Роскомнадзор вроде бы «полностью» заблокировал ютьюб, вотсап и еще десятки ресурсов. Эти ограничения что, вообще никак не обойти? Скорее всего, вы их даже не заметили! Особенно если не забыли установить VPN
Что случилось?
10 февраля телеграм-канал «Эксплойт» со ссылкой на источники сообщил, что домен youtube.com «полностью пропал из DNS-серверов Роскомнадзора». Эксперты вскоре уточнили, что речь идет о серверах Национальной системы доменных имен (НСДИ). На следующий день проект «На связи» провел небольшой эксперимент и обнаружил исчезновение еще 13 доменов, большинство из которых (включая домены вотсапа и инстаграма) ранее уже были официально заблокированы в России.
Дорогие читатели! Российские власти, похоже, решили окончательно сломать телеграм. Что делать? Срочно скачайте приложение «Медузы». Оно умеет обходить блокировки — VPN не нужен!
В итоге эксперты назвали действия Роскомнадзора новым типом блокировок. Правда, они толком не работают.
Погодите, ничего не понятно. Как эти блокировки вообще устроены?
По сути очень просто: удаление записи конкретного доменного имени приводит к тому, что браузер пользователя не может открыть страницу этого сайта, потому что не знает его IP-адрес.
А чтобы продолжить объяснение, нам понадобится термин «рекурсивный DNS-сервер».
И что это такое?
Так называют DNS-сервер, который обрабатывает пользовательские запросы. Чтобы найти IP-адрес искомого домена, он может рекурсивно обращаться к авторитетным DNS-серверам, пока не найдет окончательный ответ.
Авторитетный DNS-сервер хранит актуальные DNS-записи для определенной зоны и отвечает на запросы о ней. Такие серверы выстроены в строгую иерархию из корневых серверов, серверов верхних доменных зон (вроде .ru или .io) и серверов конкретных доменов.
Например, рекурсивный DNS-сервер спрашивают о домене www.example.com, а он ничего о нем не знает (не находит никакой информации в своем кеше). Тогда он сначала обращается к корневым серверам, чтобы получить информацию о зоне .com. Потом — к серверу .com, чтобы узнать об example.com. И лишь после этого идет к авторитетному DNS-серверу домена example.com, чтобы получить IP-адрес домена третьего уровня www.example.com.
Рекурсивный DNS-сервер можно сравнить с телефонным справочником. В таком справочнике по имени человека или названию организации ищут номер. А в запросах к DNS-серверу указывают искомое доменное имя — и получают в ответ один или несколько соответствующих IP-адресов.
Так, и при чем тут рекурсивный DNS-сервер?
При том, что информация о youtube.com и других доменах пропала именно из рекурсивного DNS-сервера НСДИ. То есть Роскомнадзор попросту стер десятки конкретных «номеров» из собственного «телефонного справочника».
Это, наверное, самый примитивный тип блокировок. Так, к примеру, устроены многие системы «семейных» фильтров интернета, когда родители вручную прописывают специальные DNS-серверы на устройствах детей, чтобы заблокировать им взрослый контент.
И почему вы утверждаете, что они толком не работают?
По нескольким причинам.
- Во-первых, чтобы этот фильтр Роскомнадзора заработал, сейчас нужно самостоятельно перейти на сервера НСДИ. Пользовательское устройство, как правило, по умолчанию использует DNS-сервер, предоставленный интернет-провайдером. Это происходит автоматически. Мы вручную проверили российские рекурсивные DNS-серверы «Ростелекома», грозненского «Вайнах Телекома» и «Яндекса». Все они прилежно выдавали IP-адреса доменов, заблокированных на серверах НСДИ.
- Во-вторых, такую блокировку можно легко обойти сменой DNS-сервера. Например, на публичные от Google (8.8.8.8), Cloudflare (1.1.1.1), Quad9 (9.9.9.9) или OpenDNS (208.67.222.222). Причем многие веб-браузеры позволяют использовать их, не меняя настроек всей операционной системы. А в случае блокировки публичных серверов можно запустить собственный локальный рекурсивный DNS-сервер на своем компьютере.
- В-третьих, такое решение попросту избыточно. Все проблемные для российских властей домены либо уже блокируются другими способами, либо замедляются до степени смешения с блокировкой.
А почему это российские провайдеры не используют серверы НСДИ?
Мы не знаем. Может быть, используют, но когда не находят там информацию об искомом домене, ищут уже за пределами НСДИ. Либо какие-то из провадейров все же учитывают ограничения DNS-серверов, просто мы их не обнаружили.
Вообще Национальная система доменных имен, впервые упомянутая в законе о «суверенном интернете» в 2019 году, изначально позиционировалась как резервная. На случай внезапного удаления корневыми серверами информации о российских доменных зонах .ru, .su и .рф. Тогда для восстановления доступа к сайтам в этих зонах достаточно было бы переключиться на DNS-серверы НСДИ.
Кстати, нынешние блокировки Роскомнадзора вы можете потестировать сами.
А как это сделать?
Нужно настроить свою операционную систему на использование одного из этих DNS-серверов:
- 195.208.4.1 (a.res-nsdi.ru)
- 195.208.5.1 (b.res-nsdi.ru)
Пошаговые инструкции для десктопных и мобильных операционных систем, а также роутеров можно найти в инструкции «Яндекса». Только замените там IP-адреса.
И да, при включенном VPN этого может быть недостаточно.
Почему?
Потому что надежные VPN-сервисы используют собственные DNS-серверы, чтобы не допустить утечки информации о сайтах, которые собирается посетить пользователь.
Но часто они разрешают клиентам прописывать в настройках другие DNS-серверы. То есть при желании можно даже при включенном VPN испытать на себе блокировки, предусмотренные в НСДИ, — и остаться без ютьюба, фейсбука и инстаграма.
В заключение еще раз повторим нашу главную рекомендацию: пожалуйста, обзаведитесь надежным VPN на всех своих устройствах — это пока не нарушает никаких российских законов и должно позволить вам сохранить доступ к телеграму, вотсапу и ютьюбу.
Денис Дмитриев
Комментариев нет:
Отправить комментарий