Агрегация маршрутов для списков РКН и чем это грозит добропорядочным сервисам

Данная статья сугубо технического характера, затрагивающая один из аспектов блокировки ресурсов по спискам РКН и имеет актуальность для сервисов, ориентированных (в том числе) на жителей РФ.

Краткий обзор способов блокировки

Для блокировки по спискам РКН обычно используют следующие техники:

Блокировка путём анализа (копии) трафика и отправки фейкового tcp rst пакета, в результате чего происходит разрыв соединения. Весьма популярный способ среди операторов по разным причинам. Данная статья не применима к этому способу.

Блокировка путём удаления (drop) трафика (опционально с редиректом/syn rst/прочим) на оборудовании DPI (или прозрачном прокси), который установлен в разрыв, при этом через DPI проходит весь трафик (ну или только tcp+dns или только нужные порты tcp). Этот способ тоже применяется операторами. Данная статья не применима к этому способу.

Блокировка путём dns-спуфинга и "заруливанию" трафика на DPI/transparent proxy только для IP-адресов, которые есть в реестре (некоторые ещё добавляют путём резолвинга, но не суть). Этот способ тоже применяется операторами и именно про него речь и пойдёт в статье.

Читать дальше →

Источник: Хабрахабр