Утилиты для блокировки ВК, ОК и т.д.

[andryas 1 058]

Кстати...

Как в указе, не больше, не меньше. В меру своих возможностей, конечно.

[BlackVS 35]

https://www.cybercrime.gov.ua/16-novosti/229-kiberpolitsiya-dopomozhe-internet-provajderam-u-blokuvanni-zaboronenikh-veb-resursiv#news

 

В качестве юмора %)

[Sided 132]

https://www.cybercrime.gov.ua/16-novosti/229-kiberpolitsiya-dopomozhe-internet-provajderam-u-blokuvanni-zaboronenikh-veb-resursiv#news

 

В качестве юмора %)

Все это пришло ещё в бумажном виде

[xnet.com.ua 20]

загальний трафік впав десь на 15% останні дні,  це у всіх так?

[andryas 1 058]

загальний трафік впав десь на 15% останні дні,  це у всіх так?

Літо, хороша погода, чого в неті сидіти? Щороку так, в червні-липні завше річний мінімум.

[mlevel 52]

МІй варіант.

Блокування всіх підмереж які входять в AS і по A-записах (на випадок використання CloudFlare, etc.).

Пригодиться для тих хто приймає default route по BGP.

 

В папці config структура файлу така:

[prefixes]
values:
      mail
      mobile

[suffixes]
values:
      vk.com
      vkontakte.ru

[standalone]
values:
      userapi.com

[asn]
values:
      47541

Відповідно для такого конфігу скрпит generator.py з параметром domains згенерує такі комбінації доменів:

mail.vk.com
mail.vkontakte.ru
www.mail.vk.com
www.mail.vkontakte.ru
userapi.com
www.userapi.com

Особливо стає в пригоді для Яндекса в якого багато однакових сервісів на різних доменах вищого рівня.

generator.py з параметром subnets може також згенерувати всі підмережі які належать до AS в полі [asn] конфігу, для цього треба встановити одну Python бібліотеку:

pip install pyasn

Перед цим треба тільки запустити get_bgp_table.sh для того щоб скачати останню версію BGP таблиці.

Все це завернуто в один скрипт run.sh який створить правила для IPFW, його легко можна адаптувати до інших фаєрволів.

get_ip_by_domain.sh за допомогою dig вибирає ІР-адреси для всіх згенерованих доменів.

 

domain_block.tar.gz

Відредаговано 2017-06-03 11:20:50 mlevel

[KaYot 3 605]

А с какой радости вы блокируете userapi.com если него нет в списке? Сейчас яндекс тихонько поменял IP-адреса(а может и AS), и работает у большинства операторов, зачем вам выпрыгивать из трусов чего изобретая?

[Pit 35]

Давайте тз, напишу тул консольный на java.

[BERSERK 0]

whois -h whois.radb.net -- '-i origin AS47764'  | grep route: | awk '{ print "ip firewall address-list add list=Blocked_nets_and_sites comment=\"Mail_OK\" address="$2}'

 

whois -h whois.radb.net -- '-i origin AS13238'  | grep route: | awk '{ print "ip firewall address-list add list=Blocked_nets_and_sites comment=\"Yandex\" address="$2}'

 

whois -h whois.radb.net -- '-i origin AS13238'  | grep route: | awk '{ print "ip firewall address-list add list=Blocked_nets_and_sites comment=\"VK\" address="$2}'

 

[KaYot 3 605]

Одна беда, тот же mailru уже неделю как работает на адресах и AS амазона. Будем амазон блокировать(вместе с половиной буржуйского интернета) или ну его?

[Prime 51]

и не только буржуйского.

украинского тоже

[BERSERK 0]

Догадливый поймет что это не самостоятельное решение.

Добавьте в этот адрес-лист правила с именами сайтов. А предложенный мной механизм увеличивает процент вероятности блокировки.

Тот же api.vk.com резолвится в IP сетей VK. Именно через api.vk.com работает мобильное приложение и я не видел в предыдущем решении блокировки этого домена.

Вылавливать все такие моменты дело не из интересных.

 

mail.ru все еще на своих сетях (может какие-то поддомены уже нет).

 

К сожалению для провайдеров не предоставлено единого списка IP адресов к блокировке и каждый выкручивается как может исходя из своих возможностей.

[KaYot 3 605]

Именно через api.vk.com работает мобильное приложение и я не видел в предыдущем решении блокировки этого домена.

В санкцоннном списке api.vk.com нет, к чему эта самодеятельность?

