Регистрация
вчера в 22:22

Суверенный DNS уже здесь, а вы и не заметили

    Около 4 лет назад я сделал небольшую статью на тему невозможного в то время суверенного интернета. С того времени многое изменилось, появились законы и даже реализации этих законов, что ожидаемо вызвало много публикаций на эту тему. Однако, для обычного пользователя все эти движения оставались незаметными. Лично у меня тоже не было возможности и необходимости уделять внимание этим вопросам.

    Совсем недавно, буквально "на днях", в новостях проскакивали сообщения о недоступности страницы публичного DNS от Cloudflare ( https://1.1.1.1 ) из сетей российских провайдеров, например, Ростелекома, что навело меня на мысль вернуться к изучению вопроса.

    Быстрый поиск по профильным ресурсам связистов показал, что уже много месяцев происходит процесс осувереннивания российского сегмента сети. Например, Роскомнадзор строит свой аналог базы RIPE для российских провайдеров и пользователей интернета. И, внезапно, национальную систему доменных имён. На форуме НАГ попадался даже документ с инструкциями по перенастройке провайдерских DNS на суверенный манер, со страшным названием "Инструкция по подключению операторов связи и владельцев АС к Национальной системе доменных имен (НСДИ).

    Беглое изучение этого документа приводит к следующим выводам: НСДИ уже активно применяется. В документе приводятся несколько вариантов использования НСДИ, в том числе с возможной подменой корневых DNS (см. статью в wikipedia). С большой вероятностью настройки DNS, которые выдает провайдер вашему устройству, уже используют НСДИ. Другой вывод: в настоящее время функционирование НСДИ обеспечивается мощностями MSK-IX , что следует из принадлежности IP адресов в "Инструкции".

    На момент написания статьи сервера НСДИ отдают ту же информацию, что есть в файле root.hints в современных ОС (оригинал файла находится по адресу https://www.internic.net/domain/named.root ). У меня не сложилось однозначного понимания, как НСДИ поможет осуверенниванию и какие плюсы и минусы этого решения. Прошу прокомментировать тех, кто разобрался в вопросе глубже.

    Теги:
    Хабы:
    Реклама
    Ой, у вас баннер убежал!

    Ну. И что?

    Похожие публикации

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 3 620 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 24

      +7
      Я не пойму — в чем новость?
      То, что DNS перехватывают через DPI — так это и до сувенирных днсов делали, просто ради того, чтобы слить инфу о Вашем трафике каким-нибудь «партнёрам».
      С появлением реестра запрещенных сайтов процентов 70 операторов связи делают это не только на «своих» днс, но и вообще на всех подряд.
      Решений у этой проблемы, традиционно, два. Во-первых — можно переместить точку выхода DNS-трафика из своей сети куда-нибудь в более благополучное место. Копеечная виртуалка на OVH решает эту проблему на 5 баллов из 5 возможных. Ну а во-вторых можно переместить куда-нибудь в более благополучное место себя — что решит большинство проблем с DNS-трафиком и не только.
        +6

        А куда перемещать-то себя? Вот переместил я себя в Германию, а тут вполне официально собираются позволить спецслужбам незаметно устанавливать троянов подозрительным пользователям, а недавно власти признались, что они могут следить за одной из партий, что как бы незаконно, но ведь партия плохая, поэтому как бы можно. И это не Россия, это Германия.

          –1
          что как бы незаконно
          Почему вдруг незаконно? Стандартная процедура на основании BVerfSchG, применяется регулярно к разным организациям типа NPD, Scientology или теперь вот AfD. По результатам будет отчет парламенту с рекомендациями дальнейших действий.
            +2

            Да, действительно, это так же законно, как и сбор информации по закону Яровой, который, кстати, тоже антитеррористический. Извините, тут я просто неправильно выразился.
            Я, к примеру, после приезда в Германию, перестал думать, что в России всё хуже, чем везде. В чем-то в России хуже, в чем-то лучше.

              +1

              Добро пожаловать в реальность. Редко кто осмеливается об этом высказаться.

            +1

            Имхо Германия это худший пример в плане свободы интернета в Европе. Да и вообще любят там ограничения на информацию в стиле РФ. Чего стоит запрет свастики в играх. Разница лишь в более адекватной судебной системе, что всё происходит по закону, а не путем притягивания за уши. За свободным интернетом лучше в какую-то другую страну. Их в Евросоюзе много.

          +3
          То самое чувство, что уже пора перенастраивать bird2 на виртуалке в Hetzner и на домашнем сервере-роутере на отдачу не отРКНенных по самые уши 18k сетей, а на 0/0 и плевать на +40 мс к пингу. Понятно что это всё равно, что занимать очередь в пятницу по мотивам известного анекдота, но всё же.
            +1
            Я жил в таком режиме с полгода — и на удивление не так страшно всё это.
            Единственный момент — гугловая капча злая, и Avito не пускает на себя.
            Но в целом и в общем это были мелочи.

            Ну и очередь на то, чтобы не вставать в очередь тоже немаленькая.
              +1

              Гугл отлично работает через IPv6 от HE (главное выбрать сервер в Берлине, у второго в Германии иногда бывают проблемы). Яндекс — да, начинает просить капчу, но его приложения на телефоне при этом работают норм. Хотя поиском от Яндекса лично я не пользуюсь, поскольку запомнилось со времен года 2015, что по любому, даже сугубо техническому запросу вылезала порнуха со второй-третьей страницы. VPN не любят ситилинк, циан и онлайн-трейд, это да. Но, к счастью, если сервис не умеет отличать живого пользователя от бота и занимается такими же ковровыми бомбардировками подсетей, как и гоминиды из РКН — ему всегда можно найти замену.

