Может ли провайдер блокировать прокси
Обновлено: 04.07.2024
30 августа 2018 истек срок исполнения требований Роскомнадзора к Яндексу. РКН (на основании определений Мосгорсуда) потребовал удалить из сервиса Яндекс.Видео контент, принадлежащий телеканалам группы «Газпром-медиа», обещая в противном случае применить блокировку ресурсов Яндекса.
Предметом спора стали телесериалы и шоу, правами на которые владеют телеканалы ТНТ, ТВ-3, 2х2 и «Супер». Принадлежащий им видеоконтент (в частности, сериалы «Домашний арест», «Вне игры», мультсериал «Осторожно, земляне» и шоу «Мистические истории») можно было легко найти и посмотреть онлайн в Яндекс.Видео. Главная претензия к поисковику — выдача Яндекса предлагает зрителям посмотреть видео на сайтах, размещающих пиратские записи передач.
Чтобы избежать возможной блокировки, Яндекс удалил из базы ссылки, ведущие на спорный контент. Тем не менее, руководство компании считает, что требования не обоснованы и не соответствуют законодательству. Их исполнение может нанести ущерб как обычным пользователям, так и телеканалам. Яндекс собирается отстаивать свои убеждения в суде.
Юридические тонкости
Роскомнадзор требовал от Яндекса удалить ссылки на пиратский контент. Однако ни суд, ни РКН не смогли дать ясных рекомендаций, как отличить пиратскую копию файла от легальной. Ведь телеканал, владеющий правами на сериал, может выложить отдельные серии или ознакомительные фрагменты. При общем количестве ссылок на видеофайлы, исчисляющемся десятками тысяч, невозможно выявить среди них принадлежащие правообладателям. Ни Яндексу, ни другим поисковым системам не предложили механизмов, по которым можно было бы отделить пиратский контент от легального.
Есть радикальное решение: поисковая система может удалить все ссылки на тот или иной сериал (Яндекс именно так и поступил). Но в этом случае под раздачу попадут и вполне легальные ссылки. А значит, упадет посещаемость ресурса, и пострадает правообладатель (и потребитель).
Яндекс, выдавая ссылку на пиратский контент, не нарушает закон: ведь он не хранит видеофайлы на своих серверах, а лишь предоставляет пользователям информацию, где найти файлы. Если хранение этих данных считать преступлением, то и РКН придется признать виновным: у него есть реестр запрещенных в РФ сайтов! К тому же, удаление ссылок не повлияет на судьбу ресурса, который разместил видео. Пользователь найдет нужный сериал с помощью любой другой поисковой системы (Гугл или Рамблер), или зайдет на ресурс и воспользуется внутренним поиском.
Получается, что борьба с нелегальным контентом подменяется противостоянием с сервисом, владеющим списками такого контента. При этом контент остается нетронутым.
Dura lex, sed lex: каким бы странным и нелогичным ни казалось требование РКН — оно основано на определении суда, а значит, его необходимо исполнять. Яндекс удалил из баз ссылки на спорные сериалы, и причин для его блокировки больше нет. Остается вопрос — насколько разумно бороться с нелегальным контентом с помощью блокировок? Не будет ли это борьбой с ветряными мельницами?
Спортивная ходьба по граблям
Сразу оговоримся: мы против пиратства в сети. Нелегальное распространение и скачивание любого авторского контента не только незаконно, но и недостойно честного человека. Увы, с появлением электронных носителей информации пиратство стало неизбежным злом. Бороться с ним необходимо. Вопрос лишь в адекватности и эффективности тех или иных мер.
В январе 2016 года РКН заблокировал портал RuTracker, крупнейший российский каталог торрент-ссылок на мультимедийный контент. Несмотря на это, сайт продолжает работу — ведь для многих пользователей обход блокировки несложен. Закон предписывает блокировать ресурсы только провайдерам; если же пользователь находит способ обхода блокировки, чтобы получить доступ к закрытой информации, формально он не нарушает закон.
Более того, если до блокировки владельцы RuTracker охотно шли навстречу правообладателям и удаляли нелегальный контент по требованию владельцев, теперь это стало невозможно. Раз доступ к ресурсу в России заблокирован, значит нарушения нет. А тем временем миллионы пользователей получают доступ к пиратским фильмам и музыкальным альбомам.
Эпическая битва Роскомнадзора с Телеграмом, развернувшаяся в марте текущего года, до сих пор на слуху у публики. С Телеграмом РКН тоже пытался бороться блокировками (в данном случае речь шла не о борьбе с нелегальным контентом). В реестр запрещенных материалов были внесены миллионы сетевых адресов. Миллионы, Карл!
А что же Телеграм? Он продолжает работать, как ни в чем не бывало.
Казалось бы, эти ситуации должны были убедить российского законодателя и РКН, что блокировки — не идеальный способ перекрыть информационные потоки. Не то, чтобы они совсем не работали, просто их эффективность недостаточно высока.
