Перейти к содержимому

DeepNet

ASP24.com.ua — MikroTik Router OS Level 4, 5, 6, Extra Channel по лучшим ценам. Звоните! 098-89-66-219
Фото

Утилиты для блокировки ВК, ОК и т.д.

python bash указ вк блокировка однокласники яндекс

  • Чтобы отвечать, сперва войдите на форум
156 ответов в теме

#1 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 19:03

Предлагаю в етой теме начать обсуждение как и какими общими методами проводить блокировку.

 

Для затравки написал первый из серии скриптов, который собирает из улров IPv4 / IPv6 адреса для блокировки, определяет все записи а не та которая прорезолвилась в данный момент.

 

Принцип работы: Собирает адреса из файла с урлами и выдает в STDOUT список адресов соответствующих протоколу

 

https://github.com/G...s_to_ip_list.py

для использования нужено установить python3-dnspython

stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $ python3 urls_to_ip_list.py testlist.txt 4
77.88.8.8
77.88.21.186
77.88.21.178
213.180.193.125
185.71.78.54
87.250.250.178
77.88.55.66
5.255.255.70
87.250.250.22
213.180.204.226
87.250.251.125
213.180.204.12
93.158.134.125
213.180.204.207
213.180.204.41
5.255.255.80
213.180.193.71
87.250.250.12
87.250.251.12
213.180.193.58
93.158.134.178
213.180.204.178
109.235.165.142
213.180.204.73
213.180.204.125
93.158.134.62
213.180.204.186
213.180.193.178
93.158.134.28
213.180.204.28
185.71.78.14
93.158.134.154
109.235.165.182
213.180.193.215
213.180.193.112
213.180.204.56
87.250.250.125
213.180.204.200
5.45.217.5
52.50.157.108
213.180.204.26
87.250.250.218
213.180.204.193
87.250.251.178
87.250.251.41
213.180.204.188
213.180.193.137
77.88.55.70
213.180.193.12
stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $ python3 urls_to_ip_list.py testlist.txt 6
2a02:6b8::12
2a02:6b8::207
2a02:6b8::193
2a02:6b8::2:22
2a02:6b8::178
2a02:6b8::4:41
2a02:6b8:a::a
2a02:6b8::226
2a02:6b8::1:154
2a02:6b8::3:62
2a02:6b8::2:215
2a02:6b8::3:56
2a02:6b8::58
2a02:6b8::25
2a02:6b8::1:28
2a02:6b8::1:112
2a02:6b8::71
2a02:6b8::2:218
2a02:6b8::feed:ff
2a02:6b8::1:137
2a02:6b8::73
stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $
NoviTrade

  • 1

LanTorg.com

#2 adeep

adeep

    Дракон

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 234 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 19:40

все адреса не соберешь, на запрос в днс не всегда отдаются все адреса домена...


  • 0
Помоги УКОС, поддержи поставь Лайк! fb.com/ukos.net.ua
Украинская конференция операторов Связи http://ukos.net.ua/

#3 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 19:44

все адреса не соберешь, на запрос в днс не всегда отдаются все адреса домена...

 

Ну в скрипте работа организована именно через разбор всего днс ответа не просто резолвинг адреса, так что  должно какраз отображать все. Но на всякий случай, для верности я думаю можно сделать некий кеш с TTL, что скажите ? 


  • 0

NG Optics

#4 KaYot

KaYot

    Злобный фей

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 931 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 19:46

Если что - КС сделал блокировку на уровне ДНС. Хосты из списка не резолвятся и не открываются соответственно, но по IP пингуются на ура.
Это куда проще чем морочиться с обновлениями IP и блоком в фаерволе.

За скрипт спасибо, может и пригодится.

Изменено: KaYot, 17 Май 2017 - 19:46

  • 0

#5 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 19:46

Я думаю логика набора скриптов должна біть следующая:

1. Скрипт сборщик текущих записей 

2. Хранилише записей с TTL

3. Скрипт с шаблонизатором для обновления на насах. Скрипт будет иметь шаблон команды для добавление новых адресов и шаблон для делистинга. 


  • 0

#6 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 19:48

Если что - КС сделал блокировку на уровне ДНС. Хосты из списка не резолвятся и не открываются соответственно, но по IP пингуются на ура.
Это куда проще чем морочиться с обновлениями IP и блоком в фаерволе.

За скрипт спасибо, может и пригодится.

 

Я думаю стоит сделать оба подхода. Прописать 8.8.8.8 дело не хитрое, и будет у кучи юзеров сделано через пару дней.


  • 0

#7 vop

vop

    Вампиреныш

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишка
  • 736 Сообщений:

Опубликовано 17 Май 2017 - 19:56

Вконтакт:
87.240.160.0/19
95.213.8.0/21
  • 0

#8 Yakimus

Yakimus

    Пролетал Мимо

  • Маглы
  • Фишка
  • 10 Сообщений:

Опубликовано 17 Май 2017 - 19:57

будет у кучи юзеров сделано через пару дней.
 
