LINUX.ORG.RU

Релиз DPI Carbon Reductor 4.0.3

 carbonsoft, , , ,


2

1

Вышла в свет 4.0.3 версия российского софтверного DPI под Linux - Carbon Reductor.

Carbon Reductor специализируется на фильтрации больших объёмов http-трафика у интернет-провайдеров, основная задача - блокирование сайтов из единого реестра Роскомнадзора и других источников.

Самая главная новая возможность - редирект пользователя на страницу о блокировке, реализован в виде модуля ядра Linux (target-модуль iptables). По сути он реализует tcp-session-hijack - пользователю подготавливается поддельный HTTP-пакет с Location 302 и отправляется от имени ресурса, к которому он обращался. Для гарантированной фильтрации после этого и абоненту и ресурсу отправляется tcp-rst пакет.

Дополнительно появилось множество не столь значительных, но приятных для администратора сервера плюшек:

  1. Автоматическая ежечасная диагностика с исправлением популярных проблем и подсказками как исправить то, что автоматически исправить не удалось;
  2. Отчёты по диагностике при возникновении ошибки для администратора и технической поддержки, отправляющихся на указанную в настройках почту;
  3. Автоматическая настройка сети и конфигурация ebtables и iptables для приёма и сканирования зеркала трафика с коммутатора;
  4. Три варианта обновления: ручное, автоматическое на все devel-версии или только на master с критическими исправлениями;
  5. Автоматический тюнинг параметров ядра Linux, для работы с большим количеством соединений;
  6. Опциональная поддержка списка Минюста (да, да, того самого на 85% состоящего из синих DVD дисков с аудиофайлом 1488.avi, в нём таки есть URL ресурсов, а провайдеров заставляют их банить).

Мануал по Carbon Reductor на xgu.ru

>>> Источник - carbonsoft.ru



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от Xenius

Обходится же в разы легче даже рядовыми пользователями, половина не заметит даже, ибо гугловые DNS пропишут. А вот редирект всего DNS трафика на свои сервера - это уже куда более трэшово, на мой взгляд, чем отправка HTTP 302. (вместо TCP-reset как было раньше) при открытии заблокированного сайта.

Так что тут до 90% хомячков абонентов на которых правительство ориентируется добраться уже далеко.

weirded
() автор топика
Ответ на: комментарий от Evil_And

Новость про коммерческий софт для Linux в разделе о коммерческом софте на сайте Linux.org.ru кажется вам странной?:)

Вредоносное - это если бы списки сайтов были белыми, а не чёрными и при этом применялись ко всем абсолютно без права отказа. А здесь один из вариантов предотвращения глобального костылестроения и экономии денег провайдеров, дабы закупка DPI'ек не приводила к появлению дополнительных обязательных автоматически подключаемых услуг. Ибо законом провайдеров уже обязали это сделать, а терять абонентов, которые уйдут к другим провайдерам с DPI, который не блокирует сайты целиком или тупо целые хостинги по IP, я думаю ни один здравомыслящий директор не захочет.

Причём абоненты именно будут переходить - увы, население РФ в плане протестов уж больно овощит, из друзей, которых я уговаривал подписать петицию по отмене антипиратского закона, подписали только трое из сорока зарегистрированных на госуслугах.

А вообще текущее состояние продукта - заготовка базы для добровольной (подключаемой самим абонентом) + регулируемой контент-фильтрации на уровне провайдера.

Кстати, а как бы вы отнеслись к этому «вредоносному софту», если бы он при этом был Open Source? Изначально задумывались о том, чтобы выпустить его открытым и брать деньги только за поддержку, но как-то в итоге сочли текущий рынок провайдеров недостаточно к этому готовым.

weirded
() автор топика
Ответ на: комментарий от hope13

Хех, как Cisco SCE выпускается - всем пофиг, Cisco все любят, а как под Linux почти то же самое и удобное в настройке - так враги.

Безысходность прям.

weirded
() автор топика

Не совсем понимаю, отчего такая боль в известном месте у многих от существования подобных штуковин?

pekmop1024 ★★★★★
()

ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ лучше бы баги искали :)

hitman249
()
Ответ на: комментарий от hitman249

Как будто я только в этом проекте участвую и как будто в нём их не бывает :)

weirded
() автор топика
Ответ на: комментарий от Ttt

Не пофигу. Сейчас в интернете появилось бабло, а начнут беспредел чинить - оно там закончится или его станет сильно меньше.

Но бизнес он такой, типа, весь подневольный. За то чтобы не отбирали лицензию/бабло/ещё что-то и дпи поставит, и тебя сдаст с потрохами, и бэкдоров 100500 в свою продукцию внедрит и т.п. А по мне прикольно было бы, если бы ВСЕ провайдеры отказались блокировать, и лицензию бы отозвали у ВСЕХ. О весело бы было )) но к сожалению по людской натуре это невозможно, т.к. всегда найдётся сволочь, которая блокировать согласится.

vitalif ★★★★★
()
Ответ на: комментарий от Ttt

Просто дальше скажут - а чо, вы же вон, по урлу успешно блокируете, значит можете, давайте теперь ещё все прокси заблокируйте и vpn, и сертификаты подменяйте и https слушайте, и соединения неизвестного типа блокируйте. И трансграничный трафик. У наших «народных избранников» мозгов хватит.

Т.е. по мне при общении с государством делать морду тяпкой - это правильно, а то могут заподозрить в излишней инициативности. Раз уж там дебилам власть дали.