Почему блокировки не работают
Как видно, у авторов этих законов весьма смутные представления о сети Интернет и ее устройстве. Они рассматривают сеть как некое здание со множеством комнат-сайтов, которые можно запереть на ключ, чтобы не допустить туда посетителей. На деле всё куда сложнее.
Чтобы разобраться, почему законы работают плохо, нужно внимательно изучить, как работает интернет.
Как устроен Интернет
Аналогия со зданием и комнатами уместна: сайт — комплекс программного обеспечения и информационных баз данных, в которых хранится то, что мы можем прочитать и посмотреть, зайдя на ресурс. Но информация не может существовать сама по себе, без носителя — ее нужно где-то хранить. Значит, существует некий физический сервер, компьютер с доступом в интернет, который выдает странички сайта по запросу посетителя. Это и есть «комната».
Чтобы получить информацию с сервера, до него необходимо добраться. В этом помогает адресная система интернета. И вот тут начинается интересное.
Каждый компьютер, подключенный к сети, получает уникальный адрес, состоящий из 4 байтов (то есть, чисел от 0 до 255). Для удобства записи их разделяют точками (например, 5.61.239.21). Этот 4-байтный адрес называется IP-адресом (читается «ай-пи»). Чтобы получить доступ к информации на сайте, чаще всего достаточно знать IP его сервера. Считаем, что IP — номер на двери «комнаты».
Это очень упрощенное описание, но не будем чересчур усложнять. Тонкости процесса сейчас несущественны.
Что происходит, когда тот или иной ресурс попадает в реестр запрещенных сайтов?
Роскомнадзор вносит доменное имя в «Единый реестр доменных имен». Все провайдеры РФ обязаны регулярно скачивать реестр и блокировать пользователям доступ к сайтам, перечисленным в нем.
Казалось бы, граница на замке. Но существует множество способов обойти эту довольно примитивную блокировку.
Королевство зеркал, прокси и VPN
Решение, которое напрашивается само собой — создать зеркало заблокированного сайта. Под «зеркалом» может подразумеваться несколько технических решений, однако на практике пользователь не заметит разницы между ними.
Во-вторых, иногда не требуется дублировать информацию — достаточно зарегистрировать новое доменное имя и дать указание DNS-серверу, чтобы и старое, и новое имя указывали на один и тот же IP. Но если провайдер блокирует сайт не по доменному имени, а по IP, этот способ не сработает.
Если РКН заблокирует основное доменное имя, зеркало будет оставаться доступным для посетителей. А если заблокируют и зеркало, всегда можно создать другое.
Еще один способ обхода блокировки — использовать VPN или прокси. Принцип действия у них разный, но оба могут становиться посредниками при получении «запрещенной» информации.
Не только ваш провайдер умеет получать информацию из Интернета. Достаточно подключиться к прокси-серверу и сделать аналогичный запрос через него.
Поскольку прокси-сервер может располагаться за пределами РФ, на него (и их провайдеров) не распространяются требования о блокировке сайтов, внесенных в российский реестр. А значит, у них доступ к «запрещёнке» сохраняется в полном объеме.
Похожим образом действует и VPN, но в этом случае канал, по которому пользовательский компьютер соединяется с сервером VPN, шифруется. Обывателю, чтобы воспользоваться прокси-сервером или VPN, не нужно быть IT-специалистом. Существует множество программ и расширений для браузеров, которые позволяют подключаться к сети в обход блокировок/
Казалось бы, нужно лишь заставить владельцев прокси и VPN блокировать запрещенные сайты по реестру РКН, а тех, кто не согласен — самих внести в него, и дело в шляпе. Именно это предложили авторы 276-ФЗ от 29.07.2017 г. Но тут всё не так просто.
Прокси-серверов в мире тысячи и тысячи. Многие из них находятся за пределами РФ, и российское законодательство для них не указ. Блокировать же доступ к отдельным прокси-серверам и VPN — затыкать дыры в решете, где все время появляются новые. Запустить еще один (или сколько угодно еще) прокси несложно, и все новые и новые прокси появляются в мире ежедневно. Эту гонку РКН неизбежно проиграет.
Чем упорнее РКН применяет блокировки, тем большее количество пользователей осваивает способы их обхода, повышая компьютерную грамотность.
Действительно, интернет чем-то похож на здание с комнатами-сайтами. Но попасть в комнату можно через множество дверей. Запереть все невозможно: замков не хватит. Единственный способ гарантированно закрыть тот или иной сайт от посетителей — физически отключить сервер, где он расположен, от Интернета (сработает это, только если у сайта нет копии на каком-нибудь «зеркале»). Но попробуйте отключить от интернета Википедию или Гугл!
Значит, контролировать Интернет невозможно?
Теоретически можно создать такую систему, при которой обычный пользователь (но не продвинутый айтишник) не сможет попасть на те или иные ресурсы.
