Как Роскомнадзор блокирует сайты

Вчера Роскомнадзор начал блокировать Telegram в России. Как мы видим, пока это плодов не дало, но на то могут быть свои причины.
И кроются они именно в технологии блокировки запрещённых сайтов и других ресурсов.
Как работает блокировка с точки зрения закона


В начале 2018 года утвержден «порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений о запрещённых интернет-ресурсах».
Принят этот приказ в рамках положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Он определяет обязанности ***-сервисов и провайдеров по блокировке запрещённой информации.
Исходя из закона, ведомство определяет:

При этом передаётся информация о ПО, используемом для установления фактов, а также сведения, подтверждающие, что конкретная страница находилась в информационной системе Роскомнадзора более 24 часов.
Оператор может с этим несогласиться и вступить в прении с Роскомнадзором. Если все нормально, то провайдер запускает блокировку доступа к запрещённым ресурсам.
Как же блокируют доступ к таким сайтам?

Для четкого взаимодействия ведомства с операторами была создана «Информационная система взаимодействия Роскомнадзора с операторами связи». Она содержит в себе:
1.Тип реестра, по которому происходит ограничение.
2. Момент времени, когда возникает потребность в ограничении доступа.
3. Тип срочности реагирования (обычная срочность – сутки, высокая срочность –немедленно).
4. Тип блокировки реестровой записи (по URL).
5. Хэш-код реестровой записи.
6. Реквизиты решения о необходимости ограничения доступа.
В некоторых случаях также добавляются доменные имена, IP-адреса и подсети запрещённых ресурсов, найденные Роскомнадзором.

С 18 апреля 2017 года операторы используют АС «Ревизор» для проверки доступности каждого URL. Это необходимо для избежания штрафов со стороны Роскомнадзора.
Агент (оператор) должен с помощью этой системы:

• Определить IP-адреса запрещённого домена (или использовать их из выгрузки Роскомнадзора)
• Произвести HTTP-запрос проверяемого URL (или адреса, на который перенаправляет сайт)
• Если адрес оказывается недоступен, то сделать вывод о блокировке определённого IP-адреса целиком
• При проведении проверки URL осуществить проверку установки шифрованного соединения и промаркировать ресурс

Операторы дважды в сутки синхронизируют свои списки со списками Роскомнадзора. Разумеется, это происходит в автоматическом режиме сразу же после утверждения перечня ведомством.
Как фильтруется трафик пользователя


Для этого может использоваться сразу несколько решений, но самое основное (и дорогое) — Deep Packet Inspection (DPI).
Оно дает возможность полностью отслеживать и блокировать исходящий трафик на запрещенные ресурсы. Но есть одна проблема: многие сайты сейчас используют SSL-протокол, по которому передаётся зашифрованный трафик. И для получения информации о ресурсе придётся разблокировать этот трафик.
Вот тут и начинаются проблемы. Расшифровать подобный трафик очень сложно и иногда даже невозможно. Особенно при использовании ***. Пока решения этой проблемы попросту нет.
Сам же Роскомнадзор с прошлого года использует сразу несколько программно-аппаратных решений для фильтрации трафика: «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».
Все они позволяют сократить ошибочные блокировки до 0,02%. В ведомстве говорят, что такие ошибки исправляются в автоматическом режиме.
Хотя, кажется, они работают уже плохо. Достаточно вспомнить вчерашнюю ситуацию с блокировкой 600 тыс. IP-адресов Amazon.
Отметим ещё один последний факт, озвученный Роскомнадзором:
Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора.
В таких случаях Роскомнадзор полностью снимает с себя ответственность и возлагает ее на плечи оператора. Чаще всего, такие вопросы решаются уже на другом уровне: попросить владельца запрещённого ресурса удалить противоречивую информацию.
Тогда почему Telegram ещё не заблокирован?

Что касается Telegram, то здесь ситуация остаётся неоднозначной.
IT-специалисты сходятся во мнении, что мессенджер использует временные IP-адреса для рассылки пуш-уведомлений и передачи трафика. То есть у Роскомнадзора пока нет фактических адресов для полной блокировки Telegram в России.

Когда решится вопрос — неизвестно.