?

Log in

No account? Create an account

Личный блог


Entries by category: it

Как работает механизм блокировок со стороны Роскомнадзора

Прошло чуть больше месяца с тех пор, как мы начали заниматься зеркалами блога Навального и борьбой с цензурой. Чего за это время только не было: нас и DDoSили, и писали жалобы на наши интернет-кошельки, и пытались подставить с придуманным компроматом, и пытались выставить вирусмейкерами, и банили зеркала большими пачками, а примерно полмесяца назад ещё и перестали удалять адреса зеркал из реестра, несмотря на то, что мы формально выполняем требования Роскомнадзора — убираем с попавших в реестр зеркал блог Навального. Не всей информацией, которую мы получаем в ходе нашей работы, мы можем сразу поделиться: всегда нужен кропотливый анализ, проверка и подтверждение фактами, сбор дополнительной информации, разведка. Но сегодня кое-что интересное мы вам поведаем.

Одной из наших задач было: выявить среди десятков тысяч посетителей зеркал того одного, который зашёл с целью выявить «противоправную информацию» и сообщить об этом в Роскомнадзор / добавить в «запретный реестр». Речь не просто о том, чтобы выявить тех, кто проверяет доступность информации и заблокировать их / показывать им котят. Речь, по сути, о сборе разведывательной информации: каким образом они проверяют сайты — руками или автоматизированным скриптом; «щёлкают» ли они при проверке остальные страницы сайта на всякий случай, анализируя информацию на них; как часто они заходят на проверяемый сайт, в какое время; насколько они специалисты в техническом плане, где их слабые места и т.д. Мы знаем всё о том, как реализуется блокировка сайтов из реестра со стороны провайдеров, знаем сильные и слабые стороны этих механизмов (благодаря чему нами и была продемонстрирована возможность атаки заблокированным ресурсом), но вот механизм работы с реестром со стороны Роскомнадзора для нас был тогда чёрным ящиком. Тогда мы придумали как промаркировать всех пользователей: сделать wildcard-поддомен (т.е. ссылка любой.поддомен.fuckrkn.me приводила на актуальное зеркало).

Read more...Collapse )

Операция «В жопу Роскомнадзор!»

Многие из вас знают, что решением Генпрокуратуры заблокирован для доступа из России ЖЖ navalny. Комментируя это решение, Следственный комитет и другие органы власти говорили, что «блог Навального нарушает условия его меры пресечения», хотя официально в постановлении Генпрокуратуры от 19.03.2014 № 27/3-286-2014/Нд6333-14 описана совершенно другая причина (без указания ссылки на конкретный пост или слова из ЖЖ): содержит призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка.

От Роскомнадзора или Генпрокуратуры невозможно добиться комментариев, в каком именно посте, словах из ЖЖ Навального содержатся такие призывы. Соответственно, мы имеем дело ни с чем иным, как с цензурой.

Также многие из вас знают, что мы сделали сервис navalny.us (ранее фигурировавший под адресами navalny.fuckrkn.me, fuckrkn.me), который всегда даст вам ссылку на актуальное, незаблокированное зеркало ЖЖ Навального. Нам стало поступать много вопросов, как сделать такое зеркало и мы решили опубликовать более или менее полную инструкцию. Сразу уточняем, что без знания самых основ администрирования сервера, у вас, скорее всего, не получится сделать рабочее зеркало.

Что нужно для создания зеркала? Нужен сервер за пределами РФ (подойдёт простейший сервер из США от DigitalOcean за 5 $ в месяц) с SSH-доступом, на котором будет стоять nginx в роли прокси. Нужен домен (второго, третьего, четвёртого или другого уровня — не важно, всё подойдёт). Использовать Apache не рекомендуем, задохнётся под нагрузкой. В настройки nginx вписываете следующее:

server {
        server_name ВАШ.АДРЕС.ЗЕРКАЛА; # например navalny.mydomain.com
 
        location / {
                proxy_pass http://navalny.livejournal.com;
                proxy_set_header        Origin           http://$proxy_host/;
                proxy_set_header        Referer          http://$proxy_host/;
 
                proxy_set_header Accept-Encoding "";

                add_header X-Robots-Tag    noindex;
 
                sub_filter navalny.livejournal.com $host;
                sub_filter_once off;
        }
}


Исходник настройки на Github — улучшайте и присылайте свои пулл-реквесты!

Только не забываем включить модуль ngx_http_sub_module. Неплохо будет также включить кэширование, чтобы облегчить нагрузку на сервер.

Следующим шагом идём на Cloudflare и регистрируем бесплатный тарифный план (для наших целей он вполне подойдёт). Зарегистрировавшись, мы получим адреса NS-серверов Cloudflare — идём в панель управления доменом у вашего регистратора доменов и указываем эти NS-сервера для своего домена, который будете использовать как зеркало. Дальше идём в панель управления Cloudflare и создаём там A-запись поддомена для зеркала, которой указываем реальный IP сервера, который вы арендовали у DigitalOcean. В настройках записи, в колонке "Active" не забываем включить облачко:



Ваше зеркало готово, можете смело присылать нам его адрес на mirror@fuckrkn.me, теперь вы часть коллективного Навального.

Особо приятный бонус под катом…Collapse )