Например, можно оснастить каждого провайдера программно-аппаратным комплексом, который будет анализировать передаваемую информацию (т.н. DPI — «глубокий анализ пакетов»). Так каждый байт, который вы получаете из интернета, будет изучен и классифицирован. С помощью подобных систем некоторые операторы отделяют трафик социальных сетей (бесплатный) от трафика с других сайтов (ограниченный по объему и/или платный). Так же можно блокировать «неугодный» трафик.
Затея дорогостоящая, так как требуется специальное оборудование для каждого провайдера и оператора связи, а их в России немало. Кроме того, ни одна система DPI не гарантирует 100% точности определения трафика, так что всегда остается шанс ложного срабатывания (или, наоборот, пропуска запрещенных данных). Кроме того, проанализировать можно только незашифрованную информацию. Данные, передаваемые по VPN, отфильтровать будет сложно. А заблокировать VPN — не лучшая идея, ведь этот тип сетей используют многие организации и предприятия (например, он необходим для работы банков, так как операции в системе SWIFT проходят через защищенный канал VPN).
Есть более радикальный метод. Можно создать «белый список» и включить в него только «разрешенные» сайты, а ко всем остальным закрыть доступ по умолчанию. Легко представить, насколько пагубно это отразится на пользователях интернета. Вспомним еще раз историю с Телеграмом: в «черный список» реестра тогда попали далеко не все сайты (и даже не большинство), однако многие ИП, предприятия и бизнесмены ощутили на себе негативные последствия, не говоря уже о трудностях, постигших обычных пользователей. Что будет, если заблокируют интернет? К счастью, такие драконовские меры всерьез не обсуждались.
Даже существующие в РФ способы интернет-цензуры могут создать пользователям немало проблем на ровном месте.
Если РКН вдруг передумает и примет решение заблокировать Яндекс — чем это будет нам грозить?
Блокируем всё подряд
Мы уже разобрались, что обойти блокировку ничего не стоит. Но не будем забывать, что не все пользователи умеют (или хотят) это делать. Потенциально это может привести к проблемам и финансовым потерям, в десятки раз превосходящим произошедшие из-за блокировок Телеграма.
Крах финансовой системы или внезапное наступление Апокалипсиса нам не грозят. Однако можно предвидеть, что многие потеряют доступ к финансам, хранящимся в системе Яндекс.Деньги, и не смогут получать денежные поступления на Яндекс-кошельки. Часть функционала Яндекс.Навигатора без доступа к сетевому сервису тоже может перестать работать — а это чревато проблемами для тех, кому электронный навигатор жизненно необходим. Проблемы возникнут и у тех, кому необходим доступ к почте Яндекса.
Это только вершина айсберга. У Яндекса множество сервисов, и от их блокировки пострадает каждый, кто ими пользуется.
А ведь наказать хотели только пиратов и потребителей пиратского контента!
Резюмируем
- Калитка в чистом поле. Надежно заблокировать сайт в Интернете сложно. Любую блокировку можно обойти. Для обхода способов, которые использует РКН, усилий не требуется.
- Стрельба из пушки по воробьям. Потенциально такие блокировки вредят всем подряд без разбора, хотя изначально предполагалось создать проблемы только нарушителям закона. Топорность блокировок и необдуманность их применения приводят к печальным последствиям, что мы наблюдали на примере блокировки Телеграма.
- Квадратные колеса. Блокировки не помогают решать существующие проблемы, а создают новые.
Это приводит к мысли, что в части законодательства, которая касается контроля за информацией, пора что-то менять.
Нельзя забывать, что с пиратским контентом нужно бороться. Можно ли оградить правообладателей от воровства контента и при этом не ущемить потребителя?
«Умная» борьба с медиа-пиратством
Мы не привыкли платить за цифровые ресурсы, будь то электронные книги, музыка или видеоконтент. Потребитель в большинстве случаев с улыбкой относится к предложению заплатить за то, что можно бесплатно скачать в сети. Понимание, что любой контент имеет владельца, как и привычка платить, не возникнут сами по себе, потому что законодатель «запретил пиратство». На это требуется время. Другие страны тоже проходили этот путь.
Запреты могут привести к совершенно противоположным результатам. Широко известен так называемый «эффект Стрейзанд». Суть его в том, что попытка закрыть доступ к информации приводит к ее более широкому распространению. Так данные, которые раньше были никому не нужны, расходятся намного шире, чем это могло бы случиться «естественным» путем.
Подавая в суд на Яндекс, телеканалы, возможно, подстегнут пользователя копировать и распространять «опальные» сериалы. Впрочем, не исключено, что «Газпром-медиа» специально выбрал такую стратегию, чтобы поднять интерес публики к своей продукции. Не секрет, что российские сериалы, мягко говоря, не могут составить серьезной конкуренции западным.