Задача оператора - блокировать. При вопросе "как блокируете" отвечаете "на уровне ДНС"
Тоесть свою сторону калитки покрасили, а клиент обошел калитку так как забора нет
  • 2

#9 John_Doe

John_Doe

    Вампиреныш

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишка
  • 983 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 19:58

Чисто технически бы сделал по другому

Роуты на AS vk,яши и одноглазиков завернул бы на прокси

А уже на прокси на http выводил заглушечку, а https блочил бы просто по SNI

у них там куча сервисов и блочить все под корень как-то глупо,много чего в указе даже не упоминается,дофига чего работать перестанет. А так домены из указа взять и блочить

Вроде и заблочен весь перечень, а вроде и ничего лишнего

Но это будет работать только с доменами, не с урлами


  • 1

UPA.jpg


#10 Daniil_

Daniil_

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 275 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 17 Май 2017 - 19:59

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

 

#dig vk.com @8.8.8.8

connection timed out; no servers could be reached


Изменено: Daniil_, 17 Май 2017 - 20:01

  • 0

#11 KaYot

KaYot

    Злобный фей

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 931 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:01

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

DNAT чужих DNS? На телефоне лень проверять.
  • 0

#12 John_Doe

John_Doe

    Вампиреныш

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишка
  • 983 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:02

 

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

DNAT чужих DNS? На телефоне лень проверять.

 

скорее всего


  • 0

UPA.jpg


#13 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 20:05

Ну днат чюжих днс ето уже нарушение маршрутизации и статья. Мы веть не можем  малой кровью редиректить только запросы  по ВК и т.д. значит будем заворачивать всё. Не чистая работа )


  • 0

#14 mr.Scamp

mr.Scamp

    Оборотень

  • Сitizens
  • ФишкаФишкаФишкаФишка
  • 426 Сообщений:
  • Пол:Мужчина
  • Город:Ровно
  • Интересы:FreeBSD, Linux, Cisco

Опубликовано 17 Май 2017 - 20:06

Гораздо проще организовать блек-лист, используя BGP.

На бордерах завести ip as-path access-list, в котором перечислить AS-ки Mail.ru-шных сервисов,

! VK1
ip as-path access-list 112 permit _47541_
! VK2
ip as-path access-list 112 permit _47542_
! Mailru
ip as-path access-list 112 permit _47764_
! Yandex
ip as-path access-list 112 permit _13238_
ip as-path access-list 112 permit _

Потом создать роут-мапу, которая будет на эти префиксы вешать комьюнити для блэкхола,

route-map map-CENSORSHIP permit 100
 match as-path 112
 set community 65535:451 additive

Развесить на нейборах для аплинков.

 

Далее, префиксы с данным комьюнити можно блэкхолить локально, или инжектить в iBGP, и нулльраутить на брасах.

 

 

 


  • 1

#15 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 20:09

Гораздо проще организовать блек-лист, используя BGP.

На бордерах завести ip as-path access-list, в котором перечислить AS-ки Mail.ru-шных сервисов,

! VK1
ip as-path access-list 112 permit _47541_
! VK2
ip as-path access-list 112 permit _47542_
! Mailru
ip as-path access-list 112 permit _47764_
! Yandex
ip as-path access-list 112 permit _13238_
ip as-path access-list 112 permit _

Потом создать роут-мапу, которая будет на эти префиксы вешать комьюнити для блэкхола,

route-map map-CENSORSHIP permit 100
 match as-path 112
 set community 65535:451 additive

Развесить на нейборах для аплинков.

 

Далее, префиксы с данным комьюнити можно блэкхолить локально, или инжектить в iBGP, и нулльраутить на брасах.

 

Саша, ну у тебя например хостинг, как и у меня. Потеряешь связность с яшей, потеряешь клиентов. Так что не вариант. Совсем. Как и то, что на тот же майлру почта ходить должна, любая клиентская форма на хостинге обломится отослать в мейлру письмо если ей не будет кудой ето сделать и т..д


  • 0

#16 ttttt

ttttt

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 792 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:12

А зачем вы на хостинге вообще что-то блокируете? Там же авторизации через все эти сервисы есть, на них сами сайты по https ходят. Работать перестанут, клиентов потеряете.
  • 0

#17 KaYot

KaYot

    Злобный фей

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 931 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:13

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.

Изменено: KaYot, 17 Май 2017 - 20:14

  • 0

#18 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 20:16

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.

 

IP блокировку делать только на клиентских насах, не на хостингах и не на стыках транзита.

Нет, там идет получение хоста по MX записи. POP / IMAP в общем то на хостинге и не нужен. Главное чтоб рассілки уходили. 


  • 0

#19 alexcom

alexcom

    Пролетал Мимо

  • Маглы
  • Фишка
  • 14 Сообщений:

Опубликовано 17 Май 2017 - 20:16

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.


Интересно если блокировать только 80,443 и icmp- сочтут за не выполнение?
  • 0

#20 Daniil_

Daniil_

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 275 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 17 Май 2017 - 20:20

написано, что нужно запретить доступ к сайтам... и все


  • 0





Также с меткой «python, bash, указ, вк, блокировка, однокласники, яндекс»

2 пользователей читают эту тему

0 members, 2 guests, 0 anonymous users

Local.blog МЕТА - Украина