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 1)
Ответ на: комментарий от vitalif

Некоторые крупные провайдеры, в частности, путинский сротелеком, а также большая тройка, были как раз лоббистами этого закона через лигу без интернета: http://ru.wikipedia.org/wiki/Лига_безопасного_интернета

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Да знаю я про этих «„людей“». Моя бы воля - все бы лес валили.

vitalif ★★★★★
()
Ответ на: комментарий от Ttt

Хотя слабо понимаю, зачем им это может быть нужно как провайдерам. Я думаю, что это им нужно скорее как просто сволочам/истеричкам, либо как пополизам-в-правительстве...

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 1)
Ответ на: комментарий от vitalif

Ну ростеоеком принадлежит Путину, так что тут всё логично.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от vitalif

Да, было бы весьма и весьма круто.

Только вот Ростелеком вряд ли удалось бы уговорить :(

weirded
() автор топика
Ответ на: комментарий от Xenius

Вот поэтому и лучше

А поскольку будет обходиться рядовыми пользователями, то правительство ещё сильнее закручивало бы гайки.

weirded
() автор топика
Ответ на: комментарий от vitalif

Почему нужно большой тройке - по крайней мере билайну, как я полагаю - они активно толкают мультимедийный контент, потому антипиратщину поддерживают, скорее всего.

weirded
() автор топика
Ответ на: комментарий от weirded

О да... ди гроссе тройке - их вообще за одни цены на мобильный интернет надо кастрировать...

Там реально - лучше уж вайнах телеком юзать :D:D:D

А они оказываются ещё и воздух продавать хотят...

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 1)

Я правильно понимаю, что они анализируют http трафик на предмет запрашиваемого урла?

А трафик https какже? Все больше сайтов работают только через безопасное соединение.

А как же сайты, в которых один урел, а страницы отображаются через post запросы?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

А как же сайты, в которых один урел, а страницы отображаются через post запросы?

А как они в реестре значатся?

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от vitalif

Там реально - лучше уж вайнах телеком юзать :D:D:D

Сначала думал, что «вайнах телеком» — собирательное название местных операторов определённых регионов.

Ttt ☆☆☆☆☆
()

почему в новости не указана лицензия?

jekader ★★★★★
()
Ответ на: комментарий от AVL2

Да ну как же, как же. MITM, как же ещё. Но я как-то тихо надеюсь, что не дойдёт до такой радости у провайдеров.

vitalif ★★★★★
()
Ответ на: комментарий от vitalif

Да ну как же, как же. MITM, как же ещё. Но я как-то тихо надеюсь, что не дойдёт до такой радости у провайдеров.

а кто им даст использовать неподтвержденый сертификат?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

А хз, наши идиоты в думе до всего чего угодно могут додуматься. Например скажут что они всех имели и либо пусть ходят с подменой сертификата, либо пусть не ходят вообще. А то и дочерний CA прикупят, ага.

Тьфу-тьфу-тьфу, конечно, потому что это уже будет реально как китайский фаервол. В списке рассылки википедии вон обсуждали недавно, что мол если включим https обязательный, Китай к нам вообще не дойдёт.

Или они только про какие-то отдельные провинции говорили... Не помню. Т.к. вроде же был инцидент когда гитхабу серт подменяли узкоглазые, но доступ-то вроде был по хттпс и до этого и после этого...

Вообще Интернет - вроде ноги из DARPA растут и все дела, а вот что-то он не рассчитан на ситуацию, когда за каждым углом стоит местечковый царёк с прослушкой или блокировкой.

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 4)
Ответ на: комментарий от vitalif

В принципе, они могут создать свой CA, законодательно заставить его прописать в браузеры, выпустить большой сертификат с * в cn и им валидировать все сайты мира.

Но это же глупость. Будут туннели или тор и все.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Это всё глупость, когда общаешься со вменяемыми людьми, которые хоть что-то понимают. А «обыватель» многое схавать может.

vitalif ★★★★★
()

Микроопрос

Товарищи, а все таки, что бы вы хотели чтобы было в системе сношефильтрации сайтов, чтобы она была максимально приемлемой, и в то же время удовлетворяла требованиям законодательства?

Я, признаться, сам не сторонник принудительной фильтрации, согласился заниматься этим проектом, ибо достало, что клиенты с моим маршрутизатором костыльными правилами портят качество сети абонентам, а жалуются в суппорт :(

weirded
() автор топика
Ответ на: комментарий от weirded

Интереса ради загуглил около 10 суициднических сайтов, полистал первые темы форумов - не так уж часто такие сообщения встречаются, около 5-10%.

То есть ты встретил не больше одного, а может быть, так и вообще половину сообщения? Вот полковники-то обрадуются, глядя на твое «исследование».

anonymous
()
Ответ на: комментарий от ckotinko

колбасящий всю страницу на андроеде?

От его сообщения не только андроидовский браузер плющит, но и вполне себе десктопный Firefox. :)

anonymous
()
Ответ на: комментарий от anonymous

и даже IE9 только там клиппинг не дает засрать страницу

ckotinko ☆☆☆
()
Ответ на: комментарий от weirded

Кстати, а как бы вы отнеслись к этому «вредоносному софту», если бы он при этом был Open Source? Изначально задумывались о том, чтобы выпустить его открытым и брать деньги только за поддержку, но как-то в итоге сочли текущий рынок провайдеров недостаточно к этому готовым.

Также негативно

Evil_And ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.