Что можно сделать, чтобы победить цифровое пиратство
Гипотетически, наилучшей стратегией будут не судебные споры, а сотрудничество с пиратами. Ведь можно заключить с ними «джентльменское соглашение»: вынудить пирата удалять либо монетизировать (продавать) контент, а отчисления передавать правообладателю. Тех, кто не внемлет голосу разума, можно без церемоний вести в суд. Со временем пользователь привыкнет, что бесплатного сыра больше нет, и за всё нужно платить. Сознательность поднимется на новый уровень, и пиратство станет таким же социально неприемлемым явлением, как воровство или мошенничество.
Это долгий и непростой путь. Значительно проще подать в суд на поисковик, который «знает» обо всех видеофайлах, легальных и нелегальных, а заботу об исполнении судебных решений перевалить на хрупкие плечи Роскомнадзора.
Есть ощущение, что ваш интернет-провайдер блокирует веб-сайты?
Доверьтесь своей интуиции. Это случается довольно часто — как в странах с тоталитарными режимами, так и в демократических странах.
В этом руководстве мы расскажем вам все, что нужно знать о том, как провайдеры блокируют сайты: как они это делают, как определить, что это ваш случай, и как избежать блокировки любимых сайтов.
Содержание
Могут ли интернет-провайдеры блокировать веб-сайты?
Да, они правда могут это делать. Если кто-то скажет вам, что нет, то этот человек просто не понимает, как устроено подключение к интернету.
Вот в чем тут дело – когда вы открываете веб-сайт, ваше соединение проходит через вашего провайдера. Это необходимо, так как иначе у вас не было бы доступа в интернет.
То есть вместо такой схемы:
Ваше устройство → веб-сайт
Ваше соединение выглядит следующим образом:
Ваше устройство → сеть интернет-провайдера → веб-сайт
Поэтому провайдер без труда может решать, какими сайтами вам разрешено пользоваться, а какими нет.
Геоблокировка или блокировка сайта провайдером?
Чтобы узнать, как обойти геоблокировку, воспользуйтесь нашим универсальным руководством. Там подробно описано, что это такое, как это работает и как это обойти.
Как интернет-провайдеры блокируют сайты?
Насколько мы можем судить, интернет-провайдеры могут использовать три метода:
1. Фаерволы
Фаерволы позволяют провайдерам (и другим администраторам сети) управлять потоками трафика внутри сети. По сути, ваш провайдер устанавливает правила входящего и исходящего трафика, а фаервол обеспечивает их соблюдение.
Если по такому правилу никто в их сети не может открывать Facebook, то все исходящие/входящие соединения с этим сайтом автоматически блокируются фаерволом.
И, как мы показывали чуть выше, все ваши соединения проходят через сеть вашего провайдера. Так что вам придется играть по их правилам.
Кроме того, фаерволы также работают на основе IP. А ваш провайдер – это тот, кто назначает вам IP-адрес. Поэтому, если вы пользуетесь его услугами для посещения интернета, правила трафика фаервола автоматически применяются к вам.
2. Фильтрация DNS
Когда вы вводите название веб-сайта в адресную строку браузера и нажимаете Ввод, все происходит в фоновом режиме:
- Браузер запрашивает у вашего провайдера IP-адрес сайта.
- Интернет-провайдер использует собственный DNS-сервер (который действует как телефонная книга интернета) и находит там IP-адрес, соответствующий названию веб-сайта.
- Провайдер возвращает IP-адрес сайта, и ваш браузер подключается к нему.
Если бы не было DNS-сервера провайдера, вам пришлось бы вводить IP-адрес веб-сайта в строке URL. Что просто крайне неудобно, будем честными.
Но, к сожалению, это также дает вашему провайдеру контроль над вашими DNS-запросами. Если он захочет заблокировать сайт, то просто настроит свой DNS-сервер так, чтобы он возвращал некорректный IP-адрес.
Например, допустим, он хочет заблокировать Facebook. Вместо того, чтобы возвращать IP-адрес Facebook (185.60.218.35), DNS-сервер вашего интернет-провайдера вернет IP-адрес, который не обслуживается или ведет на пустую страницу, либо на лендинг с объяснением, почему вы не можете получить доступ к сайту.
В качестве альтернативы можно просто дать DNS-серверу инструкцию игнорировать все запросы, запрашивающие IP-адрес Facebook.
3. DPI (глубокий анализ пакетов)
DPI – это метод сетевого анализа, который позволяет интернет-провайдерам анализировать ваши пакеты данных. Они могли бы использовать утилиты вроде Wireshark. Это означает, что провайдер сможет видеть нечто подобное подобное при проверке вашего трафика:
Однако нельзя полностью уверенно утверждать, что провайдеры будут пользоваться Wireshark. Мы используем эту утилиту как пример, чтобы показать вам, как работает DPI и как ваш сетевой трафик может выглядеть в глазах вашего провайдера.