[BERSERK 0]

К тому что благородные пользователи пишут кляузы в соответствующие органы о том что на их домашних устройствах есть доступ к запрещенным ресурсам.

[KaYot 3 605]

К тому что благородные пользователи пишут кляузы в соответствующие органы о том что на их домашних устройствах есть доступ к запрещенным ресурсам.

На вас уже писали кляузу?

[BERSERK 0]

Да.

Последствий пока не было, но предписания были.

[BARVIT 113]

Кайот, не знаю писали или звонили, но вот недавеча как в среду звонили из СБУ, не грубили не хамили, все культурно, поступил звонок что у вас не заблокированы ресурсы, может нужна помощь? Наш сотрудник может выдать рекомендации.... ответил что я их видел и до вечера пятницы устраним. Видать он всю ночь думал и с утра в четверг снова звонок и вопрос а у кого покупаете интернет.... Они ведь тоже не заблокировали.

[alexusss1983 0]

Блокировать методом резолва доменных имен и дальнейшим составлением IP ACL считаю оооочень небезопасно. Представьте, что какой-то из доменов, который есть в указе,  укажет для запросов из Украины  выдавать адреса, например, корневых днс серверов, днс гугла и много чего другого... Последствия этого боюсь себе представить...

 

В мордоре(рашке) вроде как недавно уже наступили на эти грабли. 

Відредаговано 2017-06-16 09:34:09 alexusss1983

[andryas 1 058]

Наименее проблемный технический метод, в свете последних событий - блокировка по DNS. Хотя и она имеет побочные эффекты, но они минимальны.

Если бинд, то в файле named.conf: дописать:

zone "kaspersky.ru" in { type master; file "master/block.rev"; };
zone "drweb.ru" in { type master; file "master/block.rev"; };

и т.д.

В файле block.rev:

$TTL 24h
@ IN SOA ns.yourdomain.com. hostmaster.yourdomain.com. ( 2017052800 1H 1H 2W 2H )
@ IN NS server.yourdomain.com.
www CNAME @
@ IN A 127.0.0.1 // или, лучше так: @ IN A 192.168.1.1 {Ваш сервер с страицей-заглушкой}

Відредаговано 2017-06-16 10:05:39 andryas

[BERSERK 0]

Блокировать методом резолва доменных имен и дальнейшим составлением IP ACL считаю оооочень небезопасно. Представьте, что какой-то из доменов, который есть в указе, укажет для запросов из Украины выдавать адреса, например, корневых днс серверов, днс гугла и много чего другого... Последствия этого боюсь себе представить...

 

В мордоре(рашке) вроде как недавно уже наступили на эти грабли.

+1

[BERSERK 0]

Ещё варварские способы

- поднять у себя восьмёрки

- перенаправлять весь UDP53 на свои DNS

Но... сами понимаете...

[andryas 1 058]

Ещё варварские способы - поднять у себя восьмёрки

 

 

Нафига? 

Тот, кто умеет прописать NS-ы, тот и VPN себе в Опере включит без проблем.

Відредаговано 2017-06-16 10:20:08 andryas

[BERSERK 0]

Поэтому я и пишу, что мы можем всего лишь снизить вероятность попадания на ресурс.

Полноценного решения нет.

[andryas 1 058]

Полноценного решения нет.

 

Даже в Рашке не требуют "необходимой" (100%) блокировки. В решении РНБО указанны блокируемые домены, никаких IP нет и быть не может, и уже всем понятно почему. Такие документы следует исполнять буквально.

Резолвы, перенаправления и прочая ересь есть самоуправство (в лучшем случае). Попытка "сделать как лучше" вылечится первым же судебным иском из-за неправомерного блокирования информации.

Відредаговано 2017-06-16 11:24:24 andryas

[KaYot 3 605]

Наименее проблемный технический метод, в свете последних событий - блокировка по DNS. Хотя и она имеет побочные эффекты, но они минимальны.

Я бы не сказал что побочные эффекты минимальны.

Банально - требуют закрыть сайт mail.ru, но никто не требовал поломать их почту. Ваши клиенты не смогут пользоваться почтовиками по pop/smtp.

Если у вас есть своя почта, вылезет еще более веселый прикол - из вашей сети вообще не будет доставляться почта на mail.ru(а так же yandex) - mx запись то вы убили.

Ну и всякие побочные сервисы, которые нет необходимости блокировать. Например love.mail.ru - про него ничего нет в указе, на кой его ломать?

 

У себя vk и ok убили по IP+DNS, яндекс и мейлру - только по IP.