Перейти к содержимому
Local
UStas_rinet

Утилиты для блокировки ВК, ОК и т.д.

Рекомендованные сообщения

Предлагаю в етой теме начать обсуждение как и какими общими методами проводить блокировку.

 

Для затравки написал первый из серии скриптов, который собирает из улров IPv4 / IPv6 адреса для блокировки, определяет все записи а не та которая прорезолвилась в данный момент.

 

Принцип работы: Собирает адреса из файла с урлами и выдает в STDOUT список адресов соответствующих протоколу

 

https://github.com/General-Servers/blocker/blob/master/tools/urls_to_ip_list.py

для использования нужено установить python3-dnspython

stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $ python3 urls_to_ip_list.py testlist.txt 4
77.88.8.8
77.88.21.186
77.88.21.178
213.180.193.125
185.71.78.54
87.250.250.178
77.88.55.66
5.255.255.70
87.250.250.22
213.180.204.226
87.250.251.125
213.180.204.12
93.158.134.125
213.180.204.207
213.180.204.41
5.255.255.80
213.180.193.71
87.250.250.12
87.250.251.12
213.180.193.58
93.158.134.178
213.180.204.178
109.235.165.142
213.180.204.73
213.180.204.125
93.158.134.62
213.180.204.186
213.180.193.178
93.158.134.28
213.180.204.28
185.71.78.14
93.158.134.154
109.235.165.182
213.180.193.215
213.180.193.112
213.180.204.56
87.250.250.125
213.180.204.200
5.45.217.5
52.50.157.108
213.180.204.26
87.250.250.218
213.180.204.193
87.250.251.178
87.250.251.41
213.180.204.188
213.180.193.137
77.88.55.70
213.180.193.12
stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $ python3 urls_to_ip_list.py testlist.txt 6
2a02:6b8::12
2a02:6b8::207
2a02:6b8::193
2a02:6b8::2:22
2a02:6b8::178
2a02:6b8::4:41
2a02:6b8:a::a
2a02:6b8::226
2a02:6b8::1:154
2a02:6b8::3:62
2a02:6b8::2:215
2a02:6b8::3:56
2a02:6b8::58
2a02:6b8::25
2a02:6b8::1:28
2a02:6b8::1:112
2a02:6b8::71
2a02:6b8::2:218
2a02:6b8::feed:ff
2a02:6b8::1:137
2a02:6b8::73
stas@stas-Aspire-V5-591G ~/PycharmProjects/blocker/tools master $

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все адреса не соберешь, на запрос в днс не всегда отдаются все адреса домена...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все адреса не соберешь, на запрос в днс не всегда отдаются все адреса домена...

 

Ну в скрипте работа организована именно через разбор всего днс ответа не просто резолвинг адреса, так что  должно какраз отображать все. Но на всякий случай, для верности я думаю можно сделать некий кеш с TTL, что скажите ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если что - КС сделал блокировку на уровне ДНС. Хосты из списка не резолвятся и не открываются соответственно, но по IP пингуются на ура.

Это куда проще чем морочиться с обновлениями IP и блоком в фаерволе.

 

За скрипт спасибо, может и пригодится.

Изменено пользователем KaYot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю логика набора скриптов должна біть следующая:

1. Скрипт сборщик текущих записей 

2. Хранилише записей с TTL

3. Скрипт с шаблонизатором для обновления на насах. Скрипт будет иметь шаблон команды для добавление новых адресов и шаблон для делистинга. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если что - КС сделал блокировку на уровне ДНС. Хосты из списка не резолвятся и не открываются соответственно, но по IP пингуются на ура.

Это куда проще чем морочиться с обновлениями IP и блоком в фаерволе.

 

За скрипт спасибо, может и пригодится.

 

Я думаю стоит сделать оба подхода. Прописать 8.8.8.8 дело не хитрое, и будет у кучи юзеров сделано через пару дней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вконтакт:

87.240.160.0/19

95.213.8.0/21

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

будет у кучи юзеров сделано через пару дней.
 
Задача оператора - блокировать. При вопросе "как блокируете" отвечаете "на уровне ДНС"
Тоесть свою сторону калитки покрасили, а клиент обошел калитку так как забора нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чисто технически бы сделал по другому

Роуты на AS vk,яши и одноглазиков завернул бы на прокси

А уже на прокси на http выводил заглушечку, а https блочил бы просто по SNI

у них там куча сервисов и блочить все под корень как-то глупо,много чего в указе даже не упоминается,дофига чего работать перестанет. А так домены из указа взять и блочить

Вроде и заблочен весь перечень, а вроде и ничего лишнего

Но это будет работать только с доменами, не с урлами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

 

#dig vk.com @8.8.8.8

connection timed out; no servers could be reached

Изменено пользователем Daniil_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

DNAT чужих DNS? На телефоне лень проверять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

У КС заблочено так, что если даже прописать 8.8.8.8 в днс то не отдаст айпи

DNAT чужих DNS? На телефоне лень проверять.

 

скорее всего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну днат чюжих днс ето уже нарушение маршрутизации и статья. Мы веть не можем  малой кровью редиректить только запросы  по ВК и т.д. значит будем заворачивать всё. Не чистая работа )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гораздо проще организовать блек-лист, используя BGP.

На бордерах завести ip as-path access-list, в котором перечислить AS-ки Mail.ru-шных сервисов,

! VK1
ip as-path access-list 112 permit _47541_
! VK2
ip as-path access-list 112 permit _47542_
! Mailru
ip as-path access-list 112 permit _47764_
! Yandex
ip as-path access-list 112 permit _13238_
ip as-path access-list 112 permit _

Потом создать роут-мапу, которая будет на эти префиксы вешать комьюнити для блэкхола,

route-map map-CENSORSHIP permit 100
 match as-path 112
 set community 65535:451 additive

Развесить на нейборах для аплинков.

 

Далее, префиксы с данным комьюнити можно блэкхолить локально, или инжектить в iBGP, и нулльраутить на брасах.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гораздо проще организовать блек-лист, используя BGP.

На бордерах завести ip as-path access-list, в котором перечислить AS-ки Mail.ru-шных сервисов,

! VK1
ip as-path access-list 112 permit _47541_
! VK2
ip as-path access-list 112 permit _47542_
! Mailru
ip as-path access-list 112 permit _47764_
! Yandex
ip as-path access-list 112 permit _13238_
ip as-path access-list 112 permit _

Потом создать роут-мапу, которая будет на эти префиксы вешать комьюнити для блэкхола,

route-map map-CENSORSHIP permit 100
 match as-path 112
 set community 65535:451 additive

Развесить на нейборах для аплинков.

 

Далее, префиксы с данным комьюнити можно блэкхолить локально, или инжектить в iBGP, и нулльраутить на брасах.

 

Саша, ну у тебя например хостинг, как и у меня. Потеряешь связность с яшей, потеряешь клиентов. Так что не вариант. Совсем. Как и то, что на тот же майлру почта ходить должна, любая клиентская форма на хостинге обломится отослать в мейлру письмо если ей не будет кудой ето сделать и т..д

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем вы на хостинге вообще что-то блокируете? Там же авторизации через все эти сервисы есть, на них сами сайты по https ходят. Работать перестанут, клиентов потеряете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

 

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.

Изменено пользователем KaYot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

 

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.

 

IP блокировку делать только на клиентских насах, не на хостингах и не на стыках транзита.

Нет, там идет получение хоста по MX записи. POP / IMAP в общем то на хостинге и не нужен. Главное чтоб рассілки уходили. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с почтой беда будет в любом случае. Адреса как вбиты обычно? pop.mail.ru

 

При dns блокировании хоть какой-то обходной маневр возможен, при IP полный капец. Клиенты убьют.

Интересно если блокировать только 80,443 и icmp- сочтут за не выполнение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

написано, что нужно запретить доступ к сайтам... и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно если блокировать только 80,443 и icmp- сочтут за не выполнение?

Кто сочтет? Нет же проверяющих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

написано, что нужно запретить доступ к сайтам... и все

Нет, про сайты нет ни слова.

9) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів/сервісів:
https://avia.yandex.ru/
...
11) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів сервісів «Mail.ru»
(www.mail.ru) та соціально-орієнтованих ресурсів
«Вконтакте» (www.vk.com) та «Одноклассники» (www.ok.ru)
Изменено пользователем KaYot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

написано, что нужно запретить доступ к сайтам... и все

Нет, про сайты нет ни слова.

9) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів/сервісів:
https://avia.yandex.ru/
...
11) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів сервісів «Mail.ru»
(www.mail.ru) та соціально-орієнтованих ресурсів
«Вконтакте» (www.vk.com) та «Одноклассники» (www.ok.ru)

 

Как нету ? Есть четкое описание протокола HTTP(S)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: RadoXX
      Всем привет! Имеется скрипт написанный под Unix для авто входа в буспроводную сеть.Скажите пожалуйста как данный скрипт запустить под Windows через bat файл? Заранее большое спасибо!   #! /bin/bash user=username pass=password shopt -s extglob # enables pattern lists like +(...|...) listOfESSID='+(BTFON|BTOpenzone|BTOpenzone-B|BTOpenzone-H|BTWi-fi|BTWifi|BTWiFI-with-FON|BTWifi-with-FON|_BTWi-fi)' currentESSID=$(iwgetid | sed 's/.*\"\(.*\)\".*/\1/g') foo=$(wget "https://www.btopenzone.com:8443/home" --no-check-certificate --no-cache --timeout 30 -O - 2>/dev/null) if [ $? -ne 0 ] then echo "Unable to reach btopenzone.com. Are you connected to the network?" exit $? fi loggedIn=$(echo $foo | grep 'now logged on to BT Wi-fi') if [ $? -eq 0 ] then echo "You're already logged in. Nowt to do!" exit 0 else echo -n "$currentESSID " case "$currentESSID" in $listOfESSID) echo -n "is a valid Wifi network. Logging in ... " foo=$(wget -qO - --no-check-certificate --no-cache --post-data "username=$user&password=$pass" "https://www.btopenzone.com:8443/tbbLogon") loggedIn=$(echo $foo | grep 'now logged on to BT Wi-fi') if [ $? -eq 0 ] then echo "Success!" exit 0 else echo "Oops!" exit 1 fi ;; *) echo "is not in the list of valid Wifi networks." exit 1 esac fi  
    • Автор: vppkn
      Глава Службы безопасности Украины Василий Грицак заявил, что СБУ отслеживает возможные варианты обхода блокировки российских социальных сетей, которые запрещены в Украине. Об этом он сказал во время брифинга, который транслировал телеканал "112 Украина".
       
      "Прошло три месяца. Я считаю, что было принято правильное решение по поводу закрытия доступа к этим социальным сетям. Но россияне или представители тех же сетей распространяли информацию, как можно было обойти эти моменты и пользоваться этими сетями. Мы отслеживаем эти вещи. И все то, что появляется, эти "дырочки", пытаемся закрыть. Не пытаемся, а закрываем", - сказал он.
       
      112.ua
    • Автор: vppkn
      Блокування російських ресурсів суттєво змінило картину популярних сайтів серед українців. Вперше в ТОП-10 сайтів, якими користуються українці, немає жодного російського – про це свідчать дані щомісячного дослідження Kantar TNS.
      ВКонтакте, Mail.ru, Yandex.ua хоча й залишаються в українському топі, але вже за межами першої 10-ки.
      Перша трійка змінила свій склад — на третьому місці тепер Facebook.com, який став найпопулярнішою соціальною мережею в Україні. А от Одноклассники покинули рейтинг ТОП-25.
       

       
      *Дані Kantar TNS CMeter, інтернет-користувачі у віці 14-70 років, n=5000.
      Дослідження CMeter об’єднує дані з 3-х джерел:
      Site-centric- лічильники, інтегровані в сайти. На даний момент у вимірі є близько 250 сайтів, з них близько 30 з фіксацією відео.
      Frame-centric- лічильники встановлені не на сайті, а через банерну мережу. На даний момент у вимірі більше 2500 сайтів
      User-centric- панель охоплює близько 5000 респондентів щодня, поряд зі стандартними показниками (hits, охоплення, соціально-демографічні тощо показники по всіх сайтах, з якими контактували респондента), також фіксує контакт панелістів з контентом.
      Дані з усіх джерел об’єднуються в режимі реального часу, що гарантує відсутність втрат в даних.
       
      Watcher
    • Автор: olnet
      Подскажите пожалуйста, есть ли аналог сервиса zaborona.help?
      Данный сервис некорректно работает на Микротик, хотелось бы что бы всё работало. 
    • Автор: Кирилл Куриленко
      Друзья, посоветуйте пожалуйста, как настроить роутер, чтобы обойти блокировку?
      Интернет от Триолана, приятель сказал настроить DNS 8.8.8.8 - но у меня это не сработало, у него интернет от Киевстара - говорит что всё ОК.
       
      Не хочу использовать прокси и VPN так как скорость очень медленная.
      Спасибо!
×