С помощью DPI ваш интернет-провайдер сможет увидеть:
Благодаря этой информации они могут использовать DNS-фильтрацию и фаерволы для блокировки сайтов, к которым вы пытаетесь получить доступ.
Как проверить, блокирует ли ваш провайдер сайты
Есть вероятность, что ваш интернет-провайдер просто-напросто блокирует веб-сайты. Однако это не 100% гарантия, поэтому вот что еще можно сделать, чтобы проверить, блокирует ли ваш провайдер сайты:
- Включите мобильный интернет вместо домашнего. Если ваш мобильный тариф принадлежит другому оператору и вы можете получить доступ к нужным сайтам, то это значит, что ваш провайдер блокирует сайты.
- Попробуйте использовать онлайн-инструмент Down for Everyone or Just Me. Кроме того, попробуйте погуглить “[название сайта] + status.”
- Если у вас есть друзья или родственники, которые находятся за границей или используют другого провайдера, попросите их проверить, работает ли у них нужный вам сайт.
- Если ни один из этих советов не сработал, вам придется выйти из дома, найти ближайшее место, где есть общественный Wi-Fi (от другого провайдера), подключиться к их сети и посмотреть, работает ли сайт там. Если да, то ваш провайдер определенно блокирует веб-сайты.
Почему провайдер может блокировать сайты?
Трудно сказать. Причин может быть сколько угодно. Мы считаем, что провайдеры могут блокировать сайты по следующим причинам:
- Они используют системы безопасности, которые считают веб-сайты вредоносными. Или они сами недолюбливают определенные сайты и домены.
- Правительство вынуждает их блокировать эти ресурсы. Обычно это происходит в странах с репрессивными режимами, таких как Китай и Туркменистан.
- Законы страны способствуют блокировке сайтов интернет-провайдерами. Например, порнографические сайты, азартные игры или торренты также могут быть вне закона.
- У них какие-то личные или технические проблемы с веб-сайтом, который вы пытаетесь посмотреть. Однако мы не нашли ни одного случая, когда блокировка происходила по подобной причине. В таких ситуациях они, как правило, занижают вам пропускную способность.
Если ничего из этого не относится к вашей ситуации, вы всегда можете позвонить в техподдержку и спросить.
Как избежать блокировки сайта провайдером?
Итак, мы выяснили, что ваш провайдер при желании может блокировать веб-сайты. Вы даже знаете, как это возможно с технической точки зрения.
Но что можно сделать, чтобы обойти эти методы блокировки?
Вот что показывают наши исследования и тесты:
Базовые методы
Начнем с довольно простых советов. Вам не придется сильно утруждаться, чтобы опробовать их. И в отличие от всего остального, что мы сегодня обсудим, эти советы не включают сторонние услуги, которые вам потребуется купить и/или установить.
Итак, давайте начнем:
- Во-первых, попробуйте открыть сайт по IP-адресу вместо URL. Если ваш провайдер использует DNS-фильтрацию или заблокировал только URL-адрес, то вы должны иметь возможность разблокировать сайт. Чтобы выяснить IP-адрес сайта, используйте команду ping (“ping [site name]”) в командной строке (Windows) или терминале (macOS).
- Если у вас безлимитный мобильный трафик и заблокированные сайты открываются на вашем телефоне, то можете использовать этот безобидный метод. Если у вас современный и достаточно мощный смартфон, вы можете даже создать точку доступа и подключиться к ней с нужного устройства. Однако не ждите очень высоких скоростей.
- Измените свой DNS-адрес, чтобы избежать DNS-фильтрации. Попробуйте вот эти адреса:
-
: 208.67.222.222 и 208.67.220.220. : 8.8.8.8 и 8.8.4.4. : 1.1.1.1.
Если эти опции не сработают, переходите к другим нашим рекомендациям.
Используйте VPN
Вот как это сделать:
- Сначала вы подписываетесь на VPN-Сервис, затем скачиваете и устанавливаете приложение.
- Затем вы подключаетесь к VPN-серверу. В этом случае подойдет любой сервер.
- Затем сервер и приложение согласуют и установят между собой зашифрованное соединение.
- С этого момента, при посещении сайта все ваши запросы будут поступать на него через VPN-сервер. Точно так же все содержимое сайта будет поступать на ваше устройство через сервер. Это, по сути, посредник между вами и сетью.
- Таким образом фаервол вашего провайдера больше не сможет регулировать ваш доступ к сайтам. Весь ваш веб-серфинг будет происходить через IP-адрес сервера. И этот адрес не будет блокироваться никакими правилами фаерволов.
Более того, как правило, VPN имеют свои собственные DNS-серверы. То есть, помимо обхода фаерволов, вы также можете обойти DNS-фильтрацию.
Да, и регулирование DPI и пропускной способности больше не будет проблемой, так как VPN шифруют ваш трафик насквозь. Ваш провайдер не может видеть, какие сайты и страницы вы просматриваете.
