Реальные способы блокировки (описанные в документе):

* Блокировка по реестру Роскомнадзора (РКН):

— Фильтрация по Единому реестру запрещённых ресурсов и реестру социально значимых ресурсов РКН. При срабатывании черного списка доступ к странице запрещается. HTTP-соединение перенаправляется на заданную страницу блокировки, а HTTPS или QUIC-соединение закрывается по RST (Reset the connection).

— Поддерживается фильтрация по SNI (Server Name Indication) для HTTPS и QUIC version 1 (RFC 9000). Если в запросе отсутствует поле SNI, запрос пропускается прозрачно. Проверяется входящий сертификат сервера, и если в нем указан запрещенный ресурс, соединение разрывается.

* Блокировка по пользовательским спискам фильтрации:

— Создание пользовательских списков, которые могут быть черными (запрещенные ресурсы) или белыми (разрешенные ресурсы). Белый список позволяет доступ только к перечисленным ресурсам и может использоваться для организации «детского интернета».

— Списки могут содержать URL, отдельные IPv4 и IPv6 адреса, диапазоны IPv4 адресов, подсети IPv4 и IPv6, а также Perl-совместимые регулярные выражения (PCRE).

— Действия при срабатывании: block (блокировка HTTPS и HTTP, перенаправление HTTP), drop (блокировка HTTPS и HTTP без отправки TCP RST), redirect (перенаправление HTTP), color (маркировка DiffServ), ignore (передача трафика в следующий по приоритету DPI-список) или pass (немедленная передача трафика, игнорируя другие DPI-списки).

Блокировка по базе ЦАИР (Центр анализа интернет-ресурсов):

— URL-фильтрация по категориям сайтов, содержащимся в базе ЦАИР. Все домены, содержащиеся в базе, блокируются аналогично принципу блокировки записей типа "domain-mask".

Блокировка по базе SkyDNS:

— URL-фильтрация по базе категорированных ресурсов SkyDNS. Позволяет фильтровать контент по категориям, таким как "Эротика, порнография", "Наркотики", "Терроризм, экстремизм" и др..

Блокировка протоколов (через DPI):

— Анализ трафика по сигнатурам протоколов и применение действий к распознанным протоколам. Протоколы могут быть указаны как по отдельности (например, SSH, SSL), так и по категориям (например, "Encrypted"). Действия аналогичны тем, что применяются к спискам DPI (block, drop, redirect и т.д.).

Блокировка с помощью BRAS-политик и сервисов:

— Действие drop: Сервис может быть настроен на полное отбрасывание трафика (action drop).

— Действие block: Перенаправление трафика на портал, например, для пополнения счета (action block).

— Перенаправление HTTP-трафика (redirect): Используется для периодического перенаправления на портал, например, с сайтов конкурентов или при необходимости пополнить счет. HTTPS-трафик при этом пропускается.

— Ограничение скорости (egress speed, ingress speed): Хотя это не прямая блокировка, жесткое ограничение скорости может фактически сделать доступ к ресурсу непригодным для использования, что эквивалентно блокировке.

Защита от TCP SYN Flooding (SYN Cookie + SYN Proxy):
— Механизм, блокирующий атаки типа TCP SYN Flooding. При этом SYN Proxy отбрасывает все GET-запросы клиента до успешного завершения согласования.

ГИПОТЕТИЧЕСКИЕ СПОСОБЫ блокировки (возможные на основе функционала, но не явно описанные как блокировка):

* Блокировка на основе IP-адресов источника/получателя (через ACL):
— Создание ACL, которые разрешают (permit / allow) или запрещают (deny) трафик на основе IP-адресов источника, назначения, портов, протоколов и VLAN ID. Эти ACL затем привязываются к пулам NAT, сервисам BRAS или DPI-спискам для применения правил. Например, можно заблокировать доступ к определенному IP-адресу или подсети.

* Блокировка по MAC-адресу:
— Хотя прямая блокировка по MAC-адресу в ACL не упоминается, ACL могут использоваться для определения трафика по IP-адресам. Если IP-адрес абонента является статическим или известен, косвенно можно добиться блокировки для устройства с определенным MAC-адресом, настроив ACL на этот IP-адрес.

* Блокировка на основе времени (через сервисы BRAS):
— Сервисы BRAS позволяют задавать время начала (time_start daily HH:MM) и окончания (time_end daily HH:MM) действия сервиса. Это позволяет реализовать временную блокировку или ограничение доступа к определенным ресурсам или группам абонентов.

* Блокировка на основе HTTP-запросов и ответов (через HTTP-анализаторы DPI):
— Возможность применять сервисы BRAS к TCP-трафику в зависимости от наличия определенного содержимого в HTTP-запросах (Request Method, User-agent) и ответах (Content-Encoding, Answer code, Content-Type). Это позволяет блокировать трафик, соответствующий определенным HTTP-параметрам.

* Блокировка на основе TTL / Hop Limit (через функцию Tethering Detection):
— Функция Tethering Detection позволяет применять различные сервисы к трафику основного абонентского устройства и подключенных к нему дополнительных устройств на основе значений TTL в IPv4-пакетах (или Hop Limit в IPv6-пакетах). Это может быть использовано для косвенной блокировки или ограничения трафика с "раздающих" устройств.

* DNS Substitution для перенаправления на "заглушку":
— Функция DNS Substitution позволяет подменять IP-адреса в незашифрованных DNS-ответах. Гипотетически, можно настроить подмену IP-адресов доменов на адрес "заглушки" или локального веб-сервера, который всегда возвращает страницу блокировки, эффективно блокируя доступ к этим доменам.

* Блокировка с помощью max_consoles (влияние на управление):
— Параметр max_consoles в настройках терминала (system.terminal) ограничивает количество одновременных сеансов CLI. Хотя это не блокировка пользовательского трафика, это является формой блокировки доступа к управлению устройством.

Чет раписался сегодня. Но нужно объяснить терминологию. "Белый список" — это не то, что мы сейчас наблюдаем. Те, кто использует этот термин — использует его неправильно. И вызывает очередной приступ тревожности у людей, которые и так тревожны четвертый год.

Вот какие есть определения:

ЧЕРНЫЙ СПИСОК: всё разрешено, кроме того, что запрещено списком. Именно поэтому он и "чорный". Черный в смысле коннотации "плохой". Запрещенный список.

БЕЛЫЙ СПИСОК: всё запрещено, кроме того, что явно разрешено списком. Поэтому и "белый" в смысле "разрешенный"

То, что мы наблюдаем на сетях Cloudflare — я не знаю как описать. Это скорее "черный". Есть лист блокировок, где блокировки осуществляются случайным методом. Или есть какая-то система, но мы пока не понимаем в чем эта система заключается.

Обычно в науке используют термин "темный" — "темная энергия". Dark. Но здесь я бы использовал что-то типа "серые списки".

"Серые списки", года блокировки в определенных диапазонах осуществляются случайно. Вполне возможно, это так называемое "замедление" срабатывает.

Кстати, это не только Cloudflare. Есть еще жалобы на сети из списка "хостеров на приземление". Которые ни один не "приземлились":

1) Hetzner Online GmbH (hetzner.com)
2) Network Solutions, LLC (networksolutions.com)
3) WPEngine, Inc. (wpengine.com)
4) HostGator.com, LLC (hostgator.com)
5) Ionos Inc. (ionos.com)
6) DreamHost, LLC (dreamhost.com)
7) FastComet, Inc. (fastcomet.com)
8 ) Amazon Web Services, Inc. (aws.amazon.com)
9) GoDaddy.com LLC (godaddy.com)
10) Bluehost Inc. (bluehost.com)
11) Kamatera Inc. (kamatera.com)
12) DigitalOcean, LLC (digitalocean.com)

И возможно не только эти.

