Проблемы цензурирования

1. Весь интернет базируется на протоколе TCP/IP.

2. Протокол (вообще-то — стеке протоколов, но тут крупным помолом пойдёт) TCP/IP не имеет броадкаста как класса. Есть — мультикаст, но это немного не то.

3. В отсутствии броадкаста ВСЕ протоколы, лежащие на TCP/IP имеют потенциальную уязвимость — им надо знать IP-адрес «отвечающей» системы. Т.е. любой протокол имеет точку входа.

4. IPv4 крайне ограничен адресным пространством. С IPv6 таких проблем нет, но в него умеют не только лишь все — начиная от «не только лишь всех» абонентских устройств, продолжая оборудованием провайдеров и заканчивая оборудованием у хостеров.

5. Для блокировки сервиса достаточно на уровне TCP/IP заблокировать доступ к определенному адресу и/или определенной подсетке (совокупности IP-адресов, нарезанных согласно определенным правилам).
????

6. PROFIT!

7. HTTPS — не панацея. Даже вики среди всех дифирамбов «неуязвимости HTTPS» говорит нам, что
Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.

7.1. В вольном переводе на русский нужный нам кусок будет звучать примерно как: «….атакер может только узнать, что соединение установлено между двумя сторонами и узнать их доменные имена и IP-адреса».

8. Вот тут и приехали. Блокировка на уровне TCP/IP сделает невозможным использования любимого HTTPS. Магистральные маршрутизаторы этому трюку более чем обучены — это основы роутинга: перенаправить запрос к определенному IP-адресу в нужную подсеть (напоминаю — крупным помолом). Например — на страницу 404.

9. При наличии политической воли и достаточно отмороженности, сделать централизованную систему сбора IP-адресов проксиков/VPN — труда не составит. А затем раз в сутки директивно рассылать списки блокируемых адресов всем более-менее крупным провайдерам.

9.1. Да только если обязать делать такие блокировки только мобильных операторов — уже 50% дела сделано! Откажутся они вряд ли — отзыв лицензии на частоту и сидеть, сосать лапу.

9.2. То, что VPN часто используется для соединения представительств в разных городах, для удалённой работы итд — поверьте, волновать никого не будет. Пользуешься VPN? Виноват! Компаниям может быть еще и сделают поблажку — а вот частным пользователям надо отвыкать.

10. Tor, кстати, тоже не спасёт. Tor — это ПРОТОКОЛ, помимо всего прочего. Детектировать его в траффике и блокировать пакеты — посложнее, чем сделать блокировку по IP-адресу, но вполне посильно. Тем более, что не стоит задача раскрыть личность источника — а просто заблокировать доступ в систему Tor-а.

10.1. В отличии от VPN/Proxy/HTTPS, которые могут использовать по куче разных причин — Tor используется исключительно для сокрытия траффика. Т.е. сама активность Tor-ноды — уже подозрительна и должна быть поставлена «на карандаш». А уж то ли это очередной ватник-колорад в ВКшечку ходит или педофил CP смотрит — не суть важно.

10.2. Лично я бы не блокировал бы Tor сразу, а сначала собрал бы инфу по активным нодам.

10.3. А ведь кроме протокола, Тор-нода имеют очень специфический профиль траффика… Это, пожалуй, даже проще будет отследить, чем парсить пакеты и вылавлить Tor — достаточно статистики. Если же под раздачу попадёт некоторое законопослушное количество пользователей… Ну кого это остановит в текущих условиях?

11. Можно и дальше красить тёмными красками. Например — запрет всякого SSL на нестандартных портал. 22 & 443 оставят — и хватит. Или даже только 443 — админы на удаленке и фрилансеры пусть сосут лапу.

12. В принципе, всё это можно обойти — так или иначе, рано или поздно. Обновления списков и их применение будут идти с лагом — так что можно будет получать альманахи сетевых адресов и прыгать между ними при блокировке очередного адреса. Можно уйти на IPv6 — где блокировка по IP дело уже более сложное из-за огромного адресного пространства. Но каждый шаг будет отсекать часть пользователей из Украины от блокированных ресурсов. А введение даже административных статей за использование методов обхода блокировок сильно поубавит количество тех, кто будет заниматься такими обходами.

13. И я просто оставлю это здесь: http://colonelcassad.livejournal.com/3441393.html?thread=756714993#t756714993 . Я не знаю — правда это или нет. Но я знаю, что отдетектить VPN — более чем реально (VPN — это, кстати, не протокол, общее название технологии, которая реализуют безопасную сеть над небезопасным окружением — посредством некоторых, вполне стандартных, протоколов). И лично я не вижу ничего невозможного или странного в данном случае. Кроме того, что, пожалуй, рановато начали. А может — перегибы на местах. Или даже — личная месть надоевшему пользователю/врагу по жизни.