                0
                Если вместо VPN использовать Shadowsocks или проксю в докере, подключенном в VPN, то можно в браузере с помощью дополнений ввести правила, на какие сайты ходить через канал, а на какие — прямо. В паре с DNSSEC решает вопрос.
                  0

                  Интересно, спасибо, почитаю. Но VPN всё же роднее и привычнее. Пусть гражданка Яровая, которая недавно вызывала в свое логово бродячего шапито представителей сети Интернет, берет кодовую книгу и расшифровывает aes256gcm, бегающий внутри IPSec с аутентицифирующимися при помощи сертификатов пирами. Флаг в руки и барабан на шею.

                    0
                    Вот статья, вроде не очень устарела.
                      0

                      Спасибо большое!

            +1

            del

              –15
              Нет впечатления, что статья написана тех.диром фбк?
              просто шутка, ничего личного, никого не пытался обидеть или задеть. просто подача фбкшная. нагнетание на пустом месте
                0

                Где вы увидели нагнетание и фбк 8(

                +4

                1.1.1.1 имеет зеркало внутри России:


                traceroute 1.1.1.1
                traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 38 byte packets
                1 91.77.64.1 (91.77.64.1) 2.814 ms 1.706 ms 1.504 ms
                2 212.188.1.106 (212.188.1.106) 3.773 ms 3.843 ms 3.527 ms
                3 212.188.1.105 (212.188.1.105) 3.717 ms 4.490 ms 3.913 ms
                4 212.188.33.197 (212.188.33.197) 4.543 ms 3.819 ms 3.177 ms
                5 1.1.1.1 (1.1.1.1) 3.087 ms 3.986 ms 4.071 ms


                Проблемы с доступом к нему не связаны с суверенизацией, скорее всего он anycast'ится неправильно у некоторых провайдеров.
                Адреса корневых серверов от НСДИ совпадают с теми, которые получаются от DNS-сервера провайдера, и с теми, которые указаны в файле named.root.
                Задумка была в том, что на корневых серверах, принадлежащих зарубежным компаниям, теоретически могут быть заменены записи зоны RU, тогда российские сайты стали бы недоступны. В таком случае сервера НСДИ могли бы выдавать альтернативные адреса корневых DNS серверов, находящихся в России, и указывающих на правильную зону RU, тогда российские сайты оставались бы доступны (хотя бы внутри России). Только подобные санкции не применялись ни к одной стране, и сложно назвать случай, в котором они могли бы быть введены. Мне кажется, что это скорее распил, чем полезное начинание. Можно добиться аналогичного эффекта anycast'ом всех адресов корневых DNS внутри страны (некоторые адреса и так anycast'ятся внутри страны, но не все).
                Для блокировок использовать суверенный DNS в принципе возможно (перенаправляя все запросы по 53 порту на суверенный DNS-сервер с блокировками), только обходится это достаточно просто (через DoH, какой-то ещё альтернативный протокол или на худой конец скачиванием hosts-файла с адресами блокируемых сайтов).


                Мне интересно, как они собираются решать проблемы с суверенизацией выдачи адресов. IP-адреса выдаются пока очень несуверенным образом, через голландскую компанию RIPE. Мне кажется, что для решения этой проблемы можно было бы форсировать переход на IPv6, получить достаточно большой блок (/20 или /24) — резерв на всю страну, и выдавать из него адреса провайдерам, если вдруг RIPE им откажет из-за санкций.

                  0

                  А ещё интереснее, как будут решать вопрос с HTTPS?

                    0

                    C HTTPS проще должно быть — сертификаты выдаются на заметный срок вперёд, если вдруг иностранные компании откажутся работать с отечественными компаниями, разом он не отвалится.
                    Тогда власти объявят, что если какой-то сайт по HTTPS не открывается, нужно скачать отечественный браузер с гостом и своим центром сертификации, и зайти через него. На браузеры с открытым кодом появятся патчи для поддержки российской криптографии.

                      0
                      в Казахстане пробовали год или два это добро сделать, но из-за pinned certs в мобильниках так не удалось внедрить это
                        +1

                        Там другая задача была — они хотели использовать свой ЦС для того, чтобы обойти защиту, а не для того, чтобы выдавать сертификаты в случае, если иностранные ЦС это не хотят делать. При использовании pinned certs ЦС определяется разработчиком приложения и может быть какой-то свой, при этом проблем в случае суверенизации не возникает (в отличие от MITM).

                  0
                  Подскажите кто знает, а какие-то проблемы для Tor'а этот суверенный dns может создать?
                    +2
                    Суверенный DNS уже здесь, а вы и не заметили

                    Мы не заметили, потому что когда-то давно настроили dnscrypt-proxy и забыли про все «осуверенивания» и прочие телодвижения кого бы то ни было.
                      +1

                      Суверенизация работает в двух направлениях:
                      1) независимость от иностранной инфраструктуры и возможности блокировок извне — это хорошо, так как способствует развитию IT-отрасли в стране;
                      2) возможность изоляции от мировой сети, возможность блокировок изнутри — это плохо, так как нарушает свободу обмена информацией и помогает правительству вести пропаганду и ограничивать свободу граждан.


                      Есть ли какие-то способы суверенизации, решающие только первую, хорошую задачу и не помогающие в решении второй, плохой?

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Что обсуждают

                      Самое читаемое

                      Ваш аккаунт

                      Разделы

                      Информация

                      Услуги

                      © 2006 – 2021 «Habr»
                      Настройка языка
                      О сайте
                      Служба поддержки
                      Мобильная версия