Стратегия понятна — РКН так борется с VPN и обходом блокировок.

Чем это может грозить:

1. Рост цен на услуги хостинга в РФ.
2. Блокировки большого числа self-hosted VPN, которые используют эти и, возможно, другие известные хостинги.
3. Снижение уровня связности в РФ.
4. Рост числа успешных атак на ИТ-инфраструктуру в РФ и больший эффект влияния этих атак.

И, кстати, это приведет к росту стоимости VPN-провайдеров. Просто потому что мелких пионер-провайдеров эти серые списки может просто убить. А те, кто стремится блокировки обходить - получит рост себестоимости услуг и вынуждены подымать цены.

В общем, ничего хорошего

Перечитал свой же пост и понял, что вместо "успокоить тревожихся", сам еще больше нагнал тревожности.

Да, реально тревожность растет. Но могу точно сказать, что просто так не сдадимся и VPN Generator, и GenVPN и все связанные проекты будут последними, кого реально заблокируют на 100%. У нас уже довольно развесистая инфраструктура с десятками тысяч серверов по всему интернету. Мы не используем инфраструктуру перечисленных провайдеров. Мы научились довольно быстро "бегать по интернету", когда попадаем под блок — а нас каждый день где-то да мочат, но чаще всего пользователи этого даже не замечают.

Но да — с каждой прожитой неделей становится все тяжелее. Нам нужна поддержка, как и почти всем проектам, которые противостоят путинской агрессии, цензуре и беспределу в РФ.

Я хочу как один из способов поддержки завести Патреон (эту идею таскаю давно и еще Серега Смирнов советует). Что-то мне подсказывает, что это не спасет "цифрового сопротивления", но может оказать хотя бы моральную поддержку. Но для Патреона нужно будет делать контент специально, а у меня пока нет сил на это.

⭐ Обращаюсь к читателям — давайте проголосуем звездами, надо ли заводить еще и эту тележку. Потому что если уж и звезд жалко, то и на Патреон подпишется полтора человека и я буду просто работать на выплату комиссий. А этого делать не хочется.

Спасибо за поддержку!

Мета (он же Фейсбук) выпустили очередной "гейм-чейнжер" — очки Oakley Meta

https://www.meta.com/de/ai-glasses/oakley-meta-hstn/

Я не понимаю их назначения, если в них нет возможности ставить стекла с диоптриями.

Да даже если и были — я не понимаю. Ну, кроме, реально шпионства, что ты в очках что-то можешь снять на видео скрытым способом. Но на этот случай они поставили светодиод, чтоб, типа, не скрытно было. Серьезно? Светодиод элементарно закрывается стикером.

Ну, что еще... гарнитура со звуком. Ну, ок. Хотя, музыку, очевидно, лучше слушать на затычках каких, чем с "костной проводимостью".

Meta-AI еще. Но как-то я не слыхал про конкурентные успехи Меты в области нейронок ввиду дебильного принципа "мы опубликуем все веса, но все веса нам ссыкотно публиковать, потому вот вам LLAMA-херь, которую вам даже тестировать лень будет".

ВЫВОД, никакой это не "гейм-чейнджер". Очередной бесполезный девайс по конской цене, потому что Oakley.

И да — диоптрий там нет и не будет.

Интернет в Иране. Вчера немного отпустило, но сейчас опять почти отключили

Завел Патреон: https://www.patreon.com/posts/dobro-pozhalovat-132024188?utm_medium=clipboard_copy&utm_source=copyLink&utm_campaign=postshare_creator&utm_content=join_link

Миндушения объяснили почему они в рот ебали экономику РФ, граждан РФ, законные права и интересы РФ и вообще — нахер все пошли, вот почему:

https://www.rbc.ru/technology_and_media/21/06/2025/685435179a7947ae3d118cc8

Сегодня опять в Точке

https://www.youtube.com/live/zcgHNqF_G3s?si=zvXuixwpY00YGKQ5

Лайк-подписка-колокольчик, пожалуйста