Технические рекомендации по фильтрации Интернета

Как я некоторое время назад писал, на сайте Роскомнадзора опубликованы технические рекомендации по методам осуществления блокировки доступа к ресурсам Интернета. Сегодня рекомендации обновили. Смотрим, какой метод описан в документе:

Рекомендовать использование следующей технологии для реализации блокирования:
[…]
b. Трансляция с помощью запросов в DNS доменного имени в IP-адрес

c. Создание и распространение по системе маршрутизации сети доступа провайдера специального маршрута для данного IP-адреса, направляющего трафик в специальный анализирующий сегмент

d. Проведение анализа проходящего через анализирующий сегмент сервер [трафика] (в исходном документе, видимо, опечатка – АВ), выявление запросов к URL, содержащихся в списке блокировки, уничтожение данных запросов или перенаправление их на специальный ресурс, уведомляющий о факте блокировки.

То есть, IP-адрес, соответствующий блокируемому домену, берётся из DNS, трафик, поступающий на этот адрес, отправляется в систему DPI, которая выбирает из пользовательского потока запросы на конкретные адреса, внесённые в список блокируемых. В случае с HTTP – это, например, GET. В целом, выглядит логично.

(Да, понятно, что есть куча специальных случаев, но это другая история.)

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 20th June 2013, 14:42 // Читатель jno написал:

    хм…

    маршрутизация работает на уровне пакетов (3-й уровень OSI/ISO, емнимс), а HTTP – прикладного (7-й уровень). если пакеты запросов будут сильно короткими, то текст URL’а расползётся на несколько пакетов. да, снифферы умеют собирать трафик протоколов “в кучку”, но для полноценного DPI это сильно повышает нагрузку.

    или это – “специальный случай”?

  • 2. 20th June 2013, 23:11 // Александр Венедюхин ответил:

    Нагрузку повышает, факт. Насколько я понимаю логику создателей данного документа, речь там как раз идёт о системе DPI, умеющей собирать пакеты. Собственно, как иначе можно вводить понятие URL-а в данном контексте?

  • 3. 21st June 2013, 17:09 // Читатель jno написал:

    ну, флаг TCP и порт назначения 80 в сочетании с популярными размерами MTU, вроде 1460 октетов – бОльшая часть HTTP-запросов вполне влезет в один пакет.
    во всяком случае, влезет часть с началом URL’а, содержащим имя узла.