Разблокируйте любые желаемые веб-сайты при помощи CactusVPN
Специальное предложение! Получите CactusVPN за 2.7$ в месяц!
И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.
Используйте прокси
Прокси-сервер работает точно так же, как VPN – он перехватывает и перенаправляет ваши запросы на сайты, скрывая при этом ваш реальный IP-адрес.
Однако прокси-серверы не предоставляют такого сильного шифрования, как VPN. Так что вы остаетесь уязвимы перед DPI. Кроме того, они, как правило, не включают DNS-серверы, поэтому DNS-фильтрация также может быть проблемой.
С другой стороны, слабое шифрование означает, что вы получите лучшую скорость, чем при использовании VPN – конечно, если вы не используете бесплатный онлайн-прокси. Эти службы быстро переполняются и применяют ограничения по пропускной способности, поэтому там часто очень медленные скорости.
Вместо того чтобы платить за автономный прокси-сервер, задумайтесь о подписке на CactusVPN. За эту цену вы получаете не только VPN, но и серверы, которые дополнены прокси-серверами (без каких-либо дополнительных затрат).
Используйте Tor
Tor (The Onion Router) — это анонимный онлайн-инструмент, который скрывает ваш IP-адрес и шифрует трафик. Но делает он это немного иначе, нежели VPN или прокси.
В целом, в случае с Tor ваш трафик переходит по разным серверам (обычно по 3), прежде чем достичь сайта, который вы хотите посетить. Таким образом, Tor скрывает ваш IP-адрес и помогает обойти блокировку сайта провайдером.
Более того, Tor также несколько раз шифрует ваш трафик. Так что, у вас будет сразу несколько уровней защиты.
Однако у Tor есть некоторые недостатки, которые точно не делают его самым безопасным способом добиться конфиденциальности.
Помимо непонятной поддержки и нескольких утечек IP-адресов, также существует проблема скорости: эта сеть слишком медленная. В ней около 6 000 серверов и чуть более двух миллионов пользователей. Так что да, ситуация выглядит не очень хорошо.
Могут ли интернет-провайдеры заблокировать средства разблокировки?
Возможно, вы где-то читали статьи и слышали, что провайдеры якобы не могут этого сделать.
Безусловно, мы не любим приносить плохую весть, но в действительности они это могут. Конечно, для этого им придется вести активное наблюдение за тем, какие инструменты вы используете.
Как правило, провайдеры используют DPI для обнаружения VPN-трафика (особенно OpenVPN) и просто блокируют IP-адрес, к которому вы подключаетесь. Мы не уверены на 100%, работает ли DPI для трафика Tor, но есть и другие сервисы, которые могут вычислить его (например, Plixer или CapLoader).
Они также могут использовать DPI, чтобы узнать, используете ли вы сторонние DNS-серверы, а затем просто оборвать подключение к ним.
Что касается прокси, то большинство из них предлагают слабое шифрование или вообще не используют его. Таким образом, ваш провайдер может без труда анализировать ваши пакеты данных, чтобы узнать, какие сайты вы посещаете.
Интернет-провайдеры также могут работать с компаниями, которые предоставляют информацию об IP-адресах (например, MaxMind и IP2Location). У них есть базы данных, полные IP-адресов VPN-Сервисов и прокси (возможно, Tor тоже там числится, но эти базы пока еще общедоступны), а также доступ к сценариям и инструментам, которые автоматически блокируют эти адреса.
Что тут можно сделать?
Если ваш провайдер блокирует IP-адреса прокси, VPN и Tor, самый простой способ обойти это –подключиться к другому серверу. Таким образом, вы получите новый IP-адрес.
Конечно, если они продолжают блокировать все новые IP-адреса, к которым вы подключаетесь, то вам не повезло.
Если они обрывают ваши DNS-запросы, попробуйте переключиться на другого поставщика DNS. Хотя провайдеру будет нетрудно понять, что вы это сделали, и он начнет обрывать и эти запросы тоже. Лучшее, что вы можете сделать, – это включить DoH для шифрования ваших DNS-запросов. Вот как это делается в большинстве браузеров. А если вы являетесь пользователем CactusVPN, ознакомьтесь с нашими пошаговыми руководствами DoH.
Кроме того, используйте только те VPN-Сервисы, которые предлагают обфускацию. Таким образом, Вы можете скрыть свой трафик OpenVPN при DPI-анализе. В CactusVPN вы можете использовать obfsproxy сразу на нескольких платформах. Вы также можете использовать другие протоколы, но они используют выделенные порты, которые их выдают. Так ваш провайдер узнает, что вы используете VPN.
Приходилось ли вам когда-нибудь иметь дело с провайдером, блокирующим веб-сайты?
Если да, то что вы сделали, чтобы обойти блокировку? Удалось ли вам выяснить причину блокировки?
Не стесняйтесь, и расскажите нам о своем опыте в комментариях. И если вам действительно понравилась эта статья, не забудьте поделиться ею со своими друзьями в соцсетях.
