В Госдуму внесен законопроект о запрете VPN и Tor

  • Автор темы ivanKon
  • Дата начала

ivanKon

Журналист
ЖУРНАЛИСТ
Регистрация
17 Апр 2017
Сообщения
145
Депозит
0
В Государственную думу был внесен законопроект о запрете использования на территории Российской Федерации специальных технологий для обхода блокировок интернет-ресурсов. Авторами инициативы стали единоросс Максим Кудрявцев, Николай Рыжак из «Справедливой России» и Александр Ющенко из КПРФ. Устранение вредных последствий

Согласно тексту законопроекта, практика блокировки информационных ресурсов в сети была признана неэффективной в силу нескольких причин. Среди них возможность обнаружить заблокированные ресурсы в выдаче поисковой системы, а также возможность использовать технологии, помогающие зайти на сайт, доступ к которому был ограничен по решению суда.«Технологии направления трафика российских интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети легальны, существует широкий спектр возможностей их правомерного применения, однако данные технологии используются с целью получения доступа к информационным ресурсам, доступ к которым ограничен на законном основании», — говорится в законопроекте. Отмечается, что законопроект не распространится на владельцев сервисов для обхода ограничения доступа, если такие владельцы «обеспечивают использование таких сетей, систем или программ исключительно лицами, которые находятся с такими владельцами в трудовых отношениях».

Кроме того, в настоящий момент не существует механизма, способного заставить поисковик убрать из своей выдачи ссылки на заблокированные ресурсы.

Внесенная в Госдуму инициатива призвана решить обе эти проблемы. Депутаты предлагают установить запрет на использование на территории Российской Федерации «информационно-телекоммуникационных сетей, информационных систем и программ для ЭВМ для получения доступа к информационным ресурсам, в том числе сайтам и (или) страницам сайтов в сети интернет, доступ к которым на территории Российской Федерации ограничен».

Владельцам таких систем будет предоставлен доступ к информационному ресурсу Роскомнадзора, в котором находится перечень ресурсов, доступ к которым ограничен. Операторы поисковых систем будут обязаны прекратить выдачу ссылок на заблокированные ресурсы.

Сообщается, что принятие такого законопроекта устранит «вредные последствия», наступающие в результате использования средств для обхода блокировок, например распространение запрещенных материалов.

Одновременно с законопроектом о запрете технологий для просмотра заблокированных сайтов были внесены на рассмотрение и изменения в Кодекс об административных нарушениях. В частности, неисполнение поисковой системой своих обязанностей будет грозить штрафом для граждан в размере 5 тыс. руб., для должностных лиц — 50 тыс. руб., а для юридических — от 500 тыс. до 700 тыс. руб.В случае принятия федеральный закон вступит в силу по истечении 90 дней после дня его официального опубликования.

Пока еще разрешается

Методы обхода блокировок остро встали на российской повестке дня после многочисленных громких случаев ограничения доступа к интернет-ресурсам Роскомнадзором. Недавно с этой проблемой столкнулись и жители Украины, после того как указом президента Порошенко на территории страны были заблокированы социальные сети «ВКонтакте» и «Одноклассники».

На настоящий момент есть несколько способов обойти блокировку того или иного ресурса — например, специальные расширения для браузеров, которые перенаправляют трафик через другие серверы.

Кроме того, популярным является использованием VPN-сервисов, которые маскируют местоположение пользователя, представляя его жителем того государства, где доступ к заблокированному сайту разрешен. По похожему принципу работает и использование прокси-серверов.

Обойти блокировку можно и с помощью браузера Tor, который был создан специально для того, чтобы гарантировать анонимность пользователей.
 
sandro_x

sandro_x

ГАРАНТ ПРОЕКТА
Команда форума
ГАРАНТ СЕРВИС
Регистрация
23 Фев 2010
Сообщения
2,077
Депозит
50 000 Рублей
Они бы лучше подумали как старикам пенсию поднять и улучшить дороги.. Вон читал на медни что Казахстанские дороги признаны лучше чем в России. А они лезут туда куда собака не сувала..
 
cool

cool

Знающий
Пользователь
Регистрация
27 Мар 2014
Сообщения
309
Совсем о..е.и Роскомнадзор уже достал, пусть лучьше про снижени пенсий, а не повышения уже не знают превратили страну в рабов.

<- - - - - - - - - - - - - - - - - - Я пытался набить сообщения - - - - - - - - - - - - - - - - - - - - - ->

Полный тотальный режим вводят везде.
 
Gazprom

Gazprom

Пользователь
Регистрация
22 Апр 2012
Сообщения
29
Могут запретить, но технически сделать это невозможно ))
 
Последнее редактирование:
bathord

bathord

МОДЕРАТОР
МОДЕРАТОР
Регистрация
12 Июл 2010
Сообщения
979
МОСКВА, 23 июн — РИА Новости. Госдума приняла в третьем чтении законопроект о блокировке копий ("зеркал". — Прим. ред.) пиратских сайтов.
Блокировке подлежат копии сайтов, доступ к которым ограничен по решению Мосгорсуда из-за нарушения авторских прав.

Please Login or Register to view hidden text.


В случае поступления от Роскомнадзора или правообладателей информации о подобном "зеркале" Минкомсвязь в течение суток решает, является ли сайт копией заблокированного. Далее ведомство отправляет вердикт на русском и английском языках владельцу "зеркала", а также в Роскомнадзор.
Законопроект обязывает операторов связи в течение суток после получения требования Роскомнадзора ограничить доступ к копии пиратского сайта.
Операторы поисковых систем, в свою очередь, должны прекратить выдавать в поиске страницы заблокированных ресурсов и их копий.


Please Login or Register to view hidden text.


Предполагается, что законопроект вступит в силу с 1 октября 2017 года. Во время подготовки документа Минкультуры предложило блокировать такие сайты без решения суда. Однако инициативу не поддержали правовое управление аппарата Госдумы, Минкомсвязь, Роскомнадзор и большинство представителей интернет-индустрии.Ранее Роскомнадзор ограничил доступ к серверам торрент-трекеров — так называемым "анонсерам", которые собирают данные, необходимые для организации устойчивого файлообмена. Блокировка подобных сайтов позволяет замедлить процесс раздачи, поскольку торрент-клиент перестает получать информацию о том, у кого можно скачать тот или иной файл.


РИА Новости

Please Login or Register to view hidden text.

 
new

new

Знающий
Пользователь
Регистрация
14 Мар 2014
Сообщения
624
доступ к которым ограничен по решению Мосгорсуда из-за нарушения авторских прав
что характерно - права в основном у пиндосов. эт наши педутаты о них пекутся? а как же контрсанкции? ))))))
 
sandro_x

sandro_x

ГАРАНТ ПРОЕКТА
Команда форума
ГАРАНТ СЕРВИС
Регистрация
23 Фев 2010
Сообщения
2,077
Депозит
50 000 Рублей
Роскомнадзор заблокирует Telegram в случае отказа от сотрудничества

Сотрудники Роскомнадзора направили владельцам Telegram письмо с требованием предоставить надзорному органу данные для внесения компании в реестр организаторов распространения информации. Об этом во вторник, 16 мая, сообщают «Ведомости».

Как утверждается в материале издания, Telegram необходимо указать страну регистрации, адрес местонахождения, доменное имя, описание сервиса, а также почтовый и электронный адреса компании и провайдера хостинга. В противном случае Роскомнадзор обещает заблокировать мессенджер.

Отмечается, что аналогичные письма были направлены всем работающим на территории России интернет-сервисам, в том числе и зарубежным.

В самом Роскомнадзоре не прокомментировали ни содержание письма, ни факта его отправки. В то же время пользователи Telegram обратились к основателю мессенджера Павлу Дурову с просьбой не допустить блокировку и запустили петицию на Change.org. На момент написания заметки прошение набрало более четырех тысяч подписей.

В начале мая Роскомнадзор закрыл доступ к популярному китайскому мессенджеру WeChat. Причиной блокировки стало непредоставление ведомству контактных сведений. После того как компания-владелец программы согласилась с требованием властей, сервис снова стал доступен для пользователей.

З.Ы. Хотят иметь доступ к переписке пользователей??? Это значит что все другие мессаги уже под контролем???
 
Dr_slam

Dr_slam

Участник
Пользователь
Регистрация
21 Ноя 2012
Сообщения
128
Это и так понятно, нужно сделать подробную инструкцию в разделе IT типа : "Что делать после вступления закона в силу".
 
Dr_slam

Dr_slam

Участник
Пользователь
Регистрация
21 Ноя 2012
Сообщения
128
Сам спросил, сам отвечаю, вот статья о альтернативных способах:

Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу
Сетевые технологии
Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI
Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

Выявляем и блокируем пакеты пассивного DPI
Поддельные пакеты, формируемые DPI, легко обнаружить анализатором трафика, например, Wireshark.
Пробуем зайти на заблокированный сайт:
140ae84e2bc2c6965f2e896ef2cc5bb6.jpg
Мы видим, что сначала приходит пакет от DPI, с HTTP-перенаправлением кодом 302, а затем настоящий ответ от сайта. Ответ от сайта расценивается как ретрансмиссия и отбрасывается операционной системой. Браузер переходит по ссылке, указанной в ответе DPI, и мы видим страницу блокировки.

Рассмотрим пакет от DPI подробнее:
a59be35dbd7c16dd386db5079d6beaea.png

HTTP/1.1 302 Found
Connection: close
Location:

Please Login or Register to view hidden text.



В ответе DPI не устанавливается флаг «Don't Fragment», и в поле Identification указано 1. Серверы в интернете обычно устанавливают бит «Don't Fragment», и пакеты без этого бита встречаются нечасто. Мы можем использовать это в качестве отличительной особенности пакетов от DPI, вместе с тем фактом, что такие пакеты всегда содержат HTTP-перенаправление кодом 302, и написать правило iptables, блокирующее их:
# iptables -A FORWARD -p tcp --sport 80 -m u32 --u32 "0x4=0x10000 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP

Что это такое? Модуль u32 iptables позволяет выполнять битовые операции и операции сравнения над 4-байтовыми данными в пакете. По смещению 0x4 хранится 2-байтное поле Indentification, сразу за ним идут 1-байтные поля Flags и Fragment Offset.
Начиная со смещения 0x60 расположен домен перенаправления (HTTP-заголовок Location).
Если Identification = 1, Flags = 0, Fragment Offset = 0, 0x60 = «warn», 0x64 = «ing.», 0x68 = «rt.ru», то отбрасываем пакет, и получаем настоящий ответ от сайта.

В случае с HTTPS-сайтами, DPI присылает TCP Reset-пакет, тоже с Identification = 1 и Flags = 0.

Активный DPI
Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.

Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.

Изучаем стандарт HTTP
Типичные HTTP-запросы в упрощенном виде выглядят следующим образом:
GET / HTTP/1.1
Host: habrahabr.ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

Запрос начинается с HTTP-метода, затем следует один пробел, после него указывается путь, затем еще один пробел, и заканчивается строка протоколом и переносом строки CRLF.
Заголовки начинаются с большой буквы, после двоеточия ставится символ пробела.

Давайте заглянем в последнюю версию стандарта HTTP/1.1 от 2014 года. Согласно RFC 7230, HTTP-заголовки не зависят от регистра символов, а после двоеточия может стоять произвольное количество пробелов (или не быть их вовсе).
Each header field consists of a case-insensitive field name followed
by a colon (":"), optional leading whitespace, the field value, and
optional trailing whitespace.

header-field = field-name ":" OWS field-value OWS

field-name = token
field-value = *( field-content / obs-fold )
field-content = field-vchar [ 1*( SP / HTAB ) field-vchar ]
field-vchar = VCHAR / obs-text

obs-fold = CRLF 1*( SP / HTAB )
; obsolete line folding

OWS — опциональный один или несколько символов пробела или табуляции, SP — одинарный символ пробела, HTAB — табуляция, CRLF — перенос строки и возврат каретки (\r\n).

Это значит, что запрос ниже полностью соответствует стандарту, его должны принять многие веб-серверы, придерживающиеся стандарта:
GET / HTTP/1.1
hoSt:habrahabr.ru
user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding: gzip, deflate, br
coNNecTion: keep-alive ← здесь символ табуляции между двоеточием и значением

На деле же, многие веб-серверы не любят символ табуляции в качестве разделителя, хотя подавляющее большинство серверов нормально обрабатывает и отсутствие пробелов между двоеточием в заголовках, и множество пробелов.

Старый стандарт, RFC 2616, рекомендует снисходительно парсить запросы и ответы сломанных веб-северов и клиентов, и корректно обрабатывать произвольное количество пробелов в самой первой строке HTTP-запросов и ответов в тех местах, где требуется только один:
Clients SHOULD be tolerant in parsing the Status-Line and servers tolerant when parsing the Request-Line. In particular, they SHOULD accept any amount of SP or HT characters between fields, even though only a single SP is required.
Этой рекомендации придерживаются далеко не все веб-серверы. Из-за двух пробелов между методом и путем ломаются некоторые сайты.

Спускаемся на уровень TCP
Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

Пакет 1:
GE
Пакет 2:
T / HTTP/1.1
Host: habrahabr.ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding: gzip, deflate, br
Connection: keep-alive


Используем особенности HTTP и TCP для обхода активного DPI
Многие решения DPI ожидают заголовки только в стандартном виде.
Для блокировки сайтов по домену или URI, они ищут строку "Host: " в теле запроса. Стоит заменить заголовок «Host» на «hoSt» или убрать пробел после двоеточия, и перед вами открывается запрошенный сайт.
Не все DPI можно обмануть таким простым трюком. DPI некоторых провайдеров корректно анализируют HTTP-заголовки в соответствии со стандартом, но не умеют собирать TCP-поток из нескольких пакетов. Для таких DPI подойдет «фрагментирование» пакета, путем искусственного уменьшения TCP Window Size.

В настоящий момент, в РФ DPI устанавливают и у конечных провайдеров, и на каналах транзитного трафика. Бывают случаи, когда одним способом можно обойти DPI вашего провайдера, но вы видите заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные способы.

Программа для обхода DPI
Я написал программу для обхода DPI под Windows: GoodbyeDPI.
Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.

По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы. Запустите программу следующим образом:
goodbyedpi.exe -1 -a
Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a

Эффективное проксирование для обхода блокировок по IP
В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.
11395cb0b075eea1b22804a9b669e8c6.png
Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.
Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.

Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.

Заключение и TL;DR
GoodbyeDPI — программа под Windows, позволяющая обходить пассивные и активные DPI. Просто скачайте и запустите ее, и заблокированные сайты станут снова доступны.
Для Linux есть аналогичная программа — zapret.

Используйте кроссплатформенную программу ReQrypt, если ваш провайдер блокирует сайты по IP-адресу.

Определить тип блокировки сайтов можно программой Blockcheck. Если в тестах DPI вы видите, что сайты открываются, или видите строку «обнаружен пассивный DPI», то GoodbyeDPI вам поможет. Если нет, используйте ReQrypt.

Дополнительная полезная информация есть здесь

Please Login or Register to view hidden text.

и здесь.

Please Login or Register to view hidden text.




Please Login or Register to view hidden text.

 
Ваш адрес электронной почты не будет общедоступным. Мы будем использовать его только для связи с вами, чтобы подтвердить ваше сообщение.

Сверху Снизу