Про DPI, который "страшный" и заблокирует Телегу спрашивают ЛС. Хочу ответить сразу всем, чтоб тридцать раз не вставать.
1. То, что RDP.ru попал в шорт-лист у Ростелека — вообще не удивительно. Там достаточно просто глянуть структуру владельцев и обнаружить в "инвесторах" такого персонажа, как Антошу Сушкевича. Если кто не знает, это такой поц, который маму продаст, как продал, в свое время, компанию Энвижн. У Антоши есть талант — продавать говно в Ростелеком. Вот он и продал. Ростелек, кстати, тоже акционер в РДП. Ну, кто бы сомневался?
2. В сотый раз говорю — DPI не является какой-то волшебной таблеткой, которая может всё. Есть миллион вещей, которое DPI не может. Например, варить кофе. И фильтровать любой трафик, выявляя попакетно тележку от НЕ тележки, DPI тоже НЕ может.
3. Главное, что может любой супир-пупир-DPI — это воровать бабло у акционеров. Особенно, когда "приказали сверху".
4. Банальная арифметика показывает нам накладные расходы маршрутизатора на пересылку одного пакета:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) отправить пакет
ИТОГО: 5 операций
А что делает DPI:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) посмотреть "содержимое пакета" — порт, заголовки, сигнатуру и еще что-то
д) сравнить его с таблицей сигнатур (сто-пиццот разных метрик)
е) принять решение
ж) отправить или дропнуть пакет
ИТОГО: 7 операций, из которых минимум две — это "регулярное выражение", сложность вычислений которых растет квадратично с количеством сравнительных характеристик.
В итоге, использование DPI повышает нагрузку на бордер-роутеры В НЕСКОЛЬКО ТЫСЯЧ РАЗ. Три порядка. И все это приведет только к одному — интернет станет медленне, пинги длиннее, потерь пакетов больше, джиттер увеличится.
Все это уже пройденный этап — "великий китайский фаерволл" именно так и тормозит. И ничего не блокирует. Но всем плевать на китайцев, потому что GCFW стоит на границе страны. Он влияет только на сервисы, которые за пределами страны. Внутри — все бегает.
Проблема российской архитектуры "каждому провайдеру свой DPI" в том, что тормозиться будет вообще все. Каждый пакетик будет обрабатываться на уровне ядра сети у каждого оператора.
1. То, что RDP.ru попал в шорт-лист у Ростелека — вообще не удивительно. Там достаточно просто глянуть структуру владельцев и обнаружить в "инвесторах" такого персонажа, как Антошу Сушкевича. Если кто не знает, это такой поц, который маму продаст, как продал, в свое время, компанию Энвижн. У Антоши есть талант — продавать говно в Ростелеком. Вот он и продал. Ростелек, кстати, тоже акционер в РДП. Ну, кто бы сомневался?
2. В сотый раз говорю — DPI не является какой-то волшебной таблеткой, которая может всё. Есть миллион вещей, которое DPI не может. Например, варить кофе. И фильтровать любой трафик, выявляя попакетно тележку от НЕ тележки, DPI тоже НЕ может.
3. Главное, что может любой супир-пупир-DPI — это воровать бабло у акционеров. Особенно, когда "приказали сверху".
4. Банальная арифметика показывает нам накладные расходы маршрутизатора на пересылку одного пакета:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) отправить пакет
ИТОГО: 5 операций
А что делает DPI:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) посмотреть "содержимое пакета" — порт, заголовки, сигнатуру и еще что-то
д) сравнить его с таблицей сигнатур (сто-пиццот разных метрик)
е) принять решение
ж) отправить или дропнуть пакет
ИТОГО: 7 операций, из которых минимум две — это "регулярное выражение", сложность вычислений которых растет квадратично с количеством сравнительных характеристик.
В итоге, использование DPI повышает нагрузку на бордер-роутеры В НЕСКОЛЬКО ТЫСЯЧ РАЗ. Три порядка. И все это приведет только к одному — интернет станет медленне, пинги длиннее, потерь пакетов больше, джиттер увеличится.
Все это уже пройденный этап — "великий китайский фаерволл" именно так и тормозит. И ничего не блокирует. Но всем плевать на китайцев, потому что GCFW стоит на границе страны. Он влияет только на сервисы, которые за пределами страны. Внутри — все бегает.
Проблема российской архитектуры "каждому провайдеру свой DPI" в том, что тормозиться будет вообще все. Каждый пакетик будет обрабатываться на уровне ядра сети у каждого оператора.
ThousandEyes-Global-DNS-Performance-Benchmark-Report-2018.pdf
1 MB
Очень крутой отчет ThousandEyes про производительность DNS. Надо будет разобрать и хотяб часть перевести
ThousandEyes-2018-Public-Cloud-Performance-Benchmark-Report.pdf
1.5 MB
Ну, и фиг с ним — еще один отчет "ТысячиГлаз" про производительность облачных платформ. Там хорошо описывается методика измерений. В России никто такого даже и не делал никогда...
Был тут на ПрависиДей. Спросили, чо я туда вообще приперся. Ответил, как мог:
https://youtu.be/yYytJlfX2kk
А если вы хотели как-то помочь автору, то вот тут написано: https://t.me/zatelecom/8987
https://youtu.be/yYytJlfX2kk
А если вы хотели как-то помочь автору, то вот тут написано: https://t.me/zatelecom/8987
YouTube
Михаил Климарев о Privacy Day 2019.
А! Собственно, рассказ за разбор Яндекс.Станции вот тут: https://www.youtube.com/watch?v=oc1z3oMTa38&list=PL-iMsgrlzp_Z_PLIUPmwyRrT44coYmDrQ&index=5
YouTube
Михаил Климарев (интернет эксперт) на Privacy Day 2019.
Разбираем Яндекс.Станцию.
О! Опять попал под лошадь.
тут интересно, где опубликовали. Это журнал RSpectr — официальное СМИ от ГРЧЦ/РКН :)
Там спросили за шатдауны. Ну, я ответил.
https://www.rspectr.com/articles/500/chem-opasny-internet-shatdauny
тут интересно, где опубликовали. Это журнал RSpectr — официальное СМИ от ГРЧЦ/РКН :)
Там спросили за шатдауны. Ну, я ответил.
https://www.rspectr.com/articles/500/chem-opasny-internet-shatdauny
rspectr.com
Чем опасны интернет-шатдауны?
Власти во всем мире все чаще ограничивают гражданам доступ в Сеть
О! Юбилей!
Поздравлялки слать сюда:
ЯД и/или банковская карта: https://yasobe.ru/na/for_zatelecom
PayPal: https://www.paypal.me/zatelecom
А можно и криптой (правда, я так и не разобрался, как оно работает, хотя какая-то сумма там есть)
BTC:1LL1V8cLfyJdREoWeiLPbmBd3v3o28R7mC
ETH:0x738A2836de932523E02Bc2EaA6ffc42206F20bD4
Поздравлялки слать сюда:
ЯД и/или банковская карта: https://yasobe.ru/na/for_zatelecom
PayPal: https://www.paypal.me/zatelecom
А можно и криптой (правда, я так и не разобрался, как оно работает, хотя какая-то сумма там есть)
BTC:1LL1V8cLfyJdREoWeiLPbmBd3v3o28R7mC
ETH:0x738A2836de932523E02Bc2EaA6ffc42206F20bD4
Forwarded from ВЕДОМОСТИ
Уже четыре VPN-сервиса отказались от сотрудничества с Роскомнадзором для блокировки доступа к запрещенным в России сайтам. Согласилась с требованиями российских властей пока только одна компания
vdmsti.ru/ylh
vdmsti.ru/ylh
draft-18-00706_Global-Cybersecurity-Index-EV5_print_2.pdf
4.7 MB
Как вы знаете, есть такая бесползеная международная организация ITU — Международный Союз Электросвязи. и они пилят вот такие отчеты. Я его пролистал, но не обнаружил практической ценности от слова "абсолютно". Впечатление, что сидят старые пердуны и молотят сотни букв для ничего. Вот какой практический вывод можно сделать из этого вот Global Cybersecurity Index (GCI), где аж Венесуэла находится в группе миддл?
Я напомню за инициативу Роскомсвободы под названием "Цифровая оборона": https://oborona.digital/
Там предлагается написать в "приемную госдумы" по поводу "суверенного интернета". Все достаточно просто — нужно зарегаться в "примной" и написать заяву, которая обозначает вашу позицию по законопроекту. Писать надо без мата и наездов — тогда просто не примут. В общем, инструкции и примеры обращений есть по ссылке.
а еще, есть "инициатива на РОИ": https://www.roi.ru/51656/
Последнюю я лично считаю беполезной (РОИ — это даже бесполезнее, чем Ченж.орг), но можно проголосовать и там.
Ну, и срочно голосовать!
* палец вверх — я написал депутатам!
* палец вниз — не написал, это беполезно
* КОЗА — нужно больше петиций и бумажных самолетиков!
Там предлагается написать в "приемную госдумы" по поводу "суверенного интернета". Все достаточно просто — нужно зарегаться в "примной" и написать заяву, которая обозначает вашу позицию по законопроекту. Писать надо без мата и наездов — тогда просто не примут. В общем, инструкции и примеры обращений есть по ссылке.
а еще, есть "инициатива на РОИ": https://www.roi.ru/51656/
Последнюю я лично считаю беполезной (РОИ — это даже бесполезнее, чем Ченж.орг), но можно проголосовать и там.
Ну, и срочно голосовать!
* палец вверх — я написал депутатам!
* палец вниз — не написал, это беполезно
* КОЗА — нужно больше петиций и бумажных самолетиков!
Forwarded from abloud62
👻 Сегодня состоялась встреча на которой СМИ представили проект закона, который хотят принять до конца 2019 года. Этот закон призван обеспечить бесплатную возможность для операторов "входить в подъезды" и оказывать услуги связи абонентам, которые хотят их получить на "недискриминационной основе". В канале @abloudRealTime можете почитать телеграм-трансляцию со встречи, начиная с сообщения https://t.me/abloudrealtime/1047 и далее
Смысл в законе есть. Сейчас бывает, что "карманный оператор", близкий управляющей компании, работает как монополист, предоставляя услуги абонентам по завышенным намного выше рыночным целям. И ради поддержания такой монополии (небезвоздмездно, понятное дело) УК не пускает в дом никаких других операторов, ссылаясь на "отсутствие технической возможности" или выставляя заградительные расценки за такой вход. Вплоть до 80 тыс руб. в месяц!
Второй вариант - УК просто "стрижет" всех операторов, которые пожелали войти в дом. Заключает с ними договор и якобы предоставляет какие-нибудь ненужные (навязанные) услуги. До жильцов эти деньги, разумеется, не доходят в большинстве случаев, либо доходят крохи.
В новом законе предлагается альтернатива - обязать УК пускать в подъезды домов всех желающих операторов на недискриминационных принципах, запретить брать с них деньги.
В целом это выглядит позитивно, но есть, конечно и подводные камни.
В законе не стали прописывать обязательность совместного использования подъездной разводки входящими в дом операторами. А значит, создаются условия, чтобы дом забивался дублирующими 3-4-5... оптоволоконными сетями или витыми парами. То есть понадобятся новые стояки, бурение перекрытий и прочие неприятные вещи. Где будут стоять многочисленные железные ящики и шкафы множества провайдеров. А главное зачем?! Неразумный, нерациональный и недальновидный подход. Стоило бы подумать о шеринге именно сейчас, до принятия закона, а не делать это каким-то следующим шагом до которого еще неизвестно когда дойдем.
Второе опасение - поскольку не прописана обязательность возможности доступа к "последнему метру" для ВСЕХ желающих провайдеров, может получиться такое - в дом входят 2-4 оператора, после чего всем остальным выписывают отказы, ссылаясь на отсутствие технических возможностей. Да, ситуация монополии сменится на олигополию, но настоящей конкуренции может и не получиться. Поэтому опять приходим к тому, о чем законодатели почему-то не подумали - доступ к подъездной сети должен быть для любого желающего оператора. Пусть абонент решает, какой именно провайдер доставляет ему интернет, раз уж провод до квартиры проложен. Иначе очень скоро у нас все мелкие операторы исчезнут, останутся только федералы. И тут вопрос - а может это и есть цель закона? С крупных легче стребовать СОРМ и прочие пакости.
Смысл в законе есть. Сейчас бывает, что "карманный оператор", близкий управляющей компании, работает как монополист, предоставляя услуги абонентам по завышенным намного выше рыночным целям. И ради поддержания такой монополии (небезвоздмездно, понятное дело) УК не пускает в дом никаких других операторов, ссылаясь на "отсутствие технической возможности" или выставляя заградительные расценки за такой вход. Вплоть до 80 тыс руб. в месяц!
Второй вариант - УК просто "стрижет" всех операторов, которые пожелали войти в дом. Заключает с ними договор и якобы предоставляет какие-нибудь ненужные (навязанные) услуги. До жильцов эти деньги, разумеется, не доходят в большинстве случаев, либо доходят крохи.
В новом законе предлагается альтернатива - обязать УК пускать в подъезды домов всех желающих операторов на недискриминационных принципах, запретить брать с них деньги.
В целом это выглядит позитивно, но есть, конечно и подводные камни.
В законе не стали прописывать обязательность совместного использования подъездной разводки входящими в дом операторами. А значит, создаются условия, чтобы дом забивался дублирующими 3-4-5... оптоволоконными сетями или витыми парами. То есть понадобятся новые стояки, бурение перекрытий и прочие неприятные вещи. Где будут стоять многочисленные железные ящики и шкафы множества провайдеров. А главное зачем?! Неразумный, нерациональный и недальновидный подход. Стоило бы подумать о шеринге именно сейчас, до принятия закона, а не делать это каким-то следующим шагом до которого еще неизвестно когда дойдем.
Второе опасение - поскольку не прописана обязательность возможности доступа к "последнему метру" для ВСЕХ желающих провайдеров, может получиться такое - в дом входят 2-4 оператора, после чего всем остальным выписывают отказы, ссылаясь на отсутствие технических возможностей. Да, ситуация монополии сменится на олигополию, но настоящей конкуренции может и не получиться. Поэтому опять приходим к тому, о чем законодатели почему-то не подумали - доступ к подъездной сети должен быть для любого желающего оператора. Пусть абонент решает, какой именно провайдер доставляет ему интернет, раз уж провод до квартиры проложен. Иначе очень скоро у нас все мелкие операторы исчезнут, останутся только федералы. И тут вопрос - а может это и есть цель закона? С крупных легче стребовать СОРМ и прочие пакости.
Telegram
AbloudRealtime
BGP Hijack as a Policy Violation
В Anti-Abuse Working Group @RIPE обсуждается изменение правил 2019-03.
Суть изменения простая - признать BGP Hijack недопустимым поведением. Смысл таков, что поймав члена RIPE NCC (==LIRa) на этом, можно достаточно быстро его членство прекратить.
Есть мнение, что это предложение делает из RIR роутинговую полицию, и не защищает его членов от банальной подставы.
Но каждый может высказать свою позицию, в т.ч. и письмом вроде "+1".
Описание изменений - https://www.ripe.net/participate/policies/proposals/2019-03
Мейллист рабочей группы - https://www.ripe.net/ripe/mail/archives/anti-abuse-wg/
А здесь можно быстренько проголосовать и выразить позицию самым простым способом:
* палец вверх — это хорошее решение против балбесов с кривыми руками
* палец вниз — нет, это плохо, потому что подставы, интриги и расследования
* КОЗА я нифига не понял, но очень хотелось проголосовать
В Anti-Abuse Working Group @RIPE обсуждается изменение правил 2019-03.
Суть изменения простая - признать BGP Hijack недопустимым поведением. Смысл таков, что поймав члена RIPE NCC (==LIRa) на этом, можно достаточно быстро его членство прекратить.
Есть мнение, что это предложение делает из RIR роутинговую полицию, и не защищает его членов от банальной подставы.
Но каждый может высказать свою позицию, в т.ч. и письмом вроде "+1".
Описание изменений - https://www.ripe.net/participate/policies/proposals/2019-03
Мейллист рабочей группы - https://www.ripe.net/ripe/mail/archives/anti-abuse-wg/
А здесь можно быстренько проголосовать и выразить позицию самым простым способом:
* палец вверх — это хорошее решение против балбесов с кривыми руками
* палец вниз — нет, это плохо, потому что подставы, интриги и расследования
* КОЗА я нифига не понял, но очень хотелось проголосовать
RIPE Network Coordination Centre
Resource Hijacking is a RIPE Policy Violation
2019-03: Resource Hijacking is a RIPE Policy Violation
Совсем аутентичного тоже есть. Это, как я понял, что-то типа местного "пункта коллективного доступа".
Карта со всем этим саффом тут: https://drive.google.com/open?id=1JxgIxtktRS-VJQMdMmJ5XVmVmqKmijs6&usp=sharing
Карта со всем этим саффом тут: https://drive.google.com/open?id=1JxgIxtktRS-VJQMdMmJ5XVmVmqKmijs6&usp=sharing