Блокування IP-адрес CloudFlare в Білайн. 149-ФЗ

Не так давно помітив що в Білайні заблоковані частина підмереж надаються CDN-сервісом CloudFlare. Причому блокування ведеться саме по IP, тобто ні по HTTP, ні по HTTPS частину ресурсів, які у своїй роботі використовують CloudFlare. Під катом, якщо комусь цікаво приклади і деякий аналіз ситуації.

Почалося все з того, що одним прекрасним ранком я не зміг зайти на форум forum.gsmhosting.com, не те щоб цей ресурс був особливо корисним для мене, але іноді читаю там якісь новини і переглядаю девелоперські розділи, тому факт того що ресурс не відкривається для мене став невеликим сюрпризом. Можливо тимчасові технічні проблеми, подумав я, але перевіривши доступність ресурсу ввечері — побачив що нічого не змінилося. Тоді я вирішив спробувати розібратися в чому ж справа. У місці підключення заведено дві провайдера Білайн (L2TP) і Ростелеком (PPPoE), все це «зведено» через Mikrotik, тобто використовується балансування навантаження, поперемінний вибір маршруту і т. п. подібні корисні речі, однак, HTTP і HTTPS відкриваються саме через Білайн. Подивившись nslookup'ом A-записи для forum.gsmhosting.com я отримав наступне:

Addresses: 104.27.158.203
104.27.159.203

Як видно обидва даних адреси належать CloudFlare, налаштувавши маршрутизацію цих IP через Ростелеком — я виявив що ресурс цілком працездатний. Що ж сталося?

На сторінці http://moskva.beeline.ru/customers/help/safe-beeline/ugrozy-v-internete/zablokirovannye-resursy/ у Білайну можна отримати інформацію про те, що обидва цих IP адреси дійсно потрапляють в список заблокованих ресурсів:



При цьому спроба знайти саму постанову ФНС 2-6-27/ 2016-06-29-51-АІ успіхом не увінчалася. Також, IP-адресу, доменне ім'я форуму були перевірені на предмет присутності в списку заблокованих ресурсів тут:

Однак і там і там на момент перевірки значилося що дані IP-адресу або доменне ім'я не значаться в реєстрі.

Наступним кроком було звернення в техпідтримку Білайну з докладним описом ситуації, на що була отримана наступна відповідь:

Заблокована підмережа 104.27.159.203/32, яка мала відношення до ресурсу marathonbet.cc, доступ до якого був заблокований за рішенням ФНП.
Ip 104.27.159.203 на даний момент за ресурсом forum.gsmhosting.com
Звернень у Федеральний Центр Моніторингу від власників ресурсу не надходило.
Але факт в тому, що в іншого провайдера — Ростелеком, який також виконує вимоги 149-ФЗ forum.gsmhosting.com відкривався, а ось заблокований marathonbet.cc немає, про що і було повідомлено у листі представників провайдера:

Дана підмережа відноситься до пулу адрес https://www.cloudflare.com/, якщо ви розумієте, про що йде мова. Сайтів використовують CDN від CloudFlare не одна тисяча як ви розумієте, тому з-за блокування marathonbet.cc можуть постраждати цілком легітимні ресурси. Дану ситуацію можна порівняти з недавньої блокуванням сервісів Amazon S3. Що ж стосується звернення від власників ресурсу forum.gsmhosting.com та інших «постраждалих» Федеральний Центр Моніторингу, то тут якраз все зрозуміло, такого поводження і не буде, оскільки в Європі просто не в курсі про існування такого центру і блокуваннях чого-небудь у Росії.

Тим неменш у Ростелекома дана блокування реалізована коректно, при спробі відкрити marathonbet.cc користувач автоматом редіректітся на сторінку заглушку http://warning.rt.ru/?id=13&st=0&dt=104.27.159.203&rs=marathonbet.cc/ з допомогою 302 редіректу. Інші сайти розташовані на цьому IP по HTTP відкриваються цілком коректно.

В Білайні ж всі «цікавіше». При відкритті що marathonbet.cc, forum.gsmhosting.com заглушки http://blackhole.beeline.ru/ не виходить, з'єднання просто ріжеться на стороні Білайну. З усіх можливих рішень щодо реалізації блокування в даному випадку, на жаль, Білайн вибрав саме некоректне.

Сподіваюся мені вдалося привернути увагу до існуючої проблеми, хоча б на рівні «конкуренти виконують вимоги 149-ФЗ краще» і в майбутньому можна буде сподіватися на її дозвіл.

p.s. Вирішенням проблеми може бути блокування зазначених IP по HTTPS, при цьому при доступі по HTTP провайдера нічого не заважає аналізувати полі Host в заголовку протоколу HTTP. У Ростелекоме саме так і відбувається.
Однак у відповідь я отримав просту відписку:
Блокування такого роду ресурсів здійснюється саме за всієї підмережі 104.27.159.203/32.
Власникам ресурсів, що не мають відношення до ресурсу marathonbet.cc необхідно звернутися до ФНП, з проханням зняти блокування, або ж звернеться до хостинг провайдера, який надає їм адреси підмережі 104.27.159.203/32, з проханням видати дійсну адресу.
Коментарі про реалізацію аналогічної блокування у конкурентів, звісно, до уваги не взяли, і судячи по всьому відповідав звичайний співробітник ТП першого рівня, у яких на будь-який типовий запит є відповідні інструкції. Інших причин іменувати один єдиний IP адреса 104.27.159.203/32 цілої підмережею принаймні я не бачу ;)

Що ж ми маємо в підсумку? Безліч ресурсів так чи інакше користується CDN-сервісом від CloudFlare, реалізація блокувань у деяких провайдерів (той же Білайн) у цьому випадку реалізована по IP, тобто будь-HTTP і HTTPS звернення до заблокованих IP просто «ріжуться» firewall'ом на стороні провайдера, без якого-небудь додаткового інформування абонента. З іншого боку, деякі (Ростелеком) реалізують більш правильний підхід до реалізації таких блокувань, так, наприклад, у них блокування IP відбувається тільки при спробі звернення по HTTPS, при використанні HTTP інші ресурси не страждають, оскільки аналізується полі Host в заголовку запиту.

Наступні перевірки на тему «як йдуть справи в Білайні» показали що зі сторони провайдера заблоковані і деякі інші ресурси, A-записи яких належать пулу Cloudflare, причому повністю за IP.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.