Я понимаю, что среди моих читателей много сисадминов, хакеров и программистов мирового уровня, но всё же позвольте мне начать с начала. Ведь есть и обычные пользователи. И им тоже интересно.
О DNS простым языком
У разных пользователей картинка может быть разная. И пользователь понимает, что это явно не торрент-трекер. Но адрес он ввел верно и даже попал на сайт. Что то тут не то. Сейчас я всё объясню.
Поэтому был придуман DNS сервер. DNS сервер - это такой компьютер, который хранит информацию о том какому имени сайта соответствует ip адрес. DNS сервер установлен у вашего провайдера.
О блокировках
DNS сервер специально выдает неверный ip адрес тк. его так настроили. Блокировка же. DNS сервер специально выдает неверный ip адрес тк. его так настроили. Блокировка же.Как я уже сказал, у каждого провайдера есть свой DNS сервер. И часто он доступен только клиентам этого провайдера. Но есть и общедоступные сервера - крупных проектов, корпораций. И никто вам не мешает, в настройках сетевого подключения указать другой DNS сервер. Например сервер гугл.
Дело в том, что наш трафик проходит через сервер провайдера (и другое его оборудование). И там стоит запрет на передачу информации с ip адреса 195.82.146.114. И даже если мы запомним этот адрес и введем его в браузере, чтобы вообще не пользоваться никакими DNS серверами, то всё равно не попадем на сайт.
Открываем сайт без использования DNS сервера. Вводим ip адрес сайта в браузер. Открываем сайт без использования DNS сервера. Вводим ip адрес сайта в браузер.Всё сайт заблокирован. Заблокирован но ip. И многие пользователи, не знакомые с анонимайзерами и VPN никогда не увидят этот сайт. Итого - сайт заблокирован по имени, сайт заблокирован по ip. Цель заблокировать ресурс достигнута.
Как это выглядит на практике
И вроде в теории все хорошо. Всё блокируется. Но, как и сказано ранее, доступ к сайту может быть по имени и доступ может быть по ip. Когда сайт блокируют по имени, часто владелец просто покупает новое имя. Если сайт малоизвестный. Цена нового имени от 100 рублей.
В такой чехарде сложно разобраться. Тут изменилось, там входят так, тут через ip. Жуть. А блокировать надо. И главное нет никаких норм. Точнее нормы есть и рекомендации есть - но они настолько размытые и трудновыполнимые, что по сути их и нет. Да и провайдер от всего этого не в восторге.
Проблемы
Но через некоторое время начались проблемы. Начались странные блокировки. Заблокированными оказывались сайты, не находящиеся в реестре РКН. Причем часто это были гос сайты. Позже к этим сайтам добавился сам Ревизор. Вы правильно поняли - устройство блокировки заблокировало само себя. А потом понеслось - блокировка вконтакте, википедии, одноклассников и кучи других популярных сайтов. После долгих поисков проблема была обнаружена. Но решение, полностью исключающее проблему, всё ещё не найдено.
Проблема была в том, что владелец домена (который блокировали) изменял DNS запись и указывал там ip адрес популярного ресурса. А программа блокировки и другие средства провайдера, видя это изменение блокировали новый ip адрес. Или даже несколько адресов.
В результате данного инцидента было решено совершенствовать программы для блокировки. А в качестве быстрых мер внедрить список белых сайтов. Чтобы крупнейшие или наиболее важные сайты нельзя было автоматически заблокировать.
Никогда такого не было и вот опять
Прошло около года. И вот в 2019 году (по заявлению РБК) Яндекс и другие крупные холдинги подверглись этой атаке. Злоумышленник, завладев доменом, который находится в списке заблокированных, связал его с ip адресом крупной компании. Завладеть таким доменом не сложно, так как предыдущие владельцы домена просто не продлевают его. А зачем им заблокированный домен? И зарегистрировать этот домен может любой. Что и сделал злоумышленник.
В результате этой атаки, часть операторов заблокировали доступ к ip-адресам "Яндекса". Специалисты крупного оператора связи также утверждают, что атака была нацелена и на их СМИ.
Большинство крупных операторов все же смогли отразить атаку.Они уже используют более совершенные средства, в частности DPI. Но пропуск трафика через DPI значительно снизил скорость доступа к ресурсам.
На сегодняшний день, специалисты крупных интернет провайдеров считают, что теоретически возможно пропускать весь трафик через систему DPI. Но пока это слишком дорого. Поэтому сейчас через DPI пропускают лишь потенциально опасный трафик.
Кто стоит за этими атаками
Точной информации нет. Есть только предположение, что атака была проведена людьми, состоящими в организациях выступающих против изоляции рунета. Ведь наиболее крупные атаки совпали с проведением одноименного митинга. Также есть информация, что операторы связи и представители интернет-компаний раскритиковали работу DPI. Они считают, что в результате пропуска через неё большого объема трафика происходит существенное замедление доступа к ресурсам. Да и обязательная установка таких систем для всех операторов связи будет весьма дорога.
