
13 132 ms 131 ms 131 ms xe-4-0-2.XT1.FFT1.ALTER.NET [149.227.16.73]
...

Отлично! Трасса прошла через таинственный akto-gate-1.online.kz и ушла в сеть российского Golden Telecom.

Еще пара экспериментов указывает на проблемы в точках стыка, и только для ряда ресурсов. Ничего нового, таким образом уже несколько лет в Казахстане заблокирован LJ.

Далее.
Народ жалуется, что не работает youtube.com.
Открываю — работает, но не работает ссылка на определенный ролик. 
Это нам говорит о том, что работает система, которая умеет фильтровать по DPI!

Для наглядности включу wireshark.

Не работает. Прокси нет.


Включаю прокси, ссылка работает.


Каким образом может быть описано правило на DPI. На работы с этой функциональностью думаю как то так:
L3: Список IP адресов
L7: Request URI: /watch?v=ECDZmkWt3lg&feature=player_embedded
Это сделано для того, чтобы снизить нагрузку на железку, так как фильтровать сначала по IP проще, чем искать во всех пакетах HTTP запрос определенный.

Чего достигли мои коллеги? 
1) Выполнили указание не знаю кого и отсекли от информации целевую группу, в беспорядках участвуют обычно те, кто даже слова прокси не слышал. В целом, выполнили свою работу.
2) Облажались. Закрыли ресурсы таким способом, что сразу видно, где и каким образом выставлен фильтр. Фактически подтвердили установку специального оборудования. И, после этого, официально заявляют, что они не закрывали ничего.

Дальнейшие выводы делать не буду.
http://habrahabr.ru/blogs/telecom/134767/