Контакты
Подписка
МЕНЮ
Контакты
Подписка

Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку

Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку

Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку


20.02.2018



Роскомнадзор не смог полностью заблокировать Навального

Страница оппозиционного блогера Алексея Навального, который в минувший четверг 15 февраля 2018 г., был внесен Роскомнадзором в Реестр запрещенных сайтов, продолжает открываться у большинства российских пользователей.

Например, как убедился корреспондент CNews, ресурс доступен в мобильных и фиксированных сетях "Вымпелкома", МГТС и "Онлайм" (в московской сети "Ростелекома"). Пользователи "Ростелекома" из регионов также сообщают о доступности сайта Навального из их сетей.

Сам Навальный указал, что в четверг днем уровень доступности его ресурса упал с 100% до 30%, но его сторонники заявили, что Роскомнадзор ждет "сюрприз". В результате мер, предпринятых командой блогера, уровень доступности ресурса к семи часам вечера 15 февраля 2018 г. вырос до 70%.

DDoS-атака на заблокированный ресурс

Затем показатель доступности вновь упал - до 37%. Навальный утверждает, что это стало следствием не блокировки Роскомнадзора, а запущенных на его ресурс "двух мощнейших DDos-атак". Свидетелем этому был и корреспондент CNews: в сети "Вымпелкома" в тот период сайт не открывался, но "страница-заглушка", извещающая пользователя о заходе на запрещенный сайт, не выводилась.

К вечеру четверга ситуация для Навального стала нормализовываться, и уровень доступности ресурса Навального достиг 65-70%. На нынешний момент по данным SimilarWeb, посещаемость сайта упала на 27%, причем большая часть посетителей ресурса, 63%, по-прежнему приходится на Россию. В Роскомнадзоре не ответили на запрос CNews относительно Навального.

Как команда Навального "перехитрила" Роскомнадзор

Опрошенные технические эксперты говорят, что команда Навального нащупала уязвимости систем DPI, которые используются многими российскими интернет-провайдерами для обхода для блокировок.

Напомним, провайдер может блокировать запрещенный ресурс по IP-адресу или с помощью системы DPI. Второй способ предпочтительнее: в этом случае блокируются только конкретные страницы (URL) с запрещенной информацией, а не весь искомый ресурс, а также не затрагиваются другие сайты, находящие на данном IP-адресе.

Но не у всех провайдеров установлены системы DPI. Кроме того, при использовании запрещенным сайтом протокола шифрования SSL система DPI не видит запрашиваемого пользователем адреса. В этом случае можно блокировать либо по IP-адресу, либо по домену.

Роскомнадзор рекомендует провайдерам использовать второй способ. Для этого DPI вычленяет из запрошенного адреса SNI (название домена - единственная видимая часть адреса) и блокирует все запросы к системам DNS (хранят соответствие доменов и IP-адресов) с этим доменом.

Гендиректор хостинг-провайдера "Дремучий лес" Филипп Кулин считает, что команда Навального воспользовалась особенностями стека протоколов TCP/IP. На базе этого стека работает сеть интернет, включая веб-приложения, работающие на протоколе http, который, в свою очередь, использует транспортный протокол TCP.

При установлении TCP-соединения происходит обмен пакетами данных, которые по умолчанию имеют стандартный размер. Но сервер Навального просит установить меньший размер: два байта. Имя сервера (SNI) в эти два байта не влезает, в результате чего блокировка перестает работать, говорит Кулин.

"Со своей стороны, провайдер может попытаться собрать пакеты на фильтре, но они не обязаны идти последовательно, и это будет крайне сложная задача", - отмечает Кулин.

"Гроза" Роскомнадзора: фрагментация пакетов и лишние проблемы в запросах

Ведущий Telegram-канал "За телеком" Михаил Климарев добавляет, что методы обхода блокировок DPI-системами путем использования стека TCP/IP еще в 2017 г. были описаны на ресурсе "Хабрахабр", и сейчас существует свободное ПО для этих целей.

Это ПО может использовать комбинацию из шести различных способов в зависимости от типов используемых провайдерами DPI. В частности, можно использовать фрагментацию TCP-пакетов. Также можно экспериментировать с форматами http-запросов.

Например, можно заменить в запросе служебное поле "Host" (определяет имя узла, к которому идет обращение) на "hosT" - некоторые DPI могут пропустить такие запросы. Можно в строке запроса можно удалить пробел между символом ":", который идет после поля "host" и перед именем хоста, либо, наоборот, добавить там лишний пробел, что тоже в некоторых случаях поможет избежать блокировки.

Роскомнадзор не спешит штрафовать провайдеров за пропуск запросов к сайту Навального

Впрочем, все зависит от используемой провайдером DPI-системы. Некоторые провайдеры не только смогли заблокировать ресурс Навального, но и заблокировали его поддомен "2018.navalny.com", где размещен сайт с призывом бойкотировать выборы. Однако после шума, который поднял в Сети соратник Навального Леонид Волков, ряд крупных провайдеров (Yota, "Дом.ру", "Транстелеком") отменили блокировку данного поддомена.

Описанные методы помогают с обходом блокировок при использовании провайдерами DPI-систем, но непригодны для блокировок по IP-адресам. Однако для обхода этих случаев владелец ресурса может менять свои IP-адреса.

С недавних пор Роскомнадзор стал использовать систему "Ревизор" для контроля исполнения интернет-провайдерами требований о блокировках. Для этого у провайдеров устанавливается специальное устройство, которое пытается заходить из их сетей на заблокированные сайты. В случае выявления "Ревизором" факта доступности какого-либо запрещенного сайта провайдеру выписывается штраф об административных правонарушениях.

По данным Филиппа Кулина, полученных путем опроса представителей провайдеров в Telegram-чатах, Роскомнадзор не стал включать адрес сайта Навального в список проверки для "Ревизора". Кулин объясняет это тем, что запрещенный ресурс доступен у многих провайдеров, включая "Ростелеком".

YouTube не спешит удалять ролик Навального

Претензии Роскомнадзора об удалении расследования Навального об Олеге Дерипаске и Насте Рыбке касались не только ресурса самого оппозиционера, но и целого ряда интернет-СМИ, написавших об этом: Newsru.com, "Радио Свобода", "Сноб", The Village, znak.com, "Медиазона".

Все эти сайты полностью или частично скрыли свои материалы о расследовании Навального. Журналу "Максим", также по требованию Роскомнадзора, пришлось удалить подборку шуток о Навальном и Рыбке.

Наиболее интересной была судьба запросов аналогичных запросов Роскомнадзора, направленных ведомством в Instagram и YouTube. Настя Рыбка сама удалила со своего аккаунта в Instagram большую часть фото- и видеоматериалов о Дерипаске. Оставшиеся фото удалил Instagram.

YouTube же направил Навальному требование об удалении ролика о Дерипаске и Рыбке. Оппозиционер отказался подчиняться этому требованию. В середине прошлой недели Роскомнадзор говорил, что находится "в диалоге с YouTube".

Ролик Навального на текущий момент продолжает быть доступен в России. В Google, владеющем сервисом YouTube, отказались от комментариев по данной ситуации. Зато когда Навальный разместил на YouTube ролик о блокировке своего сайта Роскомнадзором, то он был заблокирован администрацией YouTube из-за нарушения авторских прав "Первого канала" (его материалы использовались в этом ролике).

 

Cnews