Несмотря на то, что DNS атаки стали довольно редкими, такие типы атаки всё ещё актуальны и регулярно проводятся на сетях провайдеров с небольшим количеством абонентов.
Как известно, в России, Китае и некоторых других странах повально закрывают доступ к множеству сайтов, легальных и не очень, безопасных и не очень. РКН не держит базу в открытом доступе, а вместо этого он предлагает провайдерам использовать цифровую подпись для доступа к базе. РКН рекомендует провайдерам обновлять базу раз в час. Эта база содержит список доменных имен, IP адресов и сетей, которые должны быть заблокированы.
Провайдер, в свою очередь, скачав базу, должен перенаправлять запросы к указанных ресурсам на страницу о блокировке. Кроме того, провайдеров обязали установить программно-аппаратный комплекс « Ревизор» разработки «МФИ Софт», который автоматически проверяет доступ к запрещенным сайтам из сети провайдера. Кстати, решение было создано на базе беспроводного маршрутизатора компании TP-Link :)
В итоге при обращении по определенному доменному имени или IP правила на сетевом оборудовании провайдера резолвили (разрешали) адрес заблокированного сайта в IP сервера, где находится страница с информацией о блокировке, которая пользователем и показывалась вместо ожидаемого сайта.
Но этим все не заканчивается. Конечно же, продвинутые пользователи сразу начали обходить такую блокировку просто прописав сторонние DNS, например от Google (8.8.8.8). Но счастье продлилось недолго.
Современные методы блокировки
Кстати, перехват DNS запросов (DNS hijacking) может использоваться и троянами для вредоносных целей. В 2007 году группа предприимчивых людей из Эстонии создала троян DNSChanger, который за несколько лет заразил 4 млн компьютеров по всему миру. Троян изменял системные настройки DNS, что приводило к появлению рекламы на веб-страницах. Также подвержены этой уязвимости и домашние модемы и роутеры (при условии, что проникнув в них, будут прописаны подставные DNS сервера).
Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет свой подставной ответ, который обычно приходит раньше и воспринимается клиентом). Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8).
Как бороться с перехватом DNS
Также для компаний разумно рассмотреть вариант проксирования DNS трафика. DNS-прокси с одной из этих служб (непосредственно на сетевом устройстве или на сервере в локальной сети) поможет предотвратить DNS-утечки через VPN, поскольку прокси-сервер всегда будет самым быстрым DNS-сервером среди всех доступных.
Список публичных DNS-сервисов с поддержкой DoT/DoH вы можете найти на:
Для пользователей подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. В настоящее время ни одна ОС напрямую не поддерживает шифрование DNS без дополнительного программного обеспечения. И не все сервисы одинаковы с точки зрения софта и производительности.
Диспозиции сейчас такие:
DNS через TLS поддерживается основными поставщиками DNS, что не относится к DNSCrypt. Однако, последняя предоставляет удобную утилиту для Windows, плюс этот протокол поддерживается Яндекс. Поэтому с него и начнем.
DNSCrypt
Сообщество DNSCrypt создало простые в использовании клиенты, такие как Simple DNSCrypt для Windows и клиент для Apple iOS под названием DNS Cloak, что делает шифрование DNS доступнее для нетехнических людей. Другие активисты подняли независимую сеть приватных DNS-серверов на основе протокола, помогающего пользователям уклониться от использования корпоративных DNS-систем.
Для тех, кто хочет запустить DNS-сервер с поддержкой DNSCrypt для всей своей сети, лучшим клиентом будет DNSCrypt Proxy 2. По умолчанию прокси-сервер использует открытый DNS-резолвер Quad9 для поиска и получения с GitHub курируемого списка открытых DNS-сервисов. Затем подключается к серверу с самым быстрым откликом. При необходимости можно изменить конфигурацию и выбрать конкретный сервис.
Основное преимущество DNSCrypt в том, что он передаёт UDP-трафик по порту 443 — тот же порт используется для безопасных веб-соединений. Это даёт относительно быстрый резолвинг адресов и снижает вероятность блокировки на файрволе провайдера.
Кроме того нативная поддержка DNSCrypt реализована в Яндекс.Браузере. При этом все запросы в зашифрованном виде будут отправляться на быстрый DNS-сервер Яндекса, который также получил поддержку протокола DNSCrypt. Правда, по умолчанию эта настройка в браузере отключена.
Сравним два эти протокола:
Как работает DNS over TLS
Для реализации DNS-over-TLS предлагается клиент Stubby для Windows, MacOS и Ubuntu.
Например, для того, чтобы настроить телефон на использование DNS сервиса CloudFlare, вам нужно туда прописать в качестве адреса DNS сервера:
Инструкция с картинкой доступна на официальном сайте.
Читайте также: