?

Log in

No account? Create an account

Previous Entry | Next Entry

Среди возможного множества решений для "детской" цензуры (родительского контроля) есть вариант со специальным DNS-резолвером. Находящиеся в чёрном списке URLы он разрешает в отдельный IP, на котором показывается заглушка. Или реклама. ;) Предполагается, что родители вручную задают адрес этого резолвера в сетевых настройках, а неразумное чадо не может его поменять без админских полномочий.

Более того, подобные сервисы уже работают кое-где. И демонстрируют вполне приемлемую надёжность. А по простоте включения такого типа фильтр вообще держит первое место.

Его можно устанавливать удалённо-принудительно, например, для школьной сети. Путём перемаршрутизации всех DNS-запросов на провайдерский сервер.

Один из держателей такого рода сервиса поделился с вашим покорным слугой инсайдерской информацией. После того, как на их услуги подписалось достаточно много клиентов, пришли товарищи из Откуда-Надо. И попросили имплементировать для них ма-а-аленькую фичу. Чтобы можно было удалённо внести в чёрный список до 99 новых доменных имён. Но чтоб резолвер отправлял их не на общую заглушку, а на указанный внешний IP-адрес.

Товарищи Откуда-Надо пояснили, что фича требуется исключительно для народного блага. В день В-Случае-Чего запросы с блогов и ресурсов подстрекателей и вражеских агентов перемаршрутизируются на сайты-двойники. Дальше – понятно.

Разумеется, контент будет подменён не для всего народа. Разумеется, обман через какое-то время вскроется. Очевидно, стоит задача "нам бы только ночь простоять, да день продержаться". Массовая контрпропаганда на 12 кризисных часов может решить исход всей борьбы.

В связи с изложенным к уважаемым читателям есть просьба. У кого из вас имеется доступ к статистике трафика достаточно жирного и достаточно репрезентативного магистрального канала? Надо померить на нём долю DNS-запросов к гугловским публичным резолверам. А именно. Число UDP-пакетов с src_port=53 и (src_ip=8.8.8.8 OR src_ip=8.8.4.4) по отношению ко всем UDP-пакетам с src_port=53. Хорошо бы также узнать, как этот показатель изменился за последние полгода-год.

Comments

( 33 comments — Leave a comment )
alexkuklin
Dec. 8th, 2011 11:34 am (UTC)
хехе

некоторое время назад народ активно предлагал переходить на standalone блоги, которые, очевидно, зависят от работы dns.

то, что dns, по факту, легко подделываются (dnssec практически не работает) - никого, почему-то, не смущает
kaa
Dec. 8th, 2011 11:57 am (UTC)
как это не работает?
(no subject) - alexkuklin - Dec. 8th, 2011 12:00 pm (UTC) - Expand
(no subject) - kaa - Dec. 8th, 2011 12:06 pm (UTC) - Expand
(no subject) - alexkuklin - Dec. 8th, 2011 12:09 pm (UTC) - Expand
(no subject) - kaa - Dec. 8th, 2011 12:17 pm (UTC) - Expand
(no subject) - alexkuklin - Dec. 8th, 2011 12:20 pm (UTC) - Expand
(no subject) - kaa - Dec. 8th, 2011 12:23 pm (UTC) - Expand
(no subject) - alexkuklin - Dec. 8th, 2011 12:25 pm (UTC) - Expand
(no subject) - kaa - Dec. 8th, 2011 12:29 pm (UTC) - Expand
(no subject) - alexkuklin - Dec. 8th, 2011 12:31 pm (UTC) - Expand
(no subject) - kaa - Dec. 8th, 2011 12:56 pm (UTC) - Expand
(no subject) - alexkuklin - Dec. 8th, 2011 03:57 pm (UTC) - Expand
(no subject) - perepertoz - Dec. 10th, 2011 03:24 am (UTC) - Expand
(no subject) - ignik - Dec. 8th, 2011 01:58 pm (UTC) - Expand
mastodont
Dec. 8th, 2011 11:50 am (UTC)
Кажется на баше было:
Ребенок включил на зомбоящике родительский контроль. Оставил только детские каналы. Пароль не говорит.
3jia5l_ca6aka
Dec. 8th, 2011 02:02 pm (UTC)
:)))
ilo2
Dec. 8th, 2011 12:27 pm (UTC)
По магистральному нет, а по городской сети с тысячами абонентов - пожалуйста

общее количество udp dport 53 запросов за час - 431146
к нашим серверам DNS - 190885, 44%
к 8.8.8.8 | 8.8.4.4 - 2531, 0.5%
к 78.46.48.37 - 1667, 0.38%

остальное еще к 80000 адресам, в основном единичные запросы, по тысяче адресов - по нескольку десятков запросов.
(Anonymous)
Dec. 8th, 2011 04:06 pm (UTC)
А количество ответов соответствует количеству запросов?
(no subject) - ilo2 - Dec. 8th, 2011 04:21 pm (UTC) - Expand
(no subject) - ilo2 - Dec. 8th, 2011 04:24 pm (UTC) - Expand
infowatch
Dec. 9th, 2011 02:35 am (UTC)
Спасибо большое за статистику.
karpion
Dec. 8th, 2011 02:15 pm (UTC)
А кто мешает провайдерам по приказу поднять на своих DNS-серверах адреса 8.8.8.8 и иже с ним, а затем настроить роутинг так, чтобы эти запросы шли к редиректору?

Кстати, таким же образом можно перехватить и IP-адреса нужных сайтов, направив запросы на сайты-двойники. Вроде, браузеры ещё не научились "знакомиться" с сайтами, как это делает SSh при первом коннекте к хосту.
vlad_suh
Dec. 8th, 2011 05:22 pm (UTC)
Надо запомнить, что в случае кризиса в интернет ходить через прокси.
infowatch
Dec. 9th, 2011 02:37 am (UTC)
А если это окажется прокси вероятного противника?
(no subject) - vlad_suh - Dec. 10th, 2011 11:33 am (UTC) - Expand
(no subject) - infowatch - Dec. 10th, 2011 11:48 am (UTC) - Expand
malaya_zemlya
Dec. 8th, 2011 08:46 pm (UTC)
OpenDNS еще есть
208.67.222.222 (resolver1.opendns.com)
208.67.220.220 (resolver2.opendns.com)
208.67.222.220
208.67.220.222

IPv6 addresses
2620:0:ccc::2
2620:0:ccd::2

про траф на гугло-днс попробую спросить (хотя на ответ, который можно публично постить мало рассчитываю)
(Anonymous)
Dec. 8th, 2011 09:22 pm (UTC)
В египте вообще интернет отключали, а в сирии сейчас обладание айфоном уголовно наказуемо.
Продержаться можно немного, конечно. Можно и 8.8.8.8 8.8.4.4 локально проанонсировать из нужного места при наличии поддержки (невмешательства) со стороны операторов связи.
maxcom
Dec. 9th, 2011 01:17 am (UTC)
https всех спасет
kosenko_danila
Dec. 9th, 2011 05:42 am (UTC)
Решил не дожидаться отдельного поста.
С днюхой! Чтобы все! И всегда! :)
infowatch
Dec. 9th, 2011 06:50 am (UTC)
Спасибо.
9 декабря 2003 - день регистрации компании "Инфовотч".
(no subject) - kosenko_danila - Dec. 9th, 2011 07:31 am (UTC) - Expand
( 33 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow