Почему блокируется сайт днс
Перейти к содержимому

Почему блокируется сайт днс

  • автор:

Яндекс.DNS массово блокирует сайты

Только что заметил, что безопасный Яндекс.DNS стал массово блокировать сайты. Началось с того, что не смог зайти на свои сайты. Стал проверять разные браузеры, проверил сетевой экран — на yandex, google пускает, больше никуда. Сменил в настройках подключения DNS-сервера на Cloudflare Family (1.1.1.3, 1.0.0.3) — сайты стали открываться.

  • Яндекс борется с мошенниками
  • Яндекс.DNS бесплатный сервис для блокировки опасных и «взрослых» сайтов
  • Вопросы представителю Яндекса

На сайте с 26.11.2009
6 марта 2022, 22:20

fliger :
Только что заметил, что безопасный Яндекс.DNS стал массово блокировать сайты. Началось с того, что не смог зайти на свои сайты. Стал проверять разные браузеры, проверил сетевой экран — на yandex, google пускает, больше никуда. Сменил в настройках подключения DNS-сервера на Cloudflare Family (1.1.1.3, 1.0.0.3) — сайты стали открываться.

Сайты какой тематики?
На сайте с 28.02.2022
7 марта 2022, 00:10

вообще-то сайты госорганов и так уже давно на рушках, и на -ру-хостинге, муниципалов и прочих общественников, а также «общезначимых» уже давно пинали, чтобы переносились. А сам скрин вызывает недоверие — слишком много капслока.

дешевые VIP VPS: https://clck.ru/324vy9
На сайте с 17.09.2015
7 марта 2022, 06:43
turvo #:
Сайты какой тематики?

Любой тематики (нормальной) — те, что у меня в закладках. У меня в настройках ПК были прописаны 77.88.8.88, 77.88.8.2. Много лет все хорошо работало, вчера тоже. Потом вдруг (вечером) перестало пускать по всем закладкам, кроме Yandex и Google. Думал, глюки в ПК.

Блокировка сайтов на базе DNS скоро перестанет работать?

Технология Encrypted Client Hello (ECH) усиливает конфиденциальность, скрывая доменные имена от провайдеров, что ослабляет эффективность блокировки сайтов на основе DNS. Поддержка ECH расширяется, что может изменить методы блокировки сайтов в будущем

Уже более трех десятилетий блокировка сайтов на основе DNS используется для запрета доступа пользователей к определенным сайтам в Интернете. Судебные решения могут обязывать Интернет-провайдеров блокировать доступ своих клиентов к определенным веб-ресурсам.

Это могут быть пиратские сайты, сайты для взрослых или любые другие сайты, доступ к которым запрещен по решению суда. Блокировка на основе DNS — простая форма блокировки доступа к сайту.

DNS используется для преобразования доменного имени сайта, например comss.one в соответствующий IP-адрес, который компьютер использует для соединения. Блокировка не позволяет выполнить поиск, и в результате сайт не может быть открыт на устройстве пользователя. Иногда на экране появляется другая страница, информирующая пользователя о блокировке (зависит от провайдера).

Блокировка на основе DNS никогда не была эффективной. Пользователи могут использовать на своих устройствах различные DNS-провайдеры. Во всех современных ОС переключение на нового провайдера занимает всего несколько кликов. Это можно сделать как в любом браузере, так и в рамках всей системы. Для этого также могут быть полезны сторонние программы, например QuickSet DNS или YogaDNS. Также для обхода блокировки можно использовать VPN-сервисы и прокси-серверы.

Существуют веские причины для смены DNS-провайдера. Одна из них — производительность. Сервис Namebench помогает пользователям найти лучшего провайдера путем проведения сравнительных тестов. Другая причина — безопасность. Некоторые DNS-провайдеры, например Comss.one DNS, поддерживает расширенные функции безопасности, которые не используются многими стандартными провайдерами, которые часто являются поставщиками услуг Интернета.

В последние годы широкое распространение получило шифрование DNS. Технология DNS-over-HTTPS играет важную роль, но при ее использовании все равно происходит утечка доменного имени. Это означает, что провайдеры по-прежнему могут блокировать доступ к сайтам на уровне DNS или продавать собранную информацию.

Внедрение в браузеры технологии Encrypted Client Hello (ECH) изменило данную ситуацию. ECH скрывает доменное имя при поиске, так что интернет-провайдеры или операторы сети просто не знают, к какому ресурсу обращается пользователь в Интернете. Это серьезный шаг в сторону конфиденциальности, поскольку он не позволяет провайдерам фиксировать и продавать данные пользователя, а также взаимодействовать с определенными запросами.

Mozilla представила поддержку Encrypted Client Hello в Firefox 118, а недавно данная функция безопасности стала поддерживаться в проекте Chromium. Вы можете проверить свой браузер с помощью инструмента Browsing Experience Security Check от CloudFlare.

Побочным эффектом повышения конфиденциальности является потеря эффективности блокировки на основе DNS. Интернет-провайдер или оператор сети теряет доступ к информации о целевом доменном имени, поскольку оно больше не предоставляется в открытом виде. Таким образом, сайты, заблокированные на уровне DNS, по-прежнему доступны для посещения, если они поддерживают Encrypted Client Hello.

В этом месяце Cloudflare включила поддержку Encrypted Client Hello для всех своих управляемых сайтов. Как следствие, миллионы сайтов уже поддерживают Encrypted Client Hello, а в будущем к ним присоединятся еще многие веб-ресурсы.

Портал Torrentfreak сообщает, что в настоящее время результаты смешанные. Сайты, использующие Cloudflare для защиты или включившие Encrypted Client Hello на своих серверах, больше не блокируются на уровне DNS в странах, в которых они заблокированы. Для заблокированных сайтов, не использующих Encrypted Client Hello, ничего не изменилось, но вполне вероятно, что в будущем они перейдут на его использование.

Пока рано говорить о том, как это повлияет на местное законодательство и решения по блокировке доступа к сайтам. Суды могут потребовать от провайдеров использовать другие методы блокировки, например технологию Deep Packet Inspection (DPI).

Новые технологии для решения проблем с блокировкой сайтов

Новые технологии для решения проблем с блокировкой сайтов

Мы не раз писали о целях, которые преследует государство, ограничивая ресурсы сети Интернет, находящиеся в едином реестре запрещенных сайтов Роскомнадзора и в федеральном списке экстремистских материалов Минюста. Однако злоумышленники имеют свои интересы и периодически пытаются обойти систему или использовать ее уязвимости, чтобы навредить другим сайтам.

Так произошло 4 июня 2017 года, когда из-за действий злоумышленников оказались заблокированы социальные сети «Одноклассники» и «ВКонтакте», а также сайты РЖД, НТВ, РБК и «Первого канала». Причина инцидента – в давно известной уязвимости при блокировке запрещенных ресурсов по IP-адресу. Ее применяют некоторые провайдеры для экономии средств и минимизации усилий по созданию системы блокировки, при которой владелец запрещенного интернет-ресурса может ограничить доступ к любому сайту в сети Интернет.

Почему блокируются разрешенные сайты

Каждый владелец домена имеет доступ к настройке своих DNS-записей, в том числе если этот домен находится в списке Роскомнадзора и блокируется всеми операторами связи.

Владелец заблокированного ресурса может прописать у себя в DNS, после чего они тоже будут автоматически блокироваться всеми интернет-провайдерами, которые используют механизм блокировки по IP, так как при использовании такого вида фильтрации провайдер вынужден самостоятельно получать список IP-адресов для запрещенных ресурсов от DNS-сервера. Провайдеру трудно определить, принадлежит ли полученный им IP-адрес злоумышленнику или легитимному ресурсу. По такому же принципу работает и система проверки «Ревизор», отвечающая за контроль выполнения блокировок провайдерами и передающая сведения в территориальное управление Роскомнадзора.

Роскомнадзор не рекомендует применять этот способ блокировки, но и не требует использовать какой-то конкретный способ. Выбирает интернет-провайдер, а Роскомнадзор лишь дает рекомендации по возможным методам. Следовательно, с точки зрения законодательства провайдеры могут продолжать блокировать ресурсы по IP-адресу.

А заблокированных ресурсов много, причем их можно свободно приобрести и использовать в корыстных целях, компрометируя систему законного ограничения к запрещенным сайтам.

Как избежать проблемы

Решить возникшую проблему можно двумя способами:

  1. Оператор связи или интернет-провайдер должен осуществлять блокировку не по IP-адресу, а по URL для http-трафика или по доменному имени узла для https-трафика, извлекаемого из расширения SNI (Server Name Indication) в процессе инициации SSL-сессии. Такая возможность обеспечивается применением на сети оператора связи оборудования глубокого анализа трафика – DPI (Deep Packet Inspection), которое умеет извлекать эту информацию. Не все производители DPI поддерживают эту возможность, в частности популярная платформа Cisco SCE не умеет это делать, а у многих других она работает недостаточно надежно.
  2. Использовать рекомендуемый Роскомнадзором метод блокировки на стороне DNS-сервера провайдера, когда для запрещенных ресурсов DNS-сервер должен выдавать адрес не запрещенного хоста, а хоста провайдера со страницей-заглушкой. Данный метод не требует приобретения DPI-оборудования, но его также необходимо комбинировать с блокировкой по IP тех адресов, которые указаны в реестре. Такую схему проще реализовать, но она не обеспечивает достаточной надежности и ее легко обойти. Тем не менее ее использования на текущем этапе достаточно для удовлетворения требований Роскомнадзора.

Роскомнадзор со своей стороны предпринял усилия, чтобы попытаться минимизировать ущерб, причиненный «экономными» провайдерами. Он исключил из реестра часть хостов, которые управлялись хулиганами, создал белый список хостов, которые нельзя блокировать, и временно разрешил части провайдерам с «кривой» системой блокировки не определять IP-адреса из DNS, а блокировать только по IP из реестра.

Новые технологии

Чтобы избежать проблемы, необходимо использовать современный способ автоматической блокировки. Более 400 интернет-провайдеров по всей России и ближнему зарубежью и миллионы их абонентов не заметили проблемы с доступом к сайтам 4 июня 2017 года. Для блокировки ресурсов сети Интернет, находящихся в едином реестре запрещенных сайтов Роскомнадзора, они использовали систему анализа трафика СКАТ DPI от отечественного разработчика – компании VAS Experts.

Мультифункциональная платформа для управления трафиком

«СКАТ DPI позволяет осуществлять автоматическую фильтрацию запрещенных сайтов. Если интернет-ресурс использует http-протокол, то фильтрация осуществляется исключительно по URL, а не по IP-адресу. Если соединение зашифровано и применяется протокол https, то имя ресурса извлекается из Server Name Indication (SNI) или Common Name сертификатов», – отмечает технический директор VAS Experts Дмитрий Молдованов.

По словам руководителя единого отдела разработки ООО «Орион телеком» Кирилла Иванова, перевод инфраструктуры компании на платформу СКАТ DPI позволил полностью автоматизировать процесс блокировки запрещенных ресурсов, избавив инженеров от регулярного ручного добавления и проверки актуальности соответствия списку Роскомнадзора.

Особенность системы СКАТ DPI – в использовании современных технологий фильтрации:

  • автоматическая загрузка реестров фильтрации Роскомнадзора и Минюста из облачного сервиса;
  • фильтрация по собственному списку оператора;
  • фильтрация URL с кириллическими символами;
  • фильтрация с маской в виде «*.domain.com»;
  • блокировка https-трафика по Common Name сертификатов;
  • поддержка Server Name Indication (SNI).

Эти новые технологии позволяют осуществлять блокировку максимально точно и эффективно, а дополнительные функции системы СКАТ DPI по управлению трафиком делают ее выгодным вложением для операторов связи.

VAS Experts – российский разработчик, который занимается созданием и внедрением инновационных сервисов контроля и анализа трафика. В компании работают инженеры-программисты с опытом работы более 15 лет. Продукты от VAS Experts предназначены для крупных российских и зарубежных операторов фиксированной и сотовой связи.

По каким причинам домен .WEBSITE могут заблокировать

Регистраторы доменных зон выдвигают требования к проектам, которые в них размещаются. Если владельцы доменов нарушают их, организация может заблокировать доменное имя и запретить пользователю регистрировать новое. Рассмотрим эти требования на примере домена .WEBSITE, принадлежащего регистратору Radix.

Что Radix считает нарушением требований

Регистратор выдвинул 14 правил, которым должны следовать все владельцы проектов в зоне .WEBSITE.

Нарушение авторских прав

Даже если владелец сайта использовал чужой товарный знак случайно, не имя никаких недобросовестных целей, это действие регистратор расценит как нарушение прав интеллектуальной собственности. Сюда включены и все случаи неправомерного использования патентов.

Спам

Если домен .WEBSITE был куплен для рекламных рассылок, такой домен регистратор также может заблокировать. При этом неважно, какие именно письма рассылают, это могут быть и просьбы о помощи или предложение услуг любой компании. Это касается и спама на самом сайте либо ​​интернет-форуме.

Фишинг

Доменное имя, которое используется для кражи личных данных, блокируется. Этот пункт включает в себя и те проекты, которые предлагают незаконное получение учётных данных для входа на государственные и любые другие порталы

Фарминг и перехват DNS

Мошенники могут зарегистрировать домен .WEBSITE для перенаправления трафика DNS. Пользователи пытаются открыть нужный веб-ресурс, но попадают на поддельный сайт и теряют свои учётные данные.

Распространение вирусов

Radix блокирует доменные имена, которые используются для распространения вредоносных программ, заражающих компьютеры. Целью мошенников в этом случае также становится получение учётных данных, сведений о кредитных картах и другой важной информации.

Создание ботнета

Домен .WEBSITE подлежит блокировке, если его используют для создания ботнета — сети скомпрометированных компьютеров, на которых запущены специальные программы. Цели мошенников могут быть разными — рассылка спама, атака на серверы, подбор паролей к учётным записям.

Финансовые схемы

Сюда относятся все варианты мошенничества с деньгами. Пользователям обещают высокую финансовую прибыль, но сначала они должны внести предоплату. Обнаружив такой сайт, регистратор его сразу блокирует.

Остальные виды нарушений

Radix блокирует домены, которые замешаны:

  • в операциях по взлому сайтов и систем безопасности;
  • в «отравлении SEO», когда мошенники используют тактику поисковой оптимизации, чтобы сделать свой сайт более заметным в поисковой выдаче;
  • в использовании техник Fast Flux — несколько ПК с вредоносными программами скрываются за одним доменным именем хоста путём быстрой смены их IP-адресов с помощью изменений DNS;
  • в незаконном распространении лекарств (речь идёт о наркотических препаратах);
  • в продаже поддельной/контрафактной продукции — блокируются все сайты, которые предлагают такие товары;
  • в других нарушениях, в том числе сетевых атаках, распространении детской порнографии, любых противозаконных действиях.

Регистрация домена .WEBSITE

Если вы собираетесь вести законную деятельность, то можете смело регистрировать доменное имя, — регистратор его не заблокирует. Выбрать подходящее можно здесь:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *