Rostelecom фильтрует пакеты DNS?

Возникает вопрос: Правомочна ли оценка работоспособности DNS сервера с помощью traceroute -U ?

Нет и бессмысленна. Для этого есть dig/host и tcpdump

На практике это не так. Есть несколько провайдеров, у одного из них в любое время суток можно измерить и будет одинаково низкий ровный пинг до гугл серверов, у ростелекома всегда от 70 и выше. При этом на том провайдере у которого 12мс. google dns показывает очень хорошую скорость. Есть здесь что-то.

На практике это не так.

На практике это так.

Есть несколько провайдеров, у одного из них в любое время суток можно измерить и будет одинаково низкий ровный пинг до гугл серверов, у ростелекома всегда от 70 и выше. При этом на том провайдере у которого 12мс. google dns показывает очень хорошую скорость. Есть здесь что-то.

Ну хз, чего там рт намутили, может и правда с роутингом чего-то недоброе. К сожалению проверить негде, последний клиент с рт свалил полгода назад.

На практике это так.

Я на протяжении года изучаю этот вопрос и говорю не просто лишь бы сказать. Есть связь между работой google DNS и пингом до серверов google, я не говорю, что именно пинг в этом виноват, просто сам повышенный пинг это скорее всего следствие этого самого нездорового роутинга. Не хочу заниматься рекламой, так как мне за нее не платят, но я мог бы сказать название провайдеров у которых google dns работает как раньше быстро с пингом 12мс. Вы сами-то потестите, снчала возьмите dns провайдера, потом замените его на dns google, уверяю вы не увидите разницы, а разница есть и видна невооруженным глазом.

Я не о конкретно скорости пинга, а о разных маршрутах, до разных «8.8.8.8», т.е. 8.8.8.8 это нечто «не познанное где-то везде». :)
У моих провов этот пинг еще меньше 12, но никогда не считал разумным даже в голову не приходило именно так (я про 8.8.8.8) измерять скорость :)

У меня дома пинг до 8.8.8.8 около восьми с половиной мс. Кстати, до лора тоже примерно столько. И это несмотря на то что пров использует L2TP.

Если это работает, почему нет? У вас есть какие-то доводы в пользу того, что у ростелекома нет «сервера посередине»?

Дома ДС два прова l2tp Первый <3 Второй <2

Такая же фигня один из провайдеров работает по L2TP, пинг тоже 8 мс.(московский провайдер), goоgle dns работает отлично. Ростелеком и москва и другие города - пинг высокий google dns работает так же как dns провайдера, как быдто и не происходит переключения.

У вас есть какие-то доводы в пользу того, что у ростелекома нет «сервера посередине»?

Никаких. Но зная «этих наших больших провайдеров» больше предполагаю грабли в самих маршрутах/настройках/etc т.е. тупо настроено через жопу. Поясню почему, ping это icmp, 8.8.8.8 это dns сервер, т.е. никакого смысла в mitm для icmp в данном маршруте нет.

Вы как не читаете то что я пишу, я не говорю что высокий пинг провоцирует низкую скорость google dns, я говорю, что это возможно является следствием того, что идет либо подмена dns, либо следствие mitm.

PS. Только что тестил еще одного московского провайдера, пинг 3ms, google dns с очищенным кешем браузера работает просто влет. Еще раз доказывает то, что связь есть.

Вы как не читаете то что я пишу, я не говорю что высокий пинг провоцирует низкую скорость google dns, я говорю, что это возможно является следствием того, что идет либо подмена dns

Простите, действительно не понимаю. Вы про то что 8.8.8.8 на самом деле отправляется на локальный и этим обусловлена высокая скорость пинга?
Возможно вы и правы. Только тогда при чем тут такая низкая у РТ?

Только тогда при чем тут такая низкая у РТ?

У меня есть РТ в двух городах, на нескольких адресах, пинг до серверов гугла высокий, скорость google dns полный уг.

Брр, вы меня запутали. Давайте сначала.
У РТ высокий пинг до 8888, это плохо. Почему так может быть? имхо криворукость рт. Или я вас опять не понял?

У РТ высокий пинг до 8888, это плохо.

Да верно.

Почему так может быть?

Вариантов много.ИМХО.

Или я вас опять не понял?

Все верно.

Ради интереса глянул:
на nic.ru <2-х
на канале в 50мбит расположенном в центральной Европе <9
Так что явно в рт мудаки нехорошие люди сидят. btw как вариант специально скорость шейпят до минимума.

Ну на это можно в ТП вывесить ответ типа «А вы установите сертификат (инструкция)...» и пользователи успокоятся. «Установщик интернета» устанавливает сертификат в броузер сразу же.

По крайней мере в местном загоне это работает.

На многих не сработает. У меня есть юзверы которые оч. нервно на это реагируют.

Ну на это может быть строчка в договоре.

Ну значит «такой» провайдер не нужен.

Кстати мне вообще в ТП ростелекома пытались лапшу про подмену сертификатов вешать, типа это вирус был)) Помоему я прямо в трубку заржал, чуть челюсть не вывихнул))

Ну я так понял к этому всё идет постепенно, при такой централизации через год так будет у всех. К тому же пользователям в основной массе пофиг, а параноики и так пользуют VPN. Если начнут активную борьбу с VPN (что довольно маловероятно), ну все прижмут хвост и будут жрать что дают. Главное техническая возможность есть, а дальше уже больших дядь, насколько хватит у них совести этим заниматься. А так как «преступников» в сети искать проще, вряд ли они такую возможность упустят, статистика же, рапорт красивый написать можно. Но это уже OT и спекуляции.

У вас есть какие-то доводы в пользу того, что у ростелекома нет «сервера посередине»?

У меня есть. Для меня у Ростелекома нет сервера по середине. Но чтобы показать пресловутый пинг до абстрактного 8.8.8.8 через Ростелеком, мне надо два канала завалить, либо с as path поиграться. Хотя последнее эффекта может и не иметь.

Ну я так понял к этому всё идет постепенно, при такой централизации через год так будет у всех.

Оооочень сомневаюсь. Давайте как минимум инет банки вспомним, даже наши же российские, и поведение браузеров при подмене сертификата. Как думаете куда клиент, глядя на большое красное окно, будет звонить провайдеру или в банк?

Для меня у Ростелекома нет сервера по середине.

Офигительный довод)) Всем все понятно, все расходимся)

Ну по крайней мере хром и фаерфокс, если им положить CA-сертификат никаких красных окон не выводят, так как доверяют юзерским сертификатам абсолютно.

А, да, если авторизация идёт по пользовательскому сертификату, тут обломс, такое надо будет пропускать, но задетектить на уровне митма можно. Ну и это очередная дыра. Но таких пользователей исчезающе мало, кто такими штуками пользуется. основные банки можно поставить в исключения.

Firefox выводит, только оно не красное))

При установленном CA не выводит, только если сам сайт выругается, а таких почти нет. Сертификаты squid генерит на лету все из одной CA. Банки с авторизацией по сертификату - отдельная тема, да.

Я может что-то не понимаю, например есть сайт с https, он запрашивает серификат, если подпись хранящегося сертификата не соответствует, то он выводит сообщение в браузер. Так?

Вы все правильно понимаете. slapin про локально установленный ca, походу пишет.

Ты когда на https идёшь в первый раз, никакого сертификата нет, сравнивать не с чем, pinning выключен так как используется юзерский сертификат CA, сертификат от сервера получен, проверен по CA, всё ок. Естественно отдал его squid.

Если не в первый, то возможны варианты, но так как CA валидный, соответственно претензий к сертификату опять же нет (пользовательские сертификаты с абсолютным доверием). Выведет ли броузер предупреждение о смене сертификата - вопрос. У меня не выводит. Человек, знакомый с нормальным сертификатом, естественно, распознает подмену. Параноик проверит и попытается наехать на провайдера. Но таких мало, большинство просто нажмёт ок. Опыт экспулатации говорит о том, что это как бы работает. Остальные вопросы - организационные и политические. Разумеется, авторизация сертификатом в эту схему не укладывается, но это встречается нечасто.

Особенно если это какое-нибудь общественное место или контора - тут вряд ли кто будет на что-то жаловаться. Так же бесплатная точка доступа. Дома на ISP можно наехать, они какое-нибудь половинчатое решение найдут для доступа по сертификатам, поправят acl в сквиде и всё. Для тех полутора сайтов где так надо, просто сделают исключение. Так же можно задетектить это на уровне squid и пропатчить чтобы пускало напрямую в этом случае.

Вон, STARTTLS из ответа почты на EHLO уже каждый второй научился удалять, я не думаю, что эта вся тенденция остановится на достигнутом, копать в эту сторону точно будут ещё долго, так как выгодно и непыльно.

Можно еще раз, а то я не совсем понял? Значит рассматривам ситуацию, когда человек обращается к https ресурсу первый раз, обращение идет через прокси-сервер провайдера, провайдер имеет свой валидный CA, который и подсовывает абоненту. В этом случае провайдер получает полный доступ к https-трафику абонента? В таком случае не ясно, как https еще до сих пор жив и используется? Например, при обращении к каком-либо онлайн-банку, как может в таком случае https обеспечивать секъюрность передачи данных?

Секъюрность обеспечивается авторизацией по сертификату. Плюс при параноидальности можно проверить откуда сертификат, если банк по ключам не авторизует. Провайдер будет вынужден для таких соединений включать прямой доступ, но возможно с держателей таких методов шифрования будут трясти логи непосредственно. Но я бы в такие места VPN'ом ходил. С другой стороны данные остаются зашифрованными, просто провайдер в результате имеет доступ к зашифрованным данным, так как он разделил трафик, получилось server - squid -> squid - client и там сертификаты и шифрование разные и SSL сессии разные. Некоторые считают, что сотрудникам провайдера можно доверять, другие считают себя неуловимыми джо и их никто искать не будет, третьи просто ничего не заметят, и тд. А кто параноидален - обернётся в VPN. ТП ISP будет вести список слишком умных ругающихся юзеров и сливать заинтересованным органам. Многие провайдеры ведь действуют с упреждением, пока их не заставляют, но системы уже успешно внедряются. Эффект пуганной вороны - одного визита «на ковёр» вполне достаточно чтобы превратить человека в экстремально лояльного лизоблюда, и клиенты уже не на первом месте.

Многие конторы уже давно внедрили MITM-системы у себя дабы следить за работничками - но у этих как правило и телефоны пишутся и камеры везде ещё чтобы не дай Бог перерыв > 15 минут. В конторах это уже давно было, кто побогаче даже приобретал честный корневой сертификат дабы свои поддельные подписывать, из-за этого броузеры перестали полностью доверять поставляемым сертификатам. Теперь используют кастомные CA для этой же цели, так как им таки полное доверие (при установке в броузер). То есть простой https в наши дни гарантирует только шифрование, но никак не гарантирует от подмены. Тут надо головой думать и параноить. Вся информация доступна, её нужно просто проверять.

По хорошему помогает certificate pinning.

https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning

Но это ж работать надо...

Только надо чтобы он работал даже если установлена кастомная доверенная CA и была бы возможность руками пинить сертификаты для сайтов. Но опять же это нехилая работа для юзера, что на сервере что на клиенте. VPN это всё решает с меньшими усилиями.

Простите но у вас в голове каша. Понахватались по верхушкам какой-то инфы и пытаетесь рассуждать. Простой пример, если вместо гугловского серификата я подпихну свой (что позволит мне в дальнейшем просматривать трафик) то браузер заорет на него что он не доверенный. Единственный вариант чтобы браузеры не матерились, это сгенерить свой ca и установить его на девайс пользователя, но для этого надо иметь доступ к девайсу юзвера. Так что или это как в конторах где действительно централизованно распихивают свой ca на компы пользователей либо будет мат в браузере, что очень заметно. А пользователи напуганные рентв сейчас весьма нервные пошли, это я по своей практике говорю, обращения вида «вот блин у меня на ноуте браузер ругаться, а на другом устройстве нет» достаточно часты. Пока во всех случаях оказывалась проблема в том, что систему «с детства» не обновляли и рутовые сертификаты или просрочены или отсутствуют. Но сам факт подобных обращений как бэ намекает, что пользователи уже далеко не лохи начала нулевых.

Ну читать же надо. Я и говорю, что CA установлена.

Хто мне ее на мои офисные/домашние девайсы установит? РТ? так кто же его туда пустит.

Ну как, рассчёт идет на массового обывателя. Конторы окучат отдельно - заставят админов сливать и хранить (если еще не заставили). ТП ISP как раз расскажет всем желающим что и как ставить. Упёртых запишут в книжечку. Вон, полно провайдеров, которые не дают клиентам свой внешний IP-адрес ни за какие деньги. MITM-ят гугл, блочат STARTTLS, и тп., периодически ставят жестокие эксперименты типа запрета исходящего SSH, редиректят 8.8.8.8, прозрачный прокси на 80 уже наверное у 90%. CA нету, броузер ругается? Поставь нашу CA - ругаться не будет. Дальше малюсенькое изменение законодательства, почти незаметное, и MITM для SSL будет у всех, так как техническая возможность есть. Да, всегда можно будет эту CA выпилить, сертификаты запинить и тп. но это всё андерграунд, VPN/tor можно использовать уже сейчас, но что-то это не является массовым явлением. Когда рутракер блочили, народ им просто не пользовался, не смотря на все статьи как настроить VPN (это я по знакомым сужу). По поводу РТ и прочего - в мелко-средних провайдерах бла одно время мода - программа «коннектор», которую ставишь и тебя выпускают в интернет, не ставишь - доступна только сеть, и то иногда не вся. Программа эта тупо ходила в сеть и салала пакетик типа «я живо». Психологически те же трудности - нужно ставить софт от оператора, чтобы работала сеть. CA выполняет ту же функцию - ставишь сертификат - всё работает, не ставишь - броузер на каждый сайт ругается. Если нет выбора - ты это поставишь. Или уходишь в андерграунд и сидишь на VPN.

Название веществ забыли написать.
ЗЫ

Когда рутракер блочили, народ им просто не пользовался

Ну, да... Конечно... Там вообще форум в чат превратили тогда.
Это вам так, в догонку http://rutracker.org/forum/viewtopic.php?p=69866103#69866103
Я был одним из тех кто не заметил... и никакого впн... да и сейчас эту ссылку нашел без всякого ipv6 и впн, вот ЧЯДНТ?

ЗЫЫ эрзент не родственник ваш случайно?

Я был одним из тех кто не заметил.

А, ну всё отлично тогда. Проблемы нету. Расходимся.

А сейчас не блочат? Я не в курсе просто. Но емнип посещаемость у него когда заблочили только выросла. Потом все вспомнили, что это гадюшник.

Зайдите да посмотрите. :) Но емнип их пожизненно заблокировали. Билайн блокирует, второй провайдер почему-то перестал (хотя блокировал раньше).

Этот топик будит мысль, спасибо. Запустил в офисе namebench и заплакал. Мало того, что все медленно (тут от части мой был косяк), так еще и все hijacked. И вот, запилил я vps аж в самих Нидерландах, бросил туннель и в офисном роутере адрес его дальнего конца прописал как DNS. По итогу из долбаной Восточной Сибири через долбаные Нидерланды от Гугла ответ прилетает быстрее чем от долбаного Яндекса напрямую. Провайдер в офисе - долбаный Ростелеком. Надо сказать, что роутер шлет запросы сразу на все прописанные DNS и берет первый пришедший ответ. Ищу медленные публичные DNS, чтоб провайдер не думал, что я ими вообще не пользуюсь, а на деле все шло через туннель)))

Если начнут активную борьбу с VPN (что довольно маловероятно)

У меня для тебя^W нас плохие новости :-(

Не некоторые форумы и сайты (в т. ч. Галерея ЛОРа) позавчера не мог прикрепить файлы. Соединение тупо сбрасывалось. Пришлось заливать через VPN.

P.S. Западная Сибирь, Новосибирск, Ростелеком

Есть инструкция как завернуть DNS в VPN?